软件安全性分析中故障树方法应用.docVIP

软件安全性分析中故障树方法的应用 故障树分析法（FTA）是硬件可靠性、安全性分析的传统技术工具．20世纪80年代，软件的可靠性和安全性 开始成为科技界关注的课题，为了适应软件安全性分析的需要，故障树分析法被移植到软件这个新领域.。经过20年不断的应用和创新，现在软件故障树分析已经成为软件安全性分析的重要手段并简称为SFTA．软件故障树 分析极具应用潜力，在软件开发的早期，可以用故障树分析来确定软件的安全要求，进入概要设计、详细设计设计和实现阶段，可以对故障树加以扩充，继续进行更深入的分析．故障树分析法对于硬一软件复合系统的安全性分析尤为有效，分析人员可用它分析程序产生安全事故的各种原因，分析系统任何部分发生的失效，分析硬件、软件和操作员的失误，并可以识别潜在的、复杂的失效模式。SFTA涉及的内容十分丰富，受篇幅限制，本篇文章介绍的是SFTA的基本框架和方法。 ? 1? 故障树的逻辑关系 a.? 逻辑或门 　 　 x1, x2 表示两个不同的事件，如果两个事件中至少有一个事件发生便能导致另一个事件x3发生，则称这种关系为逻辑或门关系，相应的布尔代数式为 ( 1 ) ? 　 　 1 b.逻辑与门 事件x1和x2必须同时发生，x3才能发生，这种关系称为逻辑与门关系，相应的布尔代数式为 　 　 (2)? 其逻辑图见图2 　 　 ?c.? 逻辑否定 　 　 x1 表示事件发生，则其相反命题事件不发生用x1 表示，在分析逻辑否定关系时经常用到德莫根定理 (3) 　 　 (4) 进行故障树分析需要绘制故障树图．故障树图类似于一棵倒立的树．树的根部位于图的上方，代表需要分析的危险事件（或关键性失效）事件，从顶向下再层层衍生出许多分支，形成了若干的分支点，这些分支点代表了危险事件形成过程中的中间事件，分支的终点，类似于树叶，代表了可能导致危险事件发生的基本事件．为适应绘制故障树图的需要，在故障树分析法发展过程中，形成了一套可靠性工程界公认的图形符号标志．软件的故障树分析法的思路与硬件故障树分析法基本相同，因此这套源于硬件故障分析的图形符号，也为软件分析所采用．感兴趣的读者可从各种硬件FTA的资料中找到，本文不再赘述。 ?2 危险分析 危险分析是进行系统安全分析必须采取的第一个步骤，也是故障树赖以建立的必要前提．危险分析的目的是确定系统可能出现的各种不安全状态（或关键性失效状态），从安全的角度确定哪些失效是可以容许的，确定哪些失效是不可容许的，确定在危及安全的失效发生或可能发生时，怎样使系统处于失效一安全状态的措施．通常系统可能由于以下的原因而进入不安全状态： （l）硬件部件失效； （2）系统部件接口出现的问题； （3）操作中的人为错误； （4）环境应力； （5）软件控制错误． 使系统处于不安全状态的软件控制错误有以下五种类型： （1）不能执行某一要求的功能，这个功能很可能从来没有执行过或者是在要求执行时没有反应； （2）执行了一种非要求的功能，即产生了一个错误的回答或者回答的时机和环境不恰当，例如偶然地、过早地或过迟地启动了传动机构，或者未能在要求的时间停止某项操作． （3）顺序问题上的错误； （4）不能识别某些需要采取改正措施的危险条件； （5）对于某些危险条件产生了错误反应． 在对系统的软件进行危险分析时，不仅应该考虑软件的控制错误，而且必须研究软件和系统其他单元的接口．有些软件的控制动作只有在系统的其他元件失效时或者在异常的环境中才会使系统出现不安全状态． 在对系统的软件进行危险分析时，还必须把操作者的因素考虑在内．要仔细地考虑控制系统中的人机接口．给操作者提供系统当前状况的信息是保证系统安全运行的一个必要措施．例如飞行着陆软件的安全性能，必须达到飞行员要求的标准，否则飞行员宁可人工操作，而不愿冒险去使用自动着陆系统．然而在飞行高度过低时，人工操作同样是危险的。因此软件系统不仅应使飞机能安全飞行和安全着陆，而且应按飞行员希望的方式飞行和着陆，才能使他们对飞控软件的安全性具有信心。使操作者保持信心的一个重要方法是不断地提供有关数据，操作者能主动的监视系统运行的动态过程。当系统正趋向发生错误时，系统及软件的信息尤其重要。只有在正确、及时获得和分析这些信息之后，操作者才能对系统进行有效的监控和干预，才能采取正确的避错和失效安全措施。 3、构造故障树 软件故障树的建造步骤与硬件故障树基本相同．而且软件故障树所用的标志符，除某些特殊情况下新增加的符号外，也与硬件故障树相同．软件故障树分析的这些特点，使得硬件故障树与软件故障树可以在接口处平稳的相互联接，从而实现从硬软件复合系统的故障树分析向安全关键部位的软件故障树分析过渡。 软件故障树分析可以在软件开发期的各个不同的阶段中使用。在开发 早期的高层次的故障树中，