| 标准编号 | GB/T 44862-2024 (GB/T44862-2024) | | 中文名称 | 网络安全技术 网络弹性评价准则 | | 英文名称 | Cybersecurity technology - Cyber-resilience evaluation criteria | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 31,390 | | 发布日期 | 2024-10-26 | | 实施日期 | 2025-05-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 44862-2024: 网络安全技术 网络弹性评价准则
ICS 35.030
CCSL80
中华人民共和国国家标准
网络安全技术 网络弹性评价准则
2024-10-26发布
2025-05-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 概述 2
5.1 网络弹性 2
5.2 评价指标体系 2
5.3 标准结构 3
6 网络弹性指标 3
6.1 预防能力 3
6.1.1 态势感知 3
6.1.2 检查分析 4
6.1.3 协同防御 4
6.1.4 供应链管理 4
6.2 承受能力 5
6.2.1 应急响应 5
6.2.2 损失限制 5
6.2.3 遏制 5
6.2.4 生存性 6
6.3 恢复能力 6
6.3.1 灾难备份 6
6.3.2 业务连续性 6
6.3.3 数据与业务恢复 7
6.4 适应能力 7
6.4.1 自主管理 7
6.4.2 重构 8
6.4.3 节点适应性 8
6.4.4 网络适应性 8
7 评价方法 9
附录A(规范性) 网络弹性评价表 10
附录B(资料性) 极限场景、极端网络安全事件下网络弹性指标示例 15
附录C(资料性) 复杂信息系统网络弹性需求分析 18
附录D(资料性) 网络弹性架构设计方法 20
参考文献 26
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:大连理工大学、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、
国家工业信息安全发展研究中心、公安部第三研究所、中国科学技术大学、紫金山实验室、中国电子技术
标准化研究院、联想(北京)有限公司、北京天融信网络安全技术有限公司、中国信息通信研究院、国家计
算机网络应急技术处理协调中心、中国检验认证(集团)有限公司、国家信息技术安全研究中心、中国电
信集团有限公司、中车大连机车车辆有限公司、天翼云科技有限公司、国电南京自动化股份有限公司、中
能融合智慧科技有限公司、公安部第一研究所、华能信息技术有限公司、武汉金银湖实验室、华为技术有
限公司、中兴通讯股份有限公司、信华信技术股份有限公司、中国烟草总公司湖北省公司、战略支援部队
信息工程大学、东南大学、北京理工大学、深信服科技股份有限公司、陕西省信息化工程研究院、长扬科
技(北京)股份有限公司、深圳开源互联网安全技术有限公司、嵩山实验室、安芯网盾(北京)科技有限公
司、郑州昂视信息科技有限公司、网安联信息技术有限公司、广东云百科技有限公司。
本文件主要起草人:宋明秋、左晓栋、杨春立、黎水林、朱雪峰、张进、陈兴跃、上官晓丽、王惠莅、王冲华、
李汝鑫、王少杰、于盟、卢春景、崔涛、喻梁文、王宝雁、刘亚天、呼博文、沈军、广小明、王大伟、朱良海、
辛晨、刘文彪、黄石海、赵赫、汤成俊、赵硕、余果、汪慕峰、梁利、安宏杰、曹鲲鹏、潘中英、孙伟宏、杨斯可、
宋景民、马海龙、曹向辉、郭泽华、赵晓荣、金伟、王语涵、谢琴、张亚京、王颉、张建辉、李天涯、李昂、伊玮珑、
江文、阮懿宗、周柏魁。
网络安全技术 网络弹性评价准则
1 范围
本文件规定了网络弹性评价准则,给出了网络弹性评价指标体系和评价方法。
本文件适用于组织对网络弹性的自评价,网络安全服务机构对网络弹性的第三方评价,也适用于组
织的网络弹性设计、建设和提升。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20988 信息安全技术 信息系统灾难恢复规范
GB/T 25069-2022 信息安全技术 术语
GB/T 30146-2023 安全与韧性 业务连续性管理体系 要求
GB/T 43269-2023 信息安全技术 网络安全应急能力评估准则
3 术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
网络弹性 cyberresilience
网络存在不利条件、压力、攻击或失陷组件时,自身所应具有的预防、承受、恢复和适应的能力,以保
持系统功能和结构稳定,实现对重大网络安全事件的有序、有效应对,保证关键业务稳定运行。
注:本文件中术语“网络”指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收
集、存储、传输、交换、处理的系统。
3.2
关键业务 criticalbusiness
一旦遭受网络安全事件可能严重影响组织或客户网络安全和稳定,造成重大损失的业务。
3.3
生存性 survivability
在攻击、失效、故障或中断发生的情况下,系统仍能运行基本业务功能,完成关键业务的能力。
注:失效是指一个系统或组件失去其设计所规定的目的或功能,尽管可以运行,但不能输出正确的结果。故障是指
系统或设备不能执行规定功能的状态。基本业务功能是指组成业务功能的基本功能单元,如进程、线程或算法
模块等。
[来源:ISO/IEC/IEEE24765-2017,3.4060,有修改]
4 缩略语
下列缩略语适用于本文件。
I/O:输入/输出(Input/output)
IP:网际互联协议(Internetprotocol)
SLA:服务水平协议(Service-levelagreement)
5 概述
5.1 网络弹性
弹性是系统吸收和适应内部和外部环境变化,保持其功能和结构稳定并在必要时适度降级的能力。
其中,吸收是指通过有效响应,使系统具有应对、解决或在适当条件下利用非预期事件的能力,吸收能力
可通过容错和鲁棒性等方法实现;适度降级是指当遭受重大网络安全事件时,系统能够采用比正常系统
运行模式功能收缩、性能降低或服务降级的模式运行,保证系统基本业务功能的生存性,保证关键业务
的连续性。
网络弹性包括“预防、承受、恢复和适应”能力,其含义如下:
a) 预防能力,保持一种对网络安全事件充分预测和协同防御的能力;
b) 承受能力,系统能够应对网络安全事件带来的影响,保证关键业务功能生存的能力;
c) 恢复能力,在网络安全事件发生后,系统能够依据优先级排序,在预期时间内有序地恢复业务
功能的能力;
d) 适应能力,系统自我修复和完善,加固和优化其功能和结构,以适应内、外部环境变化并不断提
升抵抗风险的能力。
网络弹性的目的是通过“预防、承受、恢复、适应”能力的实现,有效化解重大网络安全风险,避免风
险级联效应导致重大或极端网络安全事件,保证关键业务稳定运行。
5.2 评价指标体系
网络弹性的评价对象为一个组织或部门的网络(3.1注)或系统,及其运营、管理等相关内容。
网络弹性包括“预防、承受、恢复、适应”4种能力,将其作为网络弹性评价的一级指标。其中,预防
能力包括了态势感知、检查分析、协同防御、供应链管理4项二级指标,承受能力包括应急响应、损失限
制、遏制、生存性4项二级指标,恢复能力包括灾难备份、业务连续性、数据与业务恢复3项二级指标,适
应能力包括自主管理、重构、节点适应性、网络适应性4项二级指标。每个二级指标又包括多项三级指
标。二级指标共15项,三级指标共63项。评价指标体系见图1。
图1 网络弹性指标体系
5.3 标准结构
第6章给出了网络弹性指标体系和每项指标的具体内容,第7章给出了网络弹性的评价方法和打
分方法。附录A规定了网络弹性各项指标的评价方法;附录B描述了极限场景、极端网络安全事件及
相关网络弹性指标示例,提出了网络弹性需要解决的重点问题;附录C给出了多业务协同的复杂连接
系统的网络弹性需求分析方法;附录D给出了一种网络弹性架构设计方法,支持“态势感知、检查分析、
协同防御”等指标的实现。
6 网络弹性指标
6.1 预防能力
6.1.1 态势感知
态势感知是指通过采集网络流量、资产信息、日志、漏洞、告警信息、威胁信息等数据,分析和处理网
络及用户行为等因素,掌握网络安全状态,预测网络安全发展趋势,并进行展示和检测预警的活动。
该指标包括以下内容。
a) 基本项。
1) 检测。系统能够基于指示器信息和预测活动,对网络安全状态数据进行动态、整体的分
析,检测网络安全状态。
2) 重大风险源监测。在关键业务所依赖的重要资产、服务和主要设备设施上部署传感器,对
重大网络安全事件风险源进行监测。
3) 监测预警。根据日常监测结果,及时发现网络安全事件并有效预警,对事件进行核实和评
估,并持续跟踪。
4) 特征已知威胁的检测。针对特征已知威胁的检测成功率应达到100%。
b) 扩展项。
特征未知威胁的检测。针对特征未知的威胁应具有检测、发现的能力。
6.1.2 检查分析
检查分析是指对重大网络安全事件进行研判,分析漏洞利用、触发条件和网络攻击模式,分析系统
重要功能失效、主要设备设施故障等隐患,实现对重大网络安全事件的早期发现。
该指标包括以下内容。
a) 基本项。
1) 重大网络安全威胁分析。对重大网络安全威胁(如某类APT攻击)进行研判,分析其漏洞
利用、触发条件、脆弱点模式及可能产生的后果,及时发现并采取措施防止重大网络安全
事件的发生。
2) 重大风险源分析。针对可能导致重大网络安全事件的风险因素进行研判,综合分析关键
业务所依赖的重要资产和服务或主要设备的网络安全状态,分析其功能失效模式、故障模
式以及可能造成的影响,及时发现重大网络安全风险隐患。
注1:失效模式是指从致使系统或组件失效的因素、失效机理、失效发展过程到临界状态等整个失效过程。故障模
式是指系统、重要设备或关键部位可能产生的潜在故障、后果及原因。
b) 扩展项。
级联事件分析。对可能存在级联效应的网络安全事件,应在物理拓扑结构下计算网络安全事件潜
在损失(D.3.2),采取措施避免极端事件的发生并减少损失。
注2:级联事件是指一系列事件,其中每一个事件都为下一个事件的发生提供条件。在网络安全领域,级联事件指
一个事件影响下游数据处理程序或相关业务系统而引发一系列的意外事件。
6.1.3 协同防御
协同防御是指支持利益相关方协同的风险应对方案,提高风险因素识别和补救措施的有效性,降低
网络安全事件传播范围和破坏能力。
该指标包括以下内容。
a) 基本项。
1) 协同防御策略。明确协同防御相关方及策略,提高对网络攻击的整体感知和抵御成功率。
2) 威胁信息共享。支持利益相关方群体共同、联合或协同的风险应对方案,降低网络安全事
件由一个组织系统传播到另一个组织系统的可能性,包括:与国家行业威胁信息共享平台
建立信息共享渠道或者机制。
b) 扩展项。
1) 自建威胁情报库。建立适合自身规模的威胁情报库,并及时向利益相关方分享和披露威
胁信息,以增强利益相关方对网络安全事件特征和行为的了解。
2) 自然灾难预警。建设自然灾难历史数据库或对接国家自然灾难预警系统,降低灾难事件
造成的潜在损失。
6.1.4 供应链管理
供应链管理是指识别和防范供应关系和供应活动中面临的安全风险,当供应链中断或部分失效
时,能够保证业务系统持续稳定运行。
该指标包括以下内容。
a) 基本项。
1) 关键设备采购清单。采购网络关键设备和网络安全专用产品目录中的设备产品时,应采
购通过国家检测认证的设备和产品。可能影响国家安全的,要通过国家网络安全审查。
2) 关键产品及服务供应商资质备案。对于关键软硬件产品、设备与服务供应商,应建立证书
和资质备案制度。
3) 知识产权管理。提供满足业务持续稳定运行时限需求的软件产品或服务使用授权,包括
但不限于许可证、产品序列号、开源许可协议等,并确保授权期内软件持续稳定可用。
b) 扩展项。
多供应商服务协议。强化采购渠道安全管理,制定从多个国家或地区获得关键产品及服务的方
案,保证来源的多样性;对于重要组织或场景,建立供应商替代方案,防范供应链中断风险。
6.2 承受能力
6.2.1 应急响应
应急响应是指组织为应对突发/重大网络安全事件所做的准备,以及在事件发生后所采取的措施。
该指标包括以下内容。
a) 基本项。
1) 应急预案管理。基于关键业务、资产和服务的优先级,制定应急响应预案应符合
GB/T 43269-2023的相关要求,并定期组织应急演练,保证网络安全事件发生时应急响
应预案的有效执行。
2) 应急处置。采取必要应急调度手段,开展故障排查与诊断,对故障进行快速处理和恢
复,及时通报应急事件,提供持续性服务保障,对应急结果进行评价并关闭事件。
b) 扩展项。
有序响应。根据业务、资产与服务的优先级排序,对网络安全事件进行有序响应,并在预期时间目
标和恢复点目标[6.3.3a)3)]内实现系统的恢复。
6.2.2 损失限制
损失限制是指限制网络安全事件在时间、网络资源或业务方面造成的损失或影响,降低网络安全级
联事件发生的可能性和影响范围。
该指标包括以下内容。
a) 基本项。
1) 减小攻击面/收敛暴露面。减少系统输入/输出节点的数量,降低系统遭受攻击的可能性
和影响的范围。
2) 分离关键业务和非关键业务。减少关键业务和非关键业务之间的连接,降低非关键业务
风险影响关键业务的可能性,最小化非关键业务功能被利用来攻击关键业务的可能性。
3) IP地址受控访问。通过防火墙设定可访问的地址段或IP范围,或通过IP安全控制策略
限制访问。
4) 分段与隔离。根据组织业务或业务的不同属性,对网络进行分段或隔离,实现对不同业务
或不同属性的访问控制。例如:采用访问控制列表、MAC地址、协议类型等多种方式实
现网络分段与隔离。
b) 扩展项。
缩短时间窗。限制网络安全事件持续的时间,降低网络安全事件造成的损失。
6.2.3 遏制
遏制是指当系统感知到攻击活动后,能够采取措施增加网络安全事件造成不利影响或后果的难
度,阻止攻击方在预期的时间内达到预期的效果,提高攻击的成本。
该指标包括以下内容。
a) 基本项。
1) 动态隔离。当网络安全事件发生后,采用内部防火墙、网络边界隔离组件或杀毒软件,将
危险区域迅速关闭或与其他区域相隔离,将网络安全事件的影响限制在一组受限的资
源,降低事件的影响。例如:将感染节点从网络中分离;或发现恶意代码后,将感染文件
隔离。
2) 路由隔离。路由器能够识别报文异常情况,自动丢弃异常报文或更新报文,阻止路由异常
报文的扩散。
b) 扩展项。
1) 延迟。采取措施增加网络安全事件造成不利影响或后果的难度和时间,遏制攻击活动的
进展,增加攻击成本,降低系统风险。例如:设置网络安全防护机制时,考虑资产的分类分
级管理机制,根据资产的重要性增加保护措施的数量和强度。
2) 重定向。可采用重定向功能,使攻击活动远离受保护的目标。例如:选择性植入错误信息
(虚假信息)或部署蜜网,误导攻击方将恶意软件部署在沙箱中;或使用混淆手段隐藏实际
资源,使攻击偏离受保护的重要资源。
6.2.4 生存性
生存性是指在攻击、失效、故障或中断发生的情况下,系统仍能运行基本业务功能,完成关键业务的
能力。
该指标包括以下内容。
a) 基本项。
1) 安全失效模式。在极限场景下,或发生重大网络安全事件时,保证系统以可控的方式失
效,保证失效事件不会对系统及其用户造成损失或尽量减小损失。
2) 降级模式。当发生重大网络安全事件时,系统能够采用比正常模式功能收缩、性能降低的
模式运行,实现关键业务系统最小化运行,保证关键业务连续性。
注:最小化运行是指为了实现关键业务系统的生存性,需要保证运行的最少的基本业务功能集合。
b) 扩展项。
1) 防故障模式。防止由于机理性原因引发的系统故障,例如:防止网络设备故障、防止网络
负载均衡故障等。
2) 吸收模式。可采用容错或鲁棒性等技术,吸收失效事件或设备故障,保证系统稳定运行。
6.3 恢复能力
6.3.1 灾难备份
灾难备份是指为了灾难恢复而对系统、基础设施、专业技术支持和运行维护管理能力进行备份的过程。
该指标包括以下内容。
a) 基本项。
1) 备份策略。明确备份策略,包括需要备份的重要数据和文件内容、备份方式、备份时间和
备份地点,备份策略包括全盘备份、增量备份、差异备份3种策略。
2) 备份数据保护。对备份数据或文件提供必要的安全保护,确保备份文件是可用的、没有被
篡改或破坏的。
b) 扩展项。
1) 重要数据备份加密保护。对于关键业务数据,采用适当的访问控制策略或符合国家密码
管理相关部门要求的密码技术保护备份数据的保密性和完整性。
2) 安全库存与备份。对于重要硬件设备和软件,保证安全库存与备份。例如:保证备件数至
少可平稳度过两个 MTPD的数量。
6.3.2 业务连续性
业务连续性是指在中断发生期间,组织以预先确定的方式在可接受的时间范围内持续提供业务功
能的能力。
该指标包括以下内容。
a) 基本项。
1) 可用性目标。依据GB/T 30146-2023,定义关键业务系统或服务的可用性目标,并在供
应商SLA中约定。
2) 连续操作。当发生关键设备故障或重要服务中断时,具有手动操作、组件替换或切换等能
力,保证基本业务功能的持续运行。
b) 扩展项。
1) 高可用性。对中断可能产生重大影响的关键业务,其可用性目标应达到99.999%。
2) 系统还原或回滚。对于不期望的系统操作后果(特别是与关键业务相关的后果)或发生网
络安全事件时尚未完成的业务,系统应具有还原或回滚的能力,以保证系统或数据的完整
性,降低网络安全事件的影响。
6.3.3 数据与业务恢复
数据与业务恢复是指中断发生后,基于备份数据或文件,将业务系统从网络安全事件状态恢复到正
常运行状态的能力。
该指标包括以下内容。
a) 基本项。
1) 恢复数据源。对于已经损坏或可疑的数据资源,要从干净的、受保护的备份中恢复。
2) 数据与业务恢复策略。明确数据和业务的恢复策略,例如:全盘恢复、个别文件恢复和重
定向恢复。
3) 恢复目标。依据GB/T 20988,采用适当的恢复策略,实现系统恢复目标,包括:恢复点目
标RPO、恢复时间目标RTO。
b) 扩展项。
1) 网络恢复策略。网络遭受攻击后,通过节点修复和连边重构的方式快速恢复业务功能,例
如:使用节点备份恢复策略或者节点接替恢复策略。
注:连边重构是指在网络某节点功能失效时,为实现网络路径的可用性,利用冗余节点重新构建网络节点间连边的
过程。
2) 重续运行。灾难事件发生时,运行系统从主中心转移到灾难备份中心,再回到主中心运行
的过程。
6.4 适应能力
6.4.1 自主管理
自主管理是指系统修复自身漏洞和缺陷,加固自身功能和结构,提高抵抗风险的能力。
该指标包括以下内容。
a) 基本项。
1) 自我修复和完善。系统能够学习已经识别或已经发生的网络安全事件相关知识,及时修
复已知漏洞、功能失效、设备故障或失陷组件,实现自我修复和完善,消除网络安全风险
隐患。
2) 清除受损数据。删除系统中不安全、不正确的或已经损坏的、可能造成损害的网络资源或
数据,降低网络安全事件发生的可能性。例如:使用虚拟化技术以随机间隔刷新关键软
件,使该软件中植入的恶意代码被清除。
b) 扩展项。
1) 按需激活。创造条件降低网络安全事件产生的影响。例如:关键软件在需要时才组装或
激活,缩短关键软件被探测的时间窗口。
2) 积极防御。在适当情况下(例如:基于对即将发生的重大网络安全事件的预测),能够采取
主动策略对威胁或攻击进行响应,避免重大网络安全事件的发生或产生影响,或降低网络
安全事件发生的可能性和潜在损失。
6.4.2 重构
重构是指当组件发生损坏或失陷,或自身技术和运行环境发生变化时,能够利用可用资源,重构业
务流程或功能的能力。
该指标包括以下内容。
a) 基本项。
1) 冗余。从安全角度考虑设置额外数量的系统单元,保证组件发生损坏或失陷时,存在可利
用的资源实现系统重构。冗余可通过设置多重系统、单元或其他实现同一功能的设备来
实现,例如:网络冗余、组件冗余、设备冗余、信道冗余。
2) 替换。系统能够自动识别受损组件或网络节点,并能够快速切换到未损坏的组件或节
点,替换已经损坏的组件或节点。
b) 扩展项。
1) 动态资源调度。系统能够基于业务需求的变化,动态调整所调用的网络资源,快速重组系
统功能,保证关键业务功能稳定运行,提高网络弹性。
2) 业务重排。能够基于业务需求,对业务流程进行重新编排或协调处理,避免引发级联故障
或整体服务中断。
6.4.3 节点适应性
节点适应性是指通信网络中节点调整自身配置或状态,实现自我保护并适应环境变化的能力。
该指标包括以下内容。
a) 基本项。
1) 节点加固。网络节点具有识别......
|