對網絡空間生態系統健康性度量的系統認知

王 剛， 胡 鑫， 張 含， 田煥明

(空軍工程大學信息與導航學院， 陜西 西安 710077)

網絡空間是新型戰略空間，按照國家“一體雙翼，雙輪驅動”要求和軍民融合發展思路，構建彈性健康和可持續發展的網絡空間生態系統[1-2]，是國家和軍隊網絡健康運行的基礎和客觀要求[3]。以網絡空間安全需求為牽引，度量網絡空間生態系統健康性，對于推進網絡空間生態系統的優化和標準化建設，豐富和完善網絡空間安全理論，推進網絡空間領域健康可持續發展具有重要意義。

1 基本概念

網絡空間生態系統借鑒了生物學的“生態”理念，包括政府、企業、機構和個人等基本信息單元及信息網絡基礎設施[4]，是由各級各類信息單元、網絡和網絡支撐環境構成的相互聯系、相互作用的有機整體，是典型的動態開放自愈系統。就“生態”而言，它是指通過系統諸元素之間的相互作用和協同工作，形成高效和諧態勢，預測和防御各種類型和強度的網絡攻擊，將遭受攻擊的后果最小化，并迅速恢復到可信狀態[4]。按照生物體健康性的認知，網絡空間生態系統健康性是指對網絡空間生態系統構成要素的基本性能以及系統結構、功能和任務支撐能力的系統表征和綜合度量，如結構完整性、網絡空間生態系統動態運維能力和網絡服務性能等；健康性度量是指對網絡空間生態系統或子系統維持自身結構完整、保證效能正常發揮而具有的免疫和抗毀性能的衡量。

度量網絡空間生態系統健康性的核心要素主要有：1)度量對象，是指網絡空間生態系統及其潛在和表征的性能，包括指定系統自身固有物理性能和對作戰業務體系的支撐能力；2)度量目的，是對系統健康性形成全面或指定的診斷結論，為網絡空間生態系統建設和運用提供科學的借鑒參考；3)度量內容，包括網絡空間生態系統健康性建模，度量準則和指標、評估分析方法和仿真驗證等，并按照“度量對象—度量準則和指標—度量方法—仿真驗證”思路進行，其中度量對象部分通過針對性概念建模，挖掘網絡空間生態系統健康性的內涵。

2 成熟度模型

2.1 建模原則

成熟度模型是指能力成熟度模型(Capability Maturity Model, CMM)，用于衡量軟件組織生產過程的成熟性和規律性。網絡空間生態系統的成熟度是指網絡空間生態系統發展演進的程度，表現為系統內部協調一致、健康彈性，系統整體適應外界環境，執行預定任務，成熟度等級越高，系統的彈性和自愈能力越強[5]。成熟度建模應把握如下3個問題：1)系統結構合理性。如網絡空間生態系統的基礎架構及其與外部環境的關系，自動化、互操作、系統接入和身份安全驗證等體現系統結構合理性的結構完備度。2)系統功能完整性。如網絡空間生態系統中信息流轉效率、信息轉換準確率和信息的輸入輸出關系等，作戰流程中信息的獲取、傳輸、加工質量及利用水平，客觀上反映了網絡空間生態系統功能的完整性。3)復雜任務適應性。在網絡安全威脅和復雜任務承載條件下，對外部環境的抗干擾、自適應能力以及自組織重構能力，適應復雜條件下的業務承載能力的升階/降階水平。

2.2 分級演化模型

運用成熟度理論研究網絡空間生態系統，在一定程度上反映了系統對復雜環境和任務的適應能力，健康成熟的網絡空間生態系統能夠根據外界環境和業務需求動態調整其成熟度級別并達到最佳狀態。借鑒能力成熟度模型相關理念和等級劃分原理[5]，將網絡空間生態系統的成熟度劃分為5個等級，如圖1所示。

圖1 健康性CMM五級框架

1)初始級(第Ⅰ級)，在該等級中，網絡空間生態系統處于最低級別，呈現出無序混亂狀態，諸要素之間、要素與外界環境之間處于斷開連接的封閉孤立狀態。系統內部諸要素可視為獨立的個體，其維持自身任務所需的能量和資源來源于其自身。

2)已管理級(第Ⅱ級)，當成熟度等級由初始級躍升為已管理級，網絡空間生態系統處于分區域劃分管理狀態，系統要素間解除孤立、無序狀態，通過系統的作用區域實施監管，配置系統設備和軟件。由于各分區管理區域能量、資源相對有限，在實施區域按需分配時，網絡空間生態系統諸要素間的信息交互共享和互聯互通受到一定限制。

3)執行級(第Ⅲ級)，當成熟度等級由已管理級躍升為執行級時，網絡空間生態系統處于初級互連互通狀態，打破區域按需分配狀態，諸要素之間在所屬區域內進行信息的交互共享、規劃管理。同時，系統諸要素之間可進行簡單的互連互通、語義互操作以及意圖共享。

4)度量級(第Ⅳ級)，當成熟度等級由執行級躍升為度量級時，網絡空間生態系統處于完全的互連互通狀態，從語義互操作轉換到策略互操作狀態，系統諸要素之間可進行信息的跨區域交互共享。同時，依據系統收發信息的質量進行針對性衡量，在此基礎上，對信息流程進行合理分析，進而共享技術和安全策略。

5)優化級(第Ⅴ級)，當成熟度等級由度量級躍升為優化級時，網絡空間生態系統處于自動化同步狀態，在策略互操作基礎上達到了技術互操作狀態，諸要素之間的信息交互實行分布式管理。同時，網絡空間生態系統的結構、功能和效能達到最佳狀態，信息收發質量滿足預定要求。

3 度量準則與指標

3.1 度量準則

度量網絡空間生態系統健康性，應遵循相關規則。1)參照可類比體系的健康性度量準則，如人體健康性、C4ISR系統[5]、網絡中心作戰[6]和信息網絡安全體系[7]，準則應能夠實現系統、結構完整和信息準確、高效傳輸。2)遵從網絡空間及其行動的特點和規律。網絡空間行動將主導和改變未來作戰模式，作用和影響網絡空間生態系統健康性[8]。準則應能夠反映系統各要素的性能指標及其動態變化，以及網絡空間及其行動的基本特點和規律。3)凸顯系統的結構特性及其能力目標屬性。網絡空間生態系統具有系統自身的連通性、抗毀性，以及實現態勢感知、信息服務和精確打擊的業務支撐能力等[9]。度量準則依賴于網絡空間生態系統的結構特性和能力屬性，應能夠反映系統的結構特點和能力屬性。

筆者從系統結構、系統功能和任務支撐能力3個維度建立度量準則，如圖2所示。

圖2 度量準則層次

1)系統結構層度量準則。從系統的組成結構出發，為系統效能的有效發揮提供基本物質保障，主要指網絡空間生態系統層級聯系緊密、結構組成完整和能級關系遞進，是健康彈性網絡空間生態系統的運行保障和物質基礎。

2)系統功能層度量準則。從系統的基本功能出發，主要指在系統結構完好的狀態下，系統內部信息主體各司其職，信息主體與信息環境之間相互協調，確保在系統內部信息的識別處理可靠、準確和高效。

3)任務支撐能力層度量準則。從系統的具體實施出發，在結構完好和功能健全的基礎上，通過網絡空間生態系統諸要素的協同工作，預測和防御網絡攻擊，并對網絡任務及其結果產生有利作用的程度。

系統結構是構成度量準則的基礎性要素，為系統功能的發揮提供物質保障，同時有效提升系統的任務支撐能力；系統功能是構成度量準則的基本屬性，為系統遂行網絡空間任務提供良好的效能支撐，同時為系統結構提供合理保障；維持健康彈性的網絡空間生態系統不僅需要結構完整和功能健全，還需要遂行網絡空間任務，應對干擾的能力，即任務支撐能力，其影響系統結構和系統功能。

3.2 度量指標

筆者主要從系統結構、系統功能和系統任務3個維度提出度量指標。

3.2.1 系統結構

系統結構維度是從系統的組成考慮，主要是指網絡空間生態系統構成的完好情況，包括自動化結構完備程度、互操作結構完備程度和身份認證結構完備程度等多項基礎性指標。

1)自動化結構完備度

自動化結構能夠有效地提升系統性能，如應急反應、決策效率以及安全配置，實施靈活、多層級的全局防御措施，實現以機器的速度應對不確定網絡安全威脅，并不斷地完善系統功能，以提升系統的抗毀、抗干擾能力。

2)互操作結構完備度

互操作結構能夠有效地提高態勢感知和信息傳輸效能?；ゲ僮鹘Y構包含語義互操作性、技術互操作性和策略互操作性3種結構，其將系統中的信息主體整合到統一的網絡防御系統中，實現以機器的速度制定和實施決策。

3)身份認證結構完備度

網絡空間生態系統各信息主體之間通過協同一致的安全策略，確保網絡用戶的個人隱私信息安全，通過實施身份認證機制，能夠有效地制止用戶身份信息遭到竊取和欺騙等，進而穩定成本、便于操控。

3.2.2 系統功能

系統功能維度從系統的安全防御、恢復能力出發，提出免疫防護、抗毀抗擾、主動響應、魯棒控制、自愈修復和閉環反饋等核心指標，是在系統結構完好的基礎上系統運維能力的體現。其中：免疫防護是指合理監管和自主防御，通過合理排除內在非己“抗原”，實現系統的安全穩定；抗毀抗擾是指抵御網絡安全威脅的能力，通過提升軟/硬件的優化設計，實現系統的安全穩定；主動響應是指預測并采取行動措施的能力，通過提升系統的主動響應能力來實現系統全局的優化控制；魯棒控制是指適應復雜網絡環境的能力，通過增強信息流動控制實現系統性能的安全穩定；自愈修復是指完善修復自身發生隨機故障的能力，通過系統的資源保障能力實現高效穩定運行；閉環反饋是指系統信息的雙向交互流通，通過完整的態勢進程提升信息交互的傳輸效率。

3.2.3 系統任務

系統任務維度從系統的基本能力出發，按照對作戰對象和環境的體系支撐能力，提出威脅感知水平、安全防護水平、災難恢復水平和信息服務水平等指標，在結構和功能健全的基礎上完成對網絡空間作戰和體系作戰的支撐任務。其中：威脅感知水平是指系統實時獲取并預測威脅信息的能力，通過漏洞掃描、流量監管等手段，實時預測/獲取網絡安全威脅信息；安全防護水平是指系統根據感知到的威脅信息，實時制定合理的應急響應策略的能力，通過漏洞檢測和安全訪問等技術，實時抵御不確定網絡攻擊；災難恢復水平是指系統結構發生改變、功能降(失)效后，實時修復網絡核心業務的能力，通過系統自適應動態調控物理和邏輯結構關系，實現系統性能、結構的動態升階/降階；信息服務水平是指系統提供完整性、實時性和共享性信息服務的能力，通過系統語義、技術和策略相結合的互操作性，提升系統的信息質量和信息流轉能力。

4 度量方法

網絡空間生態系統健康性度量具有典型的復雜性、層次化和動態性特點，涉及層次化多類型指標的綜合評估和效能動態評估等問題?；诖?，筆者采用動靜結合的評估方法，以動態貝葉斯網絡為主，結合層次分析法和模糊綜合評價，建立基于動態貝葉斯網絡的度量模型，如圖3所示。其中：動態貝葉斯網絡主要解決數據隨時間變化的不確定性、不完整性等問題；層次分析法重點解決度量指標體系的層次結構關系，實現指標體系的分層、分級度量；模糊綜合評價法解決度量指標體系的不確定性、模糊性問題，實現指標度量的客觀性和有效性[10-11]。

具體的度量步驟為：1)收集整理歷史數據、專家意見和實驗仿真數據；2)運用層次分析法對指標體系進行分層并計算各層指標權重；3)運用模糊綜合評價法對指標體系進行靜態綜合評價；4)將靜態度量的指標參數作為動態貝葉斯網絡的已知數據進行動態推理，得出仿真結果。

圖3 基于動態貝葉斯網絡的度量模型

5 仿真示例

由于缺乏足夠的戰例作為樣本，本文的參數值由專家經驗、歷史數據、實驗仿真或軍事演習等多次靜態度量的方式確定[12]，以提高度量的準確性。動態效能評估的模型參數主要有2個：1) 健康性指標條件概率，反映健康性指標之間存在的因果關系，該參數初值由專家給出；2) 健康性狀態轉移概率，反映各時間段的健康性指標狀態改變的概率，該參數值由歷史數據和專家經驗知識確定。

考慮動態貝葉斯網絡是建立在觀測信息的基礎上，在度量過程中需對網絡諸節點在各時間段的健康性狀態值進行觀測和統計，從而觸發動態貝葉斯網絡推理，更新整個網絡的概率分布，實現對系統

的動態度量。

首先，運用模糊綜合評價法對系統健康性進行靜態度量，得出系統健康性初始狀態為“優秀”“良好”“一般”“差”的概率分別為0.332、0.529、0.126、0.014。

健康性度量準則層指標的條件概率分布如表1所示，受攻擊后的健康性指標狀態轉移概率分布如表2所示，實施防御后的健康性指標狀態轉移概率分布如表3所示。

由表1可以看出：當系統健康性狀態為“優秀”時，系統結構合理性為“優秀”“良好”“一般”“差”的概率分別為0.2、0.1、0.3、0.4。

由表2可以看出：T時刻健康性狀態為“優秀”，則在T+1時刻，系統健康性狀態為“優秀”“良好”“一般”“差”的概率分別為0.6、0.1、0.2、0.1。

表1 健康性度量準則層指標的條件概率分布

表2 受攻擊后的健康性指標狀態轉移概率分布

表3 實施防御后的健康性指標狀態轉移概率分布

在動態效能分析中，需要觀測統計各時間段的健康性狀態值，輸入到動態貝葉斯度量模型，觸發動態貝葉斯網絡推理，更新系統健康性的概率分布，完成網絡空間生態系統健康性的動態度量[13]。

按照網絡空間行動的攻擊—檢測—防御的流程，在網絡空間行動起始階段，系統易遭受網絡攻擊，表4為網絡遭受攻擊后系統結構合理性、系統功能完整性和任務支撐能力3項健康性指標隨時間變化的統計結果。

圖4為遭受攻擊后系統健康性狀態概率分布情況。

表4 系統健康性準則層概率統計結果

圖4 遭受攻擊后系統健康性狀態概率分布

在檢測—防御階段，以T時刻受攻擊后的健康性指標為初始值，仿真系統結構合理性、系統功能完整性和任務支撐能力3項健康性狀態概率，圖5為實施防御后健康性狀態概率分布情況。

由表4可以看出：1)在網絡遭受攻擊階段，當系統結構、系統功能和任務支撐能力降低時，系統整體健康性逐漸降低，在圖4中，表現為健康性狀態為“優秀”和“良好”的概率降低，“一般”和“差”的概率逐漸上升；2)在檢測—防御階段，當系統抵御網絡攻擊能力增強，系統結構、系統功能和任務支撐能力得到提升，系統健康性逐漸增強，在圖5中，表現為系統健康性狀態為“優秀”和“良好”的概率上升，“一般”和“差”的概率下降，最終達到動態平衡。

圖5 實施防御后系統健康性狀態概率分布

仿真結果表明：基于動態貝葉斯網絡的模型和方法可有效評估網絡空間生態系統的健康性，通過對各時間段系統健康性的持續感知和分析，可以明確系統的健康狀態，預判影響系統作用發揮的關鍵因素和薄弱環節，為人為控制、干預系統提供參考，

進一步提升系統的安全性。

6 結論

健康彈性的網絡空間生態系統是網絡空間制權的基礎。筆者側重從理論層面分析了網絡空間生態系統的健康性度量問題，后續工作需要結合現實需求和實踐，逐步優化網絡空間生態系統的概念模型和度量指標體系，加快推進網絡空間安全標準在網絡和信息系統方面的應用研究，實現對目標系統的功能/性能的測試和評估，推進網絡空間生態系統健康性及其度量理論在網絡空間建設中的實踐應用。

[1] ALBERTS D S.The agility advantage:a survival guide for complex enterprises and endeavors[EB/OL].(2011-06-27)[2017-03-18].http:∥www.dodccrp.org/files/agility_advantage/07-20-11-chapter_3.pdf.

[2] ROSENZWEIG P.Enabling distributed security in cyberspace:building a healthy and resilient cyber ecosystem with automated collective action[EB/OL].(2011-03-23)[2017-03-20]http:∥www.doc88.com/p-7768909378094.html.

[3] 李京春, 石峰, 鐘和利.簡析美國《網絡空間可信身份國家戰略》:兼談我國網絡空間信任體系建設[J].外軍網絡空間戰,2014,14(2):2-10.

[4] 馮燕春.我國網絡生態系統建設思考[EB/OL].(2015-06-04)[2017-03-10].http:∥www.news.xinhuanet.com.politics/2015-06/04/c_127878648.htm.

[5] 何佳洲.戰場C4ISR中的體系成熟度生長模型[J].指揮控制與仿真,2012,34(1):1-5.

[6] 胡曉峰,張昱,李仁見,等.網絡化體系能力評估問題[J].系統工程理論與實踐,2015,35(5):1317-1323.

[7] 熊鋼,蘭巨龍,胡宇翔,等.基于可信度量的網絡組件性能評估方法[J].通信學報,2016,37(3):117-128.

[8] DAVID A.網絡中心行動的基本原理及其度量[M]北京:國防工業出版社,2007:33-54.

[9] 王世忠,孫娉娉.網絡空間進攻機理初步研究[J].中國電子科學研究院學報,2015,10(1):54-59,112.

[10] 謝季堅,劉承平.模糊數學方法及其應用[M].武漢:華中科技大學出版社,2013:216-238.

[11] 楊智,李金壽,董華玉.基于貝葉斯理論的自學習模糊綜合評判研究[J].軍械工程學院學報,2014,26(1):47-50.

[12] 苗強,王冬譯.系統重要性測度原理與應用[M].北京:國防工業出版社,2014:35-42.

[13] 梁洪泉,吳巍.基于動態貝葉斯網絡的可信度量模型研究[J].通信學報,2013,34(9):68-76.