嵌入式系統識別、預防和響應旨在破壞其運營能力的網絡攻擊的能力是通過衡量其網絡安全和網絡彈性水平來定義的。網絡攻擊的概念可以指電子戰（EW），如信號干擾，也可以指網絡戰，例如發送畸形數據包以破壞系統。用于衡量系統網絡彈性的指標與嵌入式系統有何具體關系，嵌入式系統設計人員在應用網絡彈性指標時必須考慮哪些特殊因素？

首先，重要的是要了解指標是達到目的的一種手段。由于獲取、衡量和評估網絡彈性指標會產生相關成本，因此這些成本必須通過從指標提供的數據中獲得的好處來抵消。為了優化網絡安全，由此產生的指標應使決策者能夠執行定義系統網絡彈性要求所需的成本/收益分析。指標還應使設計人員能夠比較網絡彈性功能，并對網絡彈性系統執行適當的風險評估。

衡量網絡彈性的難度

衡量系統的網絡彈性并非易事。例如，網絡彈性的許多方面都很難量化，即使單獨檢查也是如此。使系統網絡彈性評估更加復雜的是，根據系統或計劃要求，同一指標的優先級可能會有所不同。

對于此討論，讓我們從以下協議開始：網絡彈性的核心是系統即使在面對網絡攻擊時也能完全按預期繼續運行的能力。除其他方面外，網絡彈性可能包括確保數據的機密性。

有多種潛在的方法來衡量系統的能力，以確保按預期持續運行。示例包括測量系統識別異常行為的能力，測量其在檢測到異常行為時做出響應的能力，以及測量系統首先防止異常行為發生的能力。然而，對于任何足夠先進的技術，所有這些測量都很難量化。

現代處理系統有許多相互關聯的子系統，這些子系統必須以正確的方式協同工作以保持其運行狀態。這一現實使得量化整套可能的運行狀態的挑戰變得不可行。即使可以識別、定義和枚舉整組正確的操作，仍然不可能將該集合與定義所有可能的轉換路徑的更大一組可能的異常狀態相關聯。這意味著網絡彈性指標不太可能成為識別和量化特定系統安全性的單一數字。相反，必須分析網絡彈性的各個要素，以確定它們與特定系統的運營環境的關系。

此外，網絡攻擊也在不斷發展。在某個時間點可能被認為足夠和適當的網絡安全方法后來可能會被證明容易受到攻擊。網絡彈性指標只能與評估能力的當前水平一樣好。由于它們基于對可能攻擊的當代理解，因此隨著對新漏洞和威脅的理解，必須不斷重新評估和重新評估這些指標。

已定義的框架和指標

網絡安全和彈性的指標和評估狀態正在進行中。美國國家標準研究院（NIST）發表了一些非常有用的工作，涉及安全工程過程和框架的定義，以評估系統的網絡彈性。NIST發布的重要文件包括風險管理框架（RMF）NIST特別出版物800.73，以及相關出版物800.53和800.53A，這些出版物定義了安全和隱私控制以及如何評估聯邦信息系統的這些控制。

這些 NIST 文檔有助于定義 RMF 過程，列出要應用于系統的安全控制措施，并確定如何評估這些安全控制。雖然 RMF 過程本身沒有定義指標，但它確實創建了一個用于設計、分類和評估信息系統安全性的框架。通過對嵌入式系統進行一些定制，它可以提供一個可行的框架來定義系統的網絡彈性指標。RMF 中的某些控件包含強制要求如何定義指標的語言，并提供了該指標正在跟蹤的內容的廣泛概述。（圖 1。盡管 RMF 沒有詳細定義這些指標，但它確實有助于定義重要的衡量指標類型。一些 RMF 控件和關聯的引用指標包括

CA-7 持續監控：組織開發自己的指標進行持續監控

CP-2應急計劃：從網絡事件中恢復的客觀指標

CP-10 信息系統恢復和重組：恢復運行狀態的指標

IR-8 事件響應計劃：衡量事件響應能力的指標

PM-6 性能信息安全措施：評估安全控制有效性的指標

SA-15 開發流程、標準和工具：評估開發質量的指標

這些 RMF 定義的指標提供了對網絡彈性某些方面（最需要衡量）的洞察，例如監控、響應、恢復和恢復運營狀態的能力，以及衡量有效性和開發質量的能力。不幸的是，有效性——這可能是目前最有趣的指標——在RMF中定義得最不明確。

衡量網絡彈性系統有效性的指標應該量化該系統抵御任何擬議網絡攻擊的能力。由于網絡攻擊的性質不斷變化，以及可能的攻擊場景幾乎無限的數量，因此幾乎肯定需要通過分析來定義有效性的指標。此類分析需要枚舉所有攻擊場景，以及針對給定系統的成功概率。壞消息是，今天，這種類型的分析既困難又昂貴。

向下鉆取

RMF 提供了一個高級框架，可以在其中為系統設計和評估網絡彈性。相比之下，NIST發布了在最低級別運行的安全技術實施指南（STIG），每個STIG為特定系統定義了一組特定的控制措施，以加強其抵御網絡攻擊的能力。文件 NIST SP 800-70 提供了有關開發和使用 STIG 的指導;單個STIG集可以從NIST和DISA（國防信息系統局）網站獲得。

STIG 不直接處理指標，而是提供有關如何正確配置系統以最大限度地提高網絡安全的指導。但是，將 STIG 應用于系統確實提供了衡量網絡彈性的機會。當STIG應用于特定系統時，由于系統功能要求或系統的技術限制，可能存在無法應用或遵循的控制/指導。用于衡量系統“硬度”的網絡彈性指標可能包括成功應用的 STIG 數量，以及基于控制嚴重性的未應用控制數量。

雖然目前存在框架來幫助定義應制定網絡彈性指標的領域，并且存在能夠強化對受保護系統至關重要的資產的控制措施，但仍然缺乏明確定義的指標，這些指標可以跨系統一致地應用，以使決策者能夠分析其系統的網絡彈性能力。

評估嵌入式系統網絡彈性的差異

RMF的設計考慮了常規信息技術（IT）系統，而不是嵌入式系統。雖然 RMF 可以應用于嵌入式系統，但它定義的一些控件在已部署的嵌入式環境中可能看起來不合適或難以實現。在嘗試將針對 IT 基礎架構開發的安全控制應用于嵌入式平臺時，這種情況可能會導致誤用或混淆。造成不匹配的原因有很多，但大多數原因都源于對操作環境的假設，這些假設不適用于嵌入式系統。例如，IT 基礎架構通常駐留在具有物理安全控制的建筑物中。另一方面，嵌入式系統通常在現場運行，可能根本沒有人值守。IT系統通常是多用戶，而許多嵌入式系統不提供多用戶登錄或僅支持一個用戶。另一個例子：IT系統通常用作通用計算/網絡資源，而嵌入式系統通常是專門為執行單個功能而構建的。與IT系統不同，嵌入式系統通常需要額外的集成，以確保在任何更新后繼續運行。

IT基礎設施和嵌入式系統之間最大的區別之一是對其運行壽命和更新頻率的假設。IT基礎設施的部署壽命通常比嵌入式系統短得多。對于大多數嵌入式系統，與功能相似的IT基礎設施相比，國防采購流程、安全認證要求和有限的物理可訪問性的綜合挑戰都增加了執行系統更新的難度和成本。

這些挑戰意味著，任何評估嵌入式系統網絡彈性的一致方法都必須考慮嵌入式系統的獨特操作特征。在應用網絡彈性指標時，如果不考慮攻擊媒介、緩解環境和嵌入式系統特有的挑戰，將導致混淆和安全控制的錯誤應用。

可能的前進道路

目前正在努力開發專為嵌入式系統設計的新的RMF覆蓋層和附加功能。隨著這些資源變得更加發達，它們可能會用于更廣泛的分發。此外，迪砂正在討論如何定制 STIG，以便更輕松地使其與嵌入式系統的獨特特性保持一致。這項工作如果成功，應有助于減少目前為排除那些主要不適用于嵌入式系統的控制而需要的分析和文檔工作。

雖然這些努力有望幫助簡化嵌入式系統網絡彈性經常運行的框架，但它們并沒有直接解決對指標的持續需求，這些指標將能夠比較不同產品的網絡彈性。實際上，當今市場上還沒有標準化來衡量嵌入式產品的網絡安全有效性;相反，框架要求程序或供應商定義自己的成功衡量標準。這種方法可以有兩種方式：要么每個程序必須花費寶貴的資源對單個產品進行復雜的評估，要么程序必須相信所有供應商都在使用類似的評估方法，如果沒有一些指導，這是不可能的。

為了幫助為嵌入式系統制定有效的網絡彈性指標，Curtiss-Wright正在參與政府主導的活動，其任務是在這一領域提供更嚴格的服務。雖然這些努力仍處于非常早期的定義階段，但目標是提供更多的結構指導，以使商用現貨 （COTS） 部件的供應商能夠更好地定義其網絡彈性指標。隨著這些指標的出現，決策者最終將有辦法進行“同類”比較，以衡量來自不同供應商的嵌入式產品的網絡彈性和網絡安全有效性。

審核編輯：郭婷