1 引 言

保护城市及关键基础设施免受事故、灾害和恐怖主义袭击是当前需要面对的主要任务^[1]。管理恐怖威胁的风险包括在保护设施的替代品之间作出选择、增加基础设施弹性, 并加强社区应急准备等。例如美国国土安全部2013年的财政年度预算就高达800亿美元, 主要用于应对自然灾害和恐怖主义风险^[2]。

当下, 风险评估和决策分析模型及工具已被广泛应用于自然灾害和技术事故的风险估计与管理中。例如, “9·11”恐怖袭击事件发生后, 美国政府即开始对恐怖事件进行风险评估和决策分析^[3]。通常在决策过程中提前进行风险评估, 必须在识别并优先考虑风险、了解风险的威胁、脆弱性和后果的基础上, 再以经济有效的方式应用资源。

将传统的风险评估和决策分析范式转换到打击恐怖主义方面会呈现出独特的挑战^[4]。因为恐怖主义威胁的概念与罕见的、随机发生的自然灾害或技术事故概念完全不同。恐怖事件更像一个聪明的对手试图找出漏洞, 并尝试在可能的时间和地点发动造成最大伤害量的攻击。此外, 恐怖分子会慢慢适应防御体系, 在某些情况下, 甚至可以使其成为他们的优势。因此, 有专家认为传统风险和决策分析模型并不适用于恐怖主义, 需要寻找类似博弈论的新模型^[5,6]。

2 相关研究

通常, 对于恐怖袭击的理解离不开风险、安全和安保的概念。风险, 可视为可能会发生的意外事件, 或可能导致不必要事件的缘由, 或发生不希望事件的概率统计期望值, 或做出某一决策的概率。安全, 可视为无危险的状况, 或没有危险的质量, 或从某一危险境地安全返回。安保, 则可视为免于威胁, 脱离威胁的条件, 通过压制、回避或非接触以保护免于危险的条件, 获得价值损失的低概率。恐怖主义是以暴力或暴力威胁为手段, 通过恐怖行为实现一个既定目标或隐含政治、宗教或者意识形态的目标^[7]。恐怖主义风险则是由未来发生恐怖袭击、袭击结果及相关的不确定性构成^[8]。对恐怖主义风险评估包括恐怖袭击识别、恐怖袭击者分析、后果分析、风险描述和风险评估等。其中, 恐怖袭击的后果包括恐怖袭击的直接和间接影响, 而袭击的概率(可能性)则为恐怖袭击不确定性的度量。

2.1 风险评估方法

Willis^[9]提出一种典型恐怖主义风险的概念化应用实例。对于给定的目标、攻击模式、目标漏洞和损害类型, 其预期后果可表示为:

风险=发生攻击的概率×攻击造成伤害的概率

×给定恐怖袭击的预期结果和造成的损害

即,

风险=威胁×漏洞×后果

通过总结所有存在的威胁获得风险。当后果可以定义为一个效用函数时, 该风险可以转化为期望效用。Kumamoto等^[10]将恐怖主义风险视为在某一场景中、一定概率下发生某一后果的三元组, 或由损失、结果、似然、因果和受影响人口的五元组表示。Aven^[11]则针对事件和/或结果, 将恐怖主义风险视为不确定情形下发生某一情况/事件, 或针对某一事件/活动产生的一个不确定后果。

研究表明, 一般避免定量比较综合风险评估, 建议使用定性技术实现对危险性的全面评估, 包括分析层次过程技术、多目标风险分析技术和审议风险方法等。评估风险排序的方法(也称为卡内基梅隆风险排名方法)由卡内基·梅隆大学的研究人员开发, 用于解决环境政策中关注的问题。风险排名评估方法起初在一个学校中测试健康和安全风险排名并得到验证^[12], 后又扩大至如高层政府决策层面^[13]等, 并研究该方法在阿拉伯联合酋长国不同情况下的 效用^[14]。

2.2 决策树法

在恐怖主义风险分析研究中, 有一些关于博弈论理论模型与决策理论模型的讨论, 如Stackelberg安全博弈模型^[15]。完全博弈论模型的优点是攻击者和防御者之间的对称性, 以及双方知识和效用函数建模的合理性。不足是攻击者的知识状态和效用函数是非常难以量化的, 特别是在假设攻击者完全合理的情况下, 一些解决方案也是不必要的、消极的。反之, 决策理论模型的优点是基于防御者和简化进攻方的进攻模式与进攻目标为概率分布, 构建出一个标准决策分析模型, 得出的解决方案算法非常简单和高效。其缺点是在评估攻击者的攻击、模式和目标的条件概率上造成额外负担。博弈论方法把恐怖主义事件解读为一系列进攻-防御事件, 这种博弈可视为由恐怖分子(进攻方)和安保人员(防御方)组成, 安保人员基于降低恐怖分子的攻击风险进行决策, 并混合一系列随机事件, 如Stackelberg安全博弈模型, 通过最大化双方的期望进行决策^[16]。

由于传统风险和决策分析模型并不适用于恐怖主义分析, 因此需要寻找类似于博弈论的新模型和方法。本文在风险评估和决策分析研究的基础上, 首先用风险评估审议法识别并分析民航反恐安保风险, 进而基于民航反恐安保风险得出一种根据恐怖分子攻击模式和攻击目标选择不同防御策略的决策模型。由于安保人员只有关于恐怖分子动机和能力的不完整信息, 因此该模型并不假设恐怖分子的决定是由一个已知的预期决定的效用计算得出的。相反, 笔者将攻击者的决策视为防御者行动的条件概率分布, 最终实现对潜在民航恐怖袭击的概率、威慑效应、替代效应、对策有效性和后果的决策分析。

3 民航反恐安保风险分析

本文提出的民航反恐安保风险识别分析流程主要由风险评估和决策分析两部分组成, 如图1所示。在风险评估中, 经过对民航涉恐安保风险定义与分类的研究, 识别民航涉恐安保风险的属性, 进而对其展开描述, 在得到的民航反恐安保风险评估结果上进行民航反恐安保风险决策分析和后果评估。

显示原图| 下载原图ZIP| 生成PPT

图1   民航安保恐怖主义风险评估与决策分析流程

   

3.1 民航安保反恐风险评估

风险评估排序方法有5个步骤, 如图2所示。

显示原图| 下载原图ZIP| 生成PPT

图2   风险评估排序流程图^[17]

   

在进行风险评估之前, 需要概念化风险并进行比较, 涉及到如何确定需要比较的离散的风险。在民航反恐安保中, 风险可以分解成攻击目标、区域、部门或危害等。在考虑风险分类的过程中, 单一方法很难普适正确, 因此需要结合评估目的和评估部门的组织架构进行考量。传统的风险评估是依据自然/人为来源或造成伤害/困难的原因方法考虑风险和后果, 并考虑与此相关的风险危害。

进行风险属性评估时, 基于文献检索、新闻报道和全球恐怖主义事件数据库(Global Terrorism Database, GTD)等来源进行评估。在具体的风险选择中, 民航安保相关的风险需具有逻辑一致性、管理可比性和一致的认知约束性。经统计分析, 一般可视为由自然、涉恐、事故等类别组成^[18]。在民航反恐安保中, 为了前述的可比性, 需要寻求反映涉恐类型的危害, 以及涉恐事件任务说明。从国内外恐怖事件进行总结, 一般涉及如刀砍、爆炸、纵火、挟持交通工具、暗杀、生化武器和核武器等, 主要从战略性国家风险评估角度出发, 结合对近年来国内外恐怖主义事件的分析和民航安保的自身特点, 罗列出此风险危害。风险分析如图3所示。

显示原图| 下载原图ZIP| 生成PPT

图3   民航风险分析

   

在完成决策分析后, 需要对民航涉恐安保风险成本进行评估。由于民航涉恐安保风险评估有很大的不确定性, 应通过数量风险估计进行量化, 获得一个有效数字以免夸大精度估计; 纳入不确定性, 通过边界进行定量估计, 通常边界来自文献中确定的最低和最高风险估计^[19]; 加入定性描述, 通过结构化定义提高一致性; 引入实战单位和科研院所风险评估专家分析反恐安保风险, 审查选择的风险是否具有科学性并基于最现实的危险性, 以及风险属性分析是否准确体现了知识的准确性和精确性。

3.2 民航反恐安保风险决策树

决策树是决策和风险分析中较传统的决策工具之一, 几乎涵盖所有文本的决策分析。决策树模型从一个决策节点开始, 紧随着一个或多个机会节点或决策节点, 结束于一个机会节点。通过决策树的每条路径都会得出一个结果, 即一个确定的决策^[16]。

决策树通过考虑从结束节点到根节点间的路径, 基于在机会节点的期望和最大化预期效用或最小化决策节点的预期成本, 实现分析或解决问题。然后计算第一个决策节点的预期效用或预期成本, 选择预期效用最高或预期成本最低的决策^[20]。如果决策树的一个结束节点有多个属性, 使用适当的多属性模型计算结果的效用。

由于存在反恐安保对抗, 因此安保决策者面临的不是一系列随机性事件, 而是恐怖分子的潜在攻击, 恐怖分子希望利用民航安保漏洞以对抗安保决策者 的防御行动。一般来说, 其追求特定的目标, 对决策 者产生消极影响。博弈论学者已经探索过这个范式, 并在此背景下取得恐怖主义风险评估和管理的实质性成功^[21]。

基于当前反恐环境, 可以从民航安保人员角度构建基于实现恐怖分子与民航安保人员交互的决策树框架。在这个范式中, 最大化其预期效用, 但由于恐怖分子的决策是不确定的, 因此民航安保人员并不确切了解恐怖分子的动机或其攻击能力的精度。民航反恐安保风险决策树原理如图4所示。

显示原图| 下载原图ZIP| 生成PPT

图4   民航反恐安保风险决策树原理

   

该决策树从安保方的决策节点开始, 包括决定不进行任何防御行动。安保方的决策选择表示为“安保决策SD_i”, 该决策是基于恐怖分子选择攻击(攻击模式和目标、或不发动攻击)后, 将其定义为一个带有分支“恐怖分子决策T_ij”的机会节点, 以表示为基于安保方可能的选择SD_i。改变恐怖分子的决策概率主要通过威慑、使某些攻击模式无效、或者降低某一攻击的危害等, 并以此捕捉恐怖分子对民航安保的适应行动, 而不是假设恐怖分子已被充分了解或理性地使其最大化预期效用。

民航反恐安保决策通常伴随着一序列随机事件(如攻击是否成功、会有何种后果等)。最简单的决策树, 是树有结尾并评估后果, 更复杂的情况是决策树会继续, 并考虑后续防御者(有时是攻击者)的行为。在图4中, 通过增加一个带有最终的防御决策节点树, 含分支SD_ijnm, 其无后续事件或攻击响应, 基于在发生进攻之后, 安保人员会选择最合适的模式防守特定攻击。

图4没有描绘所有可能的决策事件组合模型。除ijnm路径外, 截断简化该决策树其他路径。但被截断的分支树是继续的, 虽不必对称采用的ijnm路径, 但可以采取不同方式转向并终止于不同的节点。该模型就像任何多级决策解决树一样, 确定最大化的安保人员的期望效用或最小化树的根节点处的相应预期成本。

4 民航反恐安保风险评估与决策分析

4.1 民航反恐安保风险评估

在民航反恐安保风险评估过程中, 通过政府文件、公开数据、论文、专著等, 可对民航风险评估数据集提供多种估计, 如不同风险在不同时期或不同地方的状况。主要包括: 利用EBSCO数据库检索有关恐怖主义(检索词为Terrorism & Risk)的文献, 获取2008年1月1日至2018年6月15日共700篇文献; 近20本有关恐怖主义的著作; 全球恐怖主义研究数据库(GTD)记录自1970年以来世界各地的恐怖事件信息, 提供不同时期、不同国家受到恐怖袭击的估计; 2018年6月检索美国国土安全部网站^①(①https://www.dhs.gov/.)中关于风险评估的相关文件和标准。由于比较风险需要有一个一致的属性集来描述, 构建一套全面的属性描述反恐安保风险显得十分重要^[22]。基于国内外相关应急管理研究成果, 绘制描述风险的多重属性, 涵盖了一系列后果, 包括生活损失和经济损失、社会、心理、环境和政治关注等。基于此, 选择16个属性描述健康、经济损失、社会损害、反映非结果因素和不确定性相关联等方面, 如表1所示。在对民航反恐安保风险属性进行估计时, 某些属性支持定量估算, 但某些属性只支持定性估算。比如伤亡数是定量估计中相对容易计算的, 因为近年所有的恐怖事件, 无论单个事件还是多年平均值, 都有确切记录。而在估计经济损失时, 只能进行间接估算。

由于属性间的差异, 需应用不同的方法推算估计。本文使用三种数据估计方式: 历史数据预测、专家意见和从相似属性预测。数据估计方法的选择不取决于其如何直接描述实际后果, 而取决于其如何精确并准确地描述风险属性。此外, 不是选择一种单一的方法便可实现风险属性估计, 例如恐怖分子通过刀斧砍杀或爆炸进行恐怖袭击已有足够的数据支持统计分析, 但使用生化武器特别是核武器攻击的纪录却很少甚至为零。

4.2 民航反恐安保风险决策分析

决策树基于恐怖分子进行爆炸物攻击的部分安保防御决策细节如图5所示。

显示原图| 下载原图ZIP| 生成PPT

图5   民航反恐安保风险决策树分析图(部分)

   

图5只是决策细节的一部分, 并不包括所有对策。此外, 它是基于爆炸物攻击前提, 决定反爆炸物攻击决策。该树的成功阻截子树和未成功阻截子树进一步阐述爆炸物攻击的详细事件。最后是为应对此袭击的防御决策。如果安保方受到攻击, 合理的决策是采用防止重复发生同一种攻击的对策。所有其他截断的分支树类似地被扩展, 如图5“+”所示。

因此, 如果恐怖分子使用爆炸物, 安保人员的对策为使用防爆措施和设备; 如果安保人员要应对劫持交通工具攻击, 需通过安装防冲撞设备回应; 如果攻击是纵火, 则后续是选择围界控制和消防设施。所有可能模式取决于所有先前的决定或者在各个分支下显示的事件, 包括近年来武器攻击的概率、威慑的有效性、阻断攻击的概率、预防攻击的有效性、致命崩溃的效果等。

参数取值范围较广, 经过专家访谈, 构建并包含专家认为所有合理的参数值。主要包括对不同的恐怖分子攻击方式的概率、威慑效果、替代效应、安保对策效用和后果等方面。

(1) 概 率

概率值P表示恐怖分子使用某种方式进行攻击的可能性, 初始状况下会被分配一个基准值P_T=0.25, 概率的取值范围从0到1。恐怖分子很容易获得刀斧等冷兵器, 因此刀斧砍杀是不同攻击模式中最有可能的形式, 将刀斧砍杀攻击基本概率量化作为P_K=0.3, 以发生7种攻击模式任一种为条件。简易爆炸物、易燃物品和交通工具也可以轻松获得, 但需要部署更接近于目标, 也更难进入航站楼或货运区, 因此使用爆炸物攻击、纵火攻击和劫持交通工具攻击的条件概率低于使用刀斧砍杀, P_K>P_E=P_CF=P_C=0.2。当前, 生化武器特别是核武器并不容易获得, 且暗杀行动的实施也十分困难, 因此比前述任何一种攻击模式的概率都低得多。在基本情况下, 分别对其分配条件概率为P_A=0.06, P_B=0.039, P_N=0.001。

恐怖分子尝试使用上述7种攻击模式的可能性是存在的, 但同样常规的安保措施有可能对其进行阻断, 此处设定阻断概率I, 表示某种恐怖袭击被阻断的可能性, 并分别设置对应的阻断概率。由于刀斧砍杀和纵火必须在近距离范围, 因而分配给这种攻击模式最高的阻断概率I_K=I_CF=0.2。而生化武器和核武器一般进行远距离攻击, 一旦发生其过程不可逆, 因此认为无法对其进行阻断。

当不同攻击模式发生时, 其被视为成功实施的判断和难易程度不同, 设定成功攻击概率S, 表示该种恐怖袭击攻击方式成功实施的可能性。如刀斧砍杀, 即使被阻断, 若有个位数的人员伤亡即可视为成功实施; 如劫持交通工具, 若成功冲撞进入候机楼即可视为成功实施; 而生化武器和核武器, 一旦释放成功则为成功实施。具体的攻击概率、攻击被阻断概率和攻击成功概率如表2所示。

(2) 威慑效应

通常在决策树的事件节点中会选择采用一个给定的对策/对策包应对, 这与事件子树选择不采取对策结果完全相反, 是基于通过威慑效应后选择对策改变恐怖分子做出决策的似然。威慑可以通过提升难度、降低收益、增加风险等环境犯罪理论来实现。在此背景下, 通过阻截或至少被证明可降低恐怖分子攻击成功的可能性以进行有效威慑, 设置提升难度威慑效应概率D_I, 表示通过提升恐怖袭击攻击难度以降低某种攻击方式实施的概率, 降低收益威慑效应概率D_D表示通过降低恐怖袭击收益以降低某种攻击方式实施的概率。例如, 若在航站楼、货运区所有出入口均部署防爆检测并实现全员检测, 则爆炸物袭击成功的似然会大大降低; 若在航站楼和货运区所有车辆道口均安装阻车器, 所有人员出入口均安装达到一定密度的拦阻装置, 可降低劫持交通工具攻击的似然。在所有子树中, 例如开始实施爆炸攻击方式后, 威慑效应由D_E_I因子参数化表示, 表示通过使用提升攻击难度防御措施降低爆炸攻击方式可能性的有效性, 从而得到以提升攻击难度为条件爆炸攻击方式的有效概率。同样, 爆炸物的使用可以通过降低收益阻止D_E_D, 如增加防爆罐、防爆毯 等降低爆炸攻击的收效。具体的威慑效应概率如表3所示。

(3) 替代效应

尽管采取安保对策会有一定程度的威慑力, 但也可能由于替代效应而增加其他类型攻击的可能性, 设置替代效应概率S_A_B, 表示恐怖分子由于A类攻击方式难以实施转而进行B类攻击方式的概率。例如, 加强防爆安检可能会减少爆炸攻击的使用, 但会导致使用刀斧砍杀或纵火攻击概率增加(生化攻击和核攻击很难发生替代, 在此忽略不计)。在目前的模型中, 假设主要替代效应来自于使用提升难度策略时, 刀斧砍杀、爆炸和纵火的相互转换, 例如降低爆炸物攻击提升刀斧砍杀攻击所分配的替代系数为S_EOI_K=1.5, 这使得在提升爆炸攻击难度执行时, 使用刀斧砍杀的几率提升50%。由于威慑效应和替代效应, 袭击的概率随着对策实施而改变, 这些变化由模型中捕获以分配概率至其余两种替代攻击模式, 残差概率通过1-P计算。具体的替代效应概率如表4所示。

(4) 对策有效性

通过研究过去的企图事件节点, 设置对策有效性概率E_ID, 表示通过提升难度的安保对策会影响不同攻击手段的成功概率; 对策有效性概率E_DE, 表示通过降低收益的安保对策会影响不同攻击手段的成功概率。例如通过提升攻击难度, 防爆检测主要降低发生爆炸攻击的概率; 周界控制将会降低劫持交通工具、刀斧砍杀和纵火的概率; 增加安保人员将降低受到上述任何一个攻击的概率。

考虑到阻截攻击或者降低攻击的有效性, 例如进行周边控制, 对于生化武器和核武器的阻截也是不太可能的, 对需要控制的周边范围很大的区域进行安保, 才有可能阻截, 因此相关安保措施对策的影响概率为0。但对于刀斧砍杀, 如果设置安检仪器或增加安保人员提升难度, 则阻截的有效性E_K_ID=0.30(阻截概率从0.20增加到0.26)。具体的对策有效性概率如表5所示。

(5) 后果分析

遵循的后果评估通过决策树的特定路径在每个分支的终端节点(见图3和图4)。在后果分析中需考量各方面的损失。借助前述风险属性的分析展开讨论, 与概率一样, 使用一个高度参数化的方法, 涵盖了范围非常广泛的损失, 具体后果损失如图6所示。

显示原图| 下载原图ZIP| 生成PPT

图6   民航反恐安保风险决策树后果分析

   

5 结 语

本文主要针对民航反恐安保工作中涉恐风险的定义、分类和属性识别进行风险评估分析, 并在此基础上对民航反恐安保风险决策展开分析和后果评估。由于民航反恐安保风险确实存在差异性, 且涉恐风险的影响会体现在多重后果方面, 因此针对不同恐怖分子的攻击展开风险评估分析工作显得尤为重要。通过构建民航反恐安保风险决策树, 研究得到以下4种方式。

(1) 当一种恐怖分子攻击发生后, 有对应的防御性决策;

(2) 考虑多种攻击模式和多重防御模式;

(3) 分析恐怖分子得知安保防守决策后攻击方式的替代效应;

(4) 基于恐怖分子的行为选择最适当的安保决策, 博弈结束。

安全风险分析与安全密切相关, 恐怖袭击和民航安保都是重要的安全相关问题。如果可以恰当地进行风险评估和决策, 可以大大增强风险分析能力, 缓解民航安保在应对恐怖主义时遇到的困难。

参考文献

文献选项

• 原文顺序
• 文献年度倒序
• 文中引用次数倒序
• 被引期刊影响因子