嵌入式系統(tǒng)識別、預防和響應旨在破壞其運營能力的網(wǎng)絡攻擊的能力是通過衡量其網(wǎng)絡安全和網(wǎng)絡彈性水平來定義的。網(wǎng)絡攻擊的概念可以指電子戰(zhàn)（EW），如信號干擾，也可以指網(wǎng)絡戰(zhàn)，例如發(fā)送畸形數(shù)據(jù)包以破壞系統(tǒng)。用于衡量系統(tǒng)網(wǎng)絡彈性的指標與嵌入式系統(tǒng)有何具體關系，嵌入式系統(tǒng)設計人員在應用網(wǎng)絡彈性指標時必須考慮哪些特殊因素？

首先，重要的是要了解指標是達到目的的一種手段。由于獲取、衡量和評估網(wǎng)絡彈性指標會產(chǎn)生相關成本，因此這些成本必須通過從指標提供的數(shù)據(jù)中獲得的好處來抵消。為了優(yōu)化網(wǎng)絡安全，由此產(chǎn)生的指標應使決策者能夠執(zhí)行定義系統(tǒng)網(wǎng)絡彈性要求所需的成本/收益分析。指標還應使設計人員能夠比較網(wǎng)絡彈性功能，并對網(wǎng)絡彈性系統(tǒng)執(zhí)行適當?shù)娘L險評估。

衡量網(wǎng)絡彈性的難度

衡量系統(tǒng)的網(wǎng)絡彈性并非易事。例如，網(wǎng)絡彈性的許多方面都很難量化，即使單獨檢查也是如此。使系統(tǒng)網(wǎng)絡彈性評估更加復雜的是，根據(jù)系統(tǒng)或計劃要求，同一指標的優(yōu)先級可能會有所不同。

對于此討論，讓我們從以下協(xié)議開始：網(wǎng)絡彈性的核心是系統(tǒng)即使在面對網(wǎng)絡攻擊時也能完全按預期繼續(xù)運行的能力。除其他方面外，網(wǎng)絡彈性可能包括確保數(shù)據(jù)的機密性。

有多種潛在的方法來衡量系統(tǒng)的能力，以確保按預期持續(xù)運行。示例包括測量系統(tǒng)識別異常行為的能力，測量其在檢測到異常行為時做出響應的能力，以及測量系統(tǒng)首先防止異常行為發(fā)生的能力。然而，對于任何足夠先進的技術，所有這些測量都很難量化。

現(xiàn)代處理系統(tǒng)有許多相互關聯(lián)的子系統(tǒng)，這些子系統(tǒng)必須以正確的方式協(xié)同工作以保持其運行狀態(tài)。這一現(xiàn)實使得量化整套可能的運行狀態(tài)的挑戰(zhàn)變得不可行。即使可以識別、定義和枚舉整組正確的操作，仍然不可能將該集合與定義所有可能的轉換路徑的更大一組可能的異常狀態(tài)相關聯(lián)。這意味著網(wǎng)絡彈性指標不太可能成為識別和量化特定系統(tǒng)安全性的單一數(shù)字。相反，必須分析網(wǎng)絡彈性的各個要素，以確定它們與特定系統(tǒng)的運營環(huán)境的關系。

此外，網(wǎng)絡攻擊也在不斷發(fā)展。在某個時間點可能被認為足夠和適當?shù)木W(wǎng)絡安全方法后來可能會被證明容易受到攻擊。網(wǎng)絡彈性指標只能與評估能力的當前水平一樣好。由于它們基于對可能攻擊的當代理解，因此隨著對新漏洞和威脅的理解，必須不斷重新評估和重新評估這些指標。

已定義的框架和指標

網(wǎng)絡安全和彈性的指標和評估狀態(tài)正在進行中。美國國家標準研究院（NIST）發(fā)表了一些非常有用的工作，涉及安全工程過程和框架的定義，以評估系統(tǒng)的網(wǎng)絡彈性。NIST發(fā)布的重要文件包括風險管理框架（RMF）NIST特別出版物800.73，以及相關出版物800.53和800.53A，這些出版物定義了安全和隱私控制以及如何評估聯(lián)邦信息系統(tǒng)的這些控制。

這些 NIST 文檔有助于定義 RMF 過程，列出要應用于系統(tǒng)的安全控制措施，并確定如何評估這些安全控制。雖然 RMF 過程本身沒有定義指標，但它確實創(chuàng)建了一個用于設計、分類和評估信息系統(tǒng)安全性的框架。通過對嵌入式系統(tǒng)進行一些定制，它可以提供一個可行的框架來定義系統(tǒng)的網(wǎng)絡彈性指標。RMF 中的某些控件包含強制要求如何定義指標的語言，并提供了該指標正在跟蹤的內容的廣泛概述。（圖 1。盡管 RMF 沒有詳細定義這些指標，但它確實有助于定義重要的衡量指標類型。一些 RMF 控件和關聯(lián)的引用指標包括

CA-7 持續(xù)監(jiān)控：組織開發(fā)自己的指標進行持續(xù)監(jiān)控

CP-2應急計劃：從網(wǎng)絡事件中恢復的客觀指標

CP-10 信息系統(tǒng)恢復和重組：恢復運行狀態(tài)的指標

IR-8 事件響應計劃：衡量事件響應能力的指標

PM-6 性能信息安全措施：評估安全控制有效性的指標

SA-15 開發(fā)流程、標準和工具：評估開發(fā)質量的指標

這些 RMF 定義的指標提供了對網(wǎng)絡彈性某些方面（最需要衡量）的洞察，例如監(jiān)控、響應、恢復和恢復運營狀態(tài)的能力，以及衡量有效性和開發(fā)質量的能力。不幸的是，有效性——這可能是目前最有趣的指標——在RMF中定義得最不明確。

衡量網(wǎng)絡彈性系統(tǒng)有效性的指標應該量化該系統(tǒng)抵御任何擬議網(wǎng)絡攻擊的能力。由于網(wǎng)絡攻擊的性質不斷變化，以及可能的攻擊場景幾乎無限的數(shù)量，因此幾乎肯定需要通過分析來定義有效性的指標。此類分析需要枚舉所有攻擊場景，以及針對給定系統(tǒng)的成功概率。壞消息是，今天，這種類型的分析既困難又昂貴。

向下鉆取

RMF 提供了一個高級框架，可以在其中為系統(tǒng)設計和評估網(wǎng)絡彈性。相比之下，NIST發(fā)布了在最低級別運行的安全技術實施指南（STIG），每個STIG為特定系統(tǒng)定義了一組特定的控制措施，以加強其抵御網(wǎng)絡攻擊的能力。文件 NIST SP 800-70 提供了有關開發(fā)和使用 STIG 的指導;單個STIG集可以從NIST和DISA（國防信息系統(tǒng)局）網(wǎng)站獲得。

STIG 不直接處理指標，而是提供有關如何正確配置系統(tǒng)以最大限度地提高網(wǎng)絡安全的指導。但是，將 STIG 應用于系統(tǒng)確實提供了衡量網(wǎng)絡彈性的機會。當STIG應用于特定系統(tǒng)時，由于系統(tǒng)功能要求或系統(tǒng)的技術限制，可能存在無法應用或遵循的控制/指導。用于衡量系統(tǒng)“硬度”的網(wǎng)絡彈性指標可能包括成功應用的 STIG 數(shù)量，以及基于控制嚴重性的未應用控制數(shù)量。

雖然目前存在框架來幫助定義應制定網(wǎng)絡彈性指標的領域，并且存在能夠強化對受保護系統(tǒng)至關重要的資產(chǎn)的控制措施，但仍然缺乏明確定義的指標，這些指標可以跨系統(tǒng)一致地應用，以使決策者能夠分析其系統(tǒng)的網(wǎng)絡彈性能力。

評估嵌入式系統(tǒng)網(wǎng)絡彈性的差異

RMF的設計考慮了常規(guī)信息技術（IT）系統(tǒng)，而不是嵌入式系統(tǒng)。雖然 RMF 可以應用于嵌入式系統(tǒng)，但它定義的一些控件在已部署的嵌入式環(huán)境中可能看起來不合適或難以實現(xiàn)。在嘗試將針對 IT 基礎架構開發(fā)的安全控制應用于嵌入式平臺時，這種情況可能會導致誤用或混淆。造成不匹配的原因有很多，但大多數(shù)原因都源于對操作環(huán)境的假設，這些假設不適用于嵌入式系統(tǒng)。例如，IT 基礎架構通常駐留在具有物理安全控制的建筑物中。另一方面，嵌入式系統(tǒng)通常在現(xiàn)場運行，可能根本沒有人值守。IT系統(tǒng)通常是多用戶，而許多嵌入式系統(tǒng)不提供多用戶登錄或僅支持一個用戶。另一個例子：IT系統(tǒng)通常用作通用計算/網(wǎng)絡資源，而嵌入式系統(tǒng)通常是專門為執(zhí)行單個功能而構建的。與IT系統(tǒng)不同，嵌入式系統(tǒng)通常需要額外的集成，以確保在任何更新后繼續(xù)運行。

IT基礎設施和嵌入式系統(tǒng)之間最大的區(qū)別之一是對其運行壽命和更新頻率的假設。IT基礎設施的部署壽命通常比嵌入式系統(tǒng)短得多。對于大多數(shù)嵌入式系統(tǒng)，與功能相似的IT基礎設施相比，國防采購流程、安全認證要求和有限的物理可訪問性的綜合挑戰(zhàn)都增加了執(zhí)行系統(tǒng)更新的難度和成本。

這些挑戰(zhàn)意味著，任何評估嵌入式系統(tǒng)網(wǎng)絡彈性的一致方法都必須考慮嵌入式系統(tǒng)的獨特操作特征。在應用網(wǎng)絡彈性指標時，如果不考慮攻擊媒介、緩解環(huán)境和嵌入式系統(tǒng)特有的挑戰(zhàn)，將導致混淆和安全控制的錯誤應用。

可能的前進道路

目前正在努力開發(fā)專為嵌入式系統(tǒng)設計的新的RMF覆蓋層和附加功能。隨著這些資源變得更加發(fā)達，它們可能會用于更廣泛的分發(fā)。此外，迪砂正在討論如何定制 STIG，以便更輕松地使其與嵌入式系統(tǒng)的獨特特性保持一致。這項工作如果成功，應有助于減少目前為排除那些主要不適用于嵌入式系統(tǒng)的控制而需要的分析和文檔工作。

雖然這些努力有望幫助簡化嵌入式系統(tǒng)網(wǎng)絡彈性經(jīng)常運行的框架，但它們并沒有直接解決對指標的持續(xù)需求，這些指標將能夠比較不同產(chǎn)品的網(wǎng)絡彈性。實際上，當今市場上還沒有標準化來衡量嵌入式產(chǎn)品的網(wǎng)絡安全有效性;相反，框架要求程序或供應商定義自己的成功衡量標準。這種方法可以有兩種方式：要么每個程序必須花費寶貴的資源對單個產(chǎn)品進行復雜的評估，要么程序必須相信所有供應商都在使用類似的評估方法，如果沒有一些指導，這是不可能的。

為了幫助為嵌入式系統(tǒng)制定有效的網(wǎng)絡彈性指標，Curtiss-Wright正在參與政府主導的活動，其任務是在這一領域提供更嚴格的服務。雖然這些努力仍處于非常早期的定義階段，但目標是提供更多的結構指導，以使商用現(xiàn)貨 （COTS） 部件的供應商能夠更好地定義其網(wǎng)絡彈性指標。隨著這些指標的出現(xiàn)，決策者最終將有辦法進行“同類”比較，以衡量來自不同供應商的嵌入式產(chǎn)品的網(wǎng)絡彈性和網(wǎng)絡安全有效性。

審核編輯：郭婷