网络弹性工程框架及度量方法研究
2014-12-11严霄凤董超
严霄凤 董超
(工业和信息化部计算机与微电子发展研究中心(中国软件评测中心),北京 100048)
网络弹性工程框架及度量方法研究
严霄凤 董超
(工业和信息化部计算机与微电子发展研究中心(中国软件评测中心),北京 100048)
网络已成为人们生活乃至国家运行中不可缺少的重要组成部分,网络的安全稳定运行已成为国家安全和经济安全的重要保证。然而随着网络规模的不断扩大和技术的飞速发展,其面临的威胁也在不断增长,人们越来越认识到需要具有弹性的网络,使系统能够预测、抵挡攻击,从对手成功的攻击中恢复,并进行改进和完善。本文首先给出了网络弹性及网络弹性工程的概念,接着介绍了MITRE[1]的网络弹性工程框架和度量方法,最后对我国的网络弹性工作提出了看法。
网络安全 网络弹性 网络弹性工程框架 网络弹性度量
网络已成为人们生活乃至国家运行中不可缺少的重要组成部分,人们生活的方方面面几乎都与网络密切关联,网络的安全稳定运行已成为国家安全和经济安全的重要保证。然而随着网络规模的不断扩大和技术的飞速发展,其面临的威胁也在不断增长。据infosecisland网站5月7日报道[2]:只需15分钟的网络攻击就能让任何西方,依赖任何信息技术的社会瘫痪的断言最近引发了激烈的讨论。实际上,成功实施一次有准备的网络攻击只需几秒。以往头痛医头,脚痛医脚的方法已不能有效保证网络的安全稳定运行,人们越来越认识到需要具有弹性的网络,使系统能够预测、抵挡攻击,从对手成功的攻击中恢复,并进行改进和完善。
图1 网络弹性工程与和其他系统工程学科之间的关系
近年来,网络弹性已成为美国等西方国家决策者和国家安全专家非常关注的问题,高度重视网络弹性已成为美国、欧盟等多个国家的共识。
表1 网络弹性目标与实践的映射
图2 网络弹性的目的与目标之间的关系
美国:2007年《国土安全战略》指出:美国需要网络“整体的系统弹性”,将网络弹性确定为形成美国国土安全综合方案的三大关键概念之一。2010年《国家安全战略》呼吁“要提高美国的网络弹性”。2011年3月30日第8号总统令,再一次强调网络弹性的问题,国土安全部将提升关键信息基础设施的弹性列为2012~2016年战略计划的重点任务。2013年2月12日奥巴马签发《提高关键基础设施网络安全》行政令,再度重申网络安全的重要性,并特别强调提升国家关键基础设施弹性是增强国家关键基础设施安全的重要任务。
欧盟:2008年9月发布《改善公共电子通信网络的弹性》,2009年12月发布《通信网络弹性规范化存在的差距》,2011年1月发布《启用和管理网络端对端弹性》,2011年2月发布《网络与服务弹性的测量标准和架构》,2012年10月发布《向着网络安全迈进》的欧洲战略等。多份有关增强欧盟网络弹性的文件从不同角度阐述了不断提升网络弹性的重要性和必要性。
其他:2012年3月,由25个国家,跨15个领域的70多家政府机构和公司参与的世界经济论坛,向全球发出携手共谋网络弹性的倡议,呼吁世界各国行动起来,共同提升网络弹性。
表2 网络弹性度量指标示例
1 网络弹性工程
1.1 网络弹性
弹性:指从不良事件中“迅速恢复”的能力。弹性概念已经从材料科学和心理学领域延续到其他领域,例如,生态学、系统工程、组织行为学和国家安全,被不同工程学科定义或赋予了不同的特征,以不同的定义越来越多地应用于国家、关键基础设施、组织、网络、系统和网络空间。研究界已经提出网络弹性策略和架构的多个特征。
网络弹性:指国家、组织、任务或业务流程进行预测、抵挡、恢复和改进,来完善功能,应对不利条件、压力或对其运行所需的配套网络资源攻击的能力。
1.2 网络弹性工程
网络弹性工程[3]主要研究:利用一组不断改进的弹性实践提高网络弹性的方法,以及运用这些实践的不同策略的取舍。
网络弹性工程在信息系统安全工程、安全运营管理、性能管理系统工程基础上,借鉴弹性工程、可靠性、生存能力、容错、网络弹性,应急/连续性计划、任务/业务影响分析、关键基础设施系统弹性等内容,并对信息系统安全工程进行扩展,是任务保证工程的子学科。网络弹性工程与和其他系统工程学科之间的关系如图1所示。
2 网络弹性工程框架
MITRE[1]是美国一家不以营利为目的,专门为联邦政府机构服务并颇具影响力的公司,管理着联邦政府资助的研究和发展中心。在其任务保证和业务目标弹性架构(RAMBO)计划下正在开发的网络弹性工程框架[3]包括网络弹性的要素、威胁模型、适用领域和成本四个部分。
2.1 网络弹性的要素
网络弹性的要素包括:网络弹性的目的、网络弹性的目标和网络弹性实践。
2.1.1 网络弹性的目的
通过网络弹性实践达到四个目的:
预测:维持已知的防备状态,防止对手攻击损坏任务或业务功能。达到这一目的需要实现三个目标。
预报。获取和分析威胁情报信息。威胁信息来源于认可的源,监测任务环境(人的行为、物理设施以及信息系统)获得的对手活动证据或迹象,以及不良或异常事件的检测结果。网络威胁分析包括基于威胁信息的威胁建模、结果建模和评估。
预防。通过基本安全保护和加固减少受攻击面,改变系统组件或任务流程,使攻击面更难理解或预报,防止对未来运行的推测。预防应尽可能防止攻击执行。
准备。开发可替代的网络行动方案(CCoA),获取和配置执行CCoA所需的资源,对CCoA进行演练。
抵挡。在对手成功执行攻击时,继续执行基本的任务或业务功能。达到这一目的需要实现两个目标:在存在对手攻击的情况下,“争取通过”攻击或维持基本功能。遏制或击败对手攻击。
恢复:对手成功执行攻击后,最大限度地恢复任务或业务功能。达到这一目的需要实现三个目标。
确定损害。对攻击中使用的恶意软件进行司法分析,对监控、日志产生的记录进行分析,为确定受攻击影响的网络资源进行审计;根据分析发现的对手活动,与外部组织协调和共享信息;寻找被窃取或提取数据的副本。
恢复功能。采取回退恢复的方式,回滚到一个已知的可接受状态。这可能意味着从开始恢复到进入可接受状态之间的数据丢失。恢复可以重建功能,或建立一个新的基线。
确定可信度。网络资源(如系统、信息存储、网络、共享服务)具有相关的可信度(如信息的准确性、流通性和完整性;通信的可用性;对搜索或计算等过程在给定时间内完成的信心)。除了文件化的需求和服务水平协议以外,通常不定义或很少明确说明网络资源的可信度。任务或业务流程用户或网络防护人员对恢复资源的信任可能与其受攻击前有所不同。
改进:改进任务或业务功能和配套网络功能,尽量减少实际或预测的对手攻击造成的不利影响。这一目的必须在变化的环境中达到,达到这个目的需要实现两个目标。
改变现有流程和行为。环境变化包括威胁环境、系统环境和技术环境的变化。威胁环境的变化反映在对威胁模型的更新中,包括身份、功能、意图或对手目标的变化,以及对手谍报技术和战术、技术与程序的变化。系统环境的变化包括任务定义、优先顺序、工作流程的变化,系统构建或配置的变化,以及用户群的变化(如,培训、演练、新的用户群)。技术环境的变化包括在一种技术、特定产品或产品类中发现固有的漏洞,技术部署或使用的变化,新技术的引进,以及淘汰已建立的技术。
重构。修改架构,重建系统功能。
2.1.2 网络弹性的目标
为了达到网络弹性的目的,实现八个网络弹性目标。每个目标支持的目的如图2所示。
了解:对对手,任务或业务功能对网络资源的依赖关系,以及这些资源在对手活动中的状态进行描述。
对对手的描述给出对手的特点(如能力、意图、目标),包括潜在的和实际的对手活动,确定对手可能用来发动成功攻击的条件,以及可行的对手谍报知识。对网络资源状态的描述支持变化检测,以发现可能正在进行的攻击,用于确定受到攻击影响的资源。
对手和依赖关系描述支持预测。网络资源状态描述支持抵挡,并通过促进损害评估和可信性评估支持恢复。依赖关系描述支持改进,帮助避免意料之外的架构变化。
准备:维护现实的处理预测的网络攻击的网络行动方案(CCoA)。
为了使CCoA切合实际,必须考虑可用的资源,不论是网络还是非网络的(如人,其中可能包括:人员水平、训练,以及在演练的基础上理解如何执行CCoA)。
防止:阻止攻击在网络资源中成功执行。
实现此目标的关键是应用完善的信息系统安全工程(ISSE)原则和实践,在企业或系统架构中最具成本效益的点上应用安全控制,以最具成本效益的方式实施安全措施。专门针对网络弹性的策略包括:基于对手能力有选择地加固关键资源,使对手行动偏离方向,采取行动阻止对手攻击关键资源,或限制对对手攻击的激励。
保持:最大限度地延长攻击期间基本任务或业务功能的持续和有效时间。
此目标可以通过组合完美的降级服务,扩大对手为了成功执行攻击必须攻击的范围,合理的任务或业务功能分布,以及在遭到攻击时采用替换行动方案来实现。
限制:限制对手攻击造成的损害。
此目标通常通过将攻击中涉及的网络资源与其他网络资源隔离来实现。关键是应用容错和可信计算原则和实践。
重组:遭受成功攻击后重新部署网络资源,提供尽可能完整的任务或业务功能。
其目的是通过确定网络资源未能达到的已知良好状态,在允许的情况下尽快返回支持任务或业务持续运行的状态。
转变:改变组织行为,应对过去、现在或未来的对手攻击。
其目的是通过限制或改变任务或业务活动的各个方面,尽量减少暴露给攻击的网络资源。包括:改变任务或业务功能的执行方式,做与任务或业务功能完全不同事情,或改变任务或业务功能的范围等。
重构:修改架构,更有效地应用网络弹性实践;应对预期的对手能力、意图和目标的长期变化;吸收新技术提高网络弹性。
可能包括:重新设计、重新实施或更换,特别是利用新技术、现有的网络资源,以及重新配置现有资源,提供新的或不同的功能。
2.1.3 网络弹性实践
网络弹性实践是实现一个或多个网络弹性目标的方法,用于构建和设计任务或业务功能以及支持任务或业务功能的网络资源,包括:任务或业务部门,公共基础设施,共享服务或单个系统、服务或组件。网络弹性目标与实践之间的关系如表1所示。
适应性响应:在有迹象表明攻击正在进行时基于攻击特征采取行动。包括:选择、执行和监测CCoA的有效性。
分析监测:持续收集和分析数据,协同确定潜在漏洞、对手活动和损害。
协同防御:进行适应性管理,以协同的方式、多种不同的机制保护关键资源免遭对手攻击。
欺骗:使用混淆和误导(如,虚假信息)等迷惑对手。
多样化:迫使对手攻击多种不同类型的技术(如,硬件、软件、固件和协议),使攻击的影响降到最低。
动态定位:使用分布式处理,动态重定位关键资产和传感器。
动态展示:构建和维护组件、系统、服务、任务依赖关系、对手活动,以及可替换的网络行动方案影响等的动态呈现。
非持久化:在有限的时间内保留信息、服务和连接,减少对手利用漏洞并建立持久立足点的机会。
权限限制:分别基于类型、重要性和可信程度,限制使用网络资源需要的权限,以及分配给用户和网络实体的权限,尽量减少对手活动的潜在后果。
调整:使网络资源与任务或业务功能的核心部分匹配,减少攻击面。
保持冗余:维护多个受保护关键资源(信息和服务)的实例。
分割:基于类型和重要性(逻辑或物理)分离组件,限制被对手成功利用造成的损害或传播。
验证完整性:确定关键服务、信息存储、信息流和组件未被对手破坏。
不可预测化:进行频繁、随机的变化,使对手难以预测。
网络弹性实践依赖于支持安全和性能的实践。随着网络弹性实践和解决方案的成熟,可能成为安全工程、性能工程、安全管理和安全运行活动中安全和性能实践的组成部分。
2.2 威胁模型
确定网络弹性实践将应对的威胁;分析网络攻击链,建立网络弹性目的与对手活动的对应关系。
2.3 适用领域
确定网络弹性实践、措施(控制、机制、程序),以及解决方案适用的架构层或网络资源集。可以在多个层次上应用弹性实践和实现网络弹性目标。
网络弹性工程侧重于将网络弹性实践应用于网络资源,或将特定的弹性产品或实践与网络资源集成。重点关注任务和业务部门、系统、共享服务组、网络或其他公共基础设施的体系架构,网络弹性实践对于不同类型的网络资源具有不同的效果。
2.4 成本
确定使用网络弹性实践、机制,或特定产品或实现涉及的成本类型。应用网络弹性实践或使用网络弹性产品的潜在成本是多方面的。成本是进行替代策略和实现权衡分析的组成部分。
成本度量指标用初始成本、支持成本、间接成本与收益三种类型来定义和表征。成本评估的方法包括:定性、半定量和定量方法。
3 网络弹性度量
网络空间的风险日益增长,情况愈加复杂,特别是国家层面的大规模网络攻击威胁有增无减,对网络弹性的需求愈加强烈。提高网络弹性的工程和运营决策迫切需要合适的度量和评估过程支持,需要尽快研究制定衡量网络弹性的度量方法和指标。MITRE在RAMBO评估任务下所做的网络弹性度量[4]工作主要包括:
建立方法:用于识别、表征、定义网络弹性度量指标;
确定通用度量指标:用于网络弹性的技术和成本度量;
开发原型工具:使用户能够根据自身需求确定其特定的网络弹性度量指标集。
3.1 度量方法
MITRE构造的网络弹性度量通用指标涉及的范围包括:用于不同用途的度量指标。特别是支持经营决策与工程决策的指标;适用于不同架构层或资源类的度量指标。例如,系统、应用程序、知识库或数据存储、通信和特定技术的指标;反映不同特征的度量指标。包括:及时性、能力和信心的指标;不同形式的度量指标。包括:定量、半定量和定性指标;借鉴的度量指标。重用其他工程学科中的指标,尤其是安全指标;专门针对RAMBO项目中正在研究的技术的度量指标。
网络弹性度量通用指标分为三大类:
技术度量指标。评估技术,以及任务或业务处理,尤其是网络防御处理相关技术的行为。
组织度量指标。评估组织流程对弹性的落实程度,其中包括网络弹性。
成本度量指标。评估使用网络弹性方法、解决方案、产品,或改善组织流程所需的成本。包括:采购或整合解决方案的成本、支持成本和间接成本等。
3.2 度量指标
MITRE在其2011财年创新计划项目下RAMBO评估任务建立、使用的网络空间弹性能力度量细化指标多达272项,包括了各个方面。2012年4月发布的《网络弹性度量》白皮书中,给出其中具有代表性的指标100余项。作为示例,表2中列出了其中的5项技术指标。
4 结语
网络弹性是一个很大的概念,需要从国家、社会和系统的角度来看待和规避风险。网络弹性方案必须具有可操作性才能行之有效,实现网络弹性是一个宏大的目标,需要国家层面长期、持续的努力。十八届三中全会公报中最受关注的内容之一是:设立国家安全委员会,以完善国家安全体制和战略,确保国家安全。我国成立国家安全委员会,在完善国家安全战略的过程中必将涉及国家信息安全战略,信息安全将成为国家安全战略的重要组成部分。希望我国的信息安全工作能从本文中得到启示,尽快开展以下工作:
提高网络弹性重要性和迫切性认识。随着网络技术的飞速发展,问题触发式,分离、局部、被动的处理方式已不能适应解决高级持续威胁(APT)和快速成功攻击的需求,今天的网络安全需要通过具有弹性,能够对攻击进行预测、抵挡、并迅速恢复和改进的弹性网络来保证。
研究网络弹性实施架构和相关技术。网络集成、运营单位,网络安全防御利益相关者,以及国家相关部门等,协同努力,积极开展网络弹性架构和相关技术研究,尽快形成相关战略措施、实施方案、技术规范和标准体系。
建立网络弹性评估方法和指标体系。网络集成、运营单位,网络安全防御利益相关者,第三方测评机构,以及国家相关部门等,协同努力,积极开展网络弹性评估方法和指标体系研究,建立国家网络弹性评估体系,形成网络弹性评估、管理基线。
开展网络弹性建设和评估试点示范。网络集成、运营单位,网络安全防御利益相关者,第三方测评机构,以及行业主管部门等联合开展网络弹性工程实施、评估试点示范,完善相关实施方案、技术规范和标准体系,健全评估体系和评估管理基线,实现网络安全的常态管理,促进国家信息安全水平整体提高。
[1]THE MITRE CORPORATION | Annual Report 2012. MITRE, 2013.
[2]知远/严美.弹性——面对网络攻击幸存的方法[OL].搜狐军事,2013年05月13日. http://mil.sohu.com/20130513/n375722601.shtml
[3]Deborah J. Bodeau & Richard Graubart. Cyber Resiliency Engineering Framework. MITRE, September 2011.
[4]Deb Bodeau, Rich Graubart, Len LaPadula, Peter Kertzner,Arnie Rosenthal, Jay Brennan. Cyber Resiliency Metrics, Version 1.0, Rev. 1. MITRE, April 2012.
Cyber has become an important and indispensable part for people's lives and even country running. Cyber security and stable has become the important assurance for national security and economic security. However, with the continuous expansion of cyber scale and rapid development of technology,cyber threats are also growing. It’s increasingly recognized that needing cyber resiliency to enable information and communications systems and those who depend on them can anticipate and withstand attacks, recover subsequent to successful execution of an attack by an adversary, and evolve themselves. This article first presents the concepts of cyber resiliency and cyber resiliency engineering, then introduces the MITRE’s cyber resiliency engineering framework and Metrics, and finally gives opinions about our work on cyber resiliency.
Cyber security Cyber resiliency Cyber resiliency engineering framework Cyber resiliency metrics
严霄凤(1 9 6 4—),女,上海宝山人,通信专业硕士,中国软件评测中心高级工程师,主要从事信息安全,电子认证、个人信息保护相关标准、规范和测评方法研究,长期从事信息系统测试、信息安全测评和政府信息系统安全、电子认证、电子签名、个人信息保护相关课题等的研究实施工作。
董超:(1977—),硕士,专业为计算机软件与理论,研究方向为软件测试。
