网络弹性终结篇：网络弹性发展的两个阶段与安全的关系

如果加星标，可以及时收到推送

点击文末【阅读原文】,看到一个完整的安全系统

微信公众号已经推出了AI朗读功能，声音效果很好。

所以从今天起，《安全到底》栏目继续成长，去掉“朗读语音”、去掉“1024字”的内容限制、去掉用“到底”命名的标题，看看这样是不是会更好一些？

今天咱们一口气把弹性的话题讲完。

如果我们以一种宏观角度来看弹性架构发展的话，大致分为了网络弹性和系统弹性两个阶段。

阶段一：网络弹性(2010-2018)

2015年，MITRE公司终于推出了网络弹性工程框架（The Cyber Resiliency Engineering Framework，CREF），该框架分4个网络弹性目标、8个网络弹性过程对象和14个网络弹性技术。

4个网络弹性目标是：预测(anticipate)、承受（withstand）、恢复（recover）、演化（Evolve）。

8个网络弹性过程对象是：理解(Understand)、准备(Prepare)、防御(Prevent)、连续(Continue)、限制(Constrain)、重组(Reconstitute)、变换(Transform)、重建(Re-architect)。

14个网络弹性技术是：自适应响应(Adaptive Response)、分析监控(Analytic Monitoring)、协同防御(Coordinated Defense)、欺骗(Deception)、差异(Diversity)、动态定位(Dynamic Positioning)、动态表示(Dynamic Representation)、非持久化(Non-Persistence)、特权限制(Privilege Restriction)、重新校准(Realignment)、冗余(Redundancy)、分段/隔离(Segmentation / Isolation)、已证实的完整性(Substantiated Integrity)、不可预测性(Unpredictability)。

网络弹性技术和网络弹性过程对象的映射关系为：

2016年，MITRE公司开始将网络弹性工程框架（CREF）与NIST的风险管理框架（RMF）进行了融合，同时提出了结构化网络弹性分析方法（Structured Cyber Resiliency Analysis Methodology,SCRAM）。

2017年，MITRE公司提出了网络弹性的设计原则，其中包括5个战略设计原则和14个结构化设计原则。

5个战略设计原则是：聚焦通用关键资产（Focus on Common Critical Assets）、支持敏捷和自适应的架构（Support Agility and Architect for Adaptability)、减少攻击面（Reduce Attack Surfaces）、假设部分资源失陷（Assume Compromised Resources ）、预料到对手进化（Expect Adversaries to Evolve）。

14个结构化设计原则与5个战略设计原则的映射关系如下：

2018年，MITRE公司将弹性设计原则和之前的网络弹性工程框架（CREF）进行融合，形成了网络弹性工程框架（CREF）升级版：

阶段二：系统弹性（2019-2024）

2019年，美国国家标准技术研究所NIST把网络弹性工程定义成了一种系统安全的标准SP800-160,命名为《开发网络弹性系统：一种系统安全工程方法（Developing Cyber Resilient Systems-A Systems Security Engineering Approach）》。

2021年，中国软件行业协会发布了基于网络弹性的系统安全工程团体标准，沿袭了MITRE公司与NIST的弹性研究成果。

在标准里阐述了网络弹性、系统弹性与网络安全三者的关系。

一、网络弹性与系统弹性

提出网络弹性是关注包含网络的系统的弹性，而系统弹性可能是针对独立的系统，如一套生产装置或者一个独立运行的软件，并不包含网络要素。

二、网络弹性分析的重点

网络弹性聚焦任务和业务功能实现的能力，网络弹性分析的重点是满足系统要求和解决利益相关方系统在受到攻击时所关心的问题。

三、网络弹性目标与网络安全目标

网络弹性目标的预测、承受、恢复和适配都是面向任务或业务功能的，从而补充了应用于信息和信息系统的已确定的安全目标：保密性、完整性和可用性。

同时，提出了一个系统生存周期过程与网络弹性工程框架：

并沿用了MITRE公司网络弹性工程框架(CREF)升级版的那张图：

2022年，著名的欧盟委员会《网络弹性法案》公布，该法案要求所有数字产品需要具备安全属性。

2023年,紫金山实验室提出了一种威胁态势感知性、威胁抵御鲁棒性、威胁损害恢复性、威胁变化适应性的网络弹性评估方法。该方法分为：静态评估、对抗评估、 破坏性评估三类。

2024年，MITRE公司又提出了网络存活属性（cyber survivability attributes，CSA）的概念，并将这些属性分别与网络弹性框架里的战略设计原则、结构化设计原则、技术点分别进行了映射。

最后，你会发现，网络弹性工程其实是由威胁和风险问题而引起的对网络、系统、业务健壮性的一种体系化思考。

安全产品本身本质上也是一种网络结构、一种系统或一种业务，所以弹性工程并不是用来提升威胁的检测与发现能力的，而是用来提升当威胁已经来临时网络或系统的自动应对能力的。

如果你对本文有任何建议,

欢迎联系我改进；

如果本文对你有任何帮助，

欢迎分享、点赞和在看

如果心生欢喜，不如做个长期朋友：）

打开下面小程序，可连续收听本栏目音频

参考资料：

[1]MITRE.Cyber Resiliency Engineering Aid—The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques,2015-03-15.https://www.mitre.org/news-insights/publication/cyber-resiliency-engineering-aid-updated-cyber-resiliency-engineering

[2]MITRE.cyber resiliency design principles,2017-03-22.https://www.mitre.org/news-insights/publication/cyber-resiliency-design-principles

[3]MITRE.cyber resiliency metrics catalog,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-catalog

[4]MITRE.cyber resiliency metrics, measures of effectiveness, and scoring,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-measures-effectiveness-and-scoring

[5]MITRE.the risk management framework and cyber resiliency,2016-03-06.https://www.mitre.org/news-insights/publication/risk-management-framework-and-cyber-resiliency

[6]MITRE.structured cyber resiliency analysis methodology,2016-03-16.https://www.mitre.org/news-insights/publication/structured-cyber-resiliency-analysis-methodology

[7]MITRE.adaptive cyber resiliency for critical operations,2023-03-15.https://www.mitre.org/news-insights/impact-story/adaptive-cyber-resiliency-critical-operations

[8]E安全.解析RSAC 2021（附大会PPT下载）, 2021-05-25.https://www.secrss.com/articles/31427

[9]中国软件行业协会.系统安全工程 网络弹性构建指南,2021-12-24

[10]信通院知产中心.中国信通院张俊霞：欧盟《网络弹性法案》简介及借鉴意义,2023-04-10.https://weibo.com/ttarticle/p/show?id=2309404889010551259425

[11]2023.1-紫金山实验室 - 基于系统架构评估的网络弹性度量技术白皮书.pdf

[12]MITRE.cyber resiliency framework and cyber survivability attributes,2024-01-05.https://www.mitre.org/news-insights/publication/cyber-resiliency-framework-and-cyber-survivability-attributes

题图：弹性

题图创作者：晓兵与AI小助手

算法提供：SDXL

原文始发于微信公众号（锐安全）：网络弹性终结篇：网络弹性发展的两个阶段与安全的关系