蔡英浩,张英朝,孙 沁,盛 彪,王茂桓,王毓智
(中山大学系统科学与工程学院,广东广州 510006)
“韧性”(Resilience)是起源于生态学的一个专业术语,Holling(1973)最早用“生态韧性”概念描述现实生态系统在遭受外部干扰时表现出的持久性和恢复力[1],这一概念后来逐渐扩展到多个不同领域[2-3],广泛用于评价个体、集体或系统承受扰动以后的恢复能力。扰动可能源自外部攻击和内部故障[4]。系统遭受扰动后,功能中断且性能下降,若得不到及时恢复,则会产生很大损失。现对韧性译法有弹复、弹性、恢复力等[2],虽然“韧性”的定义没有统一,但大都是相似的,其关键属性可概括为预测、抵抗、吸收、适应、恢复几个方面[3],系统为应对各种扰动和变化的这些属性决定了其性能降级和恢复过程。
本文旨在借鉴相关领域对韧性研究的理论与实践,描述指挥信息系统韧性评估方法。主要从三个方面进行阐述。一是指挥信息系统韧性的概念与特征,阐述了指挥信息系统的韧性问题、国内外研究现状和韧性的概念区分;二是指挥信息系统韧性评估方法,综合分析了指挥控制系统、军事体系和指挥信息系统韧性性能指标和评估法则;三是作出总结并提出展望。
自然灾害、赛博攻击、电子攻击、设备故障和人为失误等外部扰动和内部故障,都可能对指挥信息系统的连续运行造成潜在的、严重的威胁。为保障核心任务可以持续完成,并更好地为多样化任务服务,顺应灵活、对抗、激烈的环境,需要对指挥信息系统有更高的要求。在系统发生故障或失效时,需要系统能够预测和识别出各种异常情况以免影响任务执行。敌方对指挥信息系统常采用的攻击方式有物理、电子、赛博攻击等,这些攻击中每一种都可能造成系统节点损毁、降级、失效等。在节点失效、瘫痪、损毁的情况下,怎样可以降级运行并恢复、保障关键任务完成是需要考虑的问题[5],可称之为指挥信息系统的韧性问题。韧性反映了系统应对不确定性威胁的能力,要求系统能够适应扰动和保持性能的同时,强调系统能够主动响应、预测风险,并从中迅速恢复。
目前,国外对韧性评估研究的大致思路是基于“韧性三角”概念,2004年Bruneau[6]提出了系统韧性R4 指标体系,认为系统韧性指标体系应包含鲁棒性、冗余度、资源准备度和快速性。2010年,Jackson[7]从系统工程学角度出发,认为系统韧性需要具备容量、容忍度、灵活性和元素间协同能力4 个属性。Jackson 定义了扰动下系统韧性的3 个阶段:预防、降级、恢复。2013年,Burch[8]将空间系统韧性过程描述为预防、降级、恢复、重构4 种工作状态,认为系统韧性指标应包含可预防性、鲁棒性、可恢复性和可重构性,从而构成一组基于时间轴的指标集。MITRE公司[9]在其发布的《Cyber韧性度量》白皮书中,从协同防御、冗余备份、自适应响应、分析监控、欺骗、权限控制等角度,给出具有代表性的韧性指标100余项。
国内方面,2015年,蓝雨石[3]等提出了韧性指挥信息系统的概念、构建机理及工程实现方法。2016年,陶智刚[2]等提出了一种基于权衡空间探索分析的C4ISR系统韧性研究方法。
系统的韧性是在其可靠性、容错性、鲁棒性、抗毁性等相关领域研究基础上发展起来的,但又有所不同,如可靠性强调系统在规定条件下的无故障运行,抗毁性强调通过预先设计来应对系统威胁,鲁棒性表明系统故障发生时仍可执行任务的能力;又如可预防性表明系统可自主预防故障发生的概率,可恢复性表明系统发生故障时性能可恢复的程度或快慢,可重构性表明系统应对故障的结构重组能力。韧性强调通过自适应调整机制来应对系统故障、威胁和变化,保障任务的完成,因此具备韧性的系统更能适应快速多变、不确定、变化激烈的环境,满足战场要求。
在进行指挥信息系统韧性评估时,需要对韧性模型的各个方面给出评价指标,同时也需要综合考虑各个指标的数值。下面将从多威胁累加计算的系统韧性评估、军事体系韧性指标评估、韧性三角理论及其相关的评估方法进行分析,以及综合分析基于指挥信息系统韧性过程模型的评估和韧性系统能力评估指标体系。
费爱国[10]参照波音公司的做法,提出了多威胁累加计算的指控系统韧性评估方法。该方法首先针对某作战场景指出该指控系统将会面临哪些威胁,然后对每种威胁进行韧性评估,最后累加计算以综合评估系统韧性。
搭建某指控系统的仿真模型后,可以输入某单个威胁事件,然后通过仿真试验可测算出该指控系统的各个指标,包括可预防性、鲁棒性、可恢复性和可重构性。单个威胁的韧性评估计算公式可表示为
其中,RAV、RRO、RRV、RRC分别为该系统可预防性、鲁棒性、可恢复性和可重构性指标,(1 -RAV)表示该威胁不可预防的概率,(1 -RRV)(1 -RRO)表示该威胁不可预防时系统损失的概率,(1 -RRV)(1 -RRO)(1 -RRV)表示威胁不可预防时系统功能损失且不可恢复的概率。
在获得每个威胁的韧性评估值后,可以评估系统的综合韧性值,即
其中,RS为评估的系统综合韧性值,Rn为第n个威胁的韧性评估值,N为威胁数目。
石建伟[11]等基于超网络给出了军事体系韧性的评估指标,在该军事体系韧性的模型中,保障要素与作战任务距离平方的倒数值表示该作战任务保障行动的优先级,距离越远,优先级越低,反之越高。其表达式为
其中,l表示保障要素Sj与作战任务Taski之间的距离。
优先级越高,作战任务受该保障要素保障概率越大。对固定保障要素和作战任务而言,其保障行动的概率取决于该任务的优先级与该保障要素可达的所有作战任务的优先级之和中所占比例,其表达式为
其中,k表示与保障要素Sj可通的且受损的作战任务标号。
在实际的军事体系中一般包含有不止一个保障要素,对某作战任务实施保障的保障要素数量期望值为:
基于上述分析,设作战任务数目为n,则期望的能力恢复时间可以表示为
其中,TaskiReToTime为作战任务理论恢复时间,P(Taski)为保障Taski要素数目的期望值。
丁峰等[12]指出,目前国外对韧性能力评估研究思路为:来自外部的扰动出现后,导致系统的性能下降,再恢复到扰动之前的水平,由此产生“韧性三角”[6]的概念(图1),基于“韧性三角”则可以定义相关的指标度量方法。
图1 韧性三角Fig.1 Resilience triangle
隋涛[13]从鲁棒性、速率、资源充足性和冗余方面刻画了韧性三角概念,在这些概念基础上给出了韧性损失的一个简单量化方法,即
其中,Q(t)表示在t时刻系统的性能,且Q(t)满足0 ≤Q(t) ≤100%,t0表示事件发生的初始时间,t1表示恢复至稳定状态的时间。
韧性可以表示为
由鲁棒性定义可知,极端事件发生后,系统依然保持其性能或功能,即
其中,L是发生极端事件后系统的立即损失,也是总的损失。
恢复速率即为性能函数Q(t)的斜率,可表示为
此外,平均恢复速率可表示为
隋涛认为,资源充足性和冗余性主要取决于主观因素,难以量化,但会影响恢复曲线的形状与斜率、恢复时间、速率和鲁棒性。
陶智刚[2]等从性能容量、容忍度、灵活性、适应性四个方面对指挥信息系统韧性指标进行度量,度量思路如下。
2.4.1 容量
容量指在某种度量下,指挥信息系统维持在某个运行水平的能力。针对韧性而言,容量指系统当前的运行水平和阈值的裕量,来保证柔性降级和恢复过程的完成。t0为扰动发生时刻,t1为系统开始恢复的时刻,t2为系统恢复到稳定状态的时刻。Vn为系统处于初始状态时刻的指标值,Vmin为系统从降级向恢复过渡时的性能指标值,VT为系统指标的阈值,Vtr为系统恢复后的性能指标。Cd=Vn-Vmin为降级容量,Cb=Vn-VT为缓冲容量,Cred=Vmin-VT为剩余容量,Crec=Vtr-Vmin为恢复容量。可从容量的角度定义韧性指标,见图2。
图2 基于容量的指挥信息系统韧性过程Fig.2 Command information system resilience process based on capacity
崔琼[14]等指出,整体弹性能力P是整个任务阶段表现出的任务完成能力,可用t0-t2内累计任务能力归一化表示,即
吸收扰动能力D指当前系统遭受攻击后还能完成任务的能力,可以用系统任务能力降级程度d和降级速率vd的负指数函数表示,即
快速恢复能力R可用系统任务能力恢复程度r和恢复速度vr的指数函数来表示,即
平均降级速率[2]GD为单位时间内系统性能降级速率,可表示为
平均恢复速率RE为单位时间内系统性能恢复速率,可表示为
2.4.2 容忍度
容忍度表示指挥信息系统在遭受扰动或攻击时仍能保证完成任务的能力。基于多层网络模型,可以将容忍度映射到系统结构介数分布等参数中。
2.4.3 灵活性
灵活性表示指挥信息系统结构适应任务的变化能力,可用系统结构的聚集系数和度分布来反映。
2.4.4 适应性
适应性表示指挥信息系统适应任务变化的能力。在每个阶段,系统调整恢复后的性能需要满足任务需求,满足程度可用恢复后的实际性能值与需求性能值之差的绝对值来度量。
丁峰等[12]结合预防、适应、恢复和演化四类韧性目的,以及韧性系统的分布式防御、威胁识别与判断、系统资源冗余和关键节点备份等因素,确立了包含抵御、吸收、恢复和重构等能力的韧性系统能力评估指标体系,如图3所示。
图3 韧性系统能力评估指标Fig.3 Resilience system capability evaluation index
韧性系统能力评估的具体评估指标参数见表1。
表1 韧性能力评估指标Tab.1 Resilience Evaluation Index
丁峰等使用结构信息熵变化率和结构重建时间指标构建系统结构重建能力,其中结构重建时间指系统中节点之间信息交互关系重新生成所耗费的时间,而结构信息熵变化率则基于信息熵原理计算,即
其中,H为结构信息熵,H(ni)为系统节点ni的信息熵,D(ni)为系统节点的出入度。系统结构信息熵变化率可表示为
Hpre和Hatt分别为攻击前和攻击后的系统结构信息熵。
可从时效性出发,使用资源重规划时间和资源快速部署时间度量指挥信息系统的资源重组能力。
本文总结了各种指挥信息系统韧性评估的方法,分析了各个方法的特点并进行对比。总结归纳了通过建立指挥信息系统韧性形式描述框架来表现系统韧性特征,建立了在容量、容忍度、灵活性和适应性方面的指挥信息系统韧性指标和相关度量方法与构建一套涵盖抵御、吸收、恢复、重构的韧性能力评估体系。
未来军事韧性系统应重点研究系统状态与作战态势感知、系统状态改变对作战任务影响分析、快速响应任务再规划、系统结构自适应与柔性重组等能力。研究方法应由静态分析法向基于网络结构分析等智能学习方法靠拢,使评估效果体现出动态、整体、对抗等特征。