数据可信性(共11篇)
数据可信性 篇1
0 引言
云计算技术从一定程度上来说是种计算模型, 还可以说是一种运营模式, 它能给IT企业或者其他行业带来福音, 能进行有效管理, 积极合理分配零散资源, 能帮助企业在很大程度上减少开销。同时, 随着先进网络等计算机技术的迅猛发展, 如何将数据安全地存储、操作等问题就显得尤为重要了。因此, 对数据的安全问题研究也迫在眉睫。
在许多有关云计算的安全问题中, 用户和企业最为关注的则是数据处理和存储中信息的完整性、有效性和保密性等问题。若数据基于个人设备中存储时, 用户负责数据的安全和处理操作, 但如果数据是基于云计算服务的, 则用户本身不具备对数据的控制了, 由各大云计算服务提供商对数据处理和保护等措施, 整个过程由服务提供商负责, 数据用户不做参与。因此, 怎样确保数据数据的安全性, 增强用户对云计算服务提供商提供的服务是安全可信的, 这就需要在云计算服务提供商和数据用户之间建立相互信任的机制。
1 虚拟机迁移技术
1.1 TCCP模型
2009年Santos[1]已把信任的相关问题与云计算的环境相结合了, 其中的TCCP模型主要目的是利用可信计算技术来使得数据不被非法篡改或非法访问, 其模型如图1所示。其中, ETE是外部可信实体, TC (Trusted Coordinator) 是可信协调者, TN (Trusted Node) 是可信节点, CM (Cloud Manager) 是云管理者。
用户的数据信息存储的主要载体是云存储环境中的物理硬件设施, 而TCCP模型是以最底层的物理设施为基础来实施架构的, 这样的结构有利于数据的集中管理控制及安全保护。VMM (Virtual Machine Monitor) 虚拟机监控器在TN可信节点中为每个VM (Virtual Machine) 构造了一个Black Box黑盒环境, 虚拟机内部信息就不会被用户所知, 这样用户只能通过提供的相应功能来使用虚拟机。因此, 有了以上的相关安全措施, 虚拟机的信任区间的创建和转换迁移则是云计算环境里信任问题研究的关键了。
1.2 VM虚拟机和虚拟可信平台模块v TPM的迁移
虚拟机的迁移在虚拟化进程中是个非常重要的工作[2], 若数据用户在使用虚拟移动设备, 或者云存储系统资源需统一管理, 又或云系统资源负载需均衡时, 虚拟机的迁移操作能产生积极的影响和益处。允许虚拟机从一台物理服务器迁移到另一台服务器上的动态特征 (Live characteristic) , 将不会阻止正常服务的供给。虚拟化平台一旦与可信计算技术相结合后, v TPM这个虚拟可信平台的实验环境就能被应用程序利用来完成对数据信息安全有效的存储。怎样做到虚拟机迁移的前后系统状态达到同步一致, 虚拟机和可信平台都要迁移, 文献[3-7]以具体方式或者协议来对虚拟机及可信平台的迁移都有研究。
Berger[4]提出的研究基础是迁移操作的平台是可信的这个假设基础之上的, 因此该迁移协议也能在相同配置的平台间进行, 同时具备的数据完整性机制能使得在迁移中保证数据的安全, 文献还指明同样适用于虚拟机的迁移机制。
虚拟机和其虚拟可信平台模块的完整性对于迁移非常重要, Stumpf和Sadeghi[5,6]分别指出, 传统的加密技术对迁移操作进行加密, 若虚拟机和对应的v TPM的数据被篡改时容易被察觉。Sutmpf的文献[5]中, 则是利用完整性验证过程来对数据进行完整性保护。
文献[3]和文献[5]中的协议比较相似, 在Xen的迁移协议负责初始化迁移过程, 再利用迁移密钥加密整个虚拟可信平台v TPM, 然后将加密了的模块传到目的平台。最终的加密虚拟平台因为自身的密钥结构不清晰, 对解密和恢复造成了困难, 这也是Xen协议的难点。
2 安全迁移过程的基本需求
文献[8]中, 支持了迁移协议有着一定的缺陷, 例如, 没有上下文支持, 向目的服务器传递授权信息等, 虚拟机和虚拟平台的关联, 数据的完整性和私有性保护等问题。这些不足是在协议设计最先对协议的需求分析不明确造成的。因此, 鉴于对健壮性和安全性的考虑, 迁移协议都必须以基本的安全需求为基础。
2.1 初始化的正确性
“初始化正确性”这是第一项基本安全需求, 它能对整个迁移过程的初始阶段的正确性来作说明。同时必须是可信实体 (云服务提供商, 源、目的服务器) 才能请求虚拟机及其虚拟平台v TPM的迁移操作, 该操作对于不可信实体是屏蔽了的。这样能通过对参与者约束的方式来降低对系统的威胁, 若不可信实体持续对系统发迁移请求, 可以使系统非正常运行, 即造成拒绝服务攻击Do S。
2.2 虚拟机和虚拟可信平台v TPM的完整性和机密性
“VM和v TPM的完整性和机密性”是第二项基本需求, 目的是保证迁移过程中对象的隐私。从机密性来看, 迁移过程不允许不可信实体获取信息, 因此大大降低了系统泄密的危险。从完整性来看, 在整个虚拟机和虚拟可信平台的迁移前后, 那些肆意的违法操作都能被检测并进行及时处理。
2.3 信任链的保护
“信任链的保护”是第三项基本需求, 目的是保证对象与对象之间的相互信任。因为该需求和其他需求相比较抽象, 必须从互补的角度理解且保障该需求。其目的是要保证对不正确的迁移操作可信服务器不能提供服务, 同时, 不可信服务器不能发请求来进行迁移操作。该需求能对迁移过程的对象建立信任关系, 若源服务器出现问题, 该源服务器的信息将不会被目的服务器接受, 因此与该服务器的连接得减少或者结束。
2.4 时空间的开销降低
“迁移的时间空间消耗尽可能降低”这是第四项基本安全需求了。在整个迁移过程中, 对象的信任关系确认, VM和v T-PM之间数据传输, 加密解密的存储空间的消耗等等, 都应该最小化用以减少时间和空间的消耗, 降低系统的额外开销。
3 迁移方法的描述
综合基于前面文献[3-8]所提出的协议, 本文进一步给出了一个安全的VM和v TPM之间迁移方法细则。如图2所示, 主要由身份验证、完整性验证和数据传输三部分组成。
3.1 身份验证部分
依据安全迁移的第三条需求, 在源服务器和目的服务器间的相互认证是否是可信实体, 一般是通过在源服务器和目的服务器间使用公钥证书, 但是会带来系统额外开销, 为了保证第四条的安全迁移需求, 将使用文献[9, 10]的身份加密机制。
1) 身份加密机制的应用
源服务器和目的服务器的公开密钥可以利用IBE身份加密机制的各自的身份描述获得, 其私有密钥则通过私钥生成器PKG[10]来生成。目的服务器的身份描述信息被获取后, 目的服务器的公开密钥被源服务器构造好之后, 通信信息被该密钥加密。这样以密文形式的通信信息就传输到了目的服务器。相对于DS目的服务器, 利用PKG来取得自身的私钥信息来对密文解密。其交互过程不需要保存系统公钥或证书, 能减少系统的开销, 便于简化公钥管理。
基于身份加密的身份认证部分, 可以分为四个阶段, 系统设置阶段、参数提取阶段和加密、解密阶段。
(1) 系统设置阶段
k为全局安全参数, 以它来构造params系统参数和管理密钥master key。其中系统参数包含有限消息空间M和有限密文空间C。而PKG管理该系统在设置阶段的若干事宜, 在params参数生成后使之公开化, 有且仅有PKG知晓所有相关信息。
(2) Params提取阶段
主要是构造DS与SS相应的身份信息私有密钥。系统的公开密钥保存的是目的服务器的身份描述信息IDDS∈{0, 1}*, 且指定系统参数params和master key管理密钥, 有PKG来提取与目的服务器相应的私有密钥信息d, 以此解密通道的安全信息。
(3) 加密阶段
SS利用DS的身份验证信息、参数信息和认证信息m∈M, 一同构造好认证信息的密文c∈C, 由SS传送给DS来加密认证信息c。
(4) 解密阶段
若接收到SS的加密信息c, 同时DS在向私钥生成器PKG表明了身份并请求私钥信息d之后, 对c解密从而获得认证信息m。
以上四个阶段务必遵循以下的一致性约束, 即给定公开密钥的身份描述信息和私有密钥d, 通过身份描述信息加密的认证信息m一定能被私有密钥d解密, 形式化后:
由于IBE的身份加密机制的公开化特征, 只有私有密钥d是由PKG向目的服务器传递过程中面临攻击的危险, 所以务必要确保d的安全性。因此在参数提取阶段增加了安全信息通道技术来保护私有密钥d, 如图3所示。
2) 安全信道的应用
虚拟的安全通道用以传输加密的数据信息, 同时也可以利用安全信息通道来进行信息交换或者传递敏感信息, 这样不会被外部实体干扰。而建立安全通道的原因有:一方面利用身份认证来建立信任关系;另一方面有利于参与者协商消息加密的密钥。
目的服务器收到SS发来的加密信息后, 向PKG进行身份验证以后通过安全通道或缺私有密钥d来解密消息。其中, 目的服务器构造主密钥MK (Master Key) , 其作用是保护后续的消息认证码 (MACs) 的安全和传输密钥TK (Transmission Key) 。所以需要生产两个64位的x和y, 用y对x加密。即Enc1=DESy (x) , 再用x对y加密, 即:Enc2=DESx (y) 。最后, 这两个加密结果异或操作后得到主密钥, 即MK=Enc1⊕Enc2。这样可以通过检验目的服务器和私有密钥生成器PKG对主密钥的认知度来认证其身份。同时, 被主密钥MK加密后的加密密钥在安全通信信道传输给信息参与者, 也不需要担心传输过程中的信息泄露。
以下是信息参与者确立安全通道的四个步骤:
(1) DS目的服务器在和PKG建立的网络连接后, 在安全通信信道里向PKG表明身份并发请求信号{ID, Enc1‖T, Enc2‖T}, 其中ID是身份描述, ‖是连接符合, 确保Enc的机密性。
(2) 在身份加密机制里, 目的服务器的身份描述对于PKG是透明的, 它能够快速检验目的服务器的身份信息。同时, PKG还能确认接收的信息正确性。通过拆分请求信号的Enc1‖T来获得Enc1, 再通过异或操作构造主密钥MK。新的MK是加密反馈信息, 如{DESMK (T, R) }, 其中时间戳由T表示, R表示密钥生成器生成的64位大整数, DESMK是主密钥进行DES加密后的表示。如果请求信息合法、正确, 则两者构造的密钥是一致相同的;若请求信息不正确, 则新构造的主密钥与目的服务器构造的不一样, 后续过程也会产生错误。同时还会附上由MK生成的消息认证码MAC进行保护。
(3) 目的服务器利用主密钥MK解密反馈信息{DESMK (T, R) }, 若时间戳T解密正确, 则加密操作合法。R则被目的服务器保留来构造传输密钥TK, 目的服务器再向PKG反馈信息{DESTK (T, P) }, 其中P是目的服务器的密码, DESTK是TK传输密钥的DES加密操作。
(4) PKG获得反馈信息后使用R生成传输密码TK, 进行解密后的时间戳T和服务器密码P。若T正确解密, 则反馈信息是正确的。这样四个步骤操作完后, 在目的服务器和私钥生成器PKG之间就建立了一条安全的通信通道。
3.2 相互完整性验证部分
SS和DS进行身份验证后就进行相互完整性的检验。这是完全符合安全迁移的第二项基本安全需求, 同样得保证安全协议的基本要求即迁移场景中的支持组件的完整性。
可信平台模块TPM是以独立实体的形式的应用物流平台为基础, 计算等操作的安全性就是通过把计算融入到过程中来提高的。TPM主要是对物理平台来测量, 负责信息的记录等, 这样就可以掌握物理环境的全貌且能负责外部安全请求[11]。
由于狭小的空间, 可信平台不能将所有信息存储, 需要一个24位的PCR (Platform Configuration Register) 平台配置寄存器来管理且存储摘要值[12,13,14]。其中前五位PCRs (0-4) 与物理平台的个组件对于PCRs (5-7) 这三位是对OS引导程序来度量的;PCRs (8-15) 七位是保留给主机和操作系统OS使用的;PCRs (16) 保存系统调试信息;PCRs (17-20) 度量可信进程的信息;PCRs (21-22) 度量可信操作系统的信息, 最后的PCRs (23) 是预留给指定的应用程序的。PCR的值的属性是只读, 可信平台TPM把值变成可扩展extend的, 即:Extend (PCRN, data) =SHA1 (PCRN‖data) , 其中SHA-1的散列值由PCRN的当前值和数据data来决定。
一旦启动物理平台, CRTM主要记录基本输入输出系统的信息, 其中主要有系统引导加载程序的状态和平台启动运行的硬件情况。物理平台的初始化将信任状态传递给下一组件, 同时下一组件的完整性也由初始化的组件负责, 且决定是否继续传递信任状态, 即是否继续下一个组件的散列值SHA1 (info) , 再调用新的平台配置寄存器值PCRN←SHA1 (PCRN‖SHA1 (info) ) 。
将目的服务器的身份描述“扩展”到PCR平台配置寄存器中, 即可信计算组织TCG的核心“TCG Software Stack”提供的API (如表1所示) 进行扩展操作:PCRN←SHA1 (PCRN‖SHA1 (IDDS) 。DS和SS之间以该扩展方式进行相互完整性检验过程:
(1) 目的服务器将自己的平台配置寄存器值即SigAIK (PCR‖NSS) 反馈给源服务器, 其中AIK是TPM的身份密钥, Nss是源服务器的随机数。
(2) 源服务器接收到了反馈信息后, 先检查PCR中的目的身份描述信息是否正确, 再检验反馈信息中的目的服务器的PCR值以确定其完整性。
(3) 依据 (2) 的目的服务器相同地检验源服务器的完整性。
3.3 数据传输部分
在进行了身份验证和完整性测验后, 即保证了双方的真实可靠性和完整性, 这样在SS和DS之间就可以进行安全的数据迁移操作, 也就是数据传输部分。首先, 目的服务器发送一个随机数NDS给源服务器, 表示它已经做好准备接收VM及其虚拟可信平台模块v TPM了, 若SS源服务器只要接收了NDS则可执行数据迁移。在迁移中必须同步VM及其v TPM的数据信息, 若不能使得两者的状态信息一致, 则应用程序不能保证其完整性也不能完成信息的安全存储。
文献[7]是利用仿真器模拟虚拟可信平台v TPM, 用以替代物理可信平台而将所有功能来实现。该状态的v TPM运行在虚拟机内部, 也就是Xen中的Dom U域。在迁移中要同步二者的状态, 文献[7]是采用“挂起-传输-恢复”的模式, 即:当发出迁移指令后, 源服务器中运行的虚拟机状态通过“xm save”挂起, 且该状态以文件形式保存, 同时该文件还会送给DS且由“xm restore”恢复得到虚拟机。因SS中每一个v TPM都运行在对应的VM中, 则SS的挂起操作就是对其的封装, 相应的DS的恢复操作就是对其的解封。但是这种机制需要同步状态信息, 不适合动态迁移的要求, 因此得引入动态迁移的机制。
Clark等人的虚拟动态迁移可由以下阶段构成, 机制可被抽象为两台服务器之间来做事务处理。
步骤0是SS源服务器向选定的DS发迁移请求, 且该目的服务器具备基本的物理设备资源, 该阶段称为预迁移阶段。
步骤1主要完成目的服务器DS在接收了迁移请求信息后, 考察迁移所需的内存空间等资源, 该阶段是资源预留阶段。
步骤2 Pre-copy算法将虚拟机的内存页拷贝到目的服务器中, 同时, 源服务器的虚拟机运行不受影响。第一次拷贝是将所有页面都拷贝到目的服务器, 接着的每一次拷贝仅拷贝修改过的页面, 这一过程是迭代预拷贝阶段。
步骤3停机拷贝阶段, 若SS中的VM被挂起, VM的CPU状态和不一致的页面发送给DS。拷贝结束后SS和DS都包含了挂起状态的虚拟机的页面。
步骤4迁移虚拟机接收成功的信息被目的服务器发送给源服务器, 同时源服务器SS确认迁移完成, 这是提交阶段。
步骤5在目的服务器DS中的虚拟机VM被恢复同时, IP地址、设备驱动等信息与恢复的VM绑定, 这一过程是虚拟机恢复。
在虚拟机VM和虚拟可信平台间v TPM间完成数据迁移, 需要在步骤3时引入关键的特殊步骤, 利用仿真器模拟出v TPM的状态是运行在Xen的Dom U域, 再由Xen中的进程完成迁移[15,16]。当完成迁移后, 再发送不一致的内存页。当虚拟机实现挂起操作时即表示虚拟机VM所有的操作全部完成, 此时VM和v TPM的交互不再发生, 即是对系统可信的判断依据, 也是将v TPM迁移至DS的最好时机。同时在迁移之后也不需要额外的更新操作。当迁移完成后, 源服务器不保留VM和v TPM, 同时DS目的服务器也转变成VM和v TPM的宿主机。
4 数据迁移方法分析
在迁移方法中的身份确认让双方互相证明可信性。广义来看, 对认证阶段的参与者可确定正在和可信实体交互。若迁移由SS发起, DS如果确认了SS的身份, DS就能确信SS能根据迁移协议完成后续操作, 因此迁移就得到了初始化的合法保障, 满足了初始化正确性的基本要求。
利用Danev等人[7]的传输层协议和公钥证书来实现DS和SS之间的身份验证。而证书机制在证书创建、存储和管理分发阶段都有时空开销。与此相比, 基于身份的加密机在的公开密钥能直接由任意字符串生成, 与专门的PKG私钥生成器构造, 无需预先发密钥, 而是在初始化时验证, 因此能逐步减少系统开销, 为用户增添便捷性和灵活性, 即满足了安全迁移的减低时空开销的需求。
如何将安全有效的密钥信息从PKG发送给DS是身份加密机制的关机之一, 为保障信息交互的安全, 得建立一条安全通道, 可以传递敏感信息。基于安全通信通道的IBE保障了安全迁移中VM和v TPM完整性和机密性的基本要求。
将DS的身份描述扩展到PCR平台配置寄存器中, 能与设备寄存器的度量信息做一致性的检验。SS对DS的完整性做判定, 其中的不一致的信息都能被SS检查到。因此VM和v TPM间的正确迁移, SS和DS的软件及运行状态完整, 即实现了信任迁移的基本需求。
5 实验及结果分析
云服务中的虚拟机与虚拟可信平台模块的数据迁移, 在具备了第2节阐述的安全迁移的基本需求后, 以Xen的开源基础对v TPM提供了虚拟支持, 这样任意的VM都有对应的v TPM来对应, 因此, 要构建配置好虚拟环境, 在Cent OS下安装Xen后, 为宿主OS内核增补以支持开源基础设施Xen。表2是内核配置的设置, 用于宿主系统和虚拟系统的引导。安装了Dom U虚拟机, 进行配置信息“vtpm=[“instance=1, backend=0”]”。其中“backend”是指明和对应的v TPM实例以及TPM在何处进行驱动编译, “0”表示Dom0中, “instance”表示Dom0和Dom1间的通信v TPM实例。“1”表示实例编号。若在Dom U虚拟机中能看到PCR的值, 如图4所示, 则表示在Dom U虚拟机和其对应的Dom0中的虚拟可信平台实例建立连接成功。
用预拷贝Pre-copy做虚拟机内存迁移模拟, 在不同阶段做v TPM的迁移设置。如图5 (a) 表示预拷贝开始之前。记录了被迁移VM的Dom U的状态S, 进行了迁移后状态变为S1, 且记录信息不一致。图5 (b) 是预拷贝的第一轮后。第一轮是把所有内存页拷贝到目的主机, 同时Dom U和v TPM的记录信息都从S变为S1, 且记录信息不统一。图5 (c) 是迁移中的停机拷贝阶段。此时将挂起Dom U, 状态由S也变成S1。且与v TPM不交互, 虚拟可信平台的信息是S1, 迁移后状态信息一致。
6 结语
在本文研究云计算的信任问题中, 虚拟机VM及其虚拟可信平台v TPM的迁移问题是我们重点关注的。考虑了信息终端的数据安全问题, 在数据存储的基本载体层面上对数据信息进行安全保护。若VM和其对应的v TPM在同一环境下, 两者进行数据迁移及信息的保护问题, 将是后续研究的重点。
数据可信性 篇2
【内容提要】公司责任的界定问题是判断公司有无德行的前提。无论是弗伦琴通过赋予公司以成熟的、有理性的人的形而上学地位来界定公司社会责任的合理性,还是迈(LarryMay)认为公司管理人员是公司行为的动因,公司对其员工负有代理责任的观点,都不能从逻辑上令人信服地说明公司能够真正地关注社会公益事业与公众利益。换言之,公司只是一个被赋予了模拟人格的、狭隘的理性模子,利润是其各种行动的支配性动机,公司的德行因为自身理性……
我在这篇文章里要做的是:(1)通过重构这两派的论点来讨论这些观点是否能成功地捍卫“公司负有道德责任”的断言;(2)考察公司决策结构的必然性并在概念上判断公司是否可能有道德意识。
公司是否能承担社会责任呢?在从这两种模型的任何一种出发进行讨论之前,我们先考虑责任问题所由产生的推定性的社会合同问题,这个问题是“公司是否能承担社会责任”问题的变相说法。企业和社会之间的合同是隐含的,即它的特征是隐含性。这一术语描述的是两个意在相互满足的人之间存在的已经被人接受的行为模式;就企业而言,有可能在追求与创造利润的过程中同时希望为公众利益服务。“企业在彼此竞争着这样做时,以顾客需要的产品与劳务的形式给社会创造了利益,顾客则通过在企业所提供的工作岗位上就业而挣取满足他们欲望的货币购买力。”[1]这种公司与公众之间的一致性为持续的经济增长所强化。随着公司利润的增长,公众的利益总的来说得到了提高。按照梅尔维·安申(MelvinAnshen)的观点,关于这种进步的指标没有达成明确一致的意见,而企业强调的主要指数是经济增长。结果,那些关于社会性的、由环境污染者造成的生活质量状况降低的各种问题,按照实际成本效应进行估价是非常巨大的。也就是说,在要求企业为环境保护支出费用时,企业能实现利润吗?或者一个公司能否保持在一个满足高薪水要求的状态呢?这里存在违反合同的问题。经济增长指数变成社会进步的唯一标准,而其他各种价值观在社会中慢慢地黯淡至无足轻重的地步。各个地方都在使用技术设备,人们对经过加工处理的化学产品与生化药物的需求不断增长,人类无止境地搜寻各种替代能源,随着时间的推移,加速满足这些需求而导致的工业副效应始终构成对我们环境的威胁。同时,产品成本不断增加而没有相应的质量提高,企业没能建立公正的就业惯例是对社会更明显的危害。这些问题伤害、玷污了人们对公司的信任感。人们不相信公司有关心公众利益的眼光。
为了缓和公众与企业的这种离异分裂的情势,安申和其他人诉诸社会合同的修改。这将是利用每一方的专业知识而在公众与私人之间做出的一种制度安排。就企业来说,首先要作的事情是确定为避免各种社会危害(包括企业员工暴露给污染物的健康危险)而引致的成本估算,以及如何运用会计术语衡量花费在这些方面的成本。企业和社会通过协同努力,给所采取的预防措施以支持而获益。企业要完成的第二个任务是扩展他们的生产能力,培训和雇佣少数弱势群体。这一点能改善现存的各种有损城市景观与风气的状况。第三项要做的事情是成立混合的公私合营公司以代替公众签约方,这样的公司雇佣的员工包括私人部门与公共部门等几方订约人,从而双方共同关注的特定需要是一目了然的。
由于这样的合同给公司拥有各种权利与承担各种义务确立了一个道德标准,它就暗含着企业的道德角色只可能是利润最大化的延伸这样的假设。要使公司的这两种角色彼此相容匹配,就要具备公司采纳道德观念的条件。这两种关于公司代理机构的论证都是一种尝试,试图把公司看作是有道德的公民,以此证明公司的这种延伸角色有其合理性。
弗伦琴是其中一种代理理论的.先驱,他论证了公司负有社会责任的合理性。他的理由是:公司决策结构的设计方式就给任何既定的行动提供了行动的方式,并代表了这种方式、为这种方式寻找理性的根据。公司职能部门的安排勾画出了公司决策结构的轮廓,不管这些部门在机能上有多大的差异,它们的行动注定是要和公司的政策保持一致的,也就是说要追求利润最大化。公司的决策结构“准许各种事件的限制性转换,这些事件的转换在另一种视域下可以看成是通过显露这些事件的公司特征而把生物学的人(那些在组织机构图表上占据着各种职位的人)的行动视为公司的行动。”[2]这样,按照弗伦琴的观点,任何付诸实施的行动都可以描述成是为公司的理由而付出的行动。“是由与公司的信念孪生的公司愿望所引起的,换言之是和公司的目的有关的行动”[3]
公司的组织机构图是为各种指令所统制的规章制度的有条理排列,这些指令给有关部门赋予了其存在的意义。付之于实施的行动遵循的是由公司的决策路径联系在一起的各种规章制度。既然公司的各种理性使得公司的各种行为成为必要的,那么就不难推论并赋予公司人的形而上地位,也就是说将公司塑造成讲道德的代理人和命定要承担道德责任的人。这一点给那些谋事于公司职能部门的人员坚持自己的信仰给予了心理上的空间,而无须考虑他们是否与公司的政策保持一致。虽然公司各级管理人员的信念可以与公司的目标发生分歧,但公司的理性始终还是占主导地位的。弗伦琴可能的推论是,公司的组织结构是作为代理人发挥职能的,应该被认定为是有道德责任的,因为公司的各种理性有其自身的逻辑。
这种代理论证有两个彼此关联的困境。第一个是公司需要“因理性而行动”的标准提出了一个狭隘的理性模式。就人的代理而言,因理智而行动是必要条件但不是充分条件。我行动的理由可能不仅仅是遵循一项既定的政策。比如,给一个人提供贷款用于家庭的杂货店或者出于同情给其提供药店禁售的化学药品。这类因各种情感而发生的作用在这一公司代理模式里是不存在的。在这种情况下,个人带给他们所担任角色的各种信仰和情感是不可能得到考虑的,因为他发现给人以强制性深刻印象的不是什么“深层基本道理”,而是公司各项规章制度的有条理排列。这个问题根源于这一理论的第二个困境,即未能区分两种类型的“因理性而行动”:(1)经过深思熟虑“有理由去做‘X’”和(2)“按照计划有理由去做‘X’”。
第一个表述式蕴涵着权衡从事一项选择时的信仰和态度。比如,一家烟草公司的产品研究开发部的主管就可能持有与实现本职能部门各种指令相对立的种种理由。在这种意义下,选择一种理由通常寄寓选择本身一种价值观,亦即涉及选择者对其他价值观,诸如尊重生命、尊重正义、富有同情心的各种态度。不论这些价值观对做出抉择的讨论可能施加多大的影响,唯一记录在案的考虑只能是集体的决议。例如,据报导DowChemical/ShellOil为增加水果产量在哥斯达黎加使用二溴氯丙烷(DBCP)控制虫害,结果导致标准水果公司的81位雇工与哥斯达黎加的农民患上了各种疾病,包括不育症。假如DowChemical/ShellOil的某位雇工出于同情,对使用二溴氯丙烷(DBCP)的方案投了反对票,那么这一票因为是同情受害人的选票而不会被记录下来,但公司的政策将依然得到贯彻。在烟草公司事例中,产品研究开发部主管可能同情香烟受害人或者含毒杀虫剂受害者,但他的道德动因会受到另外某个职能部门规定的
遏制。他决策所根据的理由是防止不必要的伤害,但从公司政策的角度看那也是“坏的理由”。
就人类的行为而言,一旦酿成错误的后果,良心就会把它内化为懊悔的感情而通过各种道歉、补偿受害人的意愿、以及各种悔过改新的态度表现出来。正是因为公司选择了有害的行动方式,才将公司的生活与社区公众分割开来,由此也突出了公司不讲道德的惯性。由于公司的组织机构安排缺乏深层的感情向度,它就只能按照线性的、受规则管制的方式行动。简言之,公司的行动不是从各种深思熟虑的理由引申出来的,从而与各种感情对立的矛盾也不会发生。这是更具限制性意义上的“因理由而行动”,它使得弗伦琴所说的那种公司封闭孤立起来,丧失了慷慨、同情的各种机会而只是“在”社区而已。
运用理性的第二种方法是“按照计划有理由去做‘X’”。根据这种解释,不管在达到目的时使用了什么理由,都可以从目标的“到达”证明它是合理的。只要理由所提供的手段和要达到的那个目标是协调一致的,任何理由都是可以接受的。如果考虑商界所追求的目标是利润最大化,就可以证明为达到这一目标所使用的手段不论是直接的还是间接的都是合理的。这种解释代表了弗伦琴所描述的那种公司机构,其判断“好的理由”的标准是它的利润最大化。公司的这种推理不受各种理由之间冲突的影响,那些与利润最大化政策不符合的理由将不是“有生存力的理由”,从而因与公司的制度不协调而得不到考虑。可见,与这些理由连结在一起的唯一价值观是坚持赢利方针的价值观,一个其逻辑在本质上是关注自身利益的动机。
用亚里士多德的话来说,当公司未能根据它“知道的”行动时,它就是在无知的状态中行动。确立各种规章制度涉及公司的各个职能部门,而公司的行动后果是由各个职能部门预见的。比如,挑战者火箭上的O型套环。人们知道这些套环是有缺陷的,也知道如果发射失败就会造成几百万元的损失。但是,关于更为普遍的原则—“安全运行”的知识却被忽视了。现在,我们对这种忽视关于普遍原则的知识所造成的结果都非常熟悉。按照弗伦琴的观点,除非这种知识被写进公司政策的基本原理,否则不会表现为行动的一种理由。因此,利润最大化的理由依然是使用O型套环决策的最主要动机。
弗伦琴用以说明问题的公司决策结构,只是为公司始终一贯的各种理由提供了证据,证明公司不能选择所想望目标以外的其它目标。比如,选择任何利润赠予转让的理由。无疑,一家为贫民区公立学校主动提供资金支助的公司可以为自己赢得让人赞许的形象。但即使利润额极其丰厚,财力足以向地方校区做出贡献,公司从容许捐助的利润额中拨出的支助金数量还是在税收起征线以下。这种行动的动机只是为了适应“做生意的价格”,是已经被唤醒的慷慨或慈善的外投。它是一项谨慎的社区计划,不象其它投资那样等待利息收益的回报。客观地描述此类行动,这种决策表现了一种不受道德价值观、社会呼吁与社会判断影响的特征,因为这种决策的反应动机是“装饰门面”,由此可以获得长期稳定的利润。
上述各种决策可能表现为是一个有着各种理由与多重意图的代理人,但就其适用的范围而言都是非常狭隘的代理人。这只是一种类比的代理论,不能保证伦理学家们强加在公司头顶上的形而上地位是合理的。
迈对此观点提出了批评。迈首先是否认公司存在弗伦琴所设想的各种形而上特征。他的观点是公司的决策是董事会会议室将公司各个管理人员的目的进行综合而成的有目的的行动,但这种有目的的行动是错误的。按照迈的观点,这些有目的行动实际上只是替代公司目的的个人意志和目的。“虽然没有一个公司成员需要坚持属于公司的所有目的,公司却不可能持有任何一个最初不是由公司的某个成员所抱有的目的。”[4]所谓公司的各种目的不过是个体成员的各种目的而已。
迈认为公司对每个职员所实施的行动只承担代理上的责任。当公司要求的某项行动未付之实施或者实施时与公司的政策发生偏离,这一点就会得到更确切的表露。公司管理人员行动的失败程度只能由公司负责,因为公司的行动只有通过其成员才能发生,每个成员行动的失败将成为公司的失败,但不是每个成员的行动都必然成为公司的行动。迈提出:如果存在公司代理上的疏忽,就必须满足两个条件:
第一,因果关系要素:公司成员受公司的特许或者授权而被赋予了能力或者享有各种便利条件,可以实施有害公众的行为。
第二,过错行为要素:本来有机会预防错误的发生,但却没有采取各种措施予以阻止。[5]
迈模型的意图是要为公司承担绝对责任的观点找到一种替代的说法。也就是说,如果一家公司违反了法律,不是要公司充当挡箭牌承担责任,而是要识别个体罪犯。然而,个人所在的办公室是被占支配地位的公司任务剥夺了公权的地方。决策的流程图规定了行动的计划,公司的区别在于其安排的职能部门是不同的。比如,储蓄贷款机构在其决策结构里将要任命的各种职务就不同于一家生化制药公司或者石油公司。各层管理级别都是由“流程图基本原理”联结起来的。在上述公司代理疏忽发生的两个条件中,任何一条的满足都不一定是由个人直接实施了违法的行为。例如,可能发生下列的情形。一个任职于某家制药公司的产品研究开发部门监管,是处在享有授权的因果关系位置上的,他可能因为一种药品有严重的副作用而建议公司不营销该药品。但是,公司的营销主管却需要抢在其它公司之前将这种有竞争力的药品推销给消费者,他通过投票表决击败产品研发部监管,进而否决了该监管的建议。产品研发部监管的职责是要对各种新产品进行调研,调研的指导原则是为公司服务并符合各种安全标准。营销主管的职责则与公司销售额的衡量有更密切的关系,在营销活动有竞争的情况下就需要尽快采取行动,以新产品树立公司的形象。在此,发生公司代理疏忽的两个条件都得到了满足,即研发监管和销售主管都有权阻止或准予药品品质通过检验进入市场。如果不是为了股东的利益而要保持竞争力和赢利性的话,两人中的任何一位本来都可以阻止该药品进入市场的。“代理”疏忽的责任归咎于谁呢?条件满足了,但公司的利润动机宣布了它的无效。
其实,弗伦琴和迈之间的分歧没有初看之下那样大。弗伦琴的观点是公司的行动是有目的的行动,迈则认为公司管理人员是公司的代理动因。这意味着什么呢:代理人代表着公司的利益吗?代理人是公司目标的代表吗?代理人是代替公司的人吗?没有公司成员的行动,就没有公司:没有公司,就只有无目标的代理人。在此,他们作为各种代理人和各种角色,有着纷繁复杂的关系。在决策程式里,这种角色的公权被自己与其它角色的更高层关系给剥夺了。比如,他们与董事会、股东利益的关系等。没有董事会与股东的参与,公司管理人员的任何行动都是未决的。这既不是代理造成的,也不是因为他们与公司的直接相关性,而是因为公司缺乏占支配地位的任务。最后,针对弗伦琴观点的批判意见也同样适用于迈的代理动因理论。
在上面评述关于公司责任的主要理论中,我已经反复论证:认为公司能够持有道德观念的观点是不能让人信服的。公司也许是有着各种权利与义务、有模拟人格的人,它们生下来就负有各种法律责任,它们必须清除各种有毒废物排放,遵循公正地雇佣工人的惯例,遵守诚实借贷的原则,服从顾客安全管制条规。除了履行它们的法律责任外,公司不会为了自己的美德而在乎自身的行动是否公正、慷慨和仁慈。它
们不可能“说一句善意的话语或者付出人格的感动,明确表现出有人在乎美德,而这样一种表现对于德行恰恰是非常重要的。”[6]简言之,公司是作为一个没有感情的、狭隘的理性模子在运转、在经营着为生存与繁荣所必须的各种事务,而不会象“一位一定要拥有美德的人,按事物所必须给予的关心程度关心公共事务”。[5]
【参考文献】
[1] Anshen,Melvin.“ChangingtheSocialContract,”inThomasBeauchampandNormanBowie(Eds.)[M].EthicalTheoryandBusinessEnglewoodCliffs:Prentice-HallPublishers1979.142.
[2] French,Peter.“CorporateMoralAgency,”ed[M].Beauchamp,T.andBowie,N.176.
[3] Ibid.French.182.
[4] May,Larry.“VicariousAgencyandCorporateResponsibility”inProfitandResponsibility[M].Lewiston:EdwinMellenPress,1985.162.
[5] LarryMay.Ibid[M].162;367.
浅析电子信息系统可信性评估技术 篇3
【关键词】可信性 系统评估 层次分析
【中图分类号】TP309【文献标识码】A 【文章编号】2095-3089(2016)01-0032-01
随着电子信息系统的广泛应用,它已经成为国民经济和国防建设等各个领域的重要支撑,尤其是在航空航天、国防建设、核电能源、交通控制等安全关键领域发挥着不可替代的作用。同时,在需求引导和技术发展的推动下,电子信息系统的功能不断扩展和复杂化、系统规模日趋庞大和复杂,电子信息系统的缺陷和故障率也在不断的增长。当前,由于系统开发技术、系统可信性理论、可信性保障技术等条件的限制,无法保证电子信息系统是完全可信的。在此情况下,人们尤其是电子信息系统的用户对电子信息系统不能抱以完全的信任,电子信息系统能否持续的成功的运行并为用户带来可靠的、安全的、符合用户预期的服务一直以来都是人们最关心的问题,即本文所关注的“电子信息系统可信性”问题。
当前,由于可信性的理论基础薄弱,对可信性的研究主要关注于可信平台、软件可信性等方面的研究。国内外的相关企业、机构和专家学者对可信平台,软件系统的可信性等方面的研究已经出现了一批具有代表性的成果。当前可信性研究主要有以下几个方面:1)1999年10月,Intel、 Microsoft. IBM. HP等公司共同发起成立了可信计算平台联盟(Trusted Computing Platform Alliance, TCPA),并于2001年发布了“TrustedComputing Platform Specifications”1.1版。2)2000年IEEE国际容错计算会议(FTCS)与国际信息处理联合会IFIP的10.4工作组主持的应用可信计算工作会议合并,成立了 IEEE/IFIP可信系统与网络国际会议(International Conference on Dependable System and Networks, DSN), 如今己经成为可信领域每年一度的顶级学术会议。3)2006年1月,欧洲启动了“开放式可信计算(Open Trusted Computing)”的可信计算研究计划,有几十个科研机构和工业组织参加。4)20世纪90年代开始,国内对可信性和可信计算的研究逐渐增多。2004年始,和可信性和可信计算相关的学术会议不断召幵,联想等众多公司和科研机构在可信计算的不同领域展幵研究,出现一批研究成果。5)2007年,国家高技术研究发展计划(863计划)启动了重点项目“高可信软件生产工具及集成环境”。6)2008年,国家自然科学基金委员会启动了由著名计算机软件专家何积丰院士为首席科学家的“十一五”重大研究计划“可信软件基础研究”。从上述的一些研究计划和重大的基础研究项目可以发现,当前对可信性的研究主要关注于两个层面的研究:一个硬件层面的,主要是构建电子信息系统中关键部件的可信性验证技术;二是软件层面的,主要是关注软件可信性的基础理论与可信软件的构建。而对电子信息系统的可信性从整体、系统的角度进行研究的还比较缺乏。
非线性具有数学上的意义,即整体大于部分之和。电子信息系统各组成要素的简单相加不能成为一个完整意义上的电子信息系统。电子信息系统各组成要素之间以及电子信息系统与环境和用户之间复杂的信息、能量流动,使电子信息系统组成要素之间、系统与环境之间以及系统与用户之间具有大量复杂的关系。从热力学的角度来讲,平衡状态是指孤立系统不随时间的变化,与外界没有联系的一种均勾、混乱无序的状态。系统只有远离平衡态才能实现演化发展的过程。开放系统通过与外界环境进行物质、能量和信息的交换,才能从平衡、近平衡走向远离平衡,形成一种非平衡的有序结构。电子信息系统是开放系统,它的开放性表现在对内和对外两个方面。对内就是对电子信息系统内部各组成要素之间的联系。对外就是电子信息系统与其环境之间的物质、能量、信息等方面的交换。在技术发展和需求的推动下,现代电子信息系统是多方面、多环节、多要素构成的异构的复杂巨系统,而且系统各个要素、各个部分之间可能各具特点、千差万别,形成了电子信息系统的多样性。尽管电子信息系统具有层次性,对于分布式和网络化的各组成部分之间拥有一个单一的集中控制对于电子信息系统来说弊端非常的明显,电子信息系统的发展趋势是分散控制、信息融合。自适应,是从系统与环境关系的角度对系统演变过程的一种描述,它强调在一定的外界环境条件下,系统适应环境,从而呈现新的状态完成其既定的功能。系统形成有序结构之后,在一定的外界环境刺激下,必然要做出反应,体现系统适应环境的能力。电子信息系统的运行及其发挥自身的作用,必然是在一定的环境下,它从所处的环境中获取信息和能量,并通过自身的功能对信息进行加工处理,完成既定的任务。任何电子信息系统的运行都离不开所处环境的支撑与制约,都要适应其运行的环境。分散控制结构和持续存在的自适应,使系统往往具有自组织的性质。自适应是系统在没有外部干预的情况下,依靠系统内部的协调行为,从而达成某一结果的连续行动,也是靠系统内部的协调,自发地呈现新的有序结构。对于电子信息系统来说,当某个组成要素、部分发生故障无法完成自身功能时,其他正常的部分在可能的情况下还要继续运行,完成其他不受影响的系统功能,从而不至于使系统完全崩溃。层次性、非线性、非平衡有序、分散控制、自适应和自组织等性质是复杂系统的共同的标志属性。
从上述的分析中不难看出,电子信息系统具有上述复杂系统的典型特征。因此,可以说电子信息系统是一类复杂系统。
参考文献:
[1]班德米尔(英),德尔(英)编著,郑人杰等译.计算机应用系统的可信性实践(1).北京,清华大学出版社,2003:23?鄄26.
[2]刘克,单广志,何积丰等.“可信软件基础研究”重大研究计划综述.中国科学基金,2009(3):145?鄄146.
[3]黄锡滋.软件可靠性、安全性与质量保证(1).北京,电子工业出版社,2002:13?鄄15.
数据可信性 篇4
关键词:云会计,可信性评价,AIS,复杂网络,结构洞
云会计[1]的产生与发展是会计信息化的里程碑,云会计下会计信息系统( Accounting Informa-tion System,以下简称AIS) 的可信性[2]令人关注。目前,采用合理有效的方法,针对云会计环境下AIS进行可信性评估[3],是云会计发展中亟待解决的关键问题,可信性评估必须充分考虑存在勾稽影响的服务之间乃至功能组件之间的相互作用关系。本文提出了一种基于可信性影响关系网络的云会计下AIS可信性评估方法,以期对云会计环境下AIS得出可信性评估结论。
一、云会计下AIS可信性评估方法
云会计下的AIS作为商品化软件的一种新兴服务方式,可信性水平如何直接关系到用户根据自身业务需求选择云会计产品、云会计厂商的产品质量控制和定价、行业可信性标准的制定[4]等方面的问题,使云会计可信性评价的相关研究在其推广发展中起到重要作用。在考虑云会计各个模块、服务以及细化的业务单元之间存在复杂的相互依存关系,以及协作完成AIS的各项功能,本文构建可信性影响关系网络,以描述这种复杂相互依存影响关系对可信性的影响,并运用复杂网络[5]原理对云会计下AIS进行科学合理的可信性评价。
( 一) 构建可信性影响关系网络TAN
云会计下AIS可信性评估应充分考虑模块之间存在复杂的相互调用、数据勾稽处理关系情况下模块可信性的相互影响关系,这种模块之间可信性影响关系可以用模块可信性影响关系网络( Trustworthiness Affecting Network,以下简称TAN )来表示,可将这种复杂的控制影响、调用关系抽象化为复杂有向网络。TAN不是传统意义上模拟内部调用结构的调用网络,而是综合考虑技术层面和功能层面模块之间可信性影响因素,构建的是可信性影响关系网络。
由节点和边组成的图G = ( V,E) 可以表示一个具体的网络,其中V代表网络中节点的集合{ v1,v2,…,vn} ,E代表网络中边的集合{ ( vi,vj) } ,i,j ∈ { 1,2,…,n} 。依据云会计下AIS的主要业务流程建立功能模块可信性影响关系的复杂网络,复杂网络中的节点V代表云会计服务中各个功能模块的可信性,有向边E代表所连接的两个功能模块之间的可信性影响关系。
( 二) 可信性水平的度量
由于云会计下AIS业务处理的协作性、复杂性和灵活性,用户所需的复杂业务难以由单个功能模块完成,往往需要多个模块协作处理,模块之间具有复杂的业务勾稽关系,并产生大量的指令和数据交互。因此,TAN拓扑结构构建的优良程度极大程度地决定了在AIS关键模块失效时引起整个系统瘫痪的可能性。本文利用复杂网络及其相关理论,基于TAN对云会计AIS的可信性进行评估,从度、介数、结构洞等方面进行分析,提出了度量可信性水平的标度和节点失效策略,以度量云会计下AIS可信性水平。
1. 度。云会计下AIS中模块、功能组件乃至细化的最小功能单元的可信性即为复杂网络节点,节点的度可以代表该节点与其他相连节点的可信性影响程度,能够从一定程度上反映该节点可信性水平受到其相连节点影响的复杂程度,节点的度越大则与该节点发生可信性联系和相互作用的节点就越多,其所面临的可信性评价就越复杂。对于有向加权网络来说,节点的出度反映了该节点对其他节点施加可信性影响的程度,入度反映了该节点受其他节点可信性影响的程度。
2. 介数。在网络的所有最短路径中,通过节点i的最短路径的条数占最短路径总数的比例称之为节点i的介数。节点v ∈ V的介数CB( v) ,定义如下:
其中 σww'表示w和w' 之间的最短路径数,σww'( v) 表示经过点v ,w和w' 之间的所有最短路径的个数。可以看出介数高的节点在网络中的集中性比较高,在网络中的影响就越明显。移除高集中性的节点会比移除度大的节点更易破坏网络的性能。在一些情况下,低度节点可能会有高的集中性。因此,移除高集中性节点来攻击网络可能导致与度攻击不同的效果。
3. 结构洞。 社会网络中结构洞( Structural Holes) 指某些个体之间存在无直接联系或关系间断的现象,从网络整体来看,好像网络结构中出现了洞穴,其中将无直接联系的两者连接起来的第三者( 即结构洞位置占据者) 将拥有信息优势和控制优势[6]。将结构洞理论引入可信性评价的TAN分析中,可以作为节点间存在结构洞情况下分析可信性影响程度的手段。作为 “桥梁”作用的第三方节点占据了其他网络成员进行相互联系的关键路径,即网络中存在结构洞,使得被结构洞联系的节点间可信性影响关系出现缓冲效应———可信性的正向和负向影响都一定程度的减弱。作为 “桥梁”的第三方节点占据可信性影响关系的关键通路,受到两方以及多方的直接影响,能控制可信性影响是否传递以及传递的影响程度。
( 1) 可信性影响pij,结点i与j的可信性影响关系概率值,同i的所有可信性影响关系值之比。这里aij指i ,j两点间的边的属性值。
( 2) 二值约束cij,它表示围绕节点j和i的初始 “结构洞”的缺失约束,节点j通过以下方式约束节点i的 “桥梁” 作用,以节点对其他节点的依赖程度作为评价标准,数值越大,约束性越强; 依赖性越强则能力越小,跨越结构洞的可能性就小[7]:
( a) 节点i要经过较长的时间与较重程度的影响,才能改变节点j的可信性;
( b) 节点j被很少的结构洞包围着,通过这些结构洞,节点i可以发起支持,促进AIS整体的可信性。
由上式可以看出当j是i的惟一连接节点时,cij取最大值1,当j不通过其他节点与j间接相连时,cij取最小值P2ij。
(3)节点约束Ci:
求得的节点约束可以作为衡量TAN内部可信性影响关系传播范围与能力的标度。
4. 可信性系数。云会计下AIS可信性评估着重关注在AIS关键模块失效时引起整个系统瘫痪的可能性,即TAN在关键节点失效后网络的完整程度。AIS可信性评估可以转化为对AIS的TAN研究,即在网络部分节点失效后,该网络的连通程度。因此,定义云会计环境下AIS可信性系数V来衡量可信性水平,其定义为:
即某个或某些节点失效后TAN的最大弱连通图所包含的节点个数和原TAN节点个数的比值,该度量指标描述了当TAN在某个或某些节点失效后其连通程度,用某个或某些组件失效对AIS正常运行实现原预期功能的影响来衡量可信性。在网络中没有节点失效的情况下,可信性系数为1,而出现若干失效节点的网络其可信性系数的取值范围为[0,1) ,可信性系数越大代表AIS的可信性水平越高。当网络中出现失效节点时,可信性系数大的AIS的TAN中最大联通子图中节点个数相对于未失效的情况并未出现大比例损失,整个网络的连通性变化不大,即这个网络所代表的大部分AIS组件仍能够正常运行,并能实现原AIS绝大部分预期功能,该AIS的可信性水平较高。
5. 节点失效策略。本文在模拟失效的情境中采用的节点失效策略,是按照节点介数由高到低依次失效,逐步观察每次节点失效后对AIS可信性系数的影响。之所以根据节点介数制定失效策略而不是依据节点度数失效,是因为介数高的节点在TAN中的集中度高,相对于代表着可信性影响关系复杂的业务模块度高的节点,无论是从用户关注的程度来看,还是从对TAN的影响来看都更具有代表性和说服力。在案例分析中采用此种节点失效策略实现了节点失效情境模拟: 对每个待评估的AIS中的节点的介数进行排序,依次去除TAN的最大联通子图中介数最高的节点及与其直接相连的边,得到存在部分失效模块的AIS,逐步记录可信性系数及其变化趋势,对比采用节点度的高低制定失效策略,引入结构洞理论分析二者的优劣,进而可以得到可信性评估结论。
( 三) 可信性评估流程
基于可信性影响关系网络的云会计下AIS可信性评估,先基于AIS提取出模块的可信性影响关系,在Pajek中构建TAN,结合复杂网络原理分析TAN并制定相应的节点失效策略,模拟节点失效,综合分析后得出可信性评估结论,可以通过以下五个步骤实现( 以金蝶K/3 为例) :
步骤一: 根据购买的会计云服务获取模块的可信性影响关系。
以金蝶K/3 总账系统为核心提取出22 个相关模块,作为企业购买的会计云服务。依据业务流程勾稽关系和服务中数据接口反映出的云会计服务之间调用关系,得出云会计下AIS功能模块的可信性影响关系,如图1 所示。
步骤二: 将可信性影响关系导入复杂网络计算工具Pajek中。
将22 项会计云服务作为TAN的节点,将各项会计云服务之间的可信性影响关系作为TAN的有向边,构建出云会计下AIS的TAN,将节点和边的信息导入复杂网络计算工具Pajek中,得到的TAN如图2 所示。
步骤三: 分析TAN,制定节点失效策略。
TAN的识别和构建是对云会计下AIS进行可信性评估的基础,而各个节点介数是识别TAN中节点及其可信性影响关系重要程度的主要依据。在Pajek中计算出TAN中各节点的入度、出度以及入度出度和,即节点的度,以及介数、结构洞等指标,以备对比分析,如表1 所示。从表1 可以发现在22 个节点中,总账、销售管理、固定资产、内控管理、存货核算、项目管理等节点的介数和度数均较高,在网络中起到决定性的支配作用。
步骤四: 模拟节点失效。
通过移除一部分介数高的节点以及与这些节点直接相连的边( 包括入边和出边) 模拟AIS功能模块失效,记录每次节点失效对TAN的影响,并相应计算可信性系数V。图3 例举了部分节点失效前和失效后的网络。
步骤五: 得出可信性评估结论。
分析关键节点失效后对AIS可信性的影响,如果没有超出可接受的阈值就可选择该云会计服务购买方案。在存在多种备选方案时,针对每套方案进行以上四步可信性评估,并采用一致的节点失效策略,得到各自可信性系数,对比选出最优方案。
二、案例分析
本文以下以A公司欲购买的云会计供应商XYZ提供的云会计产品为例,说明基于可信性影响关系网络的AIS可信性评估方法的应用。A公司为小型制造型企业,主营业务为制造型机械的金属外壳设计与生产,业务流程复杂度不高,与财务相关的业务流程涵盖设备管理、生产管理、财务管理、采购及销售管理等,业务量与年销售额均处于较低水平。现为节约财务信息处理与信息化维护成本,提高财务核算与业务处理的规范性,拟从XYZ云会计供应商处购买若干云会计服务组成的云会计产品,A公司对其云会计产品的可信性水平了解程度不高,现需可靠的第三方评估机构对其购买的云会计产品进行可信性评估,以确定是否购买。
根据A公司的财务业务需求,欲从XYZ云会计供应商处购买的云会计服务有设备管理、在建工程、固定资产、工资、网上报销、销售管理、应收款管理、采购管理、应付款管理、库存、总账、报表、生产管理、预算管理、现金管理、存货核算、成本管理、项目管理、目标管理、费用管理、内控管理、内控分析共22 项云会计服务,由这些服务集成的AIS可信性水平如何是A公司决策是否购买XYZ公司云会计产品的关键因素。
假设本案例中建立的TAN与前文述及的功能模块可信性影响关系( 图1) 和TAN ( 图2) 一致。由于该云会计产品TAN的节点数目较少,网络复杂度不高,因而将节点的失效策略定义为按节点依次按介数的高低失效,每次出现节点失效时,记录并分析其对TAN的影响并求出相应的可信性系数,用以观测关键节点失效给云会计下AIS可信性带来的影响,从而反映出该云会计产品的可信性水平。
在无节点失效的情况下,“总账”节点的介数最高,对网络作用明显,将该节点及与其相连的有向边移除后,求出新TAN的最大弱连通子图,以模拟 “总账”节点失效后的系统状况,如图4 所示。当 “总账”节点失效后,TAN中 “销售管理”节点介数最高,将其以及与其相连的边在网络中移除,观察对网络的影响。再移除介数最高的“存货核算” 节点及其相连边,观察对网络的影响。移除三个介数最高的节点后云会计可信性影响关系网络最大弱连通子图,如图5 所示。记录每次移除节点后对TAN中各个节点介数的影响,并求得相应的可信性系数,如表2 所示。
关键节点失效对云会计环境下AIS可信性具有制约性和级联性的影响,按照定义的节点失效策略,节点的失效顺序为 “总账”、 “销售管理”、“存货核算”。然而,由于在调用结构网络中介数较高的节点失效对网络连通性的影响较大,在模拟第三批节点失效时,当 “存货核算” 失效,调用结构网络中一并删去与 “存货核算”直接相连的边。此时 “工资”成为孤立节点,TAN的最大联通子图一次性减少2 个节点,出现了关键节点失效对整个网络连通性的级联影响,从而影响可信性系数的数值。由此可见以TAN中移除节点及其相连边的方法反映出可信性影响关系的复杂性和动态性,有效模拟云会计环境下AIS业务模块失效时对可信性的影响。
由于结构洞可以反映TAN中节点可信性影响关系传播的范围与能力,现使用节点度为标度的节点失效策略( 简称度方案) 与上文采用的以介数为标度的节点失效策略( 简称介数方案) 三批失效后的结构洞节点约束进行对比,检验介数方案在失效策略上的有效性。度方案与介数方案在前三批失效中失效节点数相同,也就是对可信性系数的影响相同,然而具体失效的节点不完全一致: “总账”节点第一批失效, “销售管理”节点第二批失效,“内控管理”、“内控分析”节点第三批失效。可以看出两个方案下前两批失效节点相同,在对比结构洞节点约束时不再考虑这两个节点,结构洞节点约束对比结果如表3 所示。
通过对比介数方案与度方案结构洞节点约束的均值和方差,发现介数方案无论是均值还是方差均低于度方案,即相对于度方案,介数方案网络中剩余节点具有整体上更低水平的节点约束,说明在可信性系数相同的情况下,以介数为标度的节点失效策略能够移除TAN中更加重要的节点,这些节点移除后,TAN的结构更加松散、节点之间的可信性相互影响程度更低,由此说明了以介数为标度的节点失效策略的有效性和高效性。
三、结论
英语六级可信词汇 篇5
adhere to 忠于
after all 毕竟,归根结底
at random 随机地,任意地
break out 突然发生,爆发
break up 打碎
but for 要不是
by far 最,得多
by no means 决不,一点也不
catch on 理解,明白
catch up with 赶上
collide with 碰撞,冲突
come up with 想出,提出
come up with 追及,赶上
comment on 评论
contrary to 与相反
contribute to 有助于,促成
cope with 应付,妥善处理
cut short 打断,制止
do away with 消灭,废除,去掉
do credit to 为带来光荣
due to 因为
go in for 从事,致力于
go off 爆炸
hang by a thread 千钧一发,岌岌可危
heap praise upon 对大加称赞
in accordance with 与一致,按照,根据
in between 在两者之间
in case of 防备,以防
in honour of 为纪念
in response to 响应,反应
in terms of 根据,从方面来说
in that 因为
in the vicinity of 在附近
keep off 远离,抑制
lay off 解雇
letalone 更不必说
look into 调查
look on 看待
lose no time 立即
make sense of sth. 讲得通,言之有理
of no avail 无用,无效
on file 存档
on no account 决不,绝对不
on the decline 衰落中,衰退中
out of stock 无现货的,脱销的
provided that 假如,若是
pull up 使停下
put away 放好,放起来
regardless of 不管,不顾
result in 导致,结果是
result in 发生,导致
see to 照料,注意
show to 引导,引领
stand for 容忍,接受
take on 承担,接受
take over 接管,接收
take to 对产生好感,开始喜欢
talk into 说服
that is 即,也就是
turn in 上交
turn out 生产出
turn to 求助于
ward off 防止,避开
with reference to 关于,有关
work out 想出,制订出
worth ones while 值得
1.英语六级必备词汇(听力)
2.英语六级翻译必备词汇
3.英语六级考试词汇必备
4.英语六级听力必备短语高频词汇
5.部分英语六级听力必备词汇
6.英语六级复习必备词汇
7.英语六级听力复习必备常考词汇
8.有关英语六级听力必备核心词汇
9.英语六级听力考试必备核心词汇
数据可信性 篇6
摘要:文章利用精细加工可能性模型以及定性研究方法,对影响消费者感知社区中评论信息可信性的前因因素进行探测,并建立了相应模型,最后对模型的运用做了介绍。
关键词:精细加工可能性模型;因特网;信息质量;信源可靠性
一、 引言
随着互联网的发展,虚拟社区也得到了快速发展。越来越多的消费者开始使用虚拟社区。已有研究表明,虚拟社区中的产品评论信息对消费者的购买决策和企业的产品销售具有非常重要的影响。
随着时间的推移,社区中同一产品的评论信息越来越多,而消费者受时间、精力等方面限制,不可能阅读所有评论信息。以国内知名的评论社区—大众点评网(www.dianping.com)中的上海徐汇区“原味香辣馆(天钥桥路店)”餐馆为例,其评论信息达6 736条之多。虚拟社区环境下,大部分成员想用最短的时间、以最少的努力找到有用的信息;且在虚拟社区环境下,几乎每个人都能自由地发布信息,有些信息的质量必然会有问题。在众多的信息中,何种信息能让消费者感知更高的可信度并促使消费者采纳该信息?对此问题进行深入研究也有助于营销者很好地提升自己的品牌形象。本文利用精细加工可能性模型(Elaboration Likelihood Model,ELM)对社区中何种特征的产品评论信息能让消费者感觉更可信这一问题进行研究。
二、 文献综述及定性研究
1.精细加工可能性模型简介(Elaboration Likelihood Model,ELM)。精细加工可能性模型是由心理学家Richard E.Petty 和John T.Cacioppo提出的,是一个对消费者信息处理过程具有重要影响力的模型。
精细加工可能性模型的基本原则是:不同的说服方法对消费者态度的影响依赖于对传播信息作精细加工的可能性高低。当对信息精细加工的可能性是高时,说服的中枢路径特别有效;而当这种可能性是低时,则外围路径最为有效。说服的中枢路径主要是指信息自身方面的因素,而说服的外围路径则是与信息本身无关的因素。以消费者对广告的态度为例,消费者在形成对广告品牌的态度时能够有意识地认真考虑广告提供的信息,他们对广告产品或目标的信息仔细思考、分析和归纳,最终导致态度的转变或形成。这种劝导过程被称为态度改变的中枢路径;与中枢路径相对的,是态度改变的外围路径,在外围路径中,态度的形成和改变没有经过积极地考虑品牌的特点及其优缺点,劝导性的影响是通过将品牌与广告中积极或消极的方面或技巧性暗示联系起来而产生的。外围路径通过把产品和对另一个事物的态度联系起来,从而涵括了感情因素。例如,促使新新人类购买其崇拜的青春偶像在广告上推荐的某种饮料的原因,实际上与该饮料的特性毫无关系,起作用的是对歌星的喜爱。这是因为人们在对该饮料本身的特性不太了解的情况下,只能通过该信息的外围因素(如产品包装、广告形象吸引力或信息的表达方式)来决定该信息的可信性。更多时候,中枢路径与外围路径一起对消费者的态度发生影响。
在信息研究领域中,学者们都将信息质量和信源可靠性作为消费者是否采纳信息的重要因素进行研究。Sussman和Siegal(2003)认为,在虚拟社区环境下,精细加工可能性模型有两个关键组成部分:信息质量和信源可信性。信息质量对接受者的信息采纳发挥中枢影响;而信源可靠性发挥的则是外围影响(图1)。网络环境下信息质量概念通常包括信息的准确性、相关性、及时性、详尽性四个部分(Christy,2008)。信源可靠性指的是信息使用者对信息发出者可靠性的感知,与信息自身没有关系。信源可靠性被定义为信源被信息使用者所感知的胜任性、可信性。当信源可靠性很高的时候,信息发送者的信息对信息接受者的态度和观点的形成具有重要影响。Eagly和Chaiken (1993)认为,当信息发送者所具有的正向属性越多,其信息的说服力就越强;由高可靠性信源发出的信息被认为是有用、可靠的,更有助于知识的传播。
2. 对消费者的定性研究。为了更好地探测消费者对评论信息信任的建立机制,不仅需要对现有的文献进行梳理,还要从消费者的角度探查影响消费者对一条评论信息产生信任的因素有哪些?他们对评论信息产生信任的基础是什么?为此,笔者在消费者中间进行了定性的探测性研究。
(1)定性研究设计与实施。定性探测研究通过多种方式展开。首先在某大学工商管理双学位课程上,选取大众评论网上某餐馆的部分消费者评论,以评论信息信任作为主题进行头脑风暴,33位学生进行了激烈的讨论;其次,根据头脑风暴的结果,结合笔者文献回顾的内容,制订了访谈提纲,主要以开放式问卷的形式了解影响消费者信任某一评论信息的原因。在四个班级进行问卷发放,共计发放121份,回收有效问卷80份;最后,是对个体消费者进行深度访谈。通常,前期的定性研究是通过这种个人的深度访谈进行的。访谈中止的原则是“饱和”原则,即在访谈中没有新的内容出现就停止访谈。本着该原则,笔者在对定性的问卷进行分析整理之后,又作了两个消费者的深度访谈,结果发现,两位被访者的回答中没有超越开放式问卷的回答的范围。因此,定性的探测研究主要以开放式问卷的结果为准。
(2)内容分析。对定性资料的分析一般采用的是传统的内容分析法。本次研究按照内容分析法的步骤,先对资料进行编码,然后采用内容分析法中的计词法和概念组分析法对定性的调查问卷进行分析。消费者为什么会信任一条评论信息,内容分析的结果参见表1。通过对回答容的编码,内容分析的结果显示,消费者建立对某一评论信息的信任主要通过两种方式:一是信息内容本身,如信息越详细,消费者从信息中所了解到的产品属性就越多,对该信息的信任度就越高;二是与信息特征无关的因素包括发帖者的特征以及发帖者所在社区的特征。发帖者的特征如发帖者的级别,发帖者级别越高,说明发帖者的消费经历越丰富并且越喜欢将自己的经验与别人分享;社区方面的特征如社区对发帖者的信息管理措施,社区将自己对发帖者信息管理的措施以及运作模式等方面的信息透明,说明社区管理者有能力保障社区健康的评论氛围,从而影响消费者对评论信息信任度的感知。
三、 研究模型的提出
结合定性研究的结果以及精细加工可能性模型,通过中枢路径对消费者评论信息信任发生影响方面,本文采用信息详尽度因素;通过外围路径对消费者评论信息信任发生影响即信源可靠性方面,本文采取发帖者级别(发帖者特征)以及社区透明度(社区特征)两项因素,之所以在信源可靠性方面采用两项因素是因为,第一,网络评论信息直接来自于发帖者,发帖者特征不同,必然会引起消费者对其信息可信度的感知,此为第一信源;第二,发帖者对产品的评论行为是基于社区平台的,社区特征不同,消费者感知的同一发帖者发出的同一信息的可信度也会不同,此为第二信源。社区透明度是一个综合概念,包括多项内容,包括社区公开对发帖者信息的管理措施、社区公开盈利模式等十方面的因素。本文的研究模型见图2。
1. 中枢路径——信息详尽度。70%的中国虚拟社区用户将“信息”作为虚拟社区是否有吸引力的最重要的指标(《2006中国虚拟社区用户发展报告》)。信息详尽性指信息的完整性(Completeness)。交易社区环境下的评论信息信息详尽度体现于两个方面:一是信息所包含产品属性的多少;二是单一属性被描述的详细化程度。与低信息详尽度的信息相比,高信息详尽度的信息中所包含的产品属性更多、每个属性被描述的更细致,高信息详尽度的信息更能让消费者感知发帖者有过真实的产品消费经历,从而增强该发帖者对消费者的吸引力、使消费者更容易完成消费决策任务。一项研究表明,网站上的信息越详尽,吸引到的成员就越多,成员对该网站的忠诚度就越高。Christy等(2008)对香港餐饮业的虚拟社区研究表明,社区中所提供的餐馆的位置、价格、食物图片等方面的信息越详细,成员采用该社区的信息程度就越高。
在定性访谈中,被调研者认为:“我之所以愿意采纳某发帖者的信息,是因为其评论很详细,每道菜被描述的很具体,不用去该餐馆我大致能了解该餐馆的情况”。
结合上述论述,本文认为:相对于低信息详尽度的信息,高信息详尽度的信息更能让消费者感知更高的可信度。
2. 外围路径——发帖者级别、社区透明度。大部分交易社区均对发帖者设定相应级别,发帖者只有不断发帖,才能获得相应的级别。如大众评论网设定了从“新人”到“钻石”共八个级别,发帖者每发一个帖,可以获得2个分值~6个分值。
社会学中的认同理论(Identity Theory)根据自我与社会之间的交互关系来解释个体的社会行为,其中个体所担任的角色与其行为之间存在很强的内在关系。如果担任某角色成员的行为令其他成员满意,这不仅证实了该成员担任该角色是胜任的,而且该成员也增强了对自己对担任此种角色的信心。其他成员的认可以及角色自我评价的提升又会导致该角色在组织中的行为更积极,对组织的贡献更高,从而达到更高的级别(个体总会力争达到组织中的更高级别)(Abrams & Hogg)。由此进入了角色级别与角色贡献的正向循环中。
根据认同理论,较之低级别的发帖者,产品评论社区中的高级别发帖者在社区中的行为会更积极,主要体现于发布更多、准确性更高的信息,结果,消费者对该发帖者的感知信任度会更高、会更多地采纳该发帖者的信息,在消费者认可的激励下,发帖者又会发布更多、准确性更高的信息,随着该发帖者对社区贡献的升高,其级别也得到了提升,由此该发帖者进入了级别与消费者认可、信任以及对社区贡献的良性循环中。
结合上述论述,本文认为:较之级别低的发帖者的信息,级别高的发帖者的信息能让消费者感知更高的信任度。
社区透明度是指社区信息向消费者披露的程度。主要包括社区基本信息(社区管理者的姓名、地址、联系方式)、社区宗旨、社区目标顾客群、社区对成员所发信息的质量保障措施、社区对成员数据的保护措施、社区的财务来源、广告来源等十个方面(Jan, Winfrled Ebner and Helmut)。
信任他人的一方存在弱点经常被认为是信任产生的重要条件,Moorman等(1993)指出:没有弱点,信任就没有存在的必要;Bhattacharya (1998)等人也强调弱点是信任的关键成分,信任别人就意味着承担风险,将自己的弱点暴露给信任的对象。Andaleeb和Anwar (1996)的研究表明,零售环境下,顾客的弱点是缺少信息,所以对销售人员的信任非常重要;信息不对称(交易双方所掌握的信息丰富程度存在差异)是信任产生的重要条件。社会行为领域的研究表明,个体通过披露更多的信息将自己处于脆弱的位置,从而导致其他人对其更加信任。
定性访谈中,被调研者认为:“社区管理者敢于将自己的办公地址、办公电话等公开,说明社区管理者有持续经营的规划,比起那些只留QQ号的社区,其为了赚钱而对商家的信息进行操纵的动机要低得多。”
“社区管理者在社区中发布对发帖者的信息管理措施,说明社区管理者对此问题进行过详细地思考,一旦发现某些发帖者充当商家的”托“对信息进行操纵,会及时采取措施,从而保障社区健康的氛围。”
“大众点评网”在社区中对盈利模式、发帖者信息质量的保障措施等内容进行了披露,提高了消费者对社区的信任度。与较低透明度的社区相比,更高的社区透明度能让消费者感知社区的信任度更高(Jan,Winfrled Ebner and Helmut)。发帖者的行为是基于社区平台的,消费者感知社区信任度的提高会提高其对发帖者类社会互动关系强度的感知。鉴于上述论述,本文认为:较之低透明度的社区,高透明度社区中的发帖者信息能让消费者感知更高的信任度。
四、 模型的应用
本文利用精细加工可能性模型以及通过定性研究,探测影响交易社区中消费者感知评论信息信任度的影响因素并建立了相应的理论模型。有三个因素会对消费者感知发帖者信息可信性产生影响,信息详尽度、发帖者级别和社区透明度。本次对社区管理者成功运作社区以及企业成功地开展营销活动具有重要启示。
为了提高发帖者信息的可信度,社区管理者需要在社区首页显要位置处设立“社区透明度”专栏,让消费者登陆社区伊始就可以很好地了解社区的注册、财务状况、信息质量的保障措施、数据的使用及保护措施等方面的信息;同时,采取措施激励发帖者对产品的点评尽可能详细,以此形成社区的高信息详尽度评论风格,从而引导后来的发帖者也按照此种风格对产品进行评论;最后,根据发帖者的发贴数量、质量为其设定相应的级别,促使社区中出现级别较高的发帖者,以此提高其信息的可信度。
参考文献:
1. Chevalier, Judith A. and Dina Mayzlin. The Effect of Word of Mouth on Sales: Online Book Reviews.Journal of Marketing Research,2006,43(3):345-354.
2. Bhattacherjee, A. and Sanford, C.,Influence processes for information technology acceptance: an elaboration likelihood model, MIS Quarterly,2006,30(4):805-825.
3. Christy M.K. Cheung, The impact of electr- onic word-of-mouth The adoption of online opinio- ns in online customer communities. Internet Research,2008,18(3):229-247.
4. Eagly, A.H. and Chaiken, S. The Psychology of Attitudes, Harcourt Brace Jovanovich, Fort Worth,TX,1993.
5. Jan Marco Lemeister, Winfrled Ebner, and Helmut Krcmar. Design, Implementation, and Evalu- ation of Trust-Supporting Components in Virtual Communities for Patients. Journal of Management Information Systems/Spnng,2005,21(4):101-135.
6. Abrams, D. & Hogg, M. Eds.Social Identity Theory: Constructive and Critical Advances. New York: Springer-Verlag,1990.
7. Bhattacharya, Rajeev, Timothy M. Devinney, Madan M. Pillutal, A formal model of trust based on outcomes, Academy of Management Review,1998,23(3):459-472.
基金项目:国家自然科学基金重点项目“互联网环境下的关系营销理论创新研究”资助(7053200)。
作者简介:董大海,大连理工大学管理学院教授、博士生导师;包敦安,大连理工大学管理学院博士生。
企业统计报表的可信性检验 篇7
企业统计表如工时报表, 物资、能源消耗报表等, 这些报表的主要用途除上报国家、省、市统计机关和企业上级主管部门外;一个很重要的用途是供企业各级决策部门编制下阶段计划时作为主要依据之一。对于单件、小批类生产的企业, 情况更是如此;其技术指标变动频繁, 而工时、材料定额的修改周期远满足不了计划周期的需要, 故每生产一个新产品, 只有参考近期相似完工产品的资料编制计划, 才能最大限度的减少失误和避免延期交货。遗憾的是, 笔者在企业的生产实践和调查中发现, 这些厂家在利用过去的统计报表平衡任务之间的矛盾, 并预测执行计划当中可能出现的问题时, 常有很大的疑虑, 从而影响计划的制定。显然, 如实反映实际生产过程的工时报表, 对以后编制计划, 修订定额, 都有重大意义;而“水份”过多的工时报表, 只能起反作用。可见, 原始统计报表可信与否, 是科学编制计划, 加强计划对生产的指导作用, 落实责任制指标的关键;也是生产第一线深化改革, 向管理要效益的关键。
二、相对误差的建立
下面仅以单件、小批类企业工时报表 (简称工时报表) 为例进行数理统计分析。
由于各种主、客观因素影响, 工时报表的数值往往有某些出入。如果工时报表内数值有过大的误差, 利用它就很难得出正确结论。因此, 有必要找出一种分析方法, 确认哪些工时报表是可用的, 哪些是不可用的。对于误差很明显的工时报表, 据经验可以否定其使用价值。但对于误差不明显的, 则不能根据经验得出结论, 需进行定量分析。
通常, 基层统计员统计工作时, 不论何时何地, 其统计原则和基本方法是不变的。就是说, 在正常情况下, 其出现误差的情况应该是随机的, 其统计值始终是围绕实际值或多或少的变值。换言之, 如果我们建立:
则相对误差应符合正态分布。μ为相对误差平均值, σ为相对误差的标准差。对于正态分布的Y而言μ=1。
进行了上述处理后, 可通过对一个变量数据变化的分析来衡量报表中各种不同变量的大量数值在总体上的可信程度。那么, 当对工时报表的数值抽样进行假设检验后, 就可判定工时报表的可信性及决定对编制计划是否可用。
三、原理
统计表中数据的误差分为两大类, 一类是系统误差, 表现为相对误差Y有规律的大于或小于1;另一类为随机误差, 用相对误差标准差表示, 记为σ。某一统计表, 如果数据存在某种系统因素而导致误差, 则数据总体的相对误差均值必然大于1或小于1。经抽样计算样本相对误差均值, 根据数理统计中假设检验原理, 可以对总体的相对误差均值是否为1进行判断, 如果通过检验, 认为没有系统误差。对于一个企业, 应有一个稳定的统计系统, 视其基础工作水平高低, 对于某一个变量的统计数值, 认可某一水平的总体相对误差标准差σ0。如果某一报表数据的相对误差标准差, 小于σ0, 则该报表数据的随机误差不大。如果报表数据的相对误差在均值和标准差两方面都通过检验, 则认为该表可信。
四、计算举例
例:已知某工厂以往生产进度统计报表中, 由于统计原则与方法相同, 其数值的相对误差y服从正态分布。其中:相对误差均值μ=1;相对误差标准差σ=0.0 4。
今收到一批新表, 从统计系统目前运行状态来看, 其相对误差偏差不会有多大变化。现抽出10个样品。分别与该批报表形成过程中计调员实际监测到的数据中有关对应数值相对照, 经初步计算, 如下表所示。
问题1:新报表的相对误差均值μ与1有无显著性差异?
问题2:新报表的相对误差标准差σ与认可的数据0.0 4有无显著性差异?
求解:
1. 检验均值
提出假设
H0:μ=1 H1:μ≠1
如果要求95%的可靠性, 取α=0.05, 查t分布表, 得tα/2 (10-1) =t0.05/2 (9) =2.262。由样本数据计算相对误差的样本均值和相对误差的样本标准差s如下:
其中:
检验统计量为:
由于t=0.207<2.262, 因而接受原假设, 即认为新报表的相对误差均值与1无显著性差异, 也就是认为新报表的数据无系统误差。
2. 检验标准差
如果样本标准差s小于σ0, 则认为通过检验。例如本例的s小于0.04, 即可认为σ不大于0.04;如果s明显大于σ0, 则认为σ大于σ0, 这两种情况都不必再进行如下检验了。只有当s略大于σ0时, 才有必要进行下述检验。
提出假设:
H0:σ=0.04 H1:σ≠0.04
应用X 2统计量
如果取显著性水平α=0.0 5, 可查表得到两个邻界值:
且n=10, 然后查表, 得到:
X20.025 (9) =19.023和X20.975 (9) =2.7
显然:2.7
所以无理由拒绝H0, 则应接受H0。
3. 判断
因为μ与1和σ与0.04均无显著性差异, 故该报表可信。
当某次检验结果证明报表存在显著性差异时, 若能肯定计调员监测数据绝对可靠的话, 则应当让统计系统返工, 或判断该次统计报表作废, 这样合格的报表就可以作为计划的科学依据了。
五、结论
本文针对企业统计表中的数据, 提出相对误差的概念, 通过对相对误差均值和标准差的假设检验, 判断统计表的可信程度。并说明本方法在实际工作中的应用方法。
摘要:原始数据是企业各决策部门编制计划的主要依据, 数据是否准确, 是否可信成为关键。运用数理统计的方法分析企业统计表数据的可信性。
关键词:可信性,统计,相对误差
参考文献
云计算平台可信性增强技术的分析 篇8
云计算主要包含五个特征:基于多租户架构、可扩展性超强、有弹性、按需付费与资源可根据需要自动供应。通过云计算服务能够帮助企业大幅度节约存储和计算成本, 但是云平台中的安全问题成为了制约云计算发展的首要因素。企业在关心如何降低数据存储和处理的成本的同时, 最关心数据是否安全以及失去数据控制权会对隐私带来什么样的危害。当企业在使用云服务的同时, 恶意云服务商或者和行为不端的员工很有可能篡改或泄露用户数据, 如果这些数据对企业运营来说是机密级别的, 这将会对用户会造成巨大危害。
本文提出一种可信的云计算平台 (TCCP) , 可以确保外包给IaaS的计算的保密性和完整性。TCCP为用户VM提供一个封闭的执行环境, 避免云服务商的特权用户窥视或者篡改内容, 在执行VM申请前, 用户可以远程判断服务后台运行的TCCP是否可信。该方法拓展了整体服务验证的概念, 使用户能够预估计算执行安全性。
二、可信赖云计算平台关键技术
传统可信平台只能够保证单台主机上的计算安全性, 平台验证机制不能保证远程方得到的测度列表ML就是VM运行主机的真实信息。因此, TCCP需要设计远程验证方法, 保证后台平台资源持久安全。
2.1概述
TCCP可以加强IaaS后台, 进而做到不改变整体结构的前提下为云计算提供封闭的执行环境。TCCP可信计算包括两个方面:可信赖虚拟机映像 (TVMM) 与可信赖协调者 (TC) 。
后台节点作用为运行掌控客户虚拟机的TVMM, 并阻止特权用户窥视和篡改。TVMM可以在遵守TCCP协议的前提下自身安全进行保护, 节点被嵌入在经过验证的TPM, 可通过安全启动进程加载TVMM。TVMM的本质就是一个可隔离不轨意图系统管理员的本地的封闭环境。TC管理一系列可以安全运行客户虚拟机的节点, 这些节点称为可信节点。该类节点必须位于安全域内并运行TVMM, 这要求TC保存节点位于安全域的记录, 并验证节点平台以判断该节点是否运行着可信赖TVMM。TC还可以进行在簇中添加或移除节点、临时关闭节点等操作。通过TC主要用于验证IaaS是否安全。
为保证将VM限制在可信的节点和VM迁移时其状态不受窥视和篡改的安全, 每个节点上运行的每个TVMM必须与TC相配合。假设由外部可信赖实体 (ETE) 对TC进行管理, 并在IaaS域中为TC部署一系列节点和可信赖配置的信息, 保证管理IaaS的系统管理员在ETE内部没有特权, 不能对TC进行篡改。本文立足点为ETE由没有与IaaS服务商有共同动机的的第三方维护。
2.2关键技术设计
本节详细介绍TCCP相关机制。在2.2.1节介绍可信赖平台上一系列节点管理协议;2.2.2节介绍VM安全管理协议, 包括装载VM和迁移VM。这些协议中用以下标记表示加密操作, Kx表示会话密钥,
2.2.1 VM安全管理协议
通过保存包括安全域内节点、识别节点可信平台模块 (TPM) 的公开识别密钥EKNP和预期测度列表MLN的目录, TC可以动态管理一系列掌控VM的可信赖节点。ETE保证TC部分参数安全公开可用, 包括MLN和MLTC是远程方在识别节点N或TC上运行的平台时的期望值。
节点必须在TC注册, 并遵守相关协议。前两步节点N验证TC, 节点N向TC发起挑战, TC返回经加密的MLTC, 如果MLTC与预期相符, 即表示TC是可信赖的。TC在返回信息中包含了对节点N的挑战nTC, 第三步节点N产生密钥对
必须做到可信节点重启后, TCCP还可以将节点认为是可信的, 否则TCCP的安全性会收到威胁。可采用如下手段:节点内存只保存机器重启密钥就会丢失, 节点会被TCCP阻止, 必须重新进行注册。
2.2.2虚拟机管理
TCCP在加载VM时需要保证一下几点: (1) VM加载的节点可信; (2) 系统管理员不能窥视和篡改初始VM状态。
可设置如下协议。加载VM前, 用户不知道VM将加载到哪个物理节点上, 且在服务的所有参与者中只有TC可信赖。用户首先生成会话密钥KVM, 并将消息发送到CM, 消息包含φ和φ用会话密钥加密的哈希值, 以及采用进行加密的KVM。用TC的公钥加密会话密钥, 保证只有经TC授权的可信赖节点才能访问φ。
收到加载VM请求后, CM指派簇中节点N加载VM, 同时把请求转发给N。因为启动VM不能绕过访问φ, 节点N向TC发送消息, TC用私钥解密消息, 进而验证N是否可信。在TC信赖节点库中如果不存在N的公钥, 则该请求可能是CM将请求转移到了恶意系统管理员控制的节点, 故拒绝该请求。如果请求通过了, TC解密会话密钥, 并对节点N发送消息, 此时N就解密φ并启动VM。最后节点将消息发送给用户, 消息包含节点运行VM的证明。
三、总结
乳成分分析仪检测可信性分析 篇9
1实验材料与分组
全国畜牧总站提供的两套DHI盲样各12瓶,每瓶样品检测3次,为获得更多的平行数据。分别用机器一和机器二进行检测。
2检测试剂和方法
2.1机器一
2.1.1试剂
机器一公司提供的Zero Solution(调零液):一袋S-6060加入5L去离子水溶解、Cleaning Solution(清洗液):一袋S-470加入5L去离子水溶解。
2.1.2检测方法
将全国畜牧总站提供的DHI标准物质置于42℃水浴15min后,将奶样放入奶样架,翻转摇匀,放在机器传送带上,机器自动检验分析,每个样品测试3次后求平均值。机器一的检测原理:使用了一个带有单束光,一个观察室和两面镜子的紧凑型红外线系统。红外线11片光学滤光片被安装在一个连续旋转的滤光片轮上,只要仪器接通电源瞄准滤光片的红外线光束以快速连续的穿过滤光片。对于脂肪、蛋白组份各使用两片红外线滤光片。一片对组份测量具有最大红外线吸收的样品滤光片而另一对组份测量具有最小红外线吸收的参考滤光片。
2.2机器二
2.2.1试剂
机器二公司提供的载液RBS,1L去离子水或蒸馏水中加入RBS35缩液配制成2%RBS;调零液用去离子水。
2.2.2检测方法
将全国畜牧总站提供的DHI标准物质置于42℃水浴中15min,将奶样放入奶样架,翻转摇匀,放在机器传送带上,机器自动检验分析,每个样品测试3次后求平均值。机器二的检测原理:当光束通过含有样品的流体池时,会根据所采用的数据分析类型,光束被样品吸收或是被样品表面反射。在激光光源通过样品时,系统使用一个检测器测量在每个频率处透过的红外线能量,然后绘制出强度和频率的光谱图像。通过“解码”技术得到有用的信息,运用傅里叶变换计算强度和频率的光谱图像的频谱。通过电脑转换成一个完整的谱图,为用户提供光谱信息用于数据分析。
3检测结果
本特利机器检测DHI标准物质的乳成分中乳脂肪率和乳蛋白率的结果详见附表。
Mean Difference(MD)(平均差值):均值差等于测定值和参考值之间的平均值。Standard Mean Difference(SDD)(差值的标准是个体差值变化的测度)。
4讨论
(1)两台机器均能检测出的CV%SDD、MD,均在中国奶牛数据中心和两机器允许的误差范围内MD=-0.15~+0.15,SDD=0~0.2,重现性CV<0.5%,精准度CV<1.5%。
(2)本次实验的两台机器的测定结果与中国畜牧总站提供的DHI标准物质参考值差异不显著,测定值在可信范围内。
(3)笔者实验室两台机器测定数据可信度和准确度都很高,测定分析能为奶牛场提供较好的判定标准值。
摘要:本文对全国畜牧总站提供的两套DHI盲样,实验室分别用两台乳成分分析仪对乳成分测定结果 进行比较测试。结果表明,两台机器检测数据准确性无差异,均能够较好地快速的检测出数据。此实验表明,实验室两台机器的检测数据能够较好地帮助奶牛场进行管理,且使用较为方便,具有较强的推广使用前景。
数据可信性 篇10
关键词:软件可信性,构件可信性,可信性变化,传播模式,设计结构矩阵
可信软件是指其运行行为及其结果符合人们的预期、满足用户的需求, 在受到操作错误、环境影响、外部攻击等干扰时仍能持续提供服务的软件。近年来, 软件及其运行环境发生了质的变化, 边界开放、规模越来越大、技术环境因素动态多变等特点使得软件系统在可信性方面面临许多新的挑战[1,2]。软件系统投入运行后, 由于环境变化和软件变化可能导致用户对软件有新的可信性要求或者原有可信性发生变化, 而软件可信性要求一个局部的变化往往在整个系统范围内产生一系列难以预料的连锁效应, 从而给软件可信性的变化带来巨大的风险。因此, 分析软件可信性变化影响将有助于软件可信性变化的实现。
软件可信性变化属于软件变化研究的一个分支, 随着软件技术的快速发展以及软件产业要求的不断提高, 软件变化已经成为软件工程领域的研究热点。Bohner[3,4]在论文中给出了软件变化分析的过程框架, 并首次引用“波及效应”一词来形象地描述软件变化的影响;Ahmed Breech[5,6,7]等学者主要从一个软件实体 (函数、变量) 变化对另一个软件实体影响的角度来研究和预测波及范围;Chen[8]等学者则利用面向对象思想, 使用属性和连接去描述包括设计文档、软件组件、外部数据和需等变化项目及其之间的关系, 建立了一个基于对象、面向属性的软件变化影响分析模型;王映辉[9]在Bohner研究的基础上从功能视角, 利用可达矩阵来研究基于构件的软件体系结构演化与影响。从上述文献研究可以看出, 尽管对软件变化影响的研究日益增多, 但大多数学者研究的关注点主要集中在软件的功能变化, 其研究也很少涉及到软件变化传播模式。
针对当前对软件可信性变化影响研究的不足, 本文引入水波式、开花式和雪崩式等三种传播模式来研究软件可信性变化传播。将软件视作构件的组装, 将软件可信性分解到各构件, 从结构的视角, 重新定义了软件可信性;从构件内部、构件之间表征构件可信性的可信属性存在相互依赖关系的视角, 基于设计结构矩阵理论, 构建了软件可信性DSM模型;分析了三种传播模式的特点, 并通过对构件可信属性聚类和划分变化分组在软件可信性变化传播中的不同模式, 对软件可信性变化传播影响进行了刻画分析。
1 软件可信性的内涵
1.1 构件
软件产业的成熟以及软件生产要求的不断提高, 使基于构件的软件开发方法得到了广泛的应用。在基于构件的软件开发方法下, 程序开发模式也相应地发生了根本变化, 软件开发不再是算法+数据结构, 而是构件开发+基于体系结构的构件组装。在体系结构中, 构件是软件系统的构成要素和结构单元, 是软件功能设计、实现和寄居状态的承载体。从系统的构成上看, 任何在系统运行中承担一定功能、发挥一定作用的软件体都可看成构件。作为软件体系结构的构造块, 构件不是独立存在的, 各构件之间具有一定的关联关系, 具有互操作性。
1.2 软件可信性
软件可信性指一个软件系统的行为总是与预期相一致, 它是一种需求分解精化的对功能需求作用的全局性质量约束, 它的一个微小变化往往对整个软件系统产生较大范围内的影响。软件可信性通常用一组相互关联和相互影响的可信属性来描述和评价。可信属性用于描述和刻画软件可信性的若干软件关键性质, 它可被细化成多级子属性。可信属性是软件 (客体) 获得用户 (主体) 对其行为实现预期目标的能力的信任程度的客观依据。主体通过客体所具有一组表达其可信属性的客观能力事实, 从而信任客体的行为能够实现其设定的目标[10]。因此, 若软件可信, 则意味着软件拥有了一系列与软件可信属性相关的能力;反过来, 若软件具有了一系列与软件可信属性相关的能力, 则可以相信该软件能达到其预设的可信性目标。本借鉴文献[10]提出的一个可信属性模型来展现软件可信的内涵, 它用可用性 (Availability) 、可靠性 (Reliability) 、安全性 (Security) 、实时性 (Real Time) 、可维护性 (Maintainability) 和可生存性 (Survivability) 等6个可信属性表示构件或软件的可信性。尽管用户对于各种类型软件可信的期望有所差异, 但软件可信的内涵对于各种类型软件应该是基本一致的。
从上文对构件的描述, 软件可简单的视作组成系统的若干构件以及构件与构件之间交互作用关系的高度抽象, 这样软件可信就表现为组成软件的各个构件可信, 就意味着各个构件拥有了一系列与软件可信属性相关的能力。基于这样的理解, 本文从结构的视角对构件可信性和软件可信性概括定义如下:
定义1 (构件可信性) 构件可信性是指构件的可信能力, 它用一组相互关联和相互依赖的可信属性来表示。由于构件在实现目标和用户期望可信性的不同, 描述和评价其可信性的各构件的可信属性存在差异。
定义2 (软件可信性) 软件可信性是指整个软件系统的可信能力, 它用一组构件可信性来表示, 各构件可信性之间的相互依赖和相互影响的是通过可信属性之间的作用机制来体现。
根据定义2, 软件可信性实质上就高度抽象为组成系统的若干构件的可信属性和各可信属性之间的依赖关系。表征各构件可信性的可信属性, 如可用性、可靠性、安全性、实时性、可维护性和可生存性等可信属性之间的依赖关系是静态存在, 但是, 由于各构件功能和作用的差异, 同样的可信属性之间在不同的构件可能所表现的依赖强度往往有差异。为了提高软件可信性变化传播分析的有效性和减少软件可信性变化实现的复杂性, 本文假设各构件和构件内部的可信属性之间的依赖强度有一个最低阀值, 当可信属性之间的依赖强度高于该阀值时, 其可信属性之间的依赖关系才存在, 否则忽略。
2 软件可信性DSM模型
设计结构矩阵 (Design Structure Matrix, 简称为DSM) 是一个n×n的紧凑矩阵, 它包含了所有构成元素之间的信息依赖关系。系统的元素均以相同的顺序放在矩阵的最左边和最上边, 如果元素和元素之间存在联系, 则矩阵中的ij (i行j列) 元素为●, 否则为空格。设计结构矩阵有助于系统的建模, 因为它能表示一对系统元素间的关系存在与否, 与图形表示相比, 它能为整个系统元素提供整体的紧凑描绘。
目前, DSM已经发展成为基于组件和基于团队应用的静态模型、基于活动和基于参数应用的时间模型等两种类型的模型[11]。前者指同时存在的系统元素;后者指上游活动和下游活动之间的先后顺序。很多学者把DSM应用到设计过程的建模和管理中, 如文献[12]使用DSM表示复杂软件产品中设计元素之间的依赖关系以研究不同软件产品架构之间的差异。DSM为理解和分析复杂的软件可信性提供了简洁而可视的形式, 本文借鉴基于组件的静态DSM模型来表征构件内部可信属性之间和构件与构件的可信属性之间的依赖关系, 并对软件可信性DSM模型概括定义如下:
定义3 (软件可信性DSM模型) 可信性DSM模型是一个n×n阶方阵, 其矩阵的行和列与表示各构件可信性的所有可信属性相对应, 矩阵的维数n代表所有可信属性的个数, 主对角线元素标志着可信属性本身;其它元素用以表示可信属性之间的依赖关系, 其方向性由行和列分别表示, 行对应基于构件的软件可信性模型图中有向边的弧头, 列对应该图中有向边的弧尾, uij表示可信属性uj依赖于可信属性ui, 并用“●”来表示。
设某软件的可信性DSM模型如图1所示, 其中可信属性t1到t6属于构件Comi, 可信属性t7到t12属于构件Com2, 可信属性t13到t18属于构件Com3。从图中, 可以直观的看出构件内部和构件之间可信属性的直接依赖关系。
3 软件可信性变化传播模式分析
3.1 可信性变化传播影响与传播模式
从图1所示的软件可信性DSM模型不难发现, 可信属性之间不仅存在直接依赖, 而且存在间接依赖。如图1所示, 若可信属性t18发生变化, 引起了可信属性t5、t17的变化, t5进而引起了t3、t6变化, t17又引起了t6、t16的变化, t3的变化引起了t11的变化, t16又引起了t5的变化等等, 即由最初可信属性t18变化引起了t5、t17、t3、t6、t16、t11等可信属性的变化, 而且出现了重复与迭代。因此, 软件可信性变化实现初看似乎只需要根据需要对变化的可信属性分别进行实现, 但实际上由于各可信属性是彼此相互影响的, 对某一可信属性的变化会引起一连串其他可信属性的变化, 从而引发在需求变化传播。所有可信属性形成了一个复杂的可信需求变化传播网, 对某一具体可信属性而言, 则是一棵变化传播树, 如图2所示。
为了有效分析软件可信性变化传播, 本文引入文献[13]和文献[14]对机械产品设计变更传播模式的分类来研究软件可信性变化传播的影响。该文献将传播的影响划分为三类, 如图3所示:①水波式传播模式 (ripple propagation) , 即初始变化引起的传播只会引起少量的其他变化, 然后变化数量迅速减少;②开花式传播模式 (blossom propagation) :即起初变化传播引起其他变化大量增加, 如同在“开花期”, 但之后变化数量逐渐减少, 变化传播进入“凋谢期”, 最后传播引起的变化数量可以保持在一个合理的数量上;③雪崩式传播模式 (avalanche propagation) , 即变化传播引起变化数量不断增加, 如同雪崩效应或滚雪球效应, 最后导致变化影响的数量难以控制。
3.2 可信性变化传播模式分析
在图论中, 对于有向图的两个节点u、v, 若存在从节点u到节点v的通路, 则称节点u到节点v是可达的。若一个有向图中的任意两节点都是相互可达的, 则称该有向图为强连通图;若一个有向图的某几个节点导出的子图是一个强连通图, 则称该子图为原有向图的一个强连通分支。
软件可信性变化传播影响问题实际上是软件各构件可信属性之间依赖的“可达性”问题, 而当某几个可信属性处于同一个“强连通分支”时, 则它们中任意一个可信性属性的变化都会对其余的任意一个可信属性产生影响, 因而可以将其聚类为一个分组, 该分组内部的变化都会彼此影响。下面以图1所示的软件可信性DSM模型为例, 分析软件可信性变化传播影响及其传播模式。
将图1所示的软件可信性DSM模型看作一个邻接矩阵, 求取其强连通分支, 并将处在同一个强连通分支内的可信属性聚类为一个变化分组, 最后得到{t3, t15}, {t1, t2, t7, t8, t9, t10}, {t4, t11, t12, t14}, {t5, t6, t16, t17, t18}四个分组。经过聚类形成的变化分组要么在结构组成上是紧密联系在一起的, 要么是在作用上是紧密在一起的。经过重新排列元素顺序, 四个变化分组的DSM如图4所示。将分组内部可信属性和构件的变化依赖关系用有向图表示, 如图5所示。可以将变化分组分为三个层次:
(1) 变化发起分组。该分组的变化会引起其它分组的变化, 但不会受其他分组变化的影响, 如分组{t1, t2, t7, t8, t9, t10}, 对应图5中的分组CG1。
(2) 变化传递分组。该分组的变化既受其他分组的影响, 也影响其他分组, 如分组{t4, t11, t12, t14}和分组{t5, t6, t16, t17, t18}, 对应图5中的分组CG3和分组CG4。
(3) 变化吸收分组。该分组的变化只受其他分组的影响, 而不影响其他分组, 如分组{t3, t15}, 对应图5中的分组CG2。
从软件可信性的组成和作用的角度可以看出, 变化发起分组往往是整个软件可信性中最核心的部分, 其分组内部的可信属性往往是最基础的可信属性。而变化传递分组内的可信属性, 则是结构上连接各构件可信性, 或者作用上协调整个软件可信性实现的可信属性。变化吸引分组内的可信属性, 则大都是结构上处于从属地位, 依赖于软件主要的可信属性。
在实际的软件可信性变化传播过程中发现, 之所以会发生如图3所示的不同模式的变化, 实际上是由于变化传播涉及到不同类型的变化分组的缘故, 总结如下:
(1) 水波式传播模式。由于变化吸引分组自身的变化, 或者变化从初始分组传播到变化吸引分组, 没有变化传递分组参与到变化传播, 会引起水波式变化传播。
(2) 开花式传播模式。如果变化传递分组参与了变化传播, 并且变化传递分组之间没有发生变化传播, 则会引起开花式变化传播。
(3) 雪崩式传播模式。一般是由于变化传递分组之间反复地发生了变化传播, 从而引起了雪崩式变化传播。
因此, 在软件可信性变化管理过程中, 要避免或减少雪崩式的变化传播的发生, 就应该消除或尽可能减少变化传递分组之间的变化传播。
4 结束语
近年来, 随着网络应用软件和嵌入式软件在国民经济高科技各个领域的广泛应用, 这些规模大、复杂程度高的可信软件系统由于应用环境的多变和用户要求的提高, 不但面临着功能需求的不断变化, 而且还经常面临着软件可信性的变化。针对当前对软件可信性变化影响研究的不足, 本文引入水波式、开花式和雪崩式等三种传播模式来研究软件可信性变化传播。将软件视作构件的组装, 将软件可信性分解到各构件, 从结构的视角, 重新定义了软件可信性;从构件内部、构件之间表征构件可信性的可信属性存在相互依赖关系的视角, 基于设计结构矩阵理论, 构建了软件可信性DSM模型;分析了三种传播模式的特点, 并通过对构件可信属性聚类和划分变化分组在软件可信性变化传播中的不同模式, 对软件可信性变化传播影响进行了刻画分析。最后, 通过分析软件可信性变化传播不同模式的内在原因, 为实现软件可信性变化有效管理找到了一种可行的方法。
数据可信性 篇11
关键词:软件可信性,灰色聚类,AHP,定量评估算法
0 引言
随着可信计算研究的深入开展,软件可信性及其评估的研究也得到了长足的发展,但也面临着诸多问题。如何确定软件可信性及其指标,如何对软件可信性进行度量、分类,很难有明确的解决方案,并且在不同的应用领域,不同软件专家对软件可信性的理解和认识是不完全相同的,是若明若暗的,具有明显的灰性,用普通的方法去解决软件可信性评估是很难做到的。因此,本文将尝试完成灰色聚类评估算法的分析与设计。
1 灰色聚类评估基础
1.1 灰色白化权函数聚类
设有n个观测对象,m个评估指标,s个灰类等级,dij为第i(i=1,2,…,n)个观测对象对于第j(j=1,2,…,m)个评估指标的样本值。通过样本值dij在第j个特征指标的灰类白化权函数fjk上的白化值fjk(dij),计算观测对象i所属灰类k(k=1,2,…,s)的灰色聚类值ik,并根据最大的灰色聚类值确定i所属的灰类。
1.2 AHP方法
AHP(Analytical Hierarchy Process)方法[3,4]是美国运筹学家T.L.Saaty于20世纪70年代提出的,是一种能将定性分析与定量分析相结合的系统分析方法。它的基本思想是先把要解决的问题分层系列化,形成一个递阶有序的层次结构模型;然后,对模型中每一层次因素的相对重要性,依据人们对客观现实的判断给予定量表示,再确定每一层次全部因素相对重要性次序的权值;最后,通过综合计算各层因素相对重要性的权值,得到最低层相对于最高层(总目标)的相对重要性次序的组合权值。
1.3 灰色聚类评估指标体系
软件可信性的灰色聚类评估指标体系是灰色聚类评估的基础,一般可以把它表示为一棵树。若根结点T表示观测对象层,而除T外由高层到低层分别表示子对象层(指标层);在对树中结点进行灰色聚类分析时,用AHP方法确定结点在聚类中的权重系数。一般地,树的高度与问题的复杂程度及需要分析的详尽程度有关,不受限制;每一层次中各结点所支配的结点一般不要超过9个[4],即根据实际需要,子子对象层或指标层中的各结点还可以是一棵树。
2 软件可信性灰色聚类评估算法
软件可信性灰色聚类评估算法是以灰色聚类评估指标体系为基础,以灰色白化权函数和AHP方法为核心,并经过对它们进行深入分析和整合,从而形成的一套科学的、切实可行的软件可信性评估方法,其具体的步骤如下:
2.1 建立软件可信性灰色聚类评估指标体系
软件可信性灰色聚类评估指标体系要通过深入调查研究、专家咨询和参与,以及文献[5]中评估指标的选取方法而建立起来,如图1所示。
树根A是软件可信性,记为A层;Bi是刻画A的任一指标,该层记为B层,其中各元素是相互独立的,无任何交意;Cij是刻画Bi的任一指标,该层记为C层,各Bi子树中的Cij可能重复;根据实际需要,C层的各结点还可以是一棵树。
2.2 确定评估指标值矩阵D(t)
软件可信性灰色聚类评估体系中各个指标值的单位或数量级若是不相同的,这时要对它们进行标准化处理,处理完毕后得到软件可信性灰色聚类评估的指标值矩阵:
D(t)表示专家或评估者对n个观测对象按m个评估指标给出第t级评估指标值矩阵,dij是观测对象i关于指标j的评估指标值;矩阵D(t)可根据评估者的评分表采用多种方法取得。
2.3 确定软件可信性灰类
即确定各可信性指标的分级标准,并构造各指标的白化权函数。
按照评估要求划分软件可信性灰类数为s,将各个指标的取值范围也相应地划分为s个灰类。如可将评估指标j的取值范围[a1,as+1]划分为[a1,a2],[a2,a32],…,[a k-1,ak],…,[as-1,as],[as,a s+1]。而某个评估指标j属于灰类k的计算公式[2]如下:
其中k=1,2,3,…,s。
2.4 用AHP法确定各指标的灰色聚类权重系数j
使用AHP法确定权重系数时,一般有如下几个过程:
首先,构建各层的判断矩阵A―B、B1―C、B2―C、…、Bm―C。判断矩阵表示对上一层次某因素而言,本层次与之有关的各因素之间的相对重要性。如最上层的判断矩阵A―B可以表示为如表1所示。
其中,bij是对软件可信性A而言,软件可信性指标Bi对Bj的相对重要性的数值表示。
其次,对各判断矩阵进行相对权重的计算及其一致性检验。先求解判断矩阵的最大特征根max和特征向量W,特征向量W即为下层指标对于其上层指标的相对权重,当随机一致性比率CR=(max―n)/(n―1)/RI<0.1时,认为相对权重有满意的一致性,否则需要调整判断矩阵的元素取值并继续进行一致性检验,直到满意为止;其中RI为平均随机一致性指标,详见文献[3]。
最后,合成权重的计算及其一致性检验。合成权重计算公式为,式中WBi是B层m个可信性子指标相对于最高层A的权重;WCi Bi是C层的可信性子指标的集合Cij(它是由C层各元素取并集得到的),Cij中任一元素Cj相对于Bi(i=1,2,…,m)的权重,当Cj与Bi无联系时,WCi Bi=0;合成权重计算公式是从最高层到最低层逐层进行的,这样就可求出每个可信性子指标在软件可信性评估指标体系中的权重。并按照文献[3]中的方法对合成权重进行一致性检验。
2.5 获得评测数据,并计算灰色聚类评估结果
根据评估指标值矩阵D(t)获取灰色聚类对象的原始评测数据,将数据整理后代入灰色聚类系数公式:
(1)若需要可信性综合评估的软件只有一个,即i=1,则有它的灰色聚类评估向量:,则我们说该软件属于h灰类等级。
(2)若需要可信性综合评估的软件不止一个,那么可以分别得到它们的灰色聚类系数,确定它们的灰类,同时也可判断它们的优劣。
3 软件可信性灰色聚类评估算法的应用
3.1 软件可信性需求
某软件可信性[6]需求为:可靠性即要软件在规定的条件下和规定的时间内,完成规定功能的能力;可用性即软件可维修系统在某时刻处于正常运行状态的能力;防危性即系统可持续提供正常功能或不破坏其它系统和相关人员生命安全的方式中断服务的概率;保密性即软件要保证非授权用户不能获得其保密的信息,同时被授权人员不能越权获得、使用、修改、发布信息;完整性即软件保持自身及运行过程和运行结果一致性的能力;可维性即维护系统正常运转而进行必要的修理和结构调整。要根据这些需求给这个软件进行“优”、“良”、“中”、“差”的评估。
3.2 软件可信性灰色聚类评估算法的应用过程
(1)根据需求可以确定软件可信性的灰色聚类评估指标体系,软件可信性={可靠性、可用性、防危性、保密性、完整性、可维护性}。
(2)邀请至少8位软件专家对上述的6个评估指标按百分制进行打分,从而确定软件可信性灰色聚类评估的指标值矩阵D(1)=[82 89 90 79 76 66]。
(3)确定评估等级“优”、“良”、“中”、“差”及构建三角白化权函数如下:
根据实际需要还可以将灰类向不同的方向延拓一类如“更优类”和“更差类”等,并构建它们的三角白化权函数。
(4)使用AHP方法获得上述六个指标的相对于该软件可信性的权重系数分别为0.22、0.24、0.23、0.13、0.1、0.08。于是,就可以根据各指标的实际值、权重系数及各灰类的三角白化权函数计算出各指标的聚类系数和该软件可信性的聚类系数,如表2所示。
表2各指标聚类系数及所属灰类(参见右栏)
(5)灰色聚类评估结果分析
根据对表2的结果进行分析,从总体(聚类系数)上看该软件属于“良”灰类,说明该软件的可信性达到了较高的水平;从各项指标来看,软件的防危性是“优”灰类,达到了很好的水平;可靠性、可用性、保密性和完整性是“良”灰类,说明达到了较高的水平,但完整性相对较弱;可维护性刚达到“中”灰类,说明该软件的可维护性尚待完善的余地较大。
4 结束语
本文在深入分析灰色聚类评估基础上,引入AHP方法确定软件可信性的灰色聚类权重系数,提升了权重系数获取的客观性,也增强了软件可信性评估灰色聚类评估算法的科学性。虽然文中提出的软件可信性灰色聚类评估算法计算简单、易行,具有一定的实用价值;但是还有不少人为因素在其中,这势必降低结果的客观性,如何使评估结果更加客观科学是今后努力的方向。
软件开发等的研究。
机与信息工程系办公室杨俊峰收(274000)
参考文献
[1]Deng Ju-long The primary methods of grey systemtheory[M].Wuhan:Huazhong University ofScience&Technology Press,2005:130-138
[2]刘思峰,党耀国,方志耕.灰色系统理论及其应用[M].北京:科学出版社,2004:96-113.
[3]叶义成,柯丽华,黄德育.系统综合评价技术及其应用[M].北京:冶金工业出版社,2006:76-96.
[4]郭齐胜,杨秀月,等.系统建模[M].北京:国防工业出版社,2006.5.
[5]杨俊峰.基于灰色关联聚类法的软件可信性评估指标选取方法[J].中国电子商务,2010(7):53.
【数据可信性】推荐阅读:
大数据及可信技术10-27
可信性理论10-25
可信性评价01-25
软件可信性01-27
可信性分布论文11-10
云会计AIS可信性12-18
可信性最强特效中药方05-28
有德行公司的不可信性11-07
可信认证05-23
可信评估07-31