世界經(jīng)濟論壇預計，作為第四次工業(yè)革命的一部分，數(shù)字化轉(zhuǎn)型到2025年將為世界經(jīng)濟創(chuàng)造約100萬億美元的附加值，因此負責任的發(fā)展和確定未來使用數(shù)字環(huán)境的基本原則將是當前所需要關(guān)注的重點，其中創(chuàng)建系統(tǒng)性網(wǎng)絡(luò)彈性方法尤為重要。基于此，必須為網(wǎng)絡(luò)彈性進行設(shè)計、構(gòu)建和管理做好基礎(chǔ)工作。

1.背景

1.1 網(wǎng)絡(luò)彈性的概念與管理

網(wǎng)絡(luò)彈性一詞源自英文CyberResilience，一稱“網(wǎng)絡(luò)韌性”，基本的網(wǎng)絡(luò)彈性不僅是技術(shù)系統(tǒng)的組成部分，而且必須是團隊、組織文化和日常工作方式的組成部分。在組織內(nèi)部及其生態(tài)系統(tǒng)中，網(wǎng)絡(luò)彈性必須是一種全面的方法，可以在可預見的中斷發(fā)生時回到一個可以繼續(xù)工作的狀態(tài)。

而隨著組織、生態(tài)系統(tǒng)、供應鏈變得更加相互依賴和不可分割時，則缺乏一種連貫的方法去管理彈性，使得目前出現(xiàn)了一系列需要改進彈性的原因：一是業(yè)界對網(wǎng)絡(luò)彈性的看法狹隘，其主要關(guān)注安全響應和恢復；二是對于完整的網(wǎng)絡(luò)彈性的定義和內(nèi)涵缺乏共識；三是定位彈性問題或準確表征性能目前尚有難度；四是業(yè)界企業(yè)難以公開網(wǎng)絡(luò)彈性的缺點以及網(wǎng)絡(luò)被破壞事件的經(jīng)歷。

1.2網(wǎng)絡(luò)彈性框架（CRF）和網(wǎng)絡(luò)彈性指數(shù)（CRI）

網(wǎng)絡(luò)彈性框架（CRF）是在組織中建立整體網(wǎng)絡(luò)彈性的最佳實踐指南，作為一個標準且與行業(yè)無關(guān)的框架，由六個關(guān)鍵原則及其相關(guān)實踐組成，并可由此明確定義健康的網(wǎng)絡(luò)彈性。網(wǎng)絡(luò)彈性指數(shù)（CRI）是一個工具，幫助組織使用最佳實踐的性能指標來定量描述網(wǎng)絡(luò)彈性，并在不斷發(fā)展的環(huán)境中評估和調(diào)整。CRF 和 CRI 共同構(gòu)建了網(wǎng)絡(luò)彈性組織生態(tài)系統(tǒng)，并在組織層面反映了行業(yè)內(nèi)外發(fā)展的趨勢。

為了創(chuàng)建一個全球可信的戰(zhàn)略性網(wǎng)絡(luò)彈性見解來源，需要一個高度協(xié)作和創(chuàng)新主導的方法，匯集各行業(yè)、學術(shù)界、民間社會和國際組織的網(wǎng)絡(luò)專家社區(qū)。相關(guān) CRF 的原則和實踐通過數(shù)據(jù)收集和實踐，并不斷更新以滿足需要。

圖：網(wǎng)絡(luò)彈性框架（CRF）和網(wǎng)絡(luò)彈性指數(shù)（CRI）的關(guān)系

2.網(wǎng)絡(luò)彈性框架

網(wǎng)絡(luò)彈性框架包括由六個關(guān)鍵原則及其相關(guān)實踐組成：

圖：網(wǎng)絡(luò)彈性框架

【原則 1】定期評估并優(yōu)先考慮網(wǎng)絡(luò)風險

網(wǎng)絡(luò)彈性管理由風險直接驅(qū)動。實踐 1：確定風險背景、評估和優(yōu)先級。具體措施：一是維護主要生態(tài)系統(tǒng)和供應鏈的地位；二是完成生態(tài)系統(tǒng)網(wǎng)絡(luò)彈性及管理工作狀態(tài)年度報告。實踐 2：驗證風險整合。具體措施：一是完成網(wǎng)絡(luò)風險價值和暴露度的風險量化評估年度報告；二是根據(jù)需要將網(wǎng)絡(luò)風險評估結(jié)果正式納入其預算和資源配置決策，并對資源分配進行適當傾斜。實踐 3：推動基于風險的決策。具體措施：一是員工有報告基于網(wǎng)絡(luò)彈性潛在高風險的公開渠道；二是管理層對值得注意的網(wǎng)絡(luò)彈性決策進行事后審查或桌面演習，以進行合規(guī)性修正。

【原則 2】：建立和維護核心安全基礎(chǔ)知識

面對意外的攻擊，核心組織任務(wù)功能和支持系統(tǒng)是安全的。

實踐 1：利用安全框架和行業(yè)標準。具體措施：一是組織使用公認的安全框架、行業(yè)標準和合規(guī)性法規(guī)，并進行客觀年度評估；二是對實施的所有安全、彈性和特定行業(yè)監(jiān)管標準進行客觀年度評估。實踐 2：關(guān)注關(guān)鍵資產(chǎn)和核心業(yè)務(wù)。具體措施：一是根據(jù)正式標準定義和分類資產(chǎn)和運營業(yè)務(wù)的網(wǎng)絡(luò)彈性；二是通過維護基于核心管理的登記簿平臺確保正常的資產(chǎn)和運營業(yè)務(wù)。實踐 3：減少暴露。具體措施：一是通過減少攻擊面、配置資源以隔離問題，減少不必要的故意和無意的威脅和危險；二是綜合信息技術(shù)、運營技術(shù)和業(yè)務(wù)部門資產(chǎn)和/或流程的架構(gòu)和配置限制相關(guān)影響。實踐 4：度量成熟度和性能。具體措施：一是集中定義并跟蹤一組成熟度和性能指標，以滿足最低安全標準；二是形成與網(wǎng)絡(luò)彈性相關(guān)的既定安全指標和趨勢季度報告。實踐 5：推動持續(xù)改進。具體措施：一是每年對網(wǎng)絡(luò)彈性的改進措施行動計劃進行更新；二是每季度根據(jù)行動計劃中完成改進措施的成功標準報告實施效果。實踐 6：集成響應和恢復。具體措施：一是通過既定指標跟蹤其響應和恢復行動的性能，并持續(xù)更新標準；二是按照預定規(guī)程審查響應和恢復行動的性能，并制定行動計劃保障任務(wù)完成。 【原則3】將網(wǎng)絡(luò)彈性治理納入商業(yè)戰(zhàn)略

制定與企業(yè)目標一致且具備凝聚力的戰(zhàn)略，使網(wǎng)絡(luò)彈性在整個企業(yè)中自上而下地受到全面治理。

實踐 1：建立網(wǎng)絡(luò)彈性治理機制。具體措施：一是通過建立既定的網(wǎng)絡(luò)彈性治理結(jié)構(gòu)、組織結(jié)構(gòu)圖、運作模式和問責模式進行全面網(wǎng)絡(luò)彈性治理；二是通過明確可信彈性原則、進行跨域合作、互動和實踐以及可執(zhí)行政策形成有凝聚力的網(wǎng)絡(luò)彈性戰(zhàn)略。實踐 2：建立委員會對網(wǎng)絡(luò)彈性進行監(jiān)督。具體措施：一是強化委員會對網(wǎng)絡(luò)彈性監(jiān)督和任何后續(xù)責任的授權(quán)；二是委員會定期了解網(wǎng)絡(luò)彈性狀態(tài)及其目標的情況，并提供相應指導。實踐 3：任命專職管理網(wǎng)絡(luò)彈性的官員。具體措施：一是明確該官員的角色和職責，并了解其期望和義務(wù)；二是具備與領(lǐng)導層溝通的能力，并可增強網(wǎng)絡(luò)彈性戰(zhàn)略、管理和執(zhí)行能力，負責網(wǎng)絡(luò)彈性專業(yè)知識和培訓以及相應人力、財力和技術(shù)資源的獲取。

【原則4】鼓勵系統(tǒng)彈性和協(xié)作

明確生態(tài)系統(tǒng)內(nèi)的相互依賴性，并與其他組織合作履行維護生態(tài)系統(tǒng)彈性的職責。

實踐 1：通過問責制和透明度贏得信任。具體措施：一是分享網(wǎng)絡(luò)彈性實踐、運營和失敗經(jīng)驗，以促進更具彈性的整體；二是與關(guān)鍵生態(tài)系統(tǒng)合作伙伴一起參與網(wǎng)絡(luò)彈性基準活動和最佳實踐的審查。實踐 2：促進生態(tài)系統(tǒng)范圍的協(xié)作。具體措施：一是與主要生態(tài)系統(tǒng)合作伙伴建立信息共享協(xié)議，共同制定戰(zhàn)略目標；二是基于合作角色和數(shù)據(jù)保護要求確定共享要素，并明確合作預期。實踐 3：提高整個生態(tài)系統(tǒng)的網(wǎng)絡(luò)彈性能力。具體措施：一是明確網(wǎng)絡(luò)彈性價值鏈，了解生態(tài)系統(tǒng)中每個實體的作用、重要性以及最佳開發(fā)方式；二是與生態(tài)系統(tǒng)合作伙伴共同參加相關(guān)行業(yè)活動，提高整體成熟度和實踐。 【原則5】確保設(shè)計支持網(wǎng)絡(luò)彈性

敏捷性和適應性是網(wǎng)絡(luò)彈性戰(zhàn)略、設(shè)計和執(zhí)行過程中不可或缺的要素，其將不斷改進和優(yōu)化彈性。

實踐 1：通過設(shè)計提升彈性。具體措施：一是為相關(guān)團隊、規(guī)程和技術(shù)資產(chǎn)的彈性架構(gòu)明確了原則和目標，并最大限度減少攻擊面;二是對照彈性原則和目標對相關(guān)團隊、規(guī)程和技術(shù)資產(chǎn)進行年度審查和新晉設(shè)備的評估工作。實踐 2：跨職能優(yōu)化。具體措施：一是針對安全、信息技術(shù)、工程、現(xiàn)場運營和業(yè)務(wù)，進行網(wǎng)絡(luò)彈性操作合理化審查；二是進行年度彈性演練和壓力測試，并將結(jié)果反應到彈性策略和操作規(guī)程中。實踐 3：假定資源受損。具體措施：一是在性能預期、質(zhì)量標準和資源分配設(shè)計上考慮容錯輸入和破壞性事件的影響；二是跟蹤容錯輸入和破壞性事件的指標，并實時考慮網(wǎng)絡(luò)環(huán)境的影響。實踐 4：為未來創(chuàng)新。具體措施：一是為研究、開發(fā)和創(chuàng)新分配資源，重點關(guān)注未來抵御網(wǎng)絡(luò)威脅和危害的能力；二是為研究、開發(fā)和創(chuàng)新籌備固定資源，并作為固定預算進行管理。 【原則6】培養(yǎng)彈性文化

員工有權(quán)理解和體現(xiàn)網(wǎng)絡(luò)彈性行為。

實踐 1：促進具有網(wǎng)絡(luò)彈性意識的領(lǐng)導力。具體措施：一是領(lǐng)導層須擁有與組織網(wǎng)絡(luò)彈性有效性相關(guān)的工作目標；二是考慮領(lǐng)導層的網(wǎng)絡(luò)彈性經(jīng)驗和背景。實踐 2：通過領(lǐng)導推動文化。具體措施：一是傳達并強化與網(wǎng)絡(luò)彈性行為相關(guān)的員工獎懲標準；二是領(lǐng)導層清楚展示網(wǎng)絡(luò)彈性文化并提供學習機會以應對和糾正不斷變化的網(wǎng)絡(luò)威脅形勢。實踐 3：通過問責制和透明度贏得信任。具體措施：一是了解并跟蹤用于評估彈性、透明度和問責制文化的指標，同時制定獎懲制度；二是領(lǐng)導層定期向員工傳達網(wǎng)絡(luò)彈性、透明度和問責制的實施情況。實踐 4：支持員工行為。具體措施：一是員工可以定期參加網(wǎng)絡(luò)彈性培訓；二是制定與促進網(wǎng)絡(luò)適應行為相關(guān)的工作目標。實踐 5：提供持續(xù)培訓。具體措施：一是對核心業(yè)務(wù)和重要崗位員工進行進一步網(wǎng)絡(luò)訓練和桌面演習；二是積極允許員工參與各種各樣的培訓。

3.網(wǎng)絡(luò)彈性指數(shù)

CRI的開發(fā)考慮到了靈活性，旨在隨著越來越多的網(wǎng)絡(luò)組織使用它而改進。它不受行業(yè)和地理位置的限制，可以很快實現(xiàn)應用。每個執(zhí)行官和從業(yè)者都可以定制符合自身需求的 CRI，旨在為自身提供一種工具和可視性表述理念來了解其組織及生態(tài)系統(tǒng)的網(wǎng)絡(luò)彈性水平，這樣領(lǐng)導者和高管將了解其需要在哪些方面進行改進，以達到更高的適應能力。同樣，隨著組織的網(wǎng)絡(luò)領(lǐng)導者和其他網(wǎng)絡(luò)彈性倡導者實施 CRI 及其組成部分，它將從社區(qū)經(jīng)驗和專業(yè)知識中獲益，并提供持續(xù)改進的機會。

CRI的計算方式與CRF子實踐相關(guān)的度量組合在一起，其從64個績效衡量標準中匯總，并且每個績效衡量標準都由若干企業(yè)和組織進行自我評估，其與各自的CRF實踐方式相相匹配，相關(guān)對應表分原則如下圖所示：

圖：網(wǎng)絡(luò)彈性指數(shù)（百分比為網(wǎng)絡(luò)彈性得分占比）

其與現(xiàn)行標準的對應關(guān)系和適用性如下表所述：

圖：網(wǎng)絡(luò)彈性原則和指數(shù)與現(xiàn)行標準之間的適用性關(guān)系

4.評述

隨著數(shù)字化轉(zhuǎn)型的不斷推進，現(xiàn)實空間將越來越依賴于網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間中的系統(tǒng)安全至關(guān)重要。網(wǎng)絡(luò)彈性方法未來將會變得日益復雜，其已經(jīng)由網(wǎng)絡(luò)安全的概念逐漸演變?yōu)榱司W(wǎng)絡(luò)安全的工程，強調(diào)了更多的使命和任務(wù)，并與業(yè)界大量的商業(yè)活動緊密結(jié)合。總體而言將以風險管理為導向，明確網(wǎng)絡(luò)彈性的目的，通過制定相應的原則和指數(shù)，將網(wǎng)絡(luò)彈性逐步制度化和標準化，其將作為未來系統(tǒng)和商業(yè)活動安全工程的重要組成部分，并要基于具體環(huán)境采取采用多學科、多維度的綜合性方法進行綜合管理。因此未來的網(wǎng)絡(luò)彈性工作還需要從以下方面繼續(xù)發(fā)展：一是建立生態(tài)系統(tǒng)網(wǎng)絡(luò)彈性性能的通用指標；二是衡量生態(tài)系統(tǒng)多個成員之間以及跨地理區(qū)域和部門的生態(tài)系統(tǒng)之間恢復力的因果關(guān)系和相關(guān)性；三是明確中心計算能力，確定生態(tài)系統(tǒng)的成員承擔更大權(quán)重的能力和條件，以對整個生態(tài)系統(tǒng)的彈性產(chǎn)生積極影響。

審核編輯：郭婷