2021NISTSP800-160第2卷开发网际弹性系统：系统安全工程方法

NIST特别出版物800‑160第2卷计算机安全系统安全工程方法系统安全工程方法TP2TTP2系统安全工程方法第三页第三页计算机系统技术报告(NIST(ITLITL(ITITL800ITL抽象的E‑T‑T（），关键词商标信息所有名称均为其各自所有者的商标或注册商标。目录章介 1性. 3众. 4织. 5章识. 6架. 7标. 8标. 9法. 10则. 13系. 14性. 15性. 19章性. 20级 203.1.1目的和目标的实现203.1.2网络风险管理策略203.1.3系统类型. 21同. 23资. 243.1.6架构位置263.1.7对对手、威胁和风险的影响. 263.1.8用. 27程. 283.2.1理解上下文303.2.2建立初始网络弹性基线. 35统. 37案. 40议. 42录A献 44录B表 56录C语. 67录D景. 71性. 71征 72系. 74系. 录E构 81标. 81标. 82术. 85法. 章TTP2系统安全工程方法TTP2系统安全工程方法第七页第七页第八页第八页则. 98E.5.1战略设计原则..98E.5.2结构设计原则 105系 118录F性. 章和SSE语. 122面 122准. 123F.1.3安全和网络弹性要求和特征124F.1.4网络弹性和安全功能、视图和模型。125F.2性 126F.2.1业务或任务分析126.2.2利益相关者的需求和要求定义128F.2.3义 129义 130义. 章F.2.6系统分析133F.2.7实施 135成 章证. 章换. 话F.2.11验证137F.2.12操作. 138护 章置 话录G施. 141录H析. 154响. 第154章析. 160途. 章织. 162告. 162录I例. 174车. 章I.1.1景第175章.1.2性. 章案. 章息. 章用 178析 181业IT统. 182景 章性. 章I.2.3考虑的解决方案183I.2.4上下文详细信息. 第185章用 186析 192网. 章景 话性. 章I.3.3考虑的解决方案193I.3.4上下文详细信息. 话用 196析 199录J性. 201J.1击2015. 201J.2击2016. 203TTP2系统安全工程方法TTP2系统安全工程方法页面页面PAGE\*romanxi页面x页面x免责声明ISO/IEC/IEEE15288:2015[ISO15288]E经EE如何使用本出版物NIST800‑160第1（[ISO30[ISO前言美国开发了极其强大和复杂的系统，其中包括与国家经济和国家安全利益密切相关的网络资源系统。公共和私营部（[DSB13（）（）使用互联网上可用的漏洞进行练习；和（为了开始应对21世纪的挑战，组织必须：（）；以及系统开发生命周期内的技术流程；和系统安全工程方法系统安全工程方法TP2TTP2系统安全工程方法资产。NIST800‑160第1卷开始(ISO)(IEC(IEEE[ISONIST（）；（）（）制和应用到以工程为中心的系统生命周期过程或现有的安装基础来支持多种观点。罗恩·罗斯美国国家标准技术研究院在21世纪保卫国家四年一度的国土安全审查报告2010年2月TTP2系统安全工程方法系统安全工程方法系统安全工程方法TP2网络弹性日益重要的系统属性[SP800‑39]（D.1（）(APT（D.2系统弹性和网络弹性比较和对比（家）（）（APTTTP2系统安全工程方法TTP2系统安全工程方法第十七页第十七页网络弹性系统ISO15288与运营/网络弹性之间的关系[ISO（/TTP2系统安全工程方法TTP2系统安全工程方法第十八页第十八页应用网络弹性结构的次要影响（（息网络弹性在系统开发生命周期中的应用与美国空军和AFRL合作的用例NIST(AFRL（IT系统（DevOps、DevSecOps）TTP2系统安全工程方法TTP2系统安全工程方法第xx页第xx页执行摘要NISTT第2E‑T1‑T信1800‑37NIST800‑1602（）形式的逆境下的生存能力。”体系的构建和实践。网络弹性分析旨在确定感兴趣系统的网络弹性属性和行为，无论其处于生命周期的哪个阶段，是否足以让使用该系统的组织满足(APT该概念框架由几个技术附录补充，提供了支持其应用的附加信息，包括：（[SP800‑160v1]；[SP（）；（）2015年和2016年乌克兰电网遭受网络攻击的公开描述。系统安全工程方法系统安全工程方法TP2TTP2系统安全工程方法第1第1页第一章勘误表800‑160第2期 型 订 页第一章介绍对网络弹性系统的需求对值得信赖的安全系统的需求源于各种利益相关者的需求时间由使命、业务和其他目标和关注点驱动。原则，T[SP800‑160v1[SP800‑1604NIST800‑16025[ISO15288]。3资产是指对利益相关者有价值的物品。资产可以是有形的（例如，物理项目，例如硬件、固件、计算ț台、网络设备或其他技术组件，或者组织（））[SP800‑160v1[ISO5本出版物中使用的“逆境”一词是指不利的条件、压力、攻击或妥协，并且与[SP800‑160v1]中使用的术语“†扰”、“危险”和“威胁”一TTP2系统安全工程方法TTP2系统安全工程方法第一章第第一章第2页第一章第第一章第3页网络弹性支持在竞争环境中执行以下任务的任务保证：（）6（1（2

8网络弹性（）7INCOSE(RSWG[INCOSE11]。”[SP800‑160v1]。(APT（APT[SP800‑39[CNSSI4009]。APT[DSB13VVIAPT系统的关键性，将网络弹性视为可信度的一个方面，需要与安全性、可靠性和安全性等其他方面结合起来进行保证。系统安全作为一个设计问题“全面的安全需要硬件、软件、通信、物理、人员和管理程序保障措施的结合。特别是，仅靠软件保障措施是不够的。”威尔报告0年。P0P]（）（）系统、网络物理系统[CPS]、[不]

11物联网[IoT]或物联网（（[CIS]）。10请注意，此列表并非详尽无遗或相互排斥。第2.2节和第3.1.3节更详细地讨论了系统的情况和类型。(CPSCPSCPS[SP1500‑201]。12物联网(NoT)是一个由设备组成的系统，这些设备包括传感器和通信功能、（）[SP800‑183]CPS(IoT[SP800‑183[IR8259]。[SP800‑160v1[SP（RMF）在[SP800‑37]中。13本出版物中使用的术语“系统安全工程师”包括那些执行[SP800‑160v1]中任何活动和任务的安全专业人员。执行影响可信度的其他系统生命周期活动或执行与系统工程师和系统安全工程师的教育或培训相关的活动的专业人员也可以使用本出版物。这些包括但不限于：[SP[SP800‑160[SP（的.1（[SP800‑37]、[SP[NISTCSF14系统安全工程和风险管理适用于多个组织组成的系统（本特别出版物的其余部分组织如下：技术和实施方法，并提出将网络弹性概念、构造和实践应用于系统的可定制流程。DH‑附录一：网络弹性用例；和15除非另有说明，所有对NIST出版物的引用均指这些出版物的最新版本。TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第10页第二章第PAGE第15页第二章第二章基本原理A与网络弹性相关的基本概念A使用网络资源或由网络资源启用。本节介绍了一个概念框架（”）。（网络弹性工程实践包括方法、流程、建模和分析[ISO15288，SP800‑160v1]（包括.4（例如，[SP）D.117一些建模和分析实践中可以使用其他结构（例如，子目标、能力）。[SP800‑160v1（（）每个构造的目的以及每个构造如何在系统级别应用。表造 义用标 义（注（期受复应明。客观的

（）(MOE)应用：用于评分方法或分析摘要（例如，网络弹性态势评估）。标 义明法。目的：作为将目标分层细化为可定义绩效指标的活动或能力的一个步骤。应用：用于评分方法或分析；可能会体现在系统的功能需求中。活动或定义：能力或行动的陈述支持子目标的实现，因此，的一个目标。目的：促进指标或MOE的定义。应用：用于评分方法或分析；体现在系统功能需求上。18本出版物中描述的概念性网络弹性工程框架基于MITRE公司[Bodeau11]开发的网络弹性工程框架并与之一致。表造 义用

定义：反映风险管理策略的一个方面的高级声明，为组织、任务或系统提供系统安全工程实践。应用：包含、引用或重述在系统非功能性需求中（例如，分析或文档的工作说明书[SOW]要求）。

定义：捕获定义系统架构和设计经验的声明。目的：在整个系统生命周期中指导并告知设计和实施决策。重点介绍不同的网络弹性技术和实施方法。（]）术 义术践力。目的：描述技术、实践、产品、控制或要求的特征，以便了解它们对网络弹性的贡献。应用：用于工程分析，筛选技术、实践、产品、控制、解决方案或需求；通过实施或集成技术、实践、产品或解决方案在系统中使用。行 义集义。法目的：描述技术、实践、产品、控制或要求的特征，以便它们对网络弹性的贡献及其对威胁事件的潜在影响是可以理解的。应用：用于工程分析，筛选技术、实践、产品、控制、解决方案或需求；通过实施或集成技术、实践、产品或解决方案在系统中使用。解决方案

定义：解决网络弹性领域问题的技术、架构决策、系统工程流程以及操作流程、程序或实践的组合。组织风险管理策略可以使用网络弹性目标和相关策略来纳入网络弹性。19对于网络弹性工程分析，网络弹性

20不是目标，而是起点。逆境一词，如所用19参见附录D。20参见第2.1.2节。（即表标 述料 态。受 境能。复 能。应 和/术化。表表的 述预防或避免阻止攻击的成功执行或不利条件的实现。备 境。续 性。束 23。（[FIPS199][ISO24765]）[Clemen13[Brtis16]22目标与目的之间的具体关系见附录E。23从网络弹性的角度来看，损害可能对组织（例如，声誉损失、生存风险增加）、任务或业务功能（例如，完成当前任务和完成未来任务的能力下降）、对安全（例如，）（源）（）。表的 述构 能。解 态。换 程化。重新架构

修改架构以更有效地应对逆境并应对环境变化。（24定制网络弹性目标‑对于植入式医疗设备，可以按如下方式定制“继续”目标：使患者或医疗保健提供者能够采用故障安全机制。约束目标可以定制为如下：确保设备在受到网络攻击、中断或†扰的情况下仍能安全地发生故障。（第2.1.4提供功能来实现一个或多个目的或目标。网络弹性工程框架中有十四种技术，如下所示：24附录E中的表E‑1提供了子目标的代表性示例。有效的方式；对手；利用常见漏洞；E（）（）。25（附录表26回复重新配置自适应管理

传感器融合

协调的保护深度一致性分析编排自我挑战

语境化意识动态的资源使命

欺骗

建筑信息供应链多样性

动态的定位功能性搬迁传感器功能性搬迁网络资源资产流动性碎片化分散式功能性非‑ 权 持 制

余

已证实正直

不可预测性非持久基于信任特权目的性卸载非持久基于信任特权目的性卸载受保护备份和恢复预定义分割完整性检查颞不可预测性管理动态的语境化非持久基于属性限制剩余分段和隔离追踪不可预测性服务用法替代品容量行为的非持久限制专业化复制验证连接性动态的特权图（（））APT26关于是否以及如何应用不太成熟的技术和实践的决策很大程度上受到组织风险管理策略的影响。参见[SP800‑39]。有选择地应用技术和方法（计的陈述（其中“系统”广义地解释为包括操作过程和程序，也可能包括开发和维护环境）。设计原则是使用特定于专业的术语、经验和研究结果为许多专业工程学科定义的。对其应用的程序、系统或系统系统更有意义的术语进行定制或“重新表达”。[SP800‑160v1（（）14]量身定制设计原则并有选择地应用以模块化方式设计微电网组成系统，以适应以不同速率变化的技术和使用概念。虚拟化和云服务以及它如何提供异地备份。或者，对相同设计原理如何适用于卫星星座的描述可能会涉及卫星的机动性。网络弹性以目标、目标、技术、实施方法和设计原则的形式构建，使系统工程师能够表达网络弹性概念（ț图[SP800‑39]如图2所示（网络弹性解决方案告知选择

风险管理战略策略设计

实现战略如何

目标可以进一步分解为子目标和能力。和优先顺序原则优择 序

（选择、优先级划分和应用结构设计原则

技巧方法告知选择和优先级图图2828参见第3.2节。系统生命周期过程递归、迭代、并发、并行、顺序执行组织议 动程

管理流程

流程

生命周期阶段

规划评估与控制‧决定需要和要求定义管理管理‧人类要求任务分析者 念应用发展应用资源管理生产管理‧设计定义管理‧系统分析利用率管理‧执行保证支持‧过渡‧验证术 休E图3：系统生命周期过程和生命周期阶段根据系统生命周期阶段，以不同的方式解释网络弹性构造并应用网络弹性工程实践。在概念阶段，网络（题，并定义了解决这些问题的策略。在开发阶段，根据设计原则实现优先级的程度，确定相关的结构性网络弹性设计原则（即可应用于所选系统架[SP件的基线可靠性。此外，在开发阶段，将对网络弹性解决方案的实施进行分析和评估。网络弹性解决方案的验证策略通常包括在包（）（）。（）（（）（）的担忧可能会改变网络弹性目标的相对优先级。威胁的变化留的情况下。表4说明了不同网络弹性结构的重点变化，特别是网络弹性目标（粗体）。表段 用念 ‧标。展 ‧案。/产 ‧性。（利用率/（）客观的）。持 ‧整果求。（）。表生命周期阶段退休

网络弹性结构的作用（）。组织管理与任务相关的使命、业务功能和运营风险赖， 29（）组织处理/处理的信息或立法、法规、政策或标准产生的要求相关的安全风险；和网络安全风险。（）（）（3029这些风险通常由组织作为企业风险管理(ERM)计划的一部分来解决。30参见第3.2.1节和附录D.4。TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第30页第三章第PAGE第25页第三章第三章实践中的网络弹性应用网络弹性概念、结构和实践该章确定了确定哪些网络弹性结构的考虑因素时间与利益系统最相关，并描述了应用网络的可定制流程系统的弹性概念、构造和实践。与网络弹性相关的各种关注点、技术和实践形成了广泛的网络弹性工程框架。例如，工程框架E之上、补充或发挥作用：确保其他质量属性（例如，安全性、安全性和系统弹性）。可以应用网络弹性的适合目标系统的一组网络弹性技术和实施方法时要考虑的因素。31（表[SP800‑39][SP800‑160v1][ISO73][SP（34（（IT企业IT(EIT)（）LPSE33见附录H。34参见附录E。（（）（(CPS（（入式系统检测损坏的软件组件。(IoT混（（（）用分段和一致性分析。“继（将增加组织的攻击面。情对于所有决策因素而言，没有一种技术或一组技术是最佳的。使用任何给定的技术总是会产生影响。确定适当的（（[COOP]）和（（和方法。COOPCOOPAPT（P）（（TTP）。(DMZ是TT（（35美国国家航空航天局(NASA)航天飞机计划在多台计算机中应用了这一概念，这些计算机将对某些动作进行投票。（RAID（COOP等学科中（）。（（不同的网络弹性技术或方法适合在不同的架构层实施。37一些方法可以在多个层次上实施，例如现的方法相对较少。其中包括动态重新配置、架构多样性、设计多样性、复制、预定义分段和完整性检查。（TTP（ț）统架构、设计和操作环境的背景下预期的实际效果。APT的接（为系统工程师提供了根据对手不断变化的行动演进和定制效果的灵活性。这类似于团队运动，其中一支球师可以选择一组能够共同实现这些效果的技术。3838见附录H。IT环境对于欺骗和不可预测性网络弹性技术的应用尤其如此。因此，减少APT带来的风险应与†扰此类系统相关的风险相ț衡。（APT5所示APTRMF（APT）（（例）39参见附录D.3。与网络弹性相关的流程和实践可以利用基于模型的系统工程(MBSE)提供的系统表示和集成到MBSE中的分析方法（包括涉及人工智能[AI]和机器学习[ML]的方法）。RMF（[SP800‑18][SP800‑34][SP800‑161]RMF[SP800‑37][SP800‑30][NISTCSF]。RMF任务RMFRMF表分析步骤了解语境

激励性问题

任务‧解释网络弹性结构并确定其优先顺序。

评估。

建议的行动计划是什么？解决方案。提供足够的网络弹性属性和行为的问题本质上存在于编程、操作、架构和威胁环境中。此步骤旨在确保充分理解上下[SP800‑160RMF[SP800‑37分类步骤下的活动集成。程序化上下文标识了如何获取、开发、修改或重新利用感兴趣的系统，包括生命周期阶段、生命周期模型或系统开发方法（DevOps）（）。特别是，程序上下文识别负责指导、执行和确定与系统相关的工程工作结果的可接受性的实体（例如，程序办公））（））40（（作为管理技术或性能风险的一部分，不太成熟的技术、不太常用的产品或不太常用的操作实践。41（）不同利益相关者如何构建风险，包括他们关心哪些威胁和潜在危害或不利后果，他们的风险是什么.8容忍度以及他们愿意做出的风险‑风险权衡将能够定义威胁模型，并在后续步骤中解释网络弹性结构并确定优先级。程序化背景的识别突出了程序化风险管理策略中限制可能解决方案的方面。一方面是安全性、保密性、可靠性、可维（（或（层。如果此信息尚不可用，将在后续步骤中开发。42（如 应用程序、企业服务、作为企业IT(EIT)或大规模处理环境(LSPE)一部分的通用基础设施、整体EIT或整体LSPE）。系统类型（）（件）（）（DMZ42参见第节。43已为CPS定义了多个聚合级别：设备、系统或系统系统[CPSPWG16]。例如，智能电表就是CPS设备的一个例子；车辆是CPS的一个示例；智能电网是系统级CPS的一个例子。44参见第3.1.3节。“其他系统”可以包括构成系统的开发、测试或维护环境的系统。（）（）（）（即它的时间背景）。（网各不相同;[SP800‑160v1]（设施[NISTCSF]的背景下）。[OMBM‑19‑03]PII（）（(MOE(MOP)（）45有时可以改变任务的目的MOEMOPMOEMOP（MOE/MOP使用上下文还提供了系统用户群体的一般特征，包括其规模、范围以及假设的用户对网络威胁的认识和响应能力。使用上下文还表明网络防御者是否积极参与监控系统并对不利条件或行为的指示和警告(I&W)做出响应。支持上下文同样提供了管理和维护人员的一般特征，描述了如何执行系统维护或更新，以及45参见第节和第节。(ECU)（）（例）（）（确定。威胁上下文可以：46参见第节。（）TTP(NSA/CSS（NTTCTF，（ATT&CK类)R短语或句子。一组一般攻击场景（例如，[Bodeau18a]中确定的）为了确保网络弹性概念和构造在已识别的环境中有意义，可以执行以下一项或多项子任务：48会分配给网络弹性分析旨在支持的工程或风险管理决策范围之外的系统元素。47参见第3.1.1节。表（（这涉及考虑架构、操作环境和威胁环境。描述并评估了技术和方法与这种情况的相关性。相关技术和方法可以根据架构元素进行重述和描述（例如，将实现方法分配给特定系统元素或识别可以应用技术的架构层）。然而，详细描述通常推迟到网络弹性分析的后期阶段。493.1（COOP（RMA）和/50能力可以根据可以实施的网络弹性技术和方法和/或可以应用的网络弹性设计原则来表征。（）。（RMF任务M‑2和M‑3）[SP800‑37TTP[DHS18]。49参见第节。50参见第3.1.6节。由于高层领导通常意识到问题和差距，因此推荐的网络弹性解决方案需要根据解决方案如何以及如何解决问题来进行描述。问题和差距，以及推荐解决方案提供的其他好处（例如，提高稳定性、提高性能）。建立一个或多个评估标准并用于进行初步评估。网络弹性可以通过多种方式进行评估，包括：（（），51可以提供能力，或执行支持实现网络目标的活动（）（（第13（）（55或者或随后，更多（（（）。（）[SP800‑30]。）54见附录H。55见附录H.2。（（对后续生命周期阶段的财务投资（例如，获取、集成、运营和维护网络弹性解决方案）、机会成本（例如，对未来工程）（）。（APT[OMB根据此分析和先前基线评估的结果，确定了架构改进的机会。（）[IR8179](MIA)(BIA[SP800‑34](CJA(CMIA)。（即（）（最后，可以识别可以应用网络弹性解决方案的攻击面。（）（操）3.2.1PII57根据分析的范围，59或利用脆弱性来源的场景。

58这些攻击场景可以对手的观点攻击者可以造成什么损害、有多容易造成损害以及付出什么代价可以用不同的方式表示，（[NSA18]）TTP（例））60析)（E.5.1.3。58如第节所述，网络弹性分析可以集中于单一攻击场景。59参见OMBM‑19‑03。60但是，特定恶意软件应仅被视为激励示例。网络弹性工程假设可以使用不可预见的恶意软件，并寻求减轻对手行为的类型。62更详细地，分析过程中的该任务可以包括以下子任务：315.（则。64（65（）（（）（例）。对于利益相关者来说，以特定于架构和操作环境的术语描述的期望改进的陈述比关于改进网络弹性技术的使.1（）。在此步骤中，将确定进行所需改进的具体方法（架构变更、在现有架构的背景下实施网络弹性技术的方）67该系统取决于系统的类型。70

69相对不成熟的程度对潜在解决方案的描述可以包括识别预期解决的差距，72威胁（例如，攻击场景、对手目标或TTP类别，或减少关键资源、来源的暴露）动决， 7366参见第节。.869见第3.1.3节。70参见第2.3节和第节。71见第3.2.1节。72见第节。73参见第节。75(CUI[SP800‑MP])（[SME]）（）（或者或为了支持评分，可以评估与网络弹性子目标相关的活动或能力的性能指标。（例如，[NSA18]）(ROI（）。TTP[NISTCSF]中定义的功能。这可以表示为分数的变化或使用威胁热图[DHS18]。（）对风险有相关影响。

78对对手活动的影响77见附录H。78参见表H‑1。压力下的功能表现测量。正如附录E.5.1中所讨论的，一些此外，还可以识别或评估解决方案的潜在成本。（此外，还可以识别与替代解决方案相关的计划和运营风险。此步骤的结果是建议的行动计划。（3.1.4表）（涉及其他学科的投资）

80由于系统的变化，应确定79见第3.1.8节。80参见第3.1.5节。82（题述， 83（.TTP2系统安全工程方法TTP2系统安全工程方法附录A第附录A第52页附录A第附录A第49页附录A参考法律、政策、指令、法规、标准和指南法律和行政命令[FISMA]

L4年2月。[信息自由法96]

/app/details/PLAW‑113publ2835C§10.6/app/details/PLAW‑104publ231第0（2017511/app/details/DCPD‑201700327/法规、指令、指示、计划和政策[OMB

)（）B6年月。[CNSSI

/sites//files/omb/circulars/A130/a130修订版.pdf)（·G）S指1253[CNSSI4009]8140.01][HSPD23]

/CNSS/openDoc.cfm?HSjOTWr2HMkv0zk2nLvB8A==国家安全系统委员会(2015)国家安全系统委员会(CNSS)术语表。（国家安全局，乔治堡）Meade,MD)S/CNSS/openDoc.cfm?pR8Egv4JDxhquaRPbbdq8A==)5年8/Portals/54/Documents/DD/issuances/dodd/814001_2015_dodd.pdf令4令HSPD‑238年1月。[OMBM‑19‑03]管理和预算办公室(2018)高价值管理（）BM‑19‑038年2月。/wp‑content/uploads/2018/12/M‑19‑03.pdf[PPD8]

)1年38年8月。[PPD21]

)3年2[ISO

标准、指南和报告)–9年1月。[ISO[ISO

/standard/44651.html(2015ISO/IEC/IEEE5––（ISO）。可用于/standard/63711.html(2017ISO/IEC/IEEE7––（ISO）[FIPS

/standard/71952.html美国国家标准与技术研究所(2004)联邦信息和信息系统安全分类标准。（）)[SP

/10.6028/NIST.FIPS.199SwansonMAHashJBowenP(2006（T)[SP

/10.6028/NIST.SP.800‑18r1(2012（），T)[SP

/10.6028/NIST.SP.800‑30r1SwansonMABowenPPhillipsAWGallupDLynesD(2010（美）T0年1月1/10.6028/NIST.SP.800‑34r1[SP

(2018（）T)[SP

/10.6028/NIST.SP.800‑37r2联合任务组转型计划(2011)管理信息安全风险：组织、任务和信息系统视图。（）T)[SP800‑53][SP800‑82][SP800‑95][SP

/10.6028/NIST.SP.800‑39(2019（）TStoufferKALightmanSPillitteriVYAbramsMHahnA(2015(ICS（）T)/10.6028/NIST.SP.800‑82r2SinghalAWinogradTScarfoneKA(2007Web（）T)/10.6028/NIST.SP.800‑95ChandramouliR(2016(VM（）T)[SP800‑160

/10.6028/NIST.SP.800‑125BRossRSOrenJCMcEvilleyM(2016（）T)卷。[SP[SP

8年3月1BoyensJMPaulsenCMoorthyRBartolN(2015（）T)/10.6028/NIST.SP.800‑161RossRSDempseyKLViscusoPRiddleMGuissanieG(2016（）T)8年6月7/10.6028/NIST.SP.800‑171r1[SP[SP

,J（）T800‑183。/10.6028/NIST.SP.800‑183RoseSBorchertOMitchellSConnellyS(2019（）T)[SP[SP1190]

/10.6028/NIST.SP.800‑207‑draftBurnsMJGreerCGrifforERWollmanDA(201711.0（）T)/10.6028/NIST.SP.1500‑201·Dl)（）T)[IR

/10.6028/NIST.SP.1190v1(2014（）T)[IR[IR

/10.6028/NIST.IR.7628r1BrooksSGarciaMLefkovitzNLightmanSNadeauE(2017（）T(IR8062。/10.6028/NIST.IR.8062PaulsenCBoyensJMBartolNWinklerK(2018（）T8179。[IR

/10.6028/NIST.IR.8179YagaDJMellPMRobyNScarfoneKA(2018（）T)[IR

/10.6028/NIST.IR.8202FaganMMegasKNScarfoneKASmithM(2019（）T(IR8259。/10.6028/NIST.IR.8259‑draft[MIL‑STD‑882E]国防部(2012)MIL‑STD‑882E–标准实践：系统安全（美国国防部，华盛顿特区）。可用于/cop/esoh/Pages/Topics/System%20Safety%20Methodology。ASPX其他出版物和网站15][博多11]

AlexanderO(2017)ICSATT&CK[演示]。可用于/2017/workshops/icss/Otis‑Alexander‑ICS,%20Adversarial%20Tactics,%20Techniques.pdfAssanteMJ,LeeRM(2015)工业控制系统网络杀伤链。可用于kill‑chain‑36297AviienisALaprieJCRandellB(2004IFIP会，tR（Springer）0页。/10.1007/978‑1‑4020‑8157‑6_13BodeauDGraubartR(20111.0。[博多15]

/sites/default/files/pdf/11_4436.pdfBodeauDGraubartRHeinbockelWLadermanE(2015（MITRE）MITREMTR‑140499R1。[博多16]

可用于uDtR)（MITREMITREMTR‑150264[博多17]

/sites/default/files/publications/15‑0797‑cyber‑prep‑2‑激励组织网络策略.pdfBodeauDGraubartR(2017（MITRE）MITREMTR‑170001

0103%20%20MTR17001.pdfBodeauDJMcCollumCDFoxDB(2018（MITRE）RBodeauDGraubartRMcQuaidRWoodillJ(2018（MITRE）MITRE[博多19]

BodeauDGraubartRLadermanE(2019（MITRE）MITREMP‑190668[BAH16][Brtis16][CPSPWG16]

/sites/default/files/pdf/CR‑Cyber‑Survivability.pdfidsS5（）/content/dam/boozallen/documents/2016/09/ukraine‑灯灭时报告.pdfsJ)（MITRE）MITREn,yT（Southne）38(2016）[CSFSGP]

/nist‑sgcps/cpspwg/files/pwgglobal/CPS_PWG_Framework_for_Cyber_Physical_Systems_Release_1_0Final.pdfMarronJGopsteinABartolNFeldmanV(2019/10.6028/NIST.TN.2051

)DHS（）0(2018)(.govCAR（）。

084/cop/test/DAU%20Sponsored%20Documents/CSTE%20Guide书%202.0_FINAL%20(2018年4月25日).pdf)（）)

/Portals/54/Documents/DD/issuances/dodd/302040_dodd_2016.pdfDragos,.)[DSB13]

/wp‑content/uploads/CrashOverride‑01.pdf国防科学委员会(2013)弹性军事系统和高级网络威胁。（美国国防部，华盛顿特区）。可用于/dsb/reports/2010s/ResilientMilitarySystemsCyberThreat。pdf[ESET17]

vA)（ESET）

/wp‑content/uploads/2017/06/Win32_Industroyer.pdfryE[民谣15][高18][霍勒15]

FolkCHurleyDCKaplowWKPayneJF(2015（AFCEA）。pdf政府问责办公室(2018)武器系统网络安全。（）8年0/assets/700/694913.pdfHeckmanKEStechFJThomasRKSchmoderBTsowAW(2015（Springer）HöllerARauterTIberJKreinerC(2015E5（）0

/10.1007/978‑3‑319‑23129‑7_2HutchinsEMCloppertMJAminRM(2011RyanJ（）4页。

（2018（）0

T)E[IEEE90]

https://ics‑cert.us‑/alerts/ICS‑ALERT‑17‑206‑01)EE（IEEE，）。[IEEE17]

电气和电子工程师协会、计算机协会(2017)企业IT知识体系–术语表。企业IT知识体系。可用于/Glossary#eit] 会程。（INCOSE哥州）。[因科斯14][ISACA][ISO

会册 南。（司肯）第4版。ISACA(2019ISACA/pages/glossary.aspx)O2––（ISO）2版。[07] JacksonS(2007)架11(2):91‑108。[杰克逊13]

JacksonS,FerrisT(2013ahpgg（（Springer）4页。[JCS17]

/10.1007/978‑1‑4614‑0977‑9JajodiaSGhoshAKSubrahmanianVSSwarupVWangCWang）（Springer4页。(2017(CSEIG)。（）[王12]07]

KingS(2012)国家和国防科技战略与举措。LevesonNG（）0页。MadniAM(2007ISTI（(UCLA)，）。

MadniAMJacksonS(2009IEEE3(2):181‑191MillerCVasalekC（）[MITRE07]

/secure_self_driven_cars.pdfMITRECorporation(2019)常见攻击模式枚举和分类(CAPEC)。可用于[MITRE18]

/index.htmlMITRECorporation(2018)对抗性策略、技术和常识(ATT&CK)。可用于

MusmanSAgbolosu‑AmisonSCrowtherK(2019性》，tvI（Springerl）

第3章，第41‑65页。/10.1007/978‑3‑319‑77492‑3nP)（SRI），CDRLA001可用于/users/neumann/chats4.pdf美国交通部国家公路交通安全管理局。可用于[NIAC10]

/technology‑innovation/automated‑vehicles‑safety(NIAC)(2010（美）

infrastruct‑resilience‑goals‑2010‑10‑19.pdf（2016

(20181.1。（）。[NIST

/10.6028/NIST.CSWP.04162018美国国家标准与技术研究所(2019)计算机安全资源中心(CSRC)。可用于[国家安全局18][ODNI17][投手19]

(2018)NSA/CSSv2。（国家情报总监办公室(2017)网络威胁框架。可用于/index.php/cyber‑threat‑frameworkOkhraviHRabeMAMayberryTJLeonardWGHobsonTRBigelowDStreileinW)（）/ha22286/www/papers/LLTechRep.pdfPitcherS(2019)国防部关于武器系统网络生存能力的新方法[演示文稿]。可用于/wp‑content/uploads/2019/03/Pitcher‑Steve.pdf[兰德18]

rlMSna)（兰德公司，加利福尼亚州圣莫尼卡）。网址：/content/dam/rand/pubs/research_reports/RR2600/RR2662[利玛窦14]

/RAND_RR2662.pdfRicciNRhodesDHRossAM(2014Procedia28：314‑321。/10.1016/cs.2014.03.039RichardsMGRossAMHastingsDERhodesDH(2008IEEE（IEEE）8页。

/10.1109/SYSTEMS.2008.4518999RichardsMGHastingsDERhodesDHRossAMWeigelAL(2009（诸塞州剑桥）。可用的[SAEJ3061][SAEJ3101]

在/3734/7b58123c16e84e2f51a4e172ddee0a8755c0.pdfSAEInternational(2016SAEJ3061_201601（SAE）。SAEInternational(2012SAEJ3101（）（SAE）。[SANS16]

StampJEVeitchCKHenryJMHartDHRichardsonBT(2015。（）/servlets/purl/1494354SANS(E‑ISAC)(2016（E）。[SANS17]

DocumentsSANS(E‑ISAC)(2017)ICS6S（E）[SE博克]

/media/E‑ISAC_SANS_Ukraine_DUC_6.pdfE).dr（）BKCASE/wiki/Guide_to_the_Systems_Engineering_Body_of_Knowledge_(SEBoK)

dS)E8（）3页–1257.[谢蒂16]18]

/10.1002/j.2334‑5837.2008.tb00875.xyigM（Springer），76/10.1007/978‑3‑319‑31032‑9rS)（MITRE）17‑1329‑20。zHutchinsonD)resilinets/

SterbenzJPGHutchisonDÇetinkayaEKJabbarARohrerJPSchöllerMSmithP(2010

HutchisonSterbenzJPHutchisonDÇetinkayaEKJabbarARohrerJPSchöllerMSmithP(2014

电信系统杂志56(1):17‑31。/10.1007/s11235‑013‑9816‑9StromBEBattagliaJAKemmererMSKupersaninWMillerDPWamplerCWhitleySMWolfRD(2017)K（MITRE）MITRE告MTR‑170202。可用于[Swearingen13SwearingenMBrunassoSWeissJHuberD(2013AURORA（r可用于https:///what‑you‑need‑to‑know‑and‑dont‑about‑the‑aurora‑漏洞[特明10]

TeminA,MusmanS(2010)用于捕获网络影响效果的语言。（MITRE）MITREMTR‑100344。[Zimmerman14]ZimmermanC(2014)世界级网络安全的十大策略（MITRE）心.pdf[仓库70]

WareW(1970)计算机系统的安全控制：国防科学委员会计算机安全工作组的报告。（兰德公司，加利福尼亚州圣莫尼卡）。可用于TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第56页附录B第PAGE第63页附录B附录B词汇表常用术语和定义A附录B提供了NIST特别出版物800‑160中使用的术语的定义，A第2卷。本出版物中使用的术语来源均按适用情况引用。哪里没有ln2卷。适应性

[SP800‑39]

请参阅高级持续威胁。注1：“高级网络威胁”一词意味着对手执行网络攻击，或者对手颠覆供应链以损害网络资源。（IT标所需的互动水ț。注（VI“APT“APTT（“APTT境 件力协。注P0注捷 性置源组件义案意动。[SP800‑160

请参阅网络弹性实施方法。（（））损失问题而确定的。系统生命周期。这些担忧包括但不限于业务或使命担忧。攻击面[GAO18]（SP800‑53)

（（（）（）（（）（区块链[IR8202]

（）。（）[ISACA]

关键性[SP800‑160

网络事件[CNSSI4009]

网络弹性

网络弹性概念与问题域和/或解决方案集相关的概念网络弹性。网络弹性概念以网络弹性风险模型以及网络弹性构造来表示。网络弹性构建网络弹性工程框架的元素（即目的、目标、技术、实施方法或设计原则）。附加的构造（例如，子目标或方法、能制 [SP制法标。

践 法程术。法 集义。（型 型别。（除了系统安全工程师之外，这还可以容纳其他利益相关者。）（T网络弹性解决方案解决网络弹性领域问题的技术、架构决策、系统工程流程以及操作流程、程序或实践的组合。网络弹性解决方案提标 明法。网络弹性技术旨在实现的一组或一类技术和流程和/或使用它所包含的技术或流程的预期结果。网络资源

注：网络资源是存在于网络空间中或间歇性地存在于网络空间中的系统元素。网络风险

P、I全 防程。[CNSSI4009]网络安全事件

（（[CNSSI4009，HSPD23]

[CNSSI4009]

（）害 害值能。（）；（）（例）（源）（）。设计原理

P0]述。（）。使能系统[ISO15288]

企业信息化[IEEE17]容错[SP

联邦[SP

（域[OMBA‑130]

信息及相关资源，如人员、设备、资金、信息技术等。信息安全[OMB

统 集理护用享资[OMBA‑130] 源。业（PBX术 集储析估纵理动制示换换或[OMBA‑130]使命保证编]

供服务或提供产品中的使用。信息技术包括计算机、辅助设备（包括安全）（使用。（DoD“DoD胁 误胁。注：参见[SP800‑30]的附录D。操作技术其他系统操作技术其他系统[ISO15288]保护[SP800‑160品质属性[SP800‑160可靠性[IEEE90]弹力[OMB[因科斯14]否则有弹性[SP800‑160风险[CNSSI4009，OMB（）管理系统、消防系统和物理访问控制机制。相关系统在操作环境中与之交互的系统。这些系统可以向感兴趣的系统提供服务（）（））。在系统安全工程的背景下，适用于所有类型资产类型的控制目标以及相应的损（系统或组件在指定条件下在指定时间内运行的能力。在逆境中保持所需能力的能力。看到安全弹性。[ISO[ISO73]P[ISO73][SP800‑95]风险因素[SP风险框架[SP[SP800‑39]风险模型[SP风险应对[SP安全[SP800‑82，安全有弹性[SP800‑160安全[SP800‑160了解风险性质并确定风险级别的过程。识别因信息系统的运行而对组织运营（包括使命、职能、形象、声誉）、组织资产、个级别。RAdAC（风险模型中使用的特征，作为确定风险评估中风险级别的输入。（）（）避免可能导致资产损失并造成不可接受后果的情况。[ISO15288][CNSSI[ISO15288][CNSSI4009，SP安全控制[SP800‑160安全控制[OMBA‑130]安全功能[SP800‑160安全相关性[SP800‑160（（）由于建立和维护保护措施而导致的一种情况，这些措施使企业能够在信息系统的使用面临威胁所带来的风险的情况下履行其使命或关键职能。保护措施可能涉及威慑、避免、预防、检测、恢复和纠正的组合，这些措施应构成企业风险管理方法的一部分。注意：另请参阅信息安全和网络安全。一种旨在满足一组安全要求指定的需求的机制。（或者如何安全地存储系统元素以供处置。（）（系统或系统元素提供的能力。能力可以一般地表达为概念或在需求中精确指定。安全要求[SP安全要求[SP800‑160系统[ISO15288SP800‑160系统组件[SP系统元素[ISO15288SP800‑160指定机制、系统或系统元素的功能、保证和强度特征的需求。系统通过降低†扰的可能性或幅度来最小化有限持续时间†扰对价值交付（ț和为实现一个或多个既定目的而组织的相互作用元素的组合。构成系统的一组元素的成员。注注当涉及分立组件或大型、复杂、地理分布的系统时，同样适用。据利益系统[SP800‑160

在[ISO/IEC/IEEE15288:2015]的背景下考虑其生命周期的系统。系统的系统[SP800‑160v1，

术 术。件 况。[SP800‑30][SP800‑30]威胁源[CNSSI4009]可信度[SP800‑160

一组离散的威胁事件，与特定威胁源或多个威胁源相关，按时间部分排序。任何可能通过信息系统通过未经授权的访问、破坏、披露或修改对组织运营（包）TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第67页附录C第PAGE第68页附录C附录C缩写词ARP

基于属性的访问控制人工智能ATT&CK对抗策略、技术和常识C3能CAPECACISCMIACRRCSA中国证监会DIB

业务影响分析楼宇管理系统(BMS)命令、控制和通信持续诊断和缓解计算机应急小组关键基础设施系统皇冠珠宝分析命令行界面国家安全系统指导委员会运营连续性商业现货信息物理系统网络弹性审查国防工业基地非军事区DSB电子ISAC特快专递FDNAFPGAFISMAHVA暖通空调IdAMIACDIEEE

电力ISAC企业信息化能源管理系统联邦信息安全现代化法案信息自由法人机接口身份和访问管理集成自适应网络防御工业控制系统信息和通信技术入侵侦测系统国际电工委员会国际标准化组织LSPE米亚军用标准MBSE教育部拖把MTD尼阿克国家信托基金OPSEC奥特PPDRAdAC袭击RBACRMF

建模与仿真基于模型的系统工程机器学习有效性衡量标准绩效衡量标准移动目标防御国家航空和航天局国家基础设施咨询委员会美国国家标准技术研究院NSA/CSS技术网络威胁框架原始设备制造商管理和预算办公室运营安全运营技术专用交换机风险自适应访问控制独立磁盘冗余阵列基于角色的访问控制弹性管理模型投资回报远程终端单元SEISOCSP网络电话VPN

(INCOSE)弹性系统工作组美国汽车工程师学会监督控制和数据采集供应链风险管理系统安全工程系统理论事故模型和过程系统理论过程分析对手的声音互联网协议语音虚拟专用网络TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第73页附录D第PAGE第72页附录DD背景下的网络弹性他的附录提供了有关网络弹性的背景和上下文信息。它时间描述网络弹性的定义如何与其他形式的弹性相关；这网络弹性的显着特征，包括支撑这一专业工程学科的假设；网络弹性工程与其他专业工程学科之间的关系；以及网络弹性与风险之间的关系。网络弹性84被定义为“对包含网络资源的系统进行预测、承受、恢复和适应不利条件、压力、攻击或妥协的能力”。该定义可应用于各种实体，包括：（）：4“Resilience“resiliency“resilienceD.2COOP(CRR(SEICERT（）、[Bodeau16]。[SP800‑39[NISTCSF[SP800‑37SP800‑160v1[PPD8]。[CNSSI1253SP800‑37]适应不断变化的条件，承受中断并快速恢复[SP1190]。SP800‑53]。[DHS10]。[Sterbenz06]。[DOD8140.01]。发生事故，通过适当的学习和适应来度过†扰并恢复通过尽可能恢复中断前的状态来避免中断[Madni09]。（）保证。（）APT（ST（）与APTAPT在任何关于网络弹性的讨论中，一个基本假设是，尽管系统设计的质量、安全组件的功能有效性以及所选组件的可信（）（）组织系统并在组织的基础设施中占有一席之地。APTAPTAPT（对手的持续存在和长期存在（）以下示例说明了对手即使不通过网络空间攻击系统也可以在系统中长期存在或持久存在的情况类型：（（在系统操作环境初始化之前激活）。这极难检测到，并且可能会导致整个环境受到损害。‑（）（[HDL][FPGA][DSP]）。[SP800‑82][SP800‑53]。结果和交互，并有助于确保系统不会进入不可接受的状态（即，此类行为、交互或结果是可能的状态，）[SP800‑160v1]指出“安全操作的系统方面可能与系统安全操作的方面交叉、补充或直接冲突或矛（分，87系统可能需要运行（网络弹性和安全之间的关系取决于考虑的安全定义。[SP800‑37]将安全定义为“由于建立和维护保护措施而产生的条件，这些措施使组织能够执行其任务或关键功能，尽管其系统使用面临威胁所带来的风险。盖与网络弹性相关的风险管理策略。88网络弹性工程可以被视为系统安全工程的专业学科。[SP800‑160v1]将安全定义为“避免可能导致资87参见第2.1.2节。88见附录D.4。[FIPS199[FISMA]FIPS199（[SP800‑160v1]。91网络安全被定义为“通过预防、检测和响应来保护信息的过程攻击”[NIST（[OMBA‑130]。虽然[SP800‑160v1]广泛地看待安全、资产损失和保护，但许多安全文献和许多安全从业者都狭隘地关注信[FIPS199]。（[SP800‑160（SP800‑207]ZTA此外，一些网络弹性技术、方法和设计原则可以集成到ZTA的设计和部署中。[Madni07，Madni09]（92请注意，[SP800‑160v1]的附录G.3.1对这些安全目标进行了调整，以使其更广泛地适用。.4ț和[理查兹09]。D.4（[Pitcher19JCS17]）（（）（CSA）CSA（）。CSACSA功能更有效地抵御对抗性威胁行为。有关网络弹性和网络生存能力之间关系的更多信息，请参阅[Bodeau19]。[IEEE90]（障[SP800‑82]‑Avizienis04高级对手可以引发、模仿或利用错误。网络弹性工程从容错中汲取了一些技术或实施方法9595参见第2.1.3节。并利用这些功能，同时假设先进对手的行动可能不会被发现。（OPSECPP（M&S）(FDNA)；[IR8179](MIA)、(BIA[SP800‑34](FMECA)；FMECA(STPA)和(CJA)影响分析(CMIA)和供应链风险管理(SCRM)分析[SP800‑161]。（）（另一个系统。网络弹性解决方案旨在降低任务或业务功能、组织和个人依赖包含网络资源的系统的风险。这种网络风险以多种方（下临网络攻击。96（PT的危害类别。可以在该风险模型的背景下分析和评估网络弹性解决方案带来的潜在风险缓解程度。网络弹性风险模型建立在安全、网络安全、弹性工程和生存性风险模型的基础上。然而，网络弹性风险模型强调APT以及恶意网（）但APTTTPTAPT网络弹性的后果模型包含对信息和信息的后果信息系统（即，机密性、完整性或可用性的丧失，如[FIPS199]中所定义）。这些一般后果可以转化为对信息更具体的损害97威胁事件一词是指有可能造成不良后果或影响的事件或情况。威胁事件可由对抗性或非对抗性威胁源引起[SP800‑30]。98虽然许多不同的风险模型都可能有效且有用，但大多数模型共有三个要素。（）（）P99[EO13800]指出“网络安全风险管理包括为保护网络安全而采取的全方位活动”IT和数据免受未经授权的访问和其他网络威胁，保持对网络威胁的认识，检测对IT和数据产生不利影响的异常和事件，并减轻事件的影响、[EO13800、ODNI17、DSB13、NSA18、（[SPNISTNSA/CSS(NTCTF（）[Musman18]（使用。101APT（（生存能力考虑有限持续时间的事件，而弹性工程还考虑多个或重复的事件以及操作环境的变化。在任何一（）101弹性、可靠性、可用性、敏捷性和生存能力[SP800‑160v1]。这些特性也被称为跨许多工程领域的系统特性。102参见[SP800‑160v1]中的图2。TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第83页附录E第PAGE第82页附录E附录E网络弹性建设工程框架结构和关系他的附录提供了有关网络弹性构造的详细信息（即目标、目标、弹性工程框架。它还描述了这些构造之间的关系。（[SP800‑39]。广泛的风险视角。沟通和报告

一级织 理跨级别第二级使命/业务流程信息系统

第三级更详细、更精细的风险视角。图E‑1：全组织风险管理方法（）（（）。（）（（）。（））（（方式）。检测可以支持恢复策略的选择。然而，系统可以独立于检测来应用这些策略来改变攻击面。（（）。组织风险管理策略包括可能限制其考虑的网络弹性解决方案集的方面。这些方面包括：103（DevOps）。（）。表（）103参见[Bodeau16]。104参见[Bodeau18b]。表客观的

指标的代表性例子或 ‧避免

利益系统。益。配置更改是随机进行的。应用寿命限制的资源的百分比。准备维护一组现实课程的行动行动。

(CCoACCoATTP（参接受过CCoA职责培训的管理人员百分比。持续时间和基本使命的可行性用。

正确的。（CCoA（）（ț约束损害。客观的

指标的代表性例子重构恢复尽可能多能。

105

（任务关键型、安全关键型、支持）检查数据完整性/质量的数据资产。理解保持有用商业资源与尊重可能的逆境。

尊重威胁事件依赖关系或功能依赖关系图。自上次网络桌面演习、红队演习或执行受控自动中断以来的时间。可以检测到故障或潜在故障的指示。受监控网络资源的百分比。度。转换更有效地应对逆境和应对环境变化。/线程以提高敏捷性。程的百分比记录在案。105无需使用特定资源来识别损坏。例如，服务质量下降可能是系统性的。资源（客观的

指标的代表性例子重新架构将架构修改为

降低风险。风险。

（可以确定出处的系统组件的百分比。可以选择性隔离的系统组件的百分比。环境的更有效地改变。

一个或多个定制的关键任务组件的百分比实施替代方案。本节提供网络弹性技术的定义，这是基本的网络弹性构造之一，其中还包括目标、目标、方法和设计原则。目标支持目标，技术支持目标，方法支持技术，设计原则支持目的和目标的实现。这表（）。表术 的适应性反应

分析监控

情境意识构建和维护当前

意识。方式。

要求对手克服多重保障措施（即实施纵深防御策略）。增加对手成功攻击关键资源术 的

多样性利用常见的漏洞。

限制由于复制的通用组件故障而导致关键功能丢失的可能性。通过开发适合多个目标的PTTP性。动态定位

（非持久性

过早地采取行动和谍报手段。减少腐败、修改或妥协的风险。提供一种方法来减少对手的入侵和推进，并有可能从系统中删除恶意软件或损坏的资源。权限限制

限制授权个人的意外行为损害信息或服务的影响和可能性。调整组织使命或业务职能需要降低风险。

最大限度地减少关键任务和非关键任务之间的联系冗余

向量。适应不断变化的使命或业务功能需求。分段根据关键性和

（经证实的诚信

在发生冲突时有利于确定正确结果不同的服务或投入之间。检测对手提供受损数据、软件或硬件的尝试，以及成功的修改或制造。

增加对手对系统保护的不确定性他们可能会遇到这些问题，从而使他们更难以确定适当的行动方针。系统安全工程方法系统安全工程方法TP2TTP2系统安全工程方法附录E第附录E第87页第PAGE第88页附录E表B/应控识护骗性位B/应控识护骗性位性制整余割信性技术A适应性反应‑DUS分析型S‑SD监控语境化SU‑意识协调的US‑保护欺骗U/CC/S多样性SCSCCS动态的我们CS定位非持久性我们CC特权SU限制上/下 U

们 国/苏/U

U 们 U 们S UU U U

们 U U‑ U‑ S U ‑S

U S UU U S U SU U U SS U调整C调整CUCSCSS‑ 冗余分割S我们CSSUS‑已证实SS/USUSSSS正直不可预测性CSCCSU我们U钥匙：‑ U‑‑（（ABABA与技术或推动者结合使用B.ABAABAB本节确定了实施网络弹性技术的代表性网络弹性方法。网络弹性方法是网络弹性技术中包含的技术和流程的表[SP800‑53[SP方法所涵盖。表巧 法 子适应性反应

动态重新配置

滤规则。配 ‧置。配需 ‧级。衡。终止关键功能或流程。适应性管理分析监控

监控和损坏评估对手的活动并检测和评估逆境造成的损害。(CDM(IDS传感器融合与分析意识。TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第93页附录E第PAGE第90页附录E巧 法法医和行为分析

例子协同保护确保保护方式。

留下恶意软件和其他工件在会话过程中进行身份验证质询以确认身份。入侵检测。资源。一致性分析确定是否以及如何管理(IdAM)管理工具。/支持持续审查用户权限分配是否一致。编排任务/业务流程的运营和组织连续性流程。

战 ‧检。以受控方式对任务/业务流程或系统元素产生不利影响，以验证情境意识

动态资源感知维护有关的当前信息资源、资源状态和资源连接性。巧 法 子

动态威胁意识维护有关的当前信息任务依赖性和状态可视化维护有关的当前信息特派团或业务的状况灾难。数据。（/欺骗

混淆（通信模式。内部网络上的组件。扰。虚假信息故意向对手提供误导性信息。动。将无用信息存储到数据存储中。系统。（“（涵盖欺骗环境。污染资源。（（DNS）、（ARP））。文件中的隐写数据，以便能够通过开源分析找到它们。利用常见的漏洞。

//巧 法 子设计多样性

N（）。（综合多样性信息多样性

非数字获得的数据的转换方法。路径分集（）。供应链多元化动态定位

传感器的功能重新定位

（IDSIDS不良事件。移 ‧（如机）源更改提供功能的网络资源的位置

不同的物理成分）。（不同存储区域网络上的备用数据存储）。资产流动性（一个房间或设施到另一个房间或设施。碰撞或其他物理伤害，同时保留其位置信息。碎片化

分布式数据库的分区。

在不同的系统组件上。技巧非持久性

方法非持久性信息

生成并保留资源时间。

其删除。非持久性服务

处理后。贮存。会话终止。非持久连接权限限制

基于信任的权限管理环境因素。

符合最小特权原则的标准。基于属性的使用限制（）对包含网络资源的系统的使用限制。动态权限背景因素。确定个人或过程是高风险的。具有网络资源和活跃实体的属性。调整

降低风险。

卸载不用于非特权功能。巧 限制

例子删除或禁用不需要的功能或连接性，或添加机制以减少漏洞或失败。替代品的实现。

基本能力。系统组件以降低风险。专业化修改关键网络资源的设计、增强或配置冗余

受保护的备份和恢复（）（发生中断或损坏时恢复。剩余产能力通讯。（）。复制重复的硬件、信息、储存地点。加工地点。分段根据关键性和

预定义分段行隔离。巧 法 子特别是，为Internet连接提供DMZ。动态分割和隔离网络和VPN来定义新的飞地。经证实的诚信

URL。SCRM来源追踪(SCRM)行为验证（错误处理中的潜在异常。不可预测性

性 ‧证

状态。情境的不可预测性态。

间隔。一天的时间。系统安全工程方法系统安全工程方法TP2系统安全工程方法系统安全工程方法TP2附录E第附录E第95页附录E第附录E第96页统表（（例）（（）E‑55（表社会技术系统技术体系和件讯件统和件讯件统化、施、用营持境技术方法理自适应动态的XXXXXXX回复重新配置动态的资源XXXXXX分配自适应XXXXX分析型管理监控和XXXX监控传感器融合XXXXX与分析法医和XXX行为的分析协调的已校准XXX保护防御中‑XXXX分析编排XXX自我挑战XXXXXX理统社会技术系统技术体系和件讯件统和件讯件统化、施、用营持境技术方法语境化动态的XXXX意识资源意识动态威胁XXX意识使命XXX依赖性和状态可视化欺骗混淆XXXXXXXX虚假信息XXXX误导XXXXX污染XXX多样性建筑多样性XXXXXX设计多样性XXXXXXXXX信息XX多样性路径分集XX供应链XX多样性动态的定位功能性搬迁XXXXXX传感器功能性XXXXXXX搬迁网络资源资产流动性XX碎片化X分散式XXXXX功能性非‑非持久XXXXX坚持信息非持久XXX服务理统社会技术系统技术体系和件讯件统和件讯件统化、施、用营持境技术方法非持久XXXX连接性特权基于信任XXXX限制特权管理基于属性XXXXXX用法限制动态的XXXX特权调整目的性XXXXXX卸载XXX限制XXXXXX替代品XXX专业化XXXX冗余保护XXXXXX备份和恢复剩余XXXXXX容量复制XXXXXXX预定义分段XXXXXXXX分割动态的XXXXXXX分段和隔离已证实完整性检查XXXXXXXX正直出处XXXXXX追踪行为XXXXXXX验证不可预测性XXXXXX语境化XXXXXX不可预测性TTP2系统安全工程方法TTP2系统安全工程方法第PAGE第100页附录E第PAGE第101页附录E[SP800‑160F106如第2.1.4节所述战略网络弹性设计原则在整个系统生命周期中指导和指导工程分析和风险分析，并强调不同的结构设计原表107108106[SP800‑160v1]的附录F定义了三大类的安全设计原则：安全架构[Bodeau17]。[Jackson13（）（）（）（（）（）（）（）（）（（）（）（系统在指定时间段和指定环境中恢复部分或全部功能的功能）。108[Richards08]中描述了生存性设计原则。映射到网络的生存性设计原则（扰）（）（降）（）（扰）（†扰）（）（）（）（扰）（扰）（）（）（）（）（）（）。表E‑6：战略网络弹性设计原则策略设计原则

主要想法

关注共同关键资产。

安全性：逆向修改阈值。弹性工程：物理冗余、分层防御、松耦合。的的。 力少全化。性。

弹性工程：重组、人力备份、节点间交互。操作环境将发生不可预见的变化。

生存能力：移动性、进化。减少攻击面。

弹性工程：复杂性避免、漂移校正。生存能力：预防、减少故障模式。假设受到损害资源。

系统和系统组件（从芯片到软件模块再到正在运

道。

与安全性不兼容：分层保护。弹性工程：人力备份、本地化容量、松耦合。

TTP。TTP（

战略设计原则由组织的风险管理战略，特别是其风险框架驱动。例如，风险框架包括有关威胁的假设（表表战略设计原则和分析实践

风险框架要素风险管理策略关注共同的关键资产。（BIA）（MIA）、支