蓝羽石 周光霞 王珩 易侃
1.信息系统工程重点实验室 江苏南京210007 2.中国电子科技集团公司第二十八研究所江苏南京210007
现代战争是体系与体系的对抗.指挥信息系统是形成体系的核心,已成为战争主导权争夺的焦点,也是敌我双方攻击的首要目标.针对指挥信息系统的攻击主要包括物理攻击、电子攻击和赛博攻击等.任一种攻击都可能造成指挥信息系统节点损毁,系统降级、降效.在实战中,上述攻击手段会被综合运用,使得指挥信息系统面临的威胁更大,例如美空军的“苏特”(Suter)系统[1]就综合运用了电子战、网络战和物理打击等多种手段.因此,如何使指挥信息系统在部分节点失效、瘫痪、损毁的情况下能够降级运行并尽快恢复,保障关键任务完成(即系统韧性能力),已成为迫切需要解决的现实的问题.
本文在通用韧性研究的基础上,建立了韧性指挥信息系统的概念,从结构、功能、信息和防护等方面形成了韧性指挥信息系统构建的“四自”机理,并结合软件定义系统的思想,提出了韧性指挥信息系统的工程实现方法.
所谓韧性(Resilience),是系统为应对各种扰动、变化而呈现的一种能力或品质特性,即系统对来自自然或人为事件的干扰进行预测、抵抗、吸收、反应、适应并恢复的能力[2].
自“911”事件之后,国际社会对社会安全和灾害响应的研究工作十分重视,韧性随之成为国际上的一个新的研究热点.目前,韧性的概念在力学、生态学、社会经济、心理学、基础设施、防灾减灾、应急管理等领域有着广泛的应用[3−6].国内对韧性的研究范围大致集中在生态环境、灾害管理、供应链网络、交通网络、计算机网络等领域[3−4,6−8].2004年,韧性工程学会成立.2006年,Hollnagel等人出版了《韧性工程》[9],标志着韧性研究进入了一个新的阶段.目前,韧性工程学会已主办了6次国际学术会议.此外,2014年3月在美国加利福利亚州举办的系统工程研究会议,其主题也是“韧性工程系统(Engineered Resilient Systems,ERS)”.
经过近年的研究,韧性工程与技术领域取得了丰富的研究成果.如,Hollnagel等人[9−10]提出了韧性系统必须具备4种能力,即对事件的响应、对持续发展的监控、对未来威胁和机会的预判以及对过去失败和成功的学习.而韧性的工程化就是对这4种能力的建设与管理.Madni等认为韧性工程是一种能力构建,即构建能预料和避开事故、通过合适的学习和适应在扰动下生存、并尽可能地恢复到扰动前状态的系统[11].Madni等进一步提出了一个关于韧性工程的概念框架,包括系统属性、分析方法、扰动类型和评估指标.另一种是从过程的角度把韧性看成是系统在扰动下应激反应、动态变化的过程.Jackson定义了在扰动下系统韧性的3个阶段:预防、降级、恢复.在预防阶段,系统采取措施避免可能的扰动带来的损害;在降级阶段,系统要最小化扰动造成的损害;在恢复阶段,系统采取措施尽可能地恢复到可接受的性能水平[12].然而,若把韧性的概念引入到系统设计中来,那么,如何保证所设计的系统具有韧性,或者设计具有韧性的系统需要依据什么样的原则,则是韧性工程化的一个首要问题.这方面,Jackson从大量的案例中总结并提出了相应的韧性设计架构与原则,但未明确如何具体应用这些原则来指导系统韧性的设计[12].
在军事领域,韧性同样也得到了重视.2011年,美国国防部公布的2013∼2017财政年优先科技投资计划中,ERS就被列为优先项中的第2项,具体的研究内容包括韧性的工程概念、科学理论、以及设计工具等,并于2012年成立了由多方参与组成的工程韧性系统指导委员会来辅助国防部开展韧性系统的相关工程实践[13−14].2013年1月,美国国防部发布了《高级赛博威胁和韧性军事系统》报告,提出了建设韧性军事系统[15].同年2月,美国总统奥巴马发布了21号总统政策指令(PPD−21)《关键基础设施安全和韧性》,要求提高国家关键基础设施的韧性[16].2014年8月,美空军发布了“赛博韧性能力”研究指南,要求加快韧性机理和关键技术研究,包括核心任务功能的生存与恢复、赛博欺骗、赛博敏捷性、嵌入式系统的韧性和敏捷性等[17].
定义1.韧性指挥信息系统:指在发生扰动和变化情况下,仍然及时完成预定任务的指挥信息系统.为行文方便,下文中的“系统”如无特殊说明,均指指挥信息系统.
系统的韧性是在系统可靠性、容错性、鲁棒性、抗毁性等相关领域研究基础上发展起来的,但又有所不同,如可靠性强调系统在规定条件下的无故障运行,抗毁性强调通过预先设计来应对系统威胁,而韧性强调通过自适应调整机制来应对系统故障、威胁和变化,保障任务的完成.因此,具备韧性的系统能够更好适应快速多变、不确定、对抗激烈的战场环境,满足作战需求.
为了在发生扰动和变化情况下,仍然能够及时完成预定任务,系统必须持续监控自身和环境,建立主动调整的适变机制,从而消除或减轻扰动影响、适应变化,保障任务的完成.根据系统的运行特点和使命任务,这种适变机制主要从以下方面建立:1)结构.结构决定功能.面对战场环境及任务的不断变化,系统结构主动适应并达到最优是实现韧性的关键.2)功能.当发生故障、受到攻击导致能力受损或不足时,系统能自动组织和运用网络化资源快速重构,形成任务所需的能力,是实现韧性的核心.3)信息服务.针对不断变化的战场环境,系统自动感知用户需求并及时提供任务所需的准确信息,保障任务完成,是实现韧性的根本.4)防护.综合集成运用多种防护方式,确保系统正常运行是实现韧性的前提.这4个方面的适变机制称之为韧性指挥信息系统的“四自”,即结构自适应、功能自同步、信息自汇聚、体系自防护[18].
2.2.1 结构自适应
系统结构由系统单元及其单元之间的关系组成,系统单元是指具有特定功能的、担当一定角色的、物理上独立存在的功能体,它是系统的组成部分.结构自适应的本质是系统结构以灵活性、鲁棒性和高效性等结构韧性能力指标的综合最优为目标,进行优化调整以满足任务和环境变化要求.结构自适应的机理如图1所示.
由于影响系统结构的因素众多,且相互制约和作用,因此,实现在复杂的多约束条件下的系统结构自适应的关键是系统结构的表征、系统结构特性的度量、系统结构的优化.
2.2.2 功能自同步
功能自同步本质上是面向动态变化的战场环境和系统任务要求,通过实现各类系统资源之间主动信息交互,建立动态协同机制和模型,并通过非线性相互作用,以复杂系统运行中的自组织、自同步的方式,形成一个微观动态交互、宏观稳定有序、高度自适应的系统资源共同体.功能自同步的机理如图2所示.
具体来说包括如下内容:在满足任务功能需求的前提下,以资源协同效益最大为目标,从栅格网上优选各类资源组建资源共同体;基于系统资源的基本属性、动态行为特征和协同特性需求,统一资源建模,构建感知、规划、决策、执行等能力要素,形成资源智能主体;面向任务空间,基于系统资源协同交互的原则和约束条件,动态求解资源之间的交互关系和时序逻辑,生成协同模式、协同结构和协同流程,通过协调有序的资源协同生成系统能力;基于协同能力随任务和环境变化的波动规律,生成适应变化的策略和规则,在任务感知和态势感知的激励下,资源实时动态演化,保证系统的稳定、高效和有序运行.
2.2.3 信息自汇聚
信息自汇聚的本质是从大量分布、异构信息中自主地提取、过滤、挖掘出符合任务与用户角色需求的高质量信息,最终目标是使得用户获得的信息的质量和效用最大化.信息自汇聚的机理如图3所示.
图1 结构自适应机理
图2 功能自同步机理
在军事领域中,系统用户的信息需求与用户事务(包括用户身份、任务要素、业务阶段、时空变化等)之间有较为确定的映射关系(事信映射关系),这种映射关系反映了各类信息对各种业务功能活动的支撑作用规律.将这些映射关系发掘出来并固化为知识,设计成机器可以识别的形式,并建立“任务->信息需求”的动态映射机制,就可以实现信息需求的自动生成.同时,通过动态感知用户事务,运用事信映射模板自动映射信息需求,并自动转换信息需求形成机器能够理解并执行的信息需求表达式,如搜索/查询/订阅条件,形成大量分布、异构信息面向任务的汇集结果.结合军事领域特点,从反映信息使用特性的信息相关性、反映信息传输的信息共享性和反映信息自身特性的信息质量等方面选取评价指标,分别通过特征向量匹配法、网络特征计算法和模糊综合评价法,建立分组变权综合评测机制,按不同需求类型动态调整各指标权重,精确计算价值,按价值排序筛选搜索结果,以提高准确度.
2.2.4 体系自防护
体系自防护是在传统安全的基础上,通过提高系统自身的“免疫力”,建立具有动态性、随机性和多样性特点的“拟态”防护机制.体系自防护的构建主要从网络层、服务层和应用层3个层面来进行,其中网络层主要建立动态易变网络,服务层提供服务平台的多样化,应用层实现程序随机化.其构建机理如图4所示.
上述层面的构建能够实现系统环境的多样化、随机变化,增加侦察、攻击复杂性并降低攻击有效性,满足主动防护所要求的动态性、异构性和随机性.其中动态易变网络是使网络在不同时期的访问路径发生变化的一种有效手段,通过动态改变路由器或交换机配置使访问路径发生变化,从而加大网络攻击的难度.服务多样化是对应用服务采用不同服务软件架构的一种方法,不同服务软件架构的脆弱性各不相同,这样使得单一攻击应用服务的方法不起作用.应用程序随机化通过改变服务应用程序的服务次序,按照一定的变换策略不断改变当前提供服务的服务器,使不同服务软件架构的服务器交替提供服务,以达到增加侦察、攻击的复杂性的目的.
经过多年的发展,指挥信息系统已全面进入“网络中心化”建设阶段,即基于“网络中心、面向服务”技术体制,依托栅格化的军事信息基础设施建设[19−20].目前网络化指挥信息系统的面向服务的实现架构如图6的左半部分所示.为了实现系统韧性能力,下面给出一种以“四自机理”为理论指导,采用软件定义系统的思想和方法从网络、服务和应用3个层次扩展现有系统能力,实现韧性指挥信息系统的方法,其工程实现原理如图6右半部分所示.
图3 信息自汇聚机理
图4 体系自防护机理
图5 韧性指挥信息系统工程实现原理图
网络是分布式系统的基础,也是系统单元物理或逻辑关系的基础.软件定义网络(SDN)具有转发和控制分离的特点,使得系统结构自适应管理能够根据结构变化需求动态灵活地调整,如图7所示.
系统结构优化任务感知模块通过主动数据采集或被动服务调用,获得系统结构调整需求,交由系统结构优化计算模块进行优化求解.系统结构自适应管理模块以作战任务为对象,通过多目标优化确保当前的结构符合任务的要求.优化计算得到的系统结构,由系统结构管理模块具体实施系统结构调整,包括网络结构调整和系统单元关系调整.
系统韧性能力在服务层的扩展,主要是在服务资源虚拟化、软件资源调配等方面使其具有动态可编程调度能力,即动态软件定义功能(SDF)的能力,并通过服务管理程序,将服务功能变化需求与资源进行实时对接,实现服务韧性,如图7所示.
通过将服务所需资源,包括计算资源、存储资源、数据资源和软件资源的资源池化管理,形成可灵活调配的资源池.在服务动态可编程管理框架的驱动下,通过动态感知服务资源需求、服务状态变化、服务功能受损情况等,在资源自适应调度和安全动态防御管理的基础上,对服务资源进行动态分配及应急响应,通过各类服务功能需求到底层各类资源的实时对接,对服务进行柔性重组,实现服务的韧性.
图7 服务韧性实现原理图
系统韧性能力在应用层的扩展,主要是通过将应用软件资源封装为智能主体,使资源具备自主协同能力和动态可编程调度能力,即动态软件定义应用(SDA)的能力.在此基础上,通过任务管理程序将作战任务与应用软件资源实时对接,基于灵活的软件编程,快速定义面向任务的具备协同运作与应变演化能力的应用系统,实现应用的韧性,如图8所示.
图8 应用韧性实现原理图
智能主体在应用软件资源的基础上增加了感知、决策与协同能力,能够基于协作关系与协同规则有序运作、主动协同,是构建韧性应用系统的基本元素.任务管理程序基于任务对智能主体进行编程组织,首先将作战任务分解并映射出系统功能需求,优选满足功能需求的智能主体,即定义了构成应用系统的功能要素;然后通过资源协作流程规划和功能同步规则配置,生成智能主体的协作关系与协同规则,即定义了应用系统的功能结构、运作流程以及自适应策略,从而形成韧性应用系统.
如何使指挥信息系统适应快速多变、不确定、体系对抗的战场环境,更好地完成作战任务是系统构建的重点和难点.本文围绕这一问题,从通用韧性概念出发,给出了韧性指挥信息系统的概念,从结构、功能、信息和防护方面提出了韧性指挥信息系统的构建机理,并结合软件定义思想给出了韧性指挥信息系统的工程实现方法,为韧性指挥信息系统的设计和研制提供了科学依据和方法参考.
感谢项目组吴姗姗、陆晓明、严国强、马潇潇、张金锋和陶智刚等同志在实现方面的支撑与辛勤工作.