網(wǎng)絡(luò)彈性作為一項網(wǎng)絡(luò)系統(tǒng)設(shè)計原則，越來越多地受到網(wǎng)絡(luò)安全利益相關(guān)方的重視。特別是在當(dāng)前網(wǎng)絡(luò)安全風(fēng)險和傳統(tǒng)安全風(fēng)險交織互為影響、IT安全和OT安全互為滲透的背景下，網(wǎng)絡(luò)彈性被視為預(yù)防和緩解關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險的有效手段。

　　通常來講，網(wǎng)絡(luò)彈性可以被視為一種預(yù)防措施，以對抗人為錯誤、惡意行為和陳舊的、不安全的軟件。以SolarWinds供應(yīng)鏈攻擊為典型代表的一系列數(shù)據(jù)泄露事件已經(jīng)確定無疑地表明：當(dāng)今的網(wǎng)絡(luò)攻擊不再局限于簡單的病毒傳播或拒絕服務(wù)（DoS）攻擊。相反，網(wǎng)絡(luò)攻擊對手會部署先進(jìn)的持續(xù)威脅（APTs），甚至可能利用修補(bǔ)良好、受到監(jiān)控的基礎(chǔ)設(shè)施。2020年以來的COVID-19疫情大流行使得居家辦公、遠(yuǎn)程辦公迅速普及，這加劇了本已復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，暴露了IT/OT可見性、問責(zé)制和安全控制持久性方面的現(xiàn)實差距。越來越多的企業(yè)將網(wǎng)絡(luò)彈性作為確保業(yè)務(wù)運(yùn)營持續(xù)交付的一種新興措施。但網(wǎng)絡(luò)彈性到底是什么？工業(yè)網(wǎng)絡(luò)環(huán)境下為何需要實施網(wǎng)絡(luò)彈性并會帶來哪些好處？如何實現(xiàn)良好的網(wǎng)絡(luò)彈性？

　　何為網(wǎng)絡(luò)彈性？

　　根據(jù)MITRE的定義，網(wǎng)絡(luò)彈性（或網(wǎng)絡(luò)韌性）是預(yù)測、抵御、恢復(fù)和適應(yīng)不利條件、壓力、攻擊或網(wǎng)絡(luò)資源的失陷的能力。人們?nèi)找嬲J(rèn)識到，傳統(tǒng)的安全措施已不足以確保足夠的信息、數(shù)據(jù)和網(wǎng)絡(luò)安全，因此對網(wǎng)絡(luò)彈性的需求應(yīng)運(yùn)而生。網(wǎng)絡(luò)彈性承認(rèn)，現(xiàn)代企業(yè)基礎(chǔ)設(shè)施是由大型和復(fù)雜的實體組成的，存在缺陷和弱點(diǎn)是不可回避的事實，攻擊對手必然成功利用這些漏洞和弱點(diǎn)。在此背景下，網(wǎng)絡(luò)彈性的目標(biāo)是確保不利的網(wǎng)絡(luò)事件（有意或無意的，即由于軟件更新失?。┎粫M織業(yè)務(wù)運(yùn)營的保密性、完整性、可用性、可靠性等產(chǎn)生負(fù)面影響。

　　網(wǎng)絡(luò)安全應(yīng)用旨在保護(hù)系統(tǒng)（如服務(wù)器、端點(diǎn)）、網(wǎng)絡(luò)和數(shù)據(jù)免受網(wǎng)絡(luò)攻擊的技術(shù)、流程和措施。相比之下，網(wǎng)絡(luò)彈性則側(cè)重于組織IT環(huán)境中的偵察和反應(yīng)控制，以評估漏洞并推動整體安全態(tài)勢的改善和增強(qiáng)。大多數(shù)網(wǎng)絡(luò)復(fù)原措施利用或加強(qiáng)各種網(wǎng)絡(luò)安全措施。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)復(fù)原措施在協(xié)同應(yīng)用時最為有效。

　　越來越多的網(wǎng)絡(luò)風(fēng)險和安全管理框架采用網(wǎng)絡(luò)彈性的概念。例如，美國國土安全部（Department of Homeland Security）的網(wǎng)絡(luò)彈性評估（CRR）就如何評估一個組織的運(yùn)營彈性和網(wǎng)絡(luò)安全實踐提供了指導(dǎo)。另一個例子是美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）特別出版物800-160第2卷，它提供了一個安全可靠系統(tǒng)的工程框架——將不利的網(wǎng)絡(luò)事件視為彈性和安全問題。

　　工業(yè)網(wǎng)絡(luò)為何需要網(wǎng)絡(luò)彈性？

　　隨著國家支持的威脅行為體增網(wǎng)絡(luò)作戰(zhàn)能力的增強(qiáng)，黑客們發(fā)現(xiàn)了新的網(wǎng)絡(luò)犯罪策略，網(wǎng)絡(luò)恐怖分子則發(fā)現(xiàn)了滲透工業(yè)控制的新方法，惡化的形勢迫使網(wǎng)絡(luò)彈性戰(zhàn)略將不得不納入應(yīng)急響應(yīng)管理計劃。比如化工廠的工業(yè)控制器被破壞時會發(fā)生什么？何時向誰報告？需要實施哪些流程來減輕系統(tǒng)受損或發(fā)生相關(guān)緊急事件時的影響？對于從事工業(yè)物聯(lián)網(wǎng)領(lǐng)域的人員來說，考慮政府如何處理緊急情況管理響應(yīng)變得越來越重要，以便在災(zāi)難發(fā)生時，一線響應(yīng)人員能夠采取及時有效的糾正措施，而不會使危機(jī)加劇。目前國家關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)，是網(wǎng)絡(luò)攻防的最前沿。比如APT組織對電力、能源、電信、衛(wèi)生和公共安全、政府和經(jīng)濟(jì)基礎(chǔ)設(shè)施等目標(biāo)的興趣比任何時候都強(qiáng)烈。沒有受到政府安全法規(guī)嚴(yán)格控制的系統(tǒng)可能會成為攻擊對手利用來攻陷和破壞經(jīng)濟(jì)的潛在目標(biāo)。具體到工業(yè)網(wǎng)絡(luò)中，可編程邏輯控制器（例如Stuxnet病毒的目標(biāo)）和SCADA系統(tǒng)是混合攻擊場景（涉及同時進(jìn)行的網(wǎng)絡(luò)攻擊和動能攻擊）中必然是重點(diǎn)目標(biāo)。

　　這一急劇嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，使得關(guān)鍵信息基礎(chǔ)設(shè)施在遭受攻擊仍然能夠持續(xù)運(yùn)營，即使癱瘓后如何快速恢復(fù)變得尤其關(guān)鍵。建立網(wǎng)絡(luò)彈性是工業(yè)系統(tǒng)設(shè)計的一個重要方面。無論怎樣，對現(xiàn)在系統(tǒng)的健壯性做到心中有數(shù)也不是一件壞事?？梢钥紤]多種方法測試現(xiàn)有系統(tǒng)，在網(wǎng)絡(luò)安全的基礎(chǔ)上對失敗場景進(jìn)行建模，或者使用紅隊（攻擊）藍(lán)隊（防御）對抗風(fēng)格的推演等技術(shù)來證明系統(tǒng)的健壯性。

　　有一點(diǎn)是確定的，即使防御者盡了最大的努力，但受攻擊且失敗還是會發(fā)生。在這種情況下，應(yīng)急響應(yīng)部門人員需要能夠應(yīng)對潛在危機(jī)，需要采取并實施網(wǎng)絡(luò)彈性恢復(fù)戰(zhàn)略?？紤]到在許多系統(tǒng)的自動化水平，手動控制變得少之又少，以及信息系統(tǒng)的互聯(lián)性和基礎(chǔ)設(shè)施的相互依賴性，這將變得越來越重要。展望未來，人們希望人工智能可能會成為未來的智能看門人。但問題的另一面，未來人工智能也肯定是攻擊的工具。

　　美國聯(lián)邦應(yīng)急管理局每兩年進(jìn)行一次大規(guī)模的基礎(chǔ)演習(xí)，以驗證在實現(xiàn)災(zāi)難事件防范文化方面取得的進(jìn)展，稱為“國家一級演習(xí)”（NLE）。NLE2020側(cè)重于國家網(wǎng)絡(luò)安全準(zhǔn)備。政府和私營部門之間的這一合作努力是迄今為止進(jìn)行的最大規(guī)模的此類演習(xí)，其不同之處在于它將網(wǎng)絡(luò)災(zāi)難的物理后果考慮在內(nèi)。美國國土安全部下屬的網(wǎng)絡(luò)安全部門（CISA）認(rèn)為，工業(yè)控制系統(tǒng)所面臨的威脅至關(guān)重要，因此它專門設(shè)有一個頁面，專門針對工業(yè)控制系統(tǒng)提供重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)的實時警報，有關(guān)當(dāng)前安全問題、漏洞和利用的咨詢，以及大量技術(shù)信息，助力提高工業(yè)控制系統(tǒng)保護(hù)專業(yè)人員的技能水平。

　　實施網(wǎng)絡(luò)彈性有何益處？

　　網(wǎng)絡(luò)恢復(fù)策略，如端點(diǎn)恢復(fù)，在網(wǎng)絡(luò)攻擊事前、事中和事后提供了一系列的好處。以下是一些主要的好處：

　　強(qiáng)化安全態(tài)勢：網(wǎng)絡(luò)彈性不僅有助于應(yīng)對攻擊并在攻擊中幸存下來。它還可以幫助組織開發(fā)戰(zhàn)略，以改進(jìn)IT治理，提高關(guān)鍵資產(chǎn)的安全性，擴(kuò)展數(shù)據(jù)保護(hù)工作，并最大限度地減少人為錯誤。

　　推進(jìn)合規(guī)建設(shè)：當(dāng)前在網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)當(dāng)中都有網(wǎng)絡(luò)信息系統(tǒng)應(yīng)急響應(yīng)、恢復(fù)的要求。

　　提高IT生產(chǎn)率：網(wǎng)絡(luò)彈性的一個被低估的好處是，它改善了組織的IT團(tuán)隊的日常運(yùn)營。它提高了應(yīng)對威脅的能力，并有助于確保日常運(yùn)作順利進(jìn)行。

　　促進(jìn)網(wǎng)絡(luò)安全文化建設(shè)：安全事件驅(qū)動的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制需要不斷的改進(jìn)完善，實戰(zhàn)演練、桌面推演、事件處置都是推動響應(yīng)機(jī)制、能力改進(jìn)提升的動力。彈性原則的實施與改進(jìn)同樣扮演這種驅(qū)動角色，真正助力企業(yè)構(gòu)建貫穿于人員、技術(shù)、過程的網(wǎng)絡(luò)安全文化。

　　網(wǎng)絡(luò)安全具有對抗的特性，因此極限化的敵情想定是必須的。網(wǎng)絡(luò)彈性措施（即架構(gòu)設(shè)計、技術(shù)、操作實踐）恰恰就是假設(shè)威脅行為者可以在組織的基礎(chǔ)設(shè)施中立足（即網(wǎng)絡(luò)系統(tǒng)的失陷是必然的），更重要的是在攻擊者已駐留的情況下設(shè)法阻止其后利用活動，并將其盡快獵殺。如果實施得當(dāng)，網(wǎng)絡(luò)彈性可以被視為一種預(yù)防措施，以對抗人為錯誤、惡意行為和陳舊的、不安全的軟件。最終，網(wǎng)絡(luò)彈性的目標(biāo)是積極地保護(hù)整個企業(yè)，覆蓋上述所有可用的網(wǎng)絡(luò)資源。因此，企業(yè)需要在其基礎(chǔ)設(shè)施中建立不同類型的網(wǎng)絡(luò)彈性。

　　如何改進(jìn)企業(yè)的網(wǎng)絡(luò)彈性？

　　一個系統(tǒng)、一個網(wǎng)絡(luò)或一個組織的彈性是由許多因素影響的，以一種復(fù)雜的、往往矛盾的方式。

　　1、管理復(fù)雜性：系統(tǒng)或網(wǎng)絡(luò)的彈性很大程度上取決于系統(tǒng)的復(fù)雜性，特別在工業(yè)網(wǎng)絡(luò)環(huán)境，OT與IT在融合趨勢下加劇了復(fù)雜性的管控難度。

　　2、選擇合理拓?fù)洌撼藦?fù)雜性之外，選擇合適的系統(tǒng)或網(wǎng)絡(luò)拓?fù)淇梢蕴岣邚椥浴?/p>

　　3、增加額外資源：網(wǎng)絡(luò)中的額外資源有助于提高彈性。例如，對發(fā)電配電網(wǎng)的節(jié)點(diǎn)進(jìn)行擴(kuò)容，可以降低級聯(lián)故障的可能性，加快業(yè)務(wù)恢復(fù)的速度。

　　4、設(shè)計恢復(fù)機(jī)制：系統(tǒng)組件的設(shè)計應(yīng)使其在出現(xiàn)故障或受到損害時恢復(fù)到安全模式。

　　5、控制影響傳播：為了增強(qiáng)系統(tǒng)吸收網(wǎng)絡(luò)攻擊影響的能力，設(shè)計者應(yīng)該防范級聯(lián)故障。這些失敗并不是完全獨(dú)立的，因為一個失敗會觸發(fā)另一個失敗。

　　6、提供緩沖機(jī)制：在數(shù)據(jù)和商品交易網(wǎng)絡(luò)中，網(wǎng)絡(luò)的功能是向其客戶提供對一組交付的商品的訪問。在這樣的網(wǎng)絡(luò)中，緩沖區(qū)（例如高速緩存，本地存儲）構(gòu)成一個恢復(fù)機(jī)制，該機(jī)制消除了對原始源的持續(xù)訪問的需要。

　　7、準(zhǔn)備主動代理：主動代理——人類的或人造的——應(yīng)可用來采取積極的措施，以便吸收、恢復(fù)和適應(yīng)。為了有效地做到這一點(diǎn)，必須有計劃、流程和準(zhǔn)備。

　　8、構(gòu)建代理功能：理想情況下，代理應(yīng)該能夠根據(jù)上下文執(zhí)行多個功能中的一個，并且相同的功能可以由多個代理中的一個執(zhí)行。例如，網(wǎng)絡(luò)中的存儲代理（緩沖區(qū)、緩存）可以使用它們的空間來存儲一組可能的項。

　　9、充分考慮對手：如果對手專門調(diào)整他的技術(shù)和程序-并擁有必要的能力-以擊潰目標(biāo)系統(tǒng)的恢復(fù)嘗試，系統(tǒng)的恢復(fù)力將受到相應(yīng)的損害。

　　10、進(jìn)行深入分析：所有提高彈性能力的措施和行動也可能造成導(dǎo)致彈性能力全面下降的未預(yù)料的影響。因此，嚴(yán)謹(jǐn)、高保真的分析是必須的。在沒有能夠揭示潛在負(fù)面影響和系統(tǒng)性影響的適當(dāng)分析的情況下，不應(yīng)設(shè)計或引入增強(qiáng)彈性的措施。