12.1 yêu cầu có nguy cơ điều khiển đặc
điểm kỹ thuật
• đặc điểm kỹ thuật rủi ro theo định hướng là một
phương pháp đã được sử dụng rộng rãi bởi tính an
toàn và hệ thống phát triển an ninh quan trọng
• Trong các hệ thống an toàn quan trọng thường có
những rủi ro có liên quan đến các mối nguy hiểm có
thể dẫn đến tai nạn những rủi ro đó thường đến từ
người trong cuộc và ngoài cuộc tấn công vào một
hệ thống được dự định để khai thác.


Hình 12.1:Rủi ro hướng đặc điểm kĩ thuật

Các giai đoạn trong quá trình này là:

1) Nhận biết nguy cơ rủi ro tiềm năng để hệ thống được xác định.
2) Phân tích rủi ro và phân loại Mỗi rủi ro được xem xét riêng biệt.
3) Phân hủy mỗi rủi ro được phân tích để phát hiện nguyên nhân gốc
tiềm tàng của rủi ro đó.
4) Các đề xuất giảm thiểu rủi ro cho cách thức mà các rủi ro được xác
định có thể được giảm bớt hoặc loại bỏ được thực hiện.


12.2 điểm kỹ thuật an toàn
• Hệ thống an toàn là hệ thống trong đó thất bại có thể ảnh hưởng đến
môi trường của hệ thống và gây thương tích hoặc tử vong cho những
người trong môi trường đó
• Trong các hệ thống an toàn quan trọng là những rủi ro chủ yếu đến từ
các mối nguy hiểm có thể dẫn đến tai nạn. Bạn có thể giải quyết vấn
đề xác định nguy cơ bằng cách xem xét các loại khác nhau của các mối

nguy hiểm, chẳng hạn như mối nguy vật lý, mối nguy hiểm điện, mối
nguy sinh học, mối nguy hiểm bức xạ


12.2.1 Xác định mối nguy.
• Trong các hệ thống an toàn quan trọng, những rủi ro chủ yếu
đến từ các mối nguy hiểm có thể dẫn đến tai nạn. Bạn có thể
giải quyết vấn đề xác định nguy cơ bằng cách xem xét các
loại khác nhau của các mối nguy hiểm, chẳng hạn như mối
nguy vật lý, mối nguy hiểm điện, mối nguy sinh học, mối
nguy hiểm bức xạ.


VD: Máy bownm insulin
Những mối nguy hiểm trong hệ thống bơm tiêm insulin:
1.Quá liều insulin tính toán (thất bại dịch vụ)
2.Sự thất bại của hệ thống giám sát phần cứng (thất bại dịch vụ)
3.mất điện do pin cạn kiệt (điện)
4.Nhiễu điện với thiết bị y tế khác như một máy tạo nhịp tim (điện)
5.Cảm biến nghèo và bộ truyền động xúc gây ra bởi phù hợp không
chính xác (vật lý)
6.Các bộ phận của máy phá ra trong cơ thể của bệnh nhân (vật lý)
7.Nhiễm trùng gây ra bởi sự giới thiệu của máy (sinh học)
8.Phản ứng dị ứng với các tài liệu hoặc insulin được sử dụng trong các
máy (sinh học)


12.2.2 Đánh giá rủi ro.

• Quá trình đánh giá rủi ro tập trung vào sự hiểu biết xác suất mà một

mối nguy hiểm sẽ xảy ra và hậu quả nếu một tai nạn hay sự cố liên
quan với nguy hiểm.Các phân tích cũng cung cấp một cơ sở cho việc
quyết định làm thế nào để quản lý các rủi ro liên quan tới nguy hiểm.

Hình 12.2 Các tam giác nguy cơ


 Có ba loại rủi ro mà bạn có thể sử dụng trong đánh giá rủi ro:

1) Rủi ro không thể chấp nhận trong các hệ thống an toàn quan trọng
là những đe dọa cuộc sống của con người
2) Rủi ro là những người có hậu quả ít nghiêm trọng hoặc rất nghiêm
trọng nhưng có một xác suất rất thấp xảy ra
3) Rủi ro chấp nhận được là những nơi mà các tai nạn liên quan
thường dẫn đến hư hại nhẹ


12.2.3 phân tích mối nguy hiểm
• Phân tích mối nguy hiểm là quá trình khám phá những nguyên nhân
gốc rễ của mối nguy hiểm trong một hệ thống quan trọng an toàn
Hình 12.4 Một ví dụ về một cây lỗi


12.2.4 giảm thiểu rủi ro

• Khi rủi ro tiềm ẩn và nguyên nhân gốc rễ của họ đã được xác định,có
thể lấy được các yêu cầu an toàn mà quản lý rủi ro và đảm bảo rằng
sự cố hoặc tai nạn không xảy ra.
• Có ba chiến lược có thể sử dụng:
1.Phát hiện hệ thống được thiết kế sao cho các mối nguy hiểm không

thể xảy ra.
2.Phát hiện và loại bỏ mối nguy Hệ thống được thiết kế sao cho các mối
nguy hiểm được phát hiện và vô hiệu hóa trước khi họ dẫn đến một
tai nạn.
3.Hạn chế thiệt hại hệ thống được thiết kế để các hậu quả của một tai
nạn được giảm thiểu.


12.3 Đặc điểm kỹ thuật tin cậy
• Phụ thuộc vào độ tin cậy phần cứng , độ
tin cậy phần mềm, và độ tin cậy của các
nhà khai thác hệ thống.
• Có thể xác định mức độ tin cậy được yêu
cầu, theo dõi hoạt động của hệ thống
theo thời gian, và kiểm tra xem độ tin cậy
cần thiết đã đạt được


Yêu cầu độ tin cậy có hai loại :
1. Phi chức năng, trong đó xác định số thất bại có thể chấp
nhận trong khi sử dụng bình thường hệ thống, hoặc thời gian
trong đó hệ thống không có sẵn để sử dụng
2. Yêu cầu chức năng, trong đó xác định các chức năng hệ
thống và phần mềm mà tránh, phát hiện, hoặc chịu đựng lỗi
trong phần mềm và để đảm bảo rằng những lỗi lầm này không
dẫn đến sự thất bại của hệ thống.


Các quá trình đặc điểm kỹ thuật đáng
tin cậy

• Xác định rủi ro
• Phân tích rủi ro
• Phân rã
• Giảm thiểu rủi ro


12.3.1 Số liệu đáng tin cậy
- độ tin cậy có thể được quy định như một xác
suất mà một lỗi hệ thống sẽ xảy ra khi một hệ
thống được sử dụng trong một môi trường hoạt
động theo quy định
Các số liệu là:
Xác suất thất bại theo yêu cầu
Tỷ lệ xuất hiện thất bại (ROCOF)
Sẵn có


Các dữ liệu cần thiết về hoạt động
đánh giá độ tin cậy
• Số lượng các lỗi hệ thống đưa ra yêu cầu cho các
dịch vụ hệ thống
• Thời gian hoặc số lượng giữa giao dịch với các
sự cố hệ thống và tổng thời gian trôi qua hoặc
tổng số giao dịch
• . Việc sửa chữa hoặc thời gian khởi động lại sau
khi hệ thống bị lỗi dẫn đến bị mất dịch vụ


12.3.2 Yêu cầu độ tin cậy phi chức năng
• Là thông số kỹ thuật định lượng về độ tin cậy

cần thiết và tính sẵn sàng của hệ thống
• Được sử dụng trong nhiều năm qua trong các hệ
thống an toàn quan trọng nhưng hiếm khi được
sử dụng trong các hệ thống kinh doanh quan
trọng


Lợi thế trong phát sinh thông số kỹ thuật
đáng tin cậy về số lượng
• Làm sáng tỏ những gì các bên liên quan thực sự
cần
• Cung cấp một cơ sở cho việc đánh giá khi nào
phải ngừng thử nghiệm một hệ thống
• Là một phương tiện để đánh giá các chiến lược
thiết kế khác nhau nhằm nâng cao độ tin cậy của
hệ thống
•


Bước để tránh quá đặc điểm kỹ thuật về độ tin
cậy của hệ thống
• Xác định các yêu cầu sẵn sàng và độ tin cậy với
nhiều loại khác nhau về thất bại
•Xác định các yêu cầu tính sẵn sàng và độ tin cậy
cho các dịch vụ khác nhau một cách riêng biệt
•Quyết định xem bạn thực sự cần độ tin cậy cao
trong một hệ thống phần mềm hay các mục tiêu
hệ thống tin cậy tổng thể có thể đạt được bằng
cách khác



Có hai loại thất bại trong bơm insulin:
1.Lỗi phần mềm có thể được sửa chữa bởi các
hành động sử dụng như đặt lại hoặc chỉnh lại máy
2.Lỗi phần mềm thường trực mà đòi hỏi các phần
mềm được cài đặt lại bởi nhà sản xuất
12.3.3 đặc điểm chức năng đáng tin cậy
- Liên quan đến việc xác định các yêu cầu giúp
xác định những hạn chế và tính năng tham gia vào
độ tin cậy của hệ thống


Có ba loại yêu cầu độ tin cậy chức năng cho hệ
thống
1.Yêu cầu kiểm tra, xác định kiểm tra đầu vào cho
hệ thống
2.Yêu cầu phục hồi
3.Các yêu cầu dư thừa
12.4 Đặc điểm bảo mật
- Yêu cầu bảo mật cho các hệ thống có một điểm
chung với yêu cầu an toàn


Lý do an ninh là một vấn đề khó khăn hơn an toàn
•Khi xem xét an toàn, có thể giả định rằng môi trường
trong đó hệ thống được cài đặt không phải là thù địch
•Khi thất bại xảy ra mà gây nguy hiểm cho an toàn, bạn
tìm các lỗi hoặc thiếu sót đã gây ra sự thất bại
•Nó thường là chấp nhận được để tắt hệ thống hoặc làm
suy giảm hệ thống dịch vụ nhằm tránh sự thất liên quan

tiếp theo
•Không được tạo ra bởi một kẻ thù thông minh


10 loại các yêu cầu bảo mật có thể được bao gồm trong một đặc điểm kỹ
thuật của hệ thống:
•Yêu cầu xác định có hay không một hệ thống cần người dùng trước khi tương tác với họ
•Yêu cầu xác thực cách người dùng xác định
• Các đặc quyền và quyền truy cập của người sử dụng
•Miễn trừ chỉ định để một hệ thống tự bảo vệ chống lại virus,Trojan, và các mối đe dọa tương tự.
•Chỉ định cách tham nhũng dữ liệu có thể tránh được.
•Phát hiện xâm nhập những cơ chế được sử dụng để phát hiện các cuộc tấn công vào hệ thống
•Yêu cầu thoái thác xác định rằng một bên trong giao dịch không thể phủ nhận sự tham gia của
mình trong giao dịch đó
•chỉ định các dữ liệu riêng tư được duy trì
•sử dụng hệ thống có thể được kiểm toán và kiểm tra.
•Yêu cầu hệ thống an ninh bảo dưỡng một ứng dụng có thể tự thay đổi quyền, từ đó vô tình đánh
bại cơ chế bảo mật của nó.


Quá trình phân tích rủi ro :

•Phân tích rủi ro sơ bộ.
•phân tích rủi ro Vòng đời
•Phân tích Rủi ro hoạt động


Các giai đoạn quá trình
•Xác định tài sản
•Thẩm định giá trị Tài sản

•Tiếp xúc
•Nhận biết mối đe dọa
•Tấn công
•Điều khiển
•Đánh giá khả thi
•Bảo vệ yêu cầu


Một số ví dụ về các yêu cầu
• Thông tin bệnh nhân sẽ được tải về, vào lúc bắt đầu của một phiên
khám, từ cơ sở dữ liệu đến một khu vực an toàn trên hệ thống
• Thông tin Tất cả các bệnh nhân trên hệ thống được mã hóa.
• Các thông tin Bệnh nhân sẽ được tải lên cơ sở dữ liệu khi một phiên
khám là hơn và xóa từ máy tính của khách hang
• Một bản ghi của tất cả các thay đổi cơ sở dữ liệu trên hệ thống và
những thay đổi này sẽ được duy trì trên một máy tính riêng biệt từ
các máy chủ cơ sở dữ liệu.


12.5 - Phương pháp chính
-Là cách tiếp cận toán học dựa vào sự phát triển phần mềm
mà bạn định nghĩa một mô hình chính thức của phần mềm.
-Về nguyên tắc , có thể bắt đầu với một mô hình chính thức
cho phần mềm và chứng minh rằng một chương trình phát
triển phù hợp với mô hình đó , do đó loại trừ lỗi phần mềm do
lỗi lập trình .