數(shù)字生態(tài)系統(tǒng)管理原則 創(chuàng)建系統(tǒng)性網(wǎng)絡(luò)彈性方法

世界經(jīng)濟論壇預(yù)計，作為第四次工業(yè)革命的一部分，數(shù)字化轉(zhuǎn)型到2025年將為世界經(jīng)濟創(chuàng)造約100萬億美元的附加值，因此負(fù)責(zé)任的發(fā)展和確定未來使用數(shù)字環(huán)境的基本原則將是當(dāng)前所需要關(guān)注的重點，其中創(chuàng)建系統(tǒng)性網(wǎng)絡(luò)彈性方法尤為重要。基于此，必須為網(wǎng)絡(luò)彈性進(jìn)行設(shè)計、構(gòu)建和管理做好基礎(chǔ)工作。

1.背景

1.1 網(wǎng)絡(luò)彈性的概念與管理

網(wǎng)絡(luò)彈性一詞源自英文CyberResilience，一稱“網(wǎng)絡(luò)韌性”，基本的網(wǎng)絡(luò)彈性不僅是技術(shù)系統(tǒng)的組成部分，而且必須是團隊、組織文化和日常工作方式的組成部分。在組織內(nèi)部及其生態(tài)系統(tǒng)中，網(wǎng)絡(luò)彈性必須是一種全面的方法，可以在可預(yù)見的中斷發(fā)生時回到一個可以繼續(xù)工作的狀態(tài)。

而隨著組織、生態(tài)系統(tǒng)、供應(yīng)鏈變得更加相互依賴和不可分割時，則缺乏一種連貫的方法去管理彈性，使得目前出現(xiàn)了一系列需要改進(jìn)彈性的原因：一是業(yè)界對網(wǎng)絡(luò)彈性的看法狹隘，其主要關(guān)注安全響應(yīng)和恢復(fù)；二是對于完整的網(wǎng)絡(luò)彈性的定義和內(nèi)涵缺乏共識；三是定位彈性問題或準(zhǔn)確表征性能目前尚有難度；四是業(yè)界企業(yè)難以公開網(wǎng)絡(luò)彈性的缺點以及網(wǎng)絡(luò)被破壞事件的經(jīng)歷。

1.2網(wǎng)絡(luò)彈性框架（CRF）和網(wǎng)絡(luò)彈性指數(shù)（CRI）

網(wǎng)絡(luò)彈性框架（CRF）是在組織中建立整體網(wǎng)絡(luò)彈性的最佳實踐指南，作為一個標(biāo)準(zhǔn)且與行業(yè)無關(guān)的框架，由六個關(guān)鍵原則及其相關(guān)實踐組成，并可由此明確定義健康的網(wǎng)絡(luò)彈性。網(wǎng)絡(luò)彈性指數(shù)（CRI）是一個工具，幫助組織使用最佳實踐的性能指標(biāo)來定量描述網(wǎng)絡(luò)彈性，并在不斷發(fā)展的環(huán)境中評估和調(diào)整。CRF 和 CRI 共同構(gòu)建了網(wǎng)絡(luò)彈性組織生態(tài)系統(tǒng)，并在組織層面反映了行業(yè)內(nèi)外發(fā)展的趨勢。

為了創(chuàng)建一個全球可信的戰(zhàn)略性網(wǎng)絡(luò)彈性見解來源，需要一個高度協(xié)作和創(chuàng)新主導(dǎo)的方法，匯集各行業(yè)、學(xué)術(shù)界、民間社會和國際組織的網(wǎng)絡(luò)專家社區(qū)。相關(guān) CRF 的原則和實踐通過數(shù)據(jù)收集和實踐，并不斷更新以滿足需要。

圖：網(wǎng)絡(luò)彈性框架（CRF）和網(wǎng)絡(luò)彈性指數(shù)（CRI）的關(guān)系

2.網(wǎng)絡(luò)彈性框架

網(wǎng)絡(luò)彈性框架包括由六個關(guān)鍵原則及其相關(guān)實踐組成：

圖：網(wǎng)絡(luò)彈性框架

【原則 1】定期評估并優(yōu)先考慮網(wǎng)絡(luò)風(fēng)險

網(wǎng)絡(luò)彈性管理由風(fēng)險直接驅(qū)動。實踐 1：確定風(fēng)險背景、評估和優(yōu)先級。具體措施：一是維護主要生態(tài)系統(tǒng)和供應(yīng)鏈的地位；二是完成生態(tài)系統(tǒng)網(wǎng)絡(luò)彈性及管理工作狀態(tài)年度報告。實踐 2：驗證風(fēng)險整合。具體措施：一是完成網(wǎng)絡(luò)風(fēng)險價值和暴露度的風(fēng)險量化評估年度報告；二是根據(jù)需要將網(wǎng)絡(luò)風(fēng)險評估結(jié)果正式納入其預(yù)算和資源配置決策，并對資源分配進(jìn)行適當(dāng)傾斜。實踐 3：推動基于風(fēng)險的決策。具體措施：一是員工有報告基于網(wǎng)絡(luò)彈性潛在高風(fēng)險的公開渠道；二是管理層對值得注意的網(wǎng)絡(luò)彈性決策進(jìn)行事后審查或桌面演習(xí)，以進(jìn)行合規(guī)性修正。

【原則 2】：建立和維護核心安全基礎(chǔ)知識

面對意外的攻擊，核心組織任務(wù)功能和支持系統(tǒng)是安全的。

實踐 1：利用安全框架和行業(yè)標(biāo)準(zhǔn)。具體措施：一是組織使用公認(rèn)的安全框架、行業(yè)標(biāo)準(zhǔn)和合規(guī)性法規(guī)，并進(jìn)行客觀年度評估；二是對實施的所有安全、彈性和特定行業(yè)監(jiān)管標(biāo)準(zhǔn)進(jìn)行客觀年度評估。實踐 2：關(guān)注關(guān)鍵資產(chǎn)和核心業(yè)務(wù)。具體措施：一是根據(jù)正式標(biāo)準(zhǔn)定義和分類資產(chǎn)和運營業(yè)務(wù)的網(wǎng)絡(luò)彈性；二是通過維護基于核心管理的登記簿平臺確保正常的資產(chǎn)和運營業(yè)務(wù)。實踐 3：減少暴露。具體措施：一是通過減少攻擊面、配置資源以隔離問題，減少不必要的故意和無意的威脅和危險；二是綜合信息技術(shù)、運營技術(shù)和業(yè)務(wù)部門資產(chǎn)和/或流程的架構(gòu)和配置限制相關(guān)影響。實踐 4：度量成熟度和性能。具體措施：一是集中定義并跟蹤一組成熟度和性能指標(biāo)，以滿足最低安全標(biāo)準(zhǔn)；二是形成與網(wǎng)絡(luò)彈性相關(guān)的既定安全指標(biāo)和趨勢季度報告。實踐 5：推動持續(xù)改進(jìn)。具體措施：一是每年對網(wǎng)絡(luò)彈性的改進(jìn)措施行動計劃進(jìn)行更新；二是每季度根據(jù)行動計劃中完成改進(jìn)措施的成功標(biāo)準(zhǔn)報告實施效果。實踐 6：集成響應(yīng)和恢復(fù)。具體措施：一是通過既定指標(biāo)跟蹤其響應(yīng)和恢復(fù)行動的性能，并持續(xù)更新標(biāo)準(zhǔn)；二是按照預(yù)定規(guī)程審查響應(yīng)和恢復(fù)行動的性能，并制定行動計劃保障任務(wù)完成。 【原則3】將網(wǎng)絡(luò)彈性治理納入商業(yè)戰(zhàn)略

制定與企業(yè)目標(biāo)一致且具備凝聚力的戰(zhàn)略，使網(wǎng)絡(luò)彈性在整個企業(yè)中自上而下地受到全面治理。

實踐 1：建立網(wǎng)絡(luò)彈性治理機制。具體措施：一是通過建立既定的網(wǎng)絡(luò)彈性治理結(jié)構(gòu)、組織結(jié)構(gòu)圖、運作模式和問責(zé)模式進(jìn)行全面網(wǎng)絡(luò)彈性治理；二是通過明確可信彈性原則、進(jìn)行跨域合作、互動和實踐以及可執(zhí)行政策形成有凝聚力的網(wǎng)絡(luò)彈性戰(zhàn)略。實踐 2：建立委員會對網(wǎng)絡(luò)彈性進(jìn)行監(jiān)督。具體措施：一是強化委員會對網(wǎng)絡(luò)彈性監(jiān)督和任何后續(xù)責(zé)任的授權(quán)；二是委員會定期了解網(wǎng)絡(luò)彈性狀態(tài)及其目標(biāo)的情況，并提供相應(yīng)指導(dǎo)。實踐 3：任命專職管理網(wǎng)絡(luò)彈性的官員。具體措施：一是明確該官員的角色和職責(zé)，并了解其期望和義務(wù)；二是具備與領(lǐng)導(dǎo)層溝通的能力，并可增強網(wǎng)絡(luò)彈性戰(zhàn)略、管理和執(zhí)行能力，負(fù)責(zé)網(wǎng)絡(luò)彈性專業(yè)知識和培訓(xùn)以及相應(yīng)人力、財力和技術(shù)資源的獲取。

【原則4】鼓勵系統(tǒng)彈性和協(xié)作

明確生態(tài)系統(tǒng)內(nèi)的相互依賴性，并與其他組織合作履行維護生態(tài)系統(tǒng)彈性的職責(zé)。

實踐 1：通過問責(zé)制和透明度贏得信任。具體措施：一是分享網(wǎng)絡(luò)彈性實踐、運營和失敗經(jīng)驗，以促進(jìn)更具彈性的整體；二是與關(guān)鍵生態(tài)系統(tǒng)合作伙伴一起參與網(wǎng)絡(luò)彈性基準(zhǔn)活動和最佳實踐的審查。實踐 2：促進(jìn)生態(tài)系統(tǒng)范圍的協(xié)作。具體措施：一是與主要生態(tài)系統(tǒng)合作伙伴建立信息共享協(xié)議，共同制定戰(zhàn)略目標(biāo)；二是基于合作角色和數(shù)據(jù)保護要求確定共享要素，并明確合作預(yù)期。實踐 3：提高整個生態(tài)系統(tǒng)的網(wǎng)絡(luò)彈性能力。具體措施：一是明確網(wǎng)絡(luò)彈性價值鏈，了解生態(tài)系統(tǒng)中每個實體的作用、重要性以及最佳開發(fā)方式；二是與生態(tài)系統(tǒng)合作伙伴共同參加相關(guān)行業(yè)活動，提高整體成熟度和實踐。 【原則5】確保設(shè)計支持網(wǎng)絡(luò)彈性

敏捷性和適應(yīng)性是網(wǎng)絡(luò)彈性戰(zhàn)略、設(shè)計和執(zhí)行過程中不可或缺的要素，其將不斷改進(jìn)和優(yōu)化彈性。

實踐 1：通過設(shè)計提升彈性。具體措施：一是為相關(guān)團隊、規(guī)程和技術(shù)資產(chǎn)的彈性架構(gòu)明確了原則和目標(biāo)，并最大限度減少攻擊面;二是對照彈性原則和目標(biāo)對相關(guān)團隊、規(guī)程和技術(shù)資產(chǎn)進(jìn)行年度審查和新晉設(shè)備的評估工作。實踐 2：跨職能優(yōu)化。具體措施：一是針對安全、信息技術(shù)、工程、現(xiàn)場運營和業(yè)務(wù)，進(jìn)行網(wǎng)絡(luò)彈性操作合理化審查；二是進(jìn)行年度彈性演練和壓力測試，并將結(jié)果反應(yīng)到彈性策略和操作規(guī)程中。實踐 3：假定資源受損。具體措施：一是在性能預(yù)期、質(zhì)量標(biāo)準(zhǔn)和資源分配設(shè)計上考慮容錯輸入和破壞性事件的影響；二是跟蹤容錯輸入和破壞性事件的指標(biāo)，并實時考慮網(wǎng)絡(luò)環(huán)境的影響。實踐 4：為未來創(chuàng)新。具體措施：一是為研究、開發(fā)和創(chuàng)新分配資源，重點關(guān)注未來抵御網(wǎng)絡(luò)威脅和危害的能力；二是為研究、開發(fā)和創(chuàng)新籌備固定資源，并作為固定預(yù)算進(jìn)行管理。 【原則6】培養(yǎng)彈性文化

員工有權(quán)理解和體現(xiàn)網(wǎng)絡(luò)彈性行為。

實踐 1：促進(jìn)具有網(wǎng)絡(luò)彈性意識的領(lǐng)導(dǎo)力。具體措施：一是領(lǐng)導(dǎo)層須擁有與組織網(wǎng)絡(luò)彈性有效性相關(guān)的工作目標(biāo)；二是考慮領(lǐng)導(dǎo)層的網(wǎng)絡(luò)彈性經(jīng)驗和背景。實踐 2：通過領(lǐng)導(dǎo)推動文化。具體措施：一是傳達(dá)并強化與網(wǎng)絡(luò)彈性行為相關(guān)的員工獎懲標(biāo)準(zhǔn)；二是領(lǐng)導(dǎo)層清楚展示網(wǎng)絡(luò)彈性文化并提供學(xué)習(xí)機會以應(yīng)對和糾正不斷變化的網(wǎng)絡(luò)威脅形勢。實踐 3：通過問責(zé)制和透明度贏得信任。具體措施：一是了解并跟蹤用于評估彈性、透明度和問責(zé)制文化的指標(biāo)，同時制定獎懲制度；二是領(lǐng)導(dǎo)層定期向員工傳達(dá)網(wǎng)絡(luò)彈性、透明度和問責(zé)制的實施情況。實踐 4：支持員工行為。具體措施：一是員工可以定期參加網(wǎng)絡(luò)彈性培訓(xùn)；二是制定與促進(jìn)網(wǎng)絡(luò)適應(yīng)行為相關(guān)的工作目標(biāo)。實踐 5：提供持續(xù)培訓(xùn)。具體措施：一是對核心業(yè)務(wù)和重要崗位員工進(jìn)行進(jìn)一步網(wǎng)絡(luò)訓(xùn)練和桌面演習(xí)；二是積極允許員工參與各種各樣的培訓(xùn)。

3.網(wǎng)絡(luò)彈性指數(shù)

CRI的開發(fā)考慮到了靈活性，旨在隨著越來越多的網(wǎng)絡(luò)組織使用它而改進(jìn)。它不受行業(yè)和地理位置的限制，可以很快實現(xiàn)應(yīng)用。每個執(zhí)行官和從業(yè)者都可以定制符合自身需求的 CRI，旨在為自身提供一種工具和可視性表述理念來了解其組織及生態(tài)系統(tǒng)的網(wǎng)絡(luò)彈性水平，這樣領(lǐng)導(dǎo)者和高管將了解其需要在哪些方面進(jìn)行改進(jìn)，以達(dá)到更高的適應(yīng)能力。同樣，隨著組織的網(wǎng)絡(luò)領(lǐng)導(dǎo)者和其他網(wǎng)絡(luò)彈性倡導(dǎo)者實施 CRI 及其組成部分，它將從社區(qū)經(jīng)驗和專業(yè)知識中獲益，并提供持續(xù)改進(jìn)的機會。

CRI的計算方式與CRF子實踐相關(guān)的度量組合在一起，其從64個績效衡量標(biāo)準(zhǔn)中匯總，并且每個績效衡量標(biāo)準(zhǔn)都由若干企業(yè)和組織進(jìn)行自我評估，其與各自的CRF實踐方式相相匹配，相關(guān)對應(yīng)表分原則如下圖所示：

圖：網(wǎng)絡(luò)彈性指數(shù)（百分比為網(wǎng)絡(luò)彈性得分占比）

其與現(xiàn)行標(biāo)準(zhǔn)的對應(yīng)關(guān)系和適用性如下表所述：

圖：網(wǎng)絡(luò)彈性原則和指數(shù)與現(xiàn)行標(biāo)準(zhǔn)之間的適用性關(guān)系

4.評述

隨著數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，現(xiàn)實空間將越來越依賴于網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間中的系統(tǒng)安全至關(guān)重要。網(wǎng)絡(luò)彈性方法未來將會變得日益復(fù)雜，其已經(jīng)由網(wǎng)絡(luò)安全的概念逐漸演變?yōu)榱司W(wǎng)絡(luò)安全的工程，強調(diào)了更多的使命和任務(wù)，并與業(yè)界大量的商業(yè)活動緊密結(jié)合?？傮w而言將以風(fēng)險管理為導(dǎo)向，明確網(wǎng)絡(luò)彈性的目的，通過制定相應(yīng)的原則和指數(shù)，將網(wǎng)絡(luò)彈性逐步制度化和標(biāo)準(zhǔn)化，其將作為未來系統(tǒng)和商業(yè)活動安全工程的重要組成部分，并要基于具體環(huán)境采取采用多學(xué)科、多維度的綜合性方法進(jìn)行綜合管理。因此未來的網(wǎng)絡(luò)彈性工作還需要從以下方面繼續(xù)發(fā)展：一是建立生態(tài)系統(tǒng)網(wǎng)絡(luò)彈性性能的通用指標(biāo)；二是衡量生態(tài)系統(tǒng)多個成員之間以及跨地理區(qū)域和部門的生態(tài)系統(tǒng)之間恢復(fù)力的因果關(guān)系和相關(guān)性；三是明確中心計算能力，確定生態(tài)系統(tǒng)的成員承擔(dān)更大權(quán)重的能力和條件，以對整個生態(tài)系統(tǒng)的彈性產(chǎn)生積極影響。

審核編輯：郭婷