近日，NIST發布了特別出版物（SP）800-160第1卷的重大修訂版，報告名稱修改為《工程化的可信安全系統（Engineering Trustworthy Secure Systems）》。該修訂版更新了工程可信安全系統的設計原則、概念及其生命周期過程，介紹了系統工程和可信安全系統相關的基本概念，從工程的角度描述了如何構建可信安全系統，并給出了系統安全工程框架。本文將對報告內容進行初步概括，為構建可信安全系統提供參考。

一、系統復雜，需要可信安全

當今系統非常復雜，系統中數量、種類不斷增長的組件和技術，以及它們之間復雜的依賴關系很容易影響系統的正常操作，甚至會造成災難性的損失。系統工程是一種跨學科的綜合方法，其越來越重視用系統科學與系統思維來指導工程建造。系統安全工程是系統工程的一個分支學科，解決安全相關問題，可為系統提供可信性，使系統成為一個可信安全系統?？尚虐踩到y可以降低來自對手攻擊、人為失誤、組件故障以及自然災難等多個維度的各種有惡意或者沒有惡意的不利因素影響。

二、構建可信安全系統工程框架

系統安全工程框架定義了有關系統安全工程活動的三個上下文，分別為問題上下文、解決方案上下文和可信度上下文，并提供了這三個關鍵上下文的概念視圖，定義、界定和關注實現利益相關者安全目標的活動和任務。這三個上下文有助于更好地理解問題并推動工程的開展。隨著問題的陳述、提出的解決方案和可信度目標的不斷細化，使得最終的解決方案得以從概念變成現實。通過三個上下文和所需的系統安全分析之間的反饋交互，可以持續地識別并且縮小實際工作與預期中的差異。這三個上下文共同使用一個通用的系統安全性分析模塊，該模塊會根據實際情況為決策提供數據上的支持。

系統安全工程框架

三、可信安全系統設計方法與原則

以可接受的性能水平交付系統功能，同時最大限度地減少損失發生、減輕損失程度，是工程可信安全系統的設計方法旨在建立和維護的能力。設計方法中要包括以下要素：定義系統的預期行為和結果；識別反映預期行為和結果的系統狀態和條件；識別可能導致系統損失的系統狀態和條件；選擇和更改系統設計，以在可行的范圍內防止或減輕損失；重復上述要素，以保障限損功能的正常發揮。

系統安全工程框架中的設計方法

可信安全設計的原則涉及安全性（safety）、保密性（security）、可靠性（reliability）、生存性（survivability）和彈性（resilience）及其他相關的專業工程學科等多個領域。這些原則的最終目標是為了讓系統能夠有效控制（trustworthy control）不利因素帶來的影響。下表列出了可信安全設計的原則。

可信安全設計原則

四、鑄就可信網絡，守護安全世界

可信安全設計中強調通過情景的感知能力，應對系統及其運行環境中的不利情況。情境感知能力有助于確定所有用戶和實體的行為責任，并對即將發生的故障做出預判。

天融信態勢感知及大數據分析相關產品完全具備對環境的感知能力，其基于大數據架構，采集多源異構海量安全數據，并通過檢索、調查關聯多類分析手段進行深度分析，實現精準告警，具備設備聯動管理、威脅情報分析、SOAR、資產識別及漏洞管理等功能，幫助客戶構建全網安全態勢展示、多維脆弱性監測、集中設備管控、全生命資產管理等安全防護能力，提升整體網絡安全監測預警和應急處置能力。天融信相關技術產品，完美適配國產化軟硬件環境，實力入選Gartner安全技術成熟度曲線報告。

下一代可信網絡安全架構

系統安全工程框架中強調，安全解決方案的開發要建立在對問題充分理解的基礎之上，這對保障系統安全性來說十分重要。該觀點與天融信的理念不謀而合，通過對數字化轉型過程中新技術、新場景與新威脅的持續探索，天融信提出的下一代可信網絡安全架構 NGTNA，基于可信安全設計原則，根據實際情況為客戶構建全面感知、動態防護、智能協同、聚力賦能的可信安全方案，憑借自身完善的網絡安全產品體系，從可靠軟件、自主硬件、信任主體和可控操作等方面來夯實網絡安全彈性基礎。

基于該框架，天融信在強化基礎網絡安全場景研究基礎上，不斷深入工業互聯網、物聯網、車聯網、數據安全、云計算、大數據、國產化等新應用場景，通過提前了解場景、熟悉業務、梳理需求，對產品進行場景化適配和改進，使產品與解決方案更適應客戶應用場景、適配客戶實際需要，目前已形成了覆蓋政府、金融、能源、運營商、衛生、教育、政法、交通等全行業場景的解決方案，有效助力數字化業務的高質量發展，共筑“可信網絡，安全世界”。

TOPSEC

天融信基于下一代可信網絡安全架構NGTNA2.0理念，從應對數字時代面臨重點安全問題出發，不斷付諸實踐，形成全面感知、智能協同、動態防護、聚力賦能的綜合安全保障體系，防范化解各類安全風險。未來，天融信將持續提升自主創新能力與核心競爭力，不斷筑牢網絡安全新防線，賦能網絡空間安全新未來。