软件工程课件 09关键系统规格说明

关键系统规格说明CriticalSystemsSpecification关键系统规格说明开发一个系统可获性，可靠性，安全性和保密性的规格说明的过程和技术（Processesandtechniquesfordevelopingaspecificationforsystemavailability,reliability,safetyandsecurity）Objectives说明如何通过分析关键系统所面临的风险来识别出系统的可信度需求。说明如何从系统的风险分析中获得安全需求。解释保密性需求的来历。描述用作可靠性规格说明的测量尺度。Topicscovered基于风险驱动的规格说明安全性规格说明保密性规格说明软件可靠性规格说明可信度需求用功能需求来定义差错检查、恢复工具和对系统失效的防范措施。用非功能需求来定义系统所需要的可获性和可靠性。用排它需求来定义千万不能发生的状态和条件。基于风险驱动的规格说明关键系统的规格说明应该是由风险驱动的（risk-driven）。该方法已经在安全和保密性至关重要的系统上广泛使用。规格说明过程的目标应该在于了解系统所面临的风险以及说明降低这些风险的需要做的事情。风险分析的步骤风险识别（Riskidentification）识别出可能发生的潜在风险。风险分析和分类（Riskanalysisandclassification）评估每个风险的严重程度风险分解（Riskdecomposition）找出风险的潜在根源降低风险评估（Riskreductionassessment）说明在系统设计阶段如何消除和降低每一个风险。基于风险的规格说明风险识别识别出关键系统所面临的风险。在安全性关键的系统中，风险就是那些能够导致意外的危险。在保密性关键的系统中，风险就是那些对系统的潜在攻击。在风险识别中，需要识别出风险的类型及风险在这些分类中的地位服务失效；电气上的风险；…胰岛素泵的风险胰岛素过量（服务失效）。胰岛素剂量不足（服务失效）。由于电池耗尽引起的电源故障（电气的）与其它医疗设备的电气接口（电气的）。传感器和致动器的接触很差（物理的）。在体内的机器部件脱落（物理的）。由于引入机器而导致感染（生物的）。对原料或胰岛素的过敏反应（生物的）。风险分析和分类包含对发生一个风险的可能性以及对将要发生的一个意外或事故的潜在后果的理解把风险分类为：不可接受的（Intolerable）。必须不能让它发生或不能让它引起一个意外。在实际许可下尽可能低的（ALARP）。在给定成本和进度的限制下，必须使风险的可能性降到最小。可以接受的（Acceptable）。风险的后果是可以接受的，并且不需要付出额外的成本来降低危险的可能性。风险级别UnacceptableregionRiskcannotbetoleratedRisktoleratedonlyifriskreductionisimpracticalorgrosslyexpensiveAcceptableregionNegligibleriskALARPregion风险的社会接受度一个风险的接受度是被社会和政治的因素所左右的。在大多数社会而言，随着时间的推移，上面的三角形区域中的两条边界会逐渐向上靠，也就是说，社会越来越不愿意接收风险例如，虽说清除污染的成本可能会小于预防成本，但这可能不为社会所接受。风险评估是主观的风险被认定为类似于“大概的”，“可能的”等等。这取决于由谁来进行评估。风险评估评估风险的可能性和严重程度。通常不可能很精确，因此用一些相对值表达，例如“不太可能的”、“很少的”、“很高的”等等。目标是排除那些最有可能发生的或者是后果严重的风险。胰岛素泵的风险评估IdentifiedhazardHazardprobabilityHazardseverityEstimatedriskAcceptability1.InsulinoverdoseMediumHighHighIntolerable2.InsulinunderdoseMediumLowLowAcceptable3.PowerfailureHighLowLowAcceptable4.MachineincorrectlyfittedHighHighHighIntolerable5.MachinebreaksinpatientLowHighMediumALARP6.MachinecausesinfectionMediumMediumMediumALARP7.ElectricalinterferenceLowHighMediumALARP8.AllergicreactionLowLowLowAcceptable风险分解（decomposition）在一个特定的系统里，找出风险的主要原因（rootcauses）技术大多来源于安全性关键的系统，并可以是：归纳法（Inductive），自下而上的技术。从提出的一个系统失效开始，评估由该失效可能导致的危险。演绎法（Deductive），自上而下的技术。以一个危险为起点，推断出可能引起它原因是什么。失误-树（Fault-tree）分析一种自上而下的演绎法技术。把风险或危险放在树的根上，再找出可以导致该危险的系统状态。在合适的地方加入‘and’或‘or’条件。目标应该是使引起系统失效的单一原因（singlecauses）的数量降至最低。胰岛素泵的失误-树IncorrectsugarlevelmeasuredIncorrectinsulindoseadministeredorCorrectdosedeliveredatwrongtimeSensorfailureorSugarcomputationerrorTimerfailurePumpsignalsincorrectorInsulincomputationincorrectDeliverysystemfailureArithmeticerrororAlgorithmerrorArithmeticerrororAlgorithmerror降低风险的评估这个过程的目标是识别出可信度需求，即说明应该如何管理风险以及确保不会发生意外和事故。降低风险的策略（strategies）风险规避（Riskavoidance）；风险检测与排除（Riskdetectionandremoval）；危害限制（Damagelimitation）。策略应用（Strategyuse）通常在关键系统上要综合使用降低风险的策略。在一个化工厂的控制系统中，它含有检测和校正反应器过压的传感器。然而，它也含有一个单独的保护系统，以便在检测到危险高压后打开某个安全阀（reliefvalve）。胰岛素泵的软件风险算术误差（Arithmeticerror）一个计算导致一个变量值上溢（overflow）和下溢（underflow）；可能包含一个对每类算术误差的例外句柄（exceptionhandler）。算法误差（Algorithmicerror）把将要分发的剂量与前次剂量或与安全最小剂量进行比较。如果剂量太高则要降低它。胰岛素泵的安全需求SR1：每次注射剂量不能超过系统用户的指定最大量。SR2：每天注射的累计剂量不能超过系统用户的指定最大量。SR3：系统应该含有一个硬件诊断设施，每小时至少执行4次。SR4：系统应该含有一个可以针对所有已经识别的例外的处理程序。SR5：当发现任何硬件和软件的异常以及收到诊断信息的时候，发出声音警报。SR6：在系统警报时，胰岛素注射应该中止，直到用户消除警报和进行系统复位为止。安全性规格说明一个系统的安全性需求应该分别进行说明。这些需求应该建立在对风险和对可能发生的危险的分析基础上。安全性需求通常被应用于一个系统的整体而不是个别的子系统。在系统工程术语中，一个系统的安全性是一种自然特性（emergentproperty）。国际电工委员会标准(IEC61508)是一项专门为保护系统而设计的安全管理国际标准，它并不适用于所有的安全性关键的系统。它结合了一个安全生命周期模型，涵盖了从范围定义到系统退役的所有安全管理的方面。控制系统的安全需求©IanSommerville2000DependablesystemsspecificationSlide26安全生命周期安全性需求功能安全性需求（Functionalsafetyrequirements）这些需求定义了保护系统的安全功能，即定义了系统应该提供什么样的保护。安全完整性需求（Safetyintegrityrequirements）这些需求定义了保护系统的可获性和可靠性。它们以预期的用法为基础并且采用从一至四个安全完整性级别进行分类。保密性规格说明与安全性规格说明有些相似对保密性需求进行定量规格说明是不可能的；需求常常用“不应该”而不是用“应该”来描述。差别对一个保密性管理的生命周期还没有定义完备的观念。它没有标准；只有一般性的威胁而没有系统特定的危险；具有成熟的保密技术（加密，等等）。然而，当把这些技术转化到一般性的用途上的时候就会出现问题；单独的供应商（微软）的主导地位意味着大量的系统可能会受到保密性失效的影响。保密性规格说明过程保密性规格说明步骤财产识别和估值识别出财产（数据和程序）和它们所需要的保护程度。保护程度依赖于财产的价值，因此一个密码文件要比一组公共网页更有价值。威胁分析和风险评估要识别出可能发生的保密性威胁，并要估计到与每个这种威胁有关的风险。威胁分配把已经识别的威胁与财产联系起来，这样就可以就每个已经识别的财产列出一张与威胁关联的表格。Stagesinsecurityspecification技术分析对获得的保密技术及其是否可用在识别出的威胁上进行评估。保密性需求规格说明要对保密性需求进行规格说明。在规格说明中适当的地方，要明确解释保密技术用在保护系统免受各种不同威胁的作用。保密性需求的种类Identificationrequirements.识别需求。Authenticationrequirements.鉴定需求。Authorizationrequirements.授权需求。Immunityrequirements.免疫需求（抗病毒性）。Integrityrequirements.完整性需求。Intrusiondetectionrequirements.侵入检测需求。Non-repudiationrequirements.非否定需求。Privacyrequirements.隐匿需求。Securityauditingrequirements.保密审计需求。Systemmaintenancesecurityrequirements.系统维护保密性需求。LIBSYS保密性需求SEC1:Allsystemusersshallbeidentifiedusingtheirlibrarycardnumberandpersonalpassword.SEC2:Usersprivilegesshallbeassignedaccordingtotheclassofuser(student,staff,librarystaff).SEC3:Beforeexecutionofanycommand,LIBSYSshallcheckthattheuserhassufficientprivilegestoaccessandexecutethatcommand.SEC4:Whenauserordersadocument,theorderrequestshallbelogged.Thelogdatamaintainedshallincludethetimeoforder,theuserÕsidentificationandthearticlesordered.SEC5:Allsystemd