由于問題和解決方案的復雜性不斷增加，復雜和社會技術系統的系統工程變得越來越困難。這導致了基于模型的系統工程（MBSE）的發展，它在軟件工具的架構框架和建模語言的支持下應用建模。在需求分析和概念開發階段，建模被應用于捕捉和表示系統的利益相關者的心理模型。該軟件工具能夠通過各種圖表和視圖在數據庫中捕獲模型信息。這種以數據為中心的方法確保了定義的模型元素及其關系的一致性和可追溯性。由于指揮和控制（C2）系統可以被看作是復雜的社會技術系統，MBSE應該有助于捕捉需求以支持概念解決方案的開發。本文介紹的MBSE方法有助于捕捉C2系統的需求，以及識別主要的邏輯塊元素和它們所需的功能。這種方法通過開發適合特種作戰的復雜作戰環境的概念C2系統解決方案得到了證明。

1 引言

系統工程的基本目標是通過使系統的存在來解決問題（Stensson 2010，Walden等人，2015）。系統方法，通過系統思考，旨在理解整體背景下的部分，同時與環境互動并適應環境。系統工程由跨學科活動組成，以確保利益相關者的需求能以低成本和及時的方式得到滿足。然而，今天的問題往往是復雜和不明確的，其影響范圍超過了所關注的系統。

從本質上講，系統工程過程是一種發現、學習和持續改進的迭代方法，以獲得對需求和突發特性的洞察力（Walden等人，2015）。系統工程過程的輸入是來自客戶或利益相關者的需求，必須對其進行分析，以發現定義解決方案系統的目的、目標和高級功能的需求（Buede 2000, Ramos等人2012, Walden等人2015, Oliver等人2009）。從最初的高層次需求中定義操作環境和預期場景，以得出系統所需的角色、任務和功能（Stanton 等人，2012）。

Holt & Perry (2008)列出了系統工程的三害：復雜性、溝通和理解。系統的復雜程度取決于系統元素的數量和它們的互動。對問題和用戶需求的不正確理解導致了不準確的需求和系統工程的不正確應用。工程師、開發團隊和利益相關者之間的溝通問題導致了對需求和相關模型含義的解釋。設計團隊和制造團隊之間的溝通不暢，會進一步加劇這種情況。對系統工程產生能夠在復雜環境中有效運行的系統的要求是不斷增加的。建模是解決復雜問題的一種方式，并能使人們有效地理解和溝通。

基于模型的系統工程（MBSE）作為一種方法，提供了一個由過程和支持工具組成的解決方案，以解決復雜性問題。各種形式的模型和結構可以用來捕捉和表示有關問題的信息和知識。一個合適的模型，從利益相關者的心理模型中衍生出來，用來吸收和解釋重要的信息（De Weck等人，2011，Sterman 1994）。

在系統工程中，模型是通過系統的原理圖和網絡圖來構建的。建模可以通過理解系統整體和部分之間的關系來幫助系統設計，從而得出突發屬性（Buede 2000, Ramos等人 2012, Maria 1997, Ramos等人 2011）。模型也往往比基于文本的系統工程文件更有助于發展系統概念和需求，因為它們支持對問題的知識進行實驗，并發展對不同解決方案的影響的理解（Estefan 2007）。

MBSE采用了建模語言，如系統建模語言（SysML）或統一建模語言（UML）。該語言利用圖形符號，用相關的參數、屬性和限定信息來加強。這些語言被用來通過圖表對復雜的系統及其架構進行建模，這些圖表通過各種一致的觀點捕捉、分析和指定系統的行為、結構、要求、關系和能力。模型的不同觀點可用于實驗問題的知識，并發展對不同解決方案的影響的理解（Ramos等人，2012；Buede，2000；Oosthuizen和Venter，2016）。在規劃中采用MBSE的其他優勢包括管理問題的復雜性、重用信息元素和支持系統性思維（Ramos等人，2012，Walden等人，2015）。

本文報告了通過實施MBSE過程對C2系統進行概念建模的實踐經驗。首先，討論了系統工程和建模文獻，以定義MBSE流程，然后將其與實踐經驗聯系起來。該過程通過為特種作戰開發一個概念性的C2解決方案來展示。與常規部隊相比，特種作戰往往在更復雜的環境中運作，有著獨特的要求。

2 指揮與控制概念

C2是一個統稱，涉及軍事行動的指揮和控制的多個方面。指揮被定義為賦予或授權給武裝部隊的個人指揮、協調和控制軍事力量的權力（Brown 1996, MoD 2017）。這代表了人類意愿的創造性表達，以闡明和傳遞完成任務所需的意圖。指揮鏈網絡描述了授權的流動，其任務是產生意圖。指揮權來自擁有最多任務狀態信息的個人（Young 2017）。

"控制 "被定義為指揮官對下屬組織的部分活動所行使的權力，其中包含了執行命令或指令的責任。控制包括通過設定邊界、管理資源和調整行動以實現指揮官意圖的結構和流程來管理風險。控制的目的是確保通過調整所需的活動來實現既定意圖（Brown 1996, Young 2017）。

C2系統的目的是指導、調整和協調部隊在多個領域的意圖和活動。C2系統必須靈活適應，以滿足不斷變化的環境、背景和任務的要求（Oosthuizen and Pretorius 2013, MoD 2017）。

C2能力被進一步定義為設計和執行聯合行動的動態和適應性（復雜）社會技術系統（國防部2017）。復雜的社會技術系統包括行為、工具和技術，由人、結構、技術和流程之間的相互作用促成。C2為個人和組織提供了重點，以整合和最大限度地利用他們的資源和活動來實現預期的結果（國防部2017）。具體的C2解決方案的特點是環境和任務類型所需的網絡分權程度。具體的C2解決方案的適當性受到以下三個環境變量的影響（Young 2017）：

1.環境的變化率。不尋常的任務類型導致了任務的不確定性。同時，任務期間較快的變化率需要更大程度的情況意識分散和更新率。

2.要素的連接程度。一個環境中的多個獨立元素比一個具有多個高度連接元素的復雜環境更容易分析和理解。復雜環境中的任務更難分解，需要更大程度的控制權下放。

3.利益相關者的利益程度。利益相關者對活動的開展施加標準、約束或期望。利益的程度與指揮所需的集中化程度呈反向關系。

所選擇的C2方法必須適應所應用的作戰環境。當代特種作戰的作戰環境是復雜的。該環境的特點是一個全球性的系統，由許多相互作用的變量組成，這些變量造成了相互交織的國家、政治、經濟、社會、精神、文化和軍事利益、挑戰和威脅。影響特種作戰復雜環境的主要因素包括以下幾個方面（Ott 2002, Madden et al. 2016, Johansen 2015, Votel 2016）：

1.全球化。由技術進步（互聯網、移動電話、衛星通信）形成的全球化，成倍地提高了變化、創新和商業的速度。技術允許在全世界范圍內即時傳輸信息。國際恐怖組織可以從偏遠地區有效運作，同時從全球任何地方得到支持（資金、培訓和招募）。重大事件發生時，媒體也會在全球范圍內進行近乎實時的報道。

2.城市化。越來越多的世界人口遷移到城市地區。交戰方越來越多地尋求城市地區的庇護，以隱藏在人口中。這減輕了武器和傳感器的技術優勢，增加了打擊的附帶損害的威脅。

3.地緣政治趨勢。更多的政治權力和軍事能力正被非國家行為者所掌握。這導致了復雜的區域安全發展和來自弱國和失敗國家領土的威脅。這些威脅不能被孤立地解決。

4.軍事技術趨勢。軍事技術繼續快速發展，導致新的軍事競爭領域的出現。因此，運營商可能會對新交戰方的能力感到驚訝。敵人有機會獲得先進的武器系統和網絡能力，為他們提供了越來越多的脅迫性選擇。

5.偏遠作戰地區。崎嶇、多山的地形、洞穴、惡劣的氣候可能會限制武器或行動支持的能力。恐怖組織往往在這些偏遠和不穩定的地區進行訓練、維持、計劃和行動。為了在偏遠地區開展行動，特別行動人員必須與當地居民和領導人進行接觸，獲得他們的認可和信任，以收集情報支持行動。

6.沖突的模式。沖突的模式正在隨著環境的變化而變化。低強度和不對稱的沖突正在世界 "欠發達 "地區展開，一方是正規軍，另一方是游擊隊、恐怖分子，甚至是平民。這些沖突往往是殘酷的、血腥的、丑陋的，不依靠現代武裝力量的高科技武器。其目的是在外部幫助下破壞一個政權的穩定。非正規的威脅通常在國家控制的領土邊緣和無人管理的空間里興風作浪。

7.行動的持續時間。特別行動的財政和政治可持續性使其更具吸引力。特別行動的小規模方法允許采取降低成本的戰略，迫使對手花費不成比例的資源來抵御友好的能力。他們支持對環境有更深入的了解，以預測不穩定的爆發點，減少行動和戰略盲點。

已實施的C2系統要求有能力收集、分配和轉化數據為情報，以執行快速決策。決策必須支持指揮部隊的能力，跨越多個領域和任務。有效的C2取決于基于對形勢的理解而作出的行動決定。理解被定義為對特定情況的感知和解釋，以提供有效決策所需的背景、洞察力和預見性。理解使決策者能夠利用數據分析和可視化，從現有的信息中找出新的機會和威脅（MoD 2017）。

標準和傳統的系統工程方法可能不足以支持這些復雜環境所需系統的開發。這些復雜性可能會導致C2系統的模糊和綜合要求。系統工程兄弟會正在向MBSE發展，以應對復雜問題的系統開發（Walden等人，2015）。

3 基于模型的系統概念開發

3.1 基于模型的系統工程

建模是一個反復的過程，通過一個標準的、嚴格的、結構化的方法來開發、使用和更新模型，以獲得對一個系統行為的洞察力。模型被定義為對現實或其選定部分的明確和不完整的表述或理想化的抽象，以幫助其描述和理解（Ramos等人，2012；Maria，1997）。模型必須在真實性和簡單性之間取得平衡，以便能夠理解和模擬（Maria 1997, Gau Pagnanelli等人，2012）。

在系統工程中，模型被用來描述與一個系統相關的結構、行為、操作和特征，以及與操作環境的選定的交互。環境包括使能系統和其他系統（Buede 2000, Hitchins 2008）。建模行為和產生的模型本身支持對問題的洞察，作為決策的基礎（Maria 1997, Harrison et al. 2007, Buede 2000）。模型被用來對問題的知識進行實驗，并發展對不同解決方案的影響的理解。這支持通過用視覺工具澄清需求來改善解決方案的開發決策（Walden等人，2015；Ramos等人，2012）。

在開發系統概念和需求方面，模型往往比基于文本的文件更有用，因為共同的符號以一致的方式描述了許多系統特征和屬性（Buede 2000，Ramos等人，2012）。在系統工程中，建模解決問題的主要優勢可以歸納為以下幾點（Buede 2000，Ramos等人2012，Maria 1997，Walden等人2015）：

1.管理復雜度。建模有助于通過以下方式解決系統分析和方案設計的復雜性：

a) 通過對問題的多角度的可視化分析，實現系統理解。

b) 指導識別導致復雜性的元素和相互作用。

c) 改進影響分析，以確定解決方案的潛在后果。

d) 利用模型的可追溯性發現原因和影響。

2.用系統的術語捕捉問題。利益相關者檢查他們自己的思維（心理模型），并將概念傳達給其他人，以確認系統需求和行為。模型通過澄清需求來支持改進的系統開發決策。

3.捕獲、分析、分享和管理信息。擁有一個標準語言的建模方法的好處是改善利益相關者之間的溝通，管理系統復雜性的能力，產品質量，知識捕獲和教授和學習系統工程基本原理的能力。模型支持實驗，以及對問題的知識進行定性和定量分析。

4.重復使用和自動化。建模使現有的信息和知識在新項目中得到重用，從而節省時間和金錢。通過用腳本執行可重復的任務，建模也有利于問題分析過程中的自動化。

然而，復雜的社會技術系統的建模仍然是困難的，因為它必須呈現系統中人類工作的結構和行為。行為是由人、操作者、系統元素和環境之間的動態交互引起的。在多個抽象層次上對系統界面進行建模，可能有助于理解復雜系統及其相互作用（Bahill & Szidarovszky 2009, Piaszczyk 2011, Oosthuizen and Pretorius 2014）。

MBSE被定義為建模的正式應用，以支持整個系統生命周期階段的系統需求、設計、分析、驗證和確認活動（Gau Pagnanelli等人，2012）。MBSE專注于應用豐富的信息模型來補充傳統的系統工程方法（Walden等人，2015；Estefan，2007）。任何MBSE的實施都應該至少解決以下要素（Meyer 2014, Tschirner et al. 2015, Gau Pagnanelli et al. 2012, Karban et al 2012）：

1.流程。流程提供了為實現特定目標而在不同的細節和聚合水平上執行的任務的邏輯順序。現有的MBSE流程，需要根據具體的實施環境進行調整。MBSE過程的基本步驟應該包括信息（需求）捕獲、模型生成、驗證和實施。這個過程不需要和傳統的系統工程標準一樣。

2.方法。方法包括執行流程中所列任務的一系列技術。每個方法本身也可以是一個過程。

3.工具集。工具是提高特定方法中任務效率的工具。工具只是促進任務的執行，并提供模型中捕獲的信息的存儲庫。

MBSE不僅僅是開發一套圖來粘貼到基于文本的報告中。僅僅使用標準建模符號來繪制這些圖表并不能改善模型。MBSE的元模型（Holt and Perry 2017），如圖1所示，指出了被建模的系統與架構框架內建模工具的應用之間的關系。這個元模型為開發適合特定應用領域的MBSE方法提供了基礎。

在通過一些視圖對系統進行建模之前，如圖1中間的 "目標 "欄，需要建立支持結構。首先，需要一個架構來定義模型的視圖。建模方法應用了一個架構框架。任何適合問題和解決方案空間的架構框架（如面向服務的架構、NAF、MoDAF或DODAF）都可以被MBSE方法應用。在所有情況下，都需要進行一定程度的定制。架構框架由描述系統及其行為所需的各種觀點組成，這些觀點由標準本體定義。對系統模型的不同觀點被用來分析不同層次的系統（Kossiakoff等人，2011，Ryan等人，2014）。

圖1:基于模型的系統工程元模型

系統的各種觀點通過圖示來體現。為了擁抱MBSE的力量，建模者應該超越基于文本的工具。這些基于文本的工具，如Visio?和Powerpoint只為基于文本的文件提供圖片。它們不能管理復雜圖表中元素之間的關系。應該為MBSE實施專門的以數據為中心的工具。這些工具實現了公認的建模符號，如SysML和UML，以通過圖表開發一致的系統視圖。SysML用于通過系統結構、參數、屬性、要求、行為和關系的圖來對復雜系統進行建模（Friedenthal等人，2012；Hause，2014）。

行為圖表示情況的各個部分及其因果互動（Friedenthal等人，2012；Hause，2014）。系統的行為是用用例圖、活動圖、序列圖和狀態機圖來建模的。用例圖提供了系統功能的高級描述。活動圖中記錄了活動之間的數據流和控制流。順序圖代表了系統中合作部分之間的交互。需求圖確保層次結構和推導、滿足、驗證和細化關系是清晰的。系統參數約束和其他參數，如性能、可靠性和物理特性，在參數圖中被捕獲（Hause 2014）。

Hause 2014）。塊定義圖通過層次、關系和分類來描述系統結構。內部塊狀圖描述了系統的內部結構，包括部件、端口和連接器。塊圖中的塊可以代表系統層次結構的任何一級，將系統描述為部件的集合，以及它們之間的連接，從而實現通信和其他形式的互動。端口提供了對塊的內部結構的訪問，以便在更大的結構范圍內使用該對象。需求視圖指定了從利益相關者需求中得出的所需結構和行為屬性。參數視圖提供了系統的關鍵工程參數，用于評估性能、可靠性和物理特性（Friedenthal等人，2012；Hause，2014）。

實施MBSE的這種元模型將幫助系統工程師（建模者）組織和展示信息，以支持開發基于模型的有形需求，從而開發解決方案的選擇。根據建模工具，模型中捕獲的信息可以以文本形式導出，用于審查和合同目的。通過一個以數據為中心的工具實現的MBSE使系統工程師能夠管理需求和模型元素之間的關系。需求變化的影響可以追溯到它們所影響的模型元素。下一節將提出一個C2系統的建模過程。

3.2 指揮與控制系統的建模過程

從上面的討論可以看出，MBSE是一種設計和開發復雜系統的現代方法。原則上，這個過程遵循自上而下的模型應用，而不是基于文件的文本來指定、設計、集成、驗證和操作一個系統。MBSE采用了一個過程來開發和增加模型的細節，使用一個并發和增量的過程來支持利益相關者之間的溝通（Estefan 2007，Walden等人2015，Oosthuizen和Pretorius 2015）。

圖2:基本MBSE建模過程

圖2中用于C2系統建模的基本MBSE流程是松散地基于MoDAF的。該方法根據INCOSE手冊和其他資料進行了調整和簡化，包括以下活動（Walden等人，2015，Ryan等人，2014，Hause 2014）：

1.分析利益相關者的需求。這項活動抓住了 "現有 "系統的局限性和潛在的改進領域，以支持開發 "未來 "的解決方案。現有的基于文本的用戶協議和其他需求文件可以為模擬利益相關者的需求提供有用的輸入。

a) 確定系統的背景。第一步是定義系統的邊界，以及與外部系統或操作環境的接口。系統上下文圖的目的是將注意力集中在開發一套完整的系統需求和約束條件時應該考慮的外部因素和事件上。

b) 生成用例。高層次的系統功能是從用戶需求中捕捉到的，在 "使用視圖 "中，它由包的分層結構中的一些用例圖組成。這項活動定義了支持任務要求的系統要求。系統被建模為一個與外部系統和用戶交互的黑盒子。從用例中，系統所需的結構和行為是通過一個反復的過程得出的。

2.生成功能架構。系統功能以活動圖的形式進行建模，定義從用例中得出的行為之間的關系。用例描述和命名中的動詞應被用來定義活動。功能架構的建模使得系統功能需求的開發成為可能。

3.生成邏輯架構。系統被分解和劃分為邏輯元素，它們相互作用，滿足系統需求。邏輯元素是由用例中的名詞衍生出來的。系統的邏輯元素用方框圖來定義它們之間的關系。場景也用泳圖來建模，泳圖結合了活動圖和塊定義圖。泳圖將活動分配給邏輯塊元素，并呈現出活動的邏輯流程。邏輯架構的建模使得非功能系統需求的開發成為可能。

4.生成解決方案的實施。這一步描述了定義資源分配的物理系統元素或節點之間的關系。在邏輯架構中確定的塊通過塊圖的屬性被實例化。內部塊狀圖被用來模擬系統元素之間的接口，以及交換的信息元素。邏輯架構中的元素可以為多種可能的解決方案實現而實例化。

解決方案架構是這個建模過程的輸出，并將被用來得出系統的功能、接口、數據和性能要求。一些解決方案可能會被生成，以輸入到方案選擇過程中。根據合同準則，需求可能會以文本形式或模型庫的形式輸出。

從圖2中的連接器可以看出，這是一個迭代的過程。每個周期都會提高模型的完整性和準確性。視圖也可用于支持C2系統的作戰概念（ConOps）的發展。用一個以軟件數據為中心的MBSE工具來實施這個過程將確保所有的模型元素和它們的標識被管理，以保持一致性和可追溯性。這個過程適用于大多數架構框架。

在這個過程中尚未解決的方面包括需求和順序圖；它們是在實施解決方案的設計的較低層次上需要的。本文討論的過程中沒有包括的其他步驟包括選擇首選的架構以及驗證和核實擬議的解決方案系統。這個框架是制定指定特種作戰C2系統的過程的基礎。

4 特種作戰的指揮與控制概念建模

本節實現了圖2中的過程，為特種作戰定義了一個概念解決方案C2系統。這是在MBSE工具Enterprise Architect?中用SysML生成模型的一些視圖來完成的。為了說明問題，我們將只提供有限數量的模型輸出圖。本節提供的信息將支持下一節的建模方法的演示，以定義一個可能需要用于特種作戰的通用C2系統。本節提供的信息將支持下一節中的建模方法的演示，以定義一個可能需要用于特種作戰的通用C2系統。

4.1 特種作戰背景

對特定作戰環境的方法的每一次應用都將導致不同的C2概念解決方案。為特種作戰量身定做的C2系統的開發必須支持任務，可能會產生關鍵任務的不利后果。特種作戰的主要特征，區別于更多的常規作戰，包括以下內容（Johansen 2015, Kiras 2015, Votel 2016, Brown 1996, Eaton et al：）

1.能力。特種作戰人員實施與普通陸軍、海軍或空軍不同的（專業）能力和技能（如解救人質），而不會產生高成本和失敗的風險。

2.敏捷性和靈活性。特種作戰人員可以迅速抓住機會，適應不可預見的要求和行動挑戰。這使他們能夠與合作伙伴整合，開發戰略機會，以對抗對手采用的非正規和混合方法。他們可以更靈活地直接（外科手術式打擊）以及間接（特種作戰）地運用武力。他們可以在基礎設施有限或受限的惡劣環境中孤立地行動（沒有定期和持續的支持）。

3.作戰規模。特別行動往往是非正統的、高風險的小單位秘密或公開的行動。考慮到特別行動小組的規模相對較小，以及指揮系統很短的事實，小組可以在比大型常規部隊更短的時間內部署。

4.持久和長期的行動。非正規和低強度的沖突需要長期（數月和數年）和持續的行動，以扭轉對手的意志和對抗的根本原因。這就對戰術、行動或戰略層面的連續性和知識管理提出了要求。它允許對人的領域進行深入了解，這對于識別和影響相關行為者以獲得可接受的結果是必要的。

5.支持。行動通常是在國家邊界之外進行的，與OPFOR線后的既定行動或支持基地相距甚遠。這些行動需要專業的支持（公開的和秘密的），不能由任何常規部隊進行。這需要量身定做的能力、保護和后勤支持。特別行動可能需要秘密技術，以確保低能見度，而諸如隱蔽性、欺騙性和間接方法等概念總是被應用。與總部的聯系、進入和保持安全的通信渠道對特種作戰來說是一個挑戰。

6.作戰節奏。由于其規模和靈活性，特別行動單位可以在高節奏下行動。特種作戰人員可以早期、持續和精確地采取行動，以創造所需的決策空間和戰略選擇，提供可持續的結果。

7.國家政策的工具。特別行動組人員經常被部署去執行外交政策，這增加了敏感性和風險程度。可以從軍事或國家指揮的最高層雇用和領導特別行動戰術單位，以實現特定的政治或戰略目標。

8.低層決策。盡管行動是由最高層授權的，但可能產生戰略結果的決定往往是在最低的戰術層面上做出的。各單位積極鼓勵任務指揮，以個人專長為基礎的參與式決策是當務之急。

9.聯合、機構間、政府間和多國行動。當代特別行動傾向于聯合、機構間、政府間和多國行動（JIIM），并以共同的目標和共同的目的形成網絡。目標必須通過本地或代理部隊來實現，并與之合作。人員面臨著與其他行動參與者協調、消除沖突和利用特別行動活動的挑戰。部署特別行動資產是為了收集可能無法通過其他方式獲得的信息。與外部角色的信息共享可能會削弱信任。

以上列出的這些作戰特點將影響到為特種作戰所制定的作戰方案。該解決方案系統必須應對多樣化、自主、復雜和高節奏的行動。由于其應用的多樣性，特種作戰也可以從戰術、作戰或戰略層面進行控制。在較低的戰術層面，外部關系被減少，線性等級制度占主導地位，并以指令的方式提供指揮。在作戰和戰略層面上，與外部伙伴和其他行為者的交往將更加普遍。這些可能不在同一個指揮結構之下，需要以較不直接的方式進行合作和影響。另外，在不同的情況下，不同C2級別的指揮官將獲得不同程度的授權（國防部2017）。

特種作戰ConOps將需要一個模塊化的C2系統，因為同一個用戶在不同的任務中可能面臨不同的挑戰。C2系統必須支持對局勢的理解，以實施對活動的控制和協調（Rantakokko等人，2010年，Alberts 2011）。管理一個模塊化系統的元素和接口可能會成為一個復雜的問題。建議的MBSE過程將協助系統工程師為預期的復雜性和分歧情況得出具體要求。

4.2 上下文分析

系統上下文圖，如圖3所示，定義了系統與環境之間的邊界，顯示了系統與之交互的實體。這張圖是感興趣的系統的高層視圖（黑盒）。感興趣的系統和外部系統上的小藍塊是接口，以方便信息在接口上的流動。箭頭表示信息的流動。外部環境主要由系統和系統外的利益相關者組成。它也提供了對將要開發的實際感興趣的系統的關注。這張圖是要設計的解決方案系統的界限。

圖3:上下文圖

C2系統將著重于界面（如顯示器）和信息處理元素，這些元素將被部署在操作人員和他們的指揮官身上。通信系統被看作是C2系統的外部。通信是C2系統的一個促成因素。它通常由外部單位控制，并由其他人用于不同的目的。C2系統還需要與部署在特種作戰人員身邊的外部傳感器相連接。為了使特種作戰C2系統支持實施協作或邊緣C2方法，將需要有效的通信接口和互操作性。

4.3 用例

用例是用來捕捉和表示特種作戰C2系統的高層次系統功能和用途。用例還確定了不同的場景，以衍生出系統所需的功能。用例被結構化為包，如下圖4所示，以管理不同層次的建模水平。各包之間的箭頭描述了它們之間的依賴關系。用例的來源包括各種公布的理論文件以及與主題專家和其他利益相關者的互動。用例也構成了開發ConOps的基礎。

圖4:用例包

圖5給出了戰術級用戶使用特種作戰C2系統生成態勢感知信息的簡略用例。態勢感知支持指揮官和操作人員了解作戰情況以支持決策。態勢感知支持C2的快速決策。態勢感知需要支持根據收到的新信息或目標的變化在短時間內改變和調整計劃，即使行動是在有限的信息下進行的。信息由經過分析和添加背景的信息對象組成。信息比數據對象處于更高的抽象水平（經過處理）。

圖5:過程信息用例

系統需要實現基于角色的認證，以保護信息的安全性和完整性。這只允許某些用戶以規定的訪問（需要知道）權限訪問信息。與任務相關的作戰環境信息是由觀察事件的信息收集資源在系統中采集的。要在系統中捕獲的典型信息可能包括圖像、視頻、自己的位置報告、氣象信息、地理（地形）信息和社會媒體。

還需要進行信息整理，以接收、處理和顯示有關友軍和敵軍活動或能力的當前信息。信息被顯示在（覆蓋）地形上，以產生一個共同的作戰圖。對數據進行處理以增加其價值，并使其成為可用的 "信息"。這涉及到對不斷變化的政治和軍事環境的正確評價和理解。來自不同傳感器的數據需要進行融合，以便為特定用途提供最適用和準確的信息。最后，特別行動操作人員需要能夠在緊急情況下銷毀系統中的所有信息，以防止機密信息落入敵對勢力之手。

類似的用例可以被生成，以解決戰略或操作層面的用戶和擬議系統的使用。不同的用例也可以為特定的場景生成。其目的是在啟動下一層次的分析之前，確定系統的所有用途和行為者。

4.4 功能架構

C2要執行的功能是由用例中的動詞得出的。系統的功能邏輯結構被記錄在一些活動圖中，以定義活動（功能）之間的關系。圖6顯示了所選功能活動的層次結構。

圖7提供了功能結構的另一種觀點，它由相同的元素（活動）組成，但它們之間有不同的關系（控制和信息流）。首先，C2系統中的信息是通過對作戰環境中的元素的傳感（集成）和操作人員的視覺觀察來獲取的，包括對感興趣的元素的位置和描述。額外的信息被收集，并與GIS數據進行整理，以建立各種信息位之間的聯系。

圖6:功能架構層次結構

這些信息被儲存起來用于顯示和分析。選定的信息要顯示給操作人員，以便為指揮官提供一個完整的戰斗空間圖，以及命令、回應和協調行動的能力。另一個關鍵方面是分析信息，以提高捕獲信息的價值和可用性。同樣，端口被用來定義各項活動之間的接口。

圖7:功能架構

4.5 邏輯架構

C2系統的邏輯結構，如圖8所示，包括從用例中的名詞衍生出來的系統元素，以提供結構和工具（系統元素）。系統被分解和劃分為邏輯元素，這些元素相互作用以滿足系統要求，使用塊中的塊。

圖9提供了圖8中C2系統的邏輯元素之間的接口。該圖由相同的元素（塊）組成，但它們之間有不同的關系（接口）。有關系統的外部邊界上的端口與上下文圖中定義的端口相對應。這些端口定義了項目和信息與外部系統和情況管理系統操作者的流動接口。

圖8:系統架構結構

如圖10所示，邏輯架構中定義的邏輯系統元素執行功能。這里，圖6和圖7的活動被分配給圖8和圖9的塊狀元素。特種作戰C2系統中捕獲的信息在顯示器上呈現給操作人員。該顯示器使操作人員能夠查看信息并與之互動。顯示的信息可以包括由地圖組成的共同行動戰場圖，其中有自己的部隊、友軍、威脅部隊和目標位置。可根據需要過濾的其他信息包括任務狀態、人員健康狀態、電子攻擊警告和實時視頻或照片圖像。這些信息可能來自于同地的傳感器，這些傳感器可能被整合到C2系統中。

圖9:帶有接口的系統架構

信息分析工具或應用程序支持對捕獲的信息進行分析和處理，以支持情報過程（周期）以及發展局勢意識。該工具通過態勢感知顯示器訪問存儲的信息，以查看、回放和處理數據庫中的信息。C2系統中的所有信息都存儲在一個集中的數據庫中。該數據庫需要一個適合于所有特種作戰任務的數據元模型和本體論。

圖10:邏輯架構

4.6 方案實施

建模過程的最后一步是將邏輯和功能結構轉換為具體的解決方案選擇，以便進行分析和權衡。選定的解決方案描述將構成所需采購的C2系統的系統需求說明的基礎。如圖11所示，這一步描述了定義資源分配的物理系統元素或節點之間的關系。

在邏輯結構中確定的塊是通過塊圖的屬性來實例化的。SysML塊（UML類）被實例化為屬性（UML對象），以模擬不同的解決方案。一個塊可以通過多個屬性進行實例化，如綜合傳感器和情況意識顯示邏輯元素。信息分析工具在戰術部署的個人綜合C2系統中沒有被實例化，因為操作者可能沒有時間進行信息分析。這種方法使系統工程師能夠在其系統設計中實現模塊化。

圖11:C2系統解決方案實施

4.7 可追溯性

用軟件工具實現MBSE的一個優點是能夠保持工具中捕獲的各種元素之間的可追溯性，如圖12所示。這種可追溯性使系統工程師能夠實施變更管理。一個用例中的變化可以被追蹤到系統解決方案中的影響。這些塊中的任何一個都可以被追蹤到用戶、系統或實施的需求。

圖12:元素可追溯性

4.8 討論

本節展示了基于MBSE的C2系統開發方法，該方法將在復雜環境中使用。這個過程是獨立于架構框架的，并且可以連接到基于能力的系統建模中。建模的力量是為所有的系統元素及其關系和相互作用提供一個可視化的表示。一張圖片勝過1000個字。模型幫助利益相關者理解他們的需求和系統解決方案的含義。由于復雜的關系更容易被視覺化和管理，模型的圖表在審查時仍然更容易使用。

在這個過程的每一步，都有可能為系統定義和添加需求。每個需求都可以與一個特定的元素相關聯或被追蹤。在需求和系統元素之間甚至可以有多對多的關系。如果存在一個需求列表（如用戶需求），它可以被導入到工具中，并與各種模型元素相聯系。

大多數MBSE工具使建模者能夠為模型元素和關系添加文本描述。這些工具也有自動化的應用，可以將圖與元素的描述導出為基于文本的報告，供利益相關者正式審查和接受。報告可以是需求說明的形式，也可以是只包含模型所要求的特定信息的系統描述的ConOps。

在開發和實施系統的組織中，模型的可移植性也很重要。對模型元素（用例、活動和邏輯塊）的訪問和對需求的追蹤將有助于權衡和設計決策。

5 結論

本文提出了一個MBSE過程，并通過開發一個用于特種作戰的C2系統對其進行了演示。由于開發復雜的社會技術系統的系統工程變得越來越困難，MBSE提供了一種方法來設計和實施有效的模塊化系統。在需求分析和概念開發階段，捕捉和表現系統的利益相關者的心理模型的模型有助于理解這種復雜性。

使用基于模型（以數據為中心）的軟件工具對系統進行建模，有助于管理復雜性和需求與建議的解決方案概念之間的可追溯性。保持各種系統圖和視圖之間的可追溯性，確保定義的模型元素及其關系的一致性。

為了證明MBSE方法，一個社會技術系統以特種作戰的C2形式在通用水平上進行了建模。這些視圖為深入分析和開發一個實際的C2系統提供了結構。

威脅建模可以幫助防御者確定潛在的攻擊者能力和資源，從而更好地保護關鍵網絡和系統免受復雜的網絡攻擊。防御者感興趣的對手資料的一個方面是進行網絡攻擊的手段，包括惡意軟件能力和網絡基礎設施。即使大多數防御者收集了網絡事件的數據，但提取有關對手的知識來建立和改進威脅模型可能是很費時的。本論文將機器學習方法應用于歷史網絡事件數據，以實現對手網絡基礎設施的自動威脅建模。利用基于真實世界網絡事件的攻擊者指揮和控制服務器的網絡數據，可以創建特定的對手數據集，并利用互聯網掃描搜索引擎的能力來豐富數據集。將這些數據集與具有類似端口服務映射的良性或非關聯主機的數據混合，可以建立一個可解釋的攻擊者的機器學習模型。此外，根據機器學習模型的預測創建互聯網掃描搜索引擎查詢，可以實現對手基礎設施的自動化威脅建模。對抗者網絡基礎設施的自動威脅建模允許在互聯網上搜索未知或新出現的威脅行為者網絡基礎設施。

DevSecOps

涵蓋整個軟件生命周期的現代軟件工程實踐和工具

DevSecOps是一種文化和工程實踐，它打破了障礙，開啟了開發、安全和運營組織之間的合作，使用自動化來專注于快速、頻繁地將安全基礎設施和軟件交付到生產中。它包含了從軟件的接收到發布，并以可預測的、透明的、最小的人為干預/努力來管理這些流程[1]。

DevSecOps管道試圖無縫整合三個傳統的派系，它們的利益有時是對立的：

• 開發；重視功能；
• 安全，重視可防御性；以及
• 運行，重視穩定性[2]。

人們不僅需要平衡這些派別。他們必須在時間、范圍和成本的限制下，以平衡風險、質量和效益的方式做到這一點。

1 引言

確保信息和武器系統免受網絡威脅是美國國防部及其盟國合作伙伴的一個重要目標。了解這些系統在現實操作條件下的端到端性能，包括網絡干擾，對于實現任務目標至關重要。在不利的操作條件下，識別和減輕操作性能的不足，可以為我們的防御能力提供重要價值，并直接拯救生命。

作為一個說明性的例子，我們考慮聯合全域指揮與控制（JADC2）系統。JADC2從根本上依靠通信和網絡來包含、提取和傳播時間敏感的、與任務相關的信息，以決定性地戰勝對方的部隊。未來的沖突很可能涉及到試圖破壞對JADC2通信和高度復雜的武器系統的可靠運行至關重要的信息系統。破壞已經是潛在對手部隊的一種能力，并將蔓延到與他們結盟的次要威脅。JADC2綜合網絡和動能戰場的復雜性要求訓練、分析、測試和評估部門充分考慮到網絡操作退化和/或利用網絡漏洞對整體任務結果的潛在影響。這促使人們對工具、技術和方法進行大量的持續研究和開發，以評估一般軍事系統，特別是作戰系統的網絡彈性（復原力）。

戰斗系統之間的復雜性和相互依賴性以及它們之間的聯系使目前的彈性分析方法變得復雜。例如，假設故障是隨機的硬件故障，那么與網絡中的單點故障相關的風險可以通過冗余的組件來緩解。然而，一個未被緩解的網絡漏洞也可能導致冗余組件出現相同的故障。即使組件本身沒有漏洞，成功干擾數據交換時間的攻擊，例如通過加載數據總線，也可能導致作戰系統性能下降。同樣，通過延遲的、間歇性連接的、低帶寬的環境建立通信聯系，可能需要使用多跳來轉發信息，這增加了對中間人攻擊的敏感性。

還有一種情況是，武器系統的網絡漏洞不一定是任務漏洞，因為利用該漏洞可能會也可能不會影響實現任務目標所需的整體系統能力。為了保證任務免受網絡威脅，武器系統的網絡彈性必須在現實的戰術環境中進行評估，以便。

• 預測潛在的網絡攻擊對具體任務的影響。
• 分析任務背景下的替代緩解策略。
• 訓練作戰人員有效應對對手為破壞動能任務而動態部署的網絡工具、戰術和程序（TTPs）。

使用虛擬機（VM）的傳統網絡靶場是網絡系統的最高保真表現，因為它們不僅虛擬了通信協議，還虛擬了操作系統和應用程序，因此在這些模塊中發現了漏洞。因此，網絡范圍經常被用于網絡攻擊和防御評估和培訓。然而，虛擬機往往需要大量的硬件足跡來模擬大型網絡，并需要大量的時間和人力來配置特定實驗的范圍。這種類型的網絡范圍受到以下額外的限制：

• 表現戰術、5G、衛星和其他無線網絡以及適當的網絡和電子戰（EW）攻擊載體的能力有限。
• 在產品生命周期的設計階段，支持分析的能力有限。
• 難以表現替代性作戰環境以及與動能戰領域的整合。

在本文的其余部分，我們從以任務為中心的角度研究了使用網絡數字孿生來提高軍事（戰斗）系統的網絡彈性。網絡數字孿生依靠高保真模擬和仿真來對物理系統進行建模，并在可移植性、可擴展性、對無線網絡和通信進行建模的能力以及支持整個產品開發周期的網絡分析方面提供好處。我們還提出了一組用例，說明數字孿生在不同系統的網絡彈性評估中發揮的作用。

將基于虛擬機的網絡范圍與網絡數字孿生體相結合的網絡框架，可以為調查各種戰術系統的網絡彈性和脆弱性提供一個理想的平臺。

2 網絡數字孿生

"數字孿生"利用系統的高保真軟件模型，以高效和全面的方式支持復雜系統和系統中系統的分析、測試和生命周期管理。數字孿生體從多個來源不斷學習和更新自己，以代表物理系統的近實時狀態和運行條件。這些來源包括傳達其運行狀況各個方面的傳感器數據；人類專家，如具有深刻和相關領域知識的工程師；數字孿生體可能是其中一部分的更大的物理系統和環境；以及連接的人工智能和機器學習（ML）系統。數字孿生還可以整合來自過去操作的歷史數據，將其納入數字模型。

網絡數字孿生體是一個通信網絡的數字孿生體，它使用實時數據來實現整個生命周期的理解、學習和推理。網絡數字孿生體使用網絡模擬和仿真，但與之不同的是，它通過傳感器輸入和上下文信息保持當前的網絡狀態，并能在其生命周期內不斷學習和更新模型。

通過相應的物理系統從設計到部署的演變，數字孿生體還可以作為一個權威的真相來源（ASOT）。通過在系統設計的早期階段構建網絡數字孿生，也許通過利用基于模型的系統工程（MBSE）工具和方法，系統設計者和開發者可以保持從最初的系統規范到最終部署的系統的需求流的跟蹤，并保持在整個產品生命周期中如何修改或增強需求的文件跟蹤。特別是，數字孿生可以直接連接產品生命周期的系統設計和系統測試階段。具體來說，網絡漏洞和緩解策略可以被評估和跟蹤，從系統設計階段開始，經過各個階段的完善和發展。這種方法可以極大地提高已部署系統對網絡威脅的整體復原力。

我們注意到，即使在相應的系統被部署后，數字孿生體仍然是有用的。特別是，通過構建多個替代系統配置，并選擇能夠提高運行性能的配置，以滿足包括網絡彈性在內的關鍵性能措施（MOPs），孿生體可用于監測和持續改善運行系統的性能。

以下是網絡數字孿生的一些關鍵屬性，以支持其用于評估軍事系統的網絡彈性：

保真度。網絡數字孿生體必須以足夠的保真度捕捉系統通信基礎設施的具體配置、拓撲結構、流量負載和動態，以便該模型能夠準確地再現物理網絡的行為。系統行為的例子包括具有不同服務質量要求的流量之間對鏈路帶寬和緩沖空間的競爭，拒絕服務攻擊包對系統控制器的影響，或農村或城市地形對信息接收的影響。對任何設備的配置文件的改變必須導致數字孿生的行為與物理網絡的行為有相同的可觀察的變化。

可擴展性。網絡數字孿生體必須有能力擴展到大量的網絡和基礎設施設備，并有能力模擬真實世界場景中典型的端到端流量。

執行速度。為了能夠評估一些現實的 "what-if "場景，網絡數字孿生體應采用先進的仿真技術，提供比實時更快的執行速度。為了提供一個與現場設備相結合的測試平臺，網絡數字孿生體應該能夠實時運行，以便現場和模擬的組件能夠同步運行。

與現場軟件、硬件和人類操作員的整合。與實時軟件（如網絡管理器或物理組件控制器）和/或流量跟蹤集成的能力將使網絡數字孿生體能夠評估現實的操作場景，并從相應的物理網絡中創建或更新模型狀態。同樣，包括物理系統中使用的實時網絡和網絡物理防御組件的子集的能力將大大改善保真度，并促進模型的驗證和確認。

統計數據的收集和分析。與相應的物理系統相比，數字孿生通常可以在數據收集方面有更多的工具。詳細的統計資料，特別是在跨越一系列操作參數的多次運行中收集的資料，有助于確定復雜網絡系統性能下降或故障背后的根本原因。

易用性。用于構建網絡數字孿生體的平臺必須提供一套豐富的預構建設備模型，從而可以快速配置系統模型，最好使用自動或半自動工具來配置設備、網絡拓撲結構和流量分布。仿真器還必須支持建立模型和發起各種適應性和/或協調性網絡攻擊的能力，以評估系統中的系統在各種操作條件下的彈性。

圖1說明了實時-虛擬-結構性網絡數字孿生的概念，它將軟件網絡模型與實時組件和其他適合相關用例的模擬器結合起來。

圖1. 網絡數字孿生。

網絡數字孿生也可以很容易地與人工智能或機器學習系統對接，以測試AI/ML系統預測的準確性，或使用其結果來優化相應網絡的運行。

3. 網絡數字孿生平臺實例：EXata

考慮網絡數字孿生平臺的一個具體例子--EXata，它滿足了上一節中提出的許多要求。

• 逼真度。EXata在通信協議棧和網絡設備的所有層中使用高保真模擬/仿真模型，以高保真的方式表示端到端的系統。

• 可擴展性。EXata仿真內核使用一套并行離散事件仿真算法（PDES）9和適當的分區算法，以有效地細分計算，在服務器或云平臺的多個處理器中模擬大規模網絡。因此，使用EXata模擬的網絡規模沒有固有的限制。

• 執行速度：EXata已被移植到當代共享內存和分布式內存并行架構上，并有一個原生的云實現。這些實現已被用于支持實時和比實時速度更快的具有成千上萬個無線電臺的網絡模擬。

• 與實時組件的互操作。EXata支持一種 "仿真 "執行模式，其中內核使用低偏移同步模塊與物理時鐘同步運行。這種模式可以用來與實時應用程序連接，這些應用程序在網絡數字孿生體上運行，就像它們在真實網絡上運行一樣。網絡模擬還可以在一個或多個協議層與網絡管理和監控工具、實時中間件、實時路由器、防火墻和其他網絡設備進行互操作。

• 可擴展的網絡模型庫。EXata支持一個可擴展的庫，包括商業（如Wi-Fi、蜂窩、企業、多媒體網絡）、軍事（如多域戰場網絡）和兩用（如5G、衛星通信）網絡。具體而言，它支持聯合網絡仿真器（JNE），這是一個美國軍用波形和網絡模型庫，涵蓋了從水下通信到海上網絡、戰術空中鏈接、衛星通信網絡和地面網絡，包括當前和新興的波形。EXata還支持物理環境的高保真模擬模型，包括城市和農村的地形、干擾和流動性。

• 網絡模型。EXata支持一套模擬網絡空間的攻擊和防御，與模擬網絡的每一層互動。這些包括網絡安全協議、防火墻模型、端口和網絡掃描、拒絕服務、刺激入侵檢測系統、數據包修改、漏洞利用、病毒/蠕蟲傳播和防御、后門、rootkits、僵尸網絡以及其他。主機模型可以配置內存、CPU周期、漏洞、進程和可以被感染的共享文件。自適應攻擊腳本可用于修改攻擊載體，這取決于先前嘗試的攻擊的成功率。模擬網絡攻擊影響網絡模擬中的虛擬節點，而不影響任何物理設備。模擬攻擊對虛擬節點的影響反映了物理設備上信息的保密性、完整性和可用性的影響，如果它們是模擬攻擊模型的真實攻擊目標。

• 場景導入器：EXata支持一些工具，以自動將網絡拓撲結構、流量和設備配置從物理網絡導入其EXata模型。圖2總結了在EXata中支持自動創建網絡數字孿生的能力。

圖2. 使用EXata自動創建網絡數字孿生。

4. 選定的使用案例

網絡數字孿生可用于各種兵棋推演、分析、培訓、測試和評估背景下。我們考慮以下三個具體的用例：

• 戰術模擬和作戰分析。該用例說明了使用網絡數字孿生體將高保真網絡、通信和網絡模擬能力納入兵棋推演和概念開發活動。
• 網絡分析和測試。該用例說明了網絡數字孿生體如何被用來確定現有通信資產的詳細性能特征，以根據現實世界的條件來優化配置和部署。
• 網絡物理系統（CPSs）的網絡彈性。該用例展示了如何使用網絡數字孿生體來確定網絡物理系統（如潛艇、電網或無人自主車輛）的操作漏洞，以應對對物理系統的通信和控制網絡的攻擊。

4.1. 兵棋推演和行動分析

雖然許多兵棋推演軟件在表現平臺的機動性和行為方面很出色，但大多數都假定通信接近完美，沒有充分考慮到對通信系統的威脅以及隨之而來的影響網絡性能的退化。在現代戰爭中，幾乎每一種情況都依賴于及時的通信，而當這些情況沒有被準確地模擬出來時，就會導致不正確的兵棋推演結果。這就要求兵棋推演平臺能夠模擬真實的網絡和通信效果以及網絡攻擊，以支持有效戰術、技術和程序（TTP）的發展。這種能力將確保在確定兵棋推演的結果時，可以適當考慮到網絡漏洞或多領域戰場上的不良網絡性能的任何影響。

4.1.1. 網絡數字孿生和兵棋推演

網絡數字孿生為兵棋推演提供了一個真實的平臺，以模擬任務的所有通信方面。兵棋推演平臺處理平臺的流動性和動能任務，而網絡數字孿生體處理底層的通信、網絡和網絡效應。圖3顯示了一個簡單的架構，將兵棋推演模擬器（如ONESAF、NGTS、AFSIM）或商業工具（如Command PE、VR Forces）與網絡數字孿生平臺（如EXata）相連接，以模擬用于連接相應平臺的通信網絡。

圖3. 兵棋模擬器與網絡數字孿生的接口。

最初的平臺位置和隨后的位置更新是由兵棋推演模擬器傳播到網絡數字孿生體。平臺之間的任何通信都被路由到網絡數字孿生體，它根據當前的位置、發射器和接收器的特性、網絡協議、環境因素等計算出信息的端到端可達性和延遲，并將結果返回給兵棋推演模擬器。我們注意到，這樣的孿生體可以用來準確描繪紅方和藍方部隊的通信，以及一方發動的網絡攻擊（如干擾）對另一方的網絡和通信的影響。

這些網絡效果有助于分析人員在現實的網絡競爭環境中用不同的行動方案（CoAs）測試他們的兵棋推演計劃。例如，紅方部隊可以使用干擾攻擊來破壞藍方部隊的情報、監視和偵察（IRS）行動，以掩蓋其戰術行動，并在特定的行動區域獲得力量優勢。隨后，作戰者可以在藍方的射頻通信系統中加入抗干擾能力作為反制措施。然后，分析員可以根據紅方的干擾能力和藍方的反制措施，檢查兵棋推演計劃中的不同CoA，并評估這些能力在任務中的部署是否有效和及時。

4.2. 網絡分析和測試

這個用例說明了使用網絡數字孿生體來支持多域戰場網絡的任務規劃和分析模式。在這個大國競爭重新開始和復雜的網絡威脅的時代，我們必須根據網絡支持的任務來評估網絡的彈性和生存能力。這種評估應基于以下幾點：

1.任務目標。

2.武器系統的屬性和弱點。

3.網絡防御能力。

4.對手在多域任務行動中使用網絡威脅，包括TTPs。

我們以聯合全域指揮與控制（JADC2）為例，說明網絡數字孿生體如何被用來識別性能特征，并根據實際情況優化配置和部署。

4.2.1. 聯合全域指揮與控制（JADC2）

JADC2依靠一個地理上分散的、由傳感器、平臺和武器系統組成的連接網絡，在嚴酷和有爭議的環境中運行，以實現任務的成功。JADC2可以使用原地環境數據和實時平臺位置。實際情報和/或聯網的傳感器可以自動提供目標軌跡、部隊位置、情報和環境因素，然后用頻譜管理和網絡威脅來完善這些因素。

4.2.2. 用于JADC2的網絡規劃和分析的網絡數字孿生

如前所述，由于通信協議、設備配置、網絡拓撲結構、應用流量、物理環境和網絡攻擊之間的相互作用，JADC2的數字孿生必須有足夠的保真度，以準確反映網絡動態。例如，對手發起的干擾或拒絕服務攻擊的位置、強度和持續時間將決定對任務至關重要的通信的影響。數字孿生體必須有足夠的保真度來捕捉網絡動態，從而適當區分那些僅僅是煩人的網絡攻擊和那些有可能破壞任務時間表的攻擊。例如，強度足以破壞流媒體視頻但不會破壞位置信息（PLI）的干擾傳輸可以被忽略。

JADC2的網絡數字孿生體的執行速度比實時快，可以根據OPFOR的位置、發射范圍和EW/cyber能力，承受真實的或與任務相關的潛在網絡空間行動。它提供可視化和詳細的指標，如連接、延遲、丟包等，以及它們對任務的影響。如圖4所示，網絡數字孿生體可用于根據不斷變化的METOC、頻譜管理、網絡性能、連接性和對網絡攻擊的敏感性，比較和評估具有不同路線和搜索區域的多種行動方案（COA），以協助優化網絡配置，并幫助評估任務中的網絡威脅緩解策略。

圖4. 使用網絡數字孿生進行網絡分析。

使用網絡數字評估JADC2系統的網絡彈性也可以增加網絡彈性測試的范圍：許多網絡攻擊，如漏洞利用、病毒/蠕蟲傳播或分布式拒絕服務（DDoS）不能在JADC2本身上進行，但可以使用數字孿生進行演練，而沒有損害JADC2系統的風險。

4.3. CPS的網絡復原力

CPS是網絡犯罪分子的新的軟目標。CPS可能包括諸如電網、自主車輛系統、醫療監測系統、過程控制系統和飛機自動駕駛儀等系統。一個典型的CPS包括一個連接到遠程操作中心的傳感器、執行器和控制器的網絡。許多這樣的CPS迅速利用互聯網連接性來提高運營效率，并為客戶提供新的服務。不幸的是，這些改進帶來了一個嚴重的缺點--對網絡攻擊的敏感性增加。如果成功的話，對CPS的攻擊會對商業和日常生活造成廣泛的破壞。因此，保護關鍵基礎設施，如電網或運輸網絡，對國家安全至關重要。對關鍵基礎設施的網絡攻擊已被視為地緣政治沖突或軍事行動劇本中的一個選項，如當前的烏克蘭戰爭。因此，對CPS的網絡復原力的評估與任何防御系統一樣重要。

CPS（以及工業控制系統或SCADA系統）的運作通常需要傳感器和監測或控制單元之間的定期通信和反饋；這些互動有嚴格的時間限制。例如，IEC61850標準是電力變電站的全球標準，它要求某些控制信息在3毫秒內傳遞，以保護電網。即使是對這些信息的時間或內容的輕微擾動也會造成嚴重的影響。位于發電機的傳感器和控制中心之間的信息通信可能被 "黑"，導致服務中斷或設備故障。如果信息的內容被破壞，它可能導致CPS控制器低估了正在產生的電力數量。在另一種網絡攻擊情況下，"中間人 "或拒絕服務攻擊可能會導致從控制器到執行器的 "關閉 "信息丟失或只是延遲接收，可能會導致電網部分設備的連帶故障。

4.3.1. 在電網中集成數字孿生和網絡彈性

2015年12月，世界目睹了一個令人不安的新事件--第一次由網絡攻擊引起的電網中斷。該地區是烏克蘭西部，惡意的行為者使大約30個變電站和兩個配電中心斷電。對電網中發現的工業控制系統的網絡攻擊威脅的擔憂繼續出現。2019年3月5日，能源部報告了美國電網有記錄以來的第一個破壞性網絡事件。

那么，CPS的運營商如何評估其網絡漏洞，并評估潛在緩解策略的有效性？集成數字孿生（IDTs）通過創建通信網絡和物理系統的綜合模型提供了一個創新的解決方案。作為一個具體的例子，我們考慮使用EXata和HYPERSIM的整合來模擬烏克蘭的攻擊，EXata用來模擬通信網絡，HYPERSIM用來模擬電網組件、控制系統和輸電線路（圖5）。在這種情況下，這兩個組件被集成在同一個計算平臺上，以確保許多基于SCADA網絡的控制系統回路所需的高性能和低延遲。

圖5. 集成EXata-HYPERSIM數字孿生。

諸如此類的IDT有助于促進對組件和技術之間相互作用的廣泛理解，以防止、減輕并最終從系統中斷中恢復。雖然網絡和受控物理系統的獨立模擬可以提供有用的見解，但在IDT中，模型之間相互作用，提供共享的時間和元數據來描述整個系統狀態。這使分析人員能夠測試局部事件在整個系統中傳播的影響，提高系統的整體保真度。

EXata-HYPERSIM IDT被用來復制烏克蘭的三個區域電力控制系統是如何被網絡攻擊破壞的，導致大范圍的停電長達6小時。這種對電話系統的拒絕服務攻擊阻礙了運營商的通信，使情況進一步復雜化。只有當技術人員被派往子站手動控制電力系統時，電力才最終得到恢復。

對停電和攻擊的分析確定，子站的串行到以太網轉換器的固件被破壞。機房和電話系統的不間斷電源（UPS）被遠程關閉，許多電腦的硬盤被破壞。對電力系統的攻擊是分階段進行的，16其中后期的攻擊依賴于早期的成功入侵。攻擊者首先利用魚叉式網絡釣魚郵件滲入IT網絡，安裝惡意軟件，對公司網絡進行全面偵察和列舉，發現和訪問活動目錄服務器，并竊取證書。然后，攻擊者利用企業網絡和OT網絡之間不恰當的防火墻配置，訪問HMI服務器，在被攻擊的工作站上安裝后門，從HMI操作員那里獲得控制權，并打開斷路器，破壞電力分配。

對這一鏈條進行建模是確定適當的緩解措施的關鍵。圖6顯示了流經電網網絡的控制數據包的可視化，重點是電力系統網絡的大規模拓撲結構、各組件之間的相互連接以及流經每個環節的流量。網絡中斷和電力系統性能之間的關系在IDT中被高保真地模擬出來。發起的攻擊類型及其對協議和設備的影響被準確建模。此外，用于跟蹤電力系統運行的指標中的瞬態，在中斷之前和之后，都被高保真地建模。這些指標包括中斷對中間系統電壓和公用事業輸出頻率的影響，以及由于斷開命令導致的電力輸出變化。因此，IDT促進了對電網組件和互連網絡的完整的端到端表示。

圖6. 電網網絡中控制包的可視化。

5. 總結

在多域戰場上，作戰人員依靠地理上分散的、由傳感器、平臺和武器系統組成的連接網絡，在嚴酷和有爭議的環境中執行任務。連接傳感器、C2和武器系統的網絡構成了任務的關鍵組成部分，因為人類的決策從根本上依賴于它來包含、提取和傳播時間敏感的、與任務相關的信息，以決定性地戰勝對方的力量。

盡管網絡性能、安全性和完整性對系統的正確運行至關重要，但網絡本身也暴露了攻擊面，并受到破壞和網絡攻擊。由于需要快速部署和重新配置任務網絡以應對現代戰斗空間中快速變化的條件，這個問題變得更加嚴重。

這些問題不僅僅是軍事領域所特有的，而是滲透到今天的許多互聯系統中，包括關鍵基礎設施、智能運輸、物聯網、網絡物理系統和企業網絡。敵人可以對這些網絡系統中的任何一個發起網絡攻擊，并對日常生活的許多領域造成嚴重破壞。

本文考慮了網絡數字孿生的適用性，它有可能使用現場、虛擬和構造模型的組合，來評估任務的網絡彈性。我們通過一組使用案例，展示了網絡數字孿生如何在整體生存能力的背景下，基于對對手在多領域任務操作中如何部署網絡威脅的理解，促進這種分析。總之，網絡數字孿生提供了以下主要好處。

• 網絡和動能領域的整合，不需要對任何一個領域進行修改。
• 獲取無線和戰術波形及其特定的脆弱性。
• 一個高度可控的平臺，允許在比實戰系統更精細的層次上收集數據。
• 針對網絡和連接的武器和C2子系統的可擴展的攻擊庫。
• 整合實時軟件、硬件和其他仿真器，包括基于虛擬機的網絡范圍。
• 一個持久的模型，可以作為一個權威的真相來源，并提供對系統要求的可追溯性。
• 支持從設計、開發、測試和系統部署的整個產品生命周期。

我們相信，將網絡數字孿生體與基于虛擬機的網絡范圍相整合，為進一步進行此類分析提供了一個強大的平臺。這種整合可以提供一個兩全其美的測試平臺能力：網絡范圍可以用來測試真實的攻擊，以利用基于虛擬機的主機上的真實漏洞，而像EXata這樣的網絡數字孿生平臺可以準確和更容易地模擬主機之間的（無線）網絡。因此，在網絡范圍內不容易建模的各種網絡和操作條件都可以被建模，特別是包括衛星和其他無線設備的網絡。

關鍵要點

• 數字工程和MBSE有可能將設計決策加速到開發過程的早期階段。

• 如果沒有構建和整合人類模型，這些決定可能是在不了解人類影響的情況下做出的。

• 需要一個強大的框架來支持人類建模工作的發展--也許衡量標準的分類法是一個重要的起點。

• 框架模型的標準化可以推進系統模型中人的表述的使用，改善人與系統的整合。