嚴(yán)霄鳳 董超

(工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心),北京 100048)

網(wǎng)絡(luò)彈性工程框架及度量方法研究

嚴(yán)霄鳳 董超

(工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心),北京 100048)

網(wǎng)絡(luò)已成為人們生活乃至國家運(yùn)行中不可缺少的重要組成部分，網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行已成為國家安全和經(jīng)濟(jì)安全的重要保證。然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和技術(shù)的飛速發(fā)展，其面臨的威脅也在不斷增長，人們越來越認(rèn)識到需要具有彈性的網(wǎng)絡(luò)，使系統(tǒng)能夠預(yù)測、抵擋攻擊，從對手成功的攻擊中恢復(fù)，并進(jìn)行改進(jìn)和完善。本文首先給出了網(wǎng)絡(luò)彈性及網(wǎng)絡(luò)彈性工程的概念，接著介紹了MITRE[1]的網(wǎng)絡(luò)彈性工程框架和度量方法，最后對我國的網(wǎng)絡(luò)彈性工作提出了看法。

網(wǎng)絡(luò)安全 網(wǎng)絡(luò)彈性 網(wǎng)絡(luò)彈性工程框架 網(wǎng)絡(luò)彈性度量

網(wǎng)絡(luò)已成為人們生活乃至國家運(yùn)行中不可缺少的重要組成部分，人們生活的方方面面幾乎都與網(wǎng)絡(luò)密切關(guān)聯(lián)，網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行已成為國家安全和經(jīng)濟(jì)安全的重要保證。然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和技術(shù)的飛速發(fā)展，其面臨的威脅也在不斷增長。據(jù)infosecisland網(wǎng)站5月7日報(bào)道[2]：只需15分鐘的網(wǎng)絡(luò)攻擊就能讓任何西方，依賴任何信息技術(shù)的社會癱瘓的斷言最近引發(fā)了激烈的討論。實(shí)際上，成功實(shí)施一次有準(zhǔn)備的網(wǎng)絡(luò)攻擊只需幾秒。以往頭痛醫(yī)頭，腳痛醫(yī)腳的方法已不能有效保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，人們越來越認(rèn)識到需要具有彈性的網(wǎng)絡(luò)，使系統(tǒng)能夠預(yù)測、抵擋攻擊，從對手成功的攻擊中恢復(fù)，并進(jìn)行改進(jìn)和完善。

圖1 網(wǎng)絡(luò)彈性工程與和其他系統(tǒng)工程學(xué)科之間的關(guān)系

近年來，網(wǎng)絡(luò)彈性已成為美國等西方國家決策者和國家安全專家非常關(guān)注的問題，高度重視網(wǎng)絡(luò)彈性已成為美國、歐盟等多個(gè)國家的共識。

表1 網(wǎng)絡(luò)彈性目標(biāo)與實(shí)踐的映射

圖2 網(wǎng)絡(luò)彈性的目的與目標(biāo)之間的關(guān)系

美國：2007年《國土安全戰(zhàn)略》指出：美國需要網(wǎng)絡(luò)“整體的系統(tǒng)彈性”，將網(wǎng)絡(luò)彈性確定為形成美國國土安全綜合方案的三大關(guān)鍵概念之一。2010年《國家安全戰(zhàn)略》呼吁“要提高美國的網(wǎng)絡(luò)彈性”。2011年3月30日第8號總統(tǒng)令，再一次強(qiáng)調(diào)網(wǎng)絡(luò)彈性的問題，國土安全部將提升關(guān)鍵信息基礎(chǔ)設(shè)施的彈性列為2012～2016年戰(zhàn)略計(jì)劃的重點(diǎn)任務(wù)。2013年2月12日奧巴馬簽發(fā)《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令，再度重申網(wǎng)絡(luò)安全的重要性，并特別強(qiáng)調(diào)提升國家關(guān)鍵基礎(chǔ)設(shè)施彈性是增強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施安全的重要任務(wù)。

歐盟：2008年9月發(fā)布《改善公共電子通信網(wǎng)絡(luò)的彈性》，2009年12月發(fā)布《通信網(wǎng)絡(luò)彈性規(guī)范化存在的差距》，2011年1月發(fā)布《啟用和管理網(wǎng)絡(luò)端對端彈性》，2011年2月發(fā)布《網(wǎng)絡(luò)與服務(wù)彈性的測量標(biāo)準(zhǔn)和架構(gòu)》，2012年10月發(fā)布《向著網(wǎng)絡(luò)安全邁進(jìn)》的歐洲戰(zhàn)略等。多份有關(guān)增強(qiáng)歐盟網(wǎng)絡(luò)彈性的文件從不同角度闡述了不斷提升網(wǎng)絡(luò)彈性的重要性和必要性。

其他：2012年3月，由25個(gè)國家，跨15個(gè)領(lǐng)域的70多家政府機(jī)構(gòu)和公司參與的世界經(jīng)濟(jì)論壇，向全球發(fā)出攜手共謀網(wǎng)絡(luò)彈性的倡議，呼吁世界各國行動起來，共同提升網(wǎng)絡(luò)彈性。

表2 網(wǎng)絡(luò)彈性度量指標(biāo)示例

1 網(wǎng)絡(luò)彈性工程

1.1 網(wǎng)絡(luò)彈性

彈性：指從不良事件中“迅速恢復(fù)”的能力。彈性概念已經(jīng)從材料科學(xué)和心理學(xué)領(lǐng)域延續(xù)到其他領(lǐng)域，例如，生態(tài)學(xué)、系統(tǒng)工程、組織行為學(xué)和國家安全，被不同工程學(xué)科定義或賦予了不同的特征，以不同的定義越來越多地應(yīng)用于國家、關(guān)鍵基礎(chǔ)設(shè)施、組織、網(wǎng)絡(luò)、系統(tǒng)和網(wǎng)絡(luò)空間。研究界已經(jīng)提出網(wǎng)絡(luò)彈性策略和架構(gòu)的多個(gè)特征。

網(wǎng)絡(luò)彈性：指國家、組織、任務(wù)或業(yè)務(wù)流程進(jìn)行預(yù)測、抵擋、恢復(fù)和改進(jìn)，來完善功能，應(yīng)對不利條件、壓力或?qū)ζ溥\(yùn)行所需的配套網(wǎng)絡(luò)資源攻擊的能力。

1.2 網(wǎng)絡(luò)彈性工程

網(wǎng)絡(luò)彈性工程[3]主要研究：利用一組不斷改進(jìn)的彈性實(shí)踐提高網(wǎng)絡(luò)彈性的方法，以及運(yùn)用這些實(shí)踐的不同策略的取舍。

網(wǎng)絡(luò)彈性工程在信息系統(tǒng)安全工程、安全運(yùn)營管理、性能管理系統(tǒng)工程基礎(chǔ)上，借鑒彈性工程、可靠性、生存能力、容錯(cuò)、網(wǎng)絡(luò)彈性，應(yīng)急/連續(xù)性計(jì)劃、任務(wù)/業(yè)務(wù)影響分析、關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)彈性等內(nèi)容，并對信息系統(tǒng)安全工程進(jìn)行擴(kuò)展，是任務(wù)保證工程的子學(xué)科。網(wǎng)絡(luò)彈性工程與和其他系統(tǒng)工程學(xué)科之間的關(guān)系如圖1所示。

2 網(wǎng)絡(luò)彈性工程框架

MITRE[1]是美國一家不以營利為目的，專門為聯(lián)邦政府機(jī)構(gòu)服務(wù)并頗具影響力的公司，管理著聯(lián)邦政府資助的研究和發(fā)展中心。在其任務(wù)保證和業(yè)務(wù)目標(biāo)彈性架構(gòu)（RAMBO）計(jì)劃下正在開發(fā)的網(wǎng)絡(luò)彈性工程框架[3]包括網(wǎng)絡(luò)彈性的要素、威脅模型、適用領(lǐng)域和成本四個(gè)部分。

2.1 網(wǎng)絡(luò)彈性的要素

網(wǎng)絡(luò)彈性的要素包括：網(wǎng)絡(luò)彈性的目的、網(wǎng)絡(luò)彈性的目標(biāo)和網(wǎng)絡(luò)彈性實(shí)踐。

2.1.1 網(wǎng)絡(luò)彈性的目的

通過網(wǎng)絡(luò)彈性實(shí)踐達(dá)到四個(gè)目的：

預(yù)測：維持已知的防備狀態(tài)，防止對手攻擊損壞任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)三個(gè)目標(biāo)。

預(yù)報(bào)。獲取和分析威脅情報(bào)信息。威脅信息來源于認(rèn)可的源，監(jiān)測任務(wù)環(huán)境（人的行為、物理設(shè)施以及信息系統(tǒng)）獲得的對手活動證據(jù)或跡象，以及不良或異常事件的檢測結(jié)果。網(wǎng)絡(luò)威脅分析包括基于威脅信息的威脅建模、結(jié)果建模和評估。

預(yù)防。通過基本安全保護(hù)和加固減少受攻擊面，改變系統(tǒng)組件或任務(wù)流程，使攻擊面更難理解或預(yù)報(bào)，防止對未來運(yùn)行的推測。預(yù)防應(yīng)盡可能防止攻擊執(zhí)行。

準(zhǔn)備。開發(fā)可替代的網(wǎng)絡(luò)行動方案（CCoA），獲取和配置執(zhí)行CCoA所需的資源，對CCoA進(jìn)行演練。

抵擋。在對手成功執(zhí)行攻擊時(shí)，繼續(xù)執(zhí)行基本的任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)兩個(gè)目標(biāo)：在存在對手攻擊的情況下，“爭取通過”攻擊或維持基本功能。遏制或擊敗對手攻擊。

恢復(fù)：對手成功執(zhí)行攻擊后，最大限度地恢復(fù)任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)三個(gè)目標(biāo)。

確定損害。對攻擊中使用的惡意軟件進(jìn)行司法分析，對監(jiān)控、日志產(chǎn)生的記錄進(jìn)行分析，為確定受攻擊影響的網(wǎng)絡(luò)資源進(jìn)行審計(jì)；根據(jù)分析發(fā)現(xiàn)的對手活動，與外部組織協(xié)調(diào)和共享信息；尋找被竊取或提取數(shù)據(jù)的副本。

恢復(fù)功能。采取回退恢復(fù)的方式，回滾到一個(gè)已知的可接受狀態(tài)。這可能意味著從開始恢復(fù)到進(jìn)入可接受狀態(tài)之間的數(shù)據(jù)丟失?；謴?fù)可以重建功能，或建立一個(gè)新的基線。

確定可信度。網(wǎng)絡(luò)資源（如系統(tǒng)、信息存儲、網(wǎng)絡(luò)、共享服務(wù)）具有相關(guān)的可信度（如信息的準(zhǔn)確性、流通性和完整性；通信的可用性；對搜索或計(jì)算等過程在給定時(shí)間內(nèi)完成的信心）。除了文件化的需求和服務(wù)水平協(xié)議以外，通常不定義或很少明確說明網(wǎng)絡(luò)資源的可信度。任務(wù)或業(yè)務(wù)流程用戶或網(wǎng)絡(luò)防護(hù)人員對恢復(fù)資源的信任可能與其受攻擊前有所不同。

改進(jìn)：改進(jìn)任務(wù)或業(yè)務(wù)功能和配套網(wǎng)絡(luò)功能，盡量減少實(shí)際或預(yù)測的對手攻擊造成的不利影響。這一目的必須在變化的環(huán)境中達(dá)到，達(dá)到這個(gè)目的需要實(shí)現(xiàn)兩個(gè)目標(biāo)。

改變現(xiàn)有流程和行為。環(huán)境變化包括威脅環(huán)境、系統(tǒng)環(huán)境和技術(shù)環(huán)境的變化。威脅環(huán)境的變化反映在對威脅模型的更新中，包括身份、功能、意圖或?qū)κ帜繕?biāo)的變化，以及對手諜報(bào)技術(shù)和戰(zhàn)術(shù)、技術(shù)與程序的變化。系統(tǒng)環(huán)境的變化包括任務(wù)定義、優(yōu)先順序、工作流程的變化，系統(tǒng)構(gòu)建或配置的變化，以及用戶群的變化（如，培訓(xùn)、演練、新的用戶群）。技術(shù)環(huán)境的變化包括在一種技術(shù)、特定產(chǎn)品或產(chǎn)品類中發(fā)現(xiàn)固有的漏洞，技術(shù)部署或使用的變化，新技術(shù)的引進(jìn)，以及淘汰已建立的技術(shù)。

重構(gòu)。修改架構(gòu)，重建系統(tǒng)功能。

2.1.2 網(wǎng)絡(luò)彈性的目標(biāo)

為了達(dá)到網(wǎng)絡(luò)彈性的目的，實(shí)現(xiàn)八個(gè)網(wǎng)絡(luò)彈性目標(biāo)。每個(gè)目標(biāo)支持的目的如圖2所示。

了解：對對手，任務(wù)或業(yè)務(wù)功能對網(wǎng)絡(luò)資源的依賴關(guān)系，以及這些資源在對手活動中的狀態(tài)進(jìn)行描述。

對對手的描述給出對手的特點(diǎn)（如能力、意圖、目標(biāo)），包括潛在的和實(shí)際的對手活動，確定對手可能用來發(fā)動成功攻擊的條件，以及可行的對手諜報(bào)知識。對網(wǎng)絡(luò)資源狀態(tài)的描述支持變化檢測，以發(fā)現(xiàn)可能正在進(jìn)行的攻擊，用于確定受到攻擊影響的資源。

對手和依賴關(guān)系描述支持預(yù)測。網(wǎng)絡(luò)資源狀態(tài)描述支持抵擋，并通過促進(jìn)損害評估和可信性評估支持恢復(fù)。依賴關(guān)系描述支持改進(jìn)，幫助避免意料之外的架構(gòu)變化。

準(zhǔn)備：維護(hù)現(xiàn)實(shí)的處理預(yù)測的網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)行動方案（CCoA）。

為了使CCoA切合實(shí)際，必須考慮可用的資源，不論是網(wǎng)絡(luò)還是非網(wǎng)絡(luò)的（如人，其中可能包括：人員水平、訓(xùn)練，以及在演練的基礎(chǔ)上理解如何執(zhí)行CCoA）。

防止：阻止攻擊在網(wǎng)絡(luò)資源中成功執(zhí)行。

實(shí)現(xiàn)此目標(biāo)的關(guān)鍵是應(yīng)用完善的信息系統(tǒng)安全工程（ISSE）原則和實(shí)踐，在企業(yè)或系統(tǒng)架構(gòu)中最具成本效益的點(diǎn)上應(yīng)用安全控制，以最具成本效益的方式實(shí)施安全措施。專門針對網(wǎng)絡(luò)彈性的策略包括：基于對手能力有選擇地加固關(guān)鍵資源，使對手行動偏離方向，采取行動阻止對手攻擊關(guān)鍵資源，或限制對對手攻擊的激勵(lì)。

保持：最大限度地延長攻擊期間基本任務(wù)或業(yè)務(wù)功能的持續(xù)和有效時(shí)間。

此目標(biāo)可以通過組合完美的降級服務(wù)，擴(kuò)大對手為了成功執(zhí)行攻擊必須攻擊的范圍，合理的任務(wù)或業(yè)務(wù)功能分布，以及在遭到攻擊時(shí)采用替換行動方案來實(shí)現(xiàn)。

限制：限制對手攻擊造成的損害。

此目標(biāo)通常通過將攻擊中涉及的網(wǎng)絡(luò)資源與其他網(wǎng)絡(luò)資源隔離來實(shí)現(xiàn)。關(guān)鍵是應(yīng)用容錯(cuò)和可信計(jì)算原則和實(shí)踐。

重組：遭受成功攻擊后重新部署網(wǎng)絡(luò)資源，提供盡可能完整的任務(wù)或業(yè)務(wù)功能。

其目的是通過確定網(wǎng)絡(luò)資源未能達(dá)到的已知良好狀態(tài)，在允許的情況下盡快返回支持任務(wù)或業(yè)務(wù)持續(xù)運(yùn)行的狀態(tài)。

轉(zhuǎn)變：改變組織行為，應(yīng)對過去、現(xiàn)在或未來的對手攻擊。

其目的是通過限制或改變?nèi)蝿?wù)或業(yè)務(wù)活動的各個(gè)方面，盡量減少暴露給攻擊的網(wǎng)絡(luò)資源。包括：改變?nèi)蝿?wù)或業(yè)務(wù)功能的執(zhí)行方式，做與任務(wù)或業(yè)務(wù)功能完全不同事情，或改變?nèi)蝿?wù)或業(yè)務(wù)功能的范圍等。

重構(gòu)：修改架構(gòu)，更有效地應(yīng)用網(wǎng)絡(luò)彈性實(shí)踐；應(yīng)對預(yù)期的對手能力、意圖和目標(biāo)的長期變化；吸收新技術(shù)提高網(wǎng)絡(luò)彈性。

可能包括：重新設(shè)計(jì)、重新實(shí)施或更換，特別是利用新技術(shù)、現(xiàn)有的網(wǎng)絡(luò)資源，以及重新配置現(xiàn)有資源，提供新的或不同的功能。

2.1.3 網(wǎng)絡(luò)彈性實(shí)踐

網(wǎng)絡(luò)彈性實(shí)踐是實(shí)現(xiàn)一個(gè)或多個(gè)網(wǎng)絡(luò)彈性目標(biāo)的方法，用于構(gòu)建和設(shè)計(jì)任務(wù)或業(yè)務(wù)功能以及支持任務(wù)或業(yè)務(wù)功能的網(wǎng)絡(luò)資源，包括：任務(wù)或業(yè)務(wù)部門，公共基礎(chǔ)設(shè)施，共享服務(wù)或單個(gè)系統(tǒng)、服務(wù)或組件。網(wǎng)絡(luò)彈性目標(biāo)與實(shí)踐之間的關(guān)系如表1所示。

適應(yīng)性響應(yīng)：在有跡象表明攻擊正在進(jìn)行時(shí)基于攻擊特征采取行動。包括：選擇、執(zhí)行和監(jiān)測CCoA的有效性。

分析監(jiān)測：持續(xù)收集和分析數(shù)據(jù)，協(xié)同確定潛在漏洞、對手活動和損害。

協(xié)同防御：進(jìn)行適應(yīng)性管理，以協(xié)同的方式、多種不同的機(jī)制保護(hù)關(guān)鍵資源免遭對手攻擊。

欺騙：使用混淆和誤導(dǎo)（如，虛假信息）等迷惑對手。

多樣化：迫使對手攻擊多種不同類型的技術(shù)（如，硬件、軟件、固件和協(xié)議），使攻擊的影響降到最低。

動態(tài)定位：使用分布式處理，動態(tài)重定位關(guān)鍵資產(chǎn)和傳感器。

動態(tài)展示：構(gòu)建和維護(hù)組件、系統(tǒng)、服務(wù)、任務(wù)依賴關(guān)系、對手活動，以及可替換的網(wǎng)絡(luò)行動方案影響等的動態(tài)呈現(xiàn)。

非持久化：在有限的時(shí)間內(nèi)保留信息、服務(wù)和連接，減少對手利用漏洞并建立持久立足點(diǎn)的機(jī)會。

權(quán)限限制：分別基于類型、重要性和可信程度，限制使用網(wǎng)絡(luò)資源需要的權(quán)限，以及分配給用戶和網(wǎng)絡(luò)實(shí)體的權(quán)限，盡量減少對手活動的潛在后果。

調(diào)整：使網(wǎng)絡(luò)資源與任務(wù)或業(yè)務(wù)功能的核心部分匹配，減少攻擊面。

保持冗余：維護(hù)多個(gè)受保護(hù)關(guān)鍵資源（信息和服務(wù)）的實(shí)例。

分割：基于類型和重要性（邏輯或物理）分離組件，限制被對手成功利用造成的損害或傳播。

驗(yàn)證完整性：確定關(guān)鍵服務(wù)、信息存儲、信息流和組件未被對手破壞。

不可預(yù)測化：進(jìn)行頻繁、隨機(jī)的變化，使對手難以預(yù)測。

網(wǎng)絡(luò)彈性實(shí)踐依賴于支持安全和性能的實(shí)踐。隨著網(wǎng)絡(luò)彈性實(shí)踐和解決方案的成熟，可能成為安全工程、性能工程、安全管理和安全運(yùn)行活動中安全和性能實(shí)踐的組成部分。

2.2 威脅模型

確定網(wǎng)絡(luò)彈性實(shí)踐將應(yīng)對的威脅；分析網(wǎng)絡(luò)攻擊鏈，建立網(wǎng)絡(luò)彈性目的與對手活動的對應(yīng)關(guān)系。

2.3 適用領(lǐng)域

確定網(wǎng)絡(luò)彈性實(shí)踐、措施（控制、機(jī)制、程序），以及解決方案適用的架構(gòu)層或網(wǎng)絡(luò)資源集。可以在多個(gè)層次上應(yīng)用彈性實(shí)踐和實(shí)現(xiàn)網(wǎng)絡(luò)彈性目標(biāo)。

網(wǎng)絡(luò)彈性工程側(cè)重于將網(wǎng)絡(luò)彈性實(shí)踐應(yīng)用于網(wǎng)絡(luò)資源，或?qū)⑻囟ǖ膹椥援a(chǎn)品或?qū)嵺`與網(wǎng)絡(luò)資源集成。重點(diǎn)關(guān)注任務(wù)和業(yè)務(wù)部門、系統(tǒng)、共享服務(wù)組、網(wǎng)絡(luò)或其他公共基礎(chǔ)設(shè)施的體系架構(gòu)，網(wǎng)絡(luò)彈性實(shí)踐對于不同類型的網(wǎng)絡(luò)資源具有不同的效果。

2.4 成本

確定使用網(wǎng)絡(luò)彈性實(shí)踐、機(jī)制，或特定產(chǎn)品或?qū)崿F(xiàn)涉及的成本類型。應(yīng)用網(wǎng)絡(luò)彈性實(shí)踐或使用網(wǎng)絡(luò)彈性產(chǎn)品的潛在成本是多方面的。成本是進(jìn)行替代策略和實(shí)現(xiàn)權(quán)衡分析的組成部分。

成本度量指標(biāo)用初始成本、支持成本、間接成本與收益三種類型來定義和表征。成本評估的方法包括：定性、半定量和定量方法。

3 網(wǎng)絡(luò)彈性度量

網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)日益增長，情況愈加復(fù)雜，特別是國家層面的大規(guī)模網(wǎng)絡(luò)攻擊威脅有增無減，對網(wǎng)絡(luò)彈性的需求愈加強(qiáng)烈。提高網(wǎng)絡(luò)彈性的工程和運(yùn)營決策迫切需要合適的度量和評估過程支持，需要盡快研究制定衡量網(wǎng)絡(luò)彈性的度量方法和指標(biāo)。MITRE在RAMBO評估任務(wù)下所做的網(wǎng)絡(luò)彈性度量[4]工作主要包括：

建立方法：用于識別、表征、定義網(wǎng)絡(luò)彈性度量指標(biāo)；

確定通用度量指標(biāo)：用于網(wǎng)絡(luò)彈性的技術(shù)和成本度量；

開發(fā)原型工具：使用戶能夠根據(jù)自身需求確定其特定的網(wǎng)絡(luò)彈性度量指標(biāo)集。

3.1 度量方法

MITRE構(gòu)造的網(wǎng)絡(luò)彈性度量通用指標(biāo)涉及的范圍包括：用于不同用途的度量指標(biāo)。特別是支持經(jīng)營決策與工程決策的指標(biāo)；適用于不同架構(gòu)層或資源類的度量指標(biāo)。例如，系統(tǒng)、應(yīng)用程序、知識庫或數(shù)據(jù)存儲、通信和特定技術(shù)的指標(biāo)；反映不同特征的度量指標(biāo)。包括：及時(shí)性、能力和信心的指標(biāo)；不同形式的度量指標(biāo)。包括：定量、半定量和定性指標(biāo)；借鑒的度量指標(biāo)。重用其他工程學(xué)科中的指標(biāo)，尤其是安全指標(biāo)；專門針對RAMBO項(xiàng)目中正在研究的技術(shù)的度量指標(biāo)。

網(wǎng)絡(luò)彈性度量通用指標(biāo)分為三大類：

技術(shù)度量指標(biāo)。評估技術(shù)，以及任務(wù)或業(yè)務(wù)處理，尤其是網(wǎng)絡(luò)防御處理相關(guān)技術(shù)的行為。

組織度量指標(biāo)。評估組織流程對彈性的落實(shí)程度，其中包括網(wǎng)絡(luò)彈性。

成本度量指標(biāo)。評估使用網(wǎng)絡(luò)彈性方法、解決方案、產(chǎn)品，或改善組織流程所需的成本。包括：采購或整合解決方案的成本、支持成本和間接成本等。

3.2 度量指標(biāo)

MITRE在其2011財(cái)年創(chuàng)新計(jì)劃項(xiàng)目下RAMBO評估任務(wù)建立、使用的網(wǎng)絡(luò)空間彈性能力度量細(xì)化指標(biāo)多達(dá)272項(xiàng)，包括了各個(gè)方面。2012年4月發(fā)布的《網(wǎng)絡(luò)彈性度量》白皮書中，給出其中具有代表性的指標(biāo)100余項(xiàng)。作為示例，表2中列出了其中的5項(xiàng)技術(shù)指標(biāo)。

4 結(jié)語

網(wǎng)絡(luò)彈性是一個(gè)很大的概念，需要從國家、社會和系統(tǒng)的角度來看待和規(guī)避風(fēng)險(xiǎn)。網(wǎng)絡(luò)彈性方案必須具有可操作性才能行之有效，實(shí)現(xiàn)網(wǎng)絡(luò)彈性是一個(gè)宏大的目標(biāo)，需要國家層面長期、持續(xù)的努力。十八屆三中全會公報(bào)中最受關(guān)注的內(nèi)容之一是：設(shè)立國家安全委員會，以完善國家安全體制和戰(zhàn)略，確保國家安全。我國成立國家安全委員會，在完善國家安全戰(zhàn)略的過程中必將涉及國家信息安全戰(zhàn)略，信息安全將成為國家安全戰(zhàn)略的重要組成部分。希望我國的信息安全工作能從本文中得到啟示，盡快開展以下工作：

提高網(wǎng)絡(luò)彈性重要性和迫切性認(rèn)識。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，問題觸發(fā)式，分離、局部、被動的處理方式已不能適應(yīng)解決高級持續(xù)威脅（APT）和快速成功攻擊的需求，今天的網(wǎng)絡(luò)安全需要通過具有彈性，能夠?qū)暨M(jìn)行預(yù)測、抵擋、并迅速恢復(fù)和改進(jìn)的彈性網(wǎng)絡(luò)來保證。

研究網(wǎng)絡(luò)彈性實(shí)施架構(gòu)和相關(guān)技術(shù)。網(wǎng)絡(luò)集成、運(yùn)營單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，以及國家相關(guān)部門等，協(xié)同努力，積極開展網(wǎng)絡(luò)彈性架構(gòu)和相關(guān)技術(shù)研究，盡快形成相關(guān)戰(zhàn)略措施、實(shí)施方案、技術(shù)規(guī)范和標(biāo)準(zhǔn)體系。

建立網(wǎng)絡(luò)彈性評估方法和指標(biāo)體系。網(wǎng)絡(luò)集成、運(yùn)營單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，第三方測評機(jī)構(gòu)，以及國家相關(guān)部門等，協(xié)同努力，積極開展網(wǎng)絡(luò)彈性評估方法和指標(biāo)體系研究，建立國家網(wǎng)絡(luò)彈性評估體系，形成網(wǎng)絡(luò)彈性評估、管理基線。

開展網(wǎng)絡(luò)彈性建設(shè)和評估試點(diǎn)示范。網(wǎng)絡(luò)集成、運(yùn)營單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，第三方測評機(jī)構(gòu)，以及行業(yè)主管部門等聯(lián)合開展網(wǎng)絡(luò)彈性工程實(shí)施、評估試點(diǎn)示范，完善相關(guān)實(shí)施方案、技術(shù)規(guī)范和標(biāo)準(zhǔn)體系，健全評估體系和評估管理基線，實(shí)現(xiàn)網(wǎng)絡(luò)安全的常態(tài)管理，促進(jìn)國家信息安全水平整體提高。

[1]THE MITRE CORPORATION | Annual Report 2012. MITRE, 2013.

[2]知遠(yuǎn)/嚴(yán)美.彈性——面對網(wǎng)絡(luò)攻擊幸存的方法[OL].搜狐軍事,2013年05月13日. http：//mil.sohu.com/20130513/n375722601.shtml

[3]Deborah J. Bodeau & Richard Graubart. Cyber Resiliency Engineering Framework. MITRE, September 2011.

[4]Deb Bodeau, Rich Graubart, Len LaPadula, Peter Kertzner,Arnie Rosenthal, Jay Brennan. Cyber Resiliency Metrics, Version 1.0, Rev. 1. MITRE, April 2012.

Cyber has become an important and indispensable part for people's lives and even country running. Cyber security and stable has become the important assurance for national security and economic security. However, with the continuous expansion of cyber scale and rapid development of technology,cyber threats are also growing. It’s increasingly recognized that needing cyber resiliency to enable information and communications systems and those who depend on them can anticipate and withstand attacks, recover subsequent to successful execution of an attack by an adversary, and evolve themselves. This article first presents the concepts of cyber resiliency and cyber resiliency engineering, then introduces the MITRE’s cyber resiliency engineering framework and Metrics, and finally gives opinions about our work on cyber resiliency.

Cyber security Cyber resiliency Cyber resiliency engineering framework Cyber resiliency metrics

嚴(yán)霄鳳（1 9 6 4—），女，上海寶山人，通信專業(yè)碩士，中國軟件評測中心高級工程師，主要從事信息安全，電子認(rèn)證、個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)、規(guī)范和測評方法研究，長期從事信息系統(tǒng)測試、信息安全測評和政府信息系統(tǒng)安全、電子認(rèn)證、電子簽名、個(gè)人信息保護(hù)相關(guān)課題等的研究實(shí)施工作。

董超：(1977—)，碩士，專業(yè)為計(jì)算機(jī)軟件與理論，研究方向?yàn)檐浖y試。