《信息安全技术网络弹性评价准则》编制说明.pdfVIP

国家标准编制说明 国家标准《信息安全技术 网络弹性评价准则》（征求意见稿） 编制说明 一、工作简况 1.1 任务来源 根据国家标准化管理委员会2023 年下达的国家标准制修订计划，《信息安全 技术 网络弹性评价准则》由大连理工大学负责承办，计划号T-469 。 本标准由全国信息安全标准化技术委员会归口管理。 1.2 制定背景 随着物联网、5G、卫星通信网络、大数据、云计算、人工智能等新技术的 迅猛发展和广泛应用，网络规模和数据量呈爆炸式增长，网络拓扑结构日益复杂 成为超网络的新系统形态，为网络安全保障带来巨大的挑战。漏洞利用、勒索病 毒、APT 威胁等各种新型攻击方法层出不穷，使传统的网络安全保证模式呈现被 动、滞后的特点，网络安全需要新框架。2022 年 2 月发生的俄乌冲突事件，国 际黑客组织大规模攻击他国关键信息基础设施，显示网络战正在成为未来混合战 争的一种主要形式，国家安全将受到威胁。 网络无法做到绝对的安全。攻击不可能100%被发现，也很难做到所有漏洞 都及时得到修复，因此需要转换思路，考虑在系统中存在攻击的情境下，特别是 考虑存在高级持久性威胁（APT ）的条件下，如何保证系统中关键业务和使命任 务的平稳连续运行，并实现应急响应和恢复成为亟待解决的问题。 在此背景下，为落实国家《网络安全法》和《关键信息基础设施安全保护条 例》，本文件在国家网络安全等级保护制度的基础上，借鉴了已有网络安全检测、 评估工作的成熟经验，充分吸收国内外网络弹性领域最前沿的研究成果和相关规 范性文献，从包含网络资源的信息系统弹性功能和结构的视角出发，提出一种多 指标综合网络弹性能力评价方法，基本原则如下： 1）面向攻防。面对零日漏洞高发和层出不穷的网络攻击新模式，保证系统 关键业务平稳运行，必要情况下使能系统战略威慑能力，是信息系统开发方和运 营方必须要解决的问题。网络弹性评价准则旨在评估系统对威胁事件的 “预测、 承受、恢复和适应”能力，保证关键业务功能的稳定运行，实现系统主动防御能 国家标准编制说明 力。对于应对日益严峻的网络安全态势、指导网络弹性能力建设具有重要意义和 必要性； 2）关注系统应急响应和恢复能力。弹性概念基本特征之一就是从系统破坏 中迅速恢复的能力，因此对威胁事件采取应急响应措施，将损失降低到最低可接 受水平，并采取适当的恢复或重构策略实现业务的迅速恢复，是网络弹性能力的 重要目标之一； 3）以业务风险为核心，提高系统对威胁事件的耐受能力，保住底线。基于 组织风险管理策略实现网络弹性目的、网络弹性能力目标和网络弹性架构的选择 定制和决策权衡，必要时平稳降级以保证关键业务和使命任务的生存性，实现网 络安全风险管理对组织风险管理的支持，提高网络安全投资效率； 4）实现网络弹性功能与弹性架构的统一。通过网络弹性能力目标与网络弹 性架构的分解，可以构建网络弹性功能与结构要素的映射关系，实现网络弹性功 能与结构的一致性，为系统弹性功能和结构的设计与实现提供指导。 1.3 起草过程 大连理工大学负责组织起草，中国软件评测中心，中国科学技术大学，国家 工业信息安全发展研究中心，网络通信与安全紫金山实验室，联想（北京）有限 公司，北京天融信网络安全技术有限公司，腾讯云计算（北京）有限责任公司， 公安部第三研究所，中国信息通信研究院，国家计算机网络应急处理协调中心， 中国检验认证（集团）有限公司，中国电信研究院，天翼云科技有限公司，中车 大连机车车辆有限公司，国电南京自动化股份有限公司，中能融合智慧科技有限 公司，华能信息技术有限公司，中国电子科技集团公司第十五研究所，国家信息 技术安全研究中心，华为技术有限公司，中兴通讯股份有限公司，信华信技术股 份有限公司，欧亚高科数字技术有限公司，湖北省烟草公司，解放军战略支援部 队信息工程大学，东南大学，北京理工大学，北京路云天网络安全技术研究院有 限公司，陕西省信息化工程研究院，长阳科技（北京）股份有限公司，深圳开源 互联网安全技术有限公司，嵩山实验室，安芯网盾（北京）科技有限公司，郑州 昂视信息科技有限公司，南京南瑞信息通信科技有限公司，深信服科技股份有限 公司，南京汇荣信息技术有限公司，山石网科通信技术股份有限公司，广东网安 联认证中心，中邦网络安