王克克,郭莉麗,郎靜宏

(1.中國航天系統(tǒng)科學與工程研究院，北京 100037；2.中國空間技術(shù)研究院，北京 100094)

1 引言

確定信息系統(tǒng)中資產(chǎn)受損或遭受破壞而導致整個信息系統(tǒng)出現(xiàn)損失情況的行為稱為信息系統(tǒng)風險評估，它衡量信息系統(tǒng)潛在威脅、脆弱性以及由此帶來的風險大小[1]。CC系列標準(The Common Criteria for Information Technology Security Evaluation，信息技術(shù)安全評價通用準則)和GB系列標準(The National Standard，中國國家標準)中的典型信息系統(tǒng)風險評估標準規(guī)定了風險評估在技術(shù)和管理方面的要求以及檢測方法、評判方法[2]，但仍然存在一些未解決的關(guān)鍵問題，如信息系統(tǒng)自身復雜性導致的信息系統(tǒng)風險評估復雜性，以及信息系統(tǒng)風險評估中組件與整體安全性的關(guān)系[2 - 4]。當前學術(shù)界主要對信息系統(tǒng)風險評估方法感興趣，相關(guān)方法可大致劃分為如下8種：基于知識的方法、基于概率論的方法、基于攻擊樹模型的方法[5,6]、基于符號驗證的方法[7 - 10]、基于層次分析的方法[11,12]、基于模型的方法[13,14]、基于模糊邏輯的方法[15,16]和基于圖論的方法[15 - 19]。這些風險評估方法關(guān)注的重點為資產(chǎn)損失或完善風險評估方法，未從業(yè)務風險角度看待問題。因此，李斌等[1]提出了面向業(yè)務的風險評估模型，從業(yè)務損失角度來量化風險。

然而當前學術(shù)界通常認為有了良好的風險評估方法就可以得到真實可靠的評估結(jié)果，而未充分考慮到風險評估行為自身對評估結(jié)果的影響?？紤]到事故致因模型與本文研究內(nèi)容的相似性，其研究成果為本文研究提供了諸多有益參考。端木京順[20]提出的基于reason的理論，張曉燕等[21]提出的基于物元分析的理論，王永剛等[22]提出的基于風險管理的理論和劉軍等[23]提出的基于模糊綜合評價的模型等，均從人類、環(huán)境、機器和管理等傳統(tǒng)的若干方面分析事故發(fā)生源頭并構(gòu)建安全指標體系，為事故預警和風險評估提供依據(jù)。上述研究成果雖然取得了相當有效的成果，但仍存在適用領域狹窄或未充分考慮組件之間交互等問題。

本文主要貢獻在于：(1)構(gòu)建了完整的風險評估行為STAMP(System-Theoretic Accident Model and Process)模型；(2)使用STPA(System Theoretic Process Analysis)分析方法對風險評估行為進行了安全性分析；(3)利用STAMP模型構(gòu)建了風險評估行為安全指標體系；(4)采用改進AHP(Analytic Hierarchy Process)算法篩選出安全指標體系中的重要因素。

2 STAMP模型

基于系統(tǒng)理論的事故致因模型STAMP是由Leveson[24]于2002年提出的，該模型認為在一個復雜的動態(tài)分層社會-技術(shù)系統(tǒng)中，安全性由系統(tǒng)各層的控制回路實施適當?shù)陌踩s束來保證，安全性是系統(tǒng)的一種涌現(xiàn)性。復雜系統(tǒng)具有多個層次結(jié)構(gòu)，每個層次結(jié)構(gòu)通過對下一個層次施加約束來控制較低層次，組件、事件發(fā)生、事件順序和環(huán)境上下文之間都存在相互作用[24]。STAMP模型認為安全是一個故障問題，當然也可以將事故簡化為一個線性事件鏈，事故發(fā)生的原因在于各層次行為缺乏安全約束[24，25]。因此，STAMP模型關(guān)注系統(tǒng)整體的涌現(xiàn)性，將安全性問題作為一種控制問題，認為單個組件的可靠性并不是全部致因因素，并發(fā)復雜動態(tài)過程和不安全交互作用才是安全性問題的致因因素。

STPA基于STAMP模型和系統(tǒng)論，是一種危險性分析技術(shù)。圖1是基于STAMP模型的反饋控制回路，參照圖1即可對系統(tǒng)安全性進行系統(tǒng)性分析。

Figure 1 Feedback control loop based on STAMP model圖1 基于STAMP模型的反饋控制回路

從圖1的反饋回路可以看出，整個系統(tǒng)可以保持動態(tài)平衡，安全是系統(tǒng)的涌現(xiàn)狀態(tài)。在此基礎上，當作用于系統(tǒng)和其組件的約束條件被滿足時，系統(tǒng)即可保持安全性。由此可知，無論系統(tǒng)設計還是系統(tǒng)修改完善，如果不能夠保持實施安全約束，就難以讓系統(tǒng)安全運行。事故被認為是帶有缺陷過程運行的結(jié)果，無論是軟硬件、人員操作還是環(huán)境間的相互作用，一旦違反系統(tǒng)安全約束，就可能導致系統(tǒng)事故。

當前STAMP模型已成功應用于航空航天[26]、國防、能源、化工、醫(yī)療和交通運輸[27]等領域，尤其在現(xiàn)代復雜系統(tǒng)的安全控制與分析中得到了廣泛應用。

STAMP模型還可以通過控制復雜的動態(tài)過程來評估安全問題。本文依據(jù)STAMP模型及安全分析過程，結(jié)合行為流程和信息交互狀況，構(gòu)建了完整的風險評估行為STAMP模型，進而進行STPA安全性分析。

3 改進AHP算法

作為一種經(jīng)典的多屬性決策方法，層次分析法AHP結(jié)合定性分析和定量分析，在多目標決策方面達到了非常好的效果，因而在多個領域應用廣泛。本文采用改進AHP算法簡化傳統(tǒng)AHP算法運算過程，通過減少指數(shù)間比較次數(shù)來大幅度降低指標重要性判斷的模糊性[28]。改進AHP算法具體步驟如下所示：

步驟1分析各因素關(guān)系，構(gòu)造指標體系，將各指標因素劃分為目標層、準則層和指標層。

步驟2采用三標度法(0,0.5,1)對比同一層級2個因素之間的重要性，設比較矩陣為A,A=(aij)n×n，A中各元素采用三標度法賦值，如式(1)所示：

(1)

Figure 2 STAMP model of risk assessment behavior圖2 風險評估行為STAMP模型

計算基點比較標度bm，bm=rmax/rmin。

判斷矩陣B中各元素bij如式(2)所示:

(2)

從式(2)可見,bii=1,bij=1/bji。

步驟4為減小判斷誤差，滿足近似要求，使得判斷矩陣合理，改造判斷矩陣B為一致性矩陣C,C=(cij)n×n，對于任意i,j=1,2,…,n，cij如式(3)所示:

(3)

步驟5計算各因素在其所在層級的相對權(quán)重。采用方根法計算判斷矩陣B最大特征值所對應的特征向量，并對該特征向量進行歸一化處理。

步驟6計算各層級因素指標對系統(tǒng)目標層的合成權(quán)重。準則層n個影響因素對目標層的相對權(quán)重分別為W1,W2,W3,…,Wn，指標層因素對應準則層的相對權(quán)重分別為w1,w2,w3,…,wn，各因素的合成權(quán)重排序后如式(4)所示：

(4)

根據(jù)合成權(quán)重排序即可得出各影響因素權(quán)重，然后進行各指標重要性排序。

4 風險評估行為模型構(gòu)建

按照信息系統(tǒng)風險評估行為涉及到的各類人員要素和工作流程，可將風險評估行為模型劃分為運行維護系統(tǒng)和安全評估系統(tǒng)，對信息系統(tǒng)開展風險評估工作是這2個系統(tǒng)的核心功能。本文構(gòu)建的信息系統(tǒng)風險評估行為控制模型如圖2所示。

在安全評估系統(tǒng)中，以風險評估機構(gòu)為主體的評估指揮者構(gòu)成控制器，評估小組為執(zhí)行器，信息系統(tǒng)為被控對象，而檢測工具、檢測表單和被測信息系統(tǒng)反饋信息起到監(jiān)測反饋作用，作為反饋器向評估指揮者反饋信息系統(tǒng)安全狀況。評估小組與信息系統(tǒng)之間也構(gòu)成一個小的反饋回路。同時，安全評估系統(tǒng)中也存在外部干擾因素，如意外斷電、地震和火災等不可抗拒力因素等。

運行維護系統(tǒng)以運行維護指揮者構(gòu)成控制器，運行維護小組構(gòu)成執(zhí)行器，信息系統(tǒng)為執(zhí)行對象，而反饋器向運行維護指揮者反饋信息系統(tǒng)運行狀態(tài)。在本文中進度控制、質(zhì)量控制和技術(shù)分析等形成反饋器。運行維護小組和信息系統(tǒng)之間構(gòu)成一個完整回路，而工具、軟硬件等因素可構(gòu)成運行維護的外部因素。

安全評估系統(tǒng)和運行維護系統(tǒng)2個控制回路分別以評估指揮者、運行維護指揮者為控制器，分別具有相應的控制模型；評估小組和運行維護小組也都需要分別進行培訓，培訓活動也可單獨構(gòu)成反饋回路。

5 風險評估行為安全性分析

STPA分析方法認為組件失效、系統(tǒng)外部干擾、系統(tǒng)組件間交互和單個系統(tǒng)組件的危險行為，才是造成系統(tǒng)安全事故發(fā)生或危險的原因[24]，具體如圖3所示。

組件失效可分為控制器失效、執(zhí)行器失效、被控對象失效和傳感器失效。系統(tǒng)外部干擾可分為系統(tǒng)外部擾動和多控制器交叉控制產(chǎn)生的沖突[24,25]。本節(jié)首先分析控制器、執(zhí)行器、傳感器和被控對象之間的相互關(guān)系，從而分析出各系統(tǒng)組件間的交互關(guān)系，最后分析單個系統(tǒng)組件的危險行為，如圖3所示。

Figure 3 Types of control defects that cause danger圖3 導致危險的控制缺陷種類

5.1 組件失效

5.1.1 控制器失效

控制輸入及其他相關(guān)外部輸入信息源、控制算法和過程模型的缺陷，導致了系統(tǒng)安全控制行為的不當、失效或缺失[24,25]。

對于圖2所示的信息系統(tǒng)風險評估行為模型而言，評估指揮者和運行維護指揮者是控制器。任務類型、其他任務規(guī)劃等共同構(gòu)成了主要的外部輸入。工作經(jīng)驗、經(jīng)營決策和安全意識等體現(xiàn)了各指揮者的管理水平，也就是如圖3所示的控制算法。指揮者的工作經(jīng)驗、培訓經(jīng)歷和掌握程度等要素均在控制模型的各類計劃方案和應用預案中有所體現(xiàn)。

5.1.2 執(zhí)行器失效

控制器發(fā)出準確及時的控制指令，但執(zhí)行器不一定能夠執(zhí)行成功，不可否認會出現(xiàn)執(zhí)行器執(zhí)行失效的情況，由于本模型中的執(zhí)行器為評估小組和運行維護小組，2個小組均由一人或多人組隊構(gòu)成，應當考慮到人工控制器會受到人類心智影響，從而導致執(zhí)行失效。

5.1.3 被控對象失效

信息系統(tǒng)是本模型中的被控對象，信息系統(tǒng)的可控狀態(tài)就是指信息系統(tǒng)所發(fā)生的事件或現(xiàn)象均處于可控范圍。

5.1.4 反饋系統(tǒng)失效

作為一個根據(jù)STAMP模型構(gòu)建而來的正反饋控制模型，一旦反饋失效，控制器收到的輸入信息就會產(chǎn)生誤差，變得不準確、不完備，控制器難以給出正確的調(diào)整指令，從而導致控制過程失效。

5.2 外部干擾

在控制回路的傳遞過程中，外部干擾往往導致安全約束丟失、延遲或錯誤的情況，最終形成事故或危險。本模型的外部干擾因素一是安全評估系統(tǒng)中對評估小組和信息系統(tǒng)被評估階段的擾動(如意外斷電、地震和火災等不可抗拒因素等)；因素二是運行維護系統(tǒng)在評估階段存在工具、軟硬件設備保障是否充分、運行維護任務的難易程度以及運行維護環(huán)境惡劣程度對運行維護任務的影響等。

5.3 組件間交互

STAMP模型并不認為組件失效是事故發(fā)生的唯一原因，系統(tǒng)性因素才是其中的關(guān)鍵。從圖2中可以發(fā)現(xiàn)，安全評估系統(tǒng)中的指令傳遞、操作信息完整性、反饋信息準確性等，以及運行維護系統(tǒng)中運行維護審批流程傳達、操作指令下達、實施準確及時程度和問題及時上報等，均屬于組件交互因素。交叉沖突、重疊或遺漏等發(fā)生在控制器邊界區(qū)的不正常情況也會造成安全事故。

5.4 單個組件危險行為

即便各組件均不失效，若發(fā)生評估小組成員違規(guī)操作、信息系統(tǒng)發(fā)生意外故障、運行維護小組成員忘記審計日志等單個組件的特定行為，也可能使系統(tǒng)發(fā)生事故或危險。該因素也被視為組件失效行為。

6 安全性指標體系構(gòu)建

根據(jù)信息系統(tǒng)風險評估行為控制模型和上述STPA安全性分析，可構(gòu)建出對應的安全性指標體系，如圖4～圖6所示。

Figure 4 Security index system of risk assessment behavior based on STAMP model (component failure factors F)圖4 基于STAMP模型的信息系統(tǒng)風險評估行為安全指標體系(組件失效因素F)

Figure 5 Security index system of risk assessment behavior based on STAMP model (external interference factors U)圖5 基于STAMP模型的信息系統(tǒng)風險評估行為安全指標體系(外部干擾因素U)

Figure 6 Security index system of risk assessment behavior based on STAMP model (component interaction factors C)圖6 基于STAMP模型的信息系統(tǒng)風險評估行為安全指標體系(組件交互因素C)

本文按照系統(tǒng)控制理論，從組件失效、外部干擾和組件交互3個維度考慮對信息系統(tǒng)風險評估行為的影響，構(gòu)建合理、全面、有效的安全指標體系。該體系可用于指導信息系統(tǒng)風險評估行為。組件指標分為運行維護指揮系統(tǒng)、運行維護小組、信息系統(tǒng)、運行維護監(jiān)測、評估指揮系統(tǒng)、評估小組和評估監(jiān)測等7類組件。

下面以風險評估前的準備工作為例，論述風險評估行為的安全性指標體系建設，其中共涉及如下組件：運行維護指揮系統(tǒng)、運行維護小組、運行維護監(jiān)測、評估指揮系統(tǒng)、評估小組和評估監(jiān)測。在啟動風險評估之前，各組件分別需要完成如下準備工作：

(1)運行維護指揮系統(tǒng)：熟悉信息系統(tǒng)建設、變更歷史和當前信息系統(tǒng)覆蓋范圍，知悉內(nèi)部軟硬件設備、安全保密措施，制定風險評估計劃、啟動會與總結(jié)會流程，以及安排風險評估陪同人員與應急整改計劃等。

(2)運行維護小組：撰寫與提交風險評估申請，知悉風險評估計劃，準備軟硬件設備臺賬、安全保密產(chǎn)品臺賬、應用系統(tǒng)臺賬，繪制網(wǎng)絡拓撲圖等，保持信息系統(tǒng)正常運行，修復發(fā)現(xiàn)的安全缺陷，修訂安全管理制度、策略與規(guī)程。

(3)運行維護監(jiān)測系統(tǒng)：檢查監(jiān)測系統(tǒng)設備有效性，檢查應急響應與告警機制有效性。

(4)評估指揮系統(tǒng)：制定與下達行程計劃，審閱信息系統(tǒng)風險評估申請資料，申明風險評估工作紀律等。

(5)評估小組：知悉行程計劃，深入了解信息系統(tǒng)風險評估申請材料與風險評估任務的內(nèi)容和工作強度等，準備檢測表單、軟硬件檢測設備等。

(6)評估監(jiān)測：了解風險評估計劃，把握重難點技術(shù)標準,以及檢查通報其他應交代的情況。

7 各因素相對權(quán)重排序

本文采用改進AHP算法比較各因素相對權(quán)重，改進AHP算法簡化了傳統(tǒng)AHP算法運算過程，通過減少指數(shù)間比較次數(shù)來大幅度降低指標重要性判斷的模糊性[28]。

本文通過查閱文獻,調(diào)查信息系統(tǒng)風險評估檢測人員,以及征詢專家意見，確定各因素相對重要性，按照三標度法(0,0.5,1)分別對組件失效因素、外部干擾因素和組件交互因素構(gòu)造比較矩陣。

7.1 組件失效因素

組件失效因素比較矩陣如式(5)所示：

(5)

以準則層因素為例，對比較矩陣F按行求和計算，獲得rmax、rmin與bm，應用數(shù)學變換依次將上述比較矩陣F轉(zhuǎn)化為判斷矩陣,然后將判斷矩陣轉(zhuǎn)化為一致性矩陣，最后采用方根法求得一致性矩陣的特征向量W，再將W轉(zhuǎn)化為歸一量化后的特征向量。

采用如上步驟獲得指標層各因素的歸一量化后的特征向量并通過加權(quán)組合，得到相對于目標層F的權(quán)重總排序，綜合上述數(shù)據(jù)可知最重要的10個影響因素的權(quán)重值排名如表1所示。

Table 1 Weight value ranking of component failure factors表1 組件失效因素的權(quán)重值排名

7.2 外部干擾因素

外部干擾因素的比較矩陣如式(6)所示：

(6)

經(jīng)過如7.1節(jié)相同的計算步驟后，得到最重要的4個影響因素的權(quán)重值排名如表2所示。

Table 2 Weight value ranking of external interference factors表2 外部干擾因素的權(quán)重值排名

7.3 組件交互因素

組件交互因素的比較矩陣如式(7)所示：

(7)

經(jīng)過如7.1節(jié)相同的計算步驟后，得到最重要的7個影響因素的權(quán)重值排名如表3所示。

Table 3 Weight value ranking of component interaction factors表3 組件交互因素的權(quán)重值排名

7.4 結(jié)果分析

組件失效因素指標層中10個最重要因素的總權(quán)值達到了70.12%；外部干擾因素指標層中4個最重要因素的總權(quán)值達到了83.62%；組件交互因素指標層中7個最重要因素的總權(quán)值達到了80.60%。

在準則層影響因素中，對于“組件失效因素”而言，各因素從高到低分別是“信息系統(tǒng)”“運行維護小組”“評估小組”“評估監(jiān)測”“運行維護監(jiān)測”“運行維護指揮系統(tǒng)”和“評估指揮系統(tǒng)”，信息系統(tǒng)本身的安全狀態(tài)尤其重要，運行維護小組保障信息系統(tǒng)處于高安全狀態(tài)才更有可能取得真實可靠的風險評估效果；對于“外部干擾因素”而言，“安全評估系統(tǒng)”的影響遠遠高于“運行維護系統(tǒng)”，其中評估標準的合理化程度受到國家及行業(yè)相關(guān)法律法規(guī)與標準等影響，同時也受到行業(yè)內(nèi)專家學者、資深從業(yè)者個人意見影響，其重要程度遠超過其他各因素；對于“組件交互因素”而言，各因素從高到低分別是“信息系統(tǒng)與運行維護監(jiān)測系統(tǒng)”“運行維護小組與信息系統(tǒng)”“信息系統(tǒng)與運行維護監(jiān)測系統(tǒng)”“運行維護系統(tǒng)與運行維護小組”“運行維護監(jiān)測系統(tǒng)與運行維護指揮系統(tǒng)”“運行維護監(jiān)測系統(tǒng)與評估指揮系統(tǒng)”“評估指揮系統(tǒng)與評估小組”和“評估小組與信息系統(tǒng)”，其中“信息系統(tǒng)與運行維護監(jiān)測系統(tǒng)”所占權(quán)重最高。

8 實驗分析

以衡量外部干擾因素對風險評估行為造成的影響為例，首先建立如表4所示的分級指標。

對某軍工企業(yè)單位辦公網(wǎng)絡進行風險評估，選擇5個不同人員對評估行為進行調(diào)查分析，得到的結(jié)果如表5所示。

從各指標的重要性排序和表5的分析結(jié)果可知，該軍工企業(yè)單位風險評估過程中，外部干擾因素的影響處于良好狀態(tài)，未對風險評估行為造成顯著影響。

Table 4 Classification index of influence degree of external interference factors表4 外部干擾因素影響程度分級指標

Table 5 Classification index parameters of external interference factors in risk assessment of a military enterprise表5 某軍工企業(yè)單位風險評估過程中外部干擾因素分級指標參數(shù)

9 結(jié)束語

如reason等傳統(tǒng)的安全性分析方法認為，人類、機器、環(huán)境和管理等因素是導致事故發(fā)生的原因，但人類行為復雜多變，組件交互行為有不確定性，傳統(tǒng)安全性分析方法未充分考慮到這些因素，因而在本質(zhì)上存在較顯著的安全缺陷。

離散化、不精確的傳統(tǒng)安全性分析方法在評估指揮、評估監(jiān)測、運行維護指揮和運行維護監(jiān)測等方面存在的問題，對快速進行事故致因分析非常不利。本文依據(jù)STAMP模型得到信息系統(tǒng)風險評估行為模型，依據(jù)STPA分析得到各個系統(tǒng)組件失效、外部干擾、組件交互3方面因素的安全性指標，涵蓋導致信息系統(tǒng)風險評估發(fā)生事故的各種可能場景，以風險評估前的準備工作為例，指標體系細化到各組件，增加的外部干擾和組件交互因素體現(xiàn)了其全面性，比傳統(tǒng)安全指標更有針對性。本文采用改進AHP算法篩選出上述指標體系中的重要因素，對指導風險評估活動具有重要參考價值。

本文采用STAMP模型構(gòu)建信息系統(tǒng)風險評估行為安全指標體系，能夠更加合理、全面、有效地反映信息系統(tǒng)風險評估行為的安全問題，為構(gòu)建安全指標體系提供了一種新思路。該指標體系為進一步結(jié)合系統(tǒng)工程思想，更有效地開展信息系統(tǒng)風險評估工作提供了重要思路。