指揮信息系統(tǒng)韌性評估方法綜述

蔡英浩，張英朝，孫 沁，盛 彪，王茂桓，王毓智

（中山大學系統(tǒng)科學與工程學院，廣東廣州 510006）

“韌性”（Resilience）是起源于生態(tài)學的一個專業(yè)術語，Holling（1973）最早用“生態(tài)韌性”概念描述現實生態(tài)系統(tǒng)在遭受外部干擾時表現出的持久性和恢復力［1］，這一概念后來逐漸擴展到多個不同領域［2-3］，廣泛用于評價個體、集體或系統(tǒng)承受擾動以后的恢復能力。擾動可能源自外部攻擊和內部故障［4］。系統(tǒng)遭受擾動后，功能中斷且性能下降，若得不到及時恢復，則會產生很大損失。現對韌性譯法有彈復、彈性、恢復力等［2］，雖然“韌性”的定義沒有統(tǒng)一，但大都是相似的，其關鍵屬性可概括為預測、抵抗、吸收、適應、恢復幾個方面［3］，系統(tǒng)為應對各種擾動和變化的這些屬性決定了其性能降級和恢復過程。

本文旨在借鑒相關領域對韌性研究的理論與實踐，描述指揮信息系統(tǒng)韌性評估方法。主要從三個方面進行闡述。一是指揮信息系統(tǒng)韌性的概念與特征，闡述了指揮信息系統(tǒng)的韌性問題、國內外研究現狀和韌性的概念區(qū)分；二是指揮信息系統(tǒng)韌性評估方法，綜合分析了指揮控制系統(tǒng)、軍事體系和指揮信息系統(tǒng)韌性性能指標和評估法則；三是作出總結并提出展望。

1 指揮信息系統(tǒng)韌性的概念與特征

自然災害、賽博攻擊、電子攻擊、設備故障和人為失誤等外部擾動和內部故障，都可能對指揮信息系統(tǒng)的連續(xù)運行造成潛在的、嚴重的威脅。為保障核心任務可以持續(xù)完成，并更好地為多樣化任務服務，順應靈活、對抗、激烈的環(huán)境，需要對指揮信息系統(tǒng)有更高的要求。在系統(tǒng)發(fā)生故障或失效時，需要系統(tǒng)能夠預測和識別出各種異常情況以免影響任務執(zhí)行。敵方對指揮信息系統(tǒng)常采用的攻擊方式有物理、電子、賽博攻擊等，這些攻擊中每一種都可能造成系統(tǒng)節(jié)點損毀、降級、失效等。在節(jié)點失效、癱瘓、損毀的情況下，怎樣可以降級運行并恢復、保障關鍵任務完成是需要考慮的問題［5］，可稱之為指揮信息系統(tǒng)的韌性問題。韌性反映了系統(tǒng)應對不確定性威脅的能力，要求系統(tǒng)能夠適應擾動和保持性能的同時，強調系統(tǒng)能夠主動響應、預測風險，并從中迅速恢復。

目前，國外對韌性評估研究的大致思路是基于“韌性三角”概念，2004年Bruneau［6］提出了系統(tǒng)韌性R4 指標體系，認為系統(tǒng)韌性指標體系應包含魯棒性、冗余度、資源準備度和快速性。2010年，Jackson［7］從系統(tǒng)工程學角度出發(fā)，認為系統(tǒng)韌性需要具備容量、容忍度、靈活性和元素間協同能力4 個屬性。Jackson 定義了擾動下系統(tǒng)韌性的3 個階段：預防、降級、恢復。2013年，Burch［8］將空間系統(tǒng)韌性過程描述為預防、降級、恢復、重構4 種工作狀態(tài)，認為系統(tǒng)韌性指標應包含可預防性、魯棒性、可恢復性和可重構性，從而構成一組基于時間軸的指標集。MITRE公司［9］在其發(fā)布的《Cyber韌性度量》白皮書中，從協同防御、冗余備份、自適應響應、分析監(jiān)控、欺騙、權限控制等角度，給出具有代表性的韌性指標100余項。

國內方面，2015年，藍雨石［3］等提出了韌性指揮信息系統(tǒng)的概念、構建機理及工程實現方法。2016年，陶智剛［2］等提出了一種基于權衡空間探索分析的C4ISR系統(tǒng)韌性研究方法。

系統(tǒng)的韌性是在其可靠性、容錯性、魯棒性、抗毀性等相關領域研究基礎上發(fā)展起來的，但又有所不同，如可靠性強調系統(tǒng)在規(guī)定條件下的無故障運行，抗毀性強調通過預先設計來應對系統(tǒng)威脅，魯棒性表明系統(tǒng)故障發(fā)生時仍可執(zhí)行任務的能力；又如可預防性表明系統(tǒng)可自主預防故障發(fā)生的概率，可恢復性表明系統(tǒng)發(fā)生故障時性能可恢復的程度或快慢，可重構性表明系統(tǒng)應對故障的結構重組能力。韌性強調通過自適應調整機制來應對系統(tǒng)故障、威脅和變化，保障任務的完成，因此具備韌性的系統(tǒng)更能適應快速多變、不確定、變化激烈的環(huán)境，滿足戰(zhàn)場要求。

2 指揮信息系統(tǒng)韌性評估方法

在進行指揮信息系統(tǒng)韌性評估時，需要對韌性模型的各個方面給出評價指標，同時也需要綜合考慮各個指標的數值。下面將從多威脅累加計算的系統(tǒng)韌性評估、軍事體系韌性指標評估、韌性三角理論及其相關的評估方法進行分析，以及綜合分析基于指揮信息系統(tǒng)韌性過程模型的評估和韌性系統(tǒng)能力評估指標體系。

2.1 多威脅累加計算的系統(tǒng)韌性評估

費愛國［10］參照波音公司的做法，提出了多威脅累加計算的指控系統(tǒng)韌性評估方法。該方法首先針對某作戰(zhàn)場景指出該指控系統(tǒng)將會面臨哪些威脅，然后對每種威脅進行韌性評估，最后累加計算以綜合評估系統(tǒng)韌性。

搭建某指控系統(tǒng)的仿真模型后，可以輸入某單個威脅事件，然后通過仿真試驗可測算出該指控系統(tǒng)的各個指標，包括可預防性、魯棒性、可恢復性和可重構性。單個威脅的韌性評估計算公式可表示為

其中，RAV、RRO、RRV、RRC分別為該系統(tǒng)可預防性、魯棒性、可恢復性和可重構性指標，(1 -RAV)表示該威脅不可預防的概率，(1 -RRV)(1 -RRO)表示該威脅不可預防時系統(tǒng)損失的概率，(1 -RRV)(1 -RRO)(1 -RRV)表示威脅不可預防時系統(tǒng)功能損失且不可恢復的概率。

在獲得每個威脅的韌性評估值后，可以評估系統(tǒng)的綜合韌性值，即

其中，RS為評估的系統(tǒng)綜合韌性值，Rn為第n個威脅的韌性評估值，N為威脅數目。

2.2 軍事體系韌性指標評估

石建偉［11］等基于超網絡給出了軍事體系韌性的評估指標，在該軍事體系韌性的模型中，保障要素與作戰(zhàn)任務距離平方的倒數值表示該作戰(zhàn)任務保障行動的優(yōu)先級，距離越遠，優(yōu)先級越低，反之越高。其表達式為

其中，l表示保障要素Sj與作戰(zhàn)任務Taski之間的距離。

優(yōu)先級越高，作戰(zhàn)任務受該保障要素保障概率越大。對固定保障要素和作戰(zhàn)任務而言，其保障行動的概率取決于該任務的優(yōu)先級與該保障要素可達的所有作戰(zhàn)任務的優(yōu)先級之和中所占比例，其表達式為

其中，k表示與保障要素Sj可通的且受損的作戰(zhàn)任務標號。

在實際的軍事體系中一般包含有不止一個保障要素，對某作戰(zhàn)任務實施保障的保障要素數量期望值為：

基于上述分析，設作戰(zhàn)任務數目為n，則期望的能力恢復時間可以表示為

其中，TaskiReToTime為作戰(zhàn)任務理論恢復時間，P(Taski)為保障Taski要素數目的期望值。

2.3 韌性三角理論

丁峰等［12］指出，目前國外對韌性能力評估研究思路為：來自外部的擾動出現后，導致系統(tǒng)的性能下降，再恢復到擾動之前的水平，由此產生“韌性三角”［6］的概念（圖1），基于“韌性三角”則可以定義相關的指標度量方法。

圖1 韌性三角Fig.1 Resilience triangle

隋濤［13］從魯棒性、速率、資源充足性和冗余方面刻畫了韌性三角概念，在這些概念基礎上給出了韌性損失的一個簡單量化方法，即

其中，Q（t）表示在t時刻系統(tǒng)的性能，且Q（t）滿足0 ≤Q(t) ≤100%，t0表示事件發(fā)生的初始時間，t1表示恢復至穩(wěn)定狀態(tài)的時間。

韌性可以表示為

由魯棒性定義可知，極端事件發(fā)生后，系統(tǒng)依然保持其性能或功能，即

其中，L是發(fā)生極端事件后系統(tǒng)的立即損失，也是總的損失。

恢復速率即為性能函數Q（t）的斜率，可表示為

此外，平均恢復速率可表示為

隋濤認為，資源充足性和冗余性主要取決于主觀因素，難以量化，但會影響恢復曲線的形狀與斜率、恢復時間、速率和魯棒性。

2.4 指揮信息系統(tǒng)韌性過程模型與評估

陶智剛［2］等從性能容量、容忍度、靈活性、適應性四個方面對指揮信息系統(tǒng)韌性指標進行度量，度量思路如下。

2.4.1 容量

容量指在某種度量下，指揮信息系統(tǒng)維持在某個運行水平的能力。針對韌性而言，容量指系統(tǒng)當前的運行水平和閾值的裕量，來保證柔性降級和恢復過程的完成。t0為擾動發(fā)生時刻，t1為系統(tǒng)開始恢復的時刻，t2為系統(tǒng)恢復到穩(wěn)定狀態(tài)的時刻。Vn為系統(tǒng)處于初始狀態(tài)時刻的指標值，Vmin為系統(tǒng)從降級向恢復過渡時的性能指標值，VT為系統(tǒng)指標的閾值，Vtr為系統(tǒng)恢復后的性能指標。Cd=Vn-Vmin為降級容量，Cb=Vn-VT為緩沖容量，Cred=Vmin-VT為剩余容量，Crec=Vtr-Vmin為恢復容量。可從容量的角度定義韌性指標，見圖2。

圖2 基于容量的指揮信息系統(tǒng)韌性過程Fig.2 Command information system resilience process based on capacity

崔瓊［14］等指出，整體彈性能力P是整個任務階段表現出的任務完成能力，可用t0-t2內累計任務能力歸一化表示，即

吸收擾動能力D指當前系統(tǒng)遭受攻擊后還能完成任務的能力，可以用系統(tǒng)任務能力降級程度d和降級速率vd的負指數函數表示，即

快速恢復能力R可用系統(tǒng)任務能力恢復程度r和恢復速度vr的指數函數來表示，即

平均降級速率［2］GD為單位時間內系統(tǒng)性能降級速率，可表示為

平均恢復速率RE為單位時間內系統(tǒng)性能恢復速率，可表示為

2.4.2 容忍度

容忍度表示指揮信息系統(tǒng)在遭受擾動或攻擊時仍能保證完成任務的能力。基于多層網絡模型，可以將容忍度映射到系統(tǒng)結構介數分布等參數中。

2.4.3 靈活性

靈活性表示指揮信息系統(tǒng)結構適應任務的變化能力，可用系統(tǒng)結構的聚集系數和度分布來反映。

2.4.4 適應性

適應性表示指揮信息系統(tǒng)適應任務變化的能力。在每個階段，系統(tǒng)調整恢復后的性能需要滿足任務需求，滿足程度可用恢復后的實際性能值與需求性能值之差的絕對值來度量。

2.5 韌性系統(tǒng)能力評估指標體系

丁峰等［12］結合預防、適應、恢復和演化四類韌性目的，以及韌性系統(tǒng)的分布式防御、威脅識別與判斷、系統(tǒng)資源冗余和關鍵節(jié)點備份等因素，確立了包含抵御、吸收、恢復和重構等能力的韌性系統(tǒng)能力評估指標體系，如圖3所示。

圖3 韌性系統(tǒng)能力評估指標Fig.3 Resilience system capability evaluation index

韌性系統(tǒng)能力評估的具體評估指標參數見表1。

表1 韌性能力評估指標Tab.1 Resilience Evaluation Index

丁峰等使用結構信息熵變化率和結構重建時間指標構建系統(tǒng)結構重建能力，其中結構重建時間指系統(tǒng)中節(jié)點之間信息交互關系重新生成所耗費的時間，而結構信息熵變化率則基于信息熵原理計算，即

其中，H為結構信息熵，H（ni）為系統(tǒng)節(jié)點ni的信息熵，D（ni）為系統(tǒng)節(jié)點的出入度。系統(tǒng)結構信息熵變化率可表示為

Hpre和Hatt分別為攻擊前和攻擊后的系統(tǒng)結構信息熵。

可從時效性出發(fā)，使用資源重規(guī)劃時間和資源快速部署時間度量指揮信息系統(tǒng)的資源重組能力。

3 結論

本文總結了各種指揮信息系統(tǒng)韌性評估的方法，分析了各個方法的特點并進行對比。總結歸納了通過建立指揮信息系統(tǒng)韌性形式描述框架來表現系統(tǒng)韌性特征，建立了在容量、容忍度、靈活性和適應性方面的指揮信息系統(tǒng)韌性指標和相關度量方法與構建一套涵蓋抵御、吸收、恢復、重構的韌性能力評估體系。

未來軍事韌性系統(tǒng)應重點研究系統(tǒng)狀態(tài)與作戰(zhàn)態(tài)勢感知、系統(tǒng)狀態(tài)改變對作戰(zhàn)任務影響分析、快速響應任務再規(guī)劃、系統(tǒng)結構自適應與柔性重組等能力。研究方法應由靜態(tài)分析法向基于網絡結構分析等智能學習方法靠攏，使評估效果體現出動態(tài)、整體、對抗等特征。