谢丽霞，倪慧玉

(中国民航大学 计算机科学与技术学院，天津 300300)

如今，互联网的快速发展使得信息平台上的多系统协作关系广泛出现，多系统协作关系影响多业务连续性。当某系统出现信息安全事件时，可能导致多项业务执行延时或停滞。目前，针对业务系统安全性方面的研究已有了许多成果[1-5]。系统出现安全事件之后，分析关键业务对系统资源分配及业务连续性恢复具有重要意义。因此，针对业务流程关键业务节点识别和业务连续性分析是安全相关领域的研究热点之一。

针对信息安全风险评估和业务连续性管理问题，TORABI等[6]将业务连续性风险评估结合到信息安全风险评估的框架中，提出一种基于业务连续性的信息安全风险管理体系。HARIYANTI等[7]提出一种基于业务流程结合其涉及的系统资产、系统脆弱性等相关因素量化评估业务流程风险的模型。VARELA-VACA等[8]设计了一种基于业务流程模型的安全风险评估的自动验证与诊断的算法，通过分析业务流程中涉及到的业务活动，采用提出的算法计算业务风险值进行业务流程的风险评估。BELOV等[9]通过研究业务资源完成率情况，并结合漏洞评估，提出了一种融合业务完成率的风险值计算。

综上，现有成果的模型是面向业务流程的，但没有依据业务流程的具体业务进行分析。因此，笔者提出面向业务流程关键业务节点识别模型。该模型面向业务流程获取待评估的业务节点集，分析量化业务节点重要性的评估属性，并从主客观两个维度，形成组合权重对VIKOR方法中的评估属性权重进行改进，即采用AE-VIKOR(Analytic hierarchy process and Entropy weighting VIKOR)方法进行关键业务节点识别。其中，多属性妥协解排序VIKOR(Vise Kriterijumska Optimizacija I Kompromisno Resenje in Serbian)方法是多属性决策常用的方法之一，经常被用在风险评估[10-11]、经济学、管理学[12]等热门领域。该模型通过AE-VIKOR评估方法实现了关键业务节点识别。当某系统发生信息安全事件时，模型通过分析关键业务节点对业务连续性的影响，计算业务连续性风险值，从而进一步证明模型的高效性和精确性。

1 关键业务节点识别模型

关键业务节点识别模型分为数据准备模块、数据操作模块、决策模块和分析模块。笔者提出的模型框架如图1所示。

图1 关键业务节点识别模型

模型各个模块的功能设计具体如下：

(1) 数据准备模块。依据业务流程获取待评估业务节点集，确定业务节点评估属性并量化，构建节点重要性决策矩阵。

(2) 数据操作模块。该模块从主客观两个维度综合考虑，形成组合权重对决策矩阵进行加权，构建节点重要性组合权重决策矩阵。

(3) 决策模块。利用组合权重改进VIKOR方法的决策属性权重，基于AE-VIKOR方法计算节点重要性系数并进行排序，识别关键节点。

(4) 分析模块。当系统发生信息安全事件时，分析关键业务节点对业务连续性的影响，计算业务连续性风险值，进行业务连续性风险评估，证明模型有效性和精确性。

2 数据准备与数据操作模块

2.1 数据准备模块

数据准备模块获取业务节点和属性赋值。首先通过业务流程的分析，笔者将所有业务抽取成节点，形成待评估的业务节点集M={n1，n2，n3，…，nm}。然后确定评估属性及量化。笔者从多角度考虑业务重要性的评估属性，选取业务节点关联度、业务用户类型、业务优先级3个因素对业务重要性进行评估。业务节点重要性评估属性量化过程如下所示。

依据业务流程和复杂网络节点度中心性理论[13]，业务关联度可以依据其他的业务节点与该业务节点直接联系来度量，反映业务交互的紧密关系。其量化如下所示：

gi=hi/(m-1) ，

(1)

其中，hi是与节点i直接相连的节点数，m为节点总数，gi是业务节点i相连接点数与其它节点总数的比值，数值越大，业务越重要。

业务用户类型分为普通用户、工作人员、两者兼有3种。笔者用1、2、3等级分别给3种业务用户类型赋值，即普通用户赋值为1、工作人员赋值为2、两者兼有赋值为3。赋值越大，用户类型越重要，业务重要性越高。

业务优先级赋值是基于业务的服务特征及应用类型，业务优先级采用1、2、3、4量化，业务优先级量化越高，表示业务重要性越高。赋值如表1所示。

表1 业务优先级量化

数据准备模块整体获得的m个节点通过属性确定和量化，形成节点重要性决策矩阵X：

(2)

2.2 数据操作模块

为了消除评估属性部分主观影响，增强模型的识别效果，采用从主客观两个维度组合加权改进属性权重。

表2 重要性评估属性比较赋值表

首先，采用AHP方法计算主观权重。依据先验经验对3种评估属性进行两两比较。业务关联度是业务局部属性，传递的影响较低；业务用户直接进行业务操作，用户的影响比业务关联度要强，业务优先级是比前两种属性影响大。因此，业务重要性评估属性比较赋值如表2所示。

当业务重要性评估属性比较赋值为2、4时，则表示属性i与属性j的影响程度比较介于3、5之间。

依据重要性评估属性比较赋值表，构建一个初始比较矩阵A。采用算数平均法求其权重。首先，将矩阵A按照式(3)归一化，形成矩阵B。其中，Aij是初始比较矩阵赋值。

(3)

矩阵B每一行之和进行标准化得到W={0.106，0.261，0.633}。

为避免关键节点识别存在矛盾，协调各个属性重要度，需检验矩阵A是否满足一致性检验。一致性检验指标CI的计算步骤如下所示。

(1) 一致性检验指标CI的计算为

(4)

其中，λmax是矩阵A的最大特征根，计算得到λmax=3.038 5，n是评估属性个数，n=3，因此计算得到的CI=0.019。

(2)平均随机一致性指标RI通过检查表3可得。

表3 平均随机一致性指标RI表

(3) 计算一致性比率CR，如下所示：

(5)

计算得到CR=0.037<0.1，认为初始比较矩阵A满足一致性检验。

其次，采用Entropy方法计算客观权重。熵加权利用熵值对属性权重进行修正，熵值越小的属性，信息量越多，评估影响越大，为业务重要性的评估提供了更可靠依据。客观权重计算过程如式(6)～式(8)所示。

(6)

(7)

(8)

(9)

W*=EX*，

(10)

(11)

(12)

式(9)中，μmax、X*分别是(RTE)T(RTE)的最大特征根和最大特征向量。式(12)构建节点重要性组合权重决策矩阵C。

3 模型决策与分析模块

3.1 决策模块

决策模块是基于AE-VIKOR方法识别关键业务节点。AE-VIKOR方法是对多属性妥协解排序VIKOR方法的改进。TOPSIS[14-15](Technique for Order Performance by Similarity to Ideal Solution)方法也是多属性评估方法中经典之一。笔者通过实验对比AE-VIKOR方法和TOPSIS方法计算业务重要性系数。

AE-VIKOR方法的整体作用以最大化群体贡献值Ui衡量，个体作用以最小化个体贡献值Ki衡量，决策值Qi利用式(13)～式(15)计算。

(13)

(14)

Qi=v(Ui-U*)/(U--U*)+(1-v)(Ki-K*)/(K--K*) ，

(15)

其中，v是决策机制系数，v=0.5。式(15)中，U*=miniUi，U-=maxiUi，K*=miniKi，K-=maxiKi。

多属性妥协解排序VIKOR方法是属性之间协同决策得到的折中解，为不失一般性，需要满足以下两个条件：

条件1 可接受优势性。计算得到的节点Qj值排序靠前的前两个节点的Qi、Qj。满足式(16)所示条件：

Qi-Qj≥1/(m-1) ，

(16)

其中，m为业务节点个数。

条件2 可接受稳定性。关键业务节点的重要性系数在Ui、Ki中的排序第一。

若同时满足以上两个条件，模型识别结果则被视为有效。决策模块计算的Qi值的大小即为业务重要性系数，业务重要性系数最大的节点是关键业务节点。通过AE-VIKOR方法计算，业务重要性系数在[0，1]之间取值。

3.2 分析模块

图2 信息安全与业务连续性关系图

信息安全事件的发生会导致业务连续性风险增加。信息安全事件如自然灾害事件、基础设施故障、网络攻击、技术故障、恶意代码攻击等。信息安全与业务连续性关系如图2所示。

某系统在某时刻出现网络攻击事件，通过监测，某时刻后的业务用户数减少，业务平均执行时间延长，资源利用率降低，从而业务连续性下降。某时刻正常情况下的业务用户数、业务平均执行时间、资源利用率的最大值分别是umax、tmax、rmax。当发生信息安全事件之后，i时刻的业务用户数、业务执行时间、资源利用率分别是ui、ti、ri，利用式(17)～式(19)得到业务连续风险值。

(17)

ΔP=P1-P2，

(18)

L=(ΔP)Qi。

(19)

表4 业务连续性风险等级表

式(19)中的Qi表示业务重要性系数，由AE-VIKOR方法计算可得。L表示业务连续性风险值。由于ΔP的取值范围在0～1之间，业务重要性系数Qi在0～1之间，业务连续性风险值在0～0.15之间，业务连续性风险依据连续性风险值划分风险等级。当业务连续性风险值高于0.15时，业务连续性处于高危风险区域。业务连续性风险等级表如表4所示。

4 实验结果与分析

4.1 AE-VIKOR计算业务重要性系数

图3 离港业务框架图

选择民航离港控制系统业务流程作为实验对象，业务框架如图3所示。具体实验过程分为以下步骤。

步骤1 获取业务节点集。首先将所有业务抽取成节点，业务节点集N={n1，n2n3，n4，n5，n6，n7，n8，n9}，分别代表建立航班、准备办理值机航班、配载航班、旅客值机、监控值机航班、结束值机、结束监控、配载结载、关闭航班。

步骤2 构建节点重要性决策矩阵。离港业务节点重要性属性赋值如表5所示。依据表5中的各个属性量化值构成节点重要性决策矩阵X，进而形成标准化节点重要性决策矩阵R：

步骤3 计算组合权重。已知AHP方法计算的主观权重符合一致性检验wA={0.106，0.261，0.633}，因此采用其作为主观权重。依据Entropy方法计算客观权重wO={0.328，0.330，0.342}，将两者进行组合计算组合权重，即wZ={0.223，0.276，0.501}。

步骤4 AE-VIKOR方法节点重要性排序。依据节3改进的AE-VIKOR方法计算出离港业务节点重要性系数，即Qi={0.198，0.146，0.519，1.00，0.484，0.495，0.105，0.057，0.118}，得到n4这个节点的重要性系数最大，即值机是离港控制系统的关键业务。

表5 离港业务节点重要性属性赋值表

4.2 业务连续性影响分析

依据识别模型识别出的关键节点，有目的地对配载系统和旅客值机系统进行安全监测。各个系统正常情况是T0时刻。当T0时刻系统发生信息安全事件之后，监测得到1 h内的系统数据，发生信息安全事件后的各个时刻的业务系统执行情况，如表6所示。配载系统与旅客值机系统发生信息安全事件是不一致的时间，而监测时间与时间间隔是一致的。因此，关键业务和非关键的业务连续性风险值随时间的变化而变化，如图4所示。

表6 发生信息安全事件后的离港业务系统执行情况表

图4 业务连续性风险情况分析

图4中每一个时刻的数据显示了业务连续性风险程度。旅客值机业务在T0时刻之后的业务连续性风险值是迅速增大的，配载航班业务在T0时刻之后的业务连续性风险值缓慢增大，而配载结载业务比前两者的影响程度较弱。当T4时刻时，配载航班业务对于业务连续性产生的风险是中等，而配载结载业务引起的风险则一直处于低风险区域。因此，实验进一步证明了基于AE-VIKOR方法的关键业务节点识别模型的有效性和精确性。

4.3 关键业务节点识别方法对比

图5 业务节点重要性系数计算方法

图6 不同决策机制系数分析

采用AE-VIKOR方法计算民航离港业务节点重要性系数，为证明模型方法的准确率和执行效率，将AE-VIKOR方法与其他4种方法进行实验对比，实验结果如图5所示。其中AHP-VIKOR方法是主观权重加权改进的VIKOR方法，Entropy-VIKOR方法是客观加权改进的VIKOR方法，VIKOR方法是无加权的传统方法，TOPSIS方法是将组合权重应用在TOPSIS的方法。几种业务节点重要性系数的计算方法及业务节点排序如图5所示。

从图5看出，笔者提出的方法和其他4种方法相比，评估结果更加精确。AHP-VIKOR和Entropy-VIKOR单一角度进行属性权重改进的评估，偏主观或者客观的角度的评估结果出现偏差。实验结果显示，将组合权重应用TOPSIS方法中在计算n1，n3，n5的业务重要性系数较AE-VIKOR方法也出现偏差。AE-VIKOR和TOPSIS方法计算的n3节点的重要性大于n5节点的重要性，即配载航班业务的重要性大于监控值机航班业务，配载航班对业务连续性的影响比较大，符合现实性情况。但是TOPSIS计算的n5节点业务重要性小于AE-VIKOR方法，计算的业务连续性风险值与现实性情况不符。因此，面向业务流程关键业务识别采用了AE-VIKOR方法计算业务重要性系数，保证结果准确性，提高了模型识别准确率和效率，以利于业务连续性的分析与管理。

4.4 AE-VIKOR方法决策机制系数选择对比实验

AE-VIKOR方法的决策机制系数v不同，其评估结果不同，决策机制系数v在式(15)中出现。为采取合理高效的决策机制系数v，设计了系数v分别为0.2，0.4，0.5，0.6，0.8，计算节点重要性系数并分析其评估结果，如图6所示。

从图6看出，当v=0.5时，各个节点的重要性系数计算精确且差异明显。因此，为提高模型普适性，模型AE-VIKOR方法的决策机制系数v设置为0.5。

5 结束语

笔者提出一种面向业务流程关键业务节点识别模型。通过分析业务流程获取业务节点，并依据业务节点重要性评估属性及量化，从主客观两个维度计算组合权重对属性权重进行改进，并采用AE-VIKOR方法计算业务节点重要性系数，实现关键业务节点识别。笔者进一步分析了关键业务节点对业务连续性的影响，计算业务连续性风险值，证明了模型的高效性和合理性。实验结果表明，面向业务流程关键业务节点识别模型识别结果精确，并合理地进行了业务连续性风险评估，为下一步系统资源分配和业务恢复的研究工作提供了一定理论基础。