闲话安全关键系统系统(五)
2 _% d% j- S. l9 b9 H2 x3 v2 l D
9 |& P+ H# `" [任何理论的发展最终到实际中都要以某种形式固定下来,这些形式的东西,术语称之为“过程”。比如软件开发过程、项目管理过程等等。$ l) l% }- f4 T f( E' f
安全系统也不例外,它也有一个过程,我们称为“安全过程”,更时髦一点,叫“安全生命周期”。! E6 Q; r P1 j t4 o+ \
: m' y' b3 Q* L( ?3 p: V9 ?
如果你对软件开发很熟悉,那么这些概念并不陌生,常见的软件生命周期模型有瀑布模式,螺旋模型,V模型。一般来说,从V&V的角度看,V模型更合适。我们也可以对照V模型,把安全生命周期套用一下。如下图所示。* W' B p) q$ {% v6 @
: X9 u$ F# Z# N' S
图1. 安全生命周期与系统开发生命周期示意图
& `+ P8 @: j/ b! ~2 W" g + ^) y; t K! a7 X: P% V
) W4 a; |) Q( s5 k, |- e+ {$ T
对于开发安全系统来说,这两个过程是相互关联和相互影响的,不过现实中,往往只是重视了开发过程的生命周期,而把安全生命周期忽略了,或者认为在开发过程中嵌入一些安全生命周期的内容就可以了,这些都是不正确的方法。严格来说,安全生命周期要有一个独立的团队来完成,通常意义上的软件工程师或硬件工程师是不能胜任这个工作的,需要安全工程师这个重要的角色。( j# {/ b5 J H8 O& q3 j) Z, z
上图中的系统开发过程中的活动的含义和内容你很容易google到,这里就不废话了。我们说说与之对应的安全生命周期中的相关活动。7 N9 P* n, A1 V( b5 Y; P: O6 r
( v$ I/ [* `) v9 H安全生命周期包括6个阶段:
3 P; T2 E# K( Y4 F' B( l1.危害识别(Hazard Identification)3 c+ R+ ^% u( `* n
安全系统开发一开始,就要考虑如何识别基本的危害。开发人员要管理、消除这些危害,并在整个系统开发过程中进行记录。危害的记录一般采用危害列表或危害日志的形式。这些危害往往是通过对开发阶段中需求分析或规格进行研究得到的。
5 \# r M7 [9 j' |1 E' U& b! g, B6 k. e: c+ U5 d9 M% T* _
2.风险评估(Risk Assessment): u+ C! Z7 a! X# e" P. J
风险评估阶段要对识别出的危害进行研究,确定它们的严重程度和可能性。根据安全标准的不同,这个阶段采用的方法也有所不同。这个阶段是产生系统安全需求的源头,而且产生的安全需求对软硬件需求和设计也存在影响。风险评估的一个重要概念就是“可容忍的风险”(tolerable risk)。达到可容忍的分析的一个方法就是把风险降低到尽可能的小(ALARP原则,还记得我们第三讲中提到的这个概念吗?)。
3 N& p/ `3 X' P- J# n! b0 c" e' ~! s, L
3.初步系统安全评估(Preliminary System Safety Assessment, PSSA)2 |: V3 M0 U7 n7 f( W) s3 ]& _
PSSA要对系统体系结构进行系统的评估来确定失效是如何导致已识别的危害。这个阶段你可以使用FTA或FMEA或HAZOP这些方法。这个过程有助于确认系统设计是否满足安全需求,也有助于更准确的阐述安全需求。这个阶段对软硬件体系结构和设计都有影响。1 B$ f# h+ ^2 S% L
4 m* G: f5 T$ {/ e! h
4.共因分析(Common Cause Analysis, CCA)
: W! |" r) b4 `) T5 V9 q事实上,共因分析在整个系统开发过程中都是要做的。CCA主要是为了识别功能的独立性或功能之间的依赖关系。一般常用3种方法:区域分析(zonal analysis),检查系统是否存在一个特定位置使得故障影响独立性;特殊风险分析(particular risks analysis)检查系统对环境事件是否免疫;共因模式分析(common mode analysis)识别系统失效是否独立,包括检查软硬设计缺陷。
7 a! h0 p9 l8 h: o2 i( [! |, W* z; i |' _1 Y: A: w# P: o( B
5.系统安全评估(System Safety Assessment, SSA)2 g/ d) W3 p8 C) {$ [; V% J( h
SSA是安全生命周期的确认阶段。在这个阶段中,要搜集那些能够证明安全需求得到满足、达到所希望的完整性的证据。这个阶段与软件开发过程联系比较紧密,比如,通过软件测试保证实现与需求符合,开发过程符合安全标准, 这些都属于证据。
% \0 e7 A A9 j+ j$ I% J3 A9 k z& _. ?$ z* v* V- M
6.提交安全案例(Delivery of Safety Case)3 V F/ s) T4 |8 l0 }3 z2 `+ {: k u
事实上,这个阶段大部分都是文档性质的工作。安全案例就是一个文档,它描述了整个系统的安全相关的重要内容,为系统的安全性提供论据和论证。这个文档是给评估机构的,目的就是让别人确信你的系统是安全的。这个文档实际上是整个安全生命周期过程的总结,是对整个安全生命周期过程的关键点的索引。+ h6 {. ?, W9 ]0 {: c8 x2 \
' V/ F" b6 X6 M. b8 j) ?/ `参考文献:Philippa Mary Conmy,Safety Analysis of Computer Resource Management Software, PhD Thesis, University of York, 2005. |