網(wǎng)絡(luò)安全應(yīng)用中網(wǎng)絡(luò)彈性的框架與實現(xiàn)步驟

在疫情肆虐的背景下，網(wǎng)絡(luò)攻擊活動日益猖獗；2020年底曝出的年度供應(yīng)鏈APT攻擊事件中，美國眾多政府機構(gòu)、安全和IT公司淪陷。在日益復雜的網(wǎng)絡(luò)攻擊面前，沒有任何機構(gòu)可以幸免。增強網(wǎng)絡(luò)彈性，打造快速的恢復能力日益受到關(guān)注。

網(wǎng)絡(luò)安全策略的重點從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪娋W(wǎng)絡(luò)彈性：既然入侵不能避免，考慮維持業(yè)務(wù)正常運營，從攻擊中快速恢復過來才是更現(xiàn)實的選擇。

作為網(wǎng)絡(luò)安全行業(yè)的風向標，將于5月份舉辦的RSAC峰會宣布以“彈性（RESILIENCE）”作為今年大會的主題。在此前，普華永道網(wǎng)絡(luò)安全與隱私業(yè)務(wù)負責人克里斯·莫里斯在世界經(jīng)濟論壇上撰文指出，每個企業(yè)都應(yīng)該將網(wǎng)絡(luò)彈性作為當前的重中之重。

這表明網(wǎng)絡(luò)彈性已得到網(wǎng)絡(luò)安全產(chǎn)業(yè)界的共同關(guān)注，將對網(wǎng)絡(luò)安全創(chuàng)新乃至信息化帶來越來越重要的影響。

一、網(wǎng)絡(luò)彈性的產(chǎn)生背景

彈性（Resilience或Resiliency，也可譯為“韌性”）的概念起源于力學和社會生態(tài)等領(lǐng)域，后來被引入工程領(lǐng)域。近年來，美國軍方要求在預(yù)算有限和作戰(zhàn)條件不確定的條件下，其武器裝備應(yīng)具備保證功能持續(xù)穩(wěn)定的能力、抗干擾能力、受損后能得到有效恢復的能力以及快速適應(yīng)不斷變化的條件的能力，從而對武器裝備提出了彈性的要求。此后，彈性得到美國軍方乃至美國聯(lián)邦政府的高度重視。

由于網(wǎng)絡(luò)安全風險的多樣性、復雜性和不可預(yù)見性，保證網(wǎng)絡(luò)空間絕對的安全是不現(xiàn)實的。因此，網(wǎng)絡(luò)安全的工作重點逐漸從阻止網(wǎng)絡(luò)事故的發(fā)生轉(zhuǎn)向緩解事故帶來的危害，網(wǎng)絡(luò)彈性的概念就出現(xiàn)了。網(wǎng)絡(luò)彈性是從攻防對抗的角度來考慮系統(tǒng)的特性，認為網(wǎng)絡(luò)攻擊（尤其是APT攻擊）是防不住的；在這種情況下，保護系統(tǒng)的重點應(yīng)從抵御攻擊轉(zhuǎn)變?yōu)楸Ｕ蠘I(yè)務(wù)連續(xù)性。

美國發(fā)布了多個跟網(wǎng)絡(luò)彈性有關(guān)的規(guī)劃和正式報告。2018年，美國防部在《國防部網(wǎng)絡(luò)戰(zhàn)略2018》中提出“提升美國關(guān)鍵基礎(chǔ)設(shè)施彈性”的戰(zhàn)略途徑；此后不久，白宮發(fā)布了美國的《國家網(wǎng)絡(luò)戰(zhàn)略》，提出了“管理網(wǎng)絡(luò)安全風險，提升國家信息和信息系統(tǒng)的安全與彈性”的目標。

隨著美國政府的推動，網(wǎng)絡(luò)彈性在國際學術(shù)界和工程界得到了廣泛的重視。2019年11月27日，NIST正式發(fā)布SP 800-160（卷2）《開發(fā)網(wǎng)絡(luò)彈性系統(tǒng)—一種系統(tǒng)安全工程方法》。該報告是NIST SP 800-160（卷1）《系統(tǒng)安全工程》的第一個支持文件，它是NIST采用系統(tǒng)工程方法構(gòu)建網(wǎng)絡(luò)安全能力的重要里程碑，也代表著網(wǎng)絡(luò)彈性的權(quán)威技術(shù)文件。

二、網(wǎng)絡(luò)彈性的框架與實現(xiàn)步驟

網(wǎng)絡(luò)彈性跟任務(wù)保證、網(wǎng)絡(luò)安全防護、業(yè)務(wù)連續(xù)性、備份恢復等相關(guān)，網(wǎng)絡(luò)彈性的定義就是從關(guān)鍵基礎(chǔ)設(shè)施彈性（2010）、國家安全系統(tǒng)彈性（2014）、關(guān)鍵基礎(chǔ)設(shè)施安全與彈性（2013）、網(wǎng)絡(luò)空間彈性（2010）等術(shù)語中歸納出來的。

NIST SP 800-160（卷2）將網(wǎng)絡(luò)彈性定義為：預(yù)防、抵御、恢復和適應(yīng)施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。該報告提出了一個完整的網(wǎng)絡(luò)彈性結(jié)構(gòu)，包括目的、目標、技術(shù)、實現(xiàn)途徑、設(shè)計準則等。這個結(jié)構(gòu)指導系統(tǒng)工程師從風險管理策略出發(fā)，根據(jù)威脅或攻擊的影響來制定網(wǎng)絡(luò)彈性解決方案。

網(wǎng)絡(luò)彈性的目的是使系統(tǒng)具有預(yù)防、抵御網(wǎng)絡(luò)攻擊的能力，以及在遭受網(wǎng)絡(luò)攻擊后能夠恢復和適應(yīng)的能力。該報告對以上四個目的進行細化，提出了阻止或避免、準備、持續(xù)、限制、重構(gòu)、理解、轉(zhuǎn)移、重新架構(gòu)等8個具體目標，用于說明系統(tǒng)應(yīng)該實現(xiàn)的功能。該報告列舉了14類技術(shù)、49種方法供系統(tǒng)工程師采用。該報告提出了5條戰(zhàn)略性設(shè)計準則，用于描述組織的風險管理策略，并進一步細化為14條結(jié)構(gòu)化設(shè)計準則。

NIST SP 800-160（卷2）對以上內(nèi)容作了詳細的說明，并使技術(shù)、方法、設(shè)計準則與目的、目標、系統(tǒng)生存周期階段等建立了對應(yīng)關(guān)系，從而形成嚴密的技術(shù)體系。

其它機構(gòu)也對網(wǎng)絡(luò)彈性也提出了類似的定義和技術(shù)體系。例如，IDC采用NIST的網(wǎng)絡(luò)安全框架來表示網(wǎng)絡(luò)彈性。在《網(wǎng)絡(luò)彈性重要性與實現(xiàn)之路》一文中，普華永道網(wǎng)絡(luò)安全與隱私業(yè)務(wù)負責人克里斯·莫里斯分享了實現(xiàn)網(wǎng)絡(luò)彈性的五個步驟。

1）了解資產(chǎn)；

2）了解供應(yīng)鏈；

3）保持良好安全習慣；

4）制定恢復計劃；

5）開展網(wǎng)絡(luò)攻擊演習。

綜合來看，NIST SP 800-160（卷2）所提出的框架是最全面完整的。

三、網(wǎng)絡(luò)彈性的應(yīng)用

彈性的理念和方法已經(jīng)在美國軍方和安全部門得到廣泛應(yīng)用。例如，2013年，美國國土安全部在《國家基礎(chǔ)設(shè)施保護計劃》（NIPP）中提出要保障關(guān)鍵基礎(chǔ)設(shè)施的安全和彈性。2019年11月，美國國土安全部和國務(wù)院共同參與發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性指南》，總結(jié)了美國采用的關(guān)鍵基礎(chǔ)設(shè)施安全和彈性的方法，分享了過去15年美國所吸取的經(jīng)驗教訓，以推動提高美國關(guān)鍵基礎(chǔ)設(shè)施安全和彈性能力。

網(wǎng)絡(luò)彈性的概念和技術(shù)方法出現(xiàn)以后，迅速得到了各方的高度關(guān)注和積極響應(yīng)。咨詢機構(gòu)Ponemon Institute和IBM Resilient從2015年開始，每年在全球開展網(wǎng)絡(luò)彈性的調(diào)查。在2019年，他們調(diào)查了全球104992名IT和IT安全人員，收集到了3655份調(diào)研表。在這份調(diào)研中，只有54%的受訪者表示他們的網(wǎng)絡(luò)彈性水平很高，這個指標快速在近三年得到快速增長。

受訪者所在機構(gòu)在2019年的平均網(wǎng)絡(luò)安全預(yù)算為1160萬美元，其中31%（360萬美元）用于網(wǎng)絡(luò)彈性活動。

2020年3月26日，蘭德公司在官網(wǎng)發(fā)布了《度量網(wǎng)絡(luò)安全與網(wǎng)絡(luò)彈性》的報告，提出了可以用來衡量美國空軍任務(wù)或系統(tǒng)在網(wǎng)絡(luò)競爭環(huán)境中表現(xiàn)的指標框架和評分方法。這份報告以紅藍方兵棋推演的方式，為大家呈現(xiàn)了網(wǎng)絡(luò)攻擊中持續(xù)監(jiān)測網(wǎng)絡(luò)彈性的重要性，并通過決策、文化和人員來詳細分析了正確使用這種衡量標準的方法。

我國的專家學者也在跟蹤網(wǎng)絡(luò)彈性的研究應(yīng)用進展情況，部分網(wǎng)絡(luò)安全企業(yè)開展了探索性的工作。例如，奇安信集團提出的“面向泛終端的網(wǎng)絡(luò)安全彈性防御解決方案”，被收錄進第6屆世界互聯(lián)網(wǎng)大會的領(lǐng)先科技成果集。

奇安信集團基于其網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)，以“內(nèi)生安全”理念為核心，構(gòu)筑了協(xié)同自動化、響應(yīng)敏捷化、風險度量化、權(quán)限動態(tài)化、防護資源化和監(jiān)測廣角化的基本策略，提出面向泛終端的網(wǎng)絡(luò)安全彈性防御解決方案。

方案覆蓋云、管、端的安全擴展性需求，提供對內(nèi)風險管控和對外威脅響應(yīng)兩類核心能力，具體包括以下五個系統(tǒng)：

（1）泛終端彈性安全防護。針對傳統(tǒng)桌面終端，及新興的移動終端、IoT終端、工業(yè)終端等各類異構(gòu)的終端，提供終端安全防護和監(jiān)測響應(yīng)能力，實現(xiàn)終端發(fā)現(xiàn)、資產(chǎn)管理、設(shè)備準入、多網(wǎng)切換、終端審計、病毒查殺、環(huán)境感知與威脅檢測和響應(yīng)等功能，并能夠通過控制中心對網(wǎng)絡(luò)中終端進行集中管理、配置、維護，達到提升泛終端復雜環(huán)境整體網(wǎng)絡(luò)安全防護能力的目的。

（2）軟件定義彈性安全網(wǎng)絡(luò)。針對互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，提供可信鏈路的建立和管控以及惡意流量清洗的能力，實現(xiàn)安全自動組網(wǎng)、安全選路、安全策略下發(fā)、爬蟲檢測與保護、Web攻擊檢測與防護、DDoS攻擊檢測與防護功能，達到為用戶提供整體網(wǎng)絡(luò)環(huán)境安全彈性防護的目的。

（3）云平臺彈性安全資源池?；?a href="http://srfitnesspt.com/v/tag/475/" target="_blank">云計算平臺，以安全即服務(wù)的形式，通過調(diào)度虛擬化防火墻、虛擬WAF、抗拒絕服務(wù)攻擊、虛擬入侵防御、虛擬VPN主機防護等安全組件，為云租戶提供訪問控制、風險評估、攻擊防護、安全審計等云安全防護能力，并統(tǒng)一提供安全組件的自動化部署、授權(quán)自動分發(fā)、日志統(tǒng)一收集配置、安全能力彈性伸縮、開放接口等功能。

（4）自適應(yīng)彈性安全訪問控制系統(tǒng)。由可信訪問控制臺、可信應(yīng)用代理、可信API代理、可信環(huán)境感知等組件構(gòu)成，通過對人、終端和系統(tǒng)的實體身份化，為用戶訪問應(yīng)用，應(yīng)用和服務(wù)之間的API調(diào)用等各場景提供縱深的動態(tài)可信訪問控制機制，解決泛終端接入、多方人員接入、混合計算環(huán)境下的數(shù)據(jù)安全訪問及共享的問題。

（5）可編排彈性安全監(jiān)測與響應(yīng)系統(tǒng)。充分發(fā)揮網(wǎng)絡(luò)威脅情報的驅(qū)動作用，實施精準化、針對性防御行動；及時發(fā)現(xiàn)潛藏在其網(wǎng)絡(luò)中的安全威脅，對入侵途徑及攻擊者背景的研判與溯源；通過自動化或半自動化工具、流程和策略，進行自動化安全事件的響應(yīng)和預(yù)防，加快事件響應(yīng)的速度。

以上五個系統(tǒng)中，前三個覆蓋云、管、端的安全擴展性需求，后兩個提供對內(nèi)風險管控和對外威脅響應(yīng)的核心能力。五大系統(tǒng)之間由開放接口進行協(xié)同，具有開放、自組織、動態(tài)特性，以適應(yīng)信息系統(tǒng)復雜多變的場景。

四、總結(jié)

隨著數(shù)字化轉(zhuǎn)型的加速，將增加對IT的依賴，需要更強的網(wǎng)絡(luò)彈性。否則，就會面臨很高的業(yè)務(wù)中斷風險。實現(xiàn)彈性要求系統(tǒng)建設(shè)者擱置不可滲透的舊防御觀念，而是假定遭受攻擊將不可避免，必須采取措施進行阻止、響應(yīng)并從攻擊中恢復，從而保障業(yè)務(wù)的連續(xù)性，避免遭受重大數(shù)據(jù)泄露等損失。

網(wǎng)絡(luò)彈性與從信息系統(tǒng)全局出發(fā)、構(gòu)筑內(nèi)生安全能力建設(shè)不謀而合：兩者都是從大系統(tǒng)出發(fā)，基于攻防視角，綜合考慮了信息化業(yè)務(wù)系統(tǒng)的防護功能與網(wǎng)絡(luò)安全產(chǎn)品的防御能力，使二者協(xié)同工作并貫穿系統(tǒng)全生命周期，形成內(nèi)生安全能力，逐步逐層化解網(wǎng)絡(luò)攻擊威脅，保障業(yè)務(wù)系統(tǒng)的持續(xù)運行和關(guān)鍵功能的實現(xiàn)。內(nèi)生安全無疑是實現(xiàn)網(wǎng)絡(luò)彈性的重要途徑。
編輯：hfy