系統安全的機遇（下）

劉卓軍中國科學院研究員

系統安全如果僅僅停留在理念層面，就失去了其本來的意義，其價值也會大打折扣。系統安全既是方法也是目標，形式上是對流程和規則的遵守，而本質上體現的是對管理和工程方面的原理、標準及技術實施有意圖和有計劃的應用。

實施系統安全要從確定系統安全規劃（SSP）開始。有一個很形象的認識，“沒有計劃等于是計劃著失敗”，既沒有規劃就非常有可能帶來可怕的結果。SSP通常要基于系統的規模、復雜程度、安全臨界性質、資金、系統生命周期各階段的特征等因素建立安全規劃和要求，明確闡述管理和實施規劃中所需要面對的基本問題，尤其重要的是，所有這些都要建立起與之相應的文檔。這些文檔一般應包括：列出對于有效的安全規劃必須要完成的任務;為完成任務而準備使用的方法，包括任務的執行和時間等的規定;對任務執行人員的資格和條件的要求;各管理層對執行任務的授權以及確保任務完成所需必要資源的說明。如此文檔化的正式文件的整體常被稱為系統安全規劃計劃或系統安全規劃方案（SSPP）。制定旨在獲得系統安全規劃的系統安全規劃方案，需要有一個專門的工作團隊，通常稱為系統安全規劃工作小組（SSPG）。容易理解，辦好任何事情都需要有合適的人和恰當的準備，所以，SSPG是取得高質量SSPP乃至高質量SSP的關鍵。

盡管對SSPP的格式沒有硬性要求，但它所應包含的必要和適當的內容卻是基本的：

首先，概述是必要的，應當對系統做出明確定義，要明晰其基本構成、結構和功能，要包括系統的配置圖，系統的硬件、軟件及人員的接口信息。一般說來，系統不同，例如金融系統和交通系統，其在構成、結構和功能等方面所體現出的特點也會不同，這又必然會反映在系統安全規劃（SSP）的內容上;

明確界定SSP將“覆蓋”的范圍。一般來說，規劃覆蓋的內容不是“越多越好”，而是應科學合理。盡管我們可以把所有事物都解釋成系統，但每個系統都還可以看成是一個更大系統的一部分。邊界和范圍清晰了，責任就更加明確，任務就更有針對性;

描述系統安全規劃的構成內容和整體架構，每一部分的作用和責任，對應的時間進度。規劃有效性的支撐主要來自技術和工程性方面，但道德倫理方面的理念也是必要的。這一點在后面的案例分析中會看得很清楚;

指明可以使用的安全需求、指南和標準等文件系統，以及可能要采用的危險要素識別方法和分析方法，必要的話還要指明進行危險要素分析的深度，因為系統安全是有成本的，不是無限責任的，而且時間的有限約束也是明顯的;

使用和建立安全數據庫的安排。其中，相關的危險要素信息是重中之重，收集、評估分析、追蹤、處置應對（包括減緩和終止排除），以及處置結果的證實都要有相應的可行方法和準則可使用和可遵循。

對定期發布安全評估報告以及建立規劃實施督察委員會要做出規定，因為評估和檢查規劃的實施狀況并在必要時做出適當的干預是保證規劃效果的必要舉措。進一步，系統安全綜合支撐的協同工作以及資源保障的復雜工作也都必須做出適宜的安排。

盡管SSPP在內容上會包含同樣的基本要素，但也并非所有的SSPP都是一樣的或看上去是相似的，實際上它們也不應這樣。每個SSP所考慮的系統，由于其類型、規模及涉及的安全臨界性不同，因而必定是獨一無二的，它甚至還會反映出產品和系統開發組織及人員的管理風格和個性。

SSPP不是靜止不變的文檔，必要時在規劃的生命周期中會修改和更新。每當系統進入新的開發階段，或外部環境發生重大變化，都要做出更新以反映新的信息和項目的變化。例如，新冠疫情的暴發，幾乎對所有系統運行的外部環境都產生了重大影響，因此從安全角度講，一些具體的SSPP需要做出變更是非常自然的。另外，在一個特別長的系統安全開發階段，SSPP也可能由于各種與規劃相關的原因需要更新，例如，載人航天工程、登月工程，由于前期階段取得的新發現，就有可能導致對相應的SSPP做出改變。

SSP及SSPP的制定和編寫是重要的，當然也是必要的，但還不是充分的，即是說，認真按SSP規定的內容去執行更重要。這將是我們需要長期面對的挑戰任務。

系統安全對于國家安全戰略綱要的實施將成為重要的概念和理念

不妨回顧一下一件令人感觸深刻的案例。福特斑馬（Pinto）是福特汽車公司生產的1971-1980年款超小型汽車。1977年后出現的對斑馬汽車的爭論，指責斑馬的結構設計不合理，存在發生油箱漏斗管徑折斷的可能性，在汽車尾部被撞而出現油箱被刺穿的情形時，就會導致可怕火災的發生。批評者指控說，汽車在后圍和油箱之間缺少加固結構，這意味著在發生車后身被撞時油箱會向前擠壓，而被差速器的凸螺栓刺穿。在生產設計之初，福特公司是意識到了這種設計缺陷的，但卻拒絕為重新設計做投入，因為福特公司認為當發生事故后，采取對可能的訴訟做賠付的解決方式將會更便宜。然而，在1972年的一起一人死亡一人嚴重燒傷的事故上了法庭后，原告獲得了250萬美元的補償性賠償和350萬美元對于福特的懲罰性賠償。這個判決結果部分是因為福特在生產斑馬之前就已經意識到了設計存在缺陷，但卻持反對變更設計的”僥幸“的和”不道德“的態度。到了1978年，福特公司不得不宣布召回斑馬的決定，提供了加裝在油箱和差速器凸螺栓之間的塑料防護罩，加裝了另一個轉移接觸的右后減震器，以及讓新的油箱漏斗管徑延長到油箱的深處，這樣在后部碰撞時更能阻止其斷裂。

就福特的案例來說，如果執行了形式的SSP并重視系統安全的道德要求，在產品的開發階段，出現在設計中的危險要素就應當已經被消除了。這些危險要素在當時顯然已經被識別了出來，但由于成本和責任的權衡而受到忽略。此外，如果存在有效的安全現場監督系統幫助快速地分辨識別出安全問題，就可能更早地執行召回而不必打官司了。

今天，福特“事件”已經過去了半個世紀，社會擁有的技術條件有了巨大進步，其中，行車記錄儀的使用使得（汽車）交通事故的辨別分析更加快速有效。而且生活必將會變得更好更安全，因為技術的發展使得社會普遍推行系統安全的理念成為可能。系統安全將給社會和民眾帶來更廣泛的安全，金融行業、制造行業、建筑行業、醫療行業、體育行業、新聞行業、司法行業等等幾乎所有的領域和行業都會從中受益。特別地，系統安全對于國家安全戰略綱要的實施也將成為重要的概念和理念，這一點將會被社會逐步認識和理解，這是系統安全的機遇的一個方面。從另一方面看，系統安全作為實用的工具，若更有效地“滲透”入社會的方方面面，也還有很多工作要做。例如，更多智能傳感器的配置和嵌入到相應的系統內，不但是傳感器行業發展的福音，也能促進系統安全有效性的提升。有針對性的自動化技術的加強，有目標導向的數據處理系統的開發，系統安全知識的普及，系統安全教育的開展，系統安全（軟件系統）工具的設計和研發等等，這些都包含著創新發展的機會。系統安全的機遇值得牢牢抓住！