李梓 謝汶姝 馬驥

摘? 要：信息化條件下，信息技術(shù)的普遍運(yùn)用顛覆了傳統(tǒng)裝備體系的概念，使戰(zhàn)場對抗呈現(xiàn)出明顯的體系化特征。裝備體系是一個復(fù)雜巨系統(tǒng)，不再是武器和人員的簡單加和，而是具備了信息物理系統(tǒng)的特征。該文基于信息物理系統(tǒng)的特征，對影響裝備體系可靠性的內(nèi)、外因素進(jìn)行了詳細(xì)分析，考慮這些因素提出了進(jìn)行裝備體系可靠性測試與評價的框架，包括硬件、軟件、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)性能、信息安全、彈性、脆性以及可靠性綜合評估等內(nèi)容。該文提出的技術(shù)策略可以為裝備體系實施完整、動態(tài)和連續(xù)的測評提供有效的支持。

關(guān)鍵詞：裝備體系? 可靠性? 測評? 框架

中圖分類號：TB114.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1672-3791（2019）04（b）-0244-04

信息化條件下，信息技術(shù)的普遍運(yùn)用顛覆了傳統(tǒng)裝備體系的概念，使戰(zhàn)場對抗呈現(xiàn)出明顯的體系化特征。作戰(zhàn)戰(zhàn)場擴(kuò)展到了陸、海、空、天、電磁等多維空間。信息化條件下體系作戰(zhàn)指的是戰(zhàn)場對抗中，在指揮控制系統(tǒng)（或理解為C4ISR）的支撐下，各種作戰(zhàn)要素、作戰(zhàn)單元、作戰(zhàn)系統(tǒng)融合成一個有機(jī)整體，共同感知戰(zhàn)場態(tài)勢，實時共享戰(zhàn)場信息，準(zhǔn)確協(xié)調(diào)戰(zhàn)場行動，同步遂行作戰(zhàn)任務(wù)。裝備體系是一個復(fù)雜巨系統(tǒng)，不再是武器和人員的簡單加和，而是具備了信息物理系統(tǒng)的特征。信息物理系統(tǒng)（Cyber Physical System，CPS）這一概念是由美國科學(xué)家Helen Gill于2006年在美國國家科學(xué)基金會上提出的[1]，是一系列計算進(jìn)程和物理進(jìn)程組件的緊密集成，通過計算核心監(jiān)控物理實體的運(yùn)行，而物理實體又借助于網(wǎng)絡(luò)和計算組件實現(xiàn)對環(huán)境的感知和控制[2]。當(dāng)前廣泛使用的電力網(wǎng)絡(luò)、交通網(wǎng)絡(luò)、通訊網(wǎng)絡(luò)、能源網(wǎng)絡(luò)、空管網(wǎng)絡(luò)、制造網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施越來越具備信息物理系統(tǒng)的特征。裝備體系的深入研究和應(yīng)用使其可靠性越發(fā)重要，一旦體系中的某一部分發(fā)生故障或遭到攻擊，由于各分系統(tǒng)或模塊的互聯(lián)互通互操作，故障的傳播將會產(chǎn)生巨大的連鎖影響。目前由于對裝備體系的信息物理故障規(guī)律認(rèn)識不夠、未能進(jìn)行有效測評與驗證，導(dǎo)致故障、事故頻發(fā)，甚至造成重大損失和人員傷亡的例子時有發(fā)生。因此，開展基于CPS的裝備體系可靠性測試與評價，以認(rèn)識系統(tǒng)的故障規(guī)律，為保證系統(tǒng)可靠安全運(yùn)行，在出現(xiàn)故障時快速響應(yīng)、恢復(fù)以及系統(tǒng)優(yōu)化改進(jìn)提供支持，是亟待解決的問題。但由于裝備體系的復(fù)雜性特點，增加了參數(shù)測量、模型建立、分析評價的難度和不確定性，給系統(tǒng)可靠性的測評帶來了很大難度。

針對CPS的分析和測評已從各不同角度開展了大量研究，文獻(xiàn)從軟件的形式化建模[3]、屬性的靜態(tài)[4]和動態(tài)驗證[5]方面，研究了CPS軟件可信性驗證方法;文獻(xiàn)研究了基于代理的建模[6]（agent-based modeling）、物理實體的面向服務(wù)體系的建模[7]（Physical-Entity service oriented model）、基于UML框架的異質(zhì)模型融合建模等CPS仿真建模方法[8]，在系統(tǒng)開發(fā)過程中對系統(tǒng)進(jìn)行測試和驗證;此外，CPS的信息安全是普遍關(guān)注的方向，利用攻擊樹[9]、貝葉斯攻擊圖[10]、Petri網(wǎng)[11]博弈論[12]等方法對網(wǎng)絡(luò)攻擊進(jìn)行定量分析，利用概率風(fēng)險評估、層次全息建模[13]對信息安全風(fēng)險進(jìn)行評估。可以看出，這些研究都是針對CPS的組成部分或關(guān)鍵性能進(jìn)行的分析和測試，但在實踐中如何針對整個系統(tǒng)形成完整的、全面的測試方案尚無人研究。

因此，該文對影響裝備體系可靠性的內(nèi)、外因素進(jìn)行了詳細(xì)分析，并提出了基于CPS的裝備體系可靠性測試與評價框架，包括硬件、軟件、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)性能、信息安全、彈性、脆性以及可靠性綜合評估等內(nèi)容。

1? 影響裝備體系可靠性的因素分析

影響裝備體系可靠安全運(yùn)行的根本原因是故障，裝備體系的故障原因可以分為內(nèi)因和外因兩類。

1.1 內(nèi)因

內(nèi)因是指影響裝備體系可靠性的系統(tǒng)內(nèi)部因素，包括硬件故障、軟件故障、網(wǎng)絡(luò)結(jié)構(gòu)不合理和控制規(guī)則不合理。

裝備體系組成結(jié)構(gòu)為硬件和軟件，在硬件上搭載具有計算功能的軟件，硬件、軟件通過有線或無線互聯(lián)互通，以純硬件或硬件與軟件相結(jié)合的方式實現(xiàn)感知、連接、計算和控制等功能[14]。因此，硬件和軟件是裝備體系實現(xiàn)一切功能的基礎(chǔ)和前提，這二者的故障直接影響裝備體系功能的實現(xiàn)，使裝備體系無法安全可靠運(yùn)行。

硬件和軟件是構(gòu)成網(wǎng)絡(luò)的要素，要將這些要素整合起來構(gòu)成網(wǎng)絡(luò)系統(tǒng)，則必然構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)是否合理，可能影響系統(tǒng)是否故障。網(wǎng)絡(luò)結(jié)構(gòu)包括拓?fù)浣Y(jié)構(gòu)和容量配置兩方面。拓?fù)浣Y(jié)構(gòu)設(shè)置不合理，例如設(shè)計出易產(chǎn)生電磁等干擾的節(jié)點集中布局，必然容易造成傳輸錯誤;網(wǎng)絡(luò)容量配置不合理，如網(wǎng)絡(luò)流量大的地方容量分配不夠，則必然引起擁塞，造成傳輸延時和/或傳輸丟失。

控制規(guī)則是指根據(jù)感知單元對環(huán)境和系統(tǒng)狀態(tài)的感知結(jié)果，決定系統(tǒng)內(nèi)部被控對象的運(yùn)行方式，以實現(xiàn)系統(tǒng)功能的預(yù)先制定的規(guī)則。與網(wǎng)絡(luò)結(jié)構(gòu)相同，控制規(guī)則設(shè)計不合理，也可能蘊(yùn)含必然的缺陷。如美國西部聯(lián)合電網(wǎng)大停電，由于控制規(guī)則不合理，由單一元件跳閘逐步導(dǎo)致潮流瞬時轉(zhuǎn)移、電壓大幅波動、設(shè)備負(fù)載越限，進(jìn)而發(fā)生一系列故障，最終發(fā)生大規(guī)模停電事故，系統(tǒng)崩潰。

1.2 外因

外因是指來自裝備體系外部的因素，包括環(huán)境條件、運(yùn)行模式和外部攻擊，它們通過作用在系統(tǒng)上導(dǎo)致硬件或軟件故障，進(jìn)而影響系統(tǒng)可靠性。

環(huán)境條件包括自然環(huán)境和社會環(huán)境：自然環(huán)境條件是指系統(tǒng)在使用時的物理、化學(xué)和生物等條件，例如氣候環(huán)境條件、生物環(huán)境條件、化學(xué)、機(jī)械等，自然環(huán)境不可避免地會對系統(tǒng)內(nèi)的硬件產(chǎn)品產(chǎn)生影響，造成如磨損、腐蝕、老化等故障;社會環(huán)境包括政治環(huán)境、經(jīng)濟(jì)環(huán)境和法制環(huán)境等，對裝備體系相關(guān)人員和理論、技術(shù)產(chǎn)生影響，引起系統(tǒng)演化，容易導(dǎo)致故障的發(fā)生。

運(yùn)行模式是指裝備體系為完成不同任務(wù)，或使系統(tǒng)安全、經(jīng)濟(jì)、合理運(yùn)行，需要經(jīng)常變更系統(tǒng)的運(yùn)行方式，由此相應(yīng)地會引起系統(tǒng)結(jié)構(gòu)或參數(shù)的變化。

外部攻擊是指來自系統(tǒng)外部的人或物的蓄意攻擊，尤其是裝備體系對于網(wǎng)絡(luò)的依賴，使得系統(tǒng)面臨網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊、蠕蟲病毒、對Internet域名系統(tǒng)（DNS）的攻擊和對路由器攻擊或利用路由器的攻擊等多種威脅，不但影響網(wǎng)絡(luò)系統(tǒng)本身，還將形成鏈?zhǔn)椒磻?yīng)，導(dǎo)致更加嚴(yán)重的后果。

2? 裝備體系可靠性測評框架

因此，綜合考慮影響裝備體系可靠性的因素，內(nèi)因作為測評對象，外因作為測評的外部條件，該文提出裝備體系可靠性測評技術(shù)的體系結(jié)構(gòu)（如圖1所示）。

裝備體系可靠性測評的時機(jī)分為準(zhǔn)入階段和運(yùn)行階段：準(zhǔn)入階段是指為度量裝備體系各產(chǎn)品投入使用前的可靠性，開展測試、檢查、試驗與評價活動，以驗證和評價其是否符合規(guī)定要求;運(yùn)行階段是指在裝備體系運(yùn)行使用的過程中，各產(chǎn)品參數(shù)會隨外部和內(nèi)部條件發(fā)生變化，由于能夠反映產(chǎn)品在實際使用環(huán)境和維修條件下的情況，運(yùn)行階段的測評比之試驗數(shù)據(jù)更能代表產(chǎn)品的表現(xiàn)，通過監(jiān)控、評估等手段評價系統(tǒng)實時的可靠性，為故障檢測、定位和快速恢復(fù)提供支持。

為使裝備體系正常實現(xiàn)功能、安全運(yùn)行，應(yīng)保證系統(tǒng)硬件可靠、軟件可信、信息安全、網(wǎng)絡(luò)連通可靠、控制規(guī)則完備，同時，在系統(tǒng)出現(xiàn)故障的情況下，能夠快速進(jìn)行故障診斷、故障定位、故障恢復(fù)，避免系統(tǒng)崩潰或造成更嚴(yán)重的后果。因此，測評內(nèi)容可分為以下3項。

（1）對待測系統(tǒng)的組成結(jié)構(gòu)、功能性能、控制規(guī)則、運(yùn)行模式、使用環(huán)境和外部攻擊情況進(jìn)行分析，確定測評的方式和目標(biāo)。

（2）對組成系統(tǒng)的硬件可靠性、軟件可信性和網(wǎng)絡(luò)可靠性進(jìn)行測評，對整個系統(tǒng)的信息安全、彈性和脆性進(jìn)行測評。

（3）根據(jù)各分立指標(biāo)的測評結(jié)果，對系統(tǒng)可靠性進(jìn)行綜合評估。

硬件是具有特定形狀的可分離的有形產(chǎn)品，是裝備體系所有功能實現(xiàn)的基礎(chǔ)。硬件可靠性水平低，對整個系統(tǒng)的各種特性都有影響。

軟件是裝備體系的重要組成部分，計算、決策等主要功能都由軟件實現(xiàn)。裝備體系屬于軟件密集型系統(tǒng)，即系統(tǒng)中的軟件在系統(tǒng)研制費用、研制時間或系統(tǒng)功能特性等一個或多個方面占主導(dǎo)地位。隨著軟件的規(guī)模增大，軟件缺陷引發(fā)的產(chǎn)品故障，甚至災(zāi)難性事故也越來越嚴(yán)重。因此在保證硬件可靠的基礎(chǔ)上，還應(yīng)保證軟件的可信運(yùn)行。對軟件進(jìn)行可信性測評，找出軟件中的缺陷錯誤，并評價其可信性是否能夠支持CPS的可靠安全運(yùn)行。

網(wǎng)絡(luò)作為裝備體系的一個重要組成部分，是實現(xiàn)資源共享的基礎(chǔ)，負(fù)責(zé)將每個具備網(wǎng)絡(luò)模塊的單元相互連接，以實現(xiàn)數(shù)據(jù)交換、資源共享和互操作。裝備體系網(wǎng)絡(luò)從無線傳感網(wǎng)絡(luò)技術(shù)脫胎而來，和無線傳感網(wǎng)絡(luò)不同的是其每一個物理部件都能無縫聯(lián)入網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)動態(tài)重組，因而其網(wǎng)絡(luò)能否長期穩(wěn)定可靠對整個裝備體系網(wǎng)絡(luò)來說舉足輕重。合理地評價和設(shè)計裝備體系網(wǎng)絡(luò)能夠大幅提高裝備體系的生存性和可靠性，降低由于網(wǎng)絡(luò)故障導(dǎo)致的重大甚至是災(zāi)難性的后果。

此外，隨著信息系統(tǒng)與控制系統(tǒng)的不斷融合，裝備體系更容易受到來自網(wǎng)絡(luò)的攻擊，病毒、蠕蟲、木馬等傳統(tǒng)網(wǎng)絡(luò)威脅成為體系面臨的重要威脅。以關(guān)鍵基礎(chǔ)設(shè)施為例，據(jù)權(quán)威工業(yè)安全事件信息庫（Repository of industrial security Incidents，RISI）統(tǒng)計，2012年（截至10月），全球已發(fā)生200余起針對網(wǎng)絡(luò)工業(yè)控制系統(tǒng)的攻擊事件，超過了過去10年安全事件的總和。而2010年Stuxnet （“震網(wǎng)”）病毒攻擊伊朗布什爾核電站造成20%的離心機(jī)失靈甚至是完全報廢的安全事件，更標(biāo)志著針對CPS的網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”升級為直接攻擊物理設(shè)備的“硬摧毀”[15]。因此，為幫助系統(tǒng)建立信息安全防護(hù)體系，評價系統(tǒng)安全性指標(biāo)，需要對裝備體系進(jìn)行信息安全測評。

作為一個綜合計算、網(wǎng)絡(luò)和物理環(huán)境的多維復(fù)雜系統(tǒng)，裝備體系的故障呈現(xiàn)出新的復(fù)雜特性和特殊機(jī)理以及復(fù)雜的故障行為。“魯棒但又脆弱”是復(fù)雜系統(tǒng)的最重要和最基本的特征之一，這一特征同樣也適用于信息物理系統(tǒng)。魯棒是指在設(shè)計裝備體系的過程中，人們考慮到了各種可能的干擾因素，系統(tǒng)在這些干擾因素的影響下，按照預(yù)先設(shè)定的控制規(guī)則，仍能夠通過自組織等方式降低或避免事故的發(fā)生，防止系統(tǒng)崩潰;脆弱則是指存在個別意想不到的干擾，使得系統(tǒng)對這些干擾可能是極端脆弱的，小的擾動就可能導(dǎo)致系統(tǒng)崩潰甚至災(zāi)難性后果。前者表現(xiàn)為系統(tǒng)的彈性，為保證系統(tǒng)在出現(xiàn)故障的情況下仍然能夠可靠安全運(yùn)行，需要設(shè)置一定的控制規(guī)則，在系統(tǒng)故障時做出響應(yīng);后者則是由于裝備體系具有脆性，指系統(tǒng)某一部分受到內(nèi)、外因素的擾動或攻擊產(chǎn)生崩潰，由此使得其他部分或整個系統(tǒng)受到直接或間接的影響，最終導(dǎo)致整個系統(tǒng)的崩潰，宏觀上的表現(xiàn)是系統(tǒng)從一種有序狀態(tài)（正常工作狀態(tài)）轉(zhuǎn)換到另一種相對無序的狀態(tài)（崩潰狀態(tài)）。

在對裝備體系的硬件、軟件、網(wǎng)絡(luò)結(jié)構(gòu)、彈性和脆性的特征分別測試后，可以從不同方面衡量系統(tǒng)的可靠性，但無法評價系統(tǒng)整體的狀態(tài)，在運(yùn)行過程中，實時獲取整個系統(tǒng)的可靠性狀態(tài)對故障響應(yīng)、系統(tǒng)改進(jìn)和風(fēng)險預(yù)測具有重要的意義。因此，需要對裝備體系可靠性進(jìn)行綜合評估，將各個方面的數(shù)據(jù)結(jié)合起來形成統(tǒng)一認(rèn)識。

3? 結(jié)語

該文基于信息物理系統(tǒng)的特征，對影響裝備體系可靠性的內(nèi)、外因素進(jìn)行了詳細(xì)分析，考慮這些因素提出了進(jìn)行裝備體系可靠性測試與評價的框架，通過對體系的組成結(jié)構(gòu)、功能性能、控制規(guī)則、運(yùn)行模式、使用環(huán)境和外部攻擊進(jìn)行分析，綜合考慮硬件可靠性、軟件可信性、網(wǎng)絡(luò)結(jié)構(gòu)及性能可靠性、信息安全、系統(tǒng)彈性和脆性，然后進(jìn)行可靠性綜合評估。這一框架可以為裝備體系實施完整、動態(tài)和連續(xù)的測評提供有效的支持，并為建立裝備體系測評系統(tǒng)和設(shè)備做了技術(shù)準(zhǔn)備。

參考文獻(xiàn)

[1] Lee， Seshia.Cyber Physical System[EB/OL].http：//cyberphysicalsystems.org/Cyber-Physical-Systems.html.

[2] Lee E A.Cyber physical systems： Design challenges： Object Oriented Real-Time Distributed Computing （ISORC）[A].IEEE International Symposium on[C].2008.

[3] Cortes L A， Eles P， Peng Z.Modeling and formal verification of embedded systems based on a Petri net representation[J].Journal of Systems Architecture， 2003（49）：571-598.

[4] Jia Y， Zhang Z， Xie S.Modeling and verification of interactive behavior for cyber-physical systems： Software Engineering and Service Science （ICSESS）[A].IEEE 2nd International Conference on[C].2011.

[5] Wang S， Ayoub A， Sokolsky O， et al.Runtime Verification of Traces under Recording Uncertainty[M].Springer Berlin Heidelberg， 2012.

[6] Lin J， Sedigh S， Miller A.A General Framework for Quantitative Modeling of Dependability in Cyber-Physical Systems： A Proposal for Doctoral Research.[A].Computer Software and Applications Conference[C].Annual IEEE International，2009：668-671.

[7] Huang J， Bastani F， Yen I L， et al.Extending service model to build an effective service composition framework for cyber-physical systems： Service-Oriented Computing and Applications （SOCA）[A].IEEE International Conference on[C].2009.

[8] 劉廈，王宇英，周興社，等.面向CPS系統(tǒng)仿真的建模方法研究與設(shè)計[J].計算機(jī)科學(xué)，2012（39）：32-35.

[9] Ten C， Liu C， Govindarasu M.Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees[A].Power Engineering Society General Meeting[C].2007.

[10] Zhang Y， Wang L， Xiang Y， et al.Power System Reliability Evaluation With SCADA Cybersecurity Considerations[A].IEEE Transactions on Smart Griad[C].2015.

[11] Chen T M， Sanchez-Aarnoutse J C， Buford J.Petri Net Modeling Of Cyber-Physical Attacks On Smart Grid[J]. Smart Grid， IEEE Transactions on， 2011，2（4）：741-749.

[12] Mahimkar A， Shmatikov V.Game-based analysis of denial-of-service prevention protocols[A]. In IEEE Computer Security Foundations Workshop[C].2005：287-301.

[13] Chittester Y Y H C， Chittester C G.A Roadmap for Quantifying the Efficacy of Risk Management of Information Security and Interdependent SCADA Systems[J].Journal of Homeland Security and Emergency Management，2005（2）.

[14] 黎作鵬，張?zhí)祚Y，張菁.信息物理融合系統(tǒng)（CPS）研究綜述[J].計算機(jī)科學(xué)，2011，38（9）：25-31.

[15] Karnouskos S.Stuxnet worm impact on industrial cyber-physical system security[A].IECON 2011 - 37th Annual Conference on IEEE Industrial Electronics Society[C].2011.

①作者簡介：李梓（1990—），女，漢族，河北廊坊人，博士，工程師，研究方向：綜合保障，復(fù)雜系統(tǒng)可靠性。