Các thuộc tính đáng tin cậy chính Tài sản chính khả dụng Xác suất hệ thống sẽ được xây dựng và chạy và có thể cung cấp các dịch vụ hữu ích cho người sử dụng.. Các thuộc tính đáng
Trang 1Bài giảng 6 - An ninh và tin cậy
Phần 1 Chủ đề được bảo vệ
Tính chất đáng tin cậy
Các thuộc tính hệ thống dẫn đến sự tin cậy
Tình trạng sẵn có và độ tin cậy
Hệ thống cần có sẵn để cung cấp dịch vụ và thực hiện như mong đợi
An toàn
Các hệ thống không nên hành xử một cách không an toàn
Bảo vệ
Các hệ thống nên bảo vệ bản thân và dữ liệu khỏi sự can thiệp từ bên ngoài
Tính tin cậy của hệ thống
Đối với nhiều hệ thống máy tính dựa trên thuộc tính hệ thống quan trọng nhất là độ tin cậy của hệ thống
Các tin cậy của một hệ thống phản ánh mức độ sử dụng của sự tin cậy trong hệ thống đó Nó phản ánh mức độ của người sử dụng 'sự tự tin của nó
sẽ hoạt động như người dùng mong đợi và rằng nó sẽ không' thất bại 'trong sử dụng bình thường
Độ tin cậy bao gồm các thuộc tính hệ thống liên quan đến độ tin cậy, tính khả dụng và an ninh Đây là tất cả liên phụ thuộc
Tầm quan trọng của sự tin cậy
Sự thất bại của hệ thống có thể có những ảnh hưởng lan rộng với
số lượng lớn những người bị ảnh hưởng bởi sự thất bại
Hệ thống mà không phải là đáng tin cậy và không đáng tin cậy, an toàn hoặc không an toàn có thể bị từ chối bởi người dùng của họ
Các chi phí của lỗi hệ thống có thể rất cao nếu thất bại dẫn đến thiệt hại kinh tế hoặc thiệt hại vật chất
Các hệ thống không thể chấp nhận được có thể gây mất thông tin với chi phí thu hồi cao
Nguyên nhân thất bại
Lỗi phần cứng
Phần cứng không thành công do lỗi thiết kế và sản xuất hoặc bởi vì các thành phần đã chấm dứt cuộc sống tự nhiên của chúng
Phần mềm hỏng
Trang 2 Phần mềm không thành công do lỗi trong đặc tả, thiết kế hoặc triển khai của nó
Thất bại trong hoạt động
Nhân viên điều hành làm sai Bây giờ có lẽ là nguyên nhân lớn nhất của lỗi hệ thống trong hệ thống kỹ thuật-xã hội
Các thuộc tính đáng tin cậy chính
Tài sản chính
khả dụng
Xác suất hệ thống sẽ được xây dựng và chạy và có thể cung cấp các dịch vụ hữu ích cho người sử dụng
độ tin cậy
Xác suất rằng hệ thống sẽ cung cấp chính xác các dịch vụ như mong đợi của người dùng
An toàn
Một phán đoán về khả năng hệ thống sẽ gây thiệt hại cho con người hoặc môi trường của nó
Bảo vệ
Một phán đoán về khả năng của hệ thống có thể chống lại
sự xâm nhập tình cờ và cố ý
Các thuộc tính đáng tin cậy khác
Khả năng bảo hành
Phản ánh mức độ mà hệ thống có thể được sửa chữa trong trường hợp thất bại
Khả năng bảo trì
Phản ánh mức độ mà hệ thống có thể được điều chỉnh theo yêu cầu mới;
Trang 3 Khả năng sống sót
Phản ánh mức độ mà hệ thống có thể cung cấp dịch vụ trong khi tấn công thù địch;
Dung sai lỗi
Phản ánh mức độ lỗi đầu vào của người dùng có thể tránh được và dung thứ
Khả năng bảo hành
Sự gián đoạn gây ra bởi sự thất bại của hệ thống có thể được giảm thiểu nếu hệ thống có thể được sửa chữa nhanh chóng
Điều này đòi hỏi chẩn đoán vấn đề, truy cập vào các thành phần thất bại (s) và thay đổi để sửa chữa các vấn đề
Repairability là một phán quyết của cách dễ dàng là để sửa chữa các phần mềm để sửa lỗi dẫn đến một lỗi hệ thống
Repairability bị ảnh hưởng bởi môi trường hoạt động như vậy là khó khăn để đánh giá trước khi triển khai hệ thống
Khả năng bảo trì
Một hệ thống thuộc tính đó là có liên quan với sự dễ dàng sửa chữa hệ thống sau khi một thất bại đã được phát hiện hoặc thay đổi hệ thống bao gồm các tính năng mới
Khả năng bảo hành - quan điểm ngắn hạn để có được hệ thống trở lại dịch vụ; Bảo trì - tầm nhìn dài hạn
Rất quan trọng đối với các hệ thống quan trọng như lỗi thường được đưa vào một hệ thống vì những vấn đề bảo trì Nếu một hệ thống được duy trì, có một xác suất thấp hơn những lỗi này sẽ được giới thiệu hoặc không
bị phát hiện
Khả năng sống sót
Khả năng của một hệ thống để tiếp tục cung cấp các dịch vụ của
nó cho người dùng khi đối mặt với các cuộc tấn công cố ý hoặc vô tình
Đây là một thuộc tính ngày càng quan trọng đối với các hệ thống phân tán mà bảo mật có thể bị tổn hại
Khả năng sống sót bao gồm các khái niệm về khả năng phục hồi -khả năng của một hệ thống để tiếp tục hoạt động mặc dù các thành phần thất bại
Dung sai lỗi
Là một phần của một tính chất sử dụng phổ biến hơn và phản ánh mức độ lỗi của người dùng được tránh, phát hiện hoặc dung thứ
Các lỗi của người dùng nên, càng nhiều càng tốt, được phát hiện
và sửa chữa tự động và không được truyền vào hệ thống và gây ra lỗi
Trang 4Thuộc tính thuộc tính phụ thuộc
Hoạt động của hệ thống an toàn phụ thuộc vào hệ thống sẵn có và vận hành tin cậy
Một hệ thống có thể không đáng tin cậy vì dữ liệu của nó đã bị hỏng bởi một cuộc tấn công bên ngoài
Các cuộc tấn công từ chối dịch vụ trên một hệ thống nhằm mục đích không hoạt động
Nếu một hệ thống bị nhiễm virus, bạn không thể tự tin vào độ tin cậy và an toàn của nó
Thành tựu đáng tin cậy
Tránh việc đưa ra các lỗi tình cờ khi phát triển hệ thống
Thiết kế các quy trình V & V có hiệu quả trong việc phát hiện các lỗi dư thừa trong hệ thống
Thiết kế các cơ chế bảo vệ để bảo vệ chống lại các cuộc tấn công bên ngoài
Cấu hình hệ thống một cách chính xác cho môi trường hoạt động của nó
Bao gồm các cơ chế phục hồi để giúp phục hồi dịch vụ hệ thống bình thường sau khi thất bại
Chi phí đáng tin cậy
Chi phí đáng tin cậy có xu hướng tăng theo cấp số nhân như tăng mức độ tin cậy được yêu cầu
Có hai lý do cho việc này
Việc sử dụng các kỹ thuật phát triển tốn kém hơn và phần cứng được yêu cầu để đạt được cấp độ cao hơn của độ tin cậy
Các xét nghiệm tăng và hệ thống xác nhận rằng là cần thiết
để thuyết phục khách hàng hệ thống và nhà quản lý rằng các mức quy định của
độ tin cậy đã đạt được
Đường cong chi phí / tin cậy
Trang 5Kinh tế cậy
Do chi phí rất cao cho thành công đáng tin cậy nên có thể có hiệu quả về chi phí hơn để chấp nhận các hệ thống không đáng tin cậy và phải trả phí tổn thất bại
Tuy nhiên, điều này phụ thuộc vào các yếu tố xã hội và chính trị Một uy tín cho sản phẩm có thể 't được tin cậy có thể mất kinh doanh trong tương lai
Phụ thuộc vào loại hệ thống - đối với các hệ thống kinh doanh nói riêng, mức độ tin cậy khiêm tốn có thể là phù hợp
Tính khả dụng và độ tin cậy
độ tin cậy
Xác suất hoạt động của hệ thống không có lỗi trong một thời gian nhất định trong một môi trường nhất định cho một mục đích nhất định
khả dụng
Xác suất mà một hệ thống tại một thời điểm sẽ hoạt động và
có thể cung cấp các dịch vụ được yêu cầu
Cả hai thuộc tính có thể được thể hiện số lượng ví dụ sẵn có của 0,999 có nghĩa là hệ thống khởi động và chạy cho 99,9% thời gian
Tính khả dụng và độ tin cậy
Đôi khi có thể subsume hệ thống sẵn có dưới sự tin cậy hệ thống
Rõ ràng nếu một hệ thống không có sẵn nó không được cung cấp các dịch vụ hệ thống quy định
Tuy nhiên, có thể có hệ thống với độ tin cậy thấp mà phải có sẵn
Vì vậy, miễn là lỗi hệ thống có thể được sửa chữa một cách nhanh chóng và không làm hỏng dữ liệu, một số lỗi hệ thống có thể không là một vấn đề
Trang 6 Do đó, tính sẵn có tốt nhất được coi là một thuộc tính riêng biệt phản ánh liệu hệ thống có thể cung cấp dịch vụ của mình hay không
Sẵn có mất nhiều thời gian sửa chữa vào tài khoản, nếu hệ thống này phải được đưa ra khỏi dịch vụ để sửa chữa lỗi lầm
Nhận thức về độ tin cậy
Các định nghĩa chính thức về độ tin cậy không phải lúc nào phản ánh những suy nghĩ của một hệ thống 'người sử dụng tin cậy s
Các giả định về môi trường nơi một hệ thống sẽ được sử dụng có thể không chính xác
Việc sử dụng một hệ thống trong môi trường văn phòng dường như hoàn toàn khác so với việc sử dụng cùng một hệ thống trong môi trường đại học
Hậu quả của sự thất bại của hệ thống ảnh hưởng đến nhận thức về độ tin cậy
Kéo chắn gió không đáng tin cậy trong xe hơi có thể không liên quan trong khí hậu khô
Những thất bại có hậu quả nghiêm trọng (như sự đổ
vỡ của động cơ trong xe hơi) sẽ được người dùng sử dụng nhiều hơn là những lỗi không thuận tiện
Độ tin cậy và thông số kỹ thuật
Độ tin cậy chỉ có thể được định nghĩa chính thức đối với một đặc điểm kỹ thuật của hệ thống, tức là sự thất bại là một sai lệch từ một đặc tả
Tuy nhiên, nhiều chi tiết kỹ thuật không đầy đủ hoặc không chính xác - do đó, một hệ thống phù hợp với đặc điểm kỹ thuật của nó có thể 'thất bại'
từ quan điểm của người sử dụng hệ thống
Hơn nữa, người dùng don 't đọc thông số kỹ thuật để don' t biết làm thế nào hệ thống có nghĩa vụ phải cư xử
Do đó nhận thức được độ tin cậy là quan trọng hơn trong thực tế
Nhận thức về sự sẵn có
Tính khả dụng thường được thể hiện bằng một phần trăm thời gian
mà hệ thống có sẵn để cung cấp các dịch vụ, ví dụ như 99,95%
Tuy nhiên, điều này không tính đến hai yếu tố:
Số người dùng bị ảnh hưởng bởi dịch vụ ngừng hoạt động Mất dịch vụ vào giữa đêm ít quan trọng đối với nhiều hệ thống hơn là mất dịch
vụ trong thời gian sử dụng cao điểm
Chiều dài cúp điện Cúp càng lâu, càng làm gián đoạn Một
số cúp điện ngắn ít có khả năng làm gián đoạn hơn 1 cúp điện dài Thời gian sửa chữa dài là một vấn đề cụ thể
Trang 7Những điểm chính
Các tin cậy trong một hệ thống phản ánh sự tin tưởng của người sử
dụng trong hệ thống đó
Cậy là một thuật ngữ dùng để mô tả một tập hợp các quan hệ
'không hoạt động' thuộc tính - tính sẵn sàng, độ tin cậy, an toàn và an ninh
Tính sẵn có của một hệ thống là xác suất mà nó sẽ có sẵn để cung
cấp dịch vụ khi có yêu cầu
Độ tin cậy của hệ thống là xác suất mà hệ thống dịch vụ sẽ được
cung cấp theo quy định
Bài giảng 6 - An ninh và tin cậy
Phần 2 Thuật ngữ đáng tin cậy
Lỗi của con
người
sai lầm
Hành vi của con người dẫn đến việc đưa các lỗi vào hệ thống Ví dụ, trong hệ thống thời tiết nơi hoang dã, một lập trình viên có thể quyết định rằng cách tính thời gian cho lần truyền tiếp theo là thêm 1 giờ vào thời điểm hiện tại Công việc này ngoại trừ khi thời gian truyền giữa 23:00 và nửa đêm (nửa đêm
là 00:00 trong đồng hồ 24 giờ)
Lỗi hệ thống Một đặc điểm của một hệ thống phần mềm có thể dẫn đến
lỗi hệ thống Lỗi là sự bao gồm của mã để thêm 1 giờ vào thời gian truyền cuối cùng, mà không kiểm tra nếu thời gian lớn hơn hoặc bằng 23,00
Lỗi hệ thống Một trạng thái hệ thống sai lầm có thể dẫn đến hành vi hệ
thống mà người sử dụng hệ thống không mong đợi Giá trị của thời gian truyền được cài không chính xác (đến 24.XX hơn là 00.XX) khi mã lỗi được thực hiện
Lỗi hệ thống Sự kiện xảy ra tại một thời điểm nào đó khi hệ thống không
cung cấp dịch vụ như mong đợi của người dùng Không có dữ liệu thời tiết được truyền vì thời gian không hợp lệ
Lỗi và thất bại
Thất bại thường là kết quả của các lỗi hệ thống có nguồn gốc từ lỗi
trong hệ thống
Tuy nhiên, lỗi không nhất thiết dẫn đến lỗi hệ thống
Các trạng thái hệ thống có sai sót do lỗi có thể thoáng qua
và 'điều chỉnh' trước một lỗi phát sinh
Mã lỗi có thể không bao giờ được thực hiện
Lỗi không nhất thiết dẫn đến lỗi hệ thống
Trang 8 Lỗi này có thể được khắc phục bằng cách phát hiện và phục hồi lỗi tích hợp
Sự thất bại có thể được bảo vệ bởi các cơ sở bảo vệ được xây dựng sẵn Ví dụ, chúng có thể bảo vệ tài nguyên hệ thống khỏi lỗi hệ thống
Một hệ thống như là một ánh xạ đầu vào / đầu ra
Mẫu sử dụng phần mềm
Độ tin cậy khi sử dụng
Loại bỏ X% lỗi trong hệ thống sẽ không nhất thiết cải thiện độ tin cậy của X% Một nghiên cứu tại IBM cho thấy loại bỏ 60% các khuyết tật sản phẩm dẫn đến một sự cải thiện 3% trong độ tin cậy
Các khuyết tật của chương trình có thể ở những đoạn hiếm khi thực hiện của mã vì vậy người dùng có thể không gặp phải Loại bỏ những không ảnh hưởng đến độ tin cậy nhận thức
Người dùng thích ứng với hành vi của họ để tránh các tính năng hệ thống có thể không thành công cho họ
Trang 9 Một chương trình với lỗi được biết đến có thể do đó vẫn được coi
là đáng tin cậy bởi người sử dụng
Thành tích đáng tin cậy
Tránh lỗi
Kỹ thuật phát triển được sử dụng mà một trong hai giảm thiểu khả năng xảy ra sai sót, nhầm lẫn bẫy trước khi họ dẫn đến sự ra đời của lỗi hệ thống
Phát hiện lỗi và gỡ bỏ
Kỹ thuật trắc nghiệm và kiểm đó tăng khả năng phát hiện và sửa chữa lỗi trước khi hệ thống đi vào hoạt động được sử dụng
Khả năng chịu lỗi
Kỹ thuật Run-time được sử dụng để đảm bảo rằng lỗi hệ thống không gây
ra lỗi hệ thống và / hoặc lỗi hệ thống không dẫn đến lỗi hệ thống
An toàn
An toàn là một thuộc tính của một hệ thống phản ánh hệ thống 'khả năng để hoạt động bình thường hay bất thường, mà không có gây ảnh hưởng tới con người và không có thiệt hại cho hệ thống' môi trường
Điều quan trọng là phải xem xét an toàn phần mềm như hầu hết các thiết bị mà thất bại là rất quan trọng bây giờ kết hợp hệ thống điều khiển dựa trên phần mềm
Yêu cầu an toàn thường yêu cầu độc quyền tức là họ loại trừ những tình huống không mong muốn chứ không phải là chỉ định các dịch vụ hệ thống yêu cầu Điều này tạo ra các yêu cầu về an toàn chức năng
Mức độ an toàn
Các hệ thống an toàn sơ cấp
Hệ thống phần mềm nhúng có thất bại có thể gây ra các phần cứng liên quan đến thất bại và trực tiếp đe dọa người dân Ví dụ là hệ thống điều khiển bơm insulin
Các hệ thống quan trọng thứ yếu an toàn
Hệ thống mà kết quả thất bại trong các khe nứt trong các hệ thống khác (kỹ thuật-xã hội), sau đó có thể có những hậu quả an toàn Ví dụ, MHC-PMS là an toàn-quan trọng vì thất bại có thể dẫn đến điều trị không thích hợp được quy định
An toàn và tin cậy
An toàn và độ tin cậy có liên quan nhưng khác biệt
Nói chung, độ tin cậy và tính sẵn sàng là cần thiết nhưng không đủ điều kiện để đảm bảo an toàn hệ thống
Trang 10 Độ tin cậy liên quan đến sự phù hợp với một đặc điểm kỹ thuật nhất định và cung cấp dịch vụ
An toàn liên quan đến việc bảo đảm hệ thống không thể gây ra
Hay không nó phù hợp với đặc tả của nó
Hệ thống đáng tin cậy không an toàn
Có thể có những lỗi không hoạt động trong một hệ thống không bị phát hiện trong nhiều năm và hiếm khi xảy ra
lỗi đặc điểm kỹ thuật
Nếu thông số kỹ thuật hệ thống là không chính xác thì hệ thống có thể hoạt động như quy định nhưng vẫn gây ra một tai nạn
Lỗi phần cứng tạo ra các đầu vào spurious
Khó dự đoán trong đặc tả
Các lệnh nhạy cảm theo ngữ cảnh tức là ban hành đúng lệnh ở sai thời gian
Thường thì kết quả khai thác lỗi
Thuật ngữ an toàn
Tai nạn ( rủi ro) Sự kiện hoặc chuỗi sự kiện không có kế hoạch dẫn
đến tử vong hoặc thương tật của con người, thiệt hại về tài sản hoặc đối với môi trường Quá liều insulin là một
ví dụ của một tai nạn
Nguy hiểm Một tình trạng có khả năng gây ra hoặc góp phần
gây ra tai nạn Sự thất bại của cảm biến đo lượng đường trong máu là một ví dụ về mối nguy hiểm
Hư hại Một biện pháp của sự mất mát do tai nạn Thiệt hại
có thể bao gồm từ nhiều người bị thiệt mạng do tai nạn gây thương tích nhẹ hoặc thiệt hại về tài sản Thiệt hại
do dùng quá liều insulin có thể là tổn thương nghiêm trọng hoặc tử vong của người sử dụng bơm insulin Mức độ nguy hiểm Một đánh giá thiệt hại tồi tệ nhất có thể là kết quả
của một mối nguy hiểm đặc biệt Mức độ nghiêm trọng của nguy cơ có thể là từ thảm hoạ, nơi mà nhiều người bị giết, đến trẻ vị thành niên, chỉ có những thiệt hại nhỏ Khi một người chết là một khả năng, một đánh giá hợp lý
về mức độ nguy hiểm là 'rất cao'
Xác suất nguy
hiểm
Xác suất của các sự kiện xảy ra gây nguy hiểm Giá trị xác suất có khuynh hướng tùy ý nhưng dao động