电子说
世界经济论坛预计,作为第四次工业革命的一部分,数字化转型到2025年将为世界经济创造约100万亿美元的附加值,因此负责任的发展和确定未来使用数字环境的基本原则将是当前所需要关注的重点,其中创建系统性网络弹性方法尤为重要。基于此,必须为网络弹性进行设计、构建和管理做好基础工作。
1.背景
1.1 网络弹性的概念与管理
网络弹性一词源自英文Cyber Resilience,一称“网络韧性”,基本的网络弹性不仅是技术系统的组成部分,而且必须是团队、组织文化和日常工作方式的组成部分。在组织内部及其生态系统中,网络弹性必须是一种全面的方法,可以在可预见的中断发生时回到一个可以继续工作的状态。
而随着组织、生态系统、供应链变得更加相互依赖和不可分割时,则缺乏一种连贯的方法去管理弹性,使得目前出现了一系列需要改进弹性的原因:一是业界对网络弹性的看法狭隘,其主要关注安全响应和恢复;二是对于完整的网络弹性的定义和内涵缺乏共识;三是定位弹性问题或准确表征性能目前尚有难度;四是业界企业难以公开网络弹性的缺点以及网络被破坏事件的经历。
1.2 网络弹性框架(CRF)和网络弹性指数(CRI)
网络弹性框架(CRF)是在组织中建立整体网络弹性的最佳实践指南,作为一个标准且与行业无关的框架,由六个关键原则及其相关实践组成,并可由此明确定义健康的网络弹性。网络弹性指数(CRI)是一个工具,帮助组织使用最佳实践的性能指标来定量描述网络弹性,并在不断发展的环境中评估和调整。CRF 和 CRI 共同构建了网络弹性组织生态系统,并在组织层面反映了行业内外发展的趋势。
为了创建一个全球可信的战略性网络弹性见解来源,需要一个高度协作和创新主导的方法,汇集各行业、学术界、民间社会和国际组织的网络专家社区。相关 CRF 的原则和实践通过数据收集和实践,并不断更新以满足需要。
图:网络弹性框架(CRF)和网络弹性指数(CRI)的关系
2.网络弹性框架
网络弹性框架包括由六个关键原则及其相关实践组成:
图:网络弹性框架
【原则 1】定期评估并优先考虑网络风险
网络弹性管理由风险直接驱动。实践 1:确定风险背景、评估和优先级。具体措施:一是维护主要生态系统和供应链的地位;二是完成生态系统网络弹性及管理工作状态年度报告。实践 2:验证风险整合。具体措施:一是完成网络风险价值和暴露度的风险量化评估年度报告;二是根据需要将网络风险评估结果正式纳入其预算和资源配置决策,并对资源分配进行适当倾斜。实践 3:推动基于风险的决策。具体措施:一是员工有报告基于网络弹性潜在高风险的公开渠道;二是管理层对值得注意的网络弹性决策进行事后审查或桌面演习,以进行合规性修正。
【原则 2】:建立和维护核心安全基础知识
面对意外的攻击,核心组织任务功能和支持系统是安全的。
实践 1:利用安全框架和行业标准。具体措施:一是组织使用公认的安全框架、行业标准和合规性法规,并进行客观年度评估;二是对实施的所有安全、弹性和特定行业监管标准进行客观年度评估。实践 2:关注关键资产和核心业务。具体措施:一是根据正式标准定义和分类资产和运营业务的网络弹性;二是通过维护基于核心管理的登记簿平台确保正常的资产和运营业务。实践 3:减少暴露。具体措施:一是通过减少攻击面、配置资源以隔离问题,减少不必要的故意和无意的威胁和危险;二是综合信息技术、运营技术和业务部门资产和/或流程的架构和配置限制相关影响。实践 4:度量成熟度和性能。具体措施:一是集中定义并跟踪一组成熟度和性能指标,以满足最低安全标准;二是形成与网络弹性相关的既定安全指标和趋势季度报告。实践 5:推动持续改进。具体措施:一是每年对网络弹性的改进措施行动计划进行更新;二是每季度根据行动计划中完成改进措施的成功标准报告实施效果。实践 6:集成响应和恢复。具体措施:一是通过既定指标跟踪其响应和恢复行动的性能,并持续更新标准;二是按照预定规程审查响应和恢复行动的性能,并制定行动计划保障任务完成。 【原则 3】将网络弹性治理纳入商业战略
制定与企业目标一致且具备凝聚力的战略,使网络弹性在整个企业中自上而下地受到全面治理。
实践 1:建立网络弹性治理机制。具体措施:一是通过建立既定的网络弹性治理结构、组织结构图、运作模式和问责模式进行全面网络弹性治理;二是通过明确可信弹性原则、进行跨域合作、互动和实践以及可执行政策形成有凝聚力的网络弹性战略。实践 2:建立委员会对网络弹性进行监督。具体措施:一是强化委员会对网络弹性监督和任何后续责任的授权;二是委员会定期了解网络弹性状态及其目标的情况,并提供相应指导。实践 3:任命专职管理网络弹性的官员。具体措施:一是明确该官员的角色和职责,并了解其期望和义务;二是具备与领导层沟通的能力,并可增强网络弹性战略、管理和执行能力,负责网络弹性专业知识和培训以及相应人力、财力和技术资源的获取。
【原则 4】鼓励系统弹性和协作
明确生态系统内的相互依赖性,并与其他组织合作履行维护生态系统弹性的职责。
实践 1:通过问责制和透明度赢得信任。具体措施:一是分享网络弹性实践、运营和失败经验,以促进更具弹性的整体;二是与关键生态系统合作伙伴一起参与网络弹性基准活动和最佳实践的审查。实践 2:促进生态系统范围的协作。具体措施:一是与主要生态系统合作伙伴建立信息共享协议,共同制定战略目标;二是基于合作角色和数据保护要求确定共享要素,并明确合作预期。实践 3:提高整个生态系统的网络弹性能力。具体措施:一是明确网络弹性价值链,了解生态系统中每个实体的作用、重要性以及最佳开发方式;二是与生态系统合作伙伴共同参加相关行业活动,提高整体成熟度和实践。 【原则 5】确保设计支持网络弹性
敏捷性和适应性是网络弹性战略、设计和执行过程中不可或缺的要素,其将不断改进和优化弹性。
实践 1:通过设计提升弹性。具体措施:一是为相关团队、规程和技术资产的弹性架构明确了原则和目标,并最大限度减少攻击面;二是对照弹性原则和目标对相关团队、规程和技术资产进行年度审查和新晋设备的评估工作。实践 2:跨职能优化。具体措施:一是针对安全、信息技术、工程、现场运营和业务,进行网络弹性操作合理化审查;二是进行年度弹性演练和压力测试,并将结果反应到弹性策略和操作规程中。实践 3:假定资源受损。具体措施:一是在性能预期、质量标准和资源分配设计上考虑容错输入和破坏性事件的影响;二是跟踪容错输入和破坏性事件的指标,并实时考虑网络环境的影响。实践 4:为未来创新。具体措施:一是为研究、开发和创新分配资源,重点关注未来抵御网络威胁和危害的能力;二是为研究、开发和创新筹备固定资源,并作为固定预算进行管理。 【原则 6】培养弹性文化
员工有权理解和体现网络弹性行为。
实践 1:促进具有网络弹性意识的领导力。具体措施:一是领导层须拥有与组织网络弹性有效性相关的工作目标;二是考虑领导层的网络弹性经验和背景。实践 2:通过领导推动文化。具体措施:一是传达并强化与网络弹性行为相关的员工奖惩标准;二是领导层清楚展示网络弹性文化并提供学习机会以应对和纠正不断变化的网络威胁形势。实践 3:通过问责制和透明度赢得信任。具体措施:一是了解并跟踪用于评估弹性、透明度和问责制文化的指标,同时制定奖惩制度;二是领导层定期向员工传达网络弹性、透明度和问责制的实施情况。实践 4:支持员工行为。具体措施:一是员工可以定期参加网络弹性培训;二是制定与促进网络适应行为相关的工作目标。实践 5:提供持续培训。具体措施:一是对核心业务和重要岗位员工进行进一步网络训练和桌面演习;二是积极允许员工参与各种各样的培训。
3.网络弹性指数
CRI的开发考虑到了灵活性,旨在随着越来越多的网络组织使用它而改进。它不受行业和地理位置的限制,可以很快实现应用。每个执行官和从业者都可以定制符合自身需求的 CRI,旨在为自身提供一种工具和可视性表述理念来了解其组织及生态系统的网络弹性水平,这样领导者和高管将了解其需要在哪些方面进行改进,以达到更高的适应能力。同样,随着组织的网络领导者和其他网络弹性倡导者实施 CRI 及其组成部分,它将从社区经验和专业知识中获益,并提供持续改进的机会。
CRI的计算方式与CRF子实践相关的度量组合在一起,其从64个绩效衡量标准中汇总,并且每个绩效衡量标准都由若干企业和组织进行自我评估,其与各自的CRF实践方式相相匹配,相关对应表分原则如下图所示:
图:网络弹性指数(百分比为网络弹性得分占比)
其与现行标准的对应关系和适用性如下表所述:
图:网络弹性原则和指数与现行标准之间的适用性关系
4.评述
随着数字化转型的不断推进,现实空间将越来越依赖于网络空间。网络空间中的系统安全至关重要。网络弹性方法未来将会变得日益复杂,其已经由网络安全的概念逐渐演变为了网络安全的工程,强调了更多的使命和任务,并与业界大量的商业活动紧密结合。总体而言将以风险管理为导向,明确网络弹性的目的,通过制定相应的原则和指数,将网络弹性逐步制度化和标准化,其将作为未来系统和商业活动安全工程的重要组成部分,并要基于具体环境采取采用多学科、多维度的综合性方法进行综合管理。因此未来的网络弹性工作还需要从以下方面继续发展:一是建立生态系统网络弹性性能的通用指标;二是衡量生态系统多个成员之间以及跨地理区域和部门的生态系统之间恢复力的因果关系和相关性;三是明确中心计算能力,确定生态系统的成员承担更大权重的能力和条件,以对整个生态系统的弹性产生积极影响。
审核编辑:郭婷
全部0条评论
快来发表一下你的评论吧 !