罗京生

摘 要：信息系统可生存性指在面对攻击、错误或意外事件时，能够保持基本的功能、提供基本服务。需求分析是信息系统建设项目中产品说明书的基础，也是信息系统验收的依据之一。要让信息系统具有合适的可生存性，就需要使其应与需求分析的匹配，评估与预测时应以需求分析为依据。当需求发生变更时，需要重新考虑系统可生存性的实現。

关键词：可生存性；需求分析；信息系统

具有可生存性的信息系统的主要特征之一是在面对攻击、错误或意外事件时，能够保持基本的功能、提供基本服务。信息系统的建立要经过需求分析、总体设计、详细设计、编码、系统测试、试运行、布线、组网等多个技术过程。当信息系统建立后，对其进行修改或调整需要耗费大量的人力与财力。因此，信息系统的可生存性应从设计初期就予以考虑。在信息系统的设计初期，对产品的需求分析是产品说明书的基础、设计开发的前提，也是信息系统验收的依据。信息系统所具有的可存活性应根据产品的需求来制定。

1 信息系统可生存性的定义与需求分析的内涵

1.1 可生存性的定义

信息系统的可生存性概念借鉴了军事领域的可生存性，但又与其有着较大的差异。它因“诞生”较晚、研究尚未成熟、信息系统的复杂性等多种原因，其定义未能取得共识，仍处于研究中。Barnes等人于1993年首次提出信息系统的“可生存性”概念：在任意的不利条件下，基于计算机通信系统的应用所具有的持续满足用户需求的能力。Ellison提出了日后被广泛采用的可生存性概念：可生存性是系统在遭受攻击、故障等事件下还能实时提供基本服务的能力。这两个定义具有描述的特征。此外，还有一些类似的描述性定义，它们多强调信息系统在运行条件的变化中仍能完成应有的任务和服务。

另一类定义以系统化的角度看待信息系统的可生存性，以系统性能的度量为手段判断系统的可生存性。这类定义的代表人物是Knight，他认为：如果一个系统满足其生存性规范，则该系统是可生存的。可生存性规范是一个六元组（S，E，D，V，T，P），一个字母代表一个特征值，如T 是转换集合、P 是服务概率。以这六元组各值的情况来衡量或者判断信息系统的可生存性。这类定义用各种规范来定义可生存性的方式有利于可生存性的量化分析和判断。

总的来说，信息系统的可生存性表示的是对系统能否维持一定的状态持续提供具有一定安全保障的服务。

1.2 需求分析的内涵

项目需求分析既是一个信息系统建设项目的开端，又是信息系统建设的基石。可以认为，需求分析是通过用户需求识别、分析与综合、揣摩规格说明及需求评审等多个阶段，达到需求分析阶段的目标。这些过程是对“用户需求”进行了专业化的转换，将用户需求变成信息系统应具有的属性与功能。

信息系统需求分析的工作主要包括需求的获取、分析、处理和验证四个过程，也可以分为需求获取、需求规约和需求评审三个阶段。它是一个信息系统建设项目能否成功的关键因素之一，初步确定了项目风险的整体情况。需求分析不明确是信息系统建设项目失败的常见原因。

需求分析是系统建设人员与系统客户及用户不断交流信息，对需求不断改进和完善的过程。在这个过程中，涉及沟通管理、变更管理等多方面的问题，因此，它不仅是一个技术问题， 同时也是一个信息系统项目管理的问题。

2 信息系统可生存性应与需求分析的匹配

不同的需求分析决定了系统具有不同的可生存性。信息系统项目管理认为，对项目、产品的要求就是需求。项目需求包括商业需求、项目管理需求和交付需求等，而产品需求包括技术需求、安全需求和性能需求。“对于需求，需要通过调研来获得，通过分析量化并记录在案，通过评审来得到客户的确认，通过变更流程来管理变更。[1]”IEEE标准对需求的要求是：准确的、明确的、可验证的、可跟踪的、需求集应当是完整的、一致的和可修改的。客户或用户并非专业技术人员，对信息系统的表述在很大程度上与“用户体验”相关联。因此，技术人员需要将需求分析的原始信息与“技术语言”匹配，使其符合需要标准，从而得到项目范围的依据。

让客户明白产品需求与系统可生存性的对应关系在很大程度上决定了客户是否会认可需求分析的结果，从而支持信息系统的建设，促使信息系统建设项目的完成。因此，需求调研的沟通过程不应该是单方向的阐释过程，而需要双方交换意见，最终达成共识。不同的信息系统需要具有不同程度、不同指标要求的可生存性。为了避免资源的浪费，让信息系统建设顺利进行，信息系统可生存性需要在客户对产品需求详细的描述下，通过双方的沟通，渐进明细地获得客户认可的信息系统可生存性。

只有与客户需求相匹配的可生存性才能最终获得信息系统建设方的认可，才能避免评估可生存性时出现衡量标准有分歧的情况。此外，在为信息系统产品匹配合适的可生存性时，也应考虑产品需求的不同方面。在产品需求的三个方面中，安全需求、性能需求与信息系统可生存性关系更为密切。在定义该信息系统可生存性时，有必要先从产品的安全需求和性能需求入手。

3 系统可生存性的评估与预测应以需求分析为依据

研究信息系统的可生存性应以产品需求为依据。“评估与预测信息系统是否具有可存活性是学界研究的主要方向[2]”。评估需要标准，而标准的指定则需要依据。不同的信息系统需要不同的可生存性，判断其是否满足可生存性则需要依据客户对系统的需求。因此，可生存性评估需要先获得足够的需求分析，然后再进行评估。这种方法将评估的结果与需求分析进行比对，判断系统是否满足可生存性需求：如果未能满足，需要进一步改进系统的设计；如果满足，则进行下一步的系统开发。这种评估的方式是以信息系统产品需求分析为前提，同时也是以产品需求为判断依据的。

在进行生存性评估时，自适应性、服务的持续性、响应时间等多个方面的要求容易从需求分析中获取，而系统克服威胁的能力则无法通过需求分析直接获得。威胁包括意外威胁、恶意威胁、灾难威胁等。在这些威胁中，有人为导致的，也有非人为、不可抗力的突发情况。评估一个信息系统是否能在某种程度上克服这些威胁，则应该结合产品需求分析中与安全要求相关的内容设定条件及标准。

对系统的可生存性评估往往采用建模技术，而对可生存性预测则需要使用定性、数据挖掘等多种技术。“定性预测技术主要依据专家经验和逻辑推理的方式進行分析和预测，如基于D-S证据理论的主观概率预测技术[3]。”专家和逻辑推理最终的目的是预测系统能否在未来的运行中具有满足要求的可生存性。满足要求的可生存性则需要依据客户或用户对系统运行的需求。在现实情形中，往往会对现有的信息系统进行改进，使其具备与当下环境的可生存性。如果将系统改进看作为另一个新的系统建设项目，则应该结合系统原有的需求重新进行需求分析，以便为改进的目标提供依据。

4 需求的变更管理应考虑可生存性的实现

在信息系统建设过程中，当用户的需求发生变化时，系统的设计也会随之进行调整。如果不对需求变更进行有效的管理，项目会因为不可控的变更而难以完成。为了避免这种情况，需求的变更将通过变更请求、评估、决定、通知干系人、变更执行等一系列步骤进行。每一个需求变更需要对应一个唯一的经过核准的变更请求。需求变更的管理是信息系统建设项目能否顺利推进的必要条件之一。

信息系统是一个复杂的、动态变化的系统。当信息系统运行时，影响其可生存性的因素有很多，如系统的硬件配置、工作人员业务水平能力、业务量和环境变化等。因需求变更而引起的信息系统整体变更，改变了系统可生存性的属性。因此，当需求变更发生时，系统的设计发生调整，其可生存性也随之发生变化。

在需求变更执行的过程中，对可生存性的考虑有两个方向：第一，是否在原有可生存性要求的基础上变更；第二，是否重新拟定可生存性要求。以上两个方向都是在能实现系统可生存性的基础上进行的。如果需求变更导致系统外部环境、业务量等发生较大变化，以至于无法保证系统的可生存性，那么，需求变更的批准就应该重新考虑。信息系统的可生存性和安全、容错性、可靠性和系统性能等有着密切的关系，又有着不同的层次和目标。在需求发生变更时，可生存性的考虑也应结合安全、容错性等方面。

[参考文献]

[1]高章舜，编著.信息系统项目管理师备考百科[M].北京：清华大学出版社.2012：54.

[2]林雪纲，熊华，叶进星，许榕生.信息系统生存性分析研究综述[J].计算机工程.2006年05期.

[3]赵成丽.网络信息系统可生存性的若干关键技术研究[D].长春：吉林大学计算机科学与技术学院.2013：7.

[4]郝建青，张仲义.信息系统需求分析方法研究[J].管理工程学报.2001年第02期.

[5]张乐君.网络信息系统可生存性技术研究[D].哈尔滨：哈尔滨工程大学.2008.