网络弹性及NIST SP 800-160（II）框架解析

董坤祥　谢宗晓　甄杰

摘要：对不同组织和学者提出的网络弹性的概念进行了比较分析，提出狭义和广义的网络弹性概念及其构建要求;并对NIST SP 800-160（Ⅱ）的网络弹性框架从概念、架构选择与优先级、实践和过程分析三个方面进行了详细描述。

关键词：网络弹性 NIST SP 800-160（Ⅱ）

Cyber Resilience and NIST SP 800-160（II） Framework Analysis

Dong Kunxiang （Shandong University of Finance and Economics）

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Abstract： The concepts of cyber resilience of different organizations and scholars are compared and analyzed， and the narrow and broad concepts of cyber resilience and their construction requirements are proposed. The NIST SP 800-160 （II） is described in detail from three aspects： framework， selection and priority cyber resiliency constructs， analytic practices and processes.

Key words：  cyber resilience， NIST SP 800-160（II）

0 引言

隨着企业数字化转型的深入以及数字经济的蓬勃发展，网络空间迅速扩张到生产生活的方方面面。然而，网络技术的普及与进步，一方面降低了成本，促进了生产率;另一方面，网络安全空间因复杂的相依关系又呈现出前所未有的复杂性、不稳定性和风险[1]。2020 年，全球31%的公司每天至少受到一次网络犯罪分子的攻击，每天超过 1000 人的敏感数据被勒索软件团伙窃取并公开泄露。因此，如何提高企业的网络安全风险管理能力成为热点。

传统的网络安全风险管理强调，对风险的概率和严重性进行量化，从而获得支持解决风险问题的策略，如保留、避免、减少、转移或保险。而事实是，企业不可避免地遭受网络安全的攻击，并且潜在网络威胁的不可预测性、极端不确定性和快速演变使得风险也难以测量。因此，当风险管理无法有效地保护企业免受破坏性威胁时，传统的加固网络系统以抵御已识别威胁的方法被证明只是部分有效。那么，如何能像生物系统那样发展出免疫力以应对感染和其他攻击，网络系统也必须适应不断变化的威胁，并从攻击的影响中恢复过来。网络安全弹性的概念便应运而生，其范围比网络安全风险管理更广，即网络安全中的风险管理关注最小化危害，而网络弹性侧重于信息技术环境中的预防、检测和响应控制，以评估差距并推动实体整体安全态势的增强[2]。

1 网络弹性定义

1.1 概念演化

弹性（Resilience）概念起源于力学和生态学等领域，后来衍生到技术、工程和文学媒体领域。2012年，美国国家科学院对弹性定义为，准备和计划、吸收、恢复以及更成功地适应不利事件的能力。类似的在工程领域，网络弹性（Cyber Resilience）是指计算机网络在出现故障时保持服务的能力。网络弹性是一个不断发展的观点，其本质是将信息安全、业务连续性和组织弹性等领域结合在一起。此外，网络弹性不仅应用于 IT 系统、关键基础设施，还普遍应用于业务流程、组织运营、社会发展和国家安全[3]。

早在2016年，国际清算银行BIS出版了金融市场基础设施（FMI）的网络弹性指南，专门为FMI 提供基于原则性指导，以增强其网络弹性。2018年，美国国防部在《国防部网络战略2018》中提出“提升美国关键基础设施弹性”的战略途径;此后不久，美国白宫发布了美国的《国家网络战略》，提出了“管理网络安全风险，提升国家信息和信息系统的安全与弹性”的目标。自此，网络弹性由单一领域内的网络安全能力构建，拓展至国家网络安全战略。2019年11月27日，美国国家标准与技术研究所（NIST）正式发布SP 800-160（II）《开发网络弹性系统 系统安全工程方法》，它是NIST采用系统工程方法构建网络安全能力的里程碑，也是网络弹性的权威技术文件。

1.2 概念对比

随着网络弹性重要性的凸显，不同组织机构和学者对网络弹性提出了各自的观点，如表1所示。

由表1可知，网络弹性的概念随着时间发展其内涵逐步丰富，从一开始的强调抵御中断并恢复，到网络安全管理生命周期内全过程弹性，然后将网络弹性视为组织的一种战略。这种概念的演化说明了，网络弹性在组织风险控制与战略规划中已提高至不可忽视的地位。从不同组织和学者对网络弹性的定义可知，他们均认为网络弹性的目标，是在外部扰动风险下，组织保持持续运营的能力。因此，网络弹性的概念有3个关键方面：一是了解风险的性质，即组织面临的可能网络风险类型，网络风险可能性大小等;二是采取行动保护系统以防止和抵御网络攻击，即组织应利用网络安全投资、保险等手段控制风险的发生;三是没有百分之百安全的网络，即管理者应认识到某些攻击仍会发生，为此做好准备，以具有足够的弹性最大程度地减少其影响并能够恢复。

综上对网络弹性概念的梳理，本文认为：狭义上，网络弹性是在发生网络安全事故后，组织继续保持服务输出的能力，见图1;广义上，网络弹性是将组织战略、文化和制度融入网络安全管理生命周期，通过预防、抵御和响应措施恢复和适应外部冲击，实现以最小的影响确保整个业务生态系统持续服务的能力，见图2。

图1显示，狭义的网络弹性其关注点在于服务能力与水平不可低于最低服务能力或水平，以达到持续服务的目标，并且响应时间越短越好，如虚线③的响应时间小于实线①的响应时间;恢复时间越快越好，如实线①优于虚线②的恢复措施。同时，狭义上的网络弹性关注冲击发生后，组织通过各类抵御和响应措施恢复和适应外部冲击。图2显示了广义网络弹性，其涵盖了网络安全风险管理的扰动、失效、响应、恢复等各个阶段在制度、战略和文化融入之后的网络弹性过程。其中，扰动过程展现了组织对外部威胁的免疫性能和系统的可靠性，说明了系统风险的自然属性，也展现了企业对防御能力的投入;广义的网络弹性允许企业服务水平低于最低水平甚至允许中断的出现，也要求在这种情形下企业应迅速恢复至最低服务水平。当然，即使出现低于最低水平或中断情形，也不一定意味这种情况下的弹性比狭义概念上的弹性差，如当图2中S1的面积小于S2的面积时，虚线③的弹性仍然优于实线①的弹性。

基于上述讨论，本文认为网络弹性应具备以下要求：

（1）网络弹性应是战略性的，即取得组织内部高管的支持，并融入组织的运营战略之中，实现由上而下的弹性战略目标以及战术目标。

（2）组织应清楚地知道组织的弹性大小以及特征，通过运用网络安全评价体系或成熟度标准测量组织的网络弹性水平，并设置最低的服务水平。

（3）组织应有具体成文的措施应对弹性中的损失，通过防御、响应和恢复手段，最小化外部冲击影响，保持业务的连续服务能力。

（4）组织应定期开展主动威胁测试，通过主动防御强化服务系统的鲁棒性，以最大限度降低冲击事件发生的概率。

2 NIST SP 800-160（II）的网络安全弹性框架

2019年11月，NIST发布SP 800-160（II）《开发网络弹性系统 系统安全工程方法》，介绍了理解和应用网络弹性的网络弹性工程框架以及在系统生命周期中实施网络弹性的具体注意事项。SP 800-160（II）是SP 800-160（I）和SP 800-37的支持文件，其目的是利用系统工程视角来整合系统生命周期过程和风险管理过程，实现既定的网络弹性目标。SP 800-160（II）的网络弹性工程框架结构包括：网络弹性目的、目标、技术、方法和设计原则，本架构可指导组织从风险管理策略出发，根据威胁或攻击的影响来制定网络弹性解决方案。

2.1 概念框架

为了更好地理解网络弹性问题和解决方案，SP 800-160（II）详细描述了用来识别和分析网络弹性解决方案的网络弹性工程实践，包括网络弹性目的、目标、技术、方法和设计原则，具体如下。

（1）网络弹性目的：用于描述组织关注的更高级目标或优先级，包括目标、预期、承受、恢复和适应。

（2）网络弹性目标：是为满足组织对业务持续和安全弹性的需求，必须在其运营环境和整个生命周期中实现的可操作的具体目标，如预防或避免、准备、持续服务、抑制和重组。网络弹性目标可以分层次细化，通过创建子目标强调目标的不同方面或实现目标的方法，并可使组织能够根据任务来确定弹性优先级。

（3）网络弹性技术和方法：是一组或一类旨在通过提供能力来实现一个或多个目标的技术和实践，包括适应性响应、分析监测、情境感知、联合防护、多元化、动态配置、非连续、权限限制、重组、冗余、分割、完整性证实、随机更改和诱导14种技术与方法。

（4）弹性设计原则：识别战略和框架中的关键概念，并详细描述其流程和程序。

通过对网络弹性框架的描述，使组织可以理解网络弹性概念及其相互关系，进而通过风险和特定威胁事件或恶意网络活动类型的潜在影响来分析网络弹性解决方案。具体的网络弹性框架概念之间的关系见图3。

2.2 网络弹性架构的选择与优先级

为了更好地保护组织系统的安全质量，网络弹性的设计原则、技术和方法应彼此建立、补充或协同作用。同时，由于不同的组织内外面临的安全环境不同，所以需要与组织相适应的网络弹性技术和方法，故系统安全工程目的是管理风险，而不是提供通用的解决方案。如何选择适合组织的网络弹性方法与技术步骤如下。

（1）应与目的和目标相一致。网络弹性技术和实现方法是用来实现任务或业务目标的，且符合目的和目标的相对优先级。

（2）与网络风险管理战略一致。作为组织整体风险管理战略的一部分，网络风险管理战略的风险应对应包括应对外部攻击类型和偏好的网络弹性解决方案。

（3）与系统类型一致。不同的组织提供服务或面临不同环境时所需要的系统不同。不同的系统其网络弹性的方法与优先级也有所不同。例如，企业IT系统的通用系统，所有的网络弹性技术和方法都是可行的;而大规模系统对服务中断或退化高度敏感，往往通过功能重新配置、碎片化和分布式功能等方法来提高网络弹性;物理信息系统则更多地使用加密校验和完整性检查方法;物联网则依靠完整性检查方法与可靠性机制结合。

（4）网络弹性的冲突与协调。从决策角度而言，没有一种技术或一组技术是最优的，使用任何特定的技术都有分支，组织应根据战略、目的、目标选择合适的技术、方法及其优先级。

（5）网络安全投资。事实上网络安全投資应遍及网络安全管理生命周期，但不同的组织在不同阶段的投资侧重点应不同。

（6）与网络弹性解决方案的应用位置一致。网络弹性方法和技术取决于其弹性应用的系统层级及其组件、元素或者接口。

（7）对威胁和风险的影响一致。不同的弹性技术或方法对给定威胁事件的适用程度、范围以及受影响的风险因素方面有所不同。因此，基于系统安全在体系结构、设计和操作环境中预期效果，在技术、方法和实现之间实现权衡。

（8）使用技术与方法的安全成熟度。作为最活跃研究领域，网络弹性涌现了大批安全技术，以提高信息物理系统、高可信度专用系统和大规模处理环境的网络弹性，但是不同技术与方法的成熟水平不同，组织应结合上述一致性选择合适成熟水平的弹性技术与方法。

2.3 实践和过程分析

网络弹性分析旨在确定系统的网络弹性属性和行为，是否足以满足組织的任务保证、业务连续性、或包括APT的威胁环境中的其他安全需求。网络弹性分析的流程包括：理解环境、建立网络弹性基线、分析系统、定义和分析具体方案、建议行动计划集。

（1）理解环境。充分理解编程环境、架构环境、运营环境、威胁环境和网络弹性结构的优先级等内外环境，从而可以在该环境下解释网络弹性结构，评估网络弹性目标的相对优先级，并确定网络弹性设计原则、技术和方法的适用性。

（2）建立网络弹性基线。可根据组织实施的网络弹性技术和方法以及/或可用于应用的网络弹性设计原则、配置或操作使用的容易程度来进行表征网络弹性能力基线。然后，利用威胁热图或威胁覆盖分数对网络弹性能力或安全进行风险评估。

（3）分析系统。首先，确定关键资源、脆弱性来源和攻击面;然后，从攻击者角度构建可能的攻击场景，用以弥补供应链风险分析、网络弹性或网络安全分析的结果，进而确定改进的机会和优先次序。

（4）定义和分析具体方案。首先，定义组织系统安全潜在的技术和解决方案;其次，定义支持系统和过程的潜在解决方案;最后，根据弹性基线标准分析潜在的解决方案，从而更好地理解现有系统的网络弹性技术与方法。

（5）建议行动计划集是步骤（4）中的备选方案形成的解决方案集，用于构建潜在的行动路线，包括分析、评价这些备选方案，并从成本、收益和风险管理方法的角度提出潜在的具体行动。

3 结论

本文通过对网络弹性定义的梳理，从广义和狭义两个角度提出了网络弹性的定义，并分析了网络弹性的基本特点。然后，详细介绍了NIST SP 800-160（II）的网络弹性的概念框架、实施方案和实践过程。该文对组织构建网络弹性提供了参考，有助于组织在理解网络弹性的基础上，根据组织面临的内外环境，在投资收益的原则下，用适当的方法配置网络弹性技术，并从一系列弹性解决方案中，选择最适应组织能力的弹性框架。

参考文献

[1] Bjorck Fredrik， Henkel M， Stirna J， et al. Cyber Resilience—Fundamentals for a Definition[C]. Advances in Intelligent Systems and Computing. Stockholm University， 2015： 311-316.

[2] Hausken K. Cyber Resilience in Firms， Organizations and Societies[J]. Internet of Things， 2020， 11（100204）： 1-9.

[3] Kott I Linkov. Cyber Resilience of Systems and Networks[M]. Cham： Springer International Publishing， 2019.

[4] Ron Ross， Victoria Pillitteri， Richard Graubart， et al. Developing Cyber Resilient Systems： A Systems Security Engineering Approach Special Publication （NIST SP） [R]. Gaithersburg： National Institute of Standards and Technology， 2019.

基金项目：国家社科基金（21CGL017）