感知场景态势，NIST更新基础标准为系统注入可信安全能力

近日，NIST发布了特别出版物（SP）800-160第1卷的重大修订版，报告名称修改为《工程化的可信安全系统（Engineering Trustworthy Secure Systems）》。该修订版更新了工程可信安全系统的设计原则、概念及其生命周期过程，介绍了系统工程和可信安全系统相关的基本概念，从工程的角度描述了如何构建可信安全系统，并给出了系统安全工程框架。本文将对报告内容进行初步概括，为构建可信安全系统提供参考。

系统复杂，需要可信安全

当今系统非常复杂，系统中数量、种类不断增长的组件和技术，以及它们之间复杂的依赖关系很容易影响系统的正常操作，甚至会造成灾难性的损失。系统工程是一种跨学科的综合方法，其越来越重视用系统科学与系统思维来指导工程建造。系统安全工程是系统工程的一个分支学科，解决安全相关问题，可为系统提供可信性，使系统成为一个可信安全系统。可信安全系统可以降低来自对手攻击、人为失误、组件故障以及自然灾难等多个维度的各种有恶意或者没有恶意的不利因素影响。

构建可信安全系统工程框架

系统安全工程框架定义了有关系统安全工程活动的三个上下文，分别为问题上下文、解决方案上下文和可信度上下文，并提供了这三个关键上下文的概念视图，定义、界定和关注实现利益相关者安全目标的活动和任务。这三个上下文有助于更好地理解问题并推动工程的开展。随着问题的陈述、提出的解决方案和可信度目标的不断细化，使得最终的解决方案得以从概念变成现实。通过三个上下文和所需的系统安全分析之间的反馈交互，可以持续地识别并且缩小实际工作与预期中的差异。这三个上下文共同使用一个通用的系统安全性分析模块，该模块会根据实际情况为决策提供数据上的支持。

系统安全工程框架

可信安全系统设计方法与原则

以可接受的性能水平交付系统功能，同时最大限度地减少损失发生、减轻损失程度，是工程可信安全系统的设计方法旨在建立和维护的能力。设计方法中要包括以下要素：定义系统的预期行为和结果；识别反映预期行为和结果的系统状态和条件；识别可能导致系统损失的系统状态和条件；选择和更改系统设计，以在可行的范围内防止或减轻损失；重复上述要素，以保障限损功能的正常发挥。

系统安全工程框架中的设计方法

可信安全设计的原则涉及安全性（safety）、保密性（security）、可靠性（reliability）、生存性（survivability）和弹性（resilience）及其他相关的专业工程学科等多个领域。这些原则的最终目标是为了让系统能够有效控制（trustworthy control）不利因素带来的影响。下表列出了可信安全设计的原则。

可信安全设计原则

铸就可信网络，守护安全世界

可信安全设计中强调通过情景的感知能力，应对系统及其运行环境中的不利情况。情境感知能力有助于确定所有用户和实体的行为责任，并对即将发生的故障做出预判。

天融信态势感知及大数据分析相关产品完全具备对环境的感知能力，其基于大数据架构，采集多源异构海量安全数据，并通过检索、调查关联多类分析手段进行深度分析，实现精准告警，具备设备联动管理、威胁情报分析、SOAR、资产识别及漏洞管理等功能，帮助客户构建全网安全态势展示、多维脆弱性监测、集中设备管控、全生命资产管理等安全防护能力，提升整体网络安全监测预警和应急处置能力。天融信相关技术产品，完美适配国产化软硬件环境，实力入选Gartner安全技术成熟度曲线报告。

下一代可信网络安全架构

系统安全工程框架中强调，安全解决方案的开发要建立在对问题充分理解的基础之上，这对保障系统安全性来说十分重要。该观点与天融信的理念不谋而合，通过对数字化转型过程中新技术、新场景与新威胁的持续探索，天融信提出的下一代可信网络安全架构 NGTNA，基于可信安全设计原则，根据实际情况为客户构建全面感知、动态防护、智能协同、聚力赋能的可信安全方案，凭借自身完善的网络安全产品体系，从可靠软件、自主硬件、信任主体和可控操作等方面来夯实网络安全弹性基础。

基于该框架，天融信在强化基础网络安全场景研究基础上，不断深入工业互联网、物联网、车联网、数据安全、云计算、大数据、国产化等新应用场景，通过提前了解场景、熟悉业务、梳理需求，对产品进行场景化适配和改进，使产品与解决方案更适应客户应用场景、适配客户实际需要，目前已形成了覆盖政府、金融、能源、运营商、卫生、教育、政法、交通等全行业场景的解决方案，有效助力数字化业务的高质量发展，共筑“可信网络，安全世界”。