從設計安全到內(nèi)生安全技術白皮書 2023

從設計安全到內(nèi)生安全技術白皮書2023年12月前言設計安全發(fā)展沿革1.1美國：改變網(wǎng)絡安全風險平衡041.2美國：網(wǎng)絡空間知情工程081.3美國：系統(tǒng)安全工程111.5小結設計安全實施與挑戰(zhàn)2.1技術支撐182.1.1安全語言182.1.2安全架構202.1.3安全運營技術252.2規(guī)則制定262.2.1軟件開發(fā)規(guī)則272.2.2漏洞管理規(guī)則292.2.3供應鏈規(guī)則302.2.4安全測試規(guī)則322.3意識培養(yǎng)352.3.1S&S聯(lián)合協(xié)同352.3.2數(shù)字資產(chǎn)意識362.3.3網(wǎng)絡安全文化392.4設計安全亟需面對的挑戰(zhàn)412.4.1關注未知安全風險412.4.2一體化安全系統(tǒng)架構設計2.4.3安全量化測試與認證2.5小結內(nèi)生安全賦能制造側安全3.1內(nèi)生安全概述3.2內(nèi)生安全引領范式轉變3.2.1新思維視角3.2.3新評價機制3.3內(nèi)生安全構造增量優(yōu)勢3.3.1未知威脅抵御3.3.2設計安全策略的合理權衡3.3.3破壞式安全測試方法3.3.4阻斷風險演變路徑3.3.5架構涌現(xiàn)的內(nèi)生彈性3.4內(nèi)生安全賦能電力關鍵基礎設施制造側安全3.4.1威脅分析3.4.2設計思路3.4.3安全增益分析總結參考文獻網(wǎng)絡領域存在令人不安的現(xiàn)狀，社會接受了這樣一種期望，即所有軟件都必須通過補丁處理的缺陷，其中大部分都是在惡意行為者利用軟件中的弱點之后進行的，這種“偏差正常化”意味著我們正在接受不符合我們自己的安全標準的軟件漏洞/后門問題是所有包含數(shù)字元素的軟硬件系統(tǒng)底層驅動生態(tài)環(huán)境中不可能無法避免“補丁上或補丁后”還可能引入新的安全漏洞的矛盾問題。此外，許多安全事件并非來源于單一的系統(tǒng)組件故障，而是因為非故障組件之間的不安全相互作用所致。漏洞/后門問題是所有包含數(shù)字元素的軟硬件系統(tǒng)底層驅動生態(tài)環(huán)境中不無法避免“補丁上或補丁后”還可能引入新的安全漏洞的矛盾問題。此外，許多安全事件并非來源于單一的系統(tǒng)組件故障，而是因為非故障組件之間的不安全相互作制造商需將客戶產(chǎn)品安全置于產(chǎn)品全生命周期的前沿和中心沒有單一的解決方案可以結束惡意網(wǎng)絡行為者利用計安全”的產(chǎn)品仍將繼續(xù)遭受漏洞。但是，大量漏洞是由相對較小的根本原因子集造成的。制造商應制定書面路線圖，使其現(xiàn)有產(chǎn)品組合與更安全的設計實踐保持一不是企圖消除內(nèi)源性問題本身。其核心是利用結構加密/環(huán)境加密，阻斷內(nèi)外因相再也不能投機取巧地進行漸進式的改進了。如果我們要共同強的對手構成的威脅，我們必須擁抱徹底的透明度和問責制，這在今天會讓人感到隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)字產(chǎn)品已融入日常生活的方方面面，相較于制造商而言，當前數(shù)字產(chǎn)品的用戶卻承擔了過多的網(wǎng)絡安全責任全漏洞，沒有任何測評機構能為數(shù)字產(chǎn)品作無漏洞后門的擔保；另一方面，網(wǎng)絡安全的成本和不利后果卻都由用戶和第三方機構承擔。可以預見的是，隨著物理空間和數(shù)字空間的進一步融合，當前由用戶和第三方機構提供“外掛式”的網(wǎng)絡安全方法將不再滿足關鍵業(yè)務的“使命確?！苯陙恚瑸榱藨獙θ找鎳谰木W(wǎng)絡安全風險，歐美各國不約而同地提出網(wǎng)絡安全應進行范式轉變，敦促網(wǎng)絡安全責任從用戶側向制造側轉移，強調(diào)數(shù)字產(chǎn)品制造商亟需將“設計安全”作為產(chǎn)品設計和開發(fā)過程的前沿和中心，從數(shù)字產(chǎn)品全生命周期的初始設計階段就有意識地確保設計安全強調(diào)制造商應切實承擔自身網(wǎng)絡安全責任，這對于網(wǎng)絡安全的發(fā)展而言是一個重大的模式轉變。然而，當前設計安全的技術和方法等本質(zhì)上還是“盡力而為”盡可能減少漏洞的實踐考慮，仍未徹底轉換當前網(wǎng)絡安全打鼴鼠式的思維視角，仍未徹底擺脫“漏洞歸零”的方法論和思維慣性。然而，由于人類認知能力桎梏、工程師能力限制、系因此，當前設計安全應當在轉移安全責任的基礎上再向前走一步，從“盡力而為”的打鼴鼠范式躍遷為安全可量化、可測試、可驗證的內(nèi)生安全范式，使數(shù)字產(chǎn)品獲得原生的或內(nèi)源性的安全，保障系統(tǒng)能在不依賴(但不排斥)攻擊者先驗知識(庫)或精確感知與探測分析的條件下，阻斷內(nèi)外因相互作用，防止未知的未知安全威脅演變?yōu)榘踩录?，打破顯而易見，制造側安全是當下網(wǎng)絡空間安全發(fā)展的必經(jīng)之路。本白皮書首先介紹了國際上制造側安全實現(xiàn)(即設計安全)的發(fā)展沿革和最新動向，對設計安全的技術內(nèi)涵、原則方法進行了歸納總結。其次，針對設計安全仍面臨的挑戰(zhàn)，本白皮書基于中國原創(chuàng)的內(nèi)生安全理論和思想，對內(nèi)生安全如何賦能制造側安全、引領網(wǎng)絡安全范式轉變進行了闡述。最后，結合典型電力場景闡述了內(nèi)生安全賦能制造側設計安全、默從設計安全到內(nèi)生安全技術白皮書“設計安全”的定義源于制造側安全的目標和愿景，是歐美國家對網(wǎng)絡安全責任的深刻反思。近年來，隨著數(shù)字化轉型不斷深入，以高級持續(xù)性威脅(AdvancedPersistentThreat,APT)、零日漏洞(0day)為代表的網(wǎng)絡安全問題愈發(fā)突出，網(wǎng)絡安全威脅規(guī)模越來越大，危害也越來越深。更嚴重的問題是，數(shù)字制造商的安全責任失衡，企業(yè)將自身經(jīng)濟利益置于產(chǎn)品安全之上，選擇性無視潛在的安全風險。例如，前美國政府網(wǎng)絡安全高官Grotto就曾撰文，指責微軟公司在一邊制造網(wǎng)絡安全問題，一邊設法解決這些問題，并從中獲利。文中指出，微軟公司已經(jīng)在某種程度上“鎖定”了政府客戶，政府機構及其他部門除了使用微軟公司提供的安全服務外幾乎別無選擇。又例如，英特爾近期被指控在2018年就發(fā)現(xiàn)了其處理器存在“Downfall”漏洞，然而英特爾為了避免更新修補漏洞影響處理器性能，選擇對該漏洞置之不理，放任存在安全隱患的產(chǎn)品進入市場，讓使用者面臨不必要的安全風險。今年7月，TikTok也被曝出早在2022年4月，英國國家網(wǎng)絡安全中心就已警告TikTok存在正在被利用的漏洞，而后者卻并未選擇修復漏洞，最終導致土耳其總統(tǒng)連任選舉期間多達70萬個土耳其TikTok賬戶遭到黑客攻擊，個人信息和訪問權限被竊取。正如歐盟委員會科學聯(lián)合研究中心在報告中指出的那樣，“數(shù)字行業(yè)缺乏有效競爭，且很容易出現(xiàn)激勵錯位?！币环矫妫瑪?shù)字產(chǎn)品為了爭奪客戶，需要迅速投入并占領市場；另一方面，客戶更換產(chǎn)品的可能性較小，用戶粘性強，這種“勝者全拿”的網(wǎng)絡效應驅使制造商明知其產(chǎn)品有漏洞仍然將其投入市場。正因如此，美國在今年發(fā)布的《國家網(wǎng)絡安全戰(zhàn)略》中指出，“現(xiàn)有驅動美國數(shù)字生態(tài)系統(tǒng)的底層架構存在嚴重缺陷。”為了應對上述問題，歐美認識到不能繼續(xù)放任數(shù)字商品“野蠻生長”,設計安全的概念便應運而生。歐美國家對設計安全的極力提倡說明他們已轉換視角，轉變思路，強調(diào)數(shù)字產(chǎn)品制造商自身的安全責任。2023年2月，美國網(wǎng)絡安全和基礎設施安全局執(zhí)行總監(jiān)發(fā)表演講“停止在網(wǎng)絡安全問題上推卸責任”(StopPassingtheBuckonCybersecurity),強調(diào)企業(yè)必須將安全融入科技產(chǎn)品，闡明了美國向制造側轉移網(wǎng)絡安全責任的強硬態(tài)度。歐美認為，目前“外掛式”的網(wǎng)絡安全方法已不再能滿足當今數(shù)字化轉型的需要，只有通過制造側發(fā)力，在系統(tǒng)工程的早期階段就將網(wǎng)絡安全問題考慮進來，才能最小化網(wǎng)絡安全風險。對于設計安全的目標實體和具體實施方案，歐美各國提出了眾多戰(zhàn)略和指南文件，本章將對其進行簡要梳理。美國在2023年最新發(fā)布的《國家網(wǎng)絡安全戰(zhàn)略》中提出，現(xiàn)有驅動美國數(shù)字生態(tài)系統(tǒng)的底層架構存在嚴重缺陷，美國必須從根本上改變(makefundamentalchanges)數(shù)字生態(tài)系統(tǒng)的底層驅動，向防御優(yōu)勢方轉變[1-1]。2023年7月，美國白宮發(fā)布《國家網(wǎng)絡安全戰(zhàn)略實施計劃》,提出要推動開發(fā)安全設計和默認安全的原則和實踐，并指定專門部門負責實施并設定時間節(jié)點，保持每年進行動態(tài)更新。作為對網(wǎng)絡安全戰(zhàn)略的響應，美國網(wǎng)絡安全和基礎德國聯(lián)邦信息安全辦公室、荷蘭國家網(wǎng)絡安全中心、新西蘭計算機應急小組、新西蘭國家網(wǎng)絡安全中心等聯(lián)合發(fā)布了《改變網(wǎng)絡安全風險平衡：設計安全與默認安全的原則與方法》[1-2],其內(nèi)容主要圍繞軟件產(chǎn)品的安全設計和配置提供指導建議。該指南指出，只有結合安全的設計實踐，才能打破不斷創(chuàng)建和應用修復程序的惡性循環(huán)。僅半年之該指南將“設計安全”術語闡述為包含“設計安全”和“默認安全”兩方面。之所以提供這樣一個指南，是因為這些國家和機構認為當前的網(wǎng)絡系統(tǒng)融入了日常生活的方方面面，關鍵系統(tǒng)中不安全的技術和漏洞會引發(fā)惡意網(wǎng)絡入侵，導致嚴重的潛在安全風險。而從歷史上看，技術制造商一直依賴于修復客戶部署產(chǎn)品后發(fā)現(xiàn)的漏洞，要求客戶自費應用這些補丁，因此在當前階段，其認為技術制造商比以往任何時候都更需要將“設計安全”和“默認安全”作為產(chǎn)品設計和開發(fā)過程的焦點。為了創(chuàng)造一個技術和相關產(chǎn)品對客戶更安全的未來，這些機構敦促制造商修改他們的設計和開發(fā)計劃，只允許向客戶運送設計安全和默認安全的產(chǎn)品。其中設計安全的產(chǎn)品是指客戶的安全是核心業(yè)務目標，而不僅僅是技術功能；而默認安全的產(chǎn)品是指可以安全使用的、幾乎不需要或根本不需要更改配置的、并且沒有額外成本的“開箱即用”產(chǎn)品?？傊?，這兩個原則將保證安全的大部分負擔轉移給了制造商，并減少了客戶從設計安全到內(nèi)生安全技術白皮書1.軟件制造商應對客戶購買產(chǎn)品的安全負責，并相應地改進產(chǎn)品。安全責任不應僅僅落2.擁抱徹底的透明度和問責制。軟件制造商應以提供安全的產(chǎn)品為傲，并根據(jù)其能力與其他制造商社區(qū)區(qū)分開來。這可能包括共享他們從客戶部署中獲得的信息，例如默認情況下采用強身份驗證機制的接受情況。這還包括堅定承諾確保漏洞通告和相關的通用漏洞和披露記錄是完整和準確的。然而，要警惕將通用漏洞和披露視為負面指標的情緒，因為這些數(shù)字3.建立組織結構和領導能力來實現(xiàn)這些目標。雖然技術專業(yè)知識對于產(chǎn)品安全至關但高級管理人員是組織中實施變革的主要決策者。軟件制造商在產(chǎn)品開發(fā)中將安全作為關鍵要素的承諾需要與組織的客戶建立合作伙伴關系，以了解：a.提供產(chǎn)品部署指南和量身定制的威脅模型。b.計劃實施安全控制，以符合默認的安全原則。c.制定資源分配策略，適應公司規(guī)模，并替代傳統(tǒng)的開發(fā)實踐，以實現(xiàn)安全設計。d.保持開放的內(nèi)外溝通渠道，包括員工和客戶反饋，以處理產(chǎn)品安全問題。這應該在內(nèi)部論壇(如全員會議或午餐會議)以及外部產(chǎn)品營銷和客戶互動中強調(diào)軟件安全性。e.在客戶部署中衡量效果。高級管理層應關心根據(jù)在最新版指南中，對上述三個原則涉及的具體內(nèi)容進行了詳細說明，本文在圖1-1中對其進行(消除獻認密碼(消除獻認密碼進行現(xiàn)場測試漏洞管理擁抱開放標準(提供升級工具發(fā)布未使用權限的數(shù)據(jù)建立內(nèi)部安全控制發(fā)布詳細的自我聲明的安全軟擁抱漏洞透明度發(fā)布漏洞披露政策發(fā)布內(nèi)存安全的路線圖開發(fā)實踐業(yè)務中安全實踐創(chuàng)建設計安全委員會創(chuàng)建井發(fā)展客戶委員會軟件制造商應對客戶購買產(chǎn)品的安全負責開發(fā)實踐情況1)設計安全1)設計安全“設計安全”定義：技術產(chǎn)品的構建方式合理地防止惡意網(wǎng)絡行為者成功獲取設備、數(shù)據(jù)和連接基礎設施的訪問權。軟件制造商應進行風險評估，以識別和列舉關鍵系統(tǒng)可能遭受的常見網(wǎng)絡威脅，然后在產(chǎn)品藍圖中包含考慮到針對不斷演化的網(wǎng)絡威脅形勢的具體保護措施。同時建議采用安全的信息技術開發(fā)和實施多層次的防御措施，即所謂的縱深防御，以防止網(wǎng)絡威脅活動危害系統(tǒng)或獲取未經(jīng)授權的敏感數(shù)據(jù)訪問權。最后，建議制造商在產(chǎn)品開發(fā)階段針對這樣的“設計安全”定義，指南參考美國國家標準與技術研究院發(fā)布的《安全軟件件開發(fā)實踐，可以集成到每個軟件開發(fā)周期模型中，遵循這些實踐應該有助于軟件生產(chǎn)者減少發(fā)布的軟件中漏洞的數(shù)量，減少未檢測或未解決漏洞被利用的潛在影響，繼而解決漏洞的內(nèi)存安全編程語言：盡可能優(yōu)先使用內(nèi)存安全語言。創(chuàng)作機構承認，其他特定的內(nèi)存緩解措施，如地址空間布局隨機化、控制流完整性和模糊化，對遺留代碼庫有幫助，但不足以被視為設計上的安全措施，因為它們不能充分防止漏洞被利用?，F(xiàn)代內(nèi)存安全語言的一些例安全硬件基礎：包含能夠實現(xiàn)細粒度內(nèi)存保護的體系結構功能，例如CapabilityHardwareEnhancedRISCInstructions(CHERI)所描述的那些功能，它可以擴展傳統(tǒng)的硬安全軟件組件：從經(jīng)過驗證的商業(yè)、開源和其他第三方開發(fā)人員處獲取并維護安全性良好的軟件組件(如軟件庫、模塊、中間件、框架等),以確保消費級軟件產(chǎn)品的安全性。Web模板框架：使用實現(xiàn)用戶輸入自動轉義的Web模板框架，以避免跨站點腳本等靜態(tài)和動態(tài)應用程序安全測試：使用安全測試工具來分析產(chǎn)品源代碼和應用程序行為，導致SQL注入的無標題用戶輸入)等問題。靜態(tài)和動態(tài)應用程序測試工具可以合并到開發(fā)過程中，并作為軟件開發(fā)的一部分自動運行。靜態(tài)和動態(tài)應用程序測試應補充其他類型的測試，如單元測試和集成測試，以確保產(chǎn)品符合預期的安全要求。當發(fā)現(xiàn)問題時，制造商應進行根代碼評審：努力確保提交到產(chǎn)品中的代碼通過其他開發(fā)人員的同行評審，以確保更高的漏洞披露計劃：建立漏洞披露計劃，允許安全研究人員報告漏洞。作為其中的一部分，常見漏洞與公開威脅完整性：確保已發(fā)布的常見漏洞與公開威脅包括根本原因或常見弱點列舉，以實現(xiàn)軟件安全設計缺陷的全行業(yè)分析。雖然確保每個常見漏洞與公開威脅都是正確和完整的需要花費額外的時間，但它允許不同的實體發(fā)現(xiàn)有利于所有制造商和客戶的行業(yè)縱深防御：設計基礎設施，使單個安全控制的妥協(xié)不會導致整個系統(tǒng)的妥協(xié)。例如，確保嚴格提供用戶權限并使用訪問控制列表可以減少受損賬戶的影響。此外，軟件沙盒技術可例如不要求所有員工都進行防釣魚的多因素身份驗證，那么他們就不能被視為提供安全的設2)默認安全2)默認安全“默認安全”定義：指產(chǎn)品在初始狀態(tài)下具有抵御常見攻擊的能力，且無需額外費用。這些產(chǎn)品在不需要最終用戶采取額外安全措施的情況下，保護免受最常見的威脅和漏洞的影響?！澳J安全”產(chǎn)品的設計旨在讓客戶深刻地意識到，當他們偏離安全的默認設置時，除非他們安裝和配置過程中要求管理員設置強密碼。要求特權用戶啟用多因素認證(Multi-Factor源部下屬的愛達荷州國家實驗室(IdahoNationalLaboratory,INL)于2015年提出建立CIE學科施CIE,包括后果驅動的CIE(Consequence-drivenCyber-informed美國能源部實施網(wǎng)絡空間知情工程的主要原因是現(xiàn)代工程實踐因未考慮網(wǎng)絡攻擊后果而存在根本性挑戰(zhàn)。工業(yè)界和學術界無法徹底解決幾乎所有監(jiān)控設計絡專家),并利用網(wǎng)絡安全專家的專業(yè)知識，在各種能源系統(tǒng)的工程生命周期中最小化網(wǎng)絡風CIE是一種知識體系和方法，用于描述在傳統(tǒng)模擬環(huán)境中引入數(shù)字計算機系統(tǒng)所帶來的風安全風險可能導致的后果事件來量化描述已知或未險，CIE提出設計簡化原則用來降低漏洞的數(shù)量，通過工程風險管理來降低網(wǎng)絡安全風險的后最后，這些設計原則通過工程手段融合在一起形成縱深防解和減輕網(wǎng)絡安全風險。CIE使用的工程生命周期模型將生命周期簡化為七個核心系統(tǒng)工程階鍵考慮因素的原則分為設計和組織原則。CIE通結構化和徹底的流程來確定網(wǎng)絡攻擊可能在何處導致高后果影響，并檢查如何通過安全的設過程中附加信息技術安全控制的需要。使用協(xié)調(diào)的控制和流程來消除高來強制執(zhí)行這些信息流。該項CIE原則可以限制攻擊者以其不希望的方式使用系統(tǒng)或其信息的相互依賴性評估：整合來自多個學科(如安全、質(zhì)量、維護、化學)和部門(如運營、業(yè)務)的輸入，以了解數(shù)字濫用如何影響其運營領域。這確保了工程師能夠充分規(guī)劃系統(tǒng)相互依賴性帶來的風險，這些風險可能超出了工程師的傳統(tǒng)權限。正如前文已提到的，系統(tǒng)安全工程是設計安全策略的一個重要參考。美國國家科學技術委員會于2019年發(fā)布的《聯(lián)邦網(wǎng)絡安全研究與發(fā)展戰(zhàn)略計劃》中提出，網(wǎng)絡安全防御框架的保護這一要素便依賴于系統(tǒng)的安全設計。系統(tǒng)安全工程注重系統(tǒng)早期階段的風險管理和安全設計，被譽為美國網(wǎng)絡安全領域“圣經(jīng)”的《網(wǎng)絡安全設計權威指南》(EngineeringTrustworthySystems)其副標題為：在第一時間做好網(wǎng)絡安全設計(GetCybersecurity美國國家標準與技術研究院(NationalInstituteofStandardsandT列出版物的最初版本于2016年11月發(fā)布，名為“系統(tǒng)安全工程”(SystemsSecurityEngineering),它提供了關于可信賴安全系統(tǒng)工程的指南，強調(diào)了安全性在系統(tǒng)工程中的重要性。2018年3月，NIST對原版文件進行了更新，反映了當時的最新安全實踐和標準。大的內(nèi)容更新和設計變更，將標題修改為“可信賴安全系統(tǒng)工程設計”(EngineeringTrustworthySecureSystems),梳理了可信賴安全系統(tǒng)的工程設計原則和概念，形成了各類系統(tǒng)安全性設計的共識[1-15]。NISTSP800-160系列出版物站在系統(tǒng)工程的角度對設計安全NIST定義系統(tǒng)安全工程是系統(tǒng)工程的一個分支學科，其主要目標是確保系統(tǒng)在其生命周期中應用系統(tǒng)安全的原則、理念和方法，從而實現(xiàn)系統(tǒng)的可信賴設計和資產(chǎn)保護。為實現(xiàn)系統(tǒng)安全工程的目標，NIST提出了一個整體的系統(tǒng)安全工程框架，該框和任務的三個上下文(contexts):問題上下文、解決方案上下文、可信賴上下文?；谝陨蠁栴}上下文為安全系統(tǒng)定義打下基礎，問題上下文主要關注對于利益相關者不可接受的損失，考慮對任務、操作能力和性能的相關要求，以及所有相關的成本、進度、性能和風險驅動的限制條件。問題上下文為早期生命周期階段的解決方案提供信息，從而提供對問題及相關約束更準確的陳述。定義明確且經(jīng)由利益相關者驗證的問題定義上下文能夠為所有系統(tǒng)解決方案上下文為系統(tǒng)的體系結構和設計建立了安全方面(aspects)和約束，包括：滿足問題上下文的要求和目標，實現(xiàn)系統(tǒng)設計，以及提供證據(jù)證明問題上下文的要求和目標已經(jīng)得到滿足。解決方案上下文同時采用主動和被動的系統(tǒng)安全保護策略，控制事件、條件和可信賴上下文是一種決策上下文，它通過推理提供基于證據(jù)的證明，即基于安全目標得出一組聲明，認為相關系統(tǒng)是可信的(或不可信的)?？尚刨嚿舷挛氖腔诒ＷC案例(assurancecase)的概念，保證案例是一組定義明確、結構合理的論點和證據(jù)，能夠表明系網(wǎng)絡安全性、彈性、可信賴性或生存性。有效的安全保證案例包括源自安全目標的基本安全聲明、證實這些聲明可信的相關證據(jù)，以及將各種證據(jù)與所支持的安全主張聯(lián)系起來的有效論點。圖1-2展示了系統(tǒng)安全工程框架及其關鍵組件。CONCEPTS,PRINCIPLES,MEANS,METHODS,PROCESSES,PRACTICESTOOLforAcceptableR7圖1-2系統(tǒng)安全工程框架可信賴安全設計被定義為一種為利益相關者提供信心的方式，使其相互沖突的能力需求、關注點、優(yōu)先級和約束得到滿足?？尚刨嚢踩到y(tǒng)的設計目標是建立和保持系統(tǒng)功能在可接受的水平，同時最大限度地減少損失的發(fā)生和損失的程度。系統(tǒng)設計必須提供預期的行為和表1-1列出了可信賴安全設計的相關原則，這些原則以研究、開發(fā)和應用經(jīng)驗為基礎，從安全工程早期納入可信操作系統(tǒng)開始，一直延續(xù)至今天的組件、環(huán)境和系統(tǒng)，并預計將持續(xù)普遍適用于新興和成熟的方法?？尚刨嚢踩到y(tǒng)設計的原則涉及功能安全性(safety)、網(wǎng)絡安全性(security)、可靠性(reliability)、生存性(survivability)和彈性(resilience)及其他相關的專業(yè)工程學科等多個領域。這些原則的最終目標是為了讓系統(tǒng)能夠可信控制設計原則設計原則異常檢測最小權限相稱的保護中介訪問組合信賴持續(xù)保護縱深保護降低復雜性多樣性(動態(tài)性域分離(域隔離)最小依賴的信賴分級保護結構化分解與組合最簡化功能可信賴系統(tǒng)控制從設計安全到內(nèi)生安全技術白皮書系統(tǒng)安全工程提供了一種全生命周期的設計思路，在風險識別的基礎上建立安全的系統(tǒng)從系統(tǒng)工程的角度來看，數(shù)字產(chǎn)品所面臨的風險主要來自數(shù)字經(jīng)濟轉型下物理世界、信息網(wǎng)歐盟十分重視當前網(wǎng)絡安全責任轉型的大背景，對于設計安全已有一套成熟的理論指導，并通過政策和立法積極推動網(wǎng)絡安全責任從用戶側向制造側轉移。2020年底，歐盟發(fā)布了未來數(shù)字化十年的網(wǎng)絡安全戰(zhàn)略[1-16],指出了歐盟的關鍵基礎設施和基本服務日益相互依存和數(shù)字化現(xiàn)狀，要求其所有聯(lián)網(wǎng)設備在設計上確保安全，對網(wǎng)絡攻擊具有彈性。歐盟理事會自2020年開始籌劃數(shù)字產(chǎn)品制造商實施網(wǎng)絡彈性設計的立法相關事宜。2021年9月，歐盟理事會主席馮·德萊恩首次提出立法要求，其立法邏輯為：制造商缺乏認真對待安全問題的動機，如果沒有政策制定者的適當干預，市場無法應對不斷上升的網(wǎng)絡安全風險。2022年5月，歐盟理事會提出立法進程要求，同年9月，歐盟公布法案草稿。2023年7月，歐盟成員國達成共同立場，授權與歐洲議會談判最終條文。歐盟的《網(wǎng)絡彈性法案》標志著網(wǎng)絡彈性/設計安歐盟對于設計安全的理論基礎主要來自于歐盟委員會科學聯(lián)合研究中心(JointResearchCentre,JRC)于2020年發(fā)布的研究報告《網(wǎng)絡安全—我們的數(shù)字之錨(歐洲視角)》指出了當前數(shù)字發(fā)展中的弱點和網(wǎng)絡安全新挑戰(zhàn)。報告在摘要中提到：“安全對于數(shù)字產(chǎn)品的必要性，以及歐盟出臺政策進行管理的動機。報告認為，通常情況下，公司對產(chǎn)品的改進和服務動機來源于市場激勵。然而，數(shù)字行業(yè)缺乏有效競爭，且很容易出另一方面，信息系統(tǒng)的設計通常面臨彈性與性能的權衡，制造商缺乏必要的激勵措施來投資產(chǎn)品全生命周期的安全開發(fā)。因此，近50%制造商明知其產(chǎn)品有漏洞仍然將其投入市場，這使得網(wǎng)絡安全市場具有強烈負外部效應(negativeextern但同時也會降低數(shù)字產(chǎn)品后續(xù)的危害影響，從長遠看仍然可以降低制造商的維護和修補成本以及最終用戶全生命周期的使用成本。綜上所述，“市場失靈的地方，政府必須干預”,這份報告為歐盟在網(wǎng)絡安全領域的政策和法規(guī)制定提供了理論支持。JRC在報告中聚焦于網(wǎng)絡安全風險，從緩解風險的角度提出網(wǎng)絡安全的主要研究思路。與其他類型的風險一樣，網(wǎng)絡安全風險包含兩個主要因素：負面網(wǎng)絡事件發(fā)生的可能性和此類事件的潛在威脅后果。即使一件負面事件發(fā)生的可能性低，但如果其后果影響很大，由此產(chǎn)生的風險仍然非常大，例如針對一個國家核電站設施某些部件的重大恐怖網(wǎng)絡攻擊。負面網(wǎng)絡事件發(fā)生的可能性取決于有動機進行攻擊的威脅行為者以及其攻擊手段，而成功攻擊目標的結果則是產(chǎn)生的影響?；谶@三個主要維度：威脅行為者(即網(wǎng)絡攻擊者)、漏洞(即系統(tǒng)弱點)和影響(即成功的網(wǎng)絡攻擊的不利影響),JRC提出了一種網(wǎng)絡安全風險演變概念模型，如圖1-3所示，圖中的箭頭表達了三個主要維度之間的相互作用。·威脅行為者指的是任何有動機通過網(wǎng)絡攻擊獲取某種回報的行為者或團體。包括尋求獲利的純粹網(wǎng)絡犯罪分子，也包括追隨特定意識形態(tài)的活動者，或是由國家支持的攻擊者?！ね{向量是威脅行為者利用威脅工具進行網(wǎng)絡攻擊的手段，如圖中第一個內(nèi)部箭頭所示。威脅工具可以是任何形式的惡意軟件，如計算機病毒。漏洞可以包含多種具體形式，主要反映了軟件和計算機代碼設計中的安全弱點。·威脅行為者尋求從攻擊中獲得回報，最終造成影響。網(wǎng)絡攻擊的影響通常是由攻擊者有意追求的回報與攻擊的附帶損害的組合造成的。例如，銀行木馬程序竊取的資金和攻擊導致圖1-3中三個重疊圓圈內(nèi)的區(qū)域表示有效的網(wǎng)絡安全風險。JRC認為，在現(xiàn)實世界中，風險的三個要素始終存在，因此需要使用既定的有限資源，制定風險緩解策略(控制措施),將風險降低到可接受的水平。報告將網(wǎng)絡安全風險緩解策略總結為三個方面，分別針對風險的三個主要維度：(1)威懾威脅行為者；(2)緩解漏洞；(3)通過網(wǎng)絡彈性限制影響。在策在《數(shù)字之錨》中，設計安全被定義為在新產(chǎn)品和服務的開發(fā)生命周期的早期進行安全需求識別，并相對于功能需求進行了適當?shù)膬?yōu)先級排序。設計安全和默認安全是網(wǎng)絡安全的重要指導原則，其目標是減少數(shù)字系統(tǒng)、服務和流程中的漏洞。然而，目前這一原則在行業(yè)中沒有被廣泛應用，因為數(shù)字產(chǎn)品的安全工作者經(jīng)常不被視為最終產(chǎn)品價值構建的直接貢獻者。為解決這一矛盾，報告中提出了一些措施，包括在適用于產(chǎn)品和服務開發(fā)的法規(guī)中引入漏洞管理是設計安全和默認安全的有效補充，因為即使在遵循默認安全和設計安全原則方面盡了最大努力，漏洞很可能會隨著時間的推移而被發(fā)現(xiàn)。漏洞管理的目標是為這些事件彈性設計被定義為確保系統(tǒng)能夠在不利條件下持續(xù)運行，彈性設計與設計安全的原則和網(wǎng)絡彈性是歐美在網(wǎng)絡安全方面的一個重要研究方向，是彈性工程、網(wǎng)絡(空間)安全和使為了實現(xiàn)上述原則，JRC提出了一些典型技術，包括多樣性和模塊化分層防御、冗余和降級模式功能、快速響應與恢復、安全認證與標簽等。在JRC看來，必須在系統(tǒng)的全生命周期階段貫徹設計安全、默認安全、漏洞管理、彈性設計等原則，才算實現(xiàn)制造側安全，這些從設計安全到內(nèi)生安全技術白皮書由于目前網(wǎng)絡安全責任的嚴重失衡，僅通過用戶側或第三方機構基于事后修補的方式已難以應對日益嚴峻的網(wǎng)絡安全威脅。因此，歐美各國紛紛出臺網(wǎng)絡安全戰(zhàn)略及政策，希望通過數(shù)字化轉型倒逼網(wǎng)絡安全轉型，將網(wǎng)絡安全責任向制造側轉移，打造安全彈性的數(shù)字生態(tài)系統(tǒng)?；谶@樣的背景和目標，設計安全的概念應運而生。對于設計安全的具體實施方案，美國CISA、NIST、能源部以及歐盟都基于各自的視角提出了多種策略。但無論側重點如何，設計安全都強調(diào)數(shù)字產(chǎn)品制造商應認識到自身的安全責任，在系統(tǒng)設計之初賦予產(chǎn)品具體的PHRLPHRL02當前，歐美國家主要的網(wǎng)絡安全機構已提出諸多策略，為設計安全的具體實施進行支撐和指導。設計安全實施的具體舉措包含在數(shù)字產(chǎn)品生命周期的各個階段，本章將其歸納為技術支撐、規(guī)則制定和意識培養(yǎng)三個方面，并進行簡要分析。2.1技術支撐2.1.1安全語言2.1.1安全語言設計安全的一個重要方面是關注內(nèi)存安全問題。美國國家安全局于2022年發(fā)布指南[2-1],旨在幫助軟件開發(fā)商和軟件運營商預防和緩解軟件內(nèi)存安全問題。之所以提出這樣一份指南是因為內(nèi)存安全問題在可利用的漏洞中占比非常大，微軟曾統(tǒng)計其在2006年到2018年70%的漏洞都是由于內(nèi)存安全問題造成的[2-2];谷歌公司也曾發(fā)布類似統(tǒng)計數(shù)據(jù)[2-3]。惡意網(wǎng)絡攻擊行為者會利用不良的內(nèi)存安全問題來訪問敏感信息造成極大的負面影響。美國國家安全局認為常用的語言，如C和C++,在內(nèi)存管理方面提供了很大的自由度和靈活度，因此其對程序員的要求很高，程序員需要理解內(nèi)存操作行為，同時對內(nèi)存引用操作進行細致的檢查，簡單的錯誤就會導致出現(xiàn)內(nèi)存安全漏洞。盡管存在軟件分析工具可以檢測很多項目代碼存在的內(nèi)存安全問題，但只有基于設計安全原則的內(nèi)存安全語言所提供的固有保護才可以防止大多數(shù)內(nèi)存安全問題?，F(xiàn)有可以替代C和C++的內(nèi)存安全語言包括C#、Rust、Go、Java、Ruby或Swift等。內(nèi)存安全是指在訪問存儲器時，不會出現(xiàn)緩沖區(qū)溢出或是迷途指針等和存儲器有關的程序錯誤或漏洞。C和C++語言之所以不被認為是內(nèi)存安全語言，是因為其可以進行很多指針運算，訪問存儲器時也不會進行邊界檢查。本文將存儲器錯誤問題歸納如表2-1所示：表2-1存儲器操作錯誤問題總結分類設計原則設計原則設計原則緩沖區(qū)溢出程序向緩沖區(qū)中寫入數(shù)據(jù)使緩沖區(qū)容量溢出時，導致相鄰緩沖區(qū)過讀競爭危害頁當指針所指向的對象被釋放或者收回，但是對該指針沒有址空指針引用故障指針變量可以指向堆地址、靜態(tài)變量和空地址單元，當引障，有可能產(chǎn)生不可預見的錯誤內(nèi)存泄漏堆棧溢出使用過多的存儲器時導致調(diào)用堆棧產(chǎn)生的溢出非預期的別名同一個存儲器同時被二個不同用途的函數(shù)配置及修改美國國家安全局也指出，內(nèi)存安全語言中的“內(nèi)存安全”也是相對的，“大多數(shù)內(nèi)存安全語言承認，軟件有時需要執(zhí)行不安全的內(nèi)存管理功能來完成某些任務。因此，有一些類或函數(shù)被認為是非內(nèi)存安全的，并允許程序員執(zhí)行可能不安全的內(nèi)存管理任務。某內(nèi)存不安全的內(nèi)容進行明確的注釋，以使程序員和程序的任何審查者意識到它是不安全的。內(nèi)存安全語言還可以使用以非內(nèi)存安全語言編寫的庫，因此存在不安含內(nèi)存不安全機制的方法顛覆了固有的內(nèi)存安全性，但它們有助于定置，從而可以對這些代碼部分進行額外的審查”。為了能更直觀的了解內(nèi)存安全語言，我們這從設計安全到內(nèi)生安全技術白皮書Java是一種廣泛使用的編程語言，可用于編碼Web應用程序。它已成為開發(fā)人員近二十開發(fā)的通用、編譯型編程語言。設計準則為“安全、并發(fā)、實用”,支持函數(shù)式、并發(fā)式、過編譯成功后，變量內(nèi)存何時回收已被確定并硬編碼到二進制程序中，待程序運行到回收時將自2.1.2安全架構2.1.2安全架構設計安全是將安全性集成到系統(tǒng)、應用程序或產(chǎn)品的設計和開發(fā)過程中，而不是事后添加安全措施。網(wǎng)絡安全架構與“設計安全”之間存在緊密聯(lián)系，因為架構提供了指導和框架，以確保安全性得以在整個系統(tǒng)或網(wǎng)絡的設計和開發(fā)中考慮。設計安全的核心理統(tǒng)構建和開發(fā)階段預防漏洞和威脅。這與網(wǎng)絡安全架構的目標相一致，即通網(wǎng)絡風險。這里我們從設計安全技術支撐的角度，總結了三個主流的網(wǎng)絡安全技術框架，分別是零信任網(wǎng)絡安全架構(ZeroTrustNetworkArchitecture)、縱深防御架構(Defensein1)零信任1)零信任然而，零信任架構采用了一種全新的思維方式，即不信任任何人或設備，即使他們內(nèi)部或外部都與組織有關。這種零信任的思想鼓勵組織以一種更加審慎的方式對待網(wǎng)絡訪問，將網(wǎng)絡零信任架構的核心原則在于“永不信任，不斷驗證”[2-5]。這意味著無論是內(nèi)部員工還是外部用戶，他們在訪問網(wǎng)絡資源時都需要進行身份驗證和授權，無論是從內(nèi)部網(wǎng)絡還是從最小特權原則：要求用戶只能訪問他們工作所需的資源，而不是所有資源。這降低了潛多層次的安全：零信任架構采用多層次的安全來驗證用戶、設備和應用程序的身份。這包括多因素身份驗證，將密碼、生物識別數(shù)據(jù)、智能卡等多種身份驗證因素結合在一起，提持續(xù)監(jiān)測：是零信任架構的關鍵組成部分，它通過不斷監(jiān)控用戶和設備的活動，以及網(wǎng)絡流量，以便及時檢測和應對潛在威脅。這種實時監(jiān)測可以快速識別異常行為，幫助組織采這意味著資源的訪問權限將根據(jù)用戶的實際需要和身份進行動態(tài)控制，而不是基于靜態(tài)的權多因素身份驗證：是確保身份驗證的強大方法。它要求用戶提供多個驗證因素，例如知識因素(密碼)、擁有因素(智能卡)和生物識別因素(指紋或面部識別)等。網(wǎng)絡分割：為了減小橫向移動攻擊的風險，零信任架構采用網(wǎng)絡分割的策略，將網(wǎng)絡分日志和分析：零信任要求組織收集和分析大量的日志數(shù)據(jù)，以監(jiān)測異?；顒雍蜐撛诘陌踩{。高級分析工具和人工智能技術可幫助組織快速識別安全事件，并采取適當?shù)拇胧﹣肀M管零信任架構為提高網(wǎng)絡安全性提供了強大的框架，但其實施也面臨一些挑戰(zhàn)。例如實施零信任可能需要組織重新設計其網(wǎng)絡架構，包括重新審視現(xiàn)有的身份驗證和授權流程，這可能需要大量的時間和資源，強制多重身份驗證和訪問控制可能會對用戶體驗產(chǎn)生負面影響。用戶可能感到不便，尤其是在頻繁的身份驗證步驟時。因此，需要在安全性和便捷性之間尋求平衡，實施零信任可能需要投入大量的成本，包括安全技術的采購、員工培訓和監(jiān)控總而言之，零信任架構是一種現(xiàn)代網(wǎng)絡安全范例，其是設計安全的重要支撐技術之一，從設計安全到內(nèi)生安全技術白皮書其核心原則在于不信任任何人或設備，以確保網(wǎng)絡資源的安全性。表2-2將常見的網(wǎng)絡安全措施與零信任原則進行了對應。盡管實施零信任可能會面臨一些挑戰(zhàn)，但它仍是提高組織網(wǎng)絡安全性的重要方法。這一新興領域將繼續(xù)發(fā)展，以適應不斷變化的網(wǎng)絡安全威脅。最小特權原則多層次的安全持續(xù)監(jiān)測網(wǎng)絡流量與設備監(jiān)控√為所有用戶應用最低權限√對辦公網(wǎng)絡與公共網(wǎng)絡進行分區(qū)√√√√縱深防御也被稱為“分層防御”,也是實現(xiàn)設計安全的一個重要技術之一[2-6]。通?？v深防御使用多種安全產(chǎn)品和實踐來保護網(wǎng)絡、Web資產(chǎn)和資源等[2-7]。縱深防御是設計安全的重要支撐技術之一，單一安全產(chǎn)品無法完全保護網(wǎng)絡免受可能面臨的每一次攻擊，而多種安全產(chǎn)品和實踐可以幫助檢測和預防出現(xiàn)的攻擊，使系統(tǒng)能夠有效地緩解各種威脅?？v深防御的一個優(yōu)點是冗余，當某一道防線受損之后，其他安全措施可以幫助限制和減輕攻擊行為對整個網(wǎng)絡和系統(tǒng)的損害；而這種優(yōu)點是單點防御所不具備的[2-8]。從設計安全到內(nèi)生安全技術白皮書生物識別技術：包括指紋識別、面部識別和虹膜掃描等，提供更高級別的身份驗證，以定期培訓員工，以提高他們對安全威脅的意識，包括如何識別惡意郵件、社會工程學攻縱深防御技術將這些多層次的控制和策略整合在一起，以建立堅固的安全基礎，從而最大程度地保護組織的信息和資產(chǎn)，降低各種威脅帶來的風險影響。這些措施需要持續(xù)更新和333)3)NIST網(wǎng)絡安全框架NIST的網(wǎng)絡安全框架(NISTCybersecurit絡安全的指南和工具集。它于2014年首次發(fā)布，作為美國總統(tǒng)行政命令的一部分，但它已被NIST網(wǎng)絡安全框架NIST網(wǎng)絡安全框架5244·確保員工培訓和意識。檢測(Detect):偵測領域的目標是快速識別網(wǎng)絡安全事件和威脅?；顒影ǎ骸みM行漏洞掃描和安全審計。NIST網(wǎng)絡安全框架不僅提供了以上核心領域的指導，還強調(diào)了持續(xù)改進和適應的概念。組織可以根據(jù)其特定需求和風險面臨的情況，自定義和實施這些措施。該框架還提供了工具2.1.3安全運營技術2.1.3安全運營技術網(wǎng)絡安全運營技術是設計安全中一項至關重要的組成部分，旨在保護組織的網(wǎng)絡和信息資產(chǎn)免受各種威脅和攻擊的侵害。網(wǎng)絡安全運營技術中的入侵檢測和入侵恢復于確保系統(tǒng)的安全性和彈性。入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)和入侵防御這些系統(tǒng)能夠識別異常模式和警告跡象，為安全團隊提供了及時的速應對威脅、隔離受感染的系統(tǒng)、恢復受影響的服務，以及分析入侵事件以源頭。這一過程還包括修復漏洞、清除惡意代碼、強化訪問控制，并采來入侵的風險。綜合而言，入侵檢測和入侵恢復技術在設計安全實時監(jiān)測和迅速應對威脅，它們幫助確保網(wǎng)絡系統(tǒng)的持續(xù)穩(wěn)定和可靠性，從而維護了組織的絡安全。根據(jù)檢測的數(shù)據(jù)來源，現(xiàn)有入侵檢測系統(tǒng)可分為：網(wǎng)絡入侵檢測系統(tǒng)(Network流量的工具，通常位于網(wǎng)絡邊界，監(jiān)控流入和流出的數(shù)據(jù)包。通過分析數(shù)據(jù)包，檢測異常流量模式和已知攻擊簽名。比如Snort,一個常用的NIDS工具，可以檢測到各種攻擊，如掃描、機上，監(jiān)視主機級事件，如文件系統(tǒng)更改、進程活動和系統(tǒng)調(diào)用。它們識別行為。比如Ossec,一種開源的HIDS工具，可監(jiān)視文件完整性、日志活動和入侵恢復則涉及恢復受影響系統(tǒng)的正常運行狀態(tài)，并進行調(diào)查以了解入侵的性質(zhì)和來源。這一過程包括修復漏洞、清除惡意代碼、更新訪問控制策略，并采取預防措施以防止未來的入系統(tǒng)。如果網(wǎng)絡中某個服務器受到惡意軟件感染，將其從網(wǎng)絡2.2規(guī)則制定針對設計安全轉移網(wǎng)絡安全責任的目標，近期以美國、歐盟為首的網(wǎng)絡了一系列關于系統(tǒng)開發(fā)、供應鏈管理、安全測試等方向的規(guī)則或要求，目的是保證數(shù)字產(chǎn)品生產(chǎn)商能夠按照既定規(guī)則更有效地控制和減少漏洞。本節(jié)將對目前主流的設計1)開源軟件管理1)開源軟件管理由于美國聯(lián)邦政府、州政府、地方政府和大量關鍵基礎設施都在很大程度上依賴于開源軟件，因此美國網(wǎng)絡安全和基礎設施安全局(CybersecurityandInfrastructureSecurityAgency,CISA)認為有必要制定相關規(guī)則管理、掌握和保護相關開源軟件的開發(fā)，從而降低政府機構和關鍵基礎設施面臨的風險。CISA于2023年9月發(fā)布開源軟件安全路線圖(CISAOpenSourceSoftwareSecurityRoadmap),用以支持健康、安生態(tài)系統(tǒng)建設[2-11]。路線圖提出了2024到2026財年亟需實現(xiàn)的4大目的(Goal)和15個對應目標(Objective)。本文將路線圖的4個預期目的總結如下：社區(qū)之間的工作關系，建立一個安全、有彈性的開源生態(tài)系統(tǒng)，為幫助提高更廣泛的開源軟件生態(tài)系統(tǒng)安全性做出貢獻。CISA認為，目前開源社區(qū)已經(jīng)有許多專注于安全的舉措正在進為了解CISA如何更好地支持開源軟件生態(tài)系這一目的期望確保聯(lián)邦政府對開源軟件的合理使用。與負責參與開源軟件的公司類似，聯(lián)邦政府必須建立相應流程來管理自身對開源軟件的使用及為依賴的開源軟件做出貢獻的方CISA已經(jīng)意識到開源軟件的公益性，并認識到保護更廣泛的開源軟件生態(tài)系統(tǒng)的努力將為了實現(xiàn)對開源軟件的有效管理，CISA成立了專門機構聯(lián)合網(wǎng)絡防御協(xié)作中心(JointCyberDefenseCollaborative,JCDC),探索實時的公私合作模式，將私營部門的可見性、洞察力、創(chuàng)新性與聯(lián)邦網(wǎng)絡生態(tài)系統(tǒng)的能力和權威相結合，并將安全管理模式從應對威脅和漏2)框架設計2)框架設計架設計方面做了多項努力。如2.1.2節(jié)中提及的網(wǎng)絡安全框架(CybersecurityFramework,CSF)是NIST于2014年提出的網(wǎng)絡安全防御框架，該文件是目前全球認可的網(wǎng)絡安全體系，為管理跨部門網(wǎng)絡安全風險的通用語言和系統(tǒng)方法提供指導。NISTCSF由標準、指南和管理網(wǎng)絡安全相關風險的最佳實踐三部分組成，其核心內(nèi)容可以概括為經(jīng)典的IPDRR能力模型，即風險識別能力(Identify)、安全防御能力(Protect)、安全檢測能力(Detect)、安全響應在設計安全概念興起后，NIST于2023年8月起草了CSF2.0的重要更新。本次更新主要體現(xiàn)在NIST將CSF的適用范圍擴大到所有設施擴大到所有數(shù)字信息相關組織，不管其類型或規(guī)模如何。這一差異體現(xiàn)在CSF的正式名稱上，從限定性更強的“提高關鍵基礎設施網(wǎng)絡空間安全的框架”更名為通俗化名稱“網(wǎng)絡建配置文件提供了指導。配置文件可以為網(wǎng)絡空間安全界適用于特定的領域或案例提供幫助。與此同時，CSF2.0還提供了參考工具在線資源支持，該在線資源將允許用戶瀏覽、搜索與其他資源之間的關系的“參考文獻”,從而使將該框架與其他指南一起用于管理網(wǎng)絡空間安框架等，設計安全中的許多概念都來源于美國NIST多年以來深耕的網(wǎng)絡空間安全標準化生態(tài)。間推移而發(fā)生變化，因此該項依據(jù)需要有時間標業(yè)務基本職能(MissionEssentialFunction注意：該漏洞需要組織內(nèi)部進行個人級別的監(jiān)督。針對該漏CISA另一項針對漏洞管理的努力是開展通從設計安全到內(nèi)生安全技術白皮書動化，減少了漏洞被披露到企業(yè)修復之間的時間，并為未來的漏洞信息自動共享提供了工具。除此之外，設計安全還鼓勵政府機構和制造具包為目前尚無漏洞披露流程但希望創(chuàng)建披露流程的組織提供了相關規(guī)則。NCSC提出漏洞披如今的信息物理系統(tǒng)大多依賴于錯綜復雜、全球遍布、廣泛互聯(lián)的供應鏈生態(tài)。因此，在推動數(shù)字制造商底層軟硬件安全開發(fā)和漏洞管理的同時，美國也意識到供應鏈安全的重要供應鏈中的弱點，這一問題既涉及商業(yè)軟件，也涉及開源軟件，對私營企業(yè)和政府企業(yè)都有影響。為了解決供應鏈安全問題，美國政府發(fā)布了一項網(wǎng)絡安全行政命令(EO14028),制定了保護聯(lián)邦政府軟件供應鏈安全的新要求，該命令涉及軟件供應商和開發(fā)人員的系統(tǒng)審查、流程改進和安全標準等。作為回應，美國國家安報告《保護軟件供應鏈：供應商的推薦實踐》(SecuringtheSoftwareSupplyChain:RecommendedPracticesforSuppliers)[2-14]。該報告的目標是根據(jù)行業(yè)最佳實踐和原則提供指導，包括安全需求規(guī)劃、從安全角度設計軟件體系結構、添加安全功能以及維護軟件美國NIST早在2015年就發(fā)布了供應鏈風險管理的相關文件(NISTSP800-161),當時文件的主要目標群體是聯(lián)邦的信息系統(tǒng)和相關組織，其主要關注的供應鏈風險也集中在信息和通信技術產(chǎn)品和服務。2022年5月，NIST對該出版物進行了更新，發(fā)布NISTSP800-161r1:《系統(tǒng)和組織的網(wǎng)絡安全供應鏈風險管理實踐》(CybersecuritySupplyChainRiskManagementPracticesforSystemsandOrganizations),為數(shù)字系統(tǒng)和組織提供了識別、評估和減輕各級供應鏈中網(wǎng)絡安全風險的指導[2-15]。該出版物采用多層次的安全供應鏈風險管理(Cybersecuritysupplychainriskmanagement,C-SCRM)納入風險管評估的指導。具體來說，NIST在文件中提出了一個三層次的方法來配置和構建一個C-SCRM活動：接受企業(yè)級別的指導，并將其轉化為針對特定任務領域和業(yè)務線的戰(zhàn)略、政策和為了實現(xiàn)更大的供應鏈透明度，美國政府敦促各供應商給所屬數(shù)字產(chǎn)品提供軟件材料清家網(wǎng)絡安全狀況的行政命令，要求商務部和國家電信和信息管理局發(fā)布確保軟件供應鏈安全許可證信息、版本號和供應商。通過提供所有細節(jié)的正式列表，使其他人能夠了解其軟件中的內(nèi)容并據(jù)此采取行動，從而降低了生產(chǎn)者和消費者的風險。美國C將通過促進社區(qū)參與、開發(fā)和進步來推進SBOM工作，重點是擴展和操作，以及工具、新技2023年9月，CISA發(fā)布了來自信息和通信技術供應鏈風險管理工作組的新的供應鏈風險控制產(chǎn)品硬件材料清單框架(HardwareBillofMaterialsFramework,HBOM)[2-16]。HBOM產(chǎn)品提供了一個框架，包括組件屬性一致性的命名方法、識別和提供不同類型組件信息的格式，全面的信息和明確的指導，各組織可以防范經(jīng)濟和安全風險，增強整體抵御能力；通過HBOM提高透明度和可追溯性，利益相關者可以識別和解決供應鏈中的潛在風險，確保數(shù)字全并負責向政府機構、行業(yè)及其他合作方提供供應鏈風險管理政策及技術指導?？傮w來說，設計安全所提倡的供應鏈管理主要通過軟件成分分析、交互式應用安全檢測、運行時安全防要求所有員工進行防釣魚的多因素身份驗證，那么他們就不能被視為提供了設計安全的產(chǎn)品。A1管理(Governance):制定管理組織網(wǎng)絡和信息系統(tǒng)安全方法的政策和流程；A4供應鏈(Supplychain):理解和管理依賴于外部供應商的信息系統(tǒng)安全風險。BB3數(shù)據(jù)安全(Datasecurity):防止對存儲和數(shù)據(jù)基本功能造C1安全檢測(Securitymonitoring):監(jiān)測以發(fā)現(xiàn)潛在的安全問題并跟蹤現(xiàn)有安全措施的C2主動安全事件發(fā)現(xiàn)(Proactivesecurityeventdiscovery):檢測相關網(wǎng)絡和信息系統(tǒng)最小化網(wǎng)絡安全事件影響。有能力將網(wǎng)絡安全事件對基本功能最小化網(wǎng)絡安全事件影響。有能力將網(wǎng)絡安全事件對基本功能運行的不利影目標DD1響應和恢復計劃(Responseandrecoveryplanning):制定適當?shù)氖鹿使芾砗途徑饬鱀2經(jīng)驗學習(Lessonslearned):從安全事件中吸取教訓并基于這些經(jīng)驗教訓提高基本職每一項原則都可以分解為一組較低級別的有助于網(wǎng)絡安全和彈有這些結果才能完全滿足最高級別原則。對一個組織滿足某一特定原綜上所述，目前較為通用的設計安全評估方法和測試方法主要基于自上2.3意識培養(yǎng)從歷史上看，功能安全工程和網(wǎng)絡安全工程是兩個不同且不太相關的領域，功能安全問題和網(wǎng)絡安全問題也常被視為單獨的問題去解決。功能安全起源于機械工程，而安全工程是然而，信息物理系統(tǒng)(Cyber-PhysicalSystems,CPS)的出現(xiàn)打破了功能安全工程和網(wǎng)絡安全工程的邊界。隨著信息物理系統(tǒng)數(shù)字化程度的提升，二者交叉程度越深，獨立考慮功能安全和網(wǎng)絡安全問題不再能夠確保系統(tǒng)安全，也很難同時實現(xiàn)功能安全和網(wǎng)絡安全。從智能家電到智能工業(yè)控制、智慧城市、智能交通，等等，因為可以提高產(chǎn)品、服務和基礎設施的效率、功能和可靠性，信息物理系統(tǒng)正被社會廣泛使用，且人們對信息物理系統(tǒng)的依賴程度逐漸加深。由于信息物理系統(tǒng)特性越來越依賴于計算、網(wǎng)絡和信息處理，信息物理系統(tǒng)中的功能安全和網(wǎng)絡安全變得緊密耦合。功能故障可能會導致網(wǎng)絡安全措施的失效，惡意網(wǎng)絡攻擊也可能會削弱系統(tǒng)，并在物理世界中造成嚴重后果，從而消除技術帶來的所有優(yōu)勢功能安全和網(wǎng)絡安全的交織與耦合，當前系統(tǒng)工程過程需要聯(lián)合考慮功能安全和網(wǎng)絡安全，即實現(xiàn)功能安全和網(wǎng)絡安全的聯(lián)合協(xié)同(下稱S&S聯(lián)合協(xié)同)。實現(xiàn)功能安全與網(wǎng)絡安全的聯(lián)合協(xié)同已成為安全工程領域的重要課題，當前的S&S聯(lián)合協(xié)同仍是從風險分析和處理的角度來實現(xiàn)。為了實現(xiàn)設計安全，首先需要共同分析影響系統(tǒng)可靠性的功能安全和網(wǎng)絡安全風險。Schmittner等人提出“故障模式、漏洞和影響分析”方法[2-19],綜合分析故障和網(wǎng)絡攻擊對系統(tǒng)可靠性的影響。該方法將系統(tǒng)分為子系統(tǒng)和組件，確定了威脅模式的可能性。該方法是傳統(tǒng)概率風險評估方法的擴展?？紤]到網(wǎng)絡風險不僅包括數(shù)字故障和非故意網(wǎng)絡事件，還包括對手可能試圖故意破壞、威懾、否認、降級或破壞數(shù)字系統(tǒng)，從而將數(shù)字化系統(tǒng)置于預期設計之外的可能性。因此，為實現(xiàn)設計安全，網(wǎng)絡空間知情工程提出通過后果優(yōu)先級的方式識別和分析安全風險(尤其是網(wǎng)絡安全風險),并開發(fā)了后果驅動的網(wǎng)絡空間知情工程(Consequence-drivenCyber-informedEngineering,CCE)。其根據(jù)風險可能導致的后果進行優(yōu)先級排序，并對不同優(yōu)先級的風險采取消除、緩解、保護、FrankJ.Furrer[2-20]等人則認同需要通過嚴格應用和執(zhí)行安全原則來實現(xiàn)，其給出安全原則包括：1、訪問控制原則，2、信任控制平面與網(wǎng)絡平面分離原則，3、安全文化原則，4、安全標準與政策原則，5、安全管理體系原則，6、安全實現(xiàn)原則，7、產(chǎn)品責任原則以及8、記錄保管原則等。這些主要安全原則從不同角度指導了安全的實現(xiàn)，幫助系統(tǒng)開發(fā)人員在設計階段實現(xiàn)功能安全和網(wǎng)絡安全的有機整合。而L.Bukowski等人在書中強調(diào)安全工程的概念，特別是受到干擾、危險和威脅的程的基本概念包括安全策略的制定、實施和正確性評估，以及安全措施的成本與效益之間的平衡。該書為此提出了以生命周期為基礎的系統(tǒng)安全工程框架，該框架涵蓋了系統(tǒng)在整個生命周期中的所有過程和活動，并專注于特定的安全考慮因素，包括保護信息免受攻擊的過程，以及保密性-完整性-可用性三元模型等。該研究綜合考慮生命周期安全工程、網(wǎng)絡安全和安除此之外，為了在設計安全中實現(xiàn)S&S聯(lián)合協(xié)同，還需在系統(tǒng)生命周期的每個階段協(xié)調(diào)功能安全和網(wǎng)絡安全的作用。為此，Schmittner等人提出一個組合開發(fā)周期?；诂F(xiàn)有標準和最佳實踐中的生命周期模型，該方法將功能安全和網(wǎng)絡安全納入一個統(tǒng)一的工程過程生命周期，具有一套平衡的措施，用于減輕開發(fā)過程中的功能安全和網(wǎng)絡安全風規(guī)范中，綜合分析和考慮確保功能安全的網(wǎng)絡安全影響。在設計階段開始時，對功能安全和網(wǎng)絡安全目標的定義進行了整合。在開發(fā)階段，考慮采取功能安全和網(wǎng)絡安全措施來實現(xiàn)設計目標。例如，可以使用防篡改硬件來增強對環(huán)境影響的魯棒性。在實施/實現(xiàn)階段，限制動態(tài)元素使用的功能安全編碼標準從而減少緩沖區(qū)溢出利用的次數(shù)。功能安全和網(wǎng)絡安全開發(fā)階段被定義為一個超越發(fā)布時間的持續(xù)過程。作為事件響應的一部分，新的漏洞需要重新考慮功能安全和網(wǎng)絡安全概念，并對其他系統(tǒng)質(zhì)量屬性進行影響分析。除了在退役過程中保持必要的功能安全級別外，還需要考慮潛在的攻擊者是否能夠從已處理的系統(tǒng)中了解潛在的漏2.3.2數(shù)字資產(chǎn)意識2.3.2數(shù)字資產(chǎn)意識數(shù)字經(jīng)濟轉型背景下為各項基礎設施、設備的數(shù)字化帶來了難以的物理模塊具有不同的弱點和模式。數(shù)字資到這一點，網(wǎng)絡空間知情工程將數(shù)字資產(chǎn)意識列為其基本原則，數(shù)字資產(chǎn)工作機理。數(shù)字資產(chǎn)意識不只是當前網(wǎng)絡安全實踐強調(diào)的識數(shù)字資產(chǎn)意識一方面要求維護一個完整準確的數(shù)字資產(chǎn)清單，從分析一個組織所擁有的硬件和軟件，還可以跟蹤和解析其中的數(shù)字資產(chǎn)清單是一項基本要素，但實際中確認和部署階段則是確保系統(tǒng)按照設計意圖被成而帶來意外風險的功能，從而在設計階段限制不必要功能或制定措施緩解系統(tǒng)被濫用/誤用風現(xiàn)，數(shù)字資產(chǎn)清單是否充分詳細說明了設計中規(guī)定的所有商用現(xiàn)成數(shù)字在運行和維護階段，需要考慮如何不斷重新評估數(shù)字資產(chǎn)以意想不到的方式運行的潛力，如何持續(xù)審計以跟蹤數(shù)字資產(chǎn)的功能，以及在運行過程中發(fā)生了什么變化風險評估與緩解的設計安全并非一蹴而就，需要通過全生命周期不斷題，可以確保部分數(shù)字資產(chǎn)退役或替換后的系統(tǒng)仍能安全運行，或為實現(xiàn)替過全生命周期不斷迭代反饋才能排除各種已知風險，并基于專家經(jīng)驗審在過去的50年里，功能安全文化滲透到了大多數(shù)行業(yè)，因為控制系統(tǒng)失效而導致人身傷害是不可接受的，事故可能會造成巨大的經(jīng)濟損失和公眾的不信任。相比之下，網(wǎng)絡安全最初被視為一個抵御互聯(lián)網(wǎng)攻擊的信息技術問題。然而，隨著數(shù)字化程度的不斷加深，網(wǎng)絡攻擊不僅會削弱功能安全控制，還會削弱物理安全控制。尤其在信息物理系統(tǒng)中，網(wǎng)絡攻擊會通過系統(tǒng)的信息域和物理域耦合接口對功能安全造成威脅。比如，通過覆蓋數(shù)字組件或系統(tǒng)的設計指令來執(zhí)行惡意行為，能實時智能地影響這些數(shù)字組件或系統(tǒng)，從而可能對組織的功由于網(wǎng)絡被納入工程過程，因此工程學科必須納入網(wǎng)絡安全。所有工程師、運維人員等與目標系統(tǒng)利益相關者都是網(wǎng)絡防御團隊的一部分，必須使他們都了解網(wǎng)絡攻擊是如何被用于惡意操縱的。從工程的角度來看，網(wǎng)絡安全文化必須制度化，并仔細考慮與數(shù)字組件或系為此，網(wǎng)絡空間知情工程建議將網(wǎng)絡安全提高到與功能安全同等的接受和實踐水平。就像功能安全文化一樣，網(wǎng)絡安全文化需要全體員工的參與和認可，了解安全需求及其在整個安全文化中的作用有助于確保他們遵循強化網(wǎng)絡安全所需的流程和程序。通過組織跨職能和跨學科團隊在系統(tǒng)設計和實施中考慮數(shù)字風險，從而將網(wǎng)絡安全納入組織文化，在整個組織網(wǎng)絡空間知情工程建議圍繞系統(tǒng)設計過程建立網(wǎng)絡安全文化，并將網(wǎng)絡安全文化影響到系統(tǒng)的所有利益相關者，而非傳統(tǒng)的將網(wǎng)絡安全視為對組織技術和實踐實施的一套事后安全措施。為此，工程設計團隊需要認識到數(shù)字故障或網(wǎng)絡攻擊對正在設計的系統(tǒng)的影響，其核心責任是幫助對系統(tǒng)負責、咨詢或了解系統(tǒng)的所有利益相關者了解網(wǎng)絡安全的必要性，以及每個利益相關者的角色如何對系統(tǒng)產(chǎn)生積極和消極的影響，從而實現(xiàn)系統(tǒng)的整體安全性。工程設計團隊可以效仿建立安全文化的最佳實踐，比如定期討論如何以及為何將網(wǎng)絡安全納入系統(tǒng)，承認和慶祝團隊成員的良好決策和正確行動，并將失敗視為學習和改進的機會，等等。由于設計過程之外的團隊成員可能沒有意識到他們的工作角色如何有助于或削弱整個系統(tǒng)的從設計安全到內(nèi)生安全技術白皮書網(wǎng)絡安全，因此在網(wǎng)絡安全文化中，工程設計團隊對個人進行個性化對話很重要。因此，網(wǎng)絡安全文化不只需要工程設計團隊實現(xiàn)設計安全，同時需要通過對所有利益相關者基于角色進行個性化網(wǎng)絡安全培訓，降低設計意圖之外引入的意外風險，同時有助于運維等成員有意識地關注和收集網(wǎng)絡安全相關事件，從而為實現(xiàn)修補或升級系統(tǒng)的設計安全提供風險評估依題的方式實現(xiàn)網(wǎng)絡安全文化。從實現(xiàn)設計安全的角度來看，組織需要在概念階段和需求階段盡可能了解目標系統(tǒng)的目的和期望，實現(xiàn)目標系統(tǒng)對工程師團隊有哪些要求，在設計階段使目標系統(tǒng)復雜度盡可能低并能容忍可能出現(xiàn)的錯誤，在開發(fā)、測試、驗證、確認和部署階段如何培訓個人和團隊，如何激勵個人暢所欲言，報告在各階段發(fā)現(xiàn)的人員、流程、技術等方面的問題，后續(xù)的運行維護、退役和替換則是確保運維人員知曉如何應對異常情況或狀況，在概念階段，需要考慮高級領導層對目標系統(tǒng)的目的有何意圖和期望，參與創(chuàng)建、操作和維護系統(tǒng)的高級領導層、經(jīng)理和主管以及技術人員和工人的利益是什么,對目標系統(tǒng)的期望如何轉移到硬件供應商、咨詢工程師之類的其他組織，等等。通過考慮這些問題，可以確保系統(tǒng)設計能實現(xiàn)預期目標，同時確保目標系統(tǒng)所有利益相關者的利益和目標一致，從而降哪些潛在的組織優(yōu)勢和劣勢與系統(tǒng)需求相互作用或相關，操作概念中的錯誤前兆在哪，比如任務需求、工作環(huán)境、個人能力、人性等等。因為人類科技發(fā)展和認知水平的階段性特征導致軟硬件代碼設計脆弱性或漏洞問題無法徹底避免，而且工程師團隊人員能力存在限制，因此通過考慮這些問題，可以某種程度降低因工程師團隊認知能力桎梏和工程能力限制導致的在設計階段，需要考慮如何避免通過增加復雜性的方法來解決設計問題和改進系統(tǒng)，如何改進對合理錯誤的檢測，如何提高從錯誤中恢復的能力，等等。通過考慮這些問題，簡化系統(tǒng)復雜度，從而降低系統(tǒng)攻擊面。此外，通過設計系統(tǒng)，使其容忍可能出現(xiàn)的錯誤，賦予在開發(fā)階段，需要考慮在系統(tǒng)的整個生命周期中，個人和團隊需要什么樣的培訓、教育和實踐來操作、維護、保護和防御目標系統(tǒng)，如何確認和記錄積累技術債務的選擇。通過考慮這些問題，確認團隊人員如何培訓，使團隊成員能對系統(tǒng)進行正確的操作、維護、保護，降低團隊成員無意識地濫用或誤用系統(tǒng)，同時能在運行維護階段中及時發(fā)現(xiàn)濫用/誤用以及異從設計安全到內(nèi)生安全技術白皮書在測試、驗證、確認和部署階段，需要考慮是否有足夠多的工作人員參與測試，以感知意外事件和現(xiàn)象，是否鼓勵工作人員及時發(fā)現(xiàn)問題，而不用擔心因發(fā)現(xiàn)系統(tǒng)漏洞而遭到報復。通過這方面的網(wǎng)絡安全文化建設，可以更及時、全面地發(fā)現(xiàn)系統(tǒng)設計存在的漏洞、意料之外在運行和維護階段，需要考慮當操作員遇到異常情況或狀況時如何應對，如何確定“人為錯誤”的罪責，以確定待解決問題的根本原因，根據(jù)行為和選擇去判斷采取哪些干預措施，而非根據(jù)所實現(xiàn)的后果采取防護措施，等等。通過考慮這些問題，確保設計階段采取的各種在退役和替換階段，需要考慮保存系統(tǒng)的哪些信息對替換或其他系統(tǒng)很重要，這有助于綜上所述，網(wǎng)絡空間知情工程通過在全生命周期推行網(wǎng)絡安全文化，實現(xiàn)所有系統(tǒng)的利益相關者都能具備網(wǎng)絡安全意識，都能基于自己的角色為系統(tǒng)的全生命周期安全做出貢獻。通過形成網(wǎng)絡安全文化，將網(wǎng)絡安全嵌入組織的價值觀和優(yōu)先事項中，并通過行為和選擇證明網(wǎng)絡安全可以從強制性轉變?yōu)楣逃匈|(zhì)量。同時也可以看出，實現(xiàn)設計安全并非只需關注工程過程的設計階段，而需要全生命周期貫穿設計安全理念，所有利益相關者通過直接或間接2.4設計安全亟需面對的挑戰(zhàn)現(xiàn)有設計安全的出發(fā)點仍是減少漏洞、修補漏洞，其強調(diào)網(wǎng)絡安全基本問題是軟硬件設計的脆弱性帶來的漏洞問題，漏洞一旦被攻擊者利用就會造成安全事件，因此需要在設計之初就分析可能存在的網(wǎng)絡安全風險，修補已知漏洞，利用簡化設計來降低漏洞數(shù)量、減小攻擊表面，或者進行彈性設計，以便在漏洞被利用造成后果后進行快速恢復。然而，漏洞后門是無法完全消除的，基于現(xiàn)有設計安全方法設計的系統(tǒng)無法實時應對未知的未知安全威脅和例如，網(wǎng)絡空間知情工程提出以后果優(yōu)先級的方式描述并排序風險，在具體實現(xiàn)中，后果驅動的網(wǎng)絡空間知情工程(Consequence-drivenCyber-informedEngineering,CCE)通過確立基準假設來描述敵手能力，然后分別從敵手視角和系圍和邊界條件，并根據(jù)邊界條件確定潛在的破壞性事件，根據(jù)影響區(qū)域、持續(xù)時間、攻擊廣從設計安全到內(nèi)生安全技術白皮書度等維度評估潛在破壞性事件的后果，并進行優(yōu)先級排序，在系統(tǒng)設計階段，采用系統(tǒng)工程的方法有效處理高后果的潛在風險。歐盟JRC在《數(shù)字之錨》報告中從緩解風險的角度實現(xiàn)設計安全，它通過網(wǎng)絡事件發(fā)生的可能性和此類事件的潛在威脅后果角度識別和描述風險。具體實現(xiàn)中，其設計安全的目標是減少數(shù)字系統(tǒng)、服務和流程中的漏洞，并融合彈性設計以應對難以消除的風險。1.1節(jié)的《改變網(wǎng)絡安全風險平衡：設計安也是通過風險評估來識別和列舉關鍵系統(tǒng)可能遭受的常見網(wǎng)絡威脅，然后在設計之初在目標可以看出，已有的設計安全路線側重基于對風險的先驗認統(tǒng)中可能存在無法被檢測的失陷，但是其做出的應對僅限于被動的失陷影響業(yè)務的中斷性損失也是難以彌補的。后果導向的風險分析方法某需關注未知安全風險，在設計之初賦予目標系統(tǒng)感知未事件驅動的彈性恢復，而應能主動感知未知威脅，從而保當前的設計安全領域在面對網(wǎng)絡安全問題時，往往缺少一體化安全系統(tǒng)架構設計的理念。這使得設計安全的各項技術和措施在增加成本的同時，還可能導致系統(tǒng)變得更加復雜，進而當前設計安全策略缺少一體化架構設計的缺點主要有以下幾個方面。首先，這種缺失會相互之間缺乏協(xié)調(diào)和配合，這不僅增加了系統(tǒng)的復雜性，還可能導致資源浪費和性能下降。例如，如果系統(tǒng)中同時存在多個防火墻、入侵檢測系統(tǒng)等安全組件，它們可能存在重復或沖其次，缺少一體化架構設計還會降低系統(tǒng)的魯棒性。魯棒性是指系統(tǒng)在遭受攻擊或出現(xiàn)故障時仍能保持正常運轉的能力。缺乏一體化設計的各種安全措施可能難以協(xié)同工作，無法形成整體的防御合力，這使得系統(tǒng)在面臨復雜多變的網(wǎng)絡安全威脅時更容易受到攻擊和破壞。例如，如果系統(tǒng)中的防火墻和入侵檢測系統(tǒng)之間缺乏有效的聯(lián)動機制，當惡意攻擊突破防火此外，缺少一體化架構設計還可能導致安全策略的執(zhí)行不力。由于各種安全措施可能存在不同的配置和管理方式，這可能導致安全策略在執(zhí)行過程中出現(xiàn)偏差或漏洞。例如，如果系統(tǒng)的各個組件由不同的團隊或廠商提供，每個團隊或廠商可能遵循不同的安全標準和規(guī)范，最后，缺少一體化架構設計還會降低安全管理的效率。由于各種安全措施可能存在不同的管理和監(jiān)控工具，這可能導致安全管理過程變得復雜和繁瑣。例如，如果系統(tǒng)中有多個安全監(jiān)控工具，每個工具可能需要獨立管理和配置，這不僅增加了管理成本，還可能導致安全綜上所述，一體化架構設計對于提高設計安全性具有重要意義。通過將各種安全措施和要素整合到一個統(tǒng)一的框架中，一體化設計可以簡化安全管理流程、提高系統(tǒng)的魯棒性、增強安全策略的執(zhí)行力度、降低系統(tǒng)的復雜性和冗余性等。這不僅可以提高系統(tǒng)的安全性，還一體化安全系統(tǒng)架構設計是一種將各種安全措施和要素整合到一個統(tǒng)一框架中的方法。這種方法有助于提升系統(tǒng)的整體安全性，降低復雜性并提高魯棒性。特別是面對日益嚴峻的體化安全系統(tǒng)架構設計有助于實現(xiàn)統(tǒng)一的安全策略規(guī)劃。在面對復雜的網(wǎng)絡安全威脅時，一個統(tǒng)一的安全策略是至關重要的。只有當所有的安全措施都遵循相同的安全策略，才能確保各種安全措施能夠協(xié)同工作，從而更有效地應對各類威脅。其次，一體化安全系統(tǒng)架構設計有助于簡化網(wǎng)絡安全管理流程。通過整合各種安全措施，一體化設計可以降低安全管理的復雜性，提高安全管理的效率。這不僅可以降低安全管理的成本，還可以提高安全管理的效果。對于企業(yè)來說，簡化安全管理流程可以提高企業(yè)的運營效率，降低企業(yè)的經(jīng)濟成本。再次，一體化安全系統(tǒng)架構設計有助于提高系統(tǒng)的魯棒性。魯棒性是指系統(tǒng)在遭受攻擊或出現(xiàn)故障時仍能保持正常運轉的能力。一體化設計可以使各種安全措施更好地協(xié)同工作，提高系統(tǒng)整體的魯棒性。當系統(tǒng)遭受攻擊時，各種安全措施可以迅速響應并聯(lián)合抵御攻擊，從而最大程度地減少損失。例如，當系統(tǒng)遭受高級持久性威脅攻擊時，一體化設計的防御系統(tǒng)可以快速檢測、隔離并清除惡意軟件，從而減少損失。此外，一體化安全系統(tǒng)架構設計有助于提升網(wǎng)絡安全防御效果。通過將各種安全措施和要素整合到一起，可以更好地協(xié)調(diào)各個部分的工作，從設計安全到內(nèi)生安全技術白皮書提高整體防御效果。最后，一體化安全系統(tǒng)架構設計有助于降低網(wǎng)絡安全風險。雖然一體化設計的初始投入可能較高，但長期來看，它可以降低維護和升級的成本。此外，由于一體化設計可以提高魯棒性并降低復雜性，因此可以減少因安全問題導致的損失。這不僅可以保障數(shù)字化深度轉型背景下，信息物理域高度融合，物理域面臨的攻擊威脅逐漸增多，信息域造成的破壞性也隨之增大。同時，由于網(wǎng)絡空間各層級漏洞成因復雜、點多分散，難以完全根除，加之信息物理跨域攻擊路徑和機理錯綜復雜，難以完全探明，傳統(tǒng)可靠性安全評估方法越來越難以保證信息物理系統(tǒng)的安全性。當前設計安全/默認安全強調(diào)制造側安全責任，敦促數(shù)字產(chǎn)品制造商向客戶運送“開箱即用”的安全產(chǎn)品，而這些數(shù)字產(chǎn)品的安全性如何自證就成為了一個亟待解決的難題。歐盟JRC在《數(shù)字之將安全量化認證視為設計安全風險管理的一項重要手段。然而，該文中也指出，目前尚無全球公認的安全定量標準。正如本白皮書在2.2節(jié)中所分析的，當前設計安全提供的安全測試規(guī)則通?；谥笜梭w系靜態(tài)評估和已知漏洞庫比對展開，缺少破壞式或注入式安全測試，難以事實上，網(wǎng)絡空間的安全度量一直以來都是各方網(wǎng)絡安全機構的研究重點。例如美國性評估、指標定量得分評估、網(wǎng)絡彈性覆蓋圖等方法上取得了積極的進展。MITRE提出的網(wǎng)絡彈性定量評分方法是一種可定制的評分方法，通過兩種方式進行定位或背景調(diào)整：第一，它反映了利益相關者的優(yōu)先級(即哪些目標、子項目和能力是重要的)。第二，根據(jù)關于操作和威脅環(huán)境的既定假設進行性能評估(即提供優(yōu)先級能力的程度或優(yōu)先級活動的實際執(zhí)行情題的根本原因或常見弱點列舉(CommonWeaknessEnumeration,CWE),從而實現(xiàn)對軟件安全設計缺陷的全行業(yè)分析?？梢钥闯觯O計安全將已知漏洞庫的比對作為安全測試的重要綜上所述，當前主流的安全度量方法依賴于對系統(tǒng)環(huán)境的理解、對已知漏洞庫的比對，系統(tǒng)安全基線的表達、評估指標體系的建立及評分等。這種通過定性分析和半定量評級結合的方法雖然能清晰地指出網(wǎng)絡安全/彈性和具體安全措施之間的邏輯關系，也相對易于實施，從設計安全到內(nèi)生安全技術白皮書但仍然存在一些說服力不足的問題。例如，如何明確證明一個系統(tǒng)的安全性達到了某個量級，評估指標不同的系統(tǒng)之間應該如何對比安全性，復雜系統(tǒng)的可塑性和涌現(xiàn)性應該如何評估等。因此，設計安全仍需研究一種合理且令人信服的安全量化測試方法和規(guī)則，特別是破壞式或注入式的安全測試方法，對不同的數(shù)字產(chǎn)品、供應鏈進行安全認證，從而實現(xiàn)制造商對于數(shù)設計安全強調(diào)制造商應切實承擔自身安全責任，從數(shù)字產(chǎn)品制造初期開始嚴格管理其設計和開發(fā)計劃，而不是僅依