嵌入式系统上网络弹性指标的状态

嵌入式系统识别、预防和响应旨在破坏其运营能力的网络攻击的能力是通过衡量其网络安全和网络弹性水平来定义的。网络攻击的概念可以指电子战（EW），如信号干扰，也可以指网络战，例如发送畸形数据包以破坏系统。用于衡量系统网络弹性的指标与嵌入式系统有何具体关系，嵌入式系统设计人员在应用网络弹性指标时必须考虑哪些特殊因素？

首先，重要的是要了解指标是达到目的的一种手段。由于获取、衡量和评估网络弹性指标会产生相关成本，因此这些成本必须通过从指标提供的数据中获得的好处来抵消。为了优化网络安全，由此产生的指标应使决策者能够执行定义系统网络弹性要求所需的成本/收益分析。指标还应使设计人员能够比较网络弹性功能，并对网络弹性系统执行适当的风险评估。

衡量网络弹性的难度

衡量系统的网络弹性并非易事。例如，网络弹性的许多方面都很难量化，即使单独检查也是如此。使系统网络弹性评估更加复杂的是，根据系统或计划要求，同一指标的优先级可能会有所不同。

对于此讨论，让我们从以下协议开始：网络弹性的核心是系统即使在面对网络攻击时也能完全按预期继续运行的能力。除其他方面外，网络弹性可能包括确保数据的机密性。

有多种潜在的方法来衡量系统的能力，以确保按预期持续运行。示例包括测量系统识别异常行为的能力，测量其在检测到异常行为时做出响应的能力，以及测量系统首先防止异常行为发生的能力。然而，对于任何足够先进的技术，所有这些测量都很难量化。

现代处理系统有许多相互关联的子系统，这些子系统必须以正确的方式协同工作以保持其运行状态。这一现实使得量化整套可能的运行状态的挑战变得不可行。即使可以识别、定义和枚举整组正确的操作，仍然不可能将该集合与定义所有可能的转换路径的更大一组可能的异常状态相关联。这意味着网络弹性指标不太可能成为识别和量化特定系统安全性的单一数字。相反，必须分析网络弹性的各个要素，以确定它们与特定系统的运营环境的关系。

此外，网络攻击也在不断发展。在某个时间点可能被认为足够和适当的网络安全方法后来可能会被证明容易受到攻击。网络弹性指标只能与评估能力的当前水平一样好。由于它们基于对可能攻击的当代理解，因此随着对新漏洞和威胁的理解，必须不断重新评估和重新评估这些指标。

已定义的框架和指标

网络安全和弹性的指标和评估状态正在进行中。美国国家标准研究院（NIST）发表了一些非常有用的工作，涉及安全工程过程和框架的定义，以评估系统的网络弹性。NIST发布的重要文件包括风险管理框架（RMF）NIST特别出版物800.73，以及相关出版物800.53和800.53A，这些出版物定义了安全和隐私控制以及如何评估联邦信息系统的这些控制。

这些 NIST 文档有助于定义 RMF 过程，列出要应用于系统的安全控制措施，并确定如何评估这些安全控制。虽然 RMF 过程本身没有定义指标，但它确实创建了一个用于设计、分类和评估信息系统安全性的框架。通过对嵌入式系统进行一些定制，它可以提供一个可行的框架来定义系统的网络弹性指标。RMF 中的某些控件包含强制要求如何定义指标的语言，并提供了该指标正在跟踪的内容的广泛概述。（图 1。尽管 RMF 没有详细定义这些指标，但它确实有助于定义重要的衡量指标类型。一些 RMF 控件和关联的引用指标包括

CA-7 持续监控：组织开发自己的指标进行持续监控

CP-2应急计划：从网络事件中恢复的客观指标

CP-10 信息系统恢复和重组：恢复运行状态的指标

IR-8 事件响应计划：衡量事件响应能力的指标

PM-6 性能信息安全措施：评估安全控制有效性的指标

SA-15 开发流程、标准和工具：评估开发质量的指标

这些 RMF 定义的指标提供了对网络弹性某些方面（最需要衡量）的洞察，例如监控、响应、恢复和恢复运营状态的能力，以及衡量有效性和开发质量的能力。不幸的是，有效性——这可能是目前最有趣的指标——在RMF中定义得最不明确。

衡量网络弹性系统有效性的指标应该量化该系统抵御任何拟议网络攻击的能力。由于网络攻击的性质不断变化，以及可能的攻击场景几乎无限的数量，因此几乎肯定需要通过分析来定义有效性的指标。此类分析需要枚举所有攻击场景，以及针对给定系统的成功概率。坏消息是，今天，这种类型的分析既困难又昂贵。

向下钻取

RMF 提供了一个高级框架，可以在其中为系统设计和评估网络弹性。相比之下，NIST发布了在最低级别运行的安全技术实施指南（STIG），每个STIG为特定系统定义了一组特定的控制措施，以加强其抵御网络攻击的能力。文件 NIST SP 800-70 提供了有关开发和使用 STIG 的指导;单个STIG集可以从NIST和DISA（国防信息系统局）网站获得。

STIG 不直接处理指标，而是提供有关如何正确配置系统以最大限度地提高网络安全的指导。但是，将 STIG 应用于系统确实提供了衡量网络弹性的机会。当STIG应用于特定系统时，由于系统功能要求或系统的技术限制，可能存在无法应用或遵循的控制/指导。用于衡量系统“硬度”的网络弹性指标可能包括成功应用的 STIG 数量，以及基于控制严重性的未应用控制数量。

虽然目前存在框架来帮助定义应制定网络弹性指标的领域，并且存在能够强化对受保护系统至关重要的资产的控制措施，但仍然缺乏明确定义的指标，这些指标可以跨系统一致地应用，以使决策者能够分析其系统的网络弹性能力。

评估嵌入式系统网络弹性的差异

RMF的设计考虑了常规信息技术（IT）系统，而不是嵌入式系统。虽然 RMF 可以应用于嵌入式系统，但它定义的一些控件在已部署的嵌入式环境中可能看起来不合适或难以实现。在尝试将针对 IT 基础架构开发的安全控制应用于嵌入式平台时，这种情况可能会导致误用或混淆。造成不匹配的原因有很多，但大多数原因都源于对操作环境的假设，这些假设不适用于嵌入式系统。例如，IT 基础架构通常驻留在具有物理安全控制的建筑物中。另一方面，嵌入式系统通常在现场运行，可能根本没有人值守。IT系统通常是多用户，而许多嵌入式系统不提供多用户登录或仅支持一个用户。另一个例子：IT系统通常用作通用计算/网络资源，而嵌入式系统通常是专门为执行单个功能而构建的。与IT系统不同，嵌入式系统通常需要额外的集成，以确保在任何更新后继续运行。

IT基础设施和嵌入式系统之间最大的区别之一是对其运行寿命和更新频率的假设。IT基础设施的部署寿命通常比嵌入式系统短得多。对于大多数嵌入式系统，与功能相似的IT基础设施相比，国防采购流程、安全认证要求和有限的物理可访问性的综合挑战都增加了执行系统更新的难度和成本。

这些挑战意味着，任何评估嵌入式系统网络弹性的一致方法都必须考虑嵌入式系统的独特操作特征。在应用网络弹性指标时，如果不考虑攻击媒介、缓解环境和嵌入式系统特有的挑战，将导致混淆和安全控制的错误应用。

可能的前进道路

目前正在努力开发专为嵌入式系统设计的新的RMF覆盖层和附加功能。随着这些资源变得更加发达，它们可能会用于更广泛的分发。此外，迪砂正在讨论如何定制 STIG，以便更轻松地使其与嵌入式系统的独特特性保持一致。这项工作如果成功，应有助于减少目前为排除那些主要不适用于嵌入式系统的控制而需要的分析和文档工作。

虽然这些努力有望帮助简化嵌入式系统网络弹性经常运行的框架，但它们并没有直接解决对指标的持续需求，这些指标将能够比较不同产品的网络弹性。实际上，当今市场上还没有标准化来衡量嵌入式产品的网络安全有效性;相反，框架要求程序或供应商定义自己的成功衡量标准。这种方法可以有两种方式：要么每个程序必须花费宝贵的资源对单个产品进行复杂的评估，要么程序必须相信所有供应商都在使用类似的评估方法，如果没有一些指导，这是不可能的。

为了帮助为嵌入式系统制定有效的网络弹性指标，Curtiss-Wright正在参与政府主导的活动，其任务是在这一领域提供更严格的服务。虽然这些努力仍处于非常早期的定义阶段，但目标是提供更多的结构指导，以使商用现货 （COTS） 部件的供应商能够更好地定义其网络弹性指标。随着这些指标的出现，决策者最终将有办法进行“同类”比较，以衡量来自不同供应商的嵌入式产品的网络弹性和网络安全有效性。

审核编辑：郭婷