羅京生

摘 要：信息系統(tǒng)可生存性指在面對攻擊、錯誤或意外事件時，能夠保持基本的功能、提供基本服務。需求分析是信息系統(tǒng)建設項目中產(chǎn)品說明書的基礎，也是信息系統(tǒng)驗收的依據(jù)之一。要讓信息系統(tǒng)具有合適的可生存性，就需要使其應與需求分析的匹配，評估與預測時應以需求分析為依據(jù)。當需求發(fā)生變更時，需要重新考慮系統(tǒng)可生存性的實現(xiàn)。

關鍵詞：可生存性；需求分析；信息系統(tǒng)

具有可生存性的信息系統(tǒng)的主要特征之一是在面對攻擊、錯誤或意外事件時，能夠保持基本的功能、提供基本服務。信息系統(tǒng)的建立要經(jīng)過需求分析、總體設計、詳細設計、編碼、系統(tǒng)測試、試運行、布線、組網(wǎng)等多個技術過程。當信息系統(tǒng)建立后，對其進行修改或調整需要耗費大量的人力與財力。因此，信息系統(tǒng)的可生存性應從設計初期就予以考慮。在信息系統(tǒng)的設計初期，對產(chǎn)品的需求分析是產(chǎn)品說明書的基礎、設計開發(fā)的前提，也是信息系統(tǒng)驗收的依據(jù)。信息系統(tǒng)所具有的可存活性應根據(jù)產(chǎn)品的需求來制定。

1 信息系統(tǒng)可生存性的定義與需求分析的內涵

1.1 可生存性的定義

信息系統(tǒng)的可生存性概念借鑒了軍事領域的可生存性，但又與其有著較大的差異。它因“誕生”較晚、研究尚未成熟、信息系統(tǒng)的復雜性等多種原因，其定義未能取得共識，仍處于研究中。Barnes等人于1993年首次提出信息系統(tǒng)的“可生存性”概念：在任意的不利條件下，基于計算機通信系統(tǒng)的應用所具有的持續(xù)滿足用戶需求的能力。Ellison提出了日后被廣泛采用的可生存性概念：可生存性是系統(tǒng)在遭受攻擊、故障等事件下還能實時提供基本服務的能力。這兩個定義具有描述的特征。此外，還有一些類似的描述性定義，它們多強調信息系統(tǒng)在運行條件的變化中仍能完成應有的任務和服務。

另一類定義以系統(tǒng)化的角度看待信息系統(tǒng)的可生存性，以系統(tǒng)性能的度量為手段判斷系統(tǒng)的可生存性。這類定義的代表人物是Knight，他認為：如果一個系統(tǒng)滿足其生存性規(guī)范，則該系統(tǒng)是可生存的?？缮嫘砸?guī)范是一個六元組（S，E，D，V，T，P），一個字母代表一個特征值，如T 是轉換集合、P 是服務概率。以這六元組各值的情況來衡量或者判斷信息系統(tǒng)的可生存性。這類定義用各種規(guī)范來定義可生存性的方式有利于可生存性的量化分析和判斷。

總的來說，信息系統(tǒng)的可生存性表示的是對系統(tǒng)能否維持一定的狀態(tài)持續(xù)提供具有一定安全保障的服務。

1.2 需求分析的內涵

項目需求分析既是一個信息系統(tǒng)建設項目的開端，又是信息系統(tǒng)建設的基石?？梢哉J為，需求分析是通過用戶需求識別、分析與綜合、揣摩規(guī)格說明及需求評審等多個階段，達到需求分析階段的目標。這些過程是對“用戶需求”進行了專業(yè)化的轉換，將用戶需求變成信息系統(tǒng)應具有的屬性與功能。

信息系統(tǒng)需求分析的工作主要包括需求的獲取、分析、處理和驗證四個過程，也可以分為需求獲取、需求規(guī)約和需求評審三個階段。它是一個信息系統(tǒng)建設項目能否成功的關鍵因素之一，初步確定了項目風險的整體情況。需求分析不明確是信息系統(tǒng)建設項目失敗的常見原因。

需求分析是系統(tǒng)建設人員與系統(tǒng)客戶及用戶不斷交流信息，對需求不斷改進和完善的過程。在這個過程中，涉及溝通管理、變更管理等多方面的問題，因此，它不僅是一個技術問題， 同時也是一個信息系統(tǒng)項目管理的問題。

2 信息系統(tǒng)可生存性應與需求分析的匹配

不同的需求分析決定了系統(tǒng)具有不同的可生存性。信息系統(tǒng)項目管理認為，對項目、產(chǎn)品的要求就是需求。項目需求包括商業(yè)需求、項目管理需求和交付需求等，而產(chǎn)品需求包括技術需求、安全需求和性能需求?！皩τ谛枨?，需要通過調研來獲得，通過分析量化并記錄在案，通過評審來得到客戶的確認，通過變更流程來管理變更。[1]”IEEE標準對需求的要求是：準確的、明確的、可驗證的、可跟蹤的、需求集應當是完整的、一致的和可修改的。客戶或用戶并非專業(yè)技術人員，對信息系統(tǒng)的表述在很大程度上與“用戶體驗”相關聯(lián)。因此，技術人員需要將需求分析的原始信息與“技術語言”匹配，使其符合需要標準，從而得到項目范圍的依據(jù)。

讓客戶明白產(chǎn)品需求與系統(tǒng)可生存性的對應關系在很大程度上決定了客戶是否會認可需求分析的結果，從而支持信息系統(tǒng)的建設，促使信息系統(tǒng)建設項目的完成。因此，需求調研的溝通過程不應該是單方向的闡釋過程，而需要雙方交換意見，最終達成共識。不同的信息系統(tǒng)需要具有不同程度、不同指標要求的可生存性。為了避免資源的浪費，讓信息系統(tǒng)建設順利進行，信息系統(tǒng)可生存性需要在客戶對產(chǎn)品需求詳細的描述下，通過雙方的溝通，漸進明細地獲得客戶認可的信息系統(tǒng)可生存性。

只有與客戶需求相匹配的可生存性才能最終獲得信息系統(tǒng)建設方的認可，才能避免評估可生存性時出現(xiàn)衡量標準有分歧的情況。此外，在為信息系統(tǒng)產(chǎn)品匹配合適的可生存性時，也應考慮產(chǎn)品需求的不同方面。在產(chǎn)品需求的三個方面中，安全需求、性能需求與信息系統(tǒng)可生存性關系更為密切。在定義該信息系統(tǒng)可生存性時，有必要先從產(chǎn)品的安全需求和性能需求入手。

3 系統(tǒng)可生存性的評估與預測應以需求分析為依據(jù)

研究信息系統(tǒng)的可生存性應以產(chǎn)品需求為依據(jù)?！霸u估與預測信息系統(tǒng)是否具有可存活性是學界研究的主要方向[2]”。評估需要標準，而標準的指定則需要依據(jù)。不同的信息系統(tǒng)需要不同的可生存性，判斷其是否滿足可生存性則需要依據(jù)客戶對系統(tǒng)的需求。因此，可生存性評估需要先獲得足夠的需求分析，然后再進行評估。這種方法將評估的結果與需求分析進行比對，判斷系統(tǒng)是否滿足可生存性需求：如果未能滿足，需要進一步改進系統(tǒng)的設計；如果滿足，則進行下一步的系統(tǒng)開發(fā)。這種評估的方式是以信息系統(tǒng)產(chǎn)品需求分析為前提，同時也是以產(chǎn)品需求為判斷依據(jù)的。

在進行生存性評估時，自適應性、服務的持續(xù)性、響應時間等多個方面的要求容易從需求分析中獲取，而系統(tǒng)克服威脅的能力則無法通過需求分析直接獲得。威脅包括意外威脅、惡意威脅、災難威脅等。在這些威脅中，有人為導致的，也有非人為、不可抗力的突發(fā)情況。評估一個信息系統(tǒng)是否能在某種程度上克服這些威脅，則應該結合產(chǎn)品需求分析中與安全要求相關的內容設定條件及標準。

對系統(tǒng)的可生存性評估往往采用建模技術，而對可生存性預測則需要使用定性、數(shù)據(jù)挖掘等多種技術。“定性預測技術主要依據(jù)專家經(jīng)驗和邏輯推理的方式進行分析和預測，如基于D-S證據(jù)理論的主觀概率預測技術[3]。”專家和邏輯推理最終的目的是預測系統(tǒng)能否在未來的運行中具有滿足要求的可生存性。滿足要求的可生存性則需要依據(jù)客戶或用戶對系統(tǒng)運行的需求。在現(xiàn)實情形中，往往會對現(xiàn)有的信息系統(tǒng)進行改進，使其具備與當下環(huán)境的可生存性。如果將系統(tǒng)改進看作為另一個新的系統(tǒng)建設項目，則應該結合系統(tǒng)原有的需求重新進行需求分析，以便為改進的目標提供依據(jù)。

4 需求的變更管理應考慮可生存性的實現(xiàn)

在信息系統(tǒng)建設過程中，當用戶的需求發(fā)生變化時，系統(tǒng)的設計也會隨之進行調整。如果不對需求變更進行有效的管理，項目會因為不可控的變更而難以完成。為了避免這種情況，需求的變更將通過變更請求、評估、決定、通知干系人、變更執(zhí)行等一系列步驟進行。每一個需求變更需要對應一個唯一的經(jīng)過核準的變更請求。需求變更的管理是信息系統(tǒng)建設項目能否順利推進的必要條件之一。

信息系統(tǒng)是一個復雜的、動態(tài)變化的系統(tǒng)。當信息系統(tǒng)運行時，影響其可生存性的因素有很多，如系統(tǒng)的硬件配置、工作人員業(yè)務水平能力、業(yè)務量和環(huán)境變化等。因需求變更而引起的信息系統(tǒng)整體變更，改變了系統(tǒng)可生存性的屬性。因此，當需求變更發(fā)生時，系統(tǒng)的設計發(fā)生調整，其可生存性也隨之發(fā)生變化。

在需求變更執(zhí)行的過程中，對可生存性的考慮有兩個方向：第一，是否在原有可生存性要求的基礎上變更；第二，是否重新擬定可生存性要求。以上兩個方向都是在能實現(xiàn)系統(tǒng)可生存性的基礎上進行的。如果需求變更導致系統(tǒng)外部環(huán)境、業(yè)務量等發(fā)生較大變化，以至于無法保證系統(tǒng)的可生存性，那么，需求變更的批準就應該重新考慮。信息系統(tǒng)的可生存性和安全、容錯性、可靠性和系統(tǒng)性能等有著密切的關系，又有著不同的層次和目標。在需求發(fā)生變更時，可生存性的考慮也應結合安全、容錯性等方面。

[參考文獻]

[1]高章舜，編著.信息系統(tǒng)項目管理師備考百科[M].北京：清華大學出版社.2012：54.

[2]林雪綱，熊華，葉進星，許榕生.信息系統(tǒng)生存性分析研究綜述[J].計算機工程.2006年05期.

[3]趙成麗.網(wǎng)絡信息系統(tǒng)可生存性的若干關鍵技術研究[D].長春：吉林大學計算機科學與技術學院.2013：7.

[4]郝建青，張仲義.信息系統(tǒng)需求分析方法研究[J].管理工程學報.2001年第02期.

[5]張樂君.網(wǎng)絡信息系統(tǒng)可生存性技術研究[D].哈爾濱：哈爾濱工程大學.2008.