实现网络弹性的三个关键点

新加坡南洋理工学院网络安全副主任Jeffery Tay表示：“我们这些在教育领域工作的人，十分荣幸能有此机会可以帮忙塑造下一代，让他们更具网络安全意识，这对我们的数字世界建设也是有益的，可以让它变得更为安全。当然，我们认为，这是所有人都必须认真对待的义务。”

当然，国外安全专家们也指出，在日益复杂的互联网环境里，威胁正变得愈发危险，尤其是当黑客们越来越多地开始使用人工智能进行攻击。Tay说：“因此，面对即将到来的挑战，最好由知情、有意识并能长期投入网络安全的人群来应对。”

与此同时，各教育机构的IT负责人必须学着去应对，那些越来越把安全部门视为首要目标的对手。由于高等教育机构为学生、教师和研究人员提供了充分的资源和学习机会，其内的安全部门就很容易受到各种类型的攻击。“IT后台的高速网络和强大的工作站，为僵尸网络提供了传播危害的空间，这是不争的事实。”

Tay指出，教育领域的IT负责人应该要看到这些挑战和现状，也应该明白安全团队不仅是从业者，同时也是最好的教师和榜样。安全团队需要实践自己所宣扬的价值观，同时也要宣扬自己所实现的价值。

“而当我审视当下的威胁环境，我会思考该采取哪些措施来保护我们的机构，又该为下一代提供怎样的指导。于是我看到了三个关键的领域：1、专注于健康的网络环境。2、采用共同责任模式。3、软件安全开发。而这三个领域可说是2023年之后网络弹性的关键所在。

专注于健康的网络环境

Tay表示，网络健康更应该归结为常识，同时也应该成为一种日常化的心态，人们需要对此深入了解。Tay说，公司上下必须明白，网络安全始终是首要任务，我们永远不应该放松警惕，哪怕是短短的几分钟。比如，学生收到了一封来自老师或教员的电子邮件，他们要知道去检查电子邮件的地址是否合法，或者这个请求合乎情理吗，它来自学校的实际人员，还是虚拟的，这都是需要成为日常化的反应。而整个过程可能看起来很简单，但在基于人工智能的攻击时代，许多变量和切入点是我们想象不到的，所以实际情况会变得非常困难。

“我们看到过威胁行为者在FaceTime上模拟出了学生家长的面容，如果碰到是你，你要如何应对？我们的建议是，家庭之间应该设计一个安全词，只有家庭成员知道，而且要常常变化，或者用回电的方式去核实来电者的身份。”

Tay指出，作为安全负责人，我们必须创造出一个不断教育员工、学生、家人和朋友的互联网环境，彼此之间要常常沟通，比如多讨论那些正在流传的新型电子邮件钓鱼攻击，这能起到警告人们注意恶意行为的作用。

当然，Tay作为教育界的安全负责人，更多会考虑到学校、教育、教员等角色，而在安全社区方面，Tay建议我们还应该为鼓励众人共享信息，一起创造安全的互联网环境。“多分享‘网络钓鱼链接’的犯错经验，人们通过与同事和朋友之间的交谈，可以学到更多东西。此外，就像我们平时教育员工一样，家长也应该多教育孩子正确的网络安全卫生。而良好的网络安全卫生是网络弹性的关键。”

Info-Tech Research Group的技术顾问Erik Avakian对此表示赞同，他说，从网络安全的角度来看，网络弹性关乎于谨慎和勤勉。“我们公司建立了一个分层防御的体系，其中包括一个由人员、流程、技术驱动的分层计划，这需要具备适当的治理、服务和工具，以使组织能够拥有网络弹性的能力，以便在发生事件时能够做到恢复和适应，能够保证业务持续运行。”

而想要做到这一点，CISO及其团队必须把网络安全基础打牢，即对健康的网络环境，基本的网络安全卫生要有一定的管控，其包括了解对风险的容忍度，包括了解组织的IT环境、组织的安全控制措施、组织的系统漏洞，以及所有可能对组织运营产生影响的各种要素。

Avakian表示，CISO如果想在网络弹性上有所建树，除了安全卫生策略外，还需要专门用于衡量网络弹性的评估工具，同时可以进行桌面演习和红队演习，以测试、衡量、报告恢复力情况。重复进行此类演习可以追踪组织的网络安全计划，以及衡量所增加的内容是否有助于提高网络弹性。

“通过观察组织的日常状态，可以大概了解其是否具备网络弹性，比如组织日常化的工作里从不包含安全意识培训、模拟演练、员工安全宣贯，那很显然这样的组织难以具备网络弹性，因为看不到安全层面的文化灌输。同样的，如果组织的安全团队在面对安全事件时始终能保持泰然自若，说明组织具备网络弹性。相反，若安全团队总是像惊弓之鸟，经不起任何风浪，显然组织就不具备网络弹性，而这一切的前提依然是良好的网络安全卫生。”

共同责任模式

从企业文化来看，安全和财务的性质越来越相像，就像国内外安全专家一致认为的那样：“安全不仅仅是安全部门的责任。”公司上下都该承担安全义务，这也就引申出了“共同责任”的概念。

Tay解释道：“在和财务打交道时，公司众人敢疏忽于个人的账目吗？敢在报销或领取工资时马虎吗？因为每个人都知道，财务会直接影响到他们个人的损失，所以不敢轻举妄动，因此我们也该知道，安全是一样的道理，如果企业上下不重视安全，没有承担起相应的个人义务，所导致的结果就会切实的影响到每个人。无论是直接对企业造成的网络攻击，还是个人遭受邮件钓鱼攻击后给企业带来的影响，都会给企业的声誉、业务、产出造成重大损失。‘倾巢之下安有完卵？’愿每个人都深以为然。”

而就网络弹性而言，因为每个人都自主参与进了安全的一部分，都在各自的环节上承担起了相应的安全义务，因此恢复力就一定会大大增加。比如遇到了安全事件后，立刻就会有相应的责任主体意识到，攻击或泄露是从哪个环节切入的，这能极大提升组织的溯源能力和修复时间，并能适时调动团队去应急响应，长此以往，网络弹性自会无限增长。

而体现在技术上，Tay表示，传统来说，我们大多数人都会在数据中心运行基础设施，而现在，越来越多的组织开始使用软件即服务（SaaS），这意味着云中有了更多的工作负载，按此进程发展，今后大多数本地应用程序和基础设施可能都会转向SaaS模式。

“在过去，如果内部部署系统出现故障，每个人都会受到影响，但有了SaaS和云模型之后，我们就能够更好地定义并减轻风险。换句话说，转向SaaS模式有助于我们降低风险，也有助于我们用更少的资源做更多的事。”

Tay认为，采用共享责任模型的另一个优点是，可以利用云服务提供商的安全功能，就像AWS、微软和谷歌等公司在保护其云产品方面投入了大量资金，将这些工具集成到组织的环境中，意味着组织可以从它们的安全性中获益。“这使我们能够用更少的钱做更多的事情，对于教育机构而言，这是十分有益的，因为教育机构通常无法获得与大企业相同的资源和预算。此外，这也为我们提供了在网络安全上做出创新的机会，我们可以在‘提高组织的速度和灵活性方面’有所发展。”

软件安全开发

将安全纳入开发周期的各个方面至关重要，Tay表示，这意味着要接受更多的云原生开发，要关注设计过程的安全性，企业还要具备左倾思维和作为代码的基础设施。很显然，谁也不想因为安全漏洞而不得不重做关键的应用程序或服务，所以只要具备“软件安全开发思维”，这一系列的漏洞都可以在开发周期的最初得到解决。

“我认为我们应该朝着持续集成、持续部署的方向发展，我们的流程不仅仅是软件开发，而是应该进入产品阶段，并在各阶段具备监控性能和安全性。从开发到产品阶段，再到部署和持续监控，这所有软件开发的过程都应该具备安全意识和思维，并且要意识到，这是一个永无止境的运行过程。”

国内也有相关专家建议过安全的软件开发，专家表示，在获取软件需求时，供需双方相互之间的理解不正确也会导致软件存在缺陷。“任何软件应用程序的成功，都取决于在软件开发过程中，产品、开发和测试团队之间高效并有组织的沟通；而正确的沟通应该从需求收集时开始，之后需将其编写为文档，同时在SDLC期间持续进行。如果需求不明确，且错误地转化为规范，那么软件必然会由于模糊性而存在缺陷。”

此外，为软件项目安排时间也是一项困难而复杂的任务，如果时间安排不当，越是临近最后期限，压力越大，错误就越容易发生。因此，不切实际的时间安排是影响软件安全性的主要问题，软件开发人员可能不得不在某些编码实践上做出妥协，比如放弃适当的分析、设计和单元测试等，这都会大大增加软件中的漏洞和错误。

显然，安全左移的提出，就是要在软件开发阶段考虑各环节上的安全性。如果没有充足的时间进行适当的测试，软件缺陷就会被遗漏，那最后一刻的功能设计或更改是最有可能引发漏洞问题的，所有IT人员都该对此提高警惕，保证安全性的验证环节。

Avakian解释，所谓的网络弹性就是要看企业在受到攻击后的恢复力，而如果我们能在软件开发的初期就注入安全的性能，那么其恢复力就一定会大大提升，不但能增加威胁行为者的攻击难度，同时也能让安全人员更好的添加防护措施，以形成和软件之间的安全联动。

不断的宣传和实践

最后，Tay感慨，他表示世界上充满了恶意行为者和安全事件，而问题是，我们该如何安全地使用技术，如何对自己在网络空间的个人行为负责，这些都是我们必须大力宣传并付诸具体实践的。

“作为网络领导者和教育工作者，我们知道网络安全是一个持续的过程，需要不断的警惕、培训，并学会向各层、各部门沟通。我们的学生可以向我们学习，我们也可以向学生学习，彼此的目标是拥有正确的心态，并专注于安全的网络环境。这样我们才能在数字化转型的时代下，一起去面对更具挑战的攻击和威胁。”

国内安全专家的建议

对于企业该如何实现网络弹性，国内安全专家如此建议。

知乎相关专家“xumesang”表示，企业要实现网络安全弹性需要从多个方面入手，以下是一些建议：

1、建立完善的安全管理体系：企业应建立一套完整的安全管理体系，包括安全策略、安全标准、安全流程等，确保每个员工都了解并遵守相关规定。同时，企业还需建立安全审计机制，及时发现和解决潜在的安全风险。

2、定期进行安全培训：企业应定期对员工进行安全培训，提高员工的安全意识和技能水平。培训内容可以包括网络安全基础知识、安全操作规范、应急响应流程等。

3、实施访问控制策略：企业应实施严格的访问控制策略，确保只有授权用户才能访问敏感数据和系统。同时，企业还应建立身份认证和授权机制，确保每个用户都拥有适当的权限。

4、部署安全防御设备：企业应部署合适的安全防御设备，如防火墙、入侵检测系统、病毒防护系统等，以保护企业网络免受外部攻击。

5、建立应急响应计划：企业应建立应急响应计划，以便在发生安全事件时能够及时采取措施，减少损失。应急响应计划应包括事件检测、报告、分析、处置和恢复等环节。

6、定期进行安全审计和检查：企业应定期对网络安全进行审计和检查，及时发现和解决潜在的安全风险。审计和检查的范围可以包括网络设备、系统、数据等多个方面。

7、强化供应链安全管理：企业应加强对供应链的安全管理，确保供应商不会给企业带来安全风险。这可以通过对供应商进行安全评估、签订安全协议等方式实现。

8、建立信息共享机制：企业可以建立信息共享机制，让各个部门之间能够及时分享安全信息和最佳实践，以便更好地应对安全事件。

某金融科技公司安全负责人李扬表示，网络弹性从直观来看，是一个遇到内外力影响时的恢复能力问题。至于这里是狭义的Network还是广义的Cyber，并不会影响与安全的关系。安全常说的CIA三基点，其中之一的Availability，可用性，就是评估恢复能力的问题，其最重要的途径就是冗余，高冗余才能有弹性，才能防止单点故障。同时，若不能有效地保障Integrity，完整性，网络弹性也很难实现，有纵深的安全体系也是建设弹性网络的重要一环。从李扬的观点看，网络弹性是一个常规的安全属性。

“所以企业必须具备弹性，即必然需要冗余，这与投入/产出比相悖。难点在于，如何有效的设定冗余度，容忍一定程度的资源浪费，这就需要安全从业人员具备一定的向上管理能力。同时，企业也不是非要自身出事了再去投入，同行同业的事件复盘同样可作为资源投入的催化剂。”

某国有企业信息安全部经理曾树钊指出：“做为安全人员，我认为没有百分百的安全，所以如何保障业务的正常运转，从攻击中快速恢复过来才是我们需要直面的更现实的问题，即企业应该提高网络弹性。”

曾树钊表示，企业至少要做好以下的几项工作，才能更好提高网络安全弹性：

1、资产管理与运营，需要确保资产的准确性，同时保证资产能实时更新

2、供应链安全管理，确保产业链供应链的安全稳定

3、安全运营操作标准化、流程化、自动化

4、有效的数据备份计划，确保数据保密性、完整性，可用性

5、定期开展灾备演练、攻防演练，针对发现的问题进行持续优化

编者说

曾经有安全专家说过，网络弹性就像一台发电机，当电力供应出现问题时，其可保证所有设备都能持续运行，而如果没有这台发电机，工作人员就会乱作一团，四处寻找手电筒。网络弹性并非指在受到攻击后进行停机恢复，这种做法只是被动反应。而真正的网络弹性应该与Timex手表的广告语类似，广告中的手表经受住了各种攻击，“但遭受撞击后的它依然滴答不止”。

显然，网络弹性很可能会成为最新的安全标准。因此，以网络弹性为基础，企业应该从关键核心业务承受的风险度量上考虑整体投入，抓重点能力建设，以整体运营能力提升为目标，打好基础，包括组织汇报与快速决策机制、成熟应急响应能力、自动化的工具建设。

原文地址：

《3 ways to enable cyber resilience in education in 2023 and beyond》

https://www.csoonline.com/article/656669/3-ways-to-enable-cyber-resilience-in-education-in-2023-and-beyond.html（原文链接）

END