08-32：弹性，到底经历了哪些重要里程碑？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第171篇、总第230篇原创文章《弹性范式到底经历了哪些重要里程碑？》，今天大约需要4分钟时间，希望能给你带来启发。

如果听录音，这大概是最无聊的一篇文章，如果看内容，你对“弹性”可能会有一个更加完整的认识。

全球知名的安全盛会RSAC2021年的口号是“Resilience”，让“弹性”这一说法成为一个世界热词。

细究“弹性架构”一词的来源，大致源于独立顾问公司MITRE，从目前掌握的材料来看，这一提法最早出现在2010年。

MITRE公司拥有世界知名的漏洞库CVE（Common Vulnerabilities& Exposures）和世界知名的攻击知识库“ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )”。

它的资助方也非常出名，一个是美国国土安全部（U.S. Department of Homeland Security，DHS），一个DHS下属网络安全和基础设施安全局（Cybersecurity andInfrastructure Security Agency，CISA）。

在MITRE的最早资料里，对弹性架构的定义是指：在面对不确定性和变化时，能够灵活适应并持续提供稳定服务的系统架构。这种架构具有一定的自我修复和自我保护能力，能够在遭受攻击或出现故障时，快速恢复并维持正常运行。

“弹性”是大家梦寐以求的计算范式，下面咱们就看一看跟“弹性”相关的重要里程碑。

2010年10月1日，MITRE发布《为网络任务保障构建安全、有弹性的体系结构（BuildingSecure,Resilient Architectures for Cyber Mission Assurance）》；

2011年1月1日，MITRE发布《网络弹性工程框架（cyber resiliencyengineering framework）》，并于2015年3月15日，将该框架更新为《网络弹性工程辅助—更新的网络弹性工程框架和网络弹性技术应用指南（Cyber Resiliency Engineering Aid—The Updated Cyber ResiliencyEngineering Framework and Guidance on Applying Cyber Resiliency Techniques）》；

2016年3月6日，MITRE发布《风险管理框架与网络弹性（the risk managementframework and cyber resiliency）》；

2016年3月16日，MITRE发布《结构化网络弹性分析方法（structured cyberresiliency analysis methodology）》；

2017年3月22日，MITRE发布《网络弹性设计原则（cyber resiliency designprinciples）》；

2018年9月3日，MITRE发布《网络弹性指标目录（cyber resiliency metricscatalog）》和《网络弹性指标、有效性度量和评分（cyber resiliency metrics,measures of effectiveness, and scoring）》；

2018年，美国国防部在《国防部网络战略2018》中提出“提升美国关键基础设施弹性”的战略途径；

2018年，美国国土安全部和情报总监办公室发布《网络弹性和响应-2018分析交流计划》；

2019年11月，美国国家标准和技术协会NIST正式发布SP800-160（卷2）《开发网络弹性系统：一种系统安全工程方法（Developing Cyber Resilient Systems-A Systems Security EngineeringApproach）》；

2019年11月，美国国土安全部和国务院共同发布《关键基础设施安全和弹性指南》；

2020年，兰德公司发布报告《度量网络空间安全和网络弹性》；

2021年12月24日，中国软件行业协会发布《系统安全工程网络弹性构建指南》；

2022年9月15日，欧盟委员会发布网络安全法规提案《网络弹性法案》（Cyber Resilience Act，CRA）；

2023年1月，紫金山实验室发布《基于系统架构评估的网络弹性度量技术白皮书》；

2023年3月15日，MITRE发布《关键操作的自适应网络弹性（adaptive cyberresiliency for critical operations）》；

2024年1月5日，MITRE发布《网络弹性框架和网络存活属性(cyber resiliencyframework and cyber survivability attributes)》。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。

[1]  锐安全.“Log4j2”启示录:新合规框架下的对抗新模式,2022-02-07.https://mp.weixin.qq.com/s/6TPdVH74PxABJFozcrmvXQ

[2]  MITRE.building secure, resilientarchitectures for cyber missionassurance,2010-10-01.https://www.mitre.org/news-insights/publication/building-secure-resilient-architectures-cyber-mission-assurance

[3]  MITRE.Building Secure, Resilient Architectures for Cyber Mission Assurance,2010-10-29.https://www.mitre.org/news-insights/publication/building-secure-resilient-architectures-cyber-mission-assurance

[4]  MITRE.cyber resiliency engineeringframework,2011-01-01.https://www.mitre.org/news-insights/publication/cyber-resiliency-engineering-framework

[5]  MITRE.Cyber Resiliency Engineering Aid—TheUpdated Cyber Resiliency Engineering Framework and Guidance on Applying CyberResiliency Techniques,2015-03-15.https://www.mitre.org/news-insights/publication/cyber-resiliency-engineering-aid-updated-cyber-resiliency-engineering

[6]  MITRE.cyber resiliency designprinciples,2017-03-22.https://www.mitre.org/news-insights/publication/cyber-resiliency-design-principles

[7]  MITRE.cyber resiliency metricscatalog,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-catalog

[8]  MITRE.cyber resiliency metrics, measures ofeffectiveness, andscoring,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-measures-effectiveness-and-scoring

[9]  MITRE.the risk management framework and cyberresiliency,2016-03-06.https://www.mitre.org/news-insights/publication/risk-management-framework-and-cyber-resiliency

[10]     MITRE.structured cyber resiliency analysismethodology,2016-03-16.https://www.mitre.org/news-insights/publication/structured-cyber-resiliency-analysis-methodology

[11]     MITRE.adaptive cyber resiliency for criticaloperations,2023-03-15.https://www.mitre.org/news-insights/impact-story/adaptive-cyber-resiliency-critical-operations

[12]     E安全.解析RSAC 2021（附大会PPT下载）, 2021-05-25.https://www.secrss.com/articles/31427

[13]     中国软件行业协会.系统安全工程 网络弹性构建指南,2021-12-24

[14]     信通院知产中心.中国信通院张俊霞：欧盟《网络弹性法案》简介及借鉴意义,2023-04-10.https://weibo.com/ttarticle/p/show?id=2309404889010551259425

[15]     2023.1-紫金山实验室 - 基于系统架构评估的网络弹性度量技术白皮书.pdf

[16]     MITRE.cyber resiliency framework and cybersurvivabilityattributes,2024-01-05.https://www.mitre.org/news-insights/publication/cyber-resiliency-framework-and-cyber-survivability-attributes