生存性

系统在面临攻击、失效和偶发事件的情况下仍能按要求完成任务的能力

生存性是指系统在面临攻击、失效和偶发事件的情况下仍能按要求完成任务的能力。生存性研究强调以任务为本，而不是以系统为本。它与安全的区别在于如果某个系统的构件遭到攻击而损坏但仍能保证所执行的任务按期完成，我们说它的安全策略是失败了，而生存策略却是成功的。研究表明，集成各种防御手段、以实现深度防御为目的的生存性技术成为安全研究的未来发展方向。

定义

中科院高能所网络安全课题组进行的研究认为，信息系统可看做一个开放的复杂巨系统，其复杂性表现为网络架构的多样性和系统用户的不确定性，其开放性表现为系统在环境的影响下，通过一定的重配置等措施具有一定的自适应性，即系统是动态变化的。作为信息系统一个固有属性的生存性来说，必然受到系统自身和系统运行环境的影响。因此，可以从系统和环境两方面以及其之间的交互关系来定义生存性。定义应该包含以下几个方面的内容：

(1)系统环境。对系统运行的环境进行分级定义，级别的划分又是通过对系统将遭遇的各种事件不同来定义的，而且各种事件的发生在不同环境下有不同的概率。

(2)系统基本服务。定义系统在不同环境下应该提供的基本服务，根据系统需求给出基本服务的重要性值。

(3)系统状态。根据系统服务状态定义一组离散值表示系统状态。

(4)状态变迁。在各种事件的作用下，给出系统状态变迁的概率和新状态的保持时间，即系统在环境事件作用下的反应。

特征

生存性技术具有如下五个方面的特征：

(1)局部性。即攻击模式对于攻击对象的局限性。以操作系统为例，操作系统是网络安全的最后屏障，不同操作系统存在不同的漏洞，因此对漏洞敏感的攻击模式会受到操作系统类型的局限，如针对UnixBuffer溢出的攻击、针对Windows的Bo(Back office，后门)攻击以及针对Linux Postfix多个漏洞的远程拒绝服务攻击等。研究表明，异构操作系统之间的漏洞往往不相关，即使是类似的漏洞在不同的操作系统中的表现形式也不会相同，因此面向漏洞的攻击模式很难做到一专多能。这个结论对于操作系统以外的网络中的其他构件也是成立的。

(2)多样性。即网络成分的多样性。同构冗余对于基于系统漏洞的信息攻击来说毫无保护意义，因为它们的弱点是相同的。多样性策略可以使对手无法了解目标的全部弱点，以尽可能多地提供系统在信息攻防中的“避风港”。考虑生存性问题是基于协议而不是基于拓扑，多样化可以降低全局损失，因为遭受到信息攻击时至少有一部分会存活下来作为重建的基地。

(3)对抗性。在面对智能对手攻击的情况下，小概率事件可以同时发生，因为攻击者们会寻找这些小概率事件精心研究以实现其攻击意图。虽然备份技术在RAS技术方面得到广泛的应用，但以掩盖系统故障提高系统可用性为目的的传统的冗余和备份技术，与面对敌方攻击提高系统生存性的备份技术有很大的区别。

(4)阶段性。攻击模式的生命周期可以分为渗透、浏览和利用三个阶段：在渗透阶段，攻击者利用各种攻击手段企图获取对系统的访问权限，这些攻击手段遍及业余攻击者的恶作剧和专业攻击者精心设计的攻击，其中较常见的手段之一就是通过扫描来发现系统的漏洞；在浏览阶段，攻击者在系统内部探索该系统的组织和功能以确定入侵目标；在利用阶段，攻击者在取得系统的相应权限后，从事危害系统功能的实质性活动，如利用这些漏洞开发相应的攻击软件等等。这三个阶段不断地循环使破坏程度逐渐加深，用户级的侵入会成为发现系统级漏洞的手段，进而可能构成对系统级的侵入。另外，选择网络中最弱系统入侵可以使它成为入侵其他系统的跳板。

(5)传播性。即攻击手段的广泛传播。这种传播并非指RAS技术中通过器件传播的故障，而是攻击者通过网络传播攻击手段，“策反”薄弱的节点以及通过感染的病毒传播等。就攻击规律来看，攻击模式在开发和调试阶段危害相对小，一旦运行并传播开来，往往会造成重大的灾害。信息生存性研究开始于1997年，它与关键信息基础设施保护。紧密相关，主要解决由于网络本身的先天不足所带来的深层次安全问题，这些问题不能够通过封堵的方法彻底解决，而必须通过全面的抵抗、识别和容忍策略来重点保证所执行的任务的按期完成。当今社会对大规模无边界网络系统的不断增强的依赖性的风险以及入侵技能的提高和攻击事件的频发等因素加强了人们对网络系统生存性的关注，投入的资金、研究的队伍越来越大，研究的发展采取借力战略，即吸收其他学科尤其是RAS技术的研究成果，结合生存性问题的具体情况开展研究。在技术上主要研究领域包括生存性的基本概念、生存性体系结构及系统模型、生存性系统分析与设计、生存性系统工程方法和工具、生存性风险评估、生存性系统评价与测试等。

度量

一种度量方式被称为条件概率模型或者假定故障已发生(Given Occurrence ofFailure，GOF)模型。该模型将故障已经发生作为前提，在此基础上对生存性做出一个评估。这类度量方式往往是以设计为导向的，体现了生存性设计在处理预设故障时的优势。特别是在设计范围已经确定但并没有掌握故障发生频率的相关记录或预测条件不足的情况下，设计者必须考虑如果发生某种故障，网络服务能够在何种程度上减少其影响。

另一类常见的网络生存性度量则旨在综合考虑故障发生率、生存性反应和生存性能力，被称为随机故障(Random Occurrence of Failure，ROF)模型。与GOF模型的思维方式相反，ROF度量往往提出这样的问题：在一年时间内节点之间的链路发生x分钟中断的可能性是多少?ROF模型通常假设故障可以通过己知概率分布函数的随机变量来确定。

分类

(1)根据备用资源的分配在故障发生前后的不同，可分为保护和恢复两种方案。

(2)按照处理层次来分，可分为单层和多层网络生存性问题。而多层网络的生存性是指在分层网络之间生存性方案的嵌套以及这些方案之间的相互作用。

(3)从保护的策略上来分，有基于链路和通道的保护、共享和专用资源的保护等。其中，通道保护是指当发生故障时，光网络为受影响的故障通道分配一条完整的(通常是链路无关的)保护/恢复通道来恢复故障信道。

(4)从恢复的策略上来分，包括基于链路的和基于通道的故障恢复、预先规划和动态计算的故障恢复等。

(5)从控制方式的角度来说，有基于集中式控制和分布式控制的故障恢复。

(6)依据适用的故障类型，有针对单链路故障、单节点故障和多点故障的生存性机制。

全国各地天气预报查询

上海市

市辖区

云南省

临沧市