谈谈网络弹性

谈谈网络弹性

目录

目录...................................................................1

编者按................................................................3

1.叫弹性还是韧性？..................................................3

2.网络弹性的不同定义................................................4

3.弹性的不同视角....................................................5

3.1.美国政府（尤指DHS下属的CISA）：关键基础设施弹性..............5

3.2.美军：网络弹性...............................................6

3.3.MITRE：网络弹性..............................................8

4.NIST：网络弹性....................................................15

4.1.从系统安全工程到网络弹性工程...............................15

4.2.网络弹性的构成要素及其关系..................................15

4.3.网络弹性的独特性............................................18

4.3.1.聚焦使命或业务........................................18

4.3.2,聚焦APT攻击..........................................18

4.3.3.假定对手必将攻陷系统..................................19

434.假定对手会持续存在于系统之中..........................19

4.4.网络弹性与其它学科之间的关系...............................19

4.5.网络弹性与网络风险的关系....................................20

46网络弹性贯穿系统工程生命周期...............................20

4.6.1.网络弹性分析..........................................21

5.Gartner....................................................................................................................21

6.Ponemon的年度安全弹性报告.......................................23

7.埃森哲的安全弹性报告............................................23

8.RSAC2O21................................................................................................................23

9.综合分析.........................................................24

9.1.网络安全和网络弹性的定义与关系.............................25

9.2.网络弹性和网络安全关注的防御阶段不同.......................25

9.3.网络弹性和网络安全的保障目标不同...........................26

9.4.网络弹性更关注于业务........................................26

9.5.网络弹性更适用于应对高级威胁的场景.........................27

9.6.将网络弹性工程用于对抗高级威胁实战.........................27

10.总结............................................................28

编者按

网络弹性不等于网络安全，我们需要一个全新的视角来保障业务交付与运

行！

2021年的RSAC大会的主题是“Resilience”，可以翻译为弹性,也有人翻

译为韧性。围绕这个主题，引发国内业界同仁的大讨论。那么，什么叫弹性？在

网络空间安全领域，弹性究竟所为何意？本文就此问题进行了一番深入研究。

L叫弹性还是韧性？

在研究resilience/resiliency的时候，第一个问题就是如何翻译的问题。现在

业界普遍存在两个翻译：弹性、韧性。

笔者查阅了百度学术，以“网络韧性”和“网络弹性”作为关键词进行检索,

“网络弹性”有.59800条结果，而“网络韧性”有13100条结果。进一步分析，

“网络弹性”的查询结果涉及的领域主要涵盖信息与通信工程、计算机科学与应

用、化学工程与技术等。“网络韧性”的查询结果涉及的领域主要涵盖化学工程

与技术、材料科学与工程、化学等。此外，通过百度搜索发现，在建筑学的城市

规划领域，比较多地提到了城市韧性(UrbanResilience)的概念。

在标准方面，国际标准化组织ISO下有一个从事公共安全标准化的技术委

员会，国内官方称作“ISO/TC292安全与韧性”技术委员会，对口的是TC351

全国公共安全基础标准化技术委员会。该技术委员会所涉及Resilience之翻译皆

为韧性。

查看TC260信安标委的网站，没有发现有关resiliene的正式定义，发现了

不同的翻译材料中有的叫弹性(譬如赵战生、彭勇的培训材料)，但也有的叫韧性。

在2020年的《信息安全技术术语》的报批稿中，没有对resilience的定义，但

在附录A的资料性清单中将《ISO22301:2019Securityandresilience^的resilience

翻译为韧性。而该国际标准的制定方正是TC292。此外，TC260对弹性计算安全

制定了相关标准，这里的弹性计算是指ElasticCompuling,是一种云计算架构。

所以，最后，到底resilience叫弹性还是韧性？目前没有定论。鉴于笔者之

前称之为弹性，姑且继续叫做弹性吧。如果您有这方面的观点，欢迎与笔者讨论。

Gartner'sITResilienceFramework

Source：Gartner

733708.C

近专注旗平台

Gartner

定义6：【Poncmon】网络弹性被定义为拉齐阻止、检测和响应能力，以管

理、减轻和摆脱网络攻击。这是指企业在面对网络攻击时保持其核心目标和完整

性的能力。具有网络弹性的企业可以阻止、检测、遏制针对数据、应用程序和IT

基础设施的各种严重威胁并从中恢复。

定义7：【埃森哲】具有网络弹性的业务汇集了网络安全，业务连续性和企

业弹性的功能。它采用灵活的安全策略来快速响应威胁，从而最大限度地减少破

坏并在受到攻击时继续运行。

定义8：【世界经济论坛，2012】描述了系统和组织抵御网络事件的能力。

包括组织针对威胁和漏洞所做的准备、已开发的防御措施以及可用于在发生安全

故障后缓解安全故障的资源。"theabilityofsystemsandorganizationstowithstand

cyberevents.”

世界经济论坛治理与信任部主管2016年撰文指出，网络弹性与网络安全不

同，更具战略性和长远性，并指出网络弹性问题本质上是一个风险管理问题。

3.弹性的不同视角

3.1.美国政府（尤指DHS下属的CISA）：关键基础设施弹性

美国政府很早就提出了弹性的概念。2013年，当时的美国总统奥巴马签署

了一项《关键基础设施的安全与弹性》的总统政策指令（PPD-21）,里面将弹性与

安全并列看待，是保障关键基础设施两个重要方面。里面提到：（关键基础设施）

“弹性”是指准备并适应不断变化的条件以及抵御破坏并迅速从破坏中恢复的能

力。弹性包括抵御故意攻击，事故或自然发生的威胁或事件并从中恢复的能力。

Theterm"resilience"meanstheabilitytoprepareforandadapttochanging

conditionsandwithstandandrecoverrapidlyfromdisruptions.Resilienceincludes

theabilitytowithstandandrecoverfromdeliberateattacks,accidents,ornaturally

occurringthreatsorincidents.

总统政策指令颁布后，同年DHS根据指令要求更新了NIPP（国家基础设施

保护计划），提出了关键基础设施风险管理框架，其实也就是将安全和弹性统一

到了风险之下。笔者认为，要达成网络安全和网络弹性的目标，就必须采用风险

管理的方法。

Figure3-CriticalInfrastructureRiskManagementFramework

在2019年11月，DHS下属的CISA（具体负责基础设施安全与弹性的部门）

发布了《关键基础设施安全与弹性指南》，对此前的各种概念和要求做了一个小

结，其中关于弹性的概念依然跟2013年一致，依然是以风险管理框架为指导方

法去实现关键基础设施安全与弹性。

需要指出的是，美国政府在讨论关键基础设施安全与弹性的时候，是将物理

安全与网络安全统一走待的，即安全与弹性既包括网络维度的，也包括物理维度

的。对于我国，目前在管理上则是分开的。

3.2.美军：网络弹性

2013年1月，美国的国防科技委员会工作组发布报告《ResilientMilitary

SystemsandtheAdvancedCyberThreat》指出，面对高级网络威胁，谁也无法保

证自己的系统不被攻破，必须引入系统安全工程的方法，建立起可防御的、可生

存的、可信赖的系统。而要建立这样一个安全的系统，就需要关注网络弹性。安

全的系统，一定也是一个弹性的系统。

2()13年11月，美国国防部发布了《国防部网络、系统和数据防卫战略

2013-2020》,提出了四大战略焦点，其中第一个就是“建立弹性的网络防御姿

态"(EstablishaResilientCyberDefensePosture)。关键内容包括：要架构一个可

防御的信息环境(JIE),要做好基础安全工作。此外，该战略还包括要提升主动网

络防卫(ACD)的能力、采用不可预测的动态防御能力和技术、增强网络态势感知、

确保面对高复杂网络攻击条件下的可生存性。纵览整个战略规划，无不体现了网

络弹性的思想。

2018年，美军网络司令部发表了《获取并维持网络空间优势一一美国网络

司令部的指挥愿景》，阐述了其指挥战略。美军网络司令部认为，网络空间的“地

形”是一个不断接触和变化的流动环境。当新的“地形”出现时，新的漏洞和机

会就会不断出现。没有什么目标是维持静态的，也没有什么攻击和防御是持久有

效的，更没有什么优势是永久的。要维持网络空间的战略优势，就必须增强自己

的弹性、进行抵近防御、并持续接触对手。其中，“增强弹性”就是做好自己，

降低自身的暴露面和攻击面，预测对手的行为，增加响应的灵活性。

2()18年，美国国防部发表了《国防部网络战略2018版》，明确指出在平时

要强化自身网络和系统的安全性与弹性。

2019年，美国国防部发表了《国防部数字现代化战略2019〜2023财年》，

提出了4大目的，27人目标。

DoDDigitalModernizationStrategy

InformationResourceManagementStrategicPhnFY2O1>^Y2O23

r/、r

61:InnovateforCompetitiveAdvantage2:OptimizeforEfficiencies3:EvolveCybersecurityfor4:CultivateTalentfora

2-

0•ndImprovedCapabilityanAfileandResilientReadyDifital

0DefensePostureWorkforce

\_______/V

1.1rtUMkhtMlAKto“Mofe«山♦DH*me2.1ShiftfromCompo<w«rt-14TfMtdormtWDoO4.1StrengthenCyWrfwictional

AcceWfat^Adoption,Intefr^tkMInfofm4kmSyttp«mMKworkCwitfktoCyWf«MurltyAr«hKYur・toCommunityM*n4(e«ne«<

o<Al(fwbM(«f»blli«ie5to(DISM)Tr«mpovtInfvMtructureOpefMiomwtdDefemeModeliRoeMeAfiAityandStrengthen

AcMewMHUomImpactMKeUUetM.

I1

UDHI4OoOfntecpckML.Mcd»fnU»Opttml/e2JOpUmUeM)DM1(If、<2We«<<hcothen

1JDeployon(ndtofnd

ClMdrmriro<wvw«iltol»w«ac«DoOCcmpocwntM«woftsandAcquiUtkx*Workforce

Identity,Cfe4entUI■AcceM

Commerciallnn(MMtionService%

M4fMfeme«4(KAM)

InfrMtnKtuve

I.WPnnFfiKMl

MOpttonUeDoOOtfkeI_/4.1fnhanceCytmWodctorce

AkborrvBntetlif»fMe,

PvodudMty«ndcaubor加onRecruttingMention.

SurvellUnce■Kc«wm*hMnce

1『bUk(ICAP$ctduc«tion.Vr«ining«M

(AKM)Ma

e1)Prof*MioewiD«v«4opnMnt

1.4Op<*mUeDoOVoiceand

VideoCM»b4litiet(KAPS

l.VFvilvetWDoOtoAgileMItefonnDoOCvtwrwcwtty

l.SVhkiPUbot—.ElectrorwgnetkSpectrumRkliMjfWfe«ne<itPoUcftesand

Operatbm(IMVO)

AIMlntefopc««b4MY

1.6fnwreNational

2QgEWdUctmotofy

CommandCjpoMKWt(NICC)

DepioEcntProcewes

AMwedCownectivhy

2.1Mrtnfth*nITttnancUI

L7(MhancetheDellvefY^d

D*cWonMM«<A'七专注空管平台

ProtectionofPmMlong

Nwvifjtion,WTiming(PNT)

其中，第三个目的是：提升安全以形成敏捷和弹性的防御姿态。从字面上看,

安全的目标之一是弹性。

3.3.MITRE：网络弹性

2010年，MITRE发表了一篇题为《构建安全的、弹性的架构以实现网络使

命保障》(BuildingSecure,ResilientArchitecturesforCyberMissionAssurance)1勺论

文，开启了网络弹性架构领域的研究。

论文开宗明义地指出：100%的防护是不现实的，必须考虑在防护失效的情

况下采取恰当的补偿措施以确保在遭受攻击的情况下仍然能够达成使命，因而引

出了所谓弹性架构的概念。

在这篇论文中，弹性架构是一个很广义的概念，与“面向失效的防御”、广

义的“纵深防御”、“自适应防御”的理念基本相同，都是要考虑从多个层次和

维度来全面地进行安全拒止、检测与响应，达成五个目标：保护/威慑、检测/监

测、遏制/隔离、维护/恢复、自适应。同理，要实现弹性架构，必须采用基于风

险的方法。

论文还提出了几种关键弹性技巧与机制，包括：多样性、冗余、完整性、隔

离/分段/遏制、检测/监测、最小特权、非持久化、分布式和MTD(移动目标防御)、

自适应管理与响应、随机化与不可预测性、欺骗。这些技巧(tehniques)也构成了

后来的网络弹性工程框架的雏形。可以发现，作为2()10年提出来的这些技巧，

当下很多都已经成了热门。

在2011年，MITRE正式提出了网络弹性工程和网络弹性工程框架（Cyber

ResiliencyEngineeringFramework）的概念。

MITRE将网络弹性工程看作是弹性工程、网络（空间）安全、使命保障工程三

者结合的产物。

Providestheemphasis

onaddressingthreats,

includingthosethatare

ongoing,advanced,or

adapting

Figure3.KeySourcesfortheCyberResiliencyEngineeringFramework

从上图可以看出网络弹性与网露安全的基本区别，即网络弹性在吸收部分网

络安全概念的基础上、加入了弹性工程的思想和使命保障的思想。譬如，网络弹

性更多强调从保障系统和使命（mission,可以看作是一个或多系统的集合，用以

达成特定的目的，也即system-of-system,我们也可以把mission看作是业务）达

成预定目标的角度出发来看待网络安全和弹性。网络弹性很关注业务交付。

下图是MITRE分析的网络弹性与网络安全的区别:

NotionalRelationshipsBetween

ConventionalSecurity,CyberResiliency,

andDimensionsofTrustworthiness

■CyberResilience■Cybersecurity

MissionAssurance

Resilienceand

Reliability

Conventional

Privacy

Security

专注安管平台

Figure13.NotionalRelationshipsAmongDimensionsofTrustworthiness

网络弹性工程框架由目的、目标和技巧三部分组成，逐层展开，层层递进。

CyberResiliency

Techniques

AdaptiveResponse

CyberResiliencyAnalyticMonitoring

ObjectivesCoordinatedDefense

UnderstandDeception

CyberResiliencyGoals

PrepareDiversity

Anboipato

PreventDynamicPositioning

Withstand

ContinueDynamicRepresentation

Recover

ConstrainNon-Persistence

Evolve

ReconstitutePrivilegeRestriction

TransformRealignment

Re-ArchitectRedundancy

Segmentation

SubstantuitedIntegnty

Unpredictability

专注安管平台

FigureI.CyberResiliencyEngineeringFramework

下表给出了各种技巧与目标的映射关系。

Table3.MappingCyberResiliencyPracticestoObjectives

t

dtec

nineume

areauitrit

tarntfoh

rspttissc

esnnr

ernonA

dPoocra-

nCCeTe

URR

AdaptiveResponseXXX

AnalyticMonitoringXXXX

CoordinatedDefenseXXXXX

DeceptionXXX

DiversityXXX

DynamicPositioningXXXX

DynamicRepresentationXXX

Non-PersistenceXXXX

PrivilegeRestrictionXX

RealignmentXX

RedundancyXX

SegmentationXX

SubstantiatedIntegrityXXXX

UnpredictabilityXXX1,专注一Z

接下来的几年，MITRE不断完善这个网络弹性工程框架（CREF）。

在2017年提出了网络弹性的设计原则，包括战略原则（聚焦共用或关键资产、

支持敏捷和自适应架构、减少攻击面、假定部分资源失陷、预料到对手演进）和

结构原则（战术原则）。

Table1.RepresentativeCyberResiliencyDesignPrinciples

StrategicCyberResiliencyDesignPrinciples

FOCUSoncommoncriticalassets.supportagilityandarchitectforadaptability.

„...IXAssumecompromised_

Reduceattacksurfaces.Expectadversariestoevolve.

resources.

StructuralCyberResiliencyDesignPrinciples

Limittheneedfor_ContainandexcludeLayerandpartition

Controlvisibilityanduse..

trust.behaviors.defenses.

Planandmanagediversity.Maintainredundancy.Makeresourceslocation-versatile.

Leveragehealthandstatusdata.Maintainsituationalawareness.Manageresources(risk*)adaptively.

Maximizetransience;DetermineongoingChangeordisrupttheMakeunpredictabilityand

minimizepersistence.trustworthiness.attacksurface.deceptionuser-transparent.

Keyf。AlignedDisciplines:

UniquetoConsiderationof

Evolvability

攵CM，"叫比器AdvancedCyberThreats

Warning:Foranygivenmission,system,orprogram,onlyasubsetoftheseprincipleswillberelevant-selectionmustbe

basedonavarietyofconsiderations,includinglifecyclestage,typeofsystem,andrelevant:专注‘安管平台

disciplines.Inaddition,mofespecificrestatementsmoyprovemoreusefulinguidinganalysisanaassessment.

结构设计原则是本战略设计原则的落地支撑。下表给出了结构设计原则与战

略设计原则的支撑关系。

Table4.StructuralDesignPrinciplesSupportDifTerrntStrategicDesignPrinciples

StratiegicDesign1Principle

FocusonSupport

commonagilityandReduceAssumeExpect

criticalarchitectforattackcompromisedadversaries

StructuralDesignPrincipleassetsadaptabilitysurfacesresourcestoevolve

LimittheneedfortrustXX

ControlvisibilityanduseXXX

ContainandexcludebehaviorsXXX

LayerandpartitiondefensesXX

PionandmanagediversityXXX

MaintainredundancyXX

Mokeresourceslocation-versatileXXX

LeveragehealthandstatusdataXXX

MaintainsituationalawarenessXXX

Manageresources(risk-)adoptivelyXXX

Maximizetransience;minimizepersistenceXXX

DetermineongoingtrustworthinessXXX

ChangeordisrupttheattacksurfaceXX