信息系統生存力研究*

陳　捷，陳勁堯，郭曉黎，羅秋霞

（中國電子科技集團公司第三十研究所，四川 成都 610041）

信息系統生存力研究*

陳捷，陳勁堯，郭曉黎，羅秋霞

（中國電子科技集團公司第三十研究所，四川 成都 610041）

針對信息系統的重要性和其面臨的威脅挑戰，分析了生存力對信息系統的重要意義。介紹了系統生存力的定義、理論層次、模擬模型及要素等基本概念，分析了信息系統面臨的主要威脅，較為全面地介紹了信息系統生存力的內涵、主要指標，對先進的生存力保障機制如威脅識別機制、對抗機制和恢復機制進行了描述，闡述了重新配置和系統改造等生存力設計方法，并提出了深化開展信息系統生存力設計研究的思路，以期為提高我國信息系統的生存力提供支撐。

信息系統；生存力；保障機制；指標

0　引 言

信息系統與信息網絡在通信、社交、商業、制造、醫療、教育、政務、軍事等領域日益得到廣泛且深入的應用，已成為世界各國的命脈，成為政治、經濟、軍事和文化乃至社會一切領域的基礎［1］。與此相對應，信息系統和信息網絡變得越來越龐大、復雜，也面臨越來越嚴重的威脅和挑戰。在這樣的背景下，諸如防火墻、VPN、入侵檢測等信息安全技術得到了迅速發展。然而，安全是一個相對的概念，即使采用先進的安全技術也不能夠保證系統的絕對安全［2］。因此，我們應該重視系統的生存力建設，保證系統在遭受攻擊、破壞時，能夠維持基本的功能。

目前，國內對信息系統生存力方面的研究還較為薄弱。文獻［1-2］著重從提高系統生存力的角度對信息系統的風險管理進行了研究論述，對生存力本身尚未進行系統性的研究。近來，烏克蘭相關研究機構對系統的生存力設計方面提出了較為完整的體系、理論和方法，具有其獨到之處。本文綜合國內外相關資料，對信息系統的生存力設計進行綜述，以期為后續開展生存力設計的深入研究提供支撐。

1　生存力的定義和基本概念

1.1生存力的定義

由于生存力的極端重要性，生物的、社會的、經濟的以及許多其他原始系統都擁有生存力特性。例如，銀行的生存力以總資產、總利潤、主營業務收入增長率、資本充足率、抗風險能力等為主要特征；艦艇編隊的生存力以艦艇的機動性、隱蔽性和抗打擊能力為主要特點［3］；飛機生存力是指飛機躲避或承受人為敵對環境的能力，即飛機不被擊中或被擊中后能繼續執行戰斗任務的能力［4］；作戰體系生存力是指武器裝備體系經過對抗后能繼續執行戰斗任務的能力，即體系不被威脅殺傷、殺傷后能通過體系重組迅速恢復戰斗力的能力［4］。可以看出，不同系統中構成生存力的要素不同，對生存力的描述也不同，但有一個共同的特征，即“打不死”。因此，對系統生存力的一個較為通用的定義是：生存力是系統適應變化的功能條件、對抗敵對活動，依靠行為和結構的改變來實現（保持）功能目標的復雜系統特性。

生存力特性能夠在對抗環境下、在系統結構和完整性受到損傷、安全性和功能質量降低的條件下，相對完整地保存系統。

1.2生存力的理論層次和模擬模型

生存力理論基礎的形成分為三個層級：方法論、模擬和評估、生存力保障。方法論層級明確研究對象的生存力性能、特質和質量標準，以及與其他特性間的相互關系。模擬和評估層級實現對系統生存力的模擬，形成評估生存力的系統準則及指標。生存力保障層級針對不同類型的系統，形成其生存力保障的機制、方法。

系統的生存力模擬是指導開展系統生存力設計的重要途徑，典型的系統生存力模擬模型如圖1所示。

系統結構模擬：給出系統的技術和功能結構，包括部件屬性、系統拓撲、信息/能源流、功能模型、功能結構體系、功能目標譜系樹等。敵對活動模擬：模擬敵方對系統的破壞活動。物理過程模擬：分析系統在遭受敵對活動后的物理變化過程。

敵對活動初期影響模擬：通過敵對活動模擬和物理過程模擬的相互作用，形成對敵方破壞活動的初期影響模擬。此時，生存力保障系統尚未介入。

生存力保障系統模擬：計算生存力保障的相關資源和特性，形成對抗敵方破壞活動的生存力解決方案。

初期影響發展模擬：在考慮生存力保障系統作用的情況下，分析系統發展變化的路徑。該模擬分析的最終目標是確定新的穩定的系統狀態。

敵對活動后續影響模擬：分析建立新的穩定系統狀態后，哪些方面受到了敵對活動的影響，如功能縮減、功能時效性降低、技術性能惡化等。

系統可靠性模擬：分析建立新的穩定系統狀態后系統的可靠性，為后續的生存力評估提供支撐。

恢復發展模擬：分析在敵對活動結束后，系統該如何發展，以便盡可能恢復系統的功能、性能，保障系統完成規定任務。

任務完成能力分析：分析在上述模擬過程的聯合作用下，系統完成規定任務的能力。

解決方案評估：根據任務完成能力，對生存力解決方案進行評估，給出系統調整的建議以及生存力保障系統持續發展的建議。

圖1　系統 生存力模擬模型

1.3復雜系統的生存力要素

復雜系統應具備功能的、結構的和信息的生存力。

功能的生存力是指系統能夠在不良影響下，依靠調整（減少）功能目標，按指定質量完成相應功能目標。

結構的生存力是指系統能夠在不良影響下，依靠系統結構的支持，完成帶有指定質量的功能目標。

信息的生存力是指系統能夠在不良影響下，在一定程度上支持信息的可訪問性、完整性。

依據系統等級、復雜性、組織層級等，可以從穩固性、可信度、適應性、失效保護等方面評估系統生存力。

穩固性：使系統在不良影響結束后恢復初始狀態的系統能力。

可信度：能在一定程度上保存自身基本特性的同時，完成指定功能的系統能力。

適應性：利用不同的機制來適應內外部環境變化的系統能力。

失效保護：在一個或幾個組件失效的情況下，保存自身工作能力的系統能力。

1.4生存力將成為系統的基礎元素

今后，在對復雜系統進行研究、設計時，生存力將成為基礎元素。經過生存力設計的、具有生存力保障機制的系統，在面臨不良影響時的表現，將大大優于無相應保障機制的系統，如圖2所示。

圖2　系統 效能對比

隨著故障數量的增加，當達到某一門檻值時，無生存力保障機制的系統效能急劇下降甚至完全失效，而具有生存力保障機制的系統其效能則是緩慢下降的。

2　信息系統面臨的主要威脅

對網絡的破壞可分為自然成因和人為破壞，其中以人為破壞為主。人為破壞主要包括信息的、物理的、電磁的等幾個方面，如圖3所示。

信息方面的破壞主要有破壞信息的機密性、破壞信息的完整性、導致服務失效以及未經授權使用信息資源等。

物理方面的破壞主要有各種形式的動能、熱能、化學攻擊等。

電磁方面的破壞主要是通過無線電進行干擾、阻斷、竊取等。

圖3　對網絡的 破壞作用

在當前網絡化的環境下，對信息的攻擊、竊取和泄漏造成的危害大、影響范圍廣，且后續處理困難。據統計，大部分的攻擊、竊取和泄漏行為可在一分鐘內實施，而探測、定位和清除影響則需要數周甚至數月，如圖4所示。

圖4　信息泄漏的 影響

可以看出，為了提高信息系統生存力，不但需要傳統的病毒查殺、入侵監測、邊界防護、網絡隔離等安全手段，還需要系統本身具備足夠的彈性，在遭受破壞時能夠通過自身行為和結構的改變來保持功能。此外，需要系統具備足夠的恢復能力，在敵對活動結束后能夠盡可能地恢復功能。而這樣的能力，需要有相應的生存力保障機制支撐實現。

3　信息系統生存力保障機制

3.1通信網絡的生存力

通信網絡的生存力特性能夠在網絡單元或網絡段受到外部影響破壞的情況下，保證信息用戶和信息源之間通信聯接的建立。

通信網絡生存力的基本指標包括以下四方面。

維持工作能力指標：在網絡資源衰減的條件下，完成指定任務的能力。

生存力時間指標：從遭受毀傷開始，網絡可以保存工作能力的時間。

網絡恢復能力指標：遭受破壞后，網絡恢復工作能力的指標。

網絡可修復性時間指標：使用特定資源，在遭受特定損傷層級的情況下，恢復網絡工作能力所需的時間。

3.2信息內容的生存力

信息內容是與一個主題或一個事件有邏輯聯系的信息材料的總和。信息內容作為有聯系的對象的總體，擁有組織性、連接性、完整性（確定的主題或事件）、可分性（在獨立的消息中）等特點。

信息內容可以表現為由若干個主要節點（M節點）、邊緣節點（L節點）構成的圖表結構。其中，M節點是指構成主題或事件的主要信息材料，L節點是指大量相似的邊緣信息、引證、引文等，如圖5所示。

圖5　信息內容結構

信息內容的生存力性質直接與圖表的連接性、集中性、最小路徑等性質相關。當信息內容的部件之間聯系斷裂（如從圖表結構中消除一些帶有最大媒介系數的重要組件等），會導致信息內容生存力損耗。

信息內容的生存力表現為當信息內容的連結遭受破壞斷裂時，能夠穩定實現其信息功能的能力。

信息內容是一個動態系統，該系統在最優“中介”節點被毀壞后，可通過信息空間其他節點之間的潛在聯系得以恢復，如圖6所示。

圖6　信息內容恢復

因此，信息內容的生存力主要包括兩個方面。

一是當信息內容的關鍵節點被毀壞后，被割裂的部分是否具有一定的穩定性，能否獨立實現自己的信息功能。相對應的關鍵技術主要有確定最小限度穩定性的方法、根據最小限度穩定性要求對信息內容進行構造和存儲的方法等。

二是信息內容被割裂后，能否通過節點間潛在聯系實現恢復。相對應的關鍵技術主要有信息內容的構造和存儲設計、圖表結構分析、內容關聯性設計和分析挖掘等。

3.3生存力保障機制和方法

復雜系統生存力的保障和改善實現依靠一些先進的機制，包括威脅識別機制、對抗機制和恢復機制。

威脅識別機制整合了系統要素鑒別、行為分析、事件注冊、通知等，能夠對攻擊、入侵、威脅等進行有效識別，并提前進行預警，為系統主動應對威脅提供支撐。

對抗機制主要有兩大作用：一是在系統遭受到敵方攻擊破壞時，通過改變結構和調整功能，使系統能夠維持指定的功能目標或轉移到新的功能目標；二是通過使用各種安全防護手段，對抗敵方攻擊，使其無功而返。對信息系統來說，對抗手段主要有認證授權、權限控制、網間屏蔽等。

恢復機制保障系統獨立部件的功能和工作能力的恢復，以及在受到不良影響或損害的情況下系統的完整性。對信息系統而言，信息內容遭受破壞后如何恢復是一個十分重要的問題。這需要利用可靠的存儲技術、信息內容的動態恢復技術等，保證信息內容狀態的完整性。

可以看出，生存力保障機制中，部分技術、方法是以傳統安全防護手段為基礎，但其內涵和作用大大超出了傳統安全防護的范疇，如圖7所示。

圖7　生存力保障機制

下面 簡要介紹對抗機制和恢復機制中的一些重要方法和思路，包括重新配置和系統改造。

（1）重新配置

重新配置的目的是在系統遭受破壞、部件遞減的情況下，保存系統的工作能力，使系統具備功能逐步下降和保持最低限度工作能力的特性。

重新配置主要通過有目的性地改變系統結構來保持系統工作能力。信息系統的重新配置過程主要包括轉換傳輸路徑或通信線路、排除無效部件、重新布局系統負荷和改變控制信息等。圖8以光環網遭到破壞為例，展示了一個典型的重新配置過程。

圖8　光環網重新配置過程

如 圖8所示，在遭受破壞前，該光環網是一個雙環結構，而當部分鏈路被破壞后，其拓撲結構變為單環，以保證各節點間的有效連通。

（2）系統改造

系統改造與重新配置處于生存力保障的不同階段。系統改造是在系統不可重新配置的情況下，通過改變系統總體目標，實現系統功能目標的轉移，使系統具備功能逐步下降和保持最低限度工作能力的特性。

系統改造的方法主要包括以下四個方面。

（1）形成多套業務過程的模型和方案，以適應各種不同程度和類型的不良影響。

（2）實現業務過程的垂直“壓縮”，即縮小功能體系的層級，減少“功能鏈條”中需相互依賴的節點。

（3）實現業務過程的水平“壓縮”，即消除無效過程，保障系統的執行性能（如執行時間等）；實現業務過程的自動化。

（4）實現業務過程的協同、分散等。

4　結 語

信息系統正日益在社會的經濟、文化、健康、安全等領域扮演著越來越重要的角色，而信息系統本身也面臨著越來越復雜和嚴重的威脅。在此情況下，生存力將成為信息系統的基礎元素，對生存力設計的研究將具有十分重要的意義。

國內關于復雜系統生存力設計的研究尚處于起步階段，在理念、體系、理論、關鍵技術等方面的研究都十分薄弱。本文綜合多方面的資料對目前較為先進的生存力設計理念、方法、機制等進行了介紹，對信息系統的生存力研究和設計具有一定的參考意義，可作為今后深入開展相關研究的基礎。

下一步研究建議繼續跟蹤、學習國外先進的系統生存力設計理論和方法，加強開展交流和技術引進，逐步建立起復雜系統生存力設計的理論體系，并重點針對信息系統生存力設計中的若干關鍵技術開展深入研究，以期為提高我國信息系統的生存力提供支撐。

［1］ 趙永超，胡克瑾，連曉海.無邊界網絡系統的生存力分析與風險管理［J］.漳州師范學院學報:自然科學版，2002，15（03）: 38-39. ZHAO Yong-chao，HU Ke-jin，LIAN Xiao-hai.Borderless Network’s Survivability Analysis and Risk Management［J］.Journal of Zhangzhou Teachers College（Natural Science），2002，15（03）:38-39.

［2］ 郝曉玲，胡克瑾，韓慧群.基于生存力的信息安全風險管理［J］.微計算機應用，2003，24（01）:19-20. HAO Xiao-ling，HU Ke-jin，HAN Hui-qun.Information Safety Risk Management based on Survivability［J］. Microcomputer Applications，2003，24（01）:19-20.

［3］ 吳亞雷.非對稱戰爭形態下艦船裝備未來發展［J］.艦船科學技術，2011，33（S1）:12-13. WU Ya-lei.The Future Development of Naval Ship in Asymmetric Warfare［J］.Ship Science and Technology，2011，33（S1）:12-13.

［4］ 楊哲，李曙林，周莉，尹俊杰.網絡中心戰下作戰體系生存力綜合權衡設計［J］.飛行力學，2013，31（05）:472-473. YANG Zhe，LI Shu-lin，ZHOU Li，YIN Jun-jie.Synthetic Tradeoff Design of Operations Systems Survivability in Network Centric Warfare［J］.Flight Dynamics，2013，31（05）:472-473.

陳 捷（1977—），女，學士，高級工程師，主要研究方向為網絡信息安全；

陳勁堯（1978—），男，碩士，工程師，主要研究方向為網絡與信息系統；

郭曉黎（1977—），女，碩士，高級工程師，主要研究方向為無線通信網絡與安全；

羅秋霞（1960—），女，碩士，研究員級高級工程師，主要研究方向為無線通信網絡與安全。

Research on Information System Survivability

CHEN Jie， CHEN Jin-yao， GUO Xiao-li， LUO Qiu-xia
（No.30 Institute of CETC， Sichuan Chengdu 610041， China）

Aim at the importance and security challenge of information system， analyses system survivability’s important significance. Introduces basal conception of system survivability， such as the definition， theoretical level， simulation model， elements etc.， analyses the main threat facing information system， general introduces information system survivability meaning and main index， introduces advanced survivability guarantee mechanism， like threat identification mechanism， against mechanism and restore mechanism， introduces some survivability design method， such as reconfigure and system alteration， and presents some thoughts of more research on information system survivability design， expects provide support to improve our country’s information system survivability.

information system； survivability； guarantee mechanism； index

TN011

A

1002-0802（2016）-10-1331-06

10.3969/j.issn.1002-0802.2016.10.013

2016-06-12；

2016-09-15

data:2016-06-12；Revised data:2016-09-15