摘 要

基于元网络方法构建了军工关键信息基础设施风险评估框架,对现实的案例进行分析,对实际建设项目的取证建设时期进行分类,利用相关数据模型对项目进行评估,分析项目建设过程中存在的风险。使用元网络分析风险评估模型对军工关键信息基础设施进行研究,结果表明,组织机构建设指标、事件处置指标、预防项目推进进度指标、基础设施数据泄露指标、基础设施建设分工指标、协议过程指标等风险因素的风险水平传递程度较高,对项目目标实现影响较大。

内容目录:

1 研究方法

1.1 风险识别

1.2 构建风险评估元网络

2 项目元网络的构建

3 军工关键信息基础设施项目元网络及供应链安全风险评估指标体系

3.1 军工关键信息基础设施项目元网络

3.2 军工关键信息基础设施项目供应链安全风险评估指标体系

4 利用风险评估模型进行风险评估

5 结 语

当前,军工关键信息基础设施保护工作面临新问题、新挑战,需要探索关键信息基础设施运行规律,主动适应军工行业信息化、智能化发展对关键信息基础设施工作的新要求,从而推动军工关键信息基础设施保护工作取得新的进展 。一直以来,军工关键信息基础设施保护工作尽管采取了一系列有效措施,但仍然存在一些不适应形势发展需要的地方 。出现这种情况,有规章制度不完善、防护技术和设备落后、观念松懈等原因。因此,需要做好军工关键信息基础设施保护工作,引进风险管理,把风险管理理念应用于军工行业中,对关键信息基础设施存在的安全风险进行公正、客观评估,推进军工关键信息基础设施工作的科学发展 。

元网络分析是在传统的网络分析基础上进行改进的一种新型网络分析方式 。它强调的是利用定量分析的原则,将网络基础设施建设过程中受影响的所有因素进行整合,从而将各因素之间的关系描述清楚 。在元网络结构内部,信息具有交互性,是对特定功能计算机网络的描述。元网络与普通意义上的计算机网络不同,其实现的是内部局域网络或广域网络,针对节点间发生各种关联 。元网络能将一般社会网络不能揭示的节点间关系挖掘出来,可将缺失的连接和网络中核心节点分析出来。对于元网络分析的应用,已经突破了传统网络分析的局限,很多电子商务市场中的业务往来以及供应链需求和商务市场人力资源共享平台的应用得到了充分的发挥 。在很多网络平台的建设项目管理领域中,一些人通过分析定量因素的方法对整个建设工程的风险进行评估,从原则上避免出现大范围的误差 。通常情况下,军工关键信息基础设施具有较大的时间跨度,随着时间的变化,风险水平也随之变化。因此,本文基于元网络对军工关键信息基础设施风险评估模型进行了研究。

研究方法

本文所用的研究方法是对所有风险因素进行定量分析,从而对风险项目进行评估模型构建。在对模型进行构建之前,要掌握项目建设的方法和项目管理的进度,从而将各项目目标简化并归类处理,形成项目的网络结构图。对于这样的基础设施项目,需要对各项目中可能出现的风险事件进行具体的分析和识别,在对风险事件进行直接评估的同时,也要避免因外界的因素影响风险事件的出现。通过对风险事件进行网络构建,避免出现不合理的评估结果。风险因素强调通过对最直接的风险原因进行细致分析,从而避免出现典型风险,可以解决基础设施建设过程中的管理漏洞。很多风险因素来源于个人或某个事件特定的细节问题,因此在对风险因素进行评估之前,要细致考察项目实施过程中的所有环节。

1.1 风险识别

在风险评估时,首先要通过风险识别进行元网络的构建。在对风险事件、项目目标、风险因素识别等细节进行确认的同时,还要对元网络进行构建梳理,从而形成一定的关节。在该关节关联的基础上,重大的基础设施项目开展情况可能会存在较大差异,因此在风险识别过程中,要对项目参与人员和相关人员的目标差异进行分析。按照风险事件和风险因素的类别进行项目决策策划书及运营设计的分析研究。

1.2 构建风险评估元网络

针对军工关键信息基础设施保护,本文将从风险事件、风险目标和风险因素 3 个方面对项目网络的构建进行风险评估。在对这 3 个方面进行相互关联之后得出了风险评估的基本模型,不同的项目清单节点的类型会有所不同,网络结构在构建过程中可能会出现单向或双向影响关系,包括不同网络类型重新整合得到的网络结构,并通过关联因素进行所有风险因素网络的分解,单向控制所有风险,实现分级化管理。在元网络中,可以较清晰地发现节点与连接的变化对目标水平扰动的影响。通过增加或减少一个节点的方式对风险进行有效控制,使某项风险因素得到有效控制,或者打断风险事件与某项风险因素间的关联。元网络中各网络会发生相应改变,从而降低项目目标所受到的风险影响。

项目元网络的构建

元网络分析模型由各实体组成,包括人员、知识、任务、组织两两组成的网络及实体间、成员间的关系。对于相关人员和组织资源的构建,需要按照先后顺序以及任务分配的关系和人员之间的上下级关系进行重新组合。对于不同的公司来说,人员分配不同,而项目组织构架也有所不同。这就需要对元网络及矩阵的模型进行合理的创建,将运筹学、知识管理、社会网络分析模型相结合创建元矩阵模型。一个组织系统由多个要素、多个要素间构成的网络组成超矩阵,以人员、知识、任务、组织为要素,确定网络关系,得到一个元网络,元网络 / 元矩阵如表 1 所示。

表 1 元网络 / 元矩阵

按照网络结构的元素相关性,可以将元网络矩阵的节点和属性按照树状图的分类层次结构进行分析,以元网络为主体,以节点指标和网络为节点分支,共同构成结构图,从而能够对网络需求和测度指标,以及节点的指标数值进行矩阵分析。完成动态网络图的模型构建,动态元网络结构如图 1 所示。

图 1 动态元网络模型结构

由于传统的网络分析软件无法满足多元化的元网络分析要求,所以本文根据现在的网络结构,调整新的网络语言作为网络构建基础。元网络分析软件 ORA-LITE NetScenes 的出现更具现实意义,ORA-LITE NetScenes 以 XML 语言为其格式基础,同时支持多个层次、多个时间点、多种节点类型的动态元网络的建立,软件使用更加人性化。

军工关键信息基础设施项目元网络及供应链安全风险评估指标体系

3.1 军工关键信息基础设施项目元网络

本文以某军工关键信息基础设施项目的实现目标为出发点,对造成项目目标无法实现的风险事件进行分析,考虑不同风险事件、项目目标间的关联,形成各层风险因素、风险事件的网络关系。在元网络的组织构架中对前期决策风险和项目建设过程中存在的风险进行具体的数据评估,避免出现大的失误。因此,需要对当前项目风险和未来可能存在的风险进行分析,随时间的变化,运营期运行风险及项目产生的负外部效益风险的概率、程度会发生变化,本文对项目 15 年限、35 年限、55 年限的运营期运行风险及负外部效益风险进行分析。风险体系分为风险事件、项目目标、风险因素 3 个层次。风险评估数据来源于针对该军工关键基础设施项目的参与人员中相关领域专家进行的问卷调查,收集不同专家对项目中风险因素层次风险水平的判断结果,并对网络中各连接权重进行判断。在本研究中,参与问卷调查的专家共有 25 名,其中,来自军工综合运输研究部门、生态环境及灾害研究部门、经济发展研究部门的决策人员共 13 人,来自政府关键基础设施项目设计部门、建设单位的研究人员共12 人。在这些专家中,拥有高级职称的专家共13 人,副主任以上职务人数共 9 人,正军职务共 3 人。这些专家对气象水文、地质地震、经济影响、生态环境、政治军事、社会评价、工程建设、政策法律、决策管理、项目管理等十多个领域较熟悉,对于此类军工关键基础设施项目的经验较为丰富。经专家打分后,将网络使用的元网络分析软件 ORA-LITE NetScenes 进行可视化处理,该军工关键基础设施项目元网络如图 2 所示。

图 2 军工关键信息基础设施项目元网络

3.2 军工关键信息基础设施项目供应链安全风险评估指标体系

由于军工基础设施建设项目具有极高的标准化要求,所以在对项目进行建设之前,需要严格按照军工设备等建设要求对供应链安全风险进行评估,评估流程涉及 3 个方面的指标:一是军工关键信息基础设施建设情况指标;二是军工关键信息基础设施运行能力指标;三是军工关键信息基础设施安全效果指标。通过军工关键信息基础设施建设情况指标对军工关键信息基础设施项目供应链安全措施进行评估;通过军工关键信息基础设施运行能力指标对军工关键信息基础设施项目供应链安全能力进行评估;通过军工关键信息基础设施安全效果指标对军工关键信息基础设施项目供应链安全程度进行评估。这 3 个方面的每一级目标都需要对相关的风险因素进行实地考察,并且将其运用到实际的军工设备建设过程中。

该军工关键信息基础设施项目供应链安全风险评估指标体系如表 2 所示,包含一级指标3 个、二级指标 11 个、三级指标 27 个,三级指标可用于底层指标的测量。

表 2 军工关键信息基础设施项目供应链安全风险评估指标体系

续表

利用风险评估模型进行风险评估

通过专家对不同的基础设施建设项目指标进行评估打分,得到项目风险因素。对于该军工关键信息基础设施项目来说,各风险因素的风险水平对项目目标的影响程度不同,可以通过项目元网络中各连接的权重数值体现出来,不同的风险因素所产生的风险权重数值不同,这在一定程度上决定了风险因素网络架构的多元化。通过将不同的风险因素进行组织关联能够实现元网络构建之后的目标。将权重计算得出的结果进行对比后,能够很清晰地看出各风险因素之间的动态变化,从而在运用网络间的运算工具对各风险因素的目标矩阵进行权重连接时,能够实现真实可靠的数据分析。在确定需要重点关注的风险因素时,可以选择影响权重较大的风险因素。从表 3 和图 3 可以看出,组织机构建设指标 B11、事件处置指标 B62、防不被支持的系统组件指标 B102、防用户信息非法收集处理指标 B92、交付过程指标 B33、基础设施建设指标 B13、协议过程指标 B32 等风险因素的风险水平影响程度较高。

表 3 各风险因素网络连接权重

图 3 各风险因素权重对比

军工项目在建设之前要对项目的参与人员和组织机构以及风险因素进行具体评估,评估通过后才能进行项目实施。在军工关键信息基础设施建设项目中,在设备调研、规划方面,通过加强军工关键设备管理,落实管理责任,把握军工关键设备技术优势,规避决策失误风险;在设备设计、制造方面,对设备系统可靠性进行把握,综合可靠性、安全性、环保性,降低风险;在设备购置、选型方面,使实际需求、设备产能达到平衡,充分发挥设备投资能效,降低风险;在安装、运输方面,建立保护风险措施,把设备配套安装风险纳入设备设计阶段,降低风险。从风险评估的分析结果可知,军工部门能够及时避免出现一定的失误决策,减少在项目运行过程中产生的损失。军工关键信息基础设施建设项目涉及因素较多,如施工建设、运营可能造成涉及经济影响、社会影响,包括当地商业利益、群众利益等。在获得风险因素、项目目标间的影响权重后,通过专家对各风险因素在 15 年、35 年、55 年等时间跨度内的风险水平打分,可获得该军工关键信息基础设施项目目标实现情况。

结 语

本文基于元网络方法构建了重大基础设施风险评估框架,并以军工关键信息基础设施建设项目风险评估为案例进行分析、实证,得出如下结论:

一是利用星点图的方式对元网络进行搭建,再对军工关键信息基础设施建设项目的风险因素进行识别分类,之后将各个运营阶段的风险都进行整合,从而形成网络结构图。

二是使用元网络分析风险评估模型对该军工关键基础设施项目进行研究,结果表明,组织机构建设指标、事件处置指标、防不被支持的系统组件指标、防用户信息非法收集处理指标、交付过程指标、基础设施建设指标、协议过程指标等风险因素的风险水平影响程度较高,对于项目目标实现影响较大。

三是通过具体的案例分析及问卷调查的方式对专家的意见进行整合,得出整个军工建设项目的风险权重结果,使风险评估结果更真实、全面。

引用格式:高欣 , 李璐 , 段荣成 , 等 . 基于元网络分析的军工关键信息基础设施风险评估模型研究[J]. 信息安全与通信保密 ,2023(1):71-78.

作者简介

高 欣,女,硕士,高级工程师,主要研究方向为网络安全、信息系统风险评估;

李 璐,女,博士,正高级工程师,主要研究方向为网络安全;

段荣成,男,学士,主要研究方向为网络安全攻防对抗、情报分析与政策研究;

郭培馨,女,学士,工程师,主要研究方向为涉密信息系统安全风险评估。

选自《信息安全与通信保密》2023年第1期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。