網絡空間生態成熟度建模

胡 鑫, 王 剛

(1. 空軍工程大學信息與導航學院, 陜西 西安 710077 2. 中國人民解放軍95507部隊, 貴州 貴陽 550025)

0 引 言

隨著網絡空間安全形勢的日益嚴峻,以集體安全防御理念為基礎,構建彈性健康的網絡空間生態成為世界各主要國家提升國家和軍事網絡安全的重要舉措[1-3]。集體防御是以維護網絡空間安全為核心,網絡中各級各類信息單元之間相互關聯、協同共享,實現實時動態的安全防御[4]。網絡空間生態按照集體防御理念,通過構建網絡空間要素的特定聯結關系和作用機制,可預測和防御包括不確定攻擊在內的多類型網絡攻擊,將攻擊后果最小化并恢復到可信狀態[4-5]。在軍事領域,網絡空間生態建立在軍事信息網絡基礎上,包含指控單元、作戰行動單元、情報單元等基本要素以及要素間的信息流轉關系,通過各層級間網絡安全態勢信息的實時共享、交互和作用等集體行動,主動適應復雜戰場環境,抵御蓄意和不確定型網絡攻擊[4,6-7]。從體系的角度看,網絡空間生態既包括網絡自身抵御安全威脅的能力,也包括基于網絡要素集體行動的指控、感知和信息傳輸等業務承載能力,網絡空間生態是實現網絡安全防御與業務承載一體的開放系統。

成熟度起源于對軟件組織生產的效率和質量的衡量[8],廣泛運用于對實體行動的規律性和發展程度決策評估,如工業企業的組織生產和行動集團的成熟度評估過程[9]。對網絡空間生態而言,成熟度分級和級間演化規則,和網絡防御安全等級劃分以及等級轉換相似,成熟度具有重要的借鑒意義。科學的網絡空間生態成熟度設計,可通過綜合衡量網絡空間各層級作戰單元、信息流轉關系和指揮層級關系的相互關聯程度,抵御網絡安全威脅和執行網絡空間任務和業務承載能力,靈活設置網絡空間生態的成熟度等級,并根據網絡安全威脅感知預測和業務承載能力需求等變化,建立動態自適應的演化機制[4,10]。

在網絡空間生態領域,相關研究主要集中在結構設計和技術優化層面,如地址驅動的網絡空間體系結構設計[11]、網絡空間安全信息基礎設施的數據優化[12]、網絡空間生態脆弱性評估和安全技術優化[13]。在成熟度應用領域,主要是成熟度的評估和測試,如基于軟件測試進程的能力成熟度模型[14]、基于商業智能的成熟度評估設計[15]、基于信息通信的成熟度建模及評估[16]。在此基礎上,成熟度逐漸進入軍事體系的建模和評估領域,如武器系統發展設計過程中的成熟度建模[17]、指揮控制的能力成熟度建模[18]、基于S曲線的武器裝備技術成熟度等級劃分及評估[19]、武器裝備體系的成熟度等級評估[20]。關于網絡空間生態成熟度的研究,目前主要集中在概念和機理層面。如美國在2011年國防防務報告中首次系統闡述了網絡空間生態集體安全防御的自動化、互操作和身份認證機制,提出了能力成熟度的聚焦收斂等概念和系統認知,并構建了不同網絡環境下聚焦收斂的三維架構[4];文獻[21]在軍事體系指揮控制研究中,就網絡業務承載和網絡安全等問題,給出了系統的彈性、敏捷性分析,提出了基于能力成熟度的組織結構參考模型,構建不同成熟度等級的組織結構關系;此外,美國國防部指揮與控制研究計劃(command and control and cyber research portal,CCRP) 還圍繞網絡生態和指控效能,提出了基于網絡賦能的指揮控制能力成熟度模型,并針對信息的分發和有效程度提出了構建成熟度模型的三維評價標準[22]。

在前期研究基礎上,本文應用軟件成熟度理論,通過成熟度建模深層挖掘網絡空間生態成熟度理論。主要焦點:①成熟度概念模型,結合網絡空間行動特點和安全分級要求,按照能力成熟度的聚焦收斂概念及其三維架構[4],建立網絡空間生態成熟度概念模型;②成熟度分級模型,針對不同成熟度等級下對應不同的網絡空間生態結構和要素作用關系,按照能力成熟度的網絡空間組織結構關系[21],構建成熟度分級模型;③成熟度能力模型,針對不同成熟度等級性能差異,按照能力成熟度的指控效能三維評價標準[22],構建成熟度三維能力模型。

1 基礎知識

在網絡空間行動中,抵御網絡安全風險或執行作戰任務是網絡空間各要素間的指揮、協同和信息流轉等關系共同作用的結果[4,22]。其中,指揮關系決定著網絡行動的決策權限,本質上是信息決策的問題;協同關系主要是網絡行動單元/要素間的協作同步作用關系,信息流轉關系則一定程度上表征了信息共享的程度。

基于此,可從3個方面考慮成熟度等級劃分:①信息決策權下放程度。網絡空間行動單元的決策權限越廣泛,處理突發性事件的效率越高,相應的網絡空間生態的實時性、高效性和精確性越強,系統成熟度越高。②要素協同程度。網絡空間行動單元間的協同程度越廣泛,應對不確定網絡攻擊的能力越強,相應的網絡空間生態的抗毀性、自愈性能力越強,系統成熟度越高。③信息共享程度。網絡空間行動單元的信息共享約束越小,獲取信息的質量、精度越高,網絡空間生態的開放程度越高,系統成熟度越高。由此,可得到網絡空間生態成熟度的三維模型,如圖1所示。

圖1 網絡空間生態成熟度概念模型Fig.1 Conceptual of maturity model of cyber ecosystem

記Dom=[Dom1,Dom2,Dom3,Dom4,Dom5]為成熟度的關鍵過程域。

Dom1=[(0,1),(0,1),(01)]-Dom5-Dom4-Dom3-Dom2

分別對應優化級、合作級、協同級、已管理級和初始級等成熟度等級的關鍵過程域。

2 成熟度分級模型

結合網絡空間生態成熟度的系統認知和復雜網絡理論[21-23],網絡空間生態成熟度等級的動態演化過程可以按照網絡空間行動單元的數量、信息連接和信息流轉關系進行判定。定義網絡空間生態為CE=(V,E,C),其中,V(CE)={v1,v2,…,vn}為節點集,包括指控節點VC2、感知節點VSe、保障節點VSu、攻擊節點VSh和情報節點VIn5種類型;E(CE)={e1,e2,…,em}為信息鏈路集,表示節點間的通信連接關系;C(CE)={c1,c2,…,ck}為信息流集,包括任務流CTa、行動流CO和情報流CIn。根據不同成熟度等級下,網絡單元所對應的信息決策、相互協調和信息共享程度的不同,構建成熟度分級模型。

第一級:初始級。網絡空間行動單元的信息決策、信息共享和協同程度最低,行動單元間的交互合作僅限于子網內部,各子網之間相對孤立,系統處于無序混亂狀態。如圖2所示,子網由3個作戰單元(VSe、VSu和VSh)、1個指揮機構(VC2)和1個情報中心(VIn)組成,情報中心根據作戰單元的任務和需求分發相應的態勢信息,指揮機構可獲取情報中心的所有態勢信息,并根據各作戰單元的任務和需求下達相應的作戰任務,完成預期網絡空間作戰行動。

圖2 初始級Fig.2 Initial stage

第二級:已管理級。網絡空間行動單元的信息決策、信息共享和協同程度相對初始級有所提升,網絡空間中區域相鄰或任務相近的子網之間進行信息交互共享,由于子網資源、能量有限,實行資源、能量的按區域分配。如圖3所示,子網中的指揮機構與其相鄰或任務相近的子網的指揮機構建立信息連通關系,但該子網的指揮機構無法獲取另一子網中情報中心的態勢信息,只能通過另一子網的指揮機構獲取相關態勢情報,執行預期網絡作戰行動。

第三級:協同級。網絡空間行動單元的自主決策、信息共享和相互協同的程度在已管理級的基礎上得到提升,網絡空間各區域相鄰或任務相近的子網之間打破資源按區域分配的狀態,建立信息連接關系的各子網之間進行信息交互共享,并實行資源、能量的統一管理。如圖4所示,子網中的指揮機構在與其相鄰或任務相近的子網的指揮機構建立信息連通關系的基礎上,還能夠獲取該子網的情報中心的態勢信息,從而實現子網跨區域間的任務協同。

圖3 已管理級Fig.3 Managed level

圖4 協同級Fig.4 Synergetic level

第四級:合作級。網絡空間行動單元的自主決策、信息共享和相互協同的程度得到更進一步的提升,網絡空間子網不再局限于與區域相鄰或任務相近的子網之間進行信息共享,能夠實現跨區域子網間的信息交互共享。如圖5所示,子網中的指揮機構能夠與網絡中所有子網的指揮機構建立信息連接關系,且能獲取各子網情報中心的態勢信息,作戰單元可根據任務需要獲取與其所在子網任務相近的情報中心的相關態勢情報信息,從而實現各子網間的合作。

圖5 合作級Fig.5 Cooperative level

第五級:優化級。網絡空間行動單元的信息決策、信息共享和協同程度提升到最高等級,各子網之間消除差別、沖突和限制,形成一個相互融合的“巨大子網”。如圖6所示,指揮機構和作戰單元的角色可根據任務、環境的變化實時切換,子網之間能夠實現任意區域的信息交互,各子網中的作戰單元可根據任務需要獲取任意子網中情報中心的態勢信息,實現最優化的網絡空間作戰行動。

圖6 優化級Fig.6 Optimized level

3 成熟度三維能力模型

網絡空間生態成熟度能力是網絡空間生態能力的綜合體現,借鑒指揮控制能力成熟度的三維評價標準和建立的成熟度概念模型[22],網絡空間生態成熟度能力可分解為信息決策能力、要素協同能力和信息共享能力,同步建立在網絡空間生態要素/節點的成熟度能力的綜合基礎上。

令G=(Gdec,Gcor,Gcom)為網絡空間生態(cyber ecosystem,CE)的成熟度能力值;g=(gdec,gcor,gcom)為CE要素/節點(CE unit,CEU)的成熟度能力值。其中,gdec,gcor,gcom分別為網絡空間生態要素/節點CEU的信息決策、要素協同和信息共享能力值。設參與節點數目為n,生態CE的成熟度能力值G與生態要素CEU的成熟度能力值g滿足關系

(1)

式中,網絡空間生態要素/節點CEU的成熟度值對應的信息決策、要素協同和信息共享能力值,由信息決策能力模型、要素協同能力模型和信息共享能力模型定義。

3.1 信息決策能力模型

信息決策能力指網絡空間指揮機構自身聚類聯動及其與情報中心的信息交互并制定決策的能力,通過信息復雜性進行度量。信息復雜性指網絡空間各組成單元全部連接數的函數。信息復雜性能夠分散指揮機構制定下達決策和網絡作戰單元對相關決策的執行,從而延長決策時間,影響決策效率。令c為網絡空間中核心作戰單元的入度數總和,即

(2)

式中,當作戰單元i在關鍵路徑上時,δi=1,反之,則δi=0;ni為作戰單元i的入度數。當網絡連接數達到一定值時,復雜性g(c)呈現先增加后趨于平穩的“S型”增長趨勢,用Logistic函數表示為

(3)

式中,a表示網絡空間核心作戰單元數量;b表示網絡空間作戰單元總數與入度數總和的比值。式(1)中gdec的值對應于式(3)中g(c)的值。

3.2 要素協同能力模型

要素協同能力指網絡空間作戰單元、指揮機構和情報中心之間協同合作、信息交互執行網絡空間作戰任務的能力,通過信息可用性進行度量。信息可用性指信息在網絡空間中的可用程度,是對信息的實時性、完整性、精確性和信息擁有量的綜合度量。令H(t)表示指揮機構獲取的有效信息總量,網絡作戰單元執行單次任務的完成時間f(t)=λe-λt,則其對應H(t)為

(4)

考慮不同作戰單元完成預期任務所需的時間不同,假設完成單次任務的最大允許時間為(1/λmax)=λmin,得作戰單元i的信息可用性為

(5)

因此,可得

(6)

式中,Ki(t)∈[0,1],Ki(t)越接近于1,表明網絡空間獲取態勢信息越大,信息可用性越高。

綜合考慮網絡空間要素協同與信息決策對網絡空間作戰行動的影響。要素協同影響執行網絡空間作戰任務時間的影響因子可表示為

(7)

式中,ci(t)表示要素協同影響正因子。令di為作戰單元i的度值,則作戰單元i完成預期任務的協同影響正因子ci(t)為

(8)

式中,當作戰單元i與j存在相對隸屬關系時,Wj=1;反之,則Wj=0.5。由式(7)和式(8)可得要素協同能力為

(9)

式中,式(1)中gcor的值對應式(9)中ZX的值。

3.3 信息共享能力模型

信息共享能力指網絡空間作戰單元、指揮機構通過情報中心感知獲取態勢信息,并根據作戰任務、職責和安全威脅的不同共享態勢信息的能力。態勢信息根據網絡空間作戰單元任務需要轉化為具體知識,促進作戰單元采取相應行動和指揮機構制定相關決策,確保任務的順利執行。態勢信息在網絡空間作戰單元間的交互共享和高效傳輸,進一步提高了信息的可用性。基于此,作戰單元i的信息共享能力可表示為

(10)

將式(8)代入式(10)可得信息共享能力為

(11)

4 仿真分析

4.1 仿真設計

根據圖2～圖6中五級成熟度對應的作戰單元連接關系,按照對信息決策、要素協同和信息共享等成熟度能力值定義(式(3)、式(9)、式(11)),求解各成熟度等級中生態要素/節點CEU和整體生態CE的信息決策、要素協同和信息共享能力。

信息決策能力由圖2～圖6可得式(3)中的相關參數:如協同級中c=27,a=7,b=0.278。通過仿真可得生態節點CEU的信息決策能力值,部分數據如表1所示,對應生態CE的整體信息決策能力值為0.154,0.232,0.342,0.517,0.736。

不同網絡空間生態成熟度等級對應不同的參加節點數目,圖3協同級中,允許參與作戰單元的最大數目為10,其對應于表1中參與節點數目n=10。

表1 CEU的信息決策能力值

要素協同能力由圖2～圖6可得式(9)中的相關參數:如協同級中c=27,a=7,b=0.278,d=[10,7,7,7,5,10,7,7,7,5],W=[1,1,1,1,1,1,0.5,0.5,0.5,1]。通過仿真可得生態節點CEU的要素協同能力值,部分數據如表2所示,對應生態CE的整體要素協同能力值分別為0.101,0.287,0.390,0.573,0.817。

信息共享能力由式(11)可知其相關參數設置同要素協同能力部分,通過仿真可得CEU的信息決策能力值,部分數據如表3所示,對應生態CE的整體信息共享能力值為0.188,0.310,0.569,0.775,0.943。

表2 CEU的要素協同能力值

表3 CEU的信息共享能力值

4.2 成熟度能力分析

CEU的成熟度能力由圖2～圖6和式(3)、式(9)、式(11)可綜合計算得出網絡空間生態要素/節點CEU的成熟度5級能力值,如圖7所示。

圖7 網絡空間生態節點/要素CEU的成熟度能力Fig.7 Maturity capability of cyber ecosystem node/element CEU

CE的成熟度能力在網絡空間生態要素/節點CEU的成熟度五級能力值的基礎上,由式(1)可得網絡空間生態CE的成熟度五級能力值,如圖8所示。

由圖7可知,處于不同網絡空間生態成熟度等級,具有不同的要素/節點參與數目n,且隨著n增大,CEU的成熟度能力逐漸增強。同時,隨著網絡空間生態成熟度等級的提升,其相應CEU的信息決策、要素協同和信息共享成熟度能力逐漸增強,即g1

圖8 網絡空間生態CE的成熟度能力Fig.8 Maturity ability of cyber ecosystem CE

仿真結果表明,網絡空間生態的參與作戰單元數量越多,各作戰單元間的信息交互連通越緊密,相應的信息決策、要素協同和信息共享成熟度能力越強;隨著網絡空間生態的成熟度等級逐漸提升,各作戰單元間的信息流轉關系、信息連通度逐漸增大,有利于減少不確定因素對信息決策的影響,提高信息決策能力,有利于提高作戰效率,增強要素協同能力,有利于提高感知獲取態勢信息的能力,增強信息共享效能,進而提高網絡空間生態的成熟度能力。

5 結 論

網絡空間生態成熟度等級與信息決策、要素協同和信息共享成熟度能力呈正相關關系,通過調控信息決策、要素協同和信息共享能力能夠有效控制網絡空間生態要素/節點的成熟度能力和網絡空間生態整體的成熟度能力,抵御蓄意和不確定網絡攻擊,有效承載網絡空間作戰任務。下一步研究中,將聚焦網絡空間生態成熟度等級演化機制,包括基于網絡空間生態自身控制的自適應演化機制和基于人為控制的指令性演化機制。