Bài giảng 7 - Tính tin cậy và đặc điểm kỹ thuật bảo mật Phần 1 Chủ đề được bảo vệ Đặc tả rủi ro Đặc điểm an toàn Đặc tả an ninh Đặc tả độ tin cậy phần mềm Yêu cầu độ tin cậy Yêu
Trang 1Bài giảng 7 - Tính tin cậy và đặc điểm kỹ thuật bảo mật
Phần 1 Chủ đề được bảo vệ
Đặc tả rủi ro
Đặc điểm an toàn
Đặc tả an ninh
Đặc tả độ tin cậy phần mềm
Yêu cầu độ tin cậy
Yêu cầu chức năng để xác định kiểm tra và phục hồi cơ sở lỗi và bảo vệ chống lại lỗi hệ thống
Yêu cầu phi chức năng xác định độ tin cậy cần thiết và tính sẵn sàng của
hệ thống
Trừ yêu cầu xác định trạng thái và điều kiện mà không phải phát sinh
Đặc tả rủi ro
Hệ thống quan trọng đặc điểm kỹ thuật nên rủi ro driven-
Cách tiếp cận này đã được sử dụng rộng rãi trong các hệ thống an toàn và
an ninh quan trọng
Mục đích của quá trình đặc điểm kỹ thuật nên để hiểu những rủi ro (an toàn, an ninh, vv) phải đối mặt bởi hệ thống và xác định yêu cầu làm giảm những rủi ro này
Các giai đoạn của phân tích dựa trên rủi ro
xác định rủi ro
Xác định những rủi ro có thể phát sinh
Phân tích và phân loại rủi ro
Đánh giá mức độ nghiêm trọng của mỗi rủi ro
Phân rã nguyên nhân rủi ro
Phân tích rủi ro để khám phá nguyên nhân gốc rễ tiềm ẩn của rủi ro
Đánh giá giảm thiểu rủi ro -
Xác định như thế nào mỗi rủi ro phải được loại bỏ hoặc giảm khi hệ thống được thiết kế
Rủi ro theo định hướng đặc điểm kỹ thuật
Trang 2Phân tích rủi ro theo từng giai đoạn
Xác định các rủi ro từ môi trường hệ thống Mục đích là để phát triển một thiết lập ban đầu về an ninh và độ tin cậy yêu cầu hệ thống
phân tích rủi ro vòng đời
Xác định những rủi ro xuất hiện trong quá trình thiết kế và phát triển, ví
dụ như các rủi ro liên quan đến các công nghệ dùng cho xây dựng hệ thống Yêu cầu được mở rộng để bảo vệ chống lại những rủi ro này
Phân tích rủi ro hoạt động
Các Rủi ro liên quan đến giao diện người dùng hệ thống và lỗi của nhà điều hành Yêu cầu bảo vệ hơn nữa có thể được bổ sung vào đối phó với những
Đặc điểm kỹ thuật an toàn
Mục đích là để xác định yêu cầu bảo vệ để đảm bảo rằng lỗi hệ thống không gây chấn thương hoặc tử vong hoặc thiệt hại về môi trường
xác định Rủi ro, xác định nguy hiểm
Đánh giá rủi ro phân tích
Phân tích nguy hiểm
Giảm rủi ro
Xác định nguy cơ
Xác định các mối nguy hiểm nào có thể đe dọa đến hệ thống
Nhận dạng nguy hiểm có thể dựa trên các loại nguy hiểm khác nhau:
Mối nguy về hệ thống vật lý
Mối nguy hiểm liên quan đến Điện
Mối nguy hiểm sinh học
Dịch vụ thất bại
Nguy cơ rủi ro ro tiêm insulin
Quá liều insulin (thất bại dịch vụ
Nhiễm độc Insulin (thất bại dịch vụ)
Trang 3 Mất điện do pin cạn kiệt (điện)
Nhiễu điện với thiết bị y tế khác (điện)
Cảm biến kém và tiếp xúc thiết bị truyền động (vật lý)
Các bộ phận của máy vỡ ra trong cơ thể (vật lý)
Nhiễm trùng do giới thiệu của máy (sinh học)
Phản ứng dị ứng với thành phần hoặc insulin (sinh học)
Đánh giá rủi ro- đánh giá rủi ro
Quá trình này là có liên quan với sự hiểu biết khả năng một nguy cơ sẽ xảy ra và hậu quả tiềm năng nếu một tai nạn hay sự cố nếu có
Rủi ro có thể được phân loại như sau:
Phải không bao giờ nảy sinh hoặc gây ra một tai nạn
Thấp như thực tế hợp lý (ALARP) Phải giảm thiểu rủi ro với chi phí và thời gian ràng buộc
Chấp nhận được Hậu quả của rủi ro được chấp nhận và không có chi phí phụ trội nên được phát sinh để giảm khả năng nguy hiểm
Tam giác nguy hiểm
Khả năng chấp nhận rủi ro của xã hội - khả năng chấp nhận rủi ro ro
Khả năng chấp nhận một rủi ro được xác định bởi các đặc điểm của con người, xã hội và chính trị
Trong hầu hết các xã hội, ranh giới giữa các vùng được đẩy lên với xã hội thời gian tức là ít sẵn sàng chấp nhận rủi ro
Ví dụ, chi phí để làm sạch ô nhiễm có thể ít hơn chi phí để ngăn ngừa nó nhưng điều này có thể không được xã hội chấp nhận
Đánh giá rủi ro là do chủ Quan
Rủi ro được xác định là có thể xảy ra, không, vv Điều này phụ thuộc vào những người đang làm việc đánh giá
Trang 4đánh giá rủi ro
Ước tính xác suất rủi ro và mức độ nghiêm trọng có nguy cơ
Nó không phải là bình thường có thể làm giá trị chính xác nên tương đối
này được sử dụng như 'không', 'hiếm', 'rất cao', vv
Mục đích phải để loại trừ rủi ro có khả năng phát sinh hoặc có mức độ
nghiêm trọng cao
Phân loại rủi ro đối với các máy bơm insulin
Nguy cơ đã xác
định
Xác suất nguy hiểm
Mức độ nghiêm trọng của tai nạn
Nguy cơ ước tính
Chấp nhận được
1.Liệu lại quá
liều
Trung bình
khoan dung
2 Tính toán
Insulin underdose
Trung bình
nhận được
3 Thất bại của
hệ thống giám sát
phần cứng
Trung bình
Trung bình Thấp
ALARP
nhận được
5 Máy không
được lắp đúng
khoan dung
6 Nghỉ máy
bệnh nhân
7 Máy gây
nhiễm trùng
Trung bình
9 Phản ứng dị
ứng
nhận được
Phân tích nguy hiểm
Quan tâm đến việc khám phá ra nguyên nhân gốc rễ của những rủi ro
trong một hệ thống cụ thể
Kỹ thuật đã được chủ yếu có nguồn gốc từ hệ thống an toàn quan trọng và
có thể
Kỹ thuật quy nạp, từ dưới lên Bắt đầu với một lỗi hệ thống được đề xuất
và đánh giá các rủi ro có thể phát sinh từ sự thất bại đó;
Kỹ thuật trừ đi, từ trên xuống Bắt đầu với một mối nguy hiểm và suy ra
nguyên nhân của việc này
Trang 5Phân tích lỗi
Một suy luận từ trên xuống kỹ thuật
Đặt rủi ro hoặc nguy hiểm ở thư mục gốc của cây và xác định các trạng thái hệ thống có thể dẫn đến nguy hiểm đó
Khi thích hợp, liên kết này với 'và' hoặc 'hoặc' điều kiện
Một mục tiêu nên được để giảm thiểu số lượng các nguyên nhân duy nhất của lỗi hệ thống
Một ví dụ về một cây lỗi phần mềm
Phân tích cây lỗi
Ba điều kiện có thể có thể dẫn đến cung cấp các liều không đúng insulin
Đo không đúng mức đường trong máu
Thất bại của hệ thống phân phối
Liều được phân phối sai thời gian
Bằng cách phân tích cây lỗi, nguyên nhân gốc rễ của những mối nguy hiểm liên quan đến phần mềm là:
Lỗi thuật toán
Lỗi số học
Giảm rủi ro
Mục đích của quá trình này là xác định các yêu cầu độ tin cậy để định rõ các rủi ro cần được quản lý và đảm bảo rằng tai nạn / sự cố không xảy ra
các chiến lược giảm thiểu rủi ro
Tránh rủi ro;
Phát hiện nguy cơ và loại bỏ;
Hạn chế thiệt hại
Sử dụng Chiến lược
Trang 6Thông thường, trong các hệ thống quan trọng, một sự pha trộn của các chiến lược giảm thiểu rủi ro được sử dụng
Trong một hệ thống điều khiển nhà máy hóa chất, hệ thống sẽ bao gồm các cảm biến để phát hiện và sửa chữa áp lực dư thừa trong các lò phản ứng Tuy nhiên, nó cũng bao gồm một hệ thống bảo vệ độc lập mở van giảm áp nếu phát hiện áp lực cao nguy hiểm
Rủi ro phần mềm khi bơm Insulin
Lỗi số học
Một tính toán gây ra giá trị của một biến để tràn hoặc tràn xuống;
Có thể bao gồm một trình xử lý ngoại lệ cho mỗi loại lỗi số học
Lỗi thuật toán
So sánh liều dùng với liều trước hoặc liều tối đa an toàn Giảm liều nếu quá cao
Ví dụ về các yêu cầu về an toàn
SR1: Hệ thống sẽ không cung cấp một liều duy nhất insulin có nghĩa là
lớn hơn một liều tối đa quy định cho một người sử dụng hệ thống Hthg này k
đc tiêm insulin lớn hơn lượng insulin tối đa
SR2: Hệ thống sẽ không cung cấp một liều tích lũy hàng ngày của insulin
có nghĩa là lớn hơn một liều hàng ngày tối đa quy định cho một người sử dụng
hệ thống
SR3: Hệ thống sẽ bao gồm một cơ sở chẩn đoán phần cứng mà phải được
thực hiện ít nhất bốn lần mỗi giờ
SR4: Hệ thống sẽ bao gồm một trình xử lý ngoại lệ cho tất cả các trường
hợp ngoại lệ được xác định trong Bảng 3
SR5: Các báo động âm thanh được vang lên khi bất kỳ phần cứng hay
phần mềm bất thường được phát hiện và nhắn chẩn đoán, theo quy định tại Bảng 4, cá nhân được hiển thị
SR6: Trong trường hợp có báo động, giao hàng insulin sẽ bị đình chỉ cho
đến khi người dùng đã thiết lập lại hệ thống và xóa các đèn
Đặc tả độ tin cậy của hệ thống
Độ tin cậy là một thuộc tính của hệ thống có thể đo được, vì vậy các yêu cầu độ tin cậy phi chức năng có thể được xác định theo định lượng Những xác định số những thất bại có thể chấp nhận trong khi sử dụng bình thường của hệ thống hoặc thời gian trong đó hệ thống phải có sẵn
Yêu cầu độ tin cậy chức năng xác định chức năng hệ thống và phần mềm
mà tránh, phát hiện hoặc chịu đựng lỗi trong phần mềm và để đảm bảo rằng những lỗi lầm không dẫn đến lỗi hệ thống
Yêu cầu phần mềm đáng tin cậy cũng có thể được bao gồm để đối phó với lỗi phần cứng hoặc lỗi điều hành
Trang 7Quá trình đặc điểm đáng tin cậy
Xác định rủi ro
Xác định các loại lỗi hệ thống có thể dẫn đến tổn thất kinh tế
Phân tích rủi ro
Ước tính chi phí và hậu quả của các loại phần mềm thất bại
Phân rã nguy cơ
Xác định nguyên nhân gốc rễ của sự thất bại của hệ thống
Giảm rủi ro
Tạo các thông số độ tin cậy, bao gồm các yêu cầu định lượng xác định
mức độ thất bại
Các loại thất bại của hệ thống
Loại thất bại Sự miêu tả
Mất dịch vụ Hệ thống không khả dụng và không thể cung cấp dịch
vụ của mình cho người dùng Bạn có thể tách nó ra khỏi các dịch vụ quan trọng và mất các dịch vụ không quan trọng, nơi các hậu quả của sự thất bại trong các dịch vụ không quan trọng ít hơn hậu quả của sự thất bại dịch vụ quan trọng
Cung cấp dịch vụ
không chính xác
Hệ thống không cung cấp dịch vụ một cách chính xác cho người dùng Một lần nữa, điều này có thể được xác định theo các sai sót nhỏ hoặc lớn hoặc sai sót trong việc cung cấp các dịch vụ quan trọng và không quan trọng Tham nhũng hệ
thống / dữ liệu
Sự thất bại của hệ thống gây ra thiệt hại cho hệ thống chính nó hoặc dữ liệu của nó Điều này thường sẽ không nhất thiết phải kết hợp với các loại thất bại khác
Chỉ số tin cậy
Các chỉ số đo độ tin cậy là các đơn vị đo độ tin cậy của hệ thống
Độ tin cậy của hệ thống được tính bằng cách đếm số lỗi hoạt động và,
nếu phù hợp, liên quan đến các yêu cầu của hệ thống và thời gian mà hệ thống
đã hoạt động
Một chương trình đo lường lâu dài là cần thiết để đánh giá độ tin cậy của
hệ thống quan trọng
Chỉ số
Xác suất thất bại theo yêu cầu
Tỷ lệ xuất hiện thất bại / Thời gian trung bình để thất bại
khả dụng
Xác suất thất bại theo yêu cầu (POFOD)
Trang 8 Đây là xác suất mà hệ thống sẽ thất bại khi một yêu cầu dịch vụ được
thực hiện Có ích khi nhu cầu về dịch vụ liên tục và liên tục không thường
xuyên
Phù hợp với các hệ thống bảo vệ mà dịch vụ được yêu cầu thỉnh thoảng
và nơi có hậu quả nghiêm trọng nếu dịch vụ không được cung cấp
Có liên quan đến nhiều hệ thống an toàn với các thành phần quản lý
ngoại lệ
Hệ thống ngắt khẩn cấp trong một nhà máy hóa chất
Tỷ lệ lỗi xảy ra (ROCOF)
Phản ánh tỷ lệ xuất hiện của sự thất bại trong hệ thống
ROCOF của 0.002 có nghĩa là có 2 lỗi trong mỗi 1000 đơn vị thời gian
hoạt động, ví dụ như 2 thất bại trên mỗi 1000 giờ hoạt động
Thích hợp cho các hệ thống mà hệ thống phải xử lý một số lượng lớn các
yêu cầu tương tự trong một thời gian ngắn
Hệ thống xử lý thẻ tín dụng, hệ thống đặt phòng hãng hàng không
Đối ứng của ROCOF là Thời gian trung bình để Thất bại (MTTF)
Có liên quan cho các hệ thống với các giao dịch lâu dài, ví dụ như khi
việc xử lý hệ thống mất nhiều thời gian (ví dụ như các hệ thống CAD) MTTF
phải dài hơn kỳ vọng giao dịch dự kiến
khả dụng
Đo lường phần thời gian mà hệ thống có sẵn để sử dụng
Cố định thời gian sửa chữa và khởi động lại
Khả dụng của 0.998 có nghĩa là phần mềm có sẵn cho 998 trong số 1000
đơn vị thời gian
Có liên quan đến các hệ thống liên tục không ngừng, liên tục
Hệ thống chuyển mạch điện thoại, hệ thống báo hiệu đường sắt
Tính khả dụng
khả dụng Giải trình
0,9 Hệ thống có sẵn trong 90% thời gian Điều này có nghĩa là,
trong khoảng thời gian 24 giờ (1.440 phút), hệ thống sẽ không có trong 144 phút
0,99 Trong khoảng thời gian 24 giờ, hệ thống không khả dụng trong
14,4 phút
0,999 Hệ thống không khả dụng trong 84 giây trong khoảng thời gian
24 giờ
0,9999 Hệ thống không khả dụng trong 8,4 giây trong khoảng thời gian
24 giờ Khoảng một phút mỗi tuần
Hậu quả thất bại
Khi xác định độ tin cậy, nó không chỉ là số lượng lỗi hệ thống mà vấn đề
mà là hậu quả của những thất bại
Trang 9 Những thất bại có hậu quả nghiêm trọng rõ ràng là gây thiệt hại nhiều hơn những nơi sửa chữa và phục hồi là đơn giản
Trong một số trường hợp, do đó, có thể xác định các đặc tả độ tin cậy khác nhau cho các loại lỗi khác nhau
Tính vượt quá độ tin cậy
Tính vượt trội của độ tin cậy là một tình huống mà độ tin cậy cao được xác định nhưng nó không phải là chi phí có hiệu quả để đạt được điều này
Trong nhiều trường hợp, việc chấp nhận và đối phó với những thất bại ít tốn kém hơn là tránh xảy ra
Để tránh quá đặc tả
Xác định yêu cầu độ tin cậy đối với các loại lỗi khác nhau Nhược điểm nhỏ có thể chấp nhận được
Chỉ định riêng các yêu cầu đối với các dịch vụ khác nhau Các dịch vụ quan trọng cần phải có yêu cầu độ tin cậy cao nhất
Quyết định có hay không độ tin cậy cao thực sự cần thiết hoặc nếu mục tiêu đáng tin cậy có thể đạt được bằng một số cách khác
Các bước để đảm bảo độ tin cậy
Đối với mỗi hệ thống con, hãy phân tích hậu quả của các lỗi hệ thống có thể xảy ra
Từ việc phân tích lỗi hệ thống, phân vùng bị lỗi thành các lớp thích hợp
Đối với mỗi loại thất bại được xác định, hãy xác định độ tin cậy bằng cách sử dụng một số liệu thích hợp Các số liệu khác nhau có thể được sử dụng cho các yêu cầu độ tin cậy khác nhau
Xác định yêu cầu độ tin cậy về chức năng để giảm nguy cơ thất bại quan trọng
Đặc điểm bơm Insulin
Xác suất thất bại (POFOD) là thước đo thích hợp nhất
Thất bại tạm thời có thể được sửa chữa bởi hành động của người dùng như hiệu chuẩn lại máy Một giá trị tương đối thấp của POFOD là chấp nhận được (nói 0,002) - một trong những thất bại có thể xảy ra trong mỗi 500 nhu cầu
Mất lỗi vĩnh viễn yêu cầu phần mềm phải được cài đặt lại bởi nhà sản xuất Điều này sẽ xảy ra không quá một lần trong năm POFOD cho tình huống này nên nhỏ hơn 0.00002
Yêu cầu độ tin cậy về chức năng
Kiểm tra các yêu cầu xác định kiểm tra để đảm bảo rằng dữ liệu không chính xác được phát hiện trước khi nó dẫn đến sự thất bại
Yêu cầu phục hồi được hướng để giúp hệ thống phục hồi sau khi xảy ra
sự cố
Yêu cầu dự phòng cần xác định tính năng dự phòng của hệ thống
Quy trình yêu cầu độ tin cậy xác định quy trình phát triển sẽ được sử dụng cũng có thể được đưa vào
Ví dụ về yêu cầu độ tin cậy về chức năng cho MHC-PMS
Trang 10RR1: Một loạt được xác định trước cho tất cả các đầu vào khai thác sẽ
được xác định và hệ thống sẽ kiểm tra xem tất cả các đầu vào điều hành nằm trong phạm vi được xác định trước này (Kiểm tra)
RR2: Bản sao của cơ sở dữ liệu bệnh nhân sẽ được duy trì trên hai máy
chủ riêng biệt mà không được đặt trong cùng tòa nhà (Phục hồi, dư thừa)
RR3: N-phiên bản lập trình được sử dụng để thực hiện hệ thống kiểm soát
phanh (Dư)
RR4: Hệ thống phải được thực hiện trong một tập hợp con an toàn của
Ada và kiểm tra sử dụng phân tích tĩnh (Quá trình)
Đặc tả an ninh
Đặc điểm kỹ thuật an ninh có một điểm chung với yêu cầu an toàn đặc điểm kỹ thuật - trong cả hai trường hợp, mối quan tâm của bạn là để tránh điều xấu xảy ra
Bốn sự khác biệt lớn
Vấn đề an toàn là tình cờ - phần mềm không hoạt động trong một môi trường thù địch Trong an ninh, bạn phải giả định rằng kẻ tấn công có kiến thức
về những điểm yếu của hệ thống
Khi sự cố an toàn xảy ra, bạn có thể tìm nguyên nhân gốc hoặc điểm yếu dẫn đến thất bại Khi thất bại là kết quả của một cuộc tấn công cố ý, kẻ tấn công có thể che giấu nguyên nhân của sự thất bại
Tắt một hệ thống có thể tránh được sự thất bại về an toàn Gây ra sự đóng cửa có thể là mục tiêu của cuộc tấn công
Các sự kiện liên quan đến an toàn không được tạo ra từ một kẻ thù thông minh Một kẻ tấn công có thể thăm dò các phòng thủ theo thời gian để khám phá những điểm yếu
Các loại yêu cầu bảo mật
Yêu cầu nhận dạng
Yêu cầu chứng thực
Yêu cầu ủy quyền
Yêu cầu miễn nhiễm
Yêu cầu về tính toàn vẹn
Yêu cầu phát hiện xâm nhập
Yêu cầu không từ chối
Yêu cầu bảo mật
Yêu cầu kiểm toán an ninh
Bảo trì hệ thống yêu cầu bảo mật
Quá trình đánh giá rủi ro sơ bộ cho các yêu cầu về an ninh