下载掌阅APP,畅读海量书库
立即打开
美国国防部网络司令部负责人Keith Alexander将军呼吁为网络空间开发更完善的通用作战态势图(Common Operating Picture,COP)。“首先,我们必须了解我们的网络,并通过可共享的通用作战态势图,实时地建立有效的网络态势感知。”(Bain,2010)目前,对网络中所发生网空事件的态势感知,通常基于事件发生后产生的取证信息。网空行动必须从反应式的取证响应模式转化至实时的、积极的和预防性的网空对抗行动模式,使掌握情况的网空行动操作员可以在有效工具和自动化辅助机制的配合下展开行动。
网空行动的最直接需求之一,是为网空网络建立有效的通用作战态势图(COP)。需要为网空行动中每个网空行动操作员的独特岗位定制网络空间的通用作战态势图。进一步,使经过细致过滤和解释的网空信息流入组织机构的指挥中心,并在这里整合网空信息形成对网空行动效应的理解。每个角色都对观察、理解和预测有独特的需求,其中网络空间只是被关注需求中的一部分,但这一部分必须与其他的态势感知需求整合在一起。
以态势感知为导向的设计(SAOD)过程(Endsley和Jones,2012)提供了一套系统化的方法,用以建立与角色相关的定制化通用作战态势图,从而有效地支持态势感知。基于对大脑如何形成态势感知的理解,并经过约25年的专题研究,形成了这种系统化的方法。SAOD提供了一种结构化的方法,用于开发通用作战态势图以及网空行动操作员看到的信息显示,可以将与态势感知相关的考量纳入设计过程中,这些考量包括对态势感知要求的确定、增强态势感知的设计原则以及在设计评价中对态势感知的度量(如图1-7所示)。
图1-7 以态势感知为导向的设计(SAOD)是一种三阶段的方法论,用于优化操作员态势感知(Endsley和Jones,2012)
可以使用GDTA(目标导向的任务分析)过程来分析态势感知的要求,以确定特定角色或职责类别的目标,以及达到各个更高目标的决策要求与信息要求。这种以目标为导向的方法不再局限于考虑任务步骤或过程(反映了当前的技术和过程),而是聚焦于操作员的认知需求。GDTA方法已广泛用于确定各种业务运行中的态势感知要求,包括电力系统、油田服务、商用航空、军事指挥控制以及本章前述的网空行动。
态势感知设计阶段始于对态势感知要求的深入分析,形成一种将分析成果直接纳入设计过程的关键机制,用于开发最大化态势感知程度并避免造成高工作负荷的信息表现形式。通过应用50个SAOD原则,态势感知设计能够做到:1)确保每个界面中都包含高水平态势感知所需的关键信息;2)以所需要的方式整合信息,以支持对当前运行的高水平理解和预测,并由可视化的显示直接呈现;3)提供整合了信息显示的大局图景,以保持对全局的高水平态势感知,同时提供理解态势所需的细节信息;4)根据信息的显著性将用户的注意力引导至关键信息和事件;5)直接支持对态势感知至关重要的多任务处理。这是对传统人因设计原则(主要涉及诸如信息的易读性、对比性以及可读性等表面特征)的重要补充,也是对人机交互原则(在计算机显示器上提供有效的任务交互机制)的重要补充。此外,它还提供了与复杂性和不确定性、整合自动化能力、有效利用报警系统相关的关键原则,以及在分布式团队中支持共享态势感知相关的关键原则,而这些方面都与网空行动密切相关。
例如,网空工具可以从能够提供受关注事件与检测特征的趋势信息的显示方式中获益。如果网空工具能够帮助分析师持续了解关于当前、近期和过去告警事件的最新信息,从而支持跨分析师和跨(值守换班)班次对重要事件进行评估,将对工作产生很大的帮助。如果网空工具能够提供对数据进行关联并在全基础设施范围内对模式进行检验的能力,也会产生很大的作用。支持网空态势感知的显示需求还包括:整体网络的健康指标、网络的健康状态地图,以及能够支持分析关键事件对当前网空行动所产生影响的工具。
SAOD过程的第三个步骤涉及对所设计系统的有效性评估。根据项目的需求和目标,可以将对态势感知、工作负荷、性能以及可用性的度量作为系统的评价指标。客观的态势感知度量提供了一种经过验证的方法,在可行的情况下能够评估操作员的态势感知水平以及系统的有效性。例如,已经成功地将态势感知全局评估技术(SAGAT)用于对操作员的态势感知进行直接和客观地度量(Endsley和Garland,2000),从而提供上述评价信息。SAGAT提供了一种方法,能够在模拟行动的过程中冻结操作,并向操作员进行询问,从而评估他们对态势相关方面的了解情况,并将其所回答的信息与基准情况进行比较。基于对不同时间点多个样本的评估,以及对不同操作员的评估,可以形成一个综合的准确度评分。该评分为给定的系统设计提供了在操作员态势感知支持程度方面的客观评估,能够体现出系统信息的充分性,以及信息呈现形式满足人类认知需求并适应于认知局限性的程度。目前已经开发了一个能够在网空行动中对态势感知进行度量的SAGAT版本(Connors等人,2010),包括对操作员的一系列询问,例如:
·源IP地址y以前是否涉嫌可疑活动?
·对于目的地IP地址x,告警A的网络包载荷是否不正常?
·如果发生告警A而且攻击的目的地IP地址是x,还可能会影响其他哪些资产?
SAOD可以系统化地应用于网空行动,从而利用我们在这一领域的显著研究成果,为支持网络空间相关的决策制定,设计未来的网空通用作战态势图以及其他任务的通用作战态势图。
面对网络的庞大规模及其内在的动态化程度,网空行动遇到了独特的挑战。为了理解某一特定事件或攻击行动对给定任务或行动可能造成的影响,一个关键部分就是要能够了解网空网络的拓扑结构。在许多情况下,这都是相当具有挑战性的。因此,需要展开新的研究工作,帮助操作员更好地将现有网络可视化,特别是在网络发生变化的时候。由于在我们所开发的网络中将动态的形态变化作为一个网络设计的功能,以及作为与其他因素(例如,添加或移除计算机设备或其上安装的软件,又如移动用户在不同时间和地点加入网络)有关的功能,因此此类网络的可理解性受到了严重制约。这就需要能够采用新的方法,支持网空行动操作员将系统拓扑结构对应至操作决策。该项研究不仅需要解决抽象可视化的问题,还需要解决显示支持类型的问题,从而满足操作员多种类型的理解和预测需求,以支持他们回答那些关于系统执行情况的非常真实的问题(例如,参见表1-1所列举与各层级态势感知要求相关的问题)。例如,通过显示信息帮助操作员评估某一恶意活动对当前保护方案及所需资产的影响。这类态势感知需求很少能够在现有的许多工具中得到满足(Connors等人,2010)。
我们也意识到除了在网络空间运行中心里,其他情况下大多数都是从组织机构管理人员的视角对网空行动效应进行判断的,这些管理人员会在与其工作任务目的相关的上下文中做出决策。在军事领域,指挥官也会将网空行动效应与其他类型的杀伤和非杀伤效应一同作为可支配的选项进行考虑。例如,使用常规动力武器击并毁灭敌方的指挥中心,发射使用微波能量的导弹击垮敌方的电子系统,或使用网空攻击来关闭敌方的指挥控制系统,哪种选项会更有效?各种选项的预期结果是什么?有什么风险?需要多长时间实施?这些都是未来的军事指挥中心需要承担和解决的现实问题,由此才能在更广泛的任务行动中使用网空行动效应。将需要任务指挥中心的未来通用作战态势图来提供解决这些问题所需的态势感知。
由于网空效应具有快速的特点,人们普遍认识到可能需要自动化工具来帮助检测潜在的网空攻击并做出及时响应。网空世界中的操作发生的速度明显超过了人类操作员的观察和反应能力。因此,在这个领域必然会需要自动化工具。
然而,自动化不是问题的一个简单答案。相当多的研究表明,使用自动化会使人类操作员脱离到闭环外,导致对正在发生问题的发现能力变得迟滞,也会削弱理解态势并及时做出响应的能力(Wickens,1992;Wiener,1988)。这种因为脱离到闭环外而导致执行能力下降的情况,是由于在使用自动化系统时会降低态势感知的水平(Endsley和Kiris,1995)。部分原因可能是由于警惕性下降(因自动化而变得懈怠),或由于界面设计不佳而导致无法支持对自动化机制的理解。但从根本上说,即使不存在这两个因素,人们也会因为使用自动化机制而在处理信息时变得被动,从而在本质上降低态势感知水平(Endsley和Kiris,1995)。另外,由于对系统状态和模式的理解程度较低,以及由于缺少对自动化机制的置信度,导致在许多系统中实现自动化机制的过程中出现了问题,并最终降低了自动化机制的效用(Lee和See,2004;Sarter和Woods,1995)。
如果自动化机制在所有情况下都能完美工作(事实上这样的情况几乎不存在),就不会出现这类问题。然而,在不断发展的网络空间世界中,自动化机制很可能只有在面对已知类型问题的时候才能够有效工作,但实际上未被编入自动化程序的新型攻击将继续有增无减。因此,人类操作员总是需要理解系统的基本状态以及可能对系统发起的任何攻击。即使展望具有较高自主程度的系统在未来拥有了学习算法,对操作员与自主系统进行交互以应对新型网络攻击的要求也依然很高。
随着自动化被用来处理越来越多的日常态势,设计人员有责任确保人类操作员能够充分意识到自动化的状态,以及充分意识到自动化机制在怎样的底层网络之上发挥作用。用于支持人员与自动化系统有效组队协同的设计原则包括:1)为各层次的自动化机制提供灵活的受监督自主能力,2)通过对自动化机制的透明度为对当前自主行动和所预测未来行动的理解能力提供支持,3)使人类操作员能够保持在闭环中控制系统运作,4)通过支持信息整合提供决策制定所必需的理解与预测,5)保持系统的可理解性,将系统模式做到最小化并使系统状态变得显著(Endsley和Jones,2012)。
需要在自主系统和操作员之间建立高度共享的态势感知,以使两者的目标与任务都保持一致,动态地对功能进行分配和重新分配,并确保自主系统和人类操作员的执行有效性。目标是在操作员和自主系统之间实现简单、平滑和无缝的过渡——当在网络行动中转而使用更多自主能力时,我们就会需要高水平的共享态势感知。
在网络空间中的任何工作,都需要对所涉及的组件和代码进行认真的系统化检验和确认。为此,将需要新的检验和确认方法来建立对自主系统的信任(美国空军,2013)。能够自主进行重新配置的复杂自适应系统,即使只是考虑中等程度的自主性,也意味着需要一种基于无限状态系统的方法,这将超出基于需求可追溯性的传统软件测试方法的能力。有可能发生的数据和通信连接丢失的情况会使问题变得更加严重。这是一个非常具有挑战性的问题,但是必须得到解决,否则无法为自主的网空行动提供必要的置信度。需要考虑优雅降级弱化故障和恢复系统安全性的方法,以及考虑使系统具有网空防御、网空容忍和网空弹性的方法。
随着向积极控制转变,网空行动操作员不会消极地等待网空攻击发生,而会采取行动使网络能够抵御网空攻击。这需要使他们能够有工具更好地理解固有的网空漏洞,而且此类工具需要能够预防已知类型的未来攻击,以及预防未知类型但有可能发生的未来攻击。他们需要有工具使其能够对疑似攻击者进行概要分析,创建疑似攻击者的身份、动机和资助者画像,从而制定与工作任务相关的防御策略。他们还需要有工具能够帮助他们共享对潜在未来攻击以及防御性对抗措施的知识理解。为了支持有效的决策制定,最终还会需要一种工具,以便能够更好地阐明可能的攻击及潜在的对抗措施对任务行动带来的影响。