謝麗霞，倪慧玉

(中國民航大學 計算機科學與技術學院，天津 300300)

如今，互聯(lián)網(wǎng)的快速發(fā)展使得信息平臺上的多系統(tǒng)協(xié)作關系廣泛出現(xiàn)，多系統(tǒng)協(xié)作關系影響多業(yè)務連續(xù)性。當某系統(tǒng)出現(xiàn)信息安全事件時，可能導致多項業(yè)務執(zhí)行延時或停滯。目前，針對業(yè)務系統(tǒng)安全性方面的研究已有了許多成果[1-5]。系統(tǒng)出現(xiàn)安全事件之后，分析關鍵業(yè)務對系統(tǒng)資源分配及業(yè)務連續(xù)性恢復具有重要意義。因此，針對業(yè)務流程關鍵業(yè)務節(jié)點識別和業(yè)務連續(xù)性分析是安全相關領域的研究熱點之一。

針對信息安全風險評估和業(yè)務連續(xù)性管理問題，TORABI等[6]將業(yè)務連續(xù)性風險評估結合到信息安全風險評估的框架中，提出一種基于業(yè)務連續(xù)性的信息安全風險管理體系。HARIYANTI等[7]提出一種基于業(yè)務流程結合其涉及的系統(tǒng)資產(chǎn)、系統(tǒng)脆弱性等相關因素量化評估業(yè)務流程風險的模型。VARELA-VACA等[8]設計了一種基于業(yè)務流程模型的安全風險評估的自動驗證與診斷的算法，通過分析業(yè)務流程中涉及到的業(yè)務活動，采用提出的算法計算業(yè)務風險值進行業(yè)務流程的風險評估。BELOV等[9]通過研究業(yè)務資源完成率情況，并結合漏洞評估，提出了一種融合業(yè)務完成率的風險值計算。

綜上，現(xiàn)有成果的模型是面向業(yè)務流程的，但沒有依據(jù)業(yè)務流程的具體業(yè)務進行分析。因此，筆者提出面向業(yè)務流程關鍵業(yè)務節(jié)點識別模型。該模型面向業(yè)務流程獲取待評估的業(yè)務節(jié)點集，分析量化業(yè)務節(jié)點重要性的評估屬性，并從主客觀兩個維度，形成組合權重對VIKOR方法中的評估屬性權重進行改進，即采用AE-VIKOR(Analytic hierarchy process and Entropy weighting VIKOR)方法進行關鍵業(yè)務節(jié)點識別。其中，多屬性妥協(xié)解排序VIKOR(Vise Kriterijumska Optimizacija I Kompromisno Resenje in Serbian)方法是多屬性決策常用的方法之一，經(jīng)常被用在風險評估[10-11]、經(jīng)濟學、管理學[12]等熱門領域。該模型通過AE-VIKOR評估方法實現(xiàn)了關鍵業(yè)務節(jié)點識別。當某系統(tǒng)發(fā)生信息安全事件時，模型通過分析關鍵業(yè)務節(jié)點對業(yè)務連續(xù)性的影響，計算業(yè)務連續(xù)性風險值，從而進一步證明模型的高效性和精確性。

1 關鍵業(yè)務節(jié)點識別模型

關鍵業(yè)務節(jié)點識別模型分為數(shù)據(jù)準備模塊、數(shù)據(jù)操作模塊、決策模塊和分析模塊。筆者提出的模型框架如圖1所示。

圖1 關鍵業(yè)務節(jié)點識別模型

模型各個模塊的功能設計具體如下：

(1) 數(shù)據(jù)準備模塊。依據(jù)業(yè)務流程獲取待評估業(yè)務節(jié)點集，確定業(yè)務節(jié)點評估屬性并量化，構建節(jié)點重要性決策矩陣。

(2) 數(shù)據(jù)操作模塊。該模塊從主客觀兩個維度綜合考慮，形成組合權重對決策矩陣進行加權，構建節(jié)點重要性組合權重決策矩陣。

(3) 決策模塊。利用組合權重改進VIKOR方法的決策屬性權重，基于AE-VIKOR方法計算節(jié)點重要性系數(shù)并進行排序，識別關鍵節(jié)點。

(4) 分析模塊。當系統(tǒng)發(fā)生信息安全事件時，分析關鍵業(yè)務節(jié)點對業(yè)務連續(xù)性的影響，計算業(yè)務連續(xù)性風險值，進行業(yè)務連續(xù)性風險評估，證明模型有效性和精確性。

2 數(shù)據(jù)準備與數(shù)據(jù)操作模塊

2.1 數(shù)據(jù)準備模塊

數(shù)據(jù)準備模塊獲取業(yè)務節(jié)點和屬性賦值。首先通過業(yè)務流程的分析，筆者將所有業(yè)務抽取成節(jié)點，形成待評估的業(yè)務節(jié)點集M={n1，n2，n3，…，nm}。然后確定評估屬性及量化。筆者從多角度考慮業(yè)務重要性的評估屬性，選取業(yè)務節(jié)點關聯(lián)度、業(yè)務用戶類型、業(yè)務優(yōu)先級3個因素對業(yè)務重要性進行評估。業(yè)務節(jié)點重要性評估屬性量化過程如下所示。

依據(jù)業(yè)務流程和復雜網(wǎng)絡節(jié)點度中心性理論[13]，業(yè)務關聯(lián)度可以依據(jù)其他的業(yè)務節(jié)點與該業(yè)務節(jié)點直接聯(lián)系來度量，反映業(yè)務交互的緊密關系。其量化如下所示：

gi=hi/(m-1) ，

(1)

其中，hi是與節(jié)點i直接相連的節(jié)點數(shù)，m為節(jié)點總數(shù)，gi是業(yè)務節(jié)點i相連接點數(shù)與其它節(jié)點總數(shù)的比值，數(shù)值越大，業(yè)務越重要。

業(yè)務用戶類型分為普通用戶、工作人員、兩者兼有3種。筆者用1、2、3等級分別給3種業(yè)務用戶類型賦值，即普通用戶賦值為1、工作人員賦值為2、兩者兼有賦值為3。賦值越大，用戶類型越重要，業(yè)務重要性越高。

業(yè)務優(yōu)先級賦值是基于業(yè)務的服務特征及應用類型，業(yè)務優(yōu)先級采用1、2、3、4量化，業(yè)務優(yōu)先級量化越高，表示業(yè)務重要性越高。賦值如表1所示。

表1 業(yè)務優(yōu)先級量化

數(shù)據(jù)準備模塊整體獲得的m個節(jié)點通過屬性確定和量化，形成節(jié)點重要性決策矩陣X：

(2)

2.2 數(shù)據(jù)操作模塊

為了消除評估屬性部分主觀影響，增強模型的識別效果，采用從主客觀兩個維度組合加權改進屬性權重。

表2 重要性評估屬性比較賦值表

首先，采用AHP方法計算主觀權重。依據(jù)先驗經(jīng)驗對3種評估屬性進行兩兩比較。業(yè)務關聯(lián)度是業(yè)務局部屬性，傳遞的影響較低；業(yè)務用戶直接進行業(yè)務操作，用戶的影響比業(yè)務關聯(lián)度要強，業(yè)務優(yōu)先級是比前兩種屬性影響大。因此，業(yè)務重要性評估屬性比較賦值如表2所示。

當業(yè)務重要性評估屬性比較賦值為2、4時，則表示屬性i與屬性j的影響程度比較介于3、5之間。

依據(jù)重要性評估屬性比較賦值表，構建一個初始比較矩陣A。采用算數(shù)平均法求其權重。首先，將矩陣A按照式(3)歸一化，形成矩陣B。其中，Aij是初始比較矩陣賦值。

(3)

矩陣B每一行之和進行標準化得到W={0.106，0.261，0.633}。

為避免關鍵節(jié)點識別存在矛盾，協(xié)調各個屬性重要度，需檢驗矩陣A是否滿足一致性檢驗。一致性檢驗指標CI的計算步驟如下所示。

(1) 一致性檢驗指標CI的計算為

(4)

其中，λmax是矩陣A的最大特征根，計算得到λmax=3.038 5，n是評估屬性個數(shù)，n=3，因此計算得到的CI=0.019。

(2)平均隨機一致性指標RI通過檢查表3可得。

表3 平均隨機一致性指標RI表

(3) 計算一致性比率CR，如下所示：

(5)

計算得到CR=0.037<0.1，認為初始比較矩陣A滿足一致性檢驗。

其次，采用Entropy方法計算客觀權重。熵加權利用熵值對屬性權重進行修正，熵值越小的屬性，信息量越多，評估影響越大，為業(yè)務重要性的評估提供了更可靠依據(jù)。客觀權重計算過程如式(6)～式(8)所示。

(6)

(7)

(8)

(9)

W*=EX*，

(10)

(11)

(12)

式(9)中，μmax、X*分別是(RTE)T(RTE)的最大特征根和最大特征向量。式(12)構建節(jié)點重要性組合權重決策矩陣C。

3 模型決策與分析模塊

3.1 決策模塊

決策模塊是基于AE-VIKOR方法識別關鍵業(yè)務節(jié)點。AE-VIKOR方法是對多屬性妥協(xié)解排序VIKOR方法的改進。TOPSIS[14-15](Technique for Order Performance by Similarity to Ideal Solution)方法也是多屬性評估方法中經(jīng)典之一。筆者通過實驗對比AE-VIKOR方法和TOPSIS方法計算業(yè)務重要性系數(shù)。

AE-VIKOR方法的整體作用以最大化群體貢獻值Ui衡量，個體作用以最小化個體貢獻值Ki衡量，決策值Qi利用式(13)～式(15)計算。

(13)

(14)

Qi=v(Ui-U*)/(U--U*)+(1-v)(Ki-K*)/(K--K*) ，

(15)

其中，v是決策機制系數(shù)，v=0.5。式(15)中，U*=miniUi，U-=maxiUi，K*=miniKi，K-=maxiKi。

多屬性妥協(xié)解排序VIKOR方法是屬性之間協(xié)同決策得到的折中解，為不失一般性，需要滿足以下兩個條件：

條件1 可接受優(yōu)勢性。計算得到的節(jié)點Qj值排序靠前的前兩個節(jié)點的Qi、Qj。滿足式(16)所示條件：

Qi-Qj≥1/(m-1) ，

(16)

其中，m為業(yè)務節(jié)點個數(shù)。

條件2 可接受穩(wěn)定性。關鍵業(yè)務節(jié)點的重要性系數(shù)在Ui、Ki中的排序第一。

若同時滿足以上兩個條件，模型識別結果則被視為有效。決策模塊計算的Qi值的大小即為業(yè)務重要性系數(shù)，業(yè)務重要性系數(shù)最大的節(jié)點是關鍵業(yè)務節(jié)點。通過AE-VIKOR方法計算，業(yè)務重要性系數(shù)在[0，1]之間取值。

3.2 分析模塊

圖2 信息安全與業(yè)務連續(xù)性關系圖

信息安全事件的發(fā)生會導致業(yè)務連續(xù)性風險增加。信息安全事件如自然災害事件、基礎設施故障、網(wǎng)絡攻擊、技術故障、惡意代碼攻擊等。信息安全與業(yè)務連續(xù)性關系如圖2所示。

某系統(tǒng)在某時刻出現(xiàn)網(wǎng)絡攻擊事件，通過監(jiān)測，某時刻后的業(yè)務用戶數(shù)減少，業(yè)務平均執(zhí)行時間延長，資源利用率降低，從而業(yè)務連續(xù)性下降。某時刻正常情況下的業(yè)務用戶數(shù)、業(yè)務平均執(zhí)行時間、資源利用率的最大值分別是umax、tmax、rmax。當發(fā)生信息安全事件之后，i時刻的業(yè)務用戶數(shù)、業(yè)務執(zhí)行時間、資源利用率分別是ui、ti、ri，利用式(17)～式(19)得到業(yè)務連續(xù)風險值。

(17)

ΔP=P1-P2，

(18)

L=(ΔP)Qi。

(19)

表4 業(yè)務連續(xù)性風險等級表

式(19)中的Qi表示業(yè)務重要性系數(shù)，由AE-VIKOR方法計算可得。L表示業(yè)務連續(xù)性風險值。由于ΔP的取值范圍在0～1之間，業(yè)務重要性系數(shù)Qi在0～1之間，業(yè)務連續(xù)性風險值在0～0.15之間，業(yè)務連續(xù)性風險依據(jù)連續(xù)性風險值劃分風險等級。當業(yè)務連續(xù)性風險值高于0.15時，業(yè)務連續(xù)性處于高危風險區(qū)域。業(yè)務連續(xù)性風險等級表如表4所示。

4 實驗結果與分析

4.1 AE-VIKOR計算業(yè)務重要性系數(shù)

圖3 離港業(yè)務框架圖

選擇民航離港控制系統(tǒng)業(yè)務流程作為實驗對象，業(yè)務框架如圖3所示。具體實驗過程分為以下步驟。

步驟1 獲取業(yè)務節(jié)點集。首先將所有業(yè)務抽取成節(jié)點，業(yè)務節(jié)點集N={n1，n2n3，n4，n5，n6，n7，n8，n9}，分別代表建立航班、準備辦理值機航班、配載航班、旅客值機、監(jiān)控值機航班、結束值機、結束監(jiān)控、配載結載、關閉航班。

步驟2 構建節(jié)點重要性決策矩陣。離港業(yè)務節(jié)點重要性屬性賦值如表5所示。依據(jù)表5中的各個屬性量化值構成節(jié)點重要性決策矩陣X，進而形成標準化節(jié)點重要性決策矩陣R：

步驟3 計算組合權重。已知AHP方法計算的主觀權重符合一致性檢驗wA={0.106，0.261，0.633}，因此采用其作為主觀權重。依據(jù)Entropy方法計算客觀權重wO={0.328，0.330，0.342}，將兩者進行組合計算組合權重，即wZ={0.223，0.276，0.501}。

步驟4 AE-VIKOR方法節(jié)點重要性排序。依據(jù)節(jié)3改進的AE-VIKOR方法計算出離港業(yè)務節(jié)點重要性系數(shù)，即Qi={0.198，0.146，0.519，1.00，0.484，0.495，0.105，0.057，0.118}，得到n4這個節(jié)點的重要性系數(shù)最大，即值機是離港控制系統(tǒng)的關鍵業(yè)務。

表5 離港業(yè)務節(jié)點重要性屬性賦值表

4.2 業(yè)務連續(xù)性影響分析

依據(jù)識別模型識別出的關鍵節(jié)點，有目的地對配載系統(tǒng)和旅客值機系統(tǒng)進行安全監(jiān)測。各個系統(tǒng)正常情況是T0時刻。當T0時刻系統(tǒng)發(fā)生信息安全事件之后，監(jiān)測得到1 h內的系統(tǒng)數(shù)據(jù)，發(fā)生信息安全事件后的各個時刻的業(yè)務系統(tǒng)執(zhí)行情況，如表6所示。配載系統(tǒng)與旅客值機系統(tǒng)發(fā)生信息安全事件是不一致的時間，而監(jiān)測時間與時間間隔是一致的。因此，關鍵業(yè)務和非關鍵的業(yè)務連續(xù)性風險值隨時間的變化而變化，如圖4所示。

表6 發(fā)生信息安全事件后的離港業(yè)務系統(tǒng)執(zhí)行情況表

圖4 業(yè)務連續(xù)性風險情況分析

圖4中每一個時刻的數(shù)據(jù)顯示了業(yè)務連續(xù)性風險程度。旅客值機業(yè)務在T0時刻之后的業(yè)務連續(xù)性風險值是迅速增大的，配載航班業(yè)務在T0時刻之后的業(yè)務連續(xù)性風險值緩慢增大，而配載結載業(yè)務比前兩者的影響程度較弱。當T4時刻時，配載航班業(yè)務對于業(yè)務連續(xù)性產(chǎn)生的風險是中等，而配載結載業(yè)務引起的風險則一直處于低風險區(qū)域。因此，實驗進一步證明了基于AE-VIKOR方法的關鍵業(yè)務節(jié)點識別模型的有效性和精確性。

4.3 關鍵業(yè)務節(jié)點識別方法對比

圖5 業(yè)務節(jié)點重要性系數(shù)計算方法

圖6 不同決策機制系數(shù)分析

采用AE-VIKOR方法計算民航離港業(yè)務節(jié)點重要性系數(shù)，為證明模型方法的準確率和執(zhí)行效率，將AE-VIKOR方法與其他4種方法進行實驗對比，實驗結果如圖5所示。其中AHP-VIKOR方法是主觀權重加權改進的VIKOR方法，Entropy-VIKOR方法是客觀加權改進的VIKOR方法，VIKOR方法是無加權的傳統(tǒng)方法，TOPSIS方法是將組合權重應用在TOPSIS的方法。幾種業(yè)務節(jié)點重要性系數(shù)的計算方法及業(yè)務節(jié)點排序如圖5所示。

從圖5看出，筆者提出的方法和其他4種方法相比，評估結果更加精確。AHP-VIKOR和Entropy-VIKOR單一角度進行屬性權重改進的評估，偏主觀或者客觀的角度的評估結果出現(xiàn)偏差。實驗結果顯示，將組合權重應用TOPSIS方法中在計算n1，n3，n5的業(yè)務重要性系數(shù)較AE-VIKOR方法也出現(xiàn)偏差。AE-VIKOR和TOPSIS方法計算的n3節(jié)點的重要性大于n5節(jié)點的重要性，即配載航班業(yè)務的重要性大于監(jiān)控值機航班業(yè)務，配載航班對業(yè)務連續(xù)性的影響比較大，符合現(xiàn)實性情況。但是TOPSIS計算的n5節(jié)點業(yè)務重要性小于AE-VIKOR方法，計算的業(yè)務連續(xù)性風險值與現(xiàn)實性情況不符。因此，面向業(yè)務流程關鍵業(yè)務識別采用了AE-VIKOR方法計算業(yè)務重要性系數(shù)，保證結果準確性，提高了模型識別準確率和效率，以利于業(yè)務連續(xù)性的分析與管理。

4.4 AE-VIKOR方法決策機制系數(shù)選擇對比實驗

AE-VIKOR方法的決策機制系數(shù)v不同，其評估結果不同，決策機制系數(shù)v在式(15)中出現(xiàn)。為采取合理高效的決策機制系數(shù)v，設計了系數(shù)v分別為0.2，0.4，0.5，0.6，0.8，計算節(jié)點重要性系數(shù)并分析其評估結果，如圖6所示。

從圖6看出，當v=0.5時，各個節(jié)點的重要性系數(shù)計算精確且差異明顯。因此，為提高模型普適性，模型AE-VIKOR方法的決策機制系數(shù)v設置為0.5。

5 結束語

筆者提出一種面向業(yè)務流程關鍵業(yè)務節(jié)點識別模型。通過分析業(yè)務流程獲取業(yè)務節(jié)點，并依據(jù)業(yè)務節(jié)點重要性評估屬性及量化，從主客觀兩個維度計算組合權重對屬性權重進行改進，并采用AE-VIKOR方法計算業(yè)務節(jié)點重要性系數(shù)，實現(xiàn)關鍵業(yè)務節(jié)點識別。筆者進一步分析了關鍵業(yè)務節(jié)點對業(yè)務連續(xù)性的影響，計算業(yè)務連續(xù)性風險值，證明了模型的高效性和合理性。實驗結果表明，面向業(yè)務流程關鍵業(yè)務節(jié)點識別模型識別結果精確，并合理地進行了業(yè)務連續(xù)性風險評估，為下一步系統(tǒng)資源分配和業(yè)務恢復的研究工作提供了一定理論基礎。