世界經濟論壇預計，作為第四次工業革命的一部分，數字化轉型到2025年將為世界經濟創造約100萬億美元的附加值，因此負責任的發展和確定未來使用數字環境的基本原則將是當前所需要關注的重點，其中創建系統性網絡彈性方法尤為重要?；诖?，必須為網絡彈性進行設計、構建和管理做好基礎工作。

1.背景

1.1 網絡彈性的概念與管理

網絡彈性一詞源自英文CyberResilience，一稱“網絡韌性”，基本的網絡彈性不僅是技術系統的組成部分，而且必須是團隊、組織文化和日常工作方式的組成部分。在組織內部及其生態系統中，網絡彈性必須是一種全面的方法，可以在可預見的中斷發生時回到一個可以繼續工作的狀態。

而隨著組織、生態系統、供應鏈變得更加相互依賴和不可分割時，則缺乏一種連貫的方法去管理彈性，使得目前出現了一系列需要改進彈性的原因：一是業界對網絡彈性的看法狹隘，其主要關注安全響應和恢復；二是對于完整的網絡彈性的定義和內涵缺乏共識；三是定位彈性問題或準確表征性能目前尚有難度；四是業界企業難以公開網絡彈性的缺點以及網絡被破壞事件的經歷。

1.2網絡彈性框架（CRF）和網絡彈性指數（CRI）

網絡彈性框架（CRF）是在組織中建立整體網絡彈性的最佳實踐指南，作為一個標準且與行業無關的框架，由六個關鍵原則及其相關實踐組成，并可由此明確定義健康的網絡彈性。網絡彈性指數（CRI）是一個工具，幫助組織使用最佳實踐的性能指標來定量描述網絡彈性，并在不斷發展的環境中評估和調整。CRF 和 CRI 共同構建了網絡彈性組織生態系統，并在組織層面反映了行業內外發展的趨勢。

為了創建一個全球可信的戰略性網絡彈性見解來源，需要一個高度協作和創新主導的方法，匯集各行業、學術界、民間社會和國際組織的網絡專家社區。相關 CRF 的原則和實踐通過數據收集和實踐，并不斷更新以滿足需要。

圖：網絡彈性框架（CRF）和網絡彈性指數（CRI）的關系

2.網絡彈性框架

網絡彈性框架包括由六個關鍵原則及其相關實踐組成：

圖：網絡彈性框架

【原則 1】定期評估并優先考慮網絡風險

網絡彈性管理由風險直接驅動。實踐 1：確定風險背景、評估和優先級。具體措施：一是維護主要生態系統和供應鏈的地位；二是完成生態系統網絡彈性及管理工作狀態年度報告。實踐 2：驗證風險整合。具體措施：一是完成網絡風險價值和暴露度的風險量化評估年度報告；二是根據需要將網絡風險評估結果正式納入其預算和資源配置決策，并對資源分配進行適當傾斜。實踐 3：推動基于風險的決策。具體措施：一是員工有報告基于網絡彈性潛在高風險的公開渠道；二是管理層對值得注意的網絡彈性決策進行事后審查或桌面演習，以進行合規性修正。

【原則 2】：建立和維護核心安全基礎知識

面對意外的攻擊，核心組織任務功能和支持系統是安全的。

實踐 1：利用安全框架和行業標準。具體措施：一是組織使用公認的安全框架、行業標準和合規性法規，并進行客觀年度評估；二是對實施的所有安全、彈性和特定行業監管標準進行客觀年度評估。實踐 2：關注關鍵資產和核心業務。具體措施：一是根據正式標準定義和分類資產和運營業務的網絡彈性；二是通過維護基于核心管理的登記簿平臺確保正常的資產和運營業務。實踐 3：減少暴露。具體措施：一是通過減少攻擊面、配置資源以隔離問題，減少不必要的故意和無意的威脅和危險；二是綜合信息技術、運營技術和業務部門資產和/或流程的架構和配置限制相關影響。實踐 4：度量成熟度和性能。具體措施：一是集中定義并跟蹤一組成熟度和性能指標，以滿足最低安全標準；二是形成與網絡彈性相關的既定安全指標和趨勢季度報告。實踐 5：推動持續改進。具體措施：一是每年對網絡彈性的改進措施行動計劃進行更新；二是每季度根據行動計劃中完成改進措施的成功標準報告實施效果。實踐 6：集成響應和恢復。具體措施：一是通過既定指標跟蹤其響應和恢復行動的性能，并持續更新標準；二是按照預定規程審查響應和恢復行動的性能，并制定行動計劃保障任務完成。 【原則3】將網絡彈性治理納入商業戰略

制定與企業目標一致且具備凝聚力的戰略，使網絡彈性在整個企業中自上而下地受到全面治理。

實踐 1：建立網絡彈性治理機制。具體措施：一是通過建立既定的網絡彈性治理結構、組織結構圖、運作模式和問責模式進行全面網絡彈性治理；二是通過明確可信彈性原則、進行跨域合作、互動和實踐以及可執行政策形成有凝聚力的網絡彈性戰略。實踐 2：建立委員會對網絡彈性進行監督。具體措施：一是強化委員會對網絡彈性監督和任何后續責任的授權；二是委員會定期了解網絡彈性狀態及其目標的情況，并提供相應指導。實踐 3：任命專職管理網絡彈性的官員。具體措施：一是明確該官員的角色和職責，并了解其期望和義務；二是具備與領導層溝通的能力，并可增強網絡彈性戰略、管理和執行能力，負責網絡彈性專業知識和培訓以及相應人力、財力和技術資源的獲取。

【原則4】鼓勵系統彈性和協作

明確生態系統內的相互依賴性，并與其他組織合作履行維護生態系統彈性的職責。

實踐 1：通過問責制和透明度贏得信任。具體措施：一是分享網絡彈性實踐、運營和失敗經驗，以促進更具彈性的整體；二是與關鍵生態系統合作伙伴一起參與網絡彈性基準活動和最佳實踐的審查。實踐 2：促進生態系統范圍的協作。具體措施：一是與主要生態系統合作伙伴建立信息共享協議，共同制定戰略目標；二是基于合作角色和數據保護要求確定共享要素，并明確合作預期。實踐 3：提高整個生態系統的網絡彈性能力。具體措施：一是明確網絡彈性價值鏈，了解生態系統中每個實體的作用、重要性以及最佳開發方式；二是與生態系統合作伙伴共同參加相關行業活動，提高整體成熟度和實踐。 【原則5】確保設計支持網絡彈性

敏捷性和適應性是網絡彈性戰略、設計和執行過程中不可或缺的要素，其將不斷改進和優化彈性。

實踐 1：通過設計提升彈性。具體措施：一是為相關團隊、規程和技術資產的彈性架構明確了原則和目標，并最大限度減少攻擊面;二是對照彈性原則和目標對相關團隊、規程和技術資產進行年度審查和新晉設備的評估工作。實踐 2：跨職能優化。具體措施：一是針對安全、信息技術、工程、現場運營和業務，進行網絡彈性操作合理化審查；二是進行年度彈性演練和壓力測試，并將結果反應到彈性策略和操作規程中。實踐 3：假定資源受損。具體措施：一是在性能預期、質量標準和資源分配設計上考慮容錯輸入和破壞性事件的影響；二是跟蹤容錯輸入和破壞性事件的指標，并實時考慮網絡環境的影響。實踐 4：為未來創新。具體措施：一是為研究、開發和創新分配資源，重點關注未來抵御網絡威脅和危害的能力；二是為研究、開發和創新籌備固定資源，并作為固定預算進行管理。 【原則6】培養彈性文化

員工有權理解和體現網絡彈性行為。

實踐 1：促進具有網絡彈性意識的領導力。具體措施：一是領導層須擁有與組織網絡彈性有效性相關的工作目標；二是考慮領導層的網絡彈性經驗和背景。實踐 2：通過領導推動文化。具體措施：一是傳達并強化與網絡彈性行為相關的員工獎懲標準；二是領導層清楚展示網絡彈性文化并提供學習機會以應對和糾正不斷變化的網絡威脅形勢。實踐 3：通過問責制和透明度贏得信任。具體措施：一是了解并跟蹤用于評估彈性、透明度和問責制文化的指標，同時制定獎懲制度；二是領導層定期向員工傳達網絡彈性、透明度和問責制的實施情況。實踐 4：支持員工行為。具體措施：一是員工可以定期參加網絡彈性培訓；二是制定與促進網絡適應行為相關的工作目標。實踐 5：提供持續培訓。具體措施：一是對核心業務和重要崗位員工進行進一步網絡訓練和桌面演習；二是積極允許員工參與各種各樣的培訓。

3.網絡彈性指數

CRI的開發考慮到了靈活性，旨在隨著越來越多的網絡組織使用它而改進。它不受行業和地理位置的限制，可以很快實現應用。每個執行官和從業者都可以定制符合自身需求的 CRI，旨在為自身提供一種工具和可視性表述理念來了解其組織及生態系統的網絡彈性水平，這樣領導者和高管將了解其需要在哪些方面進行改進，以達到更高的適應能力。同樣，隨著組織的網絡領導者和其他網絡彈性倡導者實施 CRI 及其組成部分，它將從社區經驗和專業知識中獲益，并提供持續改進的機會。

CRI的計算方式與CRF子實踐相關的度量組合在一起，其從64個績效衡量標準中匯總，并且每個績效衡量標準都由若干企業和組織進行自我評估，其與各自的CRF實踐方式相相匹配，相關對應表分原則如下圖所示：

圖：網絡彈性指數（百分比為網絡彈性得分占比）

其與現行標準的對應關系和適用性如下表所述：

圖：網絡彈性原則和指數與現行標準之間的適用性關系

4.評述

隨著數字化轉型的不斷推進，現實空間將越來越依賴于網絡空間。網絡空間中的系統安全至關重要。網絡彈性方法未來將會變得日益復雜，其已經由網絡安全的概念逐漸演變為了網絡安全的工程，強調了更多的使命和任務，并與業界大量的商業活動緊密結合?？傮w而言將以風險管理為導向，明確網絡彈性的目的，通過制定相應的原則和指數，將網絡彈性逐步制度化和標準化，其將作為未來系統和商業活動安全工程的重要組成部分，并要基于具體環境采取采用多學科、多維度的綜合性方法進行綜合管理。因此未來的網絡彈性工作還需要從以下方面繼續發展：一是建立生態系統網絡彈性性能的通用指標；二是衡量生態系統多個成員之間以及跨地理區域和部門的生態系統之間恢復力的因果關系和相關性；三是明確中心計算能力，確定生態系統的成員承擔更大權重的能力和條件，以對整個生態系統的彈性產生積極影響。

審核編輯：郭婷