嵌入式系統(tǒng)上網(wǎng)絡(luò)彈性指標(biāo)的狀態(tài)

嵌入式系統(tǒng)識(shí)別、預(yù)防和響應(yīng)旨在破壞其運(yùn)營(yíng)能力的網(wǎng)絡(luò)攻擊的能力是通過(guò)衡量其網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性水平來(lái)定義的。網(wǎng)絡(luò)攻擊的概念可以指電子戰(zhàn)（EW），如信號(hào)干擾，也可以指網(wǎng)絡(luò)戰(zhàn)，例如發(fā)送畸形數(shù)據(jù)包以破壞系統(tǒng)。用于衡量系統(tǒng)網(wǎng)絡(luò)彈性的指標(biāo)與嵌入式系統(tǒng)有何具體關(guān)系，嵌入式系統(tǒng)設(shè)計(jì)人員在應(yīng)用網(wǎng)絡(luò)彈性指標(biāo)時(shí)必須考慮哪些特殊因素？

首先，重要的是要了解指標(biāo)是達(dá)到目的的一種手段。由于獲取、衡量和評(píng)估網(wǎng)絡(luò)彈性指標(biāo)會(huì)產(chǎn)生相關(guān)成本，因此這些成本必須通過(guò)從指標(biāo)提供的數(shù)據(jù)中獲得的好處來(lái)抵消。為了優(yōu)化網(wǎng)絡(luò)安全，由此產(chǎn)生的指標(biāo)應(yīng)使決策者能夠執(zhí)行定義系統(tǒng)網(wǎng)絡(luò)彈性要求所需的成本/收益分析。指標(biāo)還應(yīng)使設(shè)計(jì)人員能夠比較網(wǎng)絡(luò)彈性功能，并對(duì)網(wǎng)絡(luò)彈性系統(tǒng)執(zhí)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估。

衡量網(wǎng)絡(luò)彈性的難度

衡量系統(tǒng)的網(wǎng)絡(luò)彈性并非易事。例如，網(wǎng)絡(luò)彈性的許多方面都很難量化，即使單獨(dú)檢查也是如此。使系統(tǒng)網(wǎng)絡(luò)彈性評(píng)估更加復(fù)雜的是，根據(jù)系統(tǒng)或計(jì)劃要求，同一指標(biāo)的優(yōu)先級(jí)可能會(huì)有所不同。

對(duì)于此討論，讓我們從以下協(xié)議開(kāi)始：網(wǎng)絡(luò)彈性的核心是系統(tǒng)即使在面對(duì)網(wǎng)絡(luò)攻擊時(shí)也能完全按預(yù)期繼續(xù)運(yùn)行的能力。除其他方面外，網(wǎng)絡(luò)彈性可能包括確保數(shù)據(jù)的機(jī)密性。

有多種潛在的方法來(lái)衡量系統(tǒng)的能力，以確保按預(yù)期持續(xù)運(yùn)行。示例包括測(cè)量系統(tǒng)識(shí)別異常行為的能力，測(cè)量其在檢測(cè)到異常行為時(shí)做出響應(yīng)的能力，以及測(cè)量系統(tǒng)首先防止異常行為發(fā)生的能力。然而，對(duì)于任何足夠先進(jìn)的技術(shù)，所有這些測(cè)量都很難量化。

現(xiàn)代處理系統(tǒng)有許多相互關(guān)聯(lián)的子系統(tǒng)，這些子系統(tǒng)必須以正確的方式協(xié)同工作以保持其運(yùn)行狀態(tài)。這一現(xiàn)實(shí)使得量化整套可能的運(yùn)行狀態(tài)的挑戰(zhàn)變得不可行。即使可以識(shí)別、定義和枚舉整組正確的操作，仍然不可能將該集合與定義所有可能的轉(zhuǎn)換路徑的更大一組可能的異常狀態(tài)相關(guān)聯(lián)。這意味著網(wǎng)絡(luò)彈性指標(biāo)不太可能成為識(shí)別和量化特定系統(tǒng)安全性的單一數(shù)字。相反，必須分析網(wǎng)絡(luò)彈性的各個(gè)要素，以確定它們與特定系統(tǒng)的運(yùn)營(yíng)環(huán)境的關(guān)系。

此外，網(wǎng)絡(luò)攻擊也在不斷發(fā)展。在某個(gè)時(shí)間點(diǎn)可能被認(rèn)為足夠和適當(dāng)?shù)木W(wǎng)絡(luò)安全方法后來(lái)可能會(huì)被證明容易受到攻擊。網(wǎng)絡(luò)彈性指標(biāo)只能與評(píng)估能力的當(dāng)前水平一樣好。由于它們基于對(duì)可能攻擊的當(dāng)代理解，因此隨著對(duì)新漏洞和威脅的理解，必須不斷重新評(píng)估和重新評(píng)估這些指標(biāo)。

已定義的框架和指標(biāo)

網(wǎng)絡(luò)安全和彈性的指標(biāo)和評(píng)估狀態(tài)正在進(jìn)行中。美國(guó)國(guó)家標(biāo)準(zhǔn)研究院（NIST）發(fā)表了一些非常有用的工作，涉及安全工程過(guò)程和框架的定義，以評(píng)估系統(tǒng)的網(wǎng)絡(luò)彈性。NIST發(fā)布的重要文件包括風(fēng)險(xiǎn)管理框架（RMF）NIST特別出版物800.73，以及相關(guān)出版物800.53和800.53A，這些出版物定義了安全和隱私控制以及如何評(píng)估聯(lián)邦信息系統(tǒng)的這些控制。

這些 NIST 文檔有助于定義 RMF 過(guò)程，列出要應(yīng)用于系統(tǒng)的安全控制措施，并確定如何評(píng)估這些安全控制。雖然 RMF 過(guò)程本身沒(méi)有定義指標(biāo)，但它確實(shí)創(chuàng)建了一個(gè)用于設(shè)計(jì)、分類和評(píng)估信息系統(tǒng)安全性的框架。通過(guò)對(duì)嵌入式系統(tǒng)進(jìn)行一些定制，它可以提供一個(gè)可行的框架來(lái)定義系統(tǒng)的網(wǎng)絡(luò)彈性指標(biāo)。RMF 中的某些控件包含強(qiáng)制要求如何定義指標(biāo)的語(yǔ)言，并提供了該指標(biāo)正在跟蹤的內(nèi)容的廣泛概述。（圖 1。盡管 RMF 沒(méi)有詳細(xì)定義這些指標(biāo)，但它確實(shí)有助于定義重要的衡量指標(biāo)類型。一些 RMF 控件和關(guān)聯(lián)的引用指標(biāo)包括

CA-7 持續(xù)監(jiān)控：組織開(kāi)發(fā)自己的指標(biāo)進(jìn)行持續(xù)監(jiān)控

CP-2應(yīng)急計(jì)劃：從網(wǎng)絡(luò)事件中恢復(fù)的客觀指標(biāo)

CP-10 信息系統(tǒng)恢復(fù)和重組：恢復(fù)運(yùn)行狀態(tài)的指標(biāo)

IR-8 事件響應(yīng)計(jì)劃：衡量事件響應(yīng)能力的指標(biāo)

PM-6 性能信息安全措施：評(píng)估安全控制有效性的指標(biāo)

SA-15 開(kāi)發(fā)流程、標(biāo)準(zhǔn)和工具：評(píng)估開(kāi)發(fā)質(zhì)量的指標(biāo)

這些 RMF 定義的指標(biāo)提供了對(duì)網(wǎng)絡(luò)彈性某些方面（最需要衡量）的洞察，例如監(jiān)控、響應(yīng)、恢復(fù)和恢復(fù)運(yùn)營(yíng)狀態(tài)的能力，以及衡量有效性和開(kāi)發(fā)質(zhì)量的能力。不幸的是，有效性——這可能是目前最有趣的指標(biāo)——在RMF中定義得最不明確。

衡量網(wǎng)絡(luò)彈性系統(tǒng)有效性的指標(biāo)應(yīng)該量化該系統(tǒng)抵御任何擬議網(wǎng)絡(luò)攻擊的能力。由于網(wǎng)絡(luò)攻擊的性質(zhì)不斷變化，以及可能的攻擊場(chǎng)景幾乎無(wú)限的數(shù)量，因此幾乎肯定需要通過(guò)分析來(lái)定義有效性的指標(biāo)。此類分析需要枚舉所有攻擊場(chǎng)景，以及針對(duì)給定系統(tǒng)的成功概率。壞消息是，今天，這種類型的分析既困難又昂貴。

向下鉆取

RMF 提供了一個(gè)高級(jí)框架，可以在其中為系統(tǒng)設(shè)計(jì)和評(píng)估網(wǎng)絡(luò)彈性。相比之下，NIST發(fā)布了在最低級(jí)別運(yùn)行的安全技術(shù)實(shí)施指南（STIG），每個(gè)STIG為特定系統(tǒng)定義了一組特定的控制措施，以加強(qiáng)其抵御網(wǎng)絡(luò)攻擊的能力。文件 NIST SP 800-70 提供了有關(guān)開(kāi)發(fā)和使用 STIG 的指導(dǎo);單個(gè)STIG集可以從NIST和DISA（國(guó)防信息系統(tǒng)局）網(wǎng)站獲得。

STIG 不直接處理指標(biāo)，而是提供有關(guān)如何正確配置系統(tǒng)以最大限度地提高網(wǎng)絡(luò)安全的指導(dǎo)。但是，將 STIG 應(yīng)用于系統(tǒng)確實(shí)提供了衡量網(wǎng)絡(luò)彈性的機(jī)會(huì)。當(dāng)STIG應(yīng)用于特定系統(tǒng)時(shí)，由于系統(tǒng)功能要求或系統(tǒng)的技術(shù)限制，可能存在無(wú)法應(yīng)用或遵循的控制/指導(dǎo)。用于衡量系統(tǒng)“硬度”的網(wǎng)絡(luò)彈性指標(biāo)可能包括成功應(yīng)用的 STIG 數(shù)量，以及基于控制嚴(yán)重性的未應(yīng)用控制數(shù)量。

雖然目前存在框架來(lái)幫助定義應(yīng)制定網(wǎng)絡(luò)彈性指標(biāo)的領(lǐng)域，并且存在能夠強(qiáng)化對(duì)受保護(hù)系統(tǒng)至關(guān)重要的資產(chǎn)的控制措施，但仍然缺乏明確定義的指標(biāo)，這些指標(biāo)可以跨系統(tǒng)一致地應(yīng)用，以使決策者能夠分析其系統(tǒng)的網(wǎng)絡(luò)彈性能力。

評(píng)估嵌入式系統(tǒng)網(wǎng)絡(luò)彈性的差異

RMF的設(shè)計(jì)考慮了常規(guī)信息技術(shù)（IT）系統(tǒng)，而不是嵌入式系統(tǒng)。雖然 RMF 可以應(yīng)用于嵌入式系統(tǒng)，但它定義的一些控件在已部署的嵌入式環(huán)境中可能看起來(lái)不合適或難以實(shí)現(xiàn)。在嘗試將針對(duì) IT 基礎(chǔ)架構(gòu)開(kāi)發(fā)的安全控制應(yīng)用于嵌入式平臺(tái)時(shí)，這種情況可能會(huì)導(dǎo)致誤用或混淆。造成不匹配的原因有很多，但大多數(shù)原因都源于對(duì)操作環(huán)境的假設(shè)，這些假設(shè)不適用于嵌入式系統(tǒng)。例如，IT 基礎(chǔ)架構(gòu)通常駐留在具有物理安全控制的建筑物中。另一方面，嵌入式系統(tǒng)通常在現(xiàn)場(chǎng)運(yùn)行，可能根本沒(méi)有人值守。IT系統(tǒng)通常是多用戶，而許多嵌入式系統(tǒng)不提供多用戶登錄或僅支持一個(gè)用戶。另一個(gè)例子：IT系統(tǒng)通常用作通用計(jì)算/網(wǎng)絡(luò)資源，而嵌入式系統(tǒng)通常是專門為執(zhí)行單個(gè)功能而構(gòu)建的。與IT系統(tǒng)不同，嵌入式系統(tǒng)通常需要額外的集成，以確保在任何更新后繼續(xù)運(yùn)行。

IT基礎(chǔ)設(shè)施和嵌入式系統(tǒng)之間最大的區(qū)別之一是對(duì)其運(yùn)行壽命和更新頻率的假設(shè)。IT基礎(chǔ)設(shè)施的部署壽命通常比嵌入式系統(tǒng)短得多。對(duì)于大多數(shù)嵌入式系統(tǒng)，與功能相似的IT基礎(chǔ)設(shè)施相比，國(guó)防采購(gòu)流程、安全認(rèn)證要求和有限的物理可訪問(wèn)性的綜合挑戰(zhàn)都增加了執(zhí)行系統(tǒng)更新的難度和成本。

這些挑戰(zhàn)意味著，任何評(píng)估嵌入式系統(tǒng)網(wǎng)絡(luò)彈性的一致方法都必須考慮嵌入式系統(tǒng)的獨(dú)特操作特征。在應(yīng)用網(wǎng)絡(luò)彈性指標(biāo)時(shí)，如果不考慮攻擊媒介、緩解環(huán)境和嵌入式系統(tǒng)特有的挑戰(zhàn)，將導(dǎo)致混淆和安全控制的錯(cuò)誤應(yīng)用。

可能的前進(jìn)道路

目前正在努力開(kāi)發(fā)專為嵌入式系統(tǒng)設(shè)計(jì)的新的RMF覆蓋層和附加功能。隨著這些資源變得更加發(fā)達(dá)，它們可能會(huì)用于更廣泛的分發(fā)。此外，迪砂正在討論如何定制 STIG，以便更輕松地使其與嵌入式系統(tǒng)的獨(dú)特特性保持一致。這項(xiàng)工作如果成功，應(yīng)有助于減少目前為排除那些主要不適用于嵌入式系統(tǒng)的控制而需要的分析和文檔工作。

雖然這些努力有望幫助簡(jiǎn)化嵌入式系統(tǒng)網(wǎng)絡(luò)彈性經(jīng)常運(yùn)行的框架，但它們并沒(méi)有直接解決對(duì)指標(biāo)的持續(xù)需求，這些指標(biāo)將能夠比較不同產(chǎn)品的網(wǎng)絡(luò)彈性。實(shí)際上，當(dāng)今市場(chǎng)上還沒(méi)有標(biāo)準(zhǔn)化來(lái)衡量嵌入式產(chǎn)品的網(wǎng)絡(luò)安全有效性;相反，框架要求程序或供應(yīng)商定義自己的成功衡量標(biāo)準(zhǔn)。這種方法可以有兩種方式：要么每個(gè)程序必須花費(fèi)寶貴的資源對(duì)單個(gè)產(chǎn)品進(jìn)行復(fù)雜的評(píng)估，要么程序必須相信所有供應(yīng)商都在使用類似的評(píng)估方法，如果沒(méi)有一些指導(dǎo)，這是不可能的。

為了幫助為嵌入式系統(tǒng)制定有效的網(wǎng)絡(luò)彈性指標(biāo)，Curtiss-Wright正在參與政府主導(dǎo)的活動(dòng)，其任務(wù)是在這一領(lǐng)域提供更嚴(yán)格的服務(wù)。雖然這些努力仍處于非常早期的定義階段，但目標(biāo)是提供更多的結(jié)構(gòu)指導(dǎo)，以使商用現(xiàn)貨 （COTS） 部件的供應(yīng)商能夠更好地定義其網(wǎng)絡(luò)彈性指標(biāo)。隨著這些指標(biāo)的出現(xiàn)，決策者最終將有辦法進(jìn)行“同類”比較，以衡量來(lái)自不同供應(yīng)商的嵌入式產(chǎn)品的網(wǎng)絡(luò)彈性和網(wǎng)絡(luò)安全有效性。

審核編輯：郭婷