《紫金山實驗室：2023基于系統架構評估的網絡彈性度量技術白皮書（94頁）.pdf》由會員分享，可在線閱讀，更多相關《紫金山實驗室：2023基于系統架構評估的網絡彈性度量技術白皮書（94頁）.pdf（94頁珍藏版）》請在三個皮匠報告上搜索。

1、I前 言前 言認為總體大于各部分之和，各部分雖較劣但總體可以優化。-錢學森一個系統的高級別屬性不能直接從低級別運動中推導出來。系統的“整體”屬性，不被構成系統的任何單獨部分所擁有。-從系統的復雜性到涌現性網絡彈性應該作為一種非功能特性被設計到系統中去。-美國 DARPA在如何匯總、累積系統各元素或子系統的屬性和行為度量值從而推測系統整體屬性的度量結果時，總是會面臨巨大挑戰。-美國 MITRE結構決定安全，內生安全系統構造可全生命周期賦能網絡彈性。-鄔江興今天，人類社會的運轉越來越依賴于復雜且相互關聯的網絡系統和數字基礎設施，網絡安全威脅的種類越來越多，規模越來越大，危害越來越深。由于潛在安全威

2、脅的不可預測性、極度不確定性和快速演變性，人們逐漸認識到保障網絡絕對安全是不現實的。因此，一方面要努力阻止安全失陷的發生，另一方面也應盡力限制、緩解失陷危害并從中快速恢復。在此背景下，網絡彈性（CyberResiliency）的概念應運而生。網絡彈性聚焦業務視角，基于網絡攻擊、尤其是高級持續性威脅（Advanced Persistent Threat，APT）攻擊防不勝防的前提，II強調防護重點應從阻止攻擊向保障關鍵業務的持續性和可用性轉變。網絡彈性工程的目標是構建“可信賴”的網絡系統，這樣的系統具備對各類有害條件、壓力、攻擊及失陷的預防、抵御、恢復和適應能力。然而，現有的網絡彈性實踐通常是在

3、系統構建之后，通過滲透測試等手段，對系統進行反饋修改而實現。如何在系統設計之初，像其他非功能特性一樣，對系統進行網絡彈性的設計，已成為學術界和工業界關注的前沿問題。同時，現有的網絡彈性工程框架缺少感知并抵御“未知的未知”網絡攻擊的能力，也難以保障關鍵業務的持續可信運行。此外，現有從系統部件和子系統等低級別活動出發由底向上的評估合成機制明顯缺乏整體性視角，“只見樹木，不見森林”，難以獲得準確的評價結果。本白皮書突出了系統架構設計和評估在賦能系統網絡彈性中的核心作用。提出了面向系統架構的網絡彈性關鍵能力和設計原則，探討了基于系統架構評估網絡彈性能力的指標體系和由頂向下的網絡彈性評估方法及其適用場景

4、。面向系統架構的網絡彈性設計與評估，可有效彌補現有網絡彈性工程框架和評價體系方面的重大缺陷，為賦能具備網絡彈性的新一代關鍵基礎設施提供借鑒和參考。III版權聲明本白皮書版權屬于主編和聯合編寫發布單位，并受法律保護。轉載、摘編或通過其它方式使用本白皮書字或者觀點應注明“來源:季新生等,基于系統架構評估的網絡彈性度量,網絡通信與安全紫金山實驗室,2023 年 1 月.”。違反上述聲明者，版權方將追究其相關法律責任。本白皮書主要貢獻者季新生，鄔江興，伊鵬，馬海龍，江逸茗，張進，李鵬坤，張思綺，卜佑軍，蔣兵兵，賀磊，曹玖新，周鼎，曹植綱目 錄1 網絡彈性概述.11.1 網絡彈性發展歷程.11.2 網絡

5、彈性工程框架.31.3 網絡彈性廣受重視.151.4 當前發展網絡彈性存在的問題.171.5 小結.222 基于系統架構的網絡彈性工程.232.1 系統架構是網絡彈性的基石.232.2 網絡彈性系統架構的關鍵能力.262.2.1 對“未知的未知”網絡攻擊的感知與抵御能力.272.2.2“1+12”的攻擊面收縮能力.312.3 網絡彈性系統架構的關鍵設計原則.332.3.1 技術結構化協同應用原則.342.3.2 反饋控制原則.362.3.3 標準化組件庫原則.372.3.4 最少狀態或無狀態原則.382.5 小結.393 網絡彈性評估框架.403.1 網絡彈性系統架構評估.413.1.1 網絡

6、彈性系統架構評估框架.413.1.2 網絡彈性系統架構評價指標.433.1.3 網絡彈性系統架構評分.483.2 網絡彈性其他方面的評估.513.3 小結.554 網絡彈性評估方法.564.1 概述.564.2 靜態評估.594.2.1 系統整體定性分析.594.2.2 具體指標定量評分.654.3 對抗評估.664.4 破壞性評估.684.4.1 混沌工程評估方法.694.4.2 廣義功能安全白盒測試.724.5 各類評估方法重點關注的架構指標.744.6 小結.765 總結.77參考獻.7911 網絡彈性概述1.1 網絡彈性發展歷程網絡彈性1-1是指包含網絡資源的實體所具備的對各種不利條件

7、、壓力、攻擊或損害的預防、抵御、恢復和適應能力。網絡彈性具有五個主要特征：1）聚焦于任務或業務功能；2）聚焦 APT 攻擊的影響；3）假設環境不斷變化；4）假設對手必將攻破系統；5）假設對手長期存在于系統或組織中。網絡彈性同時針對來自網絡和非網絡的對抗和非對抗威脅。2010 年，美國 MITRE 研究所發表構建安全的、彈性的架構以實現網絡使命保障1-2一，明確指出應該更注意保護任務關鍵功能的連續性，且必須考慮在防護失效的情況下采取補償措施以確保在遭受攻擊的情況下仍然能夠達成任務關鍵功能。此外，章還認為應該結合彈性架構和彈性運營來應對所有的“未知的未知”（unknown unknown)。圖 1

8、-1 網絡彈性工程框架主要內涵來源示意圖彈性工程彈性工程網絡安全網絡安全任務保障工程任務保障工程網絡彈性工程網絡彈性工程實現預期、承受、恢復和進化目標實現預期、承受、恢復和進化目標把任務保障作為重點把任務保障作為重點強調解決威脅，包括高級、持續和自適應的威脅強調解決威脅，包括高級、持續和自適應的威脅22011 年，網絡彈性工程框架1-3中正式提出了網絡彈性工程和網絡彈性工程框架（Cyber Resiliency Engineering Framework）的概念。其中，網絡彈性工程是彈性工程、網絡（空間）安全和使命保障工程三個學科交叉融合的結果，如圖 1-1 所示。2017 年，MITRE 在

9、網絡彈性設計原則1-4（Cyber Resiliency DesignPrinciples）中提出一組具有代表性的網絡彈性設計原則。這些設計原則可以在整個系統生命周期中以不同的方式和程度使用。網絡彈性與彈性工程、任務保證、網絡安全防護、業務連續性、備份恢復等學科密切相關，它不僅僅關注應對外部的網絡攻擊，也關注自身的健壯性與可靠性。網絡彈性并不局限于防御或消除網絡攻擊，也考慮到與網絡攻擊共存，在遭受網絡攻擊時保持網絡可用性以及網絡恢復的能力。網絡彈性與網絡安全的概念關系如圖 1-2 所示，網絡安全在預防和保護的考慮中包含了傳統安全，網絡彈性在恢復方面與傳統的可靠性和彈性重疊。圖 1-2 網絡彈性

10、、網絡安全概念關系圖32018 年，MITRE 發布網絡彈性評估指標（Cyber Resiliency Metrics）系列件1-5,1-6,1-7，描述了近 500 個具有代表性的網絡彈性指標，用以評估系統方案、技術、產品或流程的彈性能力，以便提高系統的網絡彈性和任務保障。2021 年，美國國家標準與技術研究院（National Institute of Standardsand Technology，NIST）正式發布了開發網絡彈性系統一種系統安全工程方法（NIST SP 800-160V2R1）1-1，標志著網絡彈性第一個權威技術件正式出臺。1.2 網絡彈性工程框架為開發網絡彈性系統，N

11、IST 提出了一個理解和應用網絡彈性的系統工程框架，包括網絡彈性工程概念、網絡彈性構成要素、工程實踐和解決方案等。網絡彈性工程框架（表 1-1）包括 4 個網絡彈性頂層目的、8 個網絡彈性需求目標（對應分解為若干子目標及需求能力）、14 項網絡彈性支撐技術（對應分解為 50 項典型的網絡彈性支撐方法）、5 項網絡彈性策略原則和 14 項網絡彈性設計原則等。網絡彈性頂層目的和需求目標確定了網絡彈性系統需包含哪些屬性和特性，網絡彈性支撐技術和構建原則描述了實現網絡彈性的路徑和方式。網絡彈性工程實踐是用于辨識、提出解決方案的方法、流程、建模和分析技術。這些實踐在系統生命周期過程中可提供足夠水平的網絡

12、彈性，以滿足風險相關者的需求，并在存在各種威脅源（包括 APT）時降低組織任務或業務能力風險。4表 1-1 網絡彈性工程框架構成要素表構 成構 成系統級的定義、目的和應用系統級的定義、目的和應用目的目的定義：支持（或聚焦）網絡彈性屬性中的一個方面（預測、承受、恢復、適應）。說明：將網絡彈性的定義與其他類型彈性的定義保持一致。應用：可用于表達高層風險相關者的關注、目的或優先級。目標目標定義:目標比目的更具體，與威脅更相關，主要說明系統在其操作環境和整個生命周期中要達到的要求，用以滿足風險相關者對任務保證和彈性安全性的需求。說明：使風險相關者和系統工程師能夠就網絡彈性問題和優先事項達成共識；便于定

13、義衡量指標或措施有效性。應用：用于評分方法或分析摘要（例如，網絡彈性狀態評估）。子目標子目標定義：網絡彈性目標的附屬聲明，強調該目標的不同方面或確定實現該目標的方法。說明：作為將目標分層細化為可以定義績效度量的活動或能力的一個步驟。應用：用于評分方法或分析；可能體現在系統功能需求上?；顒踊蚰芰顒踊蚰芰Χx：支持實現子目標并因此實現目標的能力或行動的聲明。說明：便于定義衡量指標或措施有效性。應用：用于評分方法或分析；體現在系統功能需求上。策略原則策略原則定義：反映風險管理策略一個方面要求，為組織、任務或系統安全工程實踐提供信息說明：指導和告知整個系統生命周期內的工程分析和風險分析，指導使用不同

14、的網絡彈性設計原則、網絡彈性技術和實施方法。應用：在系統非功能性需求中包含、引用或重述。設計原則設計原則定義：捕捉定義系統架構和設計的經驗的聲明。說明：指導和告知整個系統生命周期中的設計和實施決策。重點介紹不同的網絡彈性技術和實施方法。應用：在系統非功能性需求中包含、引用或重述，在系統工程中用于指導技術、實現方法、技術和實踐的使用。5構 成構 成系統級的定義、目的和應用系統級的定義、目的和應用技術技術定義：一組或一類技術、流程或實踐，提供實現一個或多個網絡彈性目標的能力。說明：表征技術、實踐、產品、控制或要求，以便了解它們對網絡彈性的貢獻。應用：用于工程分析，篩選技術、實踐、產品、控制、解決方

15、案或要求；通過實施或集成技術、實踐、產品或解決方案在系統中使用。實施方法實施方法定義：網絡彈性技術的技術和流程的子集，由功能的實現方式定義。說明：表征技術、實踐、產品、控制或要求，以便了解它們對網絡彈性的貢獻及對威脅事件的潛在影響。應用：用于工程分析，篩選技術、實踐、產品、控制、解決方案或要求；通過實施或集成技術、實踐、產品或解決方案在系統中使用。解決方案解決方案定義：網絡彈性領域技術、架構決策、系統工程流程和操作流程、程序或實踐組合。說明：提供足夠水平的網絡彈性以滿足風險相關者的需求，并在存在高級持續威脅的情況下降低任務或業務能力的風險。應用：集成到系統或其操作環境中。緩解緩解定義：使用一種

16、或一組技術、控制、解決方案來降低與威脅事件或威脅情景相關的風險級別的行動或實踐。說明：根據對威脅事件、威脅情景或風險的潛在影響來表征行動、實踐、方法、控制、解決方案或這些的組合。應用：在使用時集成到系統中。61）網絡彈性目的與目標網絡彈性工程框架中包含四個網絡彈性頂層目的（表 1-2），提供系統、任務和業務流程及組織級別的風險管理決策之間的聯系。對于網絡彈性工程分析，網絡彈性目的是起點，也是理解網絡彈性概念不可分割的基本內涵，缺一不可。表 1-2 網絡彈性的 4 個目的描述表目 的目 的描 述描 述預 防定義：保持對逆境的知情準備狀態逆境是指網絡資源上的不利條件、壓力、攻擊或妥協。不利條件可能

17、包括自然災害和結構故障（如停電）。壓力可能包括意外的高性能負載。逆境可以被 APT 行為者引起或利用。知情的準備工作包括應急計劃，包括減輕和調查威脅事件以及對發現的脆弱性或供應鏈妥協作出反應的計劃。網絡威脅情報為知情的準備提供了重要的信息。實現策略包括預防潛在威脅的威懾、避免和阻止策略，以及計劃（即，確定可用資源并制定在威脅發生時使用這些資源的計劃）、準備（即，改變可用資源和訓練計劃的集合）和變形（即，持續更改系統以更改攻擊面）等其它策略。抵 御定義：在逆境中繼續執行重要任務或業務職能該目標的意義和實現并不需要依賴檢測。APT 參與者的活動可能未被檢測到，或者它們可能被檢測到，但被錯誤地歸因于

18、用戶錯誤或其他壓力。為了實現這一目標，確定基本的組織任務或業務職能是必要的。此外，還必須確定支持性的流程、系統、服務、網絡和基礎設施。資源的臨界性和基本功能的能力可以隨時間而變化。實現策略包括抵御潛在威脅實現的策略，即使這些威脅沒有被檢測到，具體包括吸收（接受對給定系統元素集的某種程度的損壞，采取措施減少對其他系統元素或整個系統的影響，并自動修復損壞）、偏轉（將威脅事件或其影響轉移到不同的系統元素或轉移到目標或最初受影響的系統以外的系統）和丟棄（根據損壞跡象移除系統元素甚至整個系統，并替換這些元素或使系統或任務或業務流程在沒有它們的情況下運行）等策略。7目 的目 的描 述描 述恢 復定義：在逆

19、境期間和之后恢復任務或業務功能功能和數據的恢復可以是增量化的。一個關鍵的挑戰是確定隨著恢復的進展，對恢復的功能和數據有多少信任。操作或技術環境中的其他威脅事件或條件可能會干擾恢復，而 APT 行動者可能會尋求利用關于恢復過程的混亂，在組織的系統中建立一個新的立足點。實現策略包括還原（復制已知可接受的先前狀態）、重建（將關鍵和支持功能復制到可接受的水平或使用現有系統資源）和替換（用新的系統元素替換損壞的、可疑的或選定的系統元素，或重新利用現有系統元素服務不同的功能，以執行關鍵支持功能）等策略。適 應定義：修改任務、業務功能和/或支持能力，以響應技術、業務或威脅環境中的預測變化變化可能在不同的規模

20、和不同的時間框架內發生，因此可能需要戰術和戰略適應。修改可應用于工藝和程序以及技術。技術環境的變化可能包括新興技術（如人工智能、5G、物聯網）和過時產品的退役。組織的操作環境中的變化可能源于法規或策略的變化，以及新的業務流程或工作流的引入。對這些變化和變化之間的相互作用的分析可以揭示這些變化如何修改攻擊面或引入脆弱性。實現策略包括修正（移除或應用新的控制以彌補已識別漏洞或弱點）、強化（減少或控制攻擊面）和更新（主動將控制、實踐和能力定向到預期的、新出現的或潛在的威脅）等策略。這些策略可能會導致重新定義（改變系統需求、架構、設計、配置、獲取過程或操作過程）。8 個網絡彈性需求目標（表 1-3）是

21、對系統在操作環境和生命周期中實現上述 4 個網絡彈性目的的具體說明，以保證利益相關者對任務保證和彈性安全的需求。目標還可以進一步細分成若干子目標，子目標又可以細分成若干代表性活動或能力。8表 1-3 網絡彈性 8 個目標描述表目 標描 述阻止/避免阻止攻擊的成功執行或不利情景的出現。該目標與一個組織對不同風險應對方法的偏好有關。在一些具備限制能力的情況下，風險規避或威脅規避是一種可能的風險應對方法，防止威脅事件發生是另一種可能的風險應對措施。準 備制定一套切合實際的應急預案，以應對預測或預期的逆境。該目標是由對所發生攻擊的認知驅動的，涉及到組織的應急計劃，運營連續性計劃，培訓，演習以及關鍵系統

22、和基礎設施的事件響應和恢復計劃等。持 續在逆境中最大限度地延長重要任務或業務職能的持續時間和生存能力。該目標具體涉及到基本功能。其評估與性能參數的定義、功能依賴關系的分析和關鍵資產的識別相一致。請注意，共享服務和公共基礎設施雖然本身沒有被確定為必要的，但可能對基本功能是必要的，因此與這一目標相關。扼 制限制逆境造成的傷害。該目標特別適用于關鍵或高價值的資產，包含或處理敏感信息的網絡資產要么是關鍵性任務的，要么是給關鍵任務提供基礎設施服務的。理 解在可能的逆境下維持對任務和業務依賴關系以及資源狀態的有效表示。該目標支持所有其他目標的實現，最顯著的是準備、重建、轉變和重構。一個組織的持續診斷和緩解

23、、基礎設施服務和其他服務的計劃支持這一目標。檢測異常情況，特別是可疑的或意外的事件或條件，也支持實現這一目標。然而，這個目標包括理解資源依賴性和獨立于檢測的狀態。這一目標還涉及到一個組織使用取證和網絡威脅情報信息共享。重 建在逆境后盡可能多地恢復任務或業務功能。該目標涉及到了基本功能，關鍵資產以及它們所依賴的服務和基礎設施。實現目標的一個關鍵就是確?；謴突蛑亟üぷ魃煽尚刨嚨馁Y源。該目標不是基于對逆境來源（例如歸因）的分析，即使沒有探測到逆境，也可通過持續努力地監控資源的及時性和正確可用性來觸發實現。轉 變修改任務或業務功能和支持流程，以更有效地處理逆境和應對環境變化。該目標特別適用于關鍵功能

24、的工作流程、支持流程以及關鍵資產和基本功能的事件響應和恢復計劃。戰術修改通常是程序性或配置相關的；較長期的修改可能涉及重組操作流程或治理職責，同時保持底層技術架構不變。重 構修改體系結構，以更有效地處理逆境和應對環境變化。該目標特別適用于系統架構和任務架構，其中包括支持任務或業務功能的系統之系統的技術架構。此外，這一目標適用于關鍵基礎設施和服務的體系結構，它們經常支持多種基本功能。92）網絡彈性設計原則網絡彈性工程框架包括 5 項網絡彈性策略原則（表 1-4）和 14 項網絡彈性設計原則（表 1-5）。其中，網絡彈性策略原則應用于整個系統工程過程中，指導網絡彈性系統工程分析的方向；網絡彈性設計

25、原則直接指導網絡彈性系統的架構和設計。對于一個確定的系統，可以只考慮采用部分原則。網絡彈性策略原則需與項目、系統或者任務所有者的風險管理戰略一致，即需根據相關的風險管理戰略對網絡彈性系統所需采用的網絡彈性策略原則進行取舍和優先級排序。表 1-4 網絡彈性策略準則策略設計原則核 心 理 念關注公共關鍵資產需要將有限的組織和計劃資源應用到可以提供最大收益的地方。需要將有限的組織和計劃資源應用到可以提供最大收益的地方。首先關注既重要又常見的資產，其次是關鍵或常見的資產。需了解哪些任務或業務功能、任務、能力和資產是關鍵的。需了解哪些資源、資產或服務對于成功執行關鍵功能和任務或保護關鍵資產至關重要。首先

26、關注那些在多個功能中通用的基本資源的安全性和網絡彈性。支持敏捷性和架構適應性不僅威脅格局會隨對手的發展而變化，技術以及個人和組織使用它們的方式也會發生變化。不僅威脅格局會隨對手的發展而變化，技術以及個人和組織使用它們的方式也會發生變化。敏捷性和適應性都是風險管理策略不可或缺的一部分，以響應風險框架假設，即在系統的整個生命周期中威脅、技術和操作環境將發生不可預見的變化。為技術、操作和威脅環境的變化做好準備。利用現有和新興標準來支持互操作性。認識到組織可以投資于能力或創建用于不同目的和不同時間框架的程序，管理由于程序或計劃之間的依賴關系或其他交互而導致的風險。10策略設計原則核 心 理 念減小攻擊

27、面大型攻擊面難以防御，需要持續努力監控、分析和響應異常。大型攻擊面難以防御，需要持續努力監控、分析和響應異常。減少攻擊面可降低持續保護范圍的成本，可迫使攻擊者集中在可更有效地監控和防御的一小組位置、資源或環境上。需了解組織的攻擊面不僅是系統的暴露元素，還有人員和流程?？紤]攻擊者如何攻擊開發、運營和維護環境?？紤]網絡供應鏈中的攻擊面?？紤]社交媒體曝光和內部威脅。假設資源會受損從組件到系統，從芯片到軟件模塊再到正在運行的服務，可能會長時間受到攻擊而不會被發現。從組件到系統，從芯片到軟件模塊再到正在運行的服務，可能會長時間受到攻擊而不會被發現。事實上，某些損壞可能永遠不會被檢測到。盡管如此，系統仍必

28、須能夠滿足性能和質量要求。系統和任務或業務流程需最大限度地減少因特定產品或技術類型受到損壞而可能造成的危害。需考慮攻擊橫向移動可能性及級聯故障。需分析并準備管理關鍵組件、服務或技術被破壞或受攻擊的潛在后果。預計對手會進化預計高級網絡攻擊者將投入時間、精力和情報收集來改進其現有的能力并開發新的能力。預計高級網絡攻擊者將投入時間、精力和情報收集來改進其現有的能力并開發新的能力。攻擊會隨著新技術或技術使用提供的機會及對防御者的了解而進化。隨著時間推移，由高級攻擊者開發的工具可供不太復雜的攻擊使用。因此，面對意外攻擊，系統和任務需具有彈性。在分析架構更改、設計修改及操作程序和治理結構更改時，結合對抗性

29、觀點。使用網絡威脅情報，但不受其限制。11表 1-5 網絡彈性結構設計原則結構設計原則結構設計原則核 心 理 念核 心 理 念保持態勢感知包括對可能的性能趨勢和異?，F象的感知，為有關網絡行動指南的決策提供信息，以確保任務完成。充分利用運行狀況和狀態數據健康和狀態數據可用于支持態勢感知、指示潛在的可疑特性以及預測適應不斷變化的操作需求。確定持續的可信度對數據、軟件的完整性或正確性的定期或持續核查和/或校驗會增加攻擊者修改或制造數據、功能所需的工作量。同樣，對個人用戶、系統組件和服務的特性進行定期或持續分析會增加懷疑并觸發響應，例如更密切的監控、更嚴格的權限或隔離。限制對信任的需求限制需要信任的系

30、統元素數量（或需要信任元素的時間長度）可以降低保證、持續保護和監控所需的工作水平?？刂剖褂煤涂梢娦钥刂瓶梢园l現、觀察和使用的內容會增加攻擊者在包含網絡資源的系統中擴大其立足點或增加其影響所需的努力。遏制和排除行為限制可以做什么以及可以在何處采取行動，可以降低危害或中斷在組件或服務之間傳播的可能性或程度。分層防御和分區資源縱深防御和分區結合增加了攻擊者克服多重防御所需的努力。（風險）自適應管理盡管組件中斷或停機，風險自適應管理支持敏捷性并在整個關鍵操作中提供補充風險緩解。計劃和管理多樣性多樣性是一種成熟的彈性技術，可以消除單點攻擊或故障。但是，架構和設計應考慮成本和可管理性，以避免引入新風險。保

31、持冗余冗余是許多彈性策略的關鍵，但隨著配置的更新或連接的變化，冗余會隨著時間的推移而降低。12結構設計原則結構設計原則核 心 理 念核 心 理 念資源位置多樣化綁定單個位置的資源（例如，單個硬件組件上運行的服務、位于單個數據中心的數據庫）易成為單點故障，變成高價值目標最大化瞬態使用瞬態系統元素可最大限度地減少暴露于攻擊活動的持續時間，同時定期刷新到已知（安全）狀態可以清除惡意軟件或損壞的數據。改變或破壞攻擊面攻擊面的破壞會導致攻擊者浪費資源，對系統或防御者做出錯誤的假設，或者過早發起攻擊或泄露信息。創造對用戶透明的欺騙效果和不可預測性欺騙和不可預測性可以成為對抗攻擊的高效技術，導致攻擊暴露其存

32、在或 TTP、浪費精力。但是，如果應用不當，這些技術也會使用戶感到困惑。3）網絡彈性技術與方法網路彈性技術描述了如何實現網絡彈性頂層目的和需求目標的方法。這些方法是復雜多樣的，具體取決于系統的類型（比如：企業信息系統、網絡物理系統、武器系統）和其他因素（比如：技術的架構、管理和成熟度）。網絡彈性技術反映了對威脅以及提高網絡彈性應對威脅相關的技術、流程和概念的理解。表 1-6中的網絡彈性技術有 12 種可應用于對抗性或非對抗性威脅（包括網絡相關和非網絡相關威脅），另外 2 種（欺騙性和不可預測性）是專門針對對抗性威脅的網絡彈性技術。表 1-7 給出了每個網絡彈性技術所對應的典型代表性方法示例。1

33、3表 1-6 網絡彈性 14 種技術描述表技 術技 術意 圖意 圖自適應響應：自適應響應：實施敏捷行動來管理風險。及時、適當地優化以應對不利條件、壓力、攻擊或這些方面指標的能力，以最大限度維持任務或業務運營、限制影響并避免不穩定。分析監測：分析監測：持續化的以協調的方式監控和分析廣泛的屬性和特性。提供最大限度地檢測潛在不利條件的能力；揭示不利條件、壓力或攻擊的程度；識別潛在的或實際的損害，并調查攻擊者的TTP。提供態勢感知所需的數據。情境感知：考慮威脅事件和行動方案下構建并維護當前任務或業務功能狀態的表示支持態勢感知。增強對網絡和非網絡資源之間依賴關系的理解。揭示攻擊特性的模式或趨勢。協調保護

34、：確保保護機制以協調有效方式運作。要求威脅事件需克服多重保護措施（即采用縱深防御策略）。在對抗性威脅事件情況下，通過增加攻擊的成本和提高攻擊者檢測的可能性來增加成功攻擊關鍵資源的難度。無論威脅事件的類型如何，確保使用任何給定的保護機制不會通過干擾其他保護機制而產生不利的、意外的后果。驗證網絡行動指南的現實性。欺騙：誤導，混淆，向對手隱藏關鍵資產或將秘密污染的資產暴露給攻擊者。誤導、混淆或向對手隱藏關鍵資產，從而使對手不確定如何進行攻擊；延遲攻擊的效果，增加被發現的風險，導致對手誤導或浪費其資源，并過早地暴露敵方的諜報技術。多樣性：使用異構性來最小化共模故障，尤其是常見漏洞威脅事件。限制由于復制

35、通用關鍵組件的故障而丟失關鍵功能的可能性。在對抗性威脅事件情況下，通過開發適合多個目標的惡意軟件或其他 TTP 使對手花費更多的精力；通過將 TTP 應用于它們不適合的目標，增加攻擊者浪費或暴露 TTP 的可能性；最大化防御組織某些系統在攻擊中幸存的可能性。14技 術技 術意 圖意 圖動態定位：分配和動態重新定位功能或系統資源。提高從非對抗性事件（例如火災、洪水）和對抗性威脅事件（例如網絡攻擊）中快速恢復的能力。阻礙對手定位、消除或破壞任務或業務資產的能力，并導致對手花費更多時間和精力尋找組織的關鍵資產，從而增加攻擊過早暴露其存在、行動和間諜技術手段的可能性。非持久性：根據需要或在有限的時間內

36、生成并保留資源。減少對破壞、修改或損壞的暴露。在對抗性威脅事件的情況下，提供一種減少攻擊入侵和推進并能從系統中刪除惡意軟件或損壞資源的方法。限制攻擊可以瞄準資源可用性。權限限制：根據用戶和系統元素的屬性，以及環境因素限制權限。限制授權個人的意外特性會危及信息或服務影響和可能性。通過要求攻擊者投入更多時間精力來獲取憑證以阻止他們。限制攻擊者利用他們獲得的憑據的能力。重新調整：構建系統和資源以滿足任務或業務功能需求，減少當前和預期風險，并適應技術、操作和威脅環境的演變。盡量減少關鍵任務和非關鍵服務間的連接，從而降低非關鍵服務故障影響關鍵任務服務的可能性。通過最小化非任務或業務功能被用作攻擊向量的可

37、能性來減少防御組織攻擊面。適應不斷變化的任務或業務功能需求。適應技術環境的變化。冗余：提供關鍵資源多個受保護實例。減少信息或服務丟失的風險。促進從不利的網絡事件的影響中恢復。限制拒絕或限制關鍵服務的時間。分割：根據關鍵性和可信度定義和分離系統元素。遏制對他們已經建立存在的飛地、系統部分或設施的對抗性活動和非對抗性壓力（例如，火災、洪水）。限制惡意軟件可以輕松傳播到的可能目標集。完整性驗證：確定關鍵系統元素是否已損壞。在不同服務或輸入之間發生沖突時，有助于確定正確的結果，檢測受損的數據、軟件或硬件以及非法修改或制造。不可預測性：隨機或不可預測地進行更改。增加攻擊對其可能遇到的系統保護的不確定性，

38、從而使他們更難以確定適當的行動方案。作為其他技術的力量倍增器。15表 1-714 項網絡彈性技術和 50 項實施方法自適應響應自適應響應分析監測分析監測協調保護協調保護情境感知情境感知欺騙欺騙多樣性多樣性動態定位動態定位動態重構動態資源分配自適應管理監測和損害評估傳感器融合分析取證和特性分析校準深度防御一致性分析編排自我保護動態資源感知動態威脅感知任務依賴和狀態可視化迷惑虛假信息錯誤引導污染架構多樣性設計多樣性組成多樣性信息多樣性路徑多樣性供應鏈多樣性傳感器動態搬遷網絡資源遷移資產流動性碎片分布式非持久化非持久化權限限制權限限制重新調整重新調整冗余冗余分割分割完整性證明完整性證明不可預測性不可

39、預測性非持久信息非持久服務非持久連接基于信任的權限管理基于屬性的使用限制動態權限允許卸載限制替代定制演化受保護的備份和還原裕度復制預定義分段動態分割和隔離完整性檢查起源追蹤特性驗證時間不可預測性環境不可預測性1.3 網絡彈性廣受重視伴隨數字技術的快速發展，網絡彈性受到了各國政府的高度重視。2013 年，美國發布第 21 號總統政策指令 PPD21關鍵基礎設施安全與彈性1-8，強調“彈性是準備好應對并適應變化條件，承受破壞并從中快速恢復的能力。彈性還包括經受故意攻擊、意外事件或自然發生的威脅，并從中恢復的能力?！泵绹鴩涟踩浚―HS）據此制定了 2013 版國家基礎設施保護計劃（NIPP201

40、3）合作促進關鍵基礎設施安全和彈性1-9。2019 年，美國國土安全部和國務院共同參與發布了關鍵基礎設施安全和彈性指南1-10，總結了采用關鍵基礎設施安全和彈性的方法，以推動提高美國關鍵基礎設施安全和彈性能力。美國國防部發布了數字現代化戰略1-11，將發展敏捷和彈性的網絡安全作為國防部數字現代化的四大目標之一。162020 年，歐盟發布關于關鍵實體彈性的法案草案1-12和未來數字化十年的網絡安全戰略1-13等，要求其所有聯網設備在設計上確保安全，對網絡攻擊具有彈性，并在漏洞出現時能迅速發現和修補。2022 年，美國網絡安全和基礎設施安全局（CISA）發布了 2023 年至 2025年戰略規劃1

41、-14，確定了加強網絡防御、減少風險和增強彈性、業務協作、統一機構 4 個網絡安全目標，為未來 3 年美國網絡和基礎設施安全指明了方向。美國發布國家安全戰略1-15和國防安全戰略1-16提出為關鍵基礎設施制定標準，以快速提高其網絡彈性，并建立快速應對攻擊的集體能力。2022 年，英國發布國家網絡戰略 20221-17、國防網絡彈性戰略1-18和2022-2030 政府網絡安全戰略-建立一個具有網絡彈性的公共部門1-19，將網絡彈性列為重要支柱。2022 年 9 月，歐盟發布全球第一個網絡彈性法案（Cyber ResilienceAct）1-20。歐盟網絡彈性法案強化了網絡安全規則，以確保生產者

42、提供更加安全的軟硬件產品。法案明確了兩個主要目標：一個是“通過確保軟硬件產品以更少的漏洞投放到市場上，要求制造商在產品的整個生命周期中認真對待安全性，為安全的數字產品研發創造條件”；另一個是“創造讓用戶在選擇和使用數字產品時主動考慮網絡安全因素的條件”。該法案標志著網絡彈性即將由“可選項”升級為“必選項”，成為判斷數字產品合格與否的硬性指標。2022 年，中國信息安全標準化技術委員會發布網絡彈性評價準則標準編制需求，擬研究定義網絡彈性指標體系，提出網絡彈性評價準則，以指導網絡運營者設計網絡信息系統，預防和緩解網絡安全風險。所有這些都表明網絡彈性已得到各國政府和網絡安全產業界的高度關注，將17對

43、網絡安全創新乃至信息化可持續發展帶來越來越重大的影響。1.4 當前發展網絡彈性存在的問題1）回避未知攻擊的網絡彈性工程思維視角存在重大硬缺陷現有網絡彈性工程框架的出發點是以保障關鍵任務和業務流程順利執行為核心目的，思維視角主要是通過對任務或業務功能和性能異常的檢測和感知來觸發任務或業務保護和恢復機制，對未知網絡攻擊導致的隱性任務或業務異常關注不夠，特別是對難以察覺的任務或業務異?；痉艞壍挚?。由于現有的網絡彈性研究缺乏應對“未知的未知”網絡攻擊的技術方法，因此無法保障關鍵業務系統承載平臺的安全性，進而無法保證關鍵業務系統的可信性，更無法達成“使命確?！钡暮诵哪繕恕，F有的網絡彈性框架中僅第 4

44、項策略設計原則“假設資源會失陷（Assume Compromised Resources）”蘊含了面向未知威脅應采取的設計策略原則。然而令人遺憾的是，雖然該設計原則明確指出了系統中可能存在無法被檢測的失陷，但其給出的建議內容僅限于被動的失陷影響分析，并未給出主動的應對方法。除此之外，在第 10 項結構設計原則“自適應的資源與風險管理”中，簡單提及“通過不可預測的應用風險管理策略以應對未知危險”。除了上述 2 條設計原則，現有網絡彈性框架再無提及如何應對未知的威脅。2）缺乏架構統領的網絡彈性工程框架存在重大硬問題在提出網絡彈性概念和工程框架的初期，探索如何構建優良的網絡彈性系統架構就始終是網絡安

45、全和網絡彈性學術界和工業界高度關注的問題。182011 年美國國家安全局（National Security Agency，NSA）啟動了一個網絡安全和隱私科學倡議項目（Science of Security and Privacy Initiative，縮寫為 SoS），贊助美國六所大學開展網絡空間安全基礎科學研究。2012 年 SoS項目發布了五大網絡空間硬問題（hard problem)1-21。其中，網絡彈性體系架構作為五大硬問題之一，歷經 10 年研究發展，迄今為止在 SoS 項目中可檢索到的研究進展（2015 年報告1-22、2022 年報告1-23）仍然有限，沒有取得明顯突破。S

46、oS 在發布彈性體系架構硬問題時強調，一個公認的挑戰是開發能夠“容忍”對系統組件成功攻擊的系統體系結構，具體包括：1)抵御攻擊；2)在受到攻擊時繼續提供基本服務（可能處于降低的級別）；3)在攻擊后快速恢復功能。SoS 指出，應該借鑒更成熟的可靠性和可用性分析方法，來設計和分析具有可量化服務水平的容侵系統架構。但是，新方法和現有的可靠性和可用性分析方法必將存在重大差異，一個緊迫的挑戰是，無法預知的網絡入侵對系統組件的影響方式與隨機的具有統計特性的硬件或軟件故障截然不同。美國國防高級研究項目局（Defense Advanced Research ProjectsAgency，DARPA）于 201

47、8 年發布了為期四年的“網絡保障系統工程（CyberAssured Systems Engineering，CASE）”項目，旨在開發一系列的設計、分析和驗證工具，使得系統工程師在設計復雜的嵌入式計算系統時，能夠像設計其他非功能特性一樣，進行網絡彈性的設計和折衷方案的管理。CASE 技術方法將網絡彈性定義為一種顯式工程性質，與目前系統工程標準中的其他整體性質類似，如安全性和可靠性等。項目雖取得一定進展，但整體成果尚不明朗。由于始終缺乏占主導地位的網絡彈性系統結構的統領，使得當前的網絡彈性19工程進展始終差強人意。IBM 公司1-242021 年 7 月對北美、南美、歐洲、亞洲和澳大利亞等地區

48、3600 多名 IT 和安全專業人員開展了第 6 次網絡彈性年度調查。在關于網絡彈性沒有改善的原因分析中，很多受訪者認為，工具繁多是網絡彈性沒有提高的一個重要原因，如圖 1-3 所示，只有 30%的受訪者表示他們的組織擁有正確的網絡彈性工具組合（圖 1-4）。圖 1-3 在過去三次調查中，很多組織部署了多種網絡彈性工具和技術圖 1-4 只有 30%的受訪者表示他們的組織擁有正確的網絡彈性工具組合203）欠缺核心能力度量的網絡彈性評估存在重大硬挑戰美國 MITRE 和 NIST 始終高度重視網絡彈性評估和度量，在高層次定性評估、定性和半定量評估（例如，網絡彈性覆蓋圖）和詳細定量打分評估方面取得了

49、積極的進展，但在 2018 年的獻1-5中認為現有網絡彈性分析評估在驗證度量系統網絡彈性核心能力方面存在三大挑戰，在明確證明一個系統是否具備了很好的網絡彈性、不同系統如何對比網絡彈性和系統網絡彈性核心能力如何評估等基本問題上還存在說服力和實踐力不足等重大硬傷。評估挑戰之一：評估復雜性與重大核心能力指標選取的關系問題一般來說，用重大核心能力指標評估彈性或網絡安全常常被認為是可行的，同樣，也有研究建議將系統所需業務能力的預期可用性作為重大核心能力指標來評估網絡彈性。但需注意的是，還需指定額外的度量標準來評估其他方面。一般而言，為了支持工程決策，任何單一的度量要么會掩蓋問題領域的復雜性，要么需要大量

50、的輸入測量值，在質量上（例如，及時性，準確性）可能變化很大，因此得到的數字是高度不確定的。為了公正地對待復雜性，產生重大核心能力指標的公式和模型應該代表大量可能的逆境和潛在的后果。復雜的公式和模型為利益相關者和工程師之間討論的主題提供了價值，以澄清什么是重要的假設。然而，以合理的成本獲取高質量（例如及時、一致）信息是重大挑戰。此外，威脅模型可能無法代表實際的對手，可能基于對手 TTP 的陳舊信息，或者基于對手故意操縱的 TTP 的信息。評估挑戰之二：評估度量結果的可比性評估度量結果的可比性也存在重大挑戰。在具有類似任務或業務職能的、面臨共同威脅和適用類似良好實踐標準的組織中-如果這些指標在整個

51、組織中以一致的方式進行評估，那么組織指標的對比可以是有意義的和信息豐富的。然而，21這種一致性通常很難實現（或證明）。在一個任務中有意義和有用的度量在另一個任務的背景下可能沒有意義或不可評價。對同一組織、任務或業務功能或系統進行長期跟蹤和比較的度量值可能有助于識別趨勢。除此之外，對比變得更具挑戰性，必須放在共同的威脅和操作環境中，才能有意義。網絡安全和網絡彈性指標在定義威脅模型或陳述關于威脅的假設的詳細程度上可能存在很大差異。類似地，指標也因對操作環境的假設以及表示操作環境的細節級別而有所不同。也就是說，度量值對度量評估環境很敏感。在不同環境中評估的度量，即使以相同的方式定義，也可能是不可比較

52、的。評估挑戰之三：可塑性和涌現性如何評估Security 安全、彈性、safety 安全和網絡彈性都是系統級別的涌現性屬性。雖然彈性可以是設備或平臺的一個屬性，但當系統元素組裝成越來越復雜的系統和系統之系統（體系）時，可能會涌現新的屬性和行為。從系統的復雜性到涌現性專著認為：“涌現和復雜性指的是一個系統的高級屬性和行為的出現，這顯然來自于該系統組件的集體動力學。這些特性不能直接從該系統的低級別運動中推導出來。涌現性是“整體”的屬性，不被構成整體的任何單獨部分所擁有?！庇楷F性屬性在本質上通常是定性的，在如何匯總、累積系統各元素或子系統的屬性和行為度量值從而推測系統整體屬性的度量結果時，總是會面臨

53、巨大挑戰。網絡彈性度量需直面網絡彈性架構整體呈現作為一種涌現屬性的評估。網絡彈性是系統在操作和威脅環境中的一種涌現屬性系統的整體行為取決于系統用戶、操作員、對手和作為其一部分的防御者的行為。因此，網絡彈性度量的定義需要確定關于這些環境特征的假設，只有當環境假設一致時，單個指標的組合才有意義。221.5 小結本章首先介紹了網絡彈性的基本概念和發展歷程，然后，對網絡彈性工程框架（目的，目標，設計原則，技術和方法）給出了概述性介紹。最后，著重分析了目前網絡彈性在思維視角、工程框架以及評估方法三方面存在的重大缺陷。232 基于系統架構的網絡彈性工程2.1 系統架構是網絡彈性的基石眾所周知，自然界存在一

54、條基本規律“結構決定性質，整體大于部分之和”。一個熟知的例子是石墨與金剛石，兩者均僅由碳元素構成，但是，由于碳原子排列結構的不同，導致其性質迥異，用途也大不相同。事實上，除了石墨與金剛石，俗稱“足球烯”的 C60 同樣也是僅由碳元素構成，但因其碳原子排列結構和石墨、金剛石均不相同，性質、用途也與前兩者大不相同。金剛石、石墨、足球烯的碳原子排列結構如圖 2-1 所示。圖 2-1“結構決定性質，性質決定用途”化學規律的具體實例“結構決定性質，整體大于部分之和”這一規律同樣適用于系統工程領域，如建筑、計算機等工程領域。以計算機體系結構設計為例，2019 年，計算機體系結構設計領域的兩位大師 Henn

55、essy 和 Patterson 指出，現有的計算機體系24結構設計缺少對安全的關注，提升計算系統安全能力必須在體系結構層面進行創新2-1。近年來，在安全計算機體系結構方面涌現出了多項創新成果2-22-3，有望極大改善計算機系統安全狀況。在網絡彈性工程領域，對系統架構設計同樣給予了高度關注。MITRE 最初有關網絡彈性的論述構建安全的、彈性的架構以實現網絡使命保障1-2，目標就直指系統架構，明確指出為應對高級持續威脅，必須依靠系統架構層面的彈性能力，并對彈性系統架構的目的、目標、特點進行了定義。2021 年，美國國家標準與技術研究院（NIST）發布的開發網絡彈性系統一種系統安全工程方法（NIS

56、T SP 800-160V2R1）1-1，指出網絡彈性系統應將安全機制作為系統結構設計的基礎要素“內嵌”到系統中，從而使系統涌現出高級的彈性特征。同時，NIST SP 800-160V2R1 給出了 14 項結構設計原則以指導網絡彈性系統架構設計，詳見表 1-5。NSA 發起的安全科學（Science of Security,SOS）研究項目，列出了網絡空間安全領域的五個硬問題（Hard Problem）2-4，彈性架構（Resilient Architectures）便是其中之一。目前，網絡彈性通常是在系統構建后通過滲透測試、反饋、系統修改而實現。美國 DARPA 于 2018 年啟動網絡安

57、全保證系統工程（Cyber AssuredSystems Engineering，CASE）項目，旨在開發一系列的設計、分析和驗證工具，使得系統工程師在設計復雜的嵌入式計算系統時，能夠像設計其他非功能特性一樣，進行網絡彈性的設計和折衷方案的管理。CASE 技術方法將網絡彈性定義為一種顯式工程性質，與目前系統工程標準中的其他整體性質類似，如安全性和可靠性。項目一旦成功，在設計階段就將能夠抵御網絡攻擊并可靠地完成預期功能考慮在內。25雖然現有的網絡彈性工程對于系統結構設計給與了高度關注，然而，令人遺憾的是，在網絡彈性系統架構層面的研究至今仍缺乏整體性和可操作性。NISTSP 800-160V2R1

58、 提供的各種網絡彈性技術方法、設計原則需根據具體情況“選擇性”使用，缺乏整體架構的設計考量，在實際應用中，使用者會陷入“選擇困難”，導致無法識別重點（參見 1.4 節）。此外，在網絡彈性評估環節，同樣缺乏對系統架構能力的評估，使得評價過程難以聚焦主要矛盾，評價結果失去客觀性和指導意義。NIST 給出的網絡彈性工程框架如圖 2-2 所示2-5，其主要方法是首先定義網絡彈性的目的（Goals），再將目的逐步細化為目標（Objectives）、子目標（Sub-objectives）、行動或能力（Activities/Capabilities），以上回答了“什么是網絡彈性”的問題。進一步，通過定義技術

59、方法來支撐各個行動或能力，通過行動或能力的達成，支撐網絡彈性目的實現。NIST SP 800-160V2R1 給出了14 項網絡彈性技術，對應分解為 50 項典型的網絡彈性方法1-1。NIST 給出的網絡彈性工程框架看似豐富，實則缺乏整體性。如上所述，系統架構是實現系統網絡彈性的基石，然而，圖 2-2 所示的網絡彈性工程框架中，并沒有體現系統架構的位置和作用。例如，系統中所有組件是否都實現了某項能力，則系統自動就獲得了該項能力？若需要在系統層面獲得某項能力，是否一定要求系統內的所有組件都必須具備該項能力？事實上，從系統工程的角度而言，系統組件和系統整體之間并非是簡單的“1+1=2”的關系，系統

60、層面的網絡彈性能力，必須依靠系統架構能力和系統架構設計獲得，如圖 2-3 所示。26圖 2-2 NIST 網絡彈性工程框架示意2-5圖 2-3 基于系統架構的網絡彈性工程示意What?How?272.2 網絡彈性系統架構的關鍵能力本節從系統整體出發，分析了實現網絡彈性所需的系統架構層面的關鍵能力。特別需要指出的是，現有的網絡彈性工程框架1-12-5中的各項能力在系統架構層面仍然適用，本節所提出的系統架構能力，是現有網絡彈性工程框架中缺失的且對于實現網絡彈性至關重要的關鍵能力，是對當前網絡彈性工程框架的重要補充。更為重要的是，本節所提出的關鍵能力，必須通過系統架構設計、利用系統工程的涌現效應獲得

61、，有別于現有網絡彈性工程框架中依靠應用一項或者多項技術方法所獲得的能力。2.2.1 對“未知的未知”網絡攻擊的感知與抵御能力美國前國防部長拉姆斯菲爾德有一句名言：（我們知道）有已知的已知，我們也知道有已知的未知，也就是說，我們知道有些事情我們不知道。但也有未知的未知那些我們不知道的未知。在網絡空間，已知威脅是指具有明顯特征的攻擊類型，可以被標簽化，是可以檢測到的。當然，已知威脅初始都是未知威脅。未知的未知包括網絡空間中廣泛存在的各種漏洞、后門，我們不知道其具體特點，也不知道其何時會被觸發。特別是對于我國這樣的信息技術后發國家，“未知的未知”網絡攻擊是網絡空間所面臨的最大威脅?，F有網絡彈性工程框

62、架的出發點是以保障關鍵任務和業務流程持續執行為核心目的，主要強調在發現任務或業務異常后能夠及時克服異常并恢復正常服28務，思維視角主要是通過對任務或業務異常（尤其是中斷等顯性異常）的檢測和感知來觸發恢復，對未知網絡攻擊導致的隱性任務或業務異常關注不夠，特別是對難以察覺的任務或業務異?；痉艞壍挚?。然而，正如 1.4 節所指出的，這種回避未知攻擊的網絡彈性思維視角存在重大硬缺陷。一個不可信的、持續運行的關鍵業務系統，甚至可能比關鍵業務系統宕機造成的危害更大。例如，被黑客潛入并控制的銀行業務系統，可能會造成關鍵業務數據丟失、客戶數據泄露、客戶資產損失的嚴重后果，相比于被攻擊后宕機的銀行業務系統而言

63、，反而可造成更大的危害。再如，被黑客控制的自動駕駛車輛，存在成為“殺人機器”的風險，相比發生故障后無法繼續行駛的車輛，危險性更高。根據 NIST 網絡彈性權威指南1-1，所有關于網絡彈性的討論都可以用其專注的重點和先驗威脅假設來區分?，F有的主流網絡彈性可以概括為網絡威脅環境下的彈性，主要專注于任務/業務功能、關注高級持續威脅的影響，主要的威脅假設包括假設環境不斷變化、假定對手將危及或破壞系統或組織、假定對手將在系統或組織中保持存在等。筆者認為，真正有效的網絡彈性不能僅僅關注高級持續威脅造成的影響，而應該直面“未知的未知”網絡攻擊，賦能對高級持續威脅本身的檢測、發現和早期扼制能力，用除因治本保障

64、網絡彈性。網絡彈性工程一開始的出發點就不是針對常規網絡威脅，它本身是建立在對傳統網絡威脅已有傳統網絡安全防護（通常是針對已知網絡威脅的外掛式安全防護）的基礎上，它面對的重點是“高級持續威脅”（APT）（非常規威脅），專指能夠滲透突破周邊防御、訪問控制和特權管理機制以及入侵檢測機制的“高級網絡威脅”，這些威脅有可能在目標系統上保持長期存在，既可能滲透和破壞數據，也可能降低或破壞任務或系統性能。29但是，現有網絡彈性工程的基本思維視角是高級持續威脅（APT）難以檢測，只能盡量采用事先多做準備，確保功能的下降盡量平緩并有底線保障，在事后能盡快彌補恢復（冗余替換重組轉移）等策略，在系統任務和業務執行過

65、程中加強對任務和業務功能性能指標異常的靈敏性、全面性監測，以及時觸發異常處理和恢復進程。典型的網絡彈性工程期望愿景如圖 2-4 所示，系統在監測到功能性能指標下降后及時啟動修復進程使得任務和業務能持續運行。圖 2-4 傳統網絡彈性功能破壞和恢復演變示意圖為刻畫高級持續威脅（APT）攻擊的進程，可采用網絡攻擊鏈示意圖的方式給出各個攻擊階段的劃分，如圖 2-5 所示?，F有的網絡彈性工程缺乏對高級持續威脅（APT）攻擊的檢測能力，因此，系統無法檢測出處于偵察、武器化、投遞、利用、控制等早期階段的網絡攻擊（對策劃中的攻擊無感），只能依賴系統任務和業務運行顯性功能性能指標的監測結果，在發現系統降效或故障

66、的同時間接推測出處于運行和維持階段的網絡攻擊，這種對網絡攻擊的間接檢測能力大大落后于對手開展網絡攻擊的進程，或許能對分布式拒絕服務類等攻擊有一定的防御效果，但往往對隱藏的或隱性的劫持、篡改或其它“未知的未知”攻擊無能為力。圖 2-5 典型的網絡攻擊鏈示意圖功 能性 能指 標功 能性 能指 標時間時間發現異常發現異常完成恢復完成恢復偵察武器化投 遞偵察利用控制執行維持30為更直觀的展示現有網絡彈性的不足，可在圖 2-4 代表的典型網絡彈性演變圖中增加網絡攻擊的進展標注，使得網絡彈性圖既顯示功能性能演變、又揭示網絡攻擊進程演變，如圖 2-6 所示（圖示方法本身就是一種創新），圖中紅色部分顯示了網絡

67、攻擊進程的階段演變。圖 2-6 現有網絡彈性缺乏對 APT 攻擊本身的早期感知能力事實上，圖 2-6 顯示網絡攻擊是因，任務/業務功能性能異常是果，上半部分的紅色虛線顯示網絡攻擊歷經偵察、武器化、投遞、利用、控制等潛伏過程，到執行階段爆發，導致相應的任務/業務功能性能異常，觸發網絡彈性干預和恢復機制，待任務/業務功能性能恢復后，可反映出上一波網絡攻擊維持階段的終止，同時下一波網絡攻擊又在醞釀，可能是以更隱蔽更進化的方式。為打破這種周而復始的循環，切實落實網絡彈性的宏偉愿景，必須將單純依賴任務/業務功能性能監測的視角轉變為檢測“未知的未知”攻擊和監測任務/業務功能性能相結合的視角，變單純的事后亡

68、羊補牢被動彈性恢復為扼制不良苗頭/早期攻擊隱患的治未病內生彈性，這種賦能可以將圖 2-6 中未感知到的紅色攻不能檢測未知的未知攻擊維持執行控制利用投遞武器化偵察不能檢測未知的未知攻擊維持執行控制利用投遞武器化偵察功 能性 能指 標功 能性 能指 標時間時間發現異常發現異常完成恢復完成恢復31擊線轉變為圖 2-7 中可感知到的綠色攻擊線。圖 2-7 具備對“未知的未知”攻擊檢測防御的網絡彈性演變圖由圖 2-7 可直觀的看到，以綠線表示的對手多次嘗試的 APT 攻擊被扼制在攻擊的早期（也就大大威懾了對手發起后續攻擊的意愿），以黑藍色線表示的系統功能性能曲線始終維持平穩，避免大的起落，可更好的避免系

69、統任務和業務功能性能的異常。2.2.2“1+12”的攻擊面收縮能力對冗余性、多樣性相關技術的應用是實現網絡彈性的必要手段1-1。然而，簡單應用冗余性和多樣性相關技術的一個明顯缺陷是導致系統攻擊面擴大1-1，帶來更大的安全風險。因此，通過系統架構設計，調和看似沖突的相關技術，在充分利用冗余性、多樣性技術實現網絡彈性能力提升的同時，不顯著增加甚至縮小系統的攻擊面，是網絡彈性系統架構的關鍵能力之一。同“未知的未知”網絡攻擊的感知與抵御能力類似，“1+12”的攻擊面收縮能力難以通過簡單應用一項或者多項技術獲得，而是需要系統架構設計層面的可以檢測未知的未知攻擊維持執行控制利用投遞武器化偵察可以檢測未知的

70、未知攻擊維持執行控制利用投遞武器化偵察功 能性 能指 標功 能性 能指 標時間時間32整體考量，通過協同應用冗余性、多樣性及其他相關技術方法，從時間或者空間維度，或者同時從時間-空間兩個維度縮小系統攻擊面。圖 2-8 給出了從時間和空間維度縮小攻擊面的例子。圖 2-8(a)采用移動目標防御的思想，從時間維度縮小系統的攻擊面。系統輸入被隨機分配到功能等價的冗余子系統 1 或子系統 2，任一子系統的輸出均視為系統輸出。這樣，由于攻擊面的動態變化，攻擊者實施攻擊的難度加大，系統的攻擊面出現收縮效應。圖 2-8(b)采用非相似余度構造（Dissimilar Redundancy Structure，D

71、RS）的思想，將系統輸入同時復制到功能等價的冗余子系統 1 和子系統 2，兩個子系統的輸出經過比對，確認一致后，方作為系統的輸出。此時，若不考慮復制及比對模塊，則系統的攻擊面收縮為子系統 1 和子系統 2 的攻擊面的交集，如圖 2-8(b)中紅色區域所示。(a)時間維度縮小攻擊面33(b)空間維度縮小攻擊面圖 2-8 通過架構設計縮小系統攻擊面示例考慮到冗余性、多樣性對于實現網絡彈性的重要意義，通過系統架構設計，利用系統工程的“涌現性”能力，縮小系統攻擊面，是網絡彈性系統架構的關鍵能力之一。2.3 網絡彈性系統架構的關鍵設計原則網絡彈性系統架構的關鍵設計原則網絡彈性系統架構的關鍵能力必須通過系

72、統架構設計獲得。NIST 網絡彈性工 程 框 架 1-1 中 給 出了 14 項 系 統結 構 設 計原 則（Structural DesignPrinciples，詳見表 1-5），對如何設計具有良好網絡彈性能力的系統架構給出了有價值的指導。本白皮書在現有網絡彈性工程框架的基礎上，進一步提出了若干系統架構層面的關鍵設計原則。342.3.1 技術結構化協同應用原則網絡彈性工程框架中的各項技術方法并非是相互獨立、彼此無關的。為實現特定的網絡彈性系統架構能力，在系統架構設計中，必須對多項技術方法進行結構化的協同應用，從而獲得系統工程的特性“涌現”增益。以 2.2 節描述的“對未知的未知網絡攻擊的感

73、知與抵御能力”這一關鍵系統架構能力為例，需要綜合應用動態性（Dynamics）、多樣性（Variety）、冗余性（Redundancy）相關的技術方法和設計原則方能達成。在網絡攻擊過程中，攻擊鏈的有效性與可靠性十分依賴目標系統的靜態性、確定性和相似性。圖2-9 為攻擊鏈示意圖，其中任一環節的變化都可能使攻擊無法達成預期的目的。換言之，攻擊鏈其實也十分脆弱。例如，在系統探測、漏洞挖掘、系統突破環節導入隨機性、動態性和多樣機制就能有效的對抗隱蔽滲透；在系統控制、信息獲取、系統毀損階段導入異構冗余擇多判決機制就能應對潛伏或蟄伏攻擊?？梢?，動態性、多樣性、冗余性是實施有效防御的重要機制。圖 2-9 典

74、型的網絡攻擊鏈35現有的網絡彈性工程框架中，多項結構設計原則及技術方法與動態性、多樣性、冗余性相關，不妨將與上述三者相關的原則和技術組成的集合分別記作 D 域、V 域和 R 域。圖 2-10 列出了 NIST 網絡彈性權威指南1-1中給出的 14 項技術和14 個設計原則在 D、V、R 域內的映射結果。由圖 2-10 可見，現有網絡彈性框架中的設計原則與技術技術方法有半數落在了 D 域、V 域和 R 域的并集內。圖 2-10 NIST 網絡彈性設計原則和技術在 DVR 域的映射然而，為獲得 2.2 節所述的“對 未知的未知 網絡攻擊的感知與抵御能力”，在系統架構中僅應用動態、異構、冗余中的任意

75、一項或者兩項是不夠的。以應用任意兩項為例：只應用動態性和異構性，典型的技術實例是移動目標防御（Moving Target Defense,MTD）2-6，通過隨機性地選擇目標對象提供當前對外服務功能，存在的問題是多樣化目標對象中只要存在一個防御者未知的后門，攻擊者可通過內外配合方式至少達成竊取敏感信息的協同攻擊目的；只應用動態性和冗余性，典型的技術實例是當前高可靠系統中應用的多模冗余36（Multi-modular Redundancy）2-72-8機制，雖然可以防御隨機故障，但是無法抵御基于未知漏洞后門的網絡攻擊；只應用多樣性和冗余性，典型的技術實例是非相似余度構造（Dissimilar R

76、edunancy Structure,DRS）2-9，存在的問題是由于目標系統的異構冗余體數量和部署方案是靜態的、確定的和相似的，進而攻擊表面也是確定的和相似的。如果多個冗余體上存在攻擊者已知但防御者未知的漏洞后門時，攻擊者可以采用逐個擊破的方式實施攻擊。由上述分析可見，簡單應用動態性、多樣性、冗余性機制并不能實現抵御“未知的未知”網絡攻擊的目的。事實上，只有通過結構化的協同方式，同時應用動態性、多樣性、冗余性技術，方可實現上述目標2-10?，F有的網絡彈性技術方法、設計原則均沒有落在 DVR 交集內，如圖 4.7 所示。因此，雖然當前網絡彈性框架給出了分別涉及動態性、多樣性和冗余性的多項設計原

77、則和技術，但由于缺乏將動態性、多樣性和冗余性三者有機融合的架構設計，并不具備“對未知的未知網絡攻擊的感知與抵御能力”。2.3.2 反饋控制原則實現系統對于外界環境的演化適應是網絡彈性的重要目的之一。為達成這一目的，在系統架構設計必須引入反饋控制機制，如圖 2-11 所示。外部攻擊的動態變化通過狀態分析器進行感知，狀態分析器對系統內各子系統、各組件的輸出及運行狀態進行綜合分析，發現潛在問題和風險，并通過反饋控制器對系統內各子系統、組件的運行狀態以及系統內部網絡的連接關系進行調整，使系統及時進37行自適應的變化調整。這一過程和智能生物體對外界環境變化的調整過程類似，反饋控制機制是網絡彈性系統架構設

78、計中必須應用的原則。圖 2-11 帶反饋控制的系統架構示意圖2.3.3 標準化組件庫原則系統結構設計中應盡量將子系統、組件分解為具備低耦合、高內聚、標準接口特性的獨立功能組件，各功能組件易于按需組合，實現所需的系統功能。按照標準化組件庫進行系統設計的優點主要有：便于功能組件的復用。便于各組件的獨立開發測試，增強了組件的可靠性和魯棒性。便于根據少量的異構組件，生成多樣化的子系統，提高系統的網絡彈性能力。假設系統包含 N 個組件，每個組件有 M 個異構實現，則經過組合，可生成 MN38個系統的異構實現，對于提升系統網絡彈性有著極大裨益。當前，云原生加微服務技術基座可為標準化組件庫構建提供良好的技術

79、平臺支撐，虛擬化運行環境也為異構系統構建提供了便利條件。2.3.4 最少狀態或無狀態原則網絡彈性系統對“動態性”有著極高的要求，而子系統或者組件的內部狀態是其動態運行的最大障礙，因此，在網絡彈性系統架構設計時，應盡量減小動態運行的子系統或組件的內部狀態，最好采用無狀態的子系統或組件，以實現快速的動態切換。無狀態組件并非指將其組件所需的內部狀態完全消除，而是將狀態存儲模塊從組件內部移動到組件外部。圖 2-12 給出了無狀態組件的實現方式示意圖2-11。由于組件在動態運行的啟動和結束時刻，無需考慮內部狀態的同步問題，因此可極大的提高組件上線、下線的速度，提高系統動態運行的靈活性。圖 2-12 無狀

80、態組件實現方式示意2-11當前，數據中心資源解耦的趨勢為實現無狀態組件提供了極大的便利條件。通過 RDMA、CXL 等低延時互聯技術，可實現組件狀態的遠程存儲，在對組件39的性能造成較小影響的前提下，實現冗余組件的動態運行和快速接替，極大的提升系統的彈性能力。2.5 小結小結本章指出了系統架構是網絡彈性的基石，并提出了網絡彈性系統架構的關鍵能力和設計原則。從系統架構入手考慮網絡彈性，可扭轉當前網絡彈性框架缺乏系統性、整體性的困局，為系統設計人員提供有價值、可操作的關鍵抓手。403 網絡彈性評估框架網絡彈性評估度量主要用于衡量和檢驗網絡彈性工程的實施效果，是事關網絡彈性健康發展的關鍵環節。近年來

81、，業界對網絡彈性評估度量投入了大量研究，也取得了很多積極的進展。例如，以 MITRE 為代表的研究機構始終高度重視網絡彈性評估和度量，提出了包含 500 余項度量指標的網絡彈性評估分析框架，在高層次定性評估、半定量評估（例如，網絡彈性覆蓋圖）和定量評估方面均取得了積極的進展3-1,3-2,3-3。但正如本白皮書 1.4 節所指出的，目前的網絡彈性評估框架欠缺對系統核心能力的整體度量，這就導致現有網絡彈性分析評估方法在驗證系統是否具備良好的網絡彈性、具有相似業務職能的不同系統彈性能力如何對比以及網絡彈性核心能力如何檢測等問題上仍面臨關鍵挑戰。之所以存在這些挑戰，根本原因就在于目前的網絡彈性評估度

82、量缺乏對網絡彈性系統架構的評估。事實上，正如第二章所指出的，系統架構是網絡彈性的基石，系統網絡彈性能力的高低首先取決于系統是否具有優良的架構設計。因此，為應對上述挑戰，更全面完整的評估分析一個系統的網絡彈性，必須從評估系統架構入手。本章正是從評估系統架構入手，提出網絡彈性系統架構評估的基本框架。該框架針對網絡彈性保障關鍵業務持續可信運行的核心需求，從威脅數據分析、威脅事件感知、威脅積累防范、威脅目標隱藏、威脅損害限制、受損資源恢復和威脅環境重構等七個方面，對系統具有的威脅態勢的“感知性”、威脅抵御的“魯棒性”、威脅損害的“恢復性”和威脅變化的“適應性”等內容開展綜合評估，作為系統網絡彈性分析評

83、估的核心度量。相應評價指標形成對系統網絡彈性體系41架構評估的“關鍵一票”否決制度。網絡彈性系統架構評估聚焦系統網絡彈性共性問題和網絡彈性核心能力，可為后續進一步開展網絡彈性行業化乃至個性化評估奠定堅實的基礎。3.1 網絡彈性系統架構評估網絡彈性系統架構評估3.1.1 網絡彈性系統架構評估框架網絡彈性表現為能夠準確預測威脅風險、主動抵抗威脅攻擊、及時應對化解系統擾動、維持系統正常運行，并且在可接受時間內恢復其功能狀態的能力。目前網絡彈性工程框架缺乏統領整個網絡彈性技術體系的主導架構，其彈性效果的分析評估也欠缺對系統架構網絡彈性核心能力的度量。系統架構反映了系統所具備的網絡彈性能力基線，架構的好

84、壞直接影響系統的網絡彈性性能。本節提出網絡彈性系統架構的評估框架和指標，作為系統網絡彈性分析評估的核心能力度量。表 3-1 展示了網絡彈性系統架構評估框架。該框架從威脅態勢感知性、威脅抵御魯棒性、威脅損害恢復性和威脅變化適應性等四個評價內容，對系統架構網絡彈性關鍵核心能力進行評估。每個評價內容通過一個或多個評價要點對其進行評價，每個評價要點由若干評價項目構成。然而，針對網絡彈性系統架構性質的評價指標是一種典型的定性指標，對指標的評估依賴于評估專家的專業知識和理解。因此，針對每個評價項目，可以定義一個或多個定量度量指標。評估和跟蹤這些定量指標可以為每個評價項目描述的能力評價提供支持證據。這些評價

85、項目42進一步匯總為對每個評價要點的評估，并最終匯總為對系統架構提供網絡彈性性質能力的評估。表3-1 網絡彈性系統架構評估框架評 價 內 容評 價 內 容評 價 要 點評 價 要 點評 價 項 目評 價 項 目威脅態勢感知性威脅數據分析威脅數據記錄威脅回溯分析威脅事件感知異常輸入感知異常性能感知未知威脅感知威脅抵御魯棒性威脅積累防范資源可信度標識不可信資源卷回不可信資源替換資源非持續威脅目標隱藏資源可隱藏資源可偽裝威脅損害恢復性威脅損害限制資源可隔離資源可遷移資源重配置受損資源恢復資源冗余性資源可替換43評 價 內 容評 價 內 容評 價 要 點評 價 要 點評 價 項 目評 價 項 目威脅變

86、化適應性威脅環境重構資源多樣性資源可選擇資源可升級3.1.2 網絡彈性系統架構評價指標如上所述，為評估系統架構提供的網絡彈性能力，從系統架構網絡彈性評價框架出發定義一系列代表性定量度量指標，可用于支持對威脅態勢感知性、威脅抵御魯棒性、威脅損害恢復性和威脅變化適應性的評估。這些定量指標可以用來評估系統提供網絡彈性相關性質的完整程度、速度或置信度。1）威脅態勢感知性系統架構威脅態勢感知性是指保持對威脅和攻擊的知情準備狀態，以防止任務或業務功能以及系統資源受到對手攻擊的損害。威脅態勢感知性可通過保持系統對已知或未知威脅的感知以及對威脅情報數據的記錄和分析來實現。評價系統架構威脅態勢感知性的關鍵指標主

87、要包括以下方面：威脅數據分析。對威脅數據的分析主要是對告警這一類安全情報進行分析、處理和可視化等方式實現，或者利用多種安全設備生成的安全情報數據，分析獲取系統或網絡環境中敵方活動的證據或跡象。對威脅數據分析指標的評價可從威脅數據記錄和威脅回溯分析兩方面進行評價。威脅事件感知。對可能對系統和網絡環境造成危害的潛在威脅或漏洞進行監44視和識別，保持對已經觀察到的或預期的威脅的感知。主要包括對異常輸入的感知、對異常性能的感知以及對未知威脅的感知?？捎糜谥С衷u估系統威脅態勢感知性的代表性指標見表 3-2 所示。表3-2 威脅態勢感知性代表性指標威脅態勢感知性評價要點評價項目代表性指標威脅數據分析威脅數

88、據記錄是否對任務關鍵資源建立和維護日志記錄；監控的網絡資源百分比；惡意活動的審計記錄分析頻率；威脅回溯分析通過威脅分析制定的入侵指標或可觀察指標的數量；從啟用惡意軟件或取證分析到使用分析結果之間的時間；威脅事件感知異常輸入感知系統使用的威脅情報源的數量；系統威脅情報源更新的頻率；系統監測的威脅類型的數量；從輸入發生異常到感知到異常所需的平均時間；異常性能感知判斷性能異?？紤]的指標的數量；從性能發生異常到感知到異常所需的平均時間；從感知到性能異常到異常上報所需的平均時間；未知威脅感知系統是否能夠發現未知的威脅活動或異常情況；從檢測到未知威脅事件到完成評估損害過程的平均時間；452）威脅抵御魯棒性

89、系統威脅抵御魯棒性是指系統能夠抵御來自對手持續不斷的攻擊，保持系統基本任務或業務功能的持續運行。評價系統威脅抵御魯棒性的關鍵指標主要包括以下方面：威脅積累防范。通過撤銷或替換不可信資源，保持系統運行資源的可信性，維持系統運行環境的不確定性，防止攻擊者從不斷持續試錯的攻擊嘗試中獲取有益的經驗或推測。威脅目標隱藏。通過隱藏系統資源或對資源進行偽裝來縮小系統攻擊表面，使對手將精力花費在已進行有效監控和防御的一小組資源上?？s小攻擊面可導致對手浪費資源、對系統防御環境做出錯誤假設、過早地發起攻擊或泄露對手信息?？捎糜谥С衷u估系統威脅抵御魯棒性的代表性指標見表 3-3 所示。表3-3 威脅抵御魯棒性代表性

90、指標威脅抵御魯棒性評價要點評價項目代表性指標威脅積累防范資源可信度標識對可信度進行標識的任務關鍵資源的百分比；不可信資源卷回可動態卷回的關鍵資源的百分比；從不可信資源卷回到可信資源上線的平均時間；不可信資源替換用受保護資源替換不可信資源所需的時間；資源替換后對資源不受類似問題影響的信心；資源非持續按需生成并在不需要時終止的資源百分比；資源的最大或平均使用期限資源到期后是否殘留敏感數據；威脅目標隱藏資源可隱藏應用密碼加密的資源的百分比；密碼加密機制的強度；資源可偽裝能夠實施偽裝的網絡資源百分比；單位時間內資源更改偽裝的頻率；463）威脅損害恢復性系統架構威脅損害恢復性是指在對手成功攻擊情況下，最

91、大程度地限制攻擊對系統造成的損害，并且盡可能地恢復受損資源，保證系統業務的持續性。評價系統威脅損害恢復性的關鍵指標主要包括：威脅損害限制。通過限制威脅攻擊的損害范圍，使得網絡防御者能夠將精力集中在應對有限的受損網絡資源上。同時，限制損害也為資源快速恢復提供了基礎。威脅損害限制可通過將攻擊中涉及的受損網絡資源與其他網絡資源隔離開，移動網絡資源或者動態修改資源配置來實現。受損資源恢復。通過恢復在攻擊中受損的任務關鍵資源，來實現關鍵任務的恢復?？赏ㄟ^部署冗余資源并用受保護的資源替換受損資源來實現?？捎糜谥С衷u估威脅損害恢復性的代表性指標見表 3-4 所示。表3-4 威脅損害恢復性代表性指標威脅損害恢

92、復性評價要點評價項目代表性指標威脅損害限制資源可隔離從決定隔離資源到完成隔離之間的時間；從其他位置發現、訪問或使用的動態隔離資源的百分比；資源可遷移能夠動態遷移的網絡資源的百分比；完成資源遷移過程所需時間；從決定遷移資源到遷移資源可用之間的時間；資源重配置能夠動態重配置的資源百分比；完成資源重配置過程所需的時間；單位時間內修改資源配置的頻率；受損資源恢復資源冗余性存在冗余并且能夠動態切換到冗余的資源百分比；資源可替換資源完成切換到冗余過程所需的時間；單位時間內資源切換到冗余的頻率；474）威脅變化適應性系統架構威脅變化適應性是指系統具備對動態變化威脅的適應能力。威脅變化包括威脅環境的變化和技術

93、環境的變化。其中威脅環境變化反應在威脅模型的變化，包括對手能力、意圖、目標以及攻擊手段的變化；技術環境變化包括新發現的技術固有漏洞或特定產品漏洞、技術部署或使用方式的變化、新技術的引進以及陳舊技術的淘汰。評價威脅變化適應性的關鍵指標主要包括以下方面：威脅環境重構。通過重構網絡資源以應對威脅或技術環境的變化。這通過部署多樣性的網絡資源，并根據當前威脅環境選擇適合的網絡資源以支持系統關鍵任務的運行。另外，也可通過結合新技術或根據新發現的威脅漏洞、預期的威脅變化對網絡資源升級來實現?？捎糜谥С衷u估系統威脅變化適應性的代表性指標見表 3-5 所示。表3-5 威脅變化適應性代表性指標威脅變化適應性評價要

94、點評價項目代表性指標威脅環境重構資源多樣性存在多個異構實現的網絡資源的百分比；實現相同或相似能力所使用的不同技術架構或標準的數量；來自非重疊供應鏈的資源百分比；資源可選擇能夠動態選擇運行實例的資源百分比；資源可升級完成資源升級所需的時間；從決定升級資源到升級資源可用之間的時間；48需要說明的是，以上定義的定量度量指標都是代表性的，在評估具體系統架構的網絡彈性時，需要根據具體情況對指標進行重新解釋。另外，也并非所有定量指標都能應用于任何系統架構。針對具體系統架構，有些指標可能被刪除或替換。當然也可定義與具體系統架構相關的新的指標。3.1.3 網絡彈性系統架構評分在評價網絡彈性系統架構時，評價人員

95、根據目標系統架構以及網絡彈性系統架構評價框架為每個評價項目選擇若干個定量度量指標。定量度量指標的選擇可以參考第 3.1.2 節所列的代表性指標，但一般會針對目標系統架構對度量指標進行重定義。對定量度量指標的評估可通過第 4 章所述的各種評估方法，如靜態評估、對抗評估或破壞性評估。在完成對所設定定量度量指標的評估后，可通過計算系統架構網絡彈性評分來反應系統架構整體網絡彈性能力。系統架構網絡彈性評分采用逐級加權評分計算方式。首先對系統架構網絡彈性評價框架中的每個評價項目打分，范圍為 0-5 分，見表 3-6 所示。對評價項目的打分依賴于對與該評價項目相關的定量度量指標的評估結果。系統架構網絡彈性評

96、價框架中每個評價要點所包含全部評價項目的評分加權匯總為該評價要點的評分。全部評價要點的得分最終匯總為系統架構整體網絡彈性得分。表 3-7 展示了系統架構網絡彈性評價框架中各評價要點和評價項目的評分權重。49表3-6 評價項目評分規則分值描述5相應定量指標的評估值全部處于或高于目標水平。4相應定量指標的評估值全部處于目標水平的可接受范圍內。3相應定量指標的評估值大多數處于目標水平的可接受范圍內。2相應定量指標的評估值很少有處于目標水平的可接受范圍內。1相應定量指標的評估值全部處于目標水平的可接受范圍之外。0該評價項目對目標系統架構不適合用。表3-7 評價指標和評價項目權重評價內容評價要點評價項目

97、評價要點評分權重評價項目評分權重威脅態勢感知性威脅數據分析威脅數據記錄5025威脅回溯分析25威脅事件感知異常輸入感知5015異常功能感知15未知威脅感知20威脅抵御魯棒性威脅積累防范資源可信度標識5010不可信資源卷回15不可信資源替換15資源非持續10威脅目標隱藏資源可隱藏5025資源可偽裝2550評價內容評價要點評價項目評價要點評分權重評價項目評分權重威脅損害恢復性威脅損害限制資源可隔離5020資源可遷移20資源重配置10受損資源恢復資源冗余性5025資源可替換25威脅變化適應性威脅環境重構資源多樣性5020資源可選擇20資源可升級10根據評價指標下每個評價項目的評分，通過公式（3-1）

98、加權計算各個評價要點的評分，評分范圍為 0-50。Si=50jwijRij/(jWij5)(3-1)式中：i評價要點數；j評價要點i內的評價項目數；Si評價要點i的評分；Wij評價要點i內的評價項目j的權重；Rij評價要點i內的評價項目j的評分。系統架構網絡彈性評價指標反映了系統所具備的網絡彈性能力基線。若系統架構在某一評價要點中評分過低，則表明系統即使在其他方面應用再多彈性技術，也難以從根本上提升系統對基本業務的網絡彈性保證水平。圖 3-1 展示了系統架構網絡彈性能力底線。51圖 3-1 系統架構網絡彈性能力基線在計算各評價要點的評分后，若某一要點評分低于該底線，則該系統架構也不具有網絡彈性

99、，整體網絡彈性評分應為零。若全部評價要點評分均高于該底線，則再基于各個評價要點的評分，按照公式（3-2）計算評分分值，得到系統架構網絡彈性整體評分，評分范圍為 0-100。S=100iWiSi/(iWi50)(3-2)式中：S系統架構網絡彈性整體評分；I評價要點數Wi評價要點i的權重；Si評價要點i的評分。523.2 網絡彈性其他方面的評估網絡彈性系統架構評估是用來聚焦和解決系統的共性問題，反映了對系統核心能力的評估。在對比系統的彈性水平時，首先要看系統架構對共性問題的解決能力，如果體系架構不合格則一票否決，如果體系架構優良，再進一步評估系統的技術能力。網絡彈性技術能力評價以網絡彈性目標為牽引

100、。NIST 給出的網絡彈性工程框架1-1明確了網絡彈性在整個生命周期中要實現的八個目標，包括阻止或避免、扼制、持續、重建、重構、轉變、準備和理解。通過實現這些網絡彈性目標以滿足系統對彈性安全的需求。對網絡彈性目標實現程度的評估可推動系統網絡彈性復雜性的全面評估。網絡彈性目標實現程度是一種典型的定性指標，對指標的評估依賴于評估專家的專業知識和理解?？啥x與網絡彈性目標相關的定量指標（例如網絡資源百分比、事件之間的時間等），作為評估網絡彈性目標實現程度的重要依據。定量指標與網絡彈性目標之間的關系可通過為每個目標定義相應的子目標和能力來闡明。其中網絡彈性子目標是對目標某些方面的具體重述，側重于為實現

101、目標而必須完成的一類任務。網絡彈性能力則描述了系統實現網絡彈性目標和子目標應執行的行動或提供的功能。從網絡彈性能力出發能夠較為容易地定義相關的性能指標，對這些指標的評估反映了系統提供相應能力的程度。這些評估可進一步匯總為對子目標實現程度的評估以及最終匯總為對網絡彈性目標實現程度的評估。表 3-8 展示了系統網絡彈性復雜性全面評估相關的目標、代表性子目標和代表性能力。有關網絡彈性技術能力評價的詳細指標可參考1-6。53表3-8 系統網絡彈性復雜性全面評估相關的目標、子目標和能力目標代表性子目標代表性能力預防/避免應用基本防護手段限制對資源的訪問限制網絡實體/用戶行為應用多重防御手段保護數據安全限

102、制資源暴露于威脅創建冗余并動態切換動態變換資源動態重配置資源動態遷移資源保持資源非持續分布式信息存儲動態修改權限限制降低攻擊感知收益隱藏資源提供誤導信息偽裝資源準備創建并維護網絡行動方案制定并實施自動化 CCoA追蹤 CCoA 的有效性維護執行網絡行動方案所需的資源預置資源支持 CCoA備份功能恢復所需數據提供快照和狀態恢復機制創建和維護網絡資源異構冗余驗證網絡行動方案的可操作性模擬演習 CCoA持續維持功能攻擊損害評估維持任務性能動態重配置現有資源動態重分配現有資源故障轉移到備用資源部署多樣性資源54確保運行功能正確驗證數據來源驗證數據完整性和質量驗證服務完整性或行為遏制資源隔離隔離網絡資源

103、資源遷移動態遷移關鍵資源動態遷移非關鍵資源改變資源切換到冗余資源重配置資源保持資源非持續恢復識別受損資源識別不可用資源識別受損信息識別受損服務識別受損組件恢復功能恢復系統性能重建受損資源驗證功能驗證恢復資源的數據來源驗證恢復資源的完整性驗證恢復資源的行為轉換識別不必要依賴識別關鍵任務依賴調整任務過程基于任務功能重分配資源替換不可信資源重構修改系統識別并替換風險組件實施定制化分析監控重新實現關鍵組件創建不同版本的系統重構系統減少關鍵資產減少資源暴露時間增加系統靈活性增加系統防御能力55理解理解敵手使用共享威脅信息分析揭示敵手 TTPs觀察分析欺騙環境下的威脅活動揭示敵手數據滲透行為理解資源間的依

104、賴維護任務對網絡資源的依賴關系維護網絡資源間的功能依賴關系維護對外部資源的功能依賴關系理解與威脅事件相關的資源狀態跟蹤網絡資源的安全態勢減小監控盲點開發定制化分析方法執行損害評估理解網絡安全和網絡彈性控制的有效性跟蹤防御的有效性跟蹤檢測機制的有效性跟蹤網絡行動方案的有效性3.3 小結本章提出了系統架構層面的網絡彈性評估框架與評價指標。系統架構網絡彈性評估聚焦系統網絡彈性共性問題和對網絡彈性核心能力的評估，相應評價指標形成了對系統網絡彈性體系架構評估的“關鍵一票”否決制度，是系統整體網絡彈性評估的前提和基礎。564 網絡彈性評估方法4.1 概述網絡彈性評估可以從組件、系統、業務、組織、地區、國家

105、等多個層面進行，本白皮書關注的重點是系統層面的網絡彈性評估，特別是系統架構相關的網絡彈性評估。之所以特別關注系統架構層面的網絡彈性，是因為單純的堆砌技術方法并不能實現期望的網絡彈性目的。從某種意義上說，“結構決定性質，性質決定用途”這一化學基本原理在信息系統中仍然適用?？梢圆捎枚喾N方法對系統網絡彈性能力進行評估。根據對實際系統和業務的影響程度從低到高的順序，網絡彈性評估方法依次可分為靜態評估、對抗評估、破壞性評估三類。圖 4-1 三類網絡彈性評估方法的內容及優缺點57靜態評估基本不會對系統和業務的運行產生干擾，其實施方式可以是定性分析，也可以是專家打分式的定量評估。對抗評估采用紅藍對抗的方式，

106、由攻擊方對系統發起真實攻擊，在此條件下對系統的網絡彈性能力進行測試評價。對抗評估通常會對系統運行和業務性能造成負面影響。破壞性評估的原理是人為向系統中注入故障（Fault）或失陷（Compromise），通過觀察系統在部分組件或安全機制失效條件下的運行情況，對系統的網絡彈性能力進行評估。破壞性評估一般會對系統運行和業務性能產生直接影響，影響程度取決于系統實際的網絡彈性能力?，F有的破壞性評估方法主要是混沌工程（Chaos Engineering）方法，該方法向系統中注入隨機故障或失效。本白皮書提出了一種新的“廣義功能安全白盒測試”方法，該方法不僅能夠向系統中注入隨機故障或失效，更為重要的是能夠向

107、系統中注入安全失陷，模擬系統部分組件被黑客攻陷的場景，在此條件下評估系統的彈性能力。圖 4-1 對上述三類方法的主要內容及優、缺點進行了總結。從黑盒評估/白盒評估以及動態評估/靜態評估這兩個維度分析，上述三類評估方法在方法空間中所處的位置如圖 4-2 所示。對抗評估和破壞性評估都屬于動態評估，評估對象為在實驗環境或者生產環境中實際運行的被評估系統。靜態評估過程中需要獲知系統的運行背景、威脅背景、架構特征、技術方法、設計原則等信息，上述信息通常以設計說明書、日志分析報告、測試報告等檔形式提供，一般無需要求系統以白盒方式對評估者開放?？紤]到靜態評估過程中，需要對系統結構特點以及所采用的技術方法、設

108、計原則等有一定了解，并且在某些需求場景中，可能因涉及代碼審計等環節，因此，靜態評估可能會包含黑盒和白盒兩種方式，如圖 4-2 所示。對抗評估一般以黑盒方式進行，模擬攻擊者對系統發起攻擊的場景，驗證系統在面臨攻擊時的彈性能力。破壞性評估過程中由于需要向系58統內部注入功能故障或者安全失陷，需要將系統部分組件向評估者開放，因此一般以白盒方式進行。圖 4-2 各類網絡彈性評估方法在方法空間中所處的位置根據霍爾系統工程論模型4-1，系統生命周期包括啟動規劃、設計開發、實驗驗證、部署運行、退役等階段。不同的評估方法適用于系統生命周期的不同階段4-1，如圖 4-3 所示。在實際應用中，可以根據系統所處的生

109、命周期階段、評估擬達成的目標、所擁有的資源、風險承受能力等因素進行綜合衡量，選擇一種或者幾種評估方法。圖 4-3 各類評估方法在系統生命周期不同階段的應用594.2 靜態評估通過靜態評估的方法進行系統架構網絡彈性評估應遵循自頂向下（Top-Down）的流程，采用定性分析和定量打分相結合的方式進行。首先進行高層的定性分析，確定系統的相關運行背景、明確彈性目標的優先級、分析系統基本的網絡彈性能力；其次，在明確系統相關背景和目標優先級的基礎上，對相關系統架構指標進行評分，為評價系統架構網絡彈性能力基線（參見圖 3-1）提供支撐。4.2.1 系統整體定性分析系統整體定性分析的目的是從整體視角對系統的網

110、絡彈性能力進行粗線條的評估，勾勒系統網絡彈性能力的基本輪廓（Profile），這一過程也稱為網絡彈性分析（Cyber Resiliency Analysis）4-2。系統架構層面的網絡彈性分析主要包括系統背景分析、系統技術架構分析、系統威脅與風險分析、給出定性分析結論與建議四個步驟。在定性分析過程中，應當重點關注并試圖回答的問題見表 4-1 所示。60表4-1 系統整體定性分析過程中應當重點關注并試圖回答的問題序號序號問題問題關注問題的分析步驟關注問題的分析步驟1系統所承載的關鍵業務有哪些？系統背景分析2系統中存在哪些高價值資產？3威脅源頭和敵手特點有哪些？4如何設定各網絡彈性目標、子目標的權

111、重？5系統架構設計中應用了哪些網絡彈性設計原則、技術方法？系統技術架構分析6系統架構能力是否能夠較好的支撐網絡彈性目標、子目標，特別是大權重的目標、子目標的實現？7關鍵業務子系統是否具備抵御“未知的未知”網絡攻擊的能力？8系統的攻擊面是什么？系統威脅與風險分析9系統中存在哪些關鍵資源和脆弱環節？10系統對已知攻擊戰術、技術和程序（TTP）的防護完整度如何？1）系統背景分析系統背景分析的流程如圖 4-4 所示，主要包括系統程序性背景分析、系統架構背景分析、系統運行背景分析和系統威脅背景分析四個步驟。程序性背景分析的目的是明確系統是如何獲取、開發、調整、重構的；梳理系統的相關參與方，了解其風險管理

112、策略和關注的風險點，其中包括確定物理安全、信息安全、可靠性、系統彈性、網絡彈性等各類目標的優先級。架構背景分析的目的是明確系統的類型，例如 CPS 系統、IoT 系統、企業 IT 設施等；確定系統的外部接口和對外依賴關系；明確系統所采用的關鍵組件與技術。運行背景分析的目的是明確系統的使用情況，包括系統的基本功能、用戶情況、關鍵業務、是否包含高價值目標、有效性和性能評價指標等；確定系統的管理支持、升級維護情況；明確系統61和外部系統的信息交互情況及依賴關系；確定系統的使用情況、外部依賴情況的預期變化。系統威脅背景分析的目標是明確系統的威脅源頭，所關注的威脅事件、威脅場景；分析敵手的攻擊意圖、攻擊

113、時間、攻擊專注度等。通過系統背景分析，可界定系統所承載的關鍵業務，識別系統中所存在的高價值資產，梳理威脅源頭，理解敵手特點，對系統的網絡彈性目標、子目標進行具體解釋，設定各目標、子目標的權重。系統的相關背景分析是后續各分析步驟的前提和基礎。圖 4-4 系統相關背景分析的流程2）系統技術架構分析系統技術架構分析的流程如圖 4-5 所示。首先，分析系統架構層面所應用的網絡彈性設計原則，包括策略設計原則和結構設計原則。其次，分析系統架構層面所應用的網絡彈性技術與方法。需要注意的是，網絡彈性技術之間的潛在相互作用關系，例如，A 技術的生效可能依賴于 B 技術。因此，在分析過程中，應當結合系統的具體應用

114、環境和背景，對網絡彈性各項技術方法進行具體解釋，并根據技術方法的相互關系，對其在現實系統中的有效性進行評估，以獲得相對客62觀的分析結果。在分析梳理了系統所采用的各項設計原則、技術方法的基礎之上，對關鍵業務子系統的安全能力（包括抵御已知威脅和未知威脅的能力）進行分析，評估系統是否具備在各類不利條件下保證關鍵業務持續、可信運行的能力。完成上述三項分析任務之后，根據設計原則、技術方法對網絡彈性目標的支撐關系（參見獻4-2附錄 D.6），分析各網絡彈性目標的達成程度，特別是權重較大的重點目標的達成程度。圖 4-5 系統技術架構分析的流程通過系統技術架構分析，可以厘清系統已采用的網絡彈性設計原則、技術

115、方法，分析網絡彈性目標的達成程度，確定系統是否具備保障關鍵業務持續可信運行的網絡彈性“底線能力”。3）系統威脅與風險分析系統威脅與風險分析的流程如圖 4-6 所示。首先，從關鍵業務功能視角，分析系統中的關鍵資源，這里的“關鍵資源”指的是保障關鍵業務持續可信運行所必需的資源。關鍵資源分析可以通過各種應用于應急計劃、彈性工程和使命確保工程的方法進行，包括關鍵性分析、任務影響分析、業務影響分析、皇冠珠寶分析（Crown Jewels Analysis,CJA）和網絡任務影響分析4-2。系統攻擊面分63析的目的是確定系統可能被攻擊的方式和環節，攻擊面分析必須對系統的各類相關背景有著較為深刻和完整的理解

116、。系統脆弱環節分析的目的是確定系統中潛在的脆弱點，例如，存在單點失效分析的系統組件。系統脆弱環節分析可以應用網絡分析或者圖分析方法進行4-2。TTP 防御覆蓋度分析的目的是針對已知的各類攻擊戰術、技術和程序（Tactics Techniques and Procedures,TTPs4-3），分析系統防御能力的覆蓋程度，評估系統抵御 APT 攻擊的能力。圖 4-6 系統威脅與風險分析流程通過系統威脅與風險分析，可以識別系統的攻擊面，梳理系統的脆弱環節，發現潛在的風險點，評估系統對于 APT 攻擊的防御能力。需要指出的是，TTP所代表的 APT 攻擊均為已知攻擊，或者說，屬于“未知的已知”網絡攻

117、擊。系統對于“未知的未知”網絡攻擊的感知和防御能力，對于實現關鍵業務持續可信運行而言是不可或缺的。4）給出定性分析結論與建議通過上述三步分析，可以確定系統基本的網絡彈性能力，了解系統存在的主要風險。我們采用五項基本能力的成熟度作為定性衡量系統網絡彈性能力的重要64指標，這五項能力是 1）界定關鍵業務子系統并確定防御要地、2）關鍵業務子系統抵御“未知的未知”網絡攻擊的能力、3）系統架構設計對網絡彈性目標/子目標的支撐效果、4）系統的攻擊面隱藏與脆弱環節消除水平、5）系統對已知攻擊的防護能力。各項基本能力根據其完善程度，映射為“很成熟”、“成熟”和“不成熟”三種水平，見表 4-2 所示。通過五項基

118、本能力的成熟度，可以對系統網絡彈性能力的基本能力作出定性評價。表4-2 定性分析過程中重點關注的系統基本網絡彈性能力及其成熟度定義能力成熟度能力成熟度1）界定關鍵業務子系統并確定防御要地1）界定關鍵業務子系統并確定防御要地2）關鍵業務子系統抵御“未知的未知”網絡攻擊的能力2）關鍵業務子系統抵御“未知的未知”網絡攻擊的能力3）系統架構設計對網絡彈性目標/子目標的支撐效果3）系統架構設計對網絡彈性目標/子目標的支撐效果4）系統的攻擊面隱藏與脆弱環節消除水平4）系統的攻擊面隱藏與脆弱環節消除水平5）系統對已知攻擊的防御能力5）系統對已知攻擊的防御能力很成熟能夠清晰界定關鍵業務子系統及防御要地，關鍵業

119、務子系統及防御要地滿足最小化條件。關鍵業務子系統完全具備抵御“未知的未知”網絡攻擊的能力。關注的網絡彈性目標/子目標均得到良好支撐，大權重目標/子目標的被支撐度高于其他目標/子目標。系 統 的 攻 擊 面小，不存在脆弱環節。對已知 TTP4-4的防護覆蓋度很高，系統的攻擊面得到完整的防護。成熟能夠清晰界定關鍵業務子系統及防御要地。關鍵業務子系統的關鍵組件具備抵御“未知的未知”網絡攻擊的能力。系統關注的大權重網絡彈性目標/子目標均得到良好支撐。系統的攻擊面較小，存在一定的脆弱環節。對已知 TTP 的防護覆蓋度較高，系統的攻擊面得到較好的防護。不成熟無法清晰界定關鍵業務子系統及防御要地。關鍵業務子

120、系統不具備抵御“未知的未知”網絡攻擊的能力。系統關注的大權重網絡彈性目標/子目標未得到良好支撐，難以實現。系統的攻擊面較大，存在明顯的脆弱環節。對已知 TTP 的防護覆蓋度較低，系統的攻擊面未得到良好防護。65需要強調的是，表 4-2 所列出的五項基本能力對于衡量系統網絡彈性而言并非是同等重要的。例如，為達成網絡彈性“使命確?！钡淖罱K目標，關鍵業務子系統必須具備抵御“未知的未知”網絡攻擊的能力，從而保障關鍵業務持續可信運行。若該項能力不成熟，即使其他四項能力很成熟，也很難給出系統的整體網絡彈性能力很成熟的結論。通過系統整體定性分析，能夠定位系統網絡彈性中的薄弱環節，并給出針對性的建議。例如，縮

121、小系統攻擊面，消除脆弱環節，增強架構設計以更好的支撐重要目標、子目標的實現，改造、更新關鍵業務子系統使其具備抵御“未知的未知”網絡攻擊的能力等。4.2.2 具體指標定量評分在完成了系統整體定性分析后，可采用專家打分的方法，對具體的網絡彈性指標進行打分。專家打分的具體實施方法可參見獻4-3，本白皮書不再贅述。針對系統架構指標的評分規則可參見 3.1.3 節。需要說明的是，并非所有的指標都可以采用靜態評估的方法獲得評分。例如，對于涉及“時間”、“速度”、“效率”等系統動態運行指標的評估，一般需要在系統運行過程中，采用對抗性評估或者破壞性評估的方法獲得。有關各系統架構指標所適用的評估方法可參見 4.

122、5 節。664.3 對抗評估傳統網絡安全領域的紅藍對抗是指基于真實網絡環境，開展實兵紅藍對抗演練，發現網絡在技術、管理層面的安全缺陷并加以改進。評估過程中，一方扮演攻擊者角色，以獲取網絡資產權限、業務數據、業務控制權為目的；另一方扮演防守者角色，發現并處置安全事件，分析攻擊方成果，提出改進措施。在我國軍事對抗演習中，己方為紅軍，敵方為藍軍。沿用這一習慣，國內通常將模擬黑客對網絡展開攻擊的一方稱為藍隊，負責對網絡進行防護的一方稱為紅隊。但也有將攻擊方稱為紅隊，防守方為藍隊的情況。為避免歧義，本書明確采用“攻擊方”和“防守方”來指代紅藍對抗雙方。對抗評估方法示意如圖 4-7 所示。評估過程中，系統

123、對于攻擊方而言是黑盒。攻擊方必須嘗試各種潛在的攻擊路徑，尋找突破口。例如，攻擊方可以借鑒開源的對抗性戰術和技術知識庫 ATT&CK4-4列出的各類戰術、技術過程（TTP），對目標系統發起滲透攻擊，試圖損害甚至中斷目標系統關鍵業務的運行。系統對于防守方而言是白盒，對抗過程中，防守方采取針對性行動，阻斷攻擊，消除影響，保障系統關鍵業務的持續可信運行。對抗評估過程中，評估者處于“上帝視角”，攻擊方和防守方的行動細節以及系統和業務的運行情況對于評估者而言均可知。評估者通過觀察攻防對抗過程中系統和業務的運行狀況，對系統的網絡彈性能力進行評估。67圖 4-7 對抗評估過程示意對抗評估過程中，重點關注的問題

124、是系統面臨已知（對于攻防雙方均為已知）和未知（攻擊方已知但防守方未知）的網絡攻擊時，其對各類威脅的感知、抵御、遏制、適應能力，以及在此過程中系統關鍵業務持續可信運行的能力。對于攻防雙方均已知的網絡攻擊，主要評估系統對于各類攻擊 TTP 的防御覆蓋完整度，以及攻擊發生時，關鍵業務功能和性能受影響程度。通過采用攻擊方已知、但防守方未知的網絡攻擊，可在一定程度上評估系統對于未知攻擊的感知、抵御、遏制、適應能力。需要指出的是，面對專業的防守方，實施采用攻擊方已知、但防守方未知的網絡攻擊，本質上是要求攻擊方掌握對防守方系統而言高危的 0-day漏洞，這在現實對抗中往往難以實現。對于評估系統在面臨“未知的

125、未知”網絡攻擊時的彈性能力，廣義功能安全白盒測試給出了一種易于實施、可復現驗證的評估方法。有關廣義功能安全白盒測試方法的說明可參見 4.4.2 節。對抗評估過68程中重點關注的系統基本網絡彈性能力及其成熟度定義見表 4-3 所示。表4-3 對抗評估過程中重點關注的系統基本網絡彈性能力及其成熟度定義能力成熟度能力成熟度1）系統面對已知攻擊時的網絡彈性能力1）系統面對已知攻擊時的網絡彈性能力2）系統面對攻擊方已知、防守方未知攻擊時的網絡彈性能力2）系統面對攻擊方已知、防守方未知攻擊時的網絡彈性能力很成熟對已知 TTP 的防護覆蓋度達到 100%，關鍵業務運行不受影響。系統具備感知并抵御未知攻擊的能

126、力，關鍵業務運行不受影響。成熟對已知 TTP 的防護覆蓋度良好，關鍵業務運行受影響較小。系統缺乏對于未知攻擊的感知能力，對未知攻擊具有一定的遏制、恢復、適應能力，關鍵業務運行受影響較小。不成熟對已知 TTP 的防護覆蓋度較低，系統存在明顯的防護薄弱環節，關鍵業務運行受到明顯影響。系統關鍵業務運行受到明顯影響。4.4 破壞性評估破壞性評估通過在系統中人為引入故障、失效或者安全失陷，在此條件下評估系統的健壯性與安全性。當前在大規模分布式系統健壯性測試中得到應用的混沌工程（Chaos Engineering）方法即屬于破壞性評估方法?；煦鐪y試采用故障注入（Fault Injection）方法，通過向

127、系統中注入功能故障或者失效，以驗證系統的魯棒性?；煦鐪y試難以驗證存在安全失陷時的系統魯棒性。本白皮書提出了一種新的破壞性測試方法，稱為“廣義功能安全白盒測試”?！皬V義功能安全”同時包含了功能安全（Safety）和網絡安全（Security）。廣義功能安全白盒測試不僅覆蓋了當前混沌工程方法的測試能力，同時，還可以向系統中注入安69全失陷（Compromise Injection），模擬系統部分組件被攻陷的場景，在此條件下對系統的魯棒性、安全性進行評估。從方法功能的角度而言，混沌工程方法是廣義功能安全白盒測試的一個子集和一種特例，如圖 4-8 所示。圖 4-8 破壞性評估方法的關系4.4.1 混沌

128、工程評估方法混沌工程（Chaos Engineering），是一種提高技術架構彈性能力的復雜技術手段?；煦绻こ掏ㄟ^主動制造故障，測試系統在各種故障和負載壓力下的行為，及時識別并修復故障問題，避免故障造成嚴重后果?；煦绻こ虒嵤┩ǔ０韵?4 個步驟：第一步，定義并測量系統的“穩定狀態”。首先精確定義指標，表明系統按照應有的方式運行。例如，Netflix 在混沌工程實踐中，使用客戶點擊視頻流設備上播放按鈕的速率作為指標，稱為“每秒流量”。事實上，在混沌工程中，業務指標通常比技術指標更有用，因為它們更適合衡量用戶體驗或運營?；煦绻こ蹋ü收献⑷耄V義功能安全白盒測試（故障注入+失陷注入）70第二步，

129、創建假設。因為試圖破壞系統正常運行時的穩定狀態，所以假設應當包含系統在破壞手段實施后的預期行為。第三步，故障實施。常見的故障實施方法包括：模擬數據中心的故障、強制系統時鐘不同步、在驅動程序代碼中模擬 I/O 異常、模擬服務之間的延遲、隨機引發函數拋異常等。在復雜系統中進行故障實施很容易引起出乎意料的連鎖反應，這是混沌工程尋找的結果之一，因此在故障實施之前，首先考慮可能出現什么問題，并限定影響的邊界（也稱為“爆炸半徑”），然后再進行模擬。第四步，證明或反駁假設。將穩態指標與干擾注入系統后收集的指標進行比較。如果發現測量結果存在差異，那么說明混沌工程實驗已經成功，此時需要深入分析原因，并加固系統，

130、以便現實世界中的類似事件不會導致嚴重問題。如果發現系統可以保持穩定狀態，那么說明系統彈性能力足夠應對所實施的故障。應用混沌工程有如下基本原則4-5：建立一個圍繞穩定狀態行為的假說要關注系統的可測量輸出,而不是系統的屬性。對這些輸出在短時間內的度量構成了系統穩定狀態的一個代理。整個系統的吞吐量、錯誤率、延遲百分點等都可能是表示穩態行為的指標。通過在實驗中的系統性行為模式上的關注,混沌工程驗證了系統是否正常工作,而不是試圖驗證它是如何工作的。多樣化真實世界的事件混沌變量反映了現實世界中的事件。我們可以通過潛在影響或估計頻率排定這些事件的優先級?？紤]與硬件故障類似的事件,如服務器宕機、軟件故障(如錯

131、誤響應)和非故障事件(如流量激增或伸縮事件)。任何能夠破壞穩態的事件都是混沌實驗中的一個潛在變量。71在生產環境中運行實驗系統的行為會依據環境和流量模式都會有所不同。由于資源使用率變化的隨時可能發生,因此通過采集實際流量是捕獲請求路徑的唯一可靠方法。為了保證系統執行方式的真實性與當前部署系統的相關性,混沌工程強烈推薦直接采用生產環境流量進行實驗。持續自動化運行實驗手動運行實驗是勞動密集型的,最終是不可持續的。所以我們要把實驗自動化并持續運行，混沌工程要在系統中構建自動化的編排和分析。最小化爆炸半徑在生產中進行試驗可能會造成不必要的客戶投訴。雖然對一些短期負面影響必須有一個補償,但混沌工程師的責

132、任和義務是確保這些后續影響最小化且被考慮到?；煦绻こ淌且粋€強大的實踐,它已經在世界上一些規模最大的業務系統上改變了軟件是如何設計和工程化的。相較于其他方法解決了速度和靈活性,混沌工程專門處理這些分布式系統中的系統不確定性。然而，現有的混沌工程方法實踐主要引入隨機失效，在此前提下觀察網絡魯棒性和彈性能力。與之相比，廣義功能安全白盒測試方法不僅可引入隨機失效，也能夠評估系統中部分組件被攻擊者成功控制的條件下，系統的安全和彈性能力。有關廣義功能安全白盒測試的說明詳見下一小節。724.4.2 廣義功能安全白盒測試廣義功能安全的白盒測試方法是一種破壞性的評估方法，實施過程中，將系統中的部分子系統、組件開

133、放給攻擊者，在此前提下，測試攻擊者是否能夠對整個系統實施有效攻擊，是否能夠對系統關鍵業務的持續可信運行造成嚴重影響。圖 4-9 給出了廣義功能安全白盒測試的示意圖。攻擊者擁有子系統 1 的管理員權限，可以對此子系統執行任何操作，也可以關閉此子系統（此時廣義功能安全白盒測試退化為混沌測試，即測試子系統 1 失效時的系統彈性能力）。在擁有子系統 1 的管理員權限后，攻擊者可以嘗試對其他子系統進行攻擊滲透，進而獲得整個設備或者系統的控制權。具有良好彈性能力的系統架構應能夠限制失陷的范圍，并充分應用動態性、異構性的系統結構設計原則，使得攻擊者難以獲得長期的立足點，難以形成穩定的攻擊效果。圖 4-9 廣

134、義功能安全白盒測試示意圖廣義功能安全白盒測試可評估系統在面對“未知的未知”網絡攻擊時的網絡彈性能力。在白盒測試過程中，需要重點關注的問題包括：73 系統面對“未知的未知”網絡攻擊是否能夠持續安全穩定的運行？系統關鍵業務的功能、性能是否受到負面影響？系統是否能夠輸出標準化日志，增強網絡的威脅感知能力？系統能否針對當前的攻擊模式，自動調整判決與控制策略，實現自適應演化？表 4-4 給出了系統廣義功能安全能力成熟度能力描述。廣義功能安全能力成熟度越高，表示網絡感知并抵御未知威脅、自適應調整演化、支撐關鍵業務持續安全運行、保障網絡彈性的能力越強。表4-4 系統廣義功能安全能力成熟度成熟度能力很成熟1.

135、系統能夠快速感知并阻斷“未知的未知”網絡攻擊；2.系統能夠輸出標準化運行日志；3.系統能夠進行自適應的調整演化；4.所設定的防御要地能夠充分保證關鍵業務的持續可信運行；要地設備與系統均滿足第 13 條要求。成 熟1.在某些情形下，阻斷“未知的未知”網絡攻擊所需時間較長，在此期間可能會影響系統關鍵業務的持續性與安全性；2.系統能夠輸出標準化運行日志；3.所設定的防御要地能夠充分保證關鍵業務的持續可信運行；要地設備與系統均滿足第 12 條要求。不成熟1.系統難以感知并阻斷“未知的未知”網絡攻擊，攻擊會嚴重影響系統關鍵業務的持續性與安全性；2.沒有清晰地劃分網絡防御要地，未能對關鍵業務子系統實施有效

136、的安全防護。74廣義功能安全白盒測試方法首次將破壞性測試的思想引入到系統安全測試中，可同時支持系統功能安全和網絡安全能力評估。通過將系統部分組件或節點的控制權完全交給攻擊方，模擬系統的相關組件、節點、子系統被攻擊后失陷的場景，在此條件下，對系統的網絡彈性能力進行評估。本質上說，廣義功能安全白盒測試將傳統的混沌工程方法推廣到了更為一般的情況，在測試過程中，不僅人為引入了功能故障或失效，也可人為引入安全失陷。廣義功能安全白盒測試為網絡彈性評估提供了一種可驗證的安全測試方法，特別是對于關鍵業務子系統，有必要通過廣義功能安全白盒測試，對其魯棒性、安全性進行可復現、可驗證的測試評估。4.5 各類評估方法

137、重點關注的架構指標第 3 章給出了評價系統架構網絡彈性的系列指標。事實上，應用不同的測試方法時，重點關注的指標也有所不同。表 4-5 對靜態評估、對抗性評估以及廣義功能安全白盒測試中需重點關注的架構指標進行了總結。實際評估過程中，應當根據評估目標、系統所處階段，選擇合適的評估方法，并結合所選方法對應的重點指標，對目標系統特別是關鍵業務子系統的廣義功能安全彈性能力進行評價。表 4-5 各類評估方法重點關注的系統架構指標評估方法指 標評估方法指 標靜態評估靜態評估對抗評估對抗評估廣義功能安全白盒測試廣義功能安全白盒測試是否對任務關鍵資源建立和維護日志記錄監控的網絡資源百分比惡意活動的審計記錄分析頻

138、率75評估方法指 標評估方法指 標靜態評估靜態評估對抗評估對抗評估廣義功能安全白盒測試廣義功能安全白盒測試通過威脅分析制定的入侵指標或可觀察指標的數量從啟用惡意軟件或取證分析到使用分析結果之間的時間系統使用的威脅情報源的數量系統威脅情報源更新的頻率系統監測的威脅類型的數量從輸入發生異常到感知到異常所需的平均時間判斷性能異?？紤]的指標的數量從性能發生異常到感知到異常所需的平均時間從感知到性能異常到異常上報所需的平均時間系統是否能夠發現未知的威脅活動或異常情況從檢測到未知威脅事件到完成評估損害過程的平均時間對可信度進行標識的任務關鍵資源的百分比可動態卷回的關鍵資源的百分比從不可信資源卷回到可信資源

139、上線的平均時間用受保護資源替換不可信資源所需的時間資源替換后對資源不受類似問題影響的信心按需生成并在不需要時終止的資源百分比資源的最大或平均使用期限資源到期后是否殘留敏感數據應用密碼加密的資源的百分比密碼加密機制的強度能夠實施偽裝的網絡資源百分比單位時間內資源更改偽裝的頻率從決定隔離資源到完成隔離之間的時間從其他位置發現、訪問或使用的動態隔離資源的百分比能夠動態遷移的網絡資源的百分比完成資源遷移過程所需時間76評估方法指 標評估方法指 標靜態評估靜態評估對抗評估對抗評估廣義功能安全白盒測試廣義功能安全白盒測試從決定遷移資源到遷移資源可用之間的時間能夠動態重配置的資源百分比完成資源重配置過程所需

140、的時間單位時間內修改資源配置的頻率存在冗余并且能夠動態切換到冗余的資源百分比資源完成切換到冗余過程所需的時間單位時間內資源切換到冗余的頻率存在多個異構實現的網絡資源的百分比實現相同或相似能力所使用的不同技術架構或標準的數量來自非重疊供應鏈的資源百分比能夠動態選擇運行實例的資源百分比完成資源升級所需的時間從決定升級資源到升級資源可用之間的時間4.6 小結本章重點面向系統架構層面的網絡彈性評估問題，說明了各類評估方法及其適用場景。系統架構網絡彈性評價框架聚焦系統網絡彈性共性問題和對網絡彈性核心能力的評估，相應評價指標形成了對系統網絡彈性體系架構評估的“關鍵一票”否決制度。系統架構層面的網絡彈性評估

141、方法包括靜態評估、對抗評估和破壞性評估。廣義功能安全白盒測試作為一種破壞性評估方法，可對系統的廣義功能安全（包括魯棒性和安全性）能力進行可驗證的度量評估，提供了現有評估方法所不具備的能力。775 總結自 2010 年 MITRE 提出最初概念至今，網絡彈性已走過了十余年的發展歷程。無論是 2021 年 12 月正式發布的第一份網絡彈性權威技術件開發網絡彈性系統一種系統安全工程方法（NIST SP 800-160V2R1），還是 2022年 9 月歐盟發布的全球第一個網絡彈性法案，都標志著網絡彈性正從萌芽生長走向發展成熟、從目標愿景走向應用實踐。網絡彈性超越了傳統網絡安全側重防御的思維視角，認為

142、系統被攻擊失陷是不可避免的，并轉而重點關注關鍵業務的持續性和可用性。然而，正如本白皮書前言中指出的，現有的網絡彈性工程框架由于一味堆砌各類技術方法而缺乏架構設計，在現實應用中并不具備可操作性和有效性。類似的，現有的網絡彈性評價方法主要從技術方法出發評價系統的彈性能力，缺乏對系統架構核心能力的關注，評價方法同樣缺乏可操作性和可信性。本白皮書的核心觀點是：網絡彈性工程應遵循“結構決定性質、整體大于部分之和”的基本原理，首先關注系統架構設計；同樣，在網絡彈性評估中，應重點評估系統架構能力，將系統架構彈性能力作為衡量系統網絡彈性能力的“關鍵一票”本白皮書的核心觀點是：網絡彈性工程應遵循“結構決定性質、

143、整體大于部分之和”的基本原理，首先關注系統架構設計；同樣，在網絡彈性評估中，應重點評估系統架構能力，將系統架構彈性能力作為衡量系統網絡彈性能力的“關鍵一票”。本白皮書指出系統架構是網絡彈性的基石，并提出了網絡彈性系統架構的關鍵能力和設計原則。從系統架構入手考慮網絡彈性，可扭轉當前網絡彈性框架缺乏系統性、整體性的困局，為系統設計人員提供有價值、可操作的關鍵抓手。其次，本白皮書給出了基于系統架構的網絡彈性評估框架，突出了系統架構在網絡彈性評估中的核心作用。最后，本白皮書討論了網絡彈性評估方法，著重說明78了廣義功能安全白盒測試對于網絡彈性評估的重要價值?；谙到y架構的網絡彈性可有效彌補現有網絡彈性

144、工程框架與評估方法的重大缺陷，保障關鍵業務持續可信運行，為網絡彈性“使命確?！蹦繕诉_成提供關鍵支撐。本白皮書是參加中國信息安全標準化技術委員會 網絡彈性評價準則編制申報工作的研究成果。79參考文獻1-1R.Ross,V.Pillitteri,R.Graubart,et.al.Developing Cyber-Resilient Systems:ASystems Security Engineering Approach.NIST Special Publication 800-160,Vol.2,Rev.1.2021.https:/doi.org/10.6028/NIST.SP.800-160

145、v2r1.1-2H.Goldman.Building Secure,Resilient Architectures for Cyber Mission Assurance.2010.https:/www.mitre.org/sites/default/files/pdf/10_3301.pdf1-3D.J.Bodeau,R.D.Graubart，Cyber Resiliency Engineering Framework,Version 1.0.2011https:/www.mitre.org/sites/default/files/pdf/11_4436.pdf1-4D.J.Bodeau,R

146、.D.Graubart.Cyber Resiliency Design Principles.2017.https:/www.mitre.org/sites/default/files/2021-11/pr-17-0103-Cyber-Resiliency-Design-Principles.pdf1-5D.J.Bodeau,R.D.Graubart,R.M.McQuaid.Cyber Resiliency Metrics,Measures ofEffectiveness,and Scoring.2018https:/www.mitre.org/sites/default/files/2021

147、-11/prs-18-2579-cyber-resiliency-metrics-measures-of-effectiveness-and-scoring.pdf1-6D.J.Bodeau,R.D.Graubart,R.M.McQuaid et al.Cyber Resiliency Metrics Catalog.2018.https:/www.mitre.org/sites/default/files/2021-11/pr-18-3376-cyber-resiliency-metrics-catalog.pdf1-7D.J.Bodeau,R.D.Graubart,R.M.McQuaid

148、et al.Cyber Resiliency Metrics andScoring in Practice.2018.https:/www.mitre.org/sites/default/files/2021-11/prs-18-3375-cyber-resiliency-metrics-and-scoring-in-practice-use-case-methodologies-and-examples.pdf1-8PPD-21-Critical Infrastructure Security and Resilience，2013https:/obamawhitehouse.archive

149、s.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resilience1-9NIPP 2013:Partnering for Critical Infrastructure Security and Resilience.2013.https:/www.dhs.gov/sites/default/files/publications/National-Infrastructure-Protection-Plan-2013-508.pdf.1-1

150、0AGuide to Critical Infrastructure Security and Resilience，20191-11DoD Digital Modernizaton Strategy.2019.https:/media.defense.gov/2019/Jul/12/2002156622/-1/-1/1/DOD-DIGITAL-MODERNIZATION-STRATEGY-2019.PDF#:text=The%20DoD%20Digital%20Modernization%20Strategy%2C%20which%20also%20serves,the%20supporti

151、ng%20National%20Defense%20Business%20Operations%20Plan%20%28NDBOP%29.801-12Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THECOUNCIL on the resilience of critical entities，20201-13The EUs Cybersecurity Strategy for the Digital Decade.2020.https:/digital-strategy.ec.europa.eu/en/library/e

152、us-cybersecurity-strategy-digital-decade-0.1-14CISASTRATEGIC PLAN2023-2025，20221-15Biden-Harris Administrations National Security Strategy.pdf(nssarchive.us),20221-16National defense strategy,20221-17National Cyber Strategy 2022 Pioneering a cyber future with the whole of the UK1-18Cyber Resilience

153、Strategy for Defense.2022.https:/assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1073315/20220425-Cyber_Resilience_Strategy_for_Defence.pdf.1-19NATIONAL CYBERSECURITY STRATEGY（2022 2026），2022https:/digital-strategy.ec.europa.eu/en/library/cyber-resilience-act#

154、:text=Cyber%20Resilience%20Act%20The%20proposal%20for%20a%20regulation,to%20ensure%20more%20secure%20hardware%20and%20software%20products.1-20European Cyber Resilience Act.2022.https:/www.european-cyber-resilience-1-21Science of Security Lablet Progress on the Hard Problems(August 2015)This document

155、highlights major contributions that that SoS Lablets have made towards each of the fiveHard Problems.View and download from http:/cps-vo.org/node/21590.1-22Science of Security and Privacy 2022Annual Report1-23https:/cps-vo.org/group/sos/annualreport20221-24https:/ L.Hennessy and David A.Patterson.20

156、19.A new golden age for computerarchitecture.Commun.ACM62,2(February2019),4860.https:/doi.org/10.1145/32823072-2Mark Gallagher,Lauren Biernacki,et al.“Morpheus:a vulnerability-tolerant securearchitecture based on ensembles of moving target defenses with churn”.In:ProceedingsoftheTwenty-FourthInterna

157、tionalConferenceonArchitecturalSupportforProgramming Languages and Operating Systems.2019,pp.469484.2-3Robert NM Watson,Peter G Neumann,et al.Capability hardware enhanced riscinstructions:Cheri instruction-set architecture(version 8).Tech.rep.University ofCambridge,Computer Laboratory,2020.2-4Scala

158、NM,Reilly AC,Goethals PL,Cukier M.Risk and the Five Hard Problems ofCybersecurity.Risk Anal.2019 Oct;39(10):2119-2126.doi:10.1111/risa.13309.Epub2019 Mar 29.PMID:30925207.2-5Deborah J.Bodeau,Richard D.Graubart,Rosalie M.McQuaid,John Woodill.CyberResiliency Metrics,Measures of Effectiveness,and Scori

159、ng.MITRE TECHNICALREPORT.2018.2-6Jajodia S,Ghosh A K,Swarup V,Wang C,and Wang X S,Moving Target Defense:Creating Asymmetric Uncertainty for Cyber ThreatsM,Advances in InformationSecurity.New York:Springer,2011.2-7Xabier Iturbe,Balaji Venu,Emre Ozer,Jean-Luc Poupat,Gregoire Gimenez,andHans-Ulrich Zur

160、ek.2019.The Arm Triple Core Lock-Step(TCLS)Processor.ACM81Trans.Comput.Syst.36,3,Article7(August2018),30pages.https:/doi.org/10.1145/33239172-8Lyons R E,Vanderkulk W.The use of triple-modular redundancy to improve computerreliabilityJ.IBM journal of research and development,1962,6(2):200-209.2-9Shi

161、C,Wang X,Wang S,et al.Adaptive decoupling synchronous control of dissimilarredundant actuation system for large civil aircraftJ.Aerospace Science and Technology,2015,47:114-124.2-10鄔江興.論網絡空間內生安全問題及對策J.中國科學：信息科學，2022.10.2-11Murad Kablan,Azzam Alsudais,Eric Keller,and Franck Le.2017.Stateless networkf

162、unctions:breaking the tight coupling of state and processing.In Proceedings of the 14thUSENIX Conference on Networked Systems Design and Implementation(NSDI17).USENIXAssociation,USA,97112.3-1D.J.Bodeau,R.D.Graubart,R.M.McQuaid,et.al.Cyber Resiliency Metrics,Measures of Effectiveness,and Scoring.MITR

163、E Technical Report.2018.3-2D.J.Bodeau,R.D.Graubart,CyberResiliencyAssessment:EnablingArchitecturalImprovement，The MITRE Corporation，20133-3Bodeau D J,Graubart R D,McQuaid R M,et al.Cyber Resiliency Metrics Catalog.TheMITRE Corporation,2018.4-1Arthur D.Hall.A Methodology for Systems Engineering.van N

164、ostrand;1966.4-2Ross R,Pillitteri V,Graubart R,et al.Developing Cyber-Resilient Systems:A SystemsSecurity Engineering Approach.NIST Special Publication 800-160,Volume 2,Revision1.2021.12.4-3Cybersecurity and Infrastructure Security Agency,U.S.Department of HomelandSecurity.Cyber Resilience Review(CRR):Method Description and Self-AssessmentUser Guide.2020.04.4-4MITRE.ATT&CK.http:/attack.mitre.org/4-5PRINCIPLES OF CHAOS ENGINEERING.https:/