丁 峰,周 芳,趙 鑫,于 靖

(中國電子科技集團公司第二十八研究所信息系統(tǒng)工程重點實驗室,江蘇 南京 210007)

0 引 言

隨著信息系統(tǒng)進入網絡中心化建設階段以及云計算、大數據、Cyber對抗等技術發(fā)展,使全域一體化聯合作戰(zhàn)對信息服務云環(huán)境提出了更高的要求,必須以“持續(xù)保障任務完成”為基礎,建設和發(fā)展能夠更好地服務于多樣化任務需求且適應快速多變、對抗激烈戰(zhàn)場環(huán)境的韌性信息服務云環(huán)境。

韌性信息服務云環(huán)境是在繼承和發(fā)展共用信息基礎設施的基礎上,引入新的理念、模式和技術手段等,使其更具靈活、適變、抗毀等韌性能力特征[1-2]:能夠更好地實現各類基礎資源的匯聚,根據不同任務背景動態(tài)組建任務系統(tǒng)、獲取相關保障信息等,支撐快速形成遂行?？章摵献鲬?zhàn)等多樣化戰(zhàn)場任務的能力。同時,在遭受部分節(jié)點失效、癱瘓、毀傷的情況能夠降級運行,可識別和預測影響任務執(zhí)行的各種異常,快速采取主動響應控制措施與策略,保障核心任務的完成。

韌性信息服務云環(huán)境作為分布在網絡上,覆蓋多級信息服務體系,是一個系統(tǒng)之系統(tǒng),其試驗評估的復雜性和難點不僅在于其組成要素眾多,信息交互關系、控制關系復雜;更在于對其核心任務保障能力的評估驗證,需要與聯合態(tài)勢感知、聯合指揮決策等核心任務相結合,需要在攻擊或擾動條件下持續(xù)保障核心任務的完成。為此,因此亟需開展韌性信息服務云環(huán)境的任務保障能力評估做研究,建立韌性能力的指標體系、評估模型,指導韌性信息服務云環(huán)境能力的構建。

本文從韌性信息服務云環(huán)境持續(xù)保障核心任務完成的角度,提出了韌性信息服務云環(huán)境的“預防/抵御、降級(吸收擾動)和恢復運行”三階段的韌性過程,分別從吸收擾動和恢復運行階段,提出了容忍度、任務波動率、能力恢復時間等瞬態(tài)類度量指標,建立了各類指標的計算方法。最后,以韌性信息服務云環(huán)境保障的區(qū)域聯合防空任務為典型案例,驗證了不同規(guī)模的引導資源毀傷條件下云環(huán)境任務保障能力。

1 相關研究

所謂韌性,是指系統(tǒng)為應對各種擾動、變化而呈現的一種能力或品質特性,即系統(tǒng)對來自自然或人為事件的干擾進行預測、抵抗、吸收、反應,適應并恢復的能力。信息服務云環(huán)境指依托基礎設施,整合網絡中各種信息、數據和軟件資源,構建含計算存儲設施、平臺、軟件、數據共享的云服務環(huán)境。而韌性信息服務云環(huán)境要求在遭受Cyber攻擊、物理毀傷與節(jié)點失效后,能夠識別異常事件,采用響應控制策略,消除或減緩攻擊或失效等對系統(tǒng)任務的影響。

目前,國外對韌性能力評估研究的大致思路是基于“韌性三角”概念提出了相關的韌性能力評估指標度量方法[1],代表性的包括韌性R4指標框架:魯棒性、冗余度、資源準備度、快速性。文獻[2]從系統(tǒng)工程和系統(tǒng)架構的角度出發(fā)所定義的韌性系統(tǒng)的4個屬性:容量、容忍、靈活性、元素間相互協(xié)作。MITRE公司[3]在其發(fā)布的《Cyber韌性度量》白皮書中,從協(xié)同防御、冗余備份、自適應響應、分析監(jiān)控、欺騙、權限控制等韌性實踐的角度,給出其中具有代表性的指標100余項。

美國George Mason University 的Mark Andrew Pflanz等人提出一種指揮控制系統(tǒng)結構韌性度量方法[4],采用Petri網描述指揮控制系統(tǒng)結構,提出3種韌性能力度量屬性:容量、容忍度、靈活性。美國佐治亞大學Michael Balchanos[5-6]等人為建立高強度、有效、適應性強的系統(tǒng),提出了基于度量分析的韌性系統(tǒng)工程評估框架,從吸收擾動、恢復、自適應調整能力建立系統(tǒng)韌性能力度量指標,涵蓋平均恢復率、恢復周期、平均降級率等。文獻[7-8]從系統(tǒng)識別、脆弱性分析、韌性目標設置、韌性能力、韌性分析等方面,建立了一套韌性能力評估框架。美國海軍研究生院[9]提出一種基于拓撲生成、分析、仿真與試驗的網絡韌性能力評估方法,旨在提高未來互聯網的韌性與生存能力。文獻[10]將Cyber系統(tǒng)韌性過程劃分為4個階段:預防、吸收擾動、恢復與自適應調整階段,從4個階段給出了系統(tǒng)韌性矩陣描述。文獻[11-13]提出一種級聯失效下的復雜系統(tǒng)韌性度量描述方法,建立一種處理互連系統(tǒng)韌性的建?？蚣?。文獻[14-15]介紹一種基于仿真的韌性策略影響方法,提出的系統(tǒng)韌性衡量指標包括:故障恢復時間、失效節(jié)點重啟時間、故障發(fā)生后從數據庫中讀取檢查點時間等。文獻[16]針對Cyber生態(tài)系統(tǒng)安全與韌性能力評估問題,建立了基于度量分析的韌性評估架構。此外,文獻[17-25]分別針對城市關鍵基礎設施、生態(tài)系統(tǒng)、社會系統(tǒng)、網絡安全管理系統(tǒng)的韌性度量問題,給出了各自領域內韌性概念內涵,介紹了韌性能力度量指標與準則。

國內在韌性能力評估方面,主要側重于網絡結構層面的韌性研究。文獻[26]從根據彈性階段化分的角度,從主動響應性、魯棒抗毀性、靈活適應系統(tǒng)、動態(tài)涌現性等方面定義了網絡化信息系統(tǒng)彈性度量指標,未涉及通信網絡、計算與存儲資源等彈性要素。文獻[27]提出基于任務能力的指揮信息系統(tǒng)超網絡彈性度量方法,建立涵蓋整體彈性能力、吸收擾動能力、快速恢復能力等指標的度量模型,其本質是基于拓撲結構來度量網絡彈性,未涉及系統(tǒng)服務、業(yè)務功能等層面的彈性。文獻[28]借鑒材料學中彈性思想,提出了一種基于“應力-應變”計算模型的商用云環(huán)境彈性能力測量方法,建立了計算資源性能、請求響應能力變化率等度量指標,側重于云環(huán)境即基礎設施即服務(infrastructure as a service,IaaS)層韌性能力度量,未涉及云環(huán)境平臺即服務(platform as a service,PaaS)、軟件即服務(soft as a service,SaaS)的韌性度量。

2 信息服務云環(huán)境韌性過程和要素

韌性信息服務云環(huán)境任務持續(xù)保障能力是指信息服務云環(huán)境在遭受Cyber攻擊和多種作戰(zhàn)任務同時保障的條件下,維持和持續(xù)保障作戰(zhàn)任務完成的能力。為度量韌性信息服務云環(huán)境任務持續(xù)保障能力,需先建立信息服務云環(huán)境在攻擊或擾動后的韌性過程模型,分為4個階段:預防階段、降級階段、恢復運行階段和自適應調整階段,如圖1所示。在預防階段,采用主動預防措施提高系統(tǒng)防護等級來防護或阻止攻擊,避免可能的擾動帶來的毀傷。在降級階段為擾動或攻擊條件下,導致韌性信息服務云環(huán)境的整體降級?；謴瓦\行階段:監(jiān)測到異?；蚬收虾?通過資源彈性擴容、服務遷移、服務器切換等響應控制策略,使韌性信息服務云環(huán)境能力恢復到穩(wěn)定狀態(tài)。自適應調整階段將根據系統(tǒng)任務的變化重新規(guī)劃系統(tǒng)資源,進行系統(tǒng)結構自適應重組。

圖1 4個階段的信息服務云環(huán)境韌性過程Fig.1 Four phase of information service cloud environment resilience process

圖1中,T0為韌性信息服務云環(huán)境開始遭受Cyber攻擊或出現內部故障的時刻;TC為開始恢復的時刻;Tstab為韌性信息服務云環(huán)境恢復到穩(wěn)定態(tài)的時刻;Vn為韌性信息服務云環(huán)境處于初始運行狀態(tài)時的指標值;Vmin為韌性信息服務云環(huán)境從降級向恢復過渡時的指標值;VT為韌性信息服務云環(huán)境指標的閾值;Vtr為云環(huán)境恢復后的性能指標值;Cd=Vn-Vmin為降級容量;Cb=Vn-VT為緩沖容量;Cred=Vmin-VT為剩余容量;Crec=Vtr-Vmin為恢復容量。

根據上述三階段的信息服務云環(huán)境韌性過程,從韌性信息服務云環(huán)境體系運行能力、任務持續(xù)保障能力兩個維度,提出了3類韌性信息服務云環(huán)境的能力:吸收擾動、適應與恢復能力,作為韌性信息服務云環(huán)境能力評估要素。

2.1 吸收擾動能力

韌性信息服務云環(huán)境在遭受Cyber攻擊/擾動后,攻擊/擾動在內部蔓延,韌性信息服務云環(huán)境仍能穩(wěn)定運行與保障任務完成的能力,該能力主要體現在能力降級程度、能力降級速率等方面。

2.2 適應能力

韌性信息服務云環(huán)境能夠主動預防威脅、及時識別威脅,采用冗余接替、服務遷移、數據備份等響應策略進行動態(tài)調整,主要體現為:異常分析與識別以及異常發(fā)生后響應策略生成與響應行動控制等能力。

2.3 恢復能力

在執(zhí)行自適應行動控制策略與措施后,韌性信息服務云環(huán)境的能力恢復以及持續(xù)保障任務完成的能力,主要體現為能力恢復程度、恢復時效性以及恢復代價。

3 韌性信息服務云環(huán)境能力評估模型

依據信息服務云環(huán)境韌性要素的分析,本文從吸收擾動能力、恢復運行能力兩方面,圍繞著降級與恢復的時間、能力波動的角度,提出韌性信息服務云環(huán)境任務持續(xù)保障能力的度量指標。

3.1 吸收擾動能力度量

吸收擾動能力反映了韌性信息服務云環(huán)境在遭受攻擊或擾動條件下,能夠持續(xù)維持一定能力輸出的程度。從能力降級程度與時間兩個方面,提出了能力降級率、抗毀頑存時間兩類度量指標。

3.1.1 能力降級率

能力降級率指韌性信息服務云環(huán)境在遭受攻擊后其能力降低至最低性能水平Vmin與遭受攻擊前能力V0的偏離程度。根據云環(huán)境體系架構組成,提出了IaaS層、PaaS層、SaaS層能力降級率指標。

(1) IaaS層能力降級率指標

IaaS層提供計算、存儲和網絡資源的的虛擬化與按需調用的能力,能夠對各類資源進行統(tǒng)一管理和調用。提出的IaaS層度量指標涵蓋:計算能力降級率ComRP、網絡處理能力降級率NetRP,其中,ComRP評估模型為

式中,Velatt、Vel0分別表示遭受攻擊后計算資源的處理速度；Mematt、Mem0分別對應著計算資源的存儲容量；Timeatt、Time0分別對應著計算資源處理時間；w1、w2、w3為權重。

網絡處理能力降級率采用遭受攻擊前后網絡傳輸帶寬的變化來度量,表示為

式中，INbw、IN0分別為攻擊前后入方向帶寬；OUTbw、OUT0為出方向帶寬。

(2) PaaS層能力降級率指標

PaaS層能力體現為服務的注冊、發(fā)現、組合、遷移與協(xié)調調度等方面,實現容器的抗毀遷移、資源彈性擴展和服務請求重定向。提出的PaaS層指標涵蓋:服務部署能力降級率SerDepP、數據庫訪問能力降級率DataAccP,計算模型為

(3) SaaS層能力降級率指標

SaaS層能力體現為信息搜索、信息目錄、信息定制與分發(fā)等能力,實現信息靈活高效的引接、組織、分發(fā)和共享。提出的SaaS層指標涵蓋:服務響應處理能力降級率SerSolveP,計算模型為

式中,SaaS服務涵蓋聯合態(tài)勢接入管理、態(tài)勢綜合處理、態(tài)勢訂閱分發(fā)、態(tài)勢顯示、方案籌劃、計劃擬制等應用服務。

3.1.2 抗毀頑存時間

抗毀頑存時間指韌性信息服務云環(huán)境從開始遭受攻擊至其能力降低最低性能水平的時間間隔,其計算模型為

ΔTR=TRec-T0

式中,ΔTR為抗毀頑存時間;T0為攻擊/擾動開始時刻;TRec為韌性信息服務云環(huán)境性能降級至最低閥值的時刻。從IaaS層、PaaS層與SaaS層能力組成的角度,分別定義了計算處理能力、網絡處理能力、數據庫訪問能力、服務響應處理能力毀頑存時間。

3.2 適應能力度量

適應能力用于衡量韌性信息服務云環(huán)境面向復雜威脅環(huán)境下異常識別與自適應響應控制等能力。本文從異常識別、響應策略生成能力,建立韌性信息服務云環(huán)境適應能力度量指標。

3.2.1 異常識別能力

異常識別能力反映韌性信息服務云環(huán)境遭受攻擊后,檢測與識別異常的能力,建立度量指標涵蓋:異常識別類別、異常識別率、異常識別時間與異常識別準確度。

(1)異常識別類別ERType:衡量在一段時間內可識別的異常事件的種類,涵蓋過載異常、流量異常、失效異常等,其評估模型為

ERType=FEnc(x過載異常,x流量異常,x失效異常)

(2)異常識別時間ERT:從發(fā)現到識別異常事件的所耗費的時間,其評估模型為

ERT=ERTRec-SCTgen

式中,ERTRec、SCTgen分別表示異常事件產生時刻、識別出異常事件時刻。

(3)異常識別率ERP:指一段時間內成功檢測的異常事件占所有事件的比例,其評估為

式中,EN(ti)、ERN(ti)表示在ti時間段內異?？偭?、識別的異常數量。

(4)異常識別準確度:衡量異常識別結果與真實事件的符合程度。

3.2.2 響應策略生成能力

響應策略生成能力用于衡量韌性信息服務云環(huán)境在監(jiān)測到異常事件后,快速生成響應策略的能力。建立的響應策略生成能力度量指標涵蓋:策略生成周期、策略生成方式。

(1)策略生成周期:指從監(jiān)測到異常事件后到生成響應控制策略的時間間隔。

(2)策略生成方式:指生成自適應響應控制策略的模式或方法,包括臨機生成、策略匹配方式。

3.3 恢復能力度量

恢復能力反映了韌性信息服務云環(huán)境在經歷擾動后,能夠部分或全部恢復初始運行狀態(tài)的能力。從恢復質量和效率方面,建立了能力恢復時間、能力恢復率、任務完成波動率等度量指標。

3.3.1 能力恢復時間

能力恢復時間是從恢復運行的角度,衡量韌性信息服務云環(huán)境采用節(jié)點備份與接替、服務遷移等響應控制策略后,云環(huán)境能力恢復快慢程度,其計算模型為

ΔResT=Tstab-Trec

式中,ΔResT為能力恢復時間;Tstab、Trec分別為韌性信息服務云環(huán)境能力開始恢復、恢復至穩(wěn)定狀態(tài)時刻。以態(tài)勢處理能力為例,記韌性信息服務云環(huán)境開始遭受拒絕服務攻擊的時刻為Tatt,導致態(tài)勢生成時間延長,監(jiān)測到異常后采用資源擴容、服務遷移策略等,態(tài)勢處理能力開始恢復時刻為Trec(situ),恢復至穩(wěn)定運行時刻為Tstab(situ),則態(tài)勢處理能力恢復時間ΔST(situ)計算模型為

ΔST(situ)=Tstab(situ)-Trec(situ)

3.3.2 能力恢復率

能力恢復率指韌性信息服務云環(huán)境遭受攻擊后,采用自適應響應恢復控制策略調整后,相比初始能力的恢復程度,其計算模型為

式中,Cap0、Capstab分別為韌性信息服務云環(huán)境初始運行能力、擾動后恢復至穩(wěn)定狀態(tài)時能力。分別從IaaS層、PaaS層、SaaS層實例化能力恢復率指標,涵蓋計算能力恢復率、網絡處理能力、服務響應能力恢復率、數據訪問能力恢復率、態(tài)勢處理能力恢復率、態(tài)勢訂閱分發(fā)能力恢復率等。

3.3.3 任務完成波動率

任務完成波動率是從恢復系統(tǒng)任務完成的角度,度量韌性信息服務云環(huán)境在遭受擾動后任務完成度Taskstab相比初始任務完成度Task0的波動比率,其計算模型為

以指揮引導任務為例,提出了指揮引導任務完成波動率度量指標,其內涵指系統(tǒng)引導資源毀傷后指揮引導能力的波動程度,計算模型為

式中,TaskP為指揮引導任務完成波動率；n=1,2,…,n為指揮引導數量。

4 仿真實驗

以韌性信息服務云環(huán)境保障聯合防空作戰(zhàn)任務為背景,通過韌性信息服務云環(huán)境原型系統(tǒng)的構建和運行,驗證其在Cyber攻擊下核心任務保障能力,能夠在攻擊或擾動發(fā)生后仍然持續(xù)保障系統(tǒng)核心任務運行。實驗環(huán)境如圖2所示。

圖2 實驗環(huán)境組成Fig.2 Composition of experimental environment

韌性信息服務云環(huán)境原型系統(tǒng)包括各級信息服務中心,主要由資源管理服務、共性服務、核心任務保障等模塊組成,其上部署通用功能服務,能夠適應多樣化任務要求,在遭受Cyber攻擊、物理毀傷,發(fā)生節(jié)點失效、故障情況下,保障核心任務的完成。

Cyber威脅模擬用于模擬服務器宕機、網絡節(jié)點與鏈路毀傷、服務中斷等Cyber威脅行為,為信息服務云環(huán)境韌性能力評估試驗環(huán)境注入威脅事件,觸發(fā)云環(huán)境韌性機制的運轉,支撐云環(huán)境資源節(jié)點毀傷條件下韌性能力試驗開展。

戰(zhàn)場劇情生成、仿真試驗控制為韌性信息服務云環(huán)境提供戰(zhàn)場自然環(huán)境與客觀兵力模擬、仿真試驗控制和管理功能,驅動韌性試驗運行。

情報、指控與武器平臺模擬將作為韌性信息服務云環(huán)境配試系統(tǒng),為韌性信息服務云環(huán)境提供情報模擬、作戰(zhàn)計劃生成、指令下達、火力打擊等功能。

為有效驗證信息服務云環(huán)境的韌性能力,本文選取任務完成波動率指標開展實驗。

實驗參數:設置5個航空兵指揮所,部署運行在虛擬機上,每個指揮所的引導容量為20批,具體如表1所示。

表1 實驗參數Table 1 Experimental parameters

下面采用Cyber威脅模擬工具編輯威脅事件,依次模擬拒絕服務攻擊、虛擬機宕機、計算資源過載攻擊等攻擊事件,使得航空兵指揮所模擬器處理能力逐漸下降,隨著攻擊強度的增大,指揮所無法正常完成引導任務。在檢測到航空兵指揮所資源處理異常后,采用引導任務接替、主備切換策略,由上級指揮所接替毀傷資源完成引導任務,使得指揮引導任務完成率波動率逐漸下降。

圖3為不同規(guī)模資源毀傷條件下指揮引導任務完成波動率的仿真實驗結果。

圖3 不同數量引導資源毀傷條件下的實驗結果Fig.3 Experimental results of resource destruction under different quantities

圖4給出不同數量的航空兵指揮所毀傷后,指揮引導任務完成波動率實驗結果。

根據上述實驗結果可知,當1個引導資源毀傷后,其引導任務可由其他資源接替完成,此時任務完成波動率為0;當4個引導資源同時毀傷后,任務完成波動率為29%,與預期結果一致。因此,為了有效降低指揮引導任務完成波動率,可依據韌性能力評估結果和毀傷對象類型,給出韌性能力提升的優(yōu)化調整控制策略。其中,針對計算資源毀傷對象,可通過計算/存儲資源彈性擴容、負載均衡、虛擬機遷移等優(yōu)化調整控制策略,提升信息系統(tǒng)服務云環(huán)境韌性能力。針對網絡資源的毀傷對象,可采用路由重定向、拓撲動態(tài)調整、流量受限等控制策略,提升其韌性能力。針對服務資源毀傷對象,采用服務遷移、接替、負載均衡等策略,提升其韌性能力。針對情報處理、指揮所等毀傷對象,將可采用資源冗余部署/主備切換、友鄰/上下級任務接替、任務再規(guī)劃(任務重新分配、資源重規(guī)劃)等韌性策略,在系統(tǒng)資源故障或毀傷不可避免的條件下,提升韌性信息云環(huán)境持續(xù)保障任務完成的能力。

圖4 不同規(guī)模資源毀傷下任務完成波動率Fig.4 Task completion volatility under different scales of damage

5 結束語

面向任務保障的韌性信息服務云環(huán)境能力評估是一項全新、復雜的工程,涉及到信息服務云環(huán)境韌性能力的度量標準如何建立、遭受的Cyber攻擊/威脅如何量化、采用何種自適應響應控制策略與措施等因素。本文從韌性信息服務云環(huán)境的降級運行與恢復運行兩階段出發(fā),從降級能力和恢復運行能力兩方面,提出了面向任務保障能力的韌性信息服務云環(huán)境能力評估指標體系和指標計算方法;通過設置不同攻擊強度的Cyber威脅,不僅驗證了任務保障能力評估模型的有效性,而且可為提升和優(yōu)化信息服務云環(huán)境韌性能力奠定基礎。