Защита от ошибок и отказов должна строится на их как можно более раннем обнаружении после чего возможно подключение резерва, изменение логики работы системы и т.п.

Требования по защите системы от отказов оборудования, ошибок ПО и ошибок персонала с целью продолжения работы или обеспечения условий безопасности в общем случае сопровождаются требованиями по обнаружении фактов отказов и ошибок в процессе работы системы. Только после этого можно развернуть действия по подключению резервов, если они имеются, изменении логики работы системы, либо «мягком» завершении её работы.

Для этого работу системы и в частности ПО надо постоянно контролировать. Слова «постоянно» для дискретных систем с ЦВМ означают с минимальным периодом. Чем полнее и чаще контроль, тем меньше вероятность пропуска момента проявления ошибок. Вообще контроль необходимо осуществлять на каждом периоде работы системы. Для систем реального времени это означает обязательно встроенный в ПО контроль. Неплохо иметь встроенный контроль и для систем, работающих вне реального времени.

Здесь важно правильно выбрать контролируемые параметры и координаты, которые должны быть чувствительны к нарушениям правильного функционирования системы.

Для реализации контроля работы системы возможны несколько путей:

- установки специальных датчиков, позволяющих обнаруживать неправильную работу системы,

- введения в ПО специальных алгоритмов, позволяющих путем обработки информации, циркулирующей в системе, обнаруживать ошибки её функционирования.

- обнаруживать ошибки ПО, что вытекает из роли ПО в работе систем и из здравого инженерного смысла, так как даже хорошо проведенная отладка к сожалению не дает полной гарантии отсутствия ошибок.

ПО работает очень быстро и человек не в силах отследить изменения значений переменных, логических условий и т.п., если не предпринимать специальных мер. Здесь возможны три варианта:

1. Автоматический контроль работы системы и ПО встроенными в ПО средствами, когда некоторые части работающего ПО осуществляют контроль правильности работы. В этом случае контроль работы системы и ПО осуществляется в реальном времени и без прекращения нормального функционирования системы.

2.Контроль работы системы и ПО в точках его останова внешними по отношению к ПО средствами. Такой контроль приводит для систем реального времени к прекращению нормального функционирования системы и требует участия человека – оператора.

3. Контроль работы системы путем сбора и представления на более высокий уровень иерархии или оператору данных по работе системы и ПО, полученных результатах и т.п. Сбор и представление этих данных происходит автоматически внутри работающей системы фрагментами самого ПО.

Здесь можно говорить о контроле без прекращения функционирования системы, но запаздывание оператора на полученную контрольную информацию будет велико и в большинстве случаев не соответствует требованиям автоматических систем реального времени. Кроме того поток контролируемых данных может быть огромен и необходимы меры по его сжатию на пути к оператору.

Поэтому автоматический контроль правильности работы системы и ПО в процессе его эксплуатации является важной и актуальной задачей и в дальнейшем мы рассмотрим именно такой вид контроля.

Следует отметить, что во многих случаях разработчики ПО даже не задумываются о необходимости контроля за ходом работы ПО и системы и создании на базе этого контроля аварийной защиты, обнаруживающей неправильную работу системы через небольшое время после возникновения ошибки и способствующей её локализации и изоляции. Можно конечно подождать пока ошибка ПО скажется на поведении всей системы и только потом принимать защитные меры. Но время уйдет, так как системы и особенно объекты управления обладают значительной инерционностью и эти защитные меры могут запаздывать и быть уже не эффективны.

Например, если ПО управления ракетой « висит» вследствие ошибки и не исполняется, то обнаружение этого факта позволит реализовать защиту гораздо раньше, чем в случае, когда защита включается при достаточно больших отклонениях ракеты от заданного положения вследствие того же зависания ПО. Если «пожару не дать разгореться», то он может быть локализован и быстро погашен. Чем раньше обнаружена ошибка, тем ранее будет прекращена неправильная работа ПО, тем к меньшему ущербу эта неправильная работа ПО приведет, тем большая вероятность того, что предпринятые защитные меры спасут процесс или систему от необратимого развития событий и разрушения. Именно с целью раннего обнаружения ошибок и проводится контроль работы ПО, так как в принципе в процессе эксплуатации системы контроль работы ПО можно не проводить, а контролировать только поведение системы.

Например, можно контролировать работу ПО бухгалтерии по специальным алгоритмам бухгалтерии, проводя текущие сверки, но можно этого не делать и дождаться пока ошибки ПО не скажутся на финансовом положении предприятия – тогда они будут видны всем, но видны с опозданием.

Поэтому разработчики ПО для критических систем понимают необходимость контроля работы не только системы, но и её ПО.

Речь идет об автоматическом контроле за работой ПО без участия человека, роль которого в этом случае - только следить за наличием аварийной сигнализации. Но сначала посмотрим, как человек осуществляет функцию контроля правильности работы ПО, например, при отладке.

 

Эталоны для контроля работы.

 

Когда мы наконец получаем первые результаты работы системы, то в случае если мы их не оцениваем, как катастрофические, мы не знаем правильные это результаты или нет. Поэтому мы сравниваем эти результаты с эталоном – заведомо правильными результатами решения задачи. Часто эталоны нам известны, как желаемые результаты, в других случаях эталоны получаются, как результат моделирования системы на стадии ее проектирования.

Если таких эталонов нет, то есть еще один выход – получить их прямо во время работы системы, приближенно решая ту же задачу по совершенно другому более простому алгоритму, результат работы которого более очевиден.

Например, контролируя работу ПО, определяющего значение координат приемника системы Глонасс, расположенного на поверхности Земли, по значениям составляющих радиус вектора объекта X, Y, Z в геоцентрической системе координат, можно сделать простую проверку

 

R=

Если значение радиус вектора меньше или больше радиуса Земли, то в вычислениях имеется ошибка.

Это сравнение с эталонным результатом можно делать по завершению работы ПО, а можно делать непрерывно (точнее квазинепрерывно). Учитывая периодичность работы ПО в составе систем управления, период проведения контроля целесообразно совместить с периодом работы ПО системы.

Чаще всего в процессе моделирования при проектировании системы на различных наборах исходных данных становятся известными границы изменения выходных параметров системы – «ворота», соответствующие нормальному устраивающему нас функционированию системы. Тогда, если текущие значения выходных координат находятся внутри данных «ворот» уже в работающей системе с работающим ПО, то мы считаем, что система и ПО работают правильно. Если же управляемые координаты выходят за пределы назначенных границ, то это означает, что работа ПО и системы не верна либо границы назначены не правильно. В обоих случаях требуются уточнения. Такой контроль результатов работы ПО применяется повсеместно.

Мы рассматривали те случаи, когда имеющиеся в ПО ошибки не приводили к прекращению исполнения ПО вследствие тупика, ПРР или других подобного вида причин, которые обычно называют «зависанием», «зацикливанием». Название данной ситуации не говорит о причине ее появления важно лишь одно – ПО перестало исполняться. Обычно и человек не достаточно быстро обнаруживает, что ЦВМ «висит», но мы говорим об автоматическом обнаружении этого явления.

Даже без указания причин обнаружение факта зависания ПО – важный шаг в направлении повышения безопасности, инициирующий меры по аварийной защите системы. Поэтому в нашей схеме мы подобный контроль отразили.

 

Процесс контроля работы ПО с целью обнаружения его неправильной работы (обнаружение ошибки) характеризуется достоверностью и запаздыванием в обнаружении ошибок. Недостаточная достоверность контроля приводит либо к пропуску ошибки и развитию ошибочной ситуации, либо к частым ложным срабатываниям – «обнаружению ошибочных ситуаций» там, где их нет.

. Отказоустойчивость и информационная устойчивость. Реализация «мягкого» останова системы

Отказоустойчивая система при возникновении отказа продолжает функционировать без ухудшения качества процессов управления т.е. отказ части системы как бы остается без последствий – не видим либо маскируется.

Обычно отказоустойчивость систем связывается с наличием либо аппаратной избыточности в ЦВМ, ПО, сетях передачи данных, либо наличием временной избыточности. Эта избыточность может быть реализована несколькими различными способами:

1) восстановлением работоспособности отказавших структурных элементов путем использования взамен их резервных элементов;

2) повторными решениями одной и той же задачи по тому же или по другому алгоритму;

3) повторением передачи информации либо в качестве информационной обратной связи, либо прямое и n-кратное её повторение по схеме Вердана;

4) использование кодов обнаруживающих и устраняющих ошибки.

Однако, наличие только резерва аппаратуры или временной избыточности не обеспечивает отказоустойчивости системы, также как вероятность безотказной работы (ВБР) не в полной мере её характеризует [3, 4].

Наряду с ВБР мерой отказоустойчивости должна быть вероятность сохранения целостности информации в системе, которая может нарушаться вследствие возникшего отказа или сбоя, а также вероятности парирования возмущений на систему, возникающих в момент восстановления работоспособности системной ЦВМ.

Вопросы обеспечения информационной устойчивости составляют основное содержание понятия отказоустойчивости.

Таким образом, отказосбоеустойчивость сложных технических систем реализуется при наличии в системе следующих свойств [3]:

1) избыточности аппаратуры и в определённой мере ПО,

2) наличие средств встроенного контроля и диагностики для обнаружения и диагностики отказов и сбоев, а точнее нарушения целостности информации.

3) наличия или сохранения «правильной» информации процессов управления для загрузки её в подключаемые резервные элементы при парировании сбоев или отказов аппаратуры системы.

При этом практическая реализация свойств 2) и 3) всегда сопровождается возмущениями на фазовые координаты и параметры системы, которые прикладываются к системе в момент возобновления правильного её функционирования. После восстановления работоспособности эти возмущения, связанные со старением информации в системе из-за отсутствия управления в течение некоторого времени, не должны приводить к потере устойчивости системой, то есть должны быть отработаны системой.

Величина возмущений фазовых координат и параметров системы зависит от принятого способа сохранения «правильной» информации в системе, а также от времени необходимого для распознавания нарушения целостности информации и времени извлечения «правильной» информации для её последующего использования. Таким образом, анализ информационной устойчивости системы должен сопровождаться исследованием её динамической устойчивости.

Задача обеспечения устойчивости динамических систем многообразна и существует несколько определений устойчивости и условий её достижения: устойчивость к начальным возмущениям, устойчивость при постоянно действующих возмущениях, техническая устойчивость и т.п. Учитывая это и то, что имеется связь между информационной и динамической устойчивостью рассматривается задача устойчивости системы к начальным возмущениям. Так как реальные СТС всегда нелинейны, то при достижении величины возмущений определенных значений возможна потеря устойчивости с переходом системы в новые устойчивые состояния.

Для получения условия информационной устойчивости рассмотрим два состояния сложной технической системы.

1) Состояние В – начало восстановления работоспособности системы после прошедшего отказа (сбоя) характеризуется временем t_В и совокупностью фазовых координат Х_В(t) и параметров системы Р_В(t).

2) Состояние С характеризуется ближайшим к t_В временем t_С и «правильной» совокупностью фазовых координат Х_С(t) и параметров системы Р_С(t) системы

 

При этом t_В - t_С ³ t_обн + t_загр. , где

t_обн – время, необходимое для обнаружения искажения информации;

t_загр. – время, необходимое для извлечения и перезагрузка правильной информа

Чем больше D t.= t_В.- t_С., тем больше в общем случае DC, тем большие начальные возмущения действуют на систему в точке t_В. Некоторое уменьшение DC возможно путем прогноза C _С(t) и Р_С(t) на момент времени t_В.

Различные методы сохранения целостности - «правильности» информации в системе обеспечивают соответственно различную вероятность сохранения устойчивости системы (различную вероятную величину возмущений на фазовые координаты системы) в момент восстановления управления.

 

Лекция 13 Обнаружение искажения информации. Методы автоматического восстановления правильной информации в системе .

Обнаружение искажения информации

 

Искажения информации наиболее просто обнаруживаются при её хранении или при передаче по линиям передачи данных. Методы обнаружении таких искажений нами рассмотрены. В устройствах, преобразующих информацию, например в процессоре ЦВМ, эти искажения обнаружить гораздо сложней. Так как алгоритмы встроенного контроля и диагностики реализуются и информация в системах преобразуются во встроенных ЦВМ, то вопросы информационной устойчивости сложных систем целесообразно рассматривать применительно к встроенным в сложные технические системы ЦВМ, как к критическому в смысле достижения информационной устойчивости звену.

Обнаружение отказов или сбоев, приводящих к искажению информации, может базироваться на обнаружении их последствий системными средствами - они проявятся через какой-то интервал времени в виде отклонений фазовых координат системы за допустимую при нормальном функционировании системы область. В результате команда на подключение резерва, загрузки в него «правильной» информации или на реконфигурацию будет получена с большой задержкой, когда продолжать работу нельзя и надо думать уже об аварийной защите системы, если она ещё возможна.

Поэтому целесообразно обнаружение искажений информации не связывать с ожиданием проявления ошибочных состояний системы. С этой целью часто применяется сравнение на аппаратном или программном уровне двух или более однородных результатов, полученных в управляющей вычислительной системе по одним и тем же исходным данным по одному и тому же алгоритму, либо по различным алгоритмам, но решающим одну и ту же задачу. Используется также аппаратный либо тестовый самоконтроль устройств системы или их взаимный контроль путем обмена контрольной информацией. Возможности современных вычислительных средств позволяют эффективно использовать моделирование будущих отдаленных состояний в качестве средств, определяющих искажение информации в текущий момент. Данные методы обнаружения искажений информации обладают существенно меньшим запаздыванием, чем первый, то есть обнаружение нарушения целостности информации может произойти до того как они или их последствия стали различимы в поведении системы.

Где же взять «правильную» информацию в системе после обнаруженного её искажения?

При решении вопроса защиты информации процессов управления от последствий сбоя или отказа для продолжения работы системы после парирования отказа возможен вариант с «откатом» - возвратом процесса к точке, где целостность информации была обеспечена. Для возможности " отката" нужно запоминать и хранить информацию о состояниях процесса в потенциальных точках возврата - контрольных точках.

Также возможен вариант с «пропуском» - продолжением процессов управления после восстановления работоспособности по текущей информации в точке устранения неисправности или сбоя. Это справедливо для случаев процессов без памяти.

Возможен вариант «исправления» информации путем замены неверной информации в устройствах системы на правильную из заведомо работоспособных и параллельно работающих устройств. Возможно исправление информации из системы более высокого уровня иерархии.

Методы аппаратного мажорирования (голосования) при исполнении каждой машинной операции в троированной ЦВМ системы, а также избыточного отказоустойчивого кодирования при хранении и передачи информации обеспечивают использование избыточности, обнаружение ошибки, восстановление правильной информации в течение одной машинной операции на аппаратном уровне и не требует ни «отката» ни «пропуска».

 

Стратегии безопасности компьютерных технологий.

Концепции, лежащие в основе обеспечения безопасности ПО, имеют несколько базовых идей, которые сосуществуют и развиваются.

1. Начиная с появления ОС, развивается концепция изоляции всех от всех – разграничения друг от друга пользователей, файлов, процессов и устройств ЦВМ, даже если оборудование позволяет совместное использование ресурсов ЦВМ и их взаимодействие произвольным образом. Выступая в роли посредника между ПО и аппаратным обеспечением, ОС работает таким образом, что прямой доступ к аппаратному обеспечению возможен только для нее. Принцип изоляции предотвращает распространение возможной ошибки из одной части ПО в другие «информационные отсеки».

2.Мы не можем создать большую абсолютно защищенную ОС или ПО. Но можем создать небольшое защищенное ядро безопасности, принимающее все решения, касающиеся защиты ОС и ПО. Таким ядром для ПО является программа управления в нештатных ситуациях – программа «Аварийной защиты». Всё остальное ПО будет относиться к более сложной обработке и будет действовать на менее защищенных уровнях.

3.Контроль периметра (пограничный контроль на входе, выходе ПО) способствует решению проблемы безопасности. В конце концов, если вы не можете преодолеть контроль на входе системы, вы не проникаете внутрь системы и не нарушаете безопасность ее функционирования. Аналогично, контроль на выходе препятствует всевозможным утечкам информации. Однако, работа ПО в принципе требует, чтобы определенная информация попадала внутрь системы и ПО и выходила из системы и ПО, преодолевая межсетевые экраны. Но если какая-то информация должна и просто обязана попадать и выходить из ПО (иначе зачем оно нужно), то вместе с ней рано или поздно будет проходить нежелательная информация, мимикрирующая под полезную.

4.Своевременное обнаружение вторжений и оперативная реакция на них решает проблему безопасности на следующем уровне. Конечно, системы, обнаруживающие вторжения (СОВ), реагирующие на них, пока не настолько хороши, чтобы остановить попытки организации новых атак, но необходимость обхода СОВ осложняет и удорожает проведение атак и делает менее вероятным их успех.

5.Шифрование решает проблему информационной безопасности достаточно эффективно. В настоящее время развивается подход, когда защищаются собственно данные, а не элементы информационной инфраструктуры, участвующие в получении, хранении, и передачи данных – «информационные замки». При этом необходимо обязательное шифрование данных на всем пути их продвижения. Однако, для комплексного применения СОВ, фильтров межсетевых экранов, необходимо расшифровывать трафик на уровне межсетевых экранов, а затем после контроля на экране, обработки СОВ, но перед передачей трафика дальше, нужно его опять зашифровать. На это уходит время. Кроме того, наличие участков трафика, не прикрытых шифрованием, - это дополнительная уязвимость.

6.Виртуализация один из методов решения проблемы безопасности. Идея поместить все по отдельности в свои виртуальные компьютеры и исполнять ПО в виртуальном компьютере, контролируя системным ядром безопасности исполняемое ПО, не нова. Эта идея возникла и реализовывалась еще более 30 лет назад на мэйнфреймах и была забыта, когда появились персональные компьютеры, и, всем показалось, что виртуальные машины не нужны, когда установка физических перестала представлять проблему. Виртуальные машины – это реализация идеи изоляции на новом уровне. При взаимодействии виртуальных машин также нужно защищать это взаимодействие межсетевыми экранами, СОВ и т.п.

7.Контроль целостности ПО, а также данных должен базироваться на подсчете Контрольной суммы или/и с использованием информационной обратной связи. Поскольку алгоритмы такого контроля известны и не используют секретного ключа, то для предотвращения искажений целостности ПО и данных с перерасчетом Контрольной суммы, методы контроля необходимо сопровождать цифровой подписью.

Реализация «мягкого останова» системы

В общем случае " откат" для дальнейшей работы системы после сбоя или отказа можно осуществлять в другое устойчивое состояние системы путем «мягкого» её останова. Дополнительные устойчивые состояния системы, возможные хотя бы для части наиболее значимых её фазовых координат, и методы перевода в них должны быть определены при проектировании системы. Например, для КА дополнительному устойчивому состоянию соответствует движение по орбите ИСЗ без угловой ориентации его связанных осей.

" Мягкий останов" должен обеспечивать, как можно более организованное и приближенное к штатному выключение аппаратуры системы, что препятствует развитию аварийной ситуации и обеспечивает отсутствие необратимых последствий от отказа для системы, окружающей среды и информации.

Обнаружение нарушения целостности информации и её восстановление в сложной технической системе может занимать определенное время. Ещё большее время может занимать восстановление работоспособности и рестарт системы, например, путем внесения изменений в программное обеспечение. Использование аварийной защиты " с мягким остановом" позволяет сочетать быструю реакцию системы на отказ с подключением к диагностике и восстановлению работоспособности системы эксплуатирующего персонала или системы более высокого уровня иерархии.

 

Лек.14. ВВФ, воздействующие на технические средства систем автоматизации и управления.

 

Интенсивность отказов элементной базы существенно зависит от действующих на элементы внешних возмущающих факторов (ВВФ), технологии изготовления, качества примененных материалов.

На ЦВМ, аппаратуру сетей и средств автоматизации и управления, работающих в офисной среде также воздействуют внешние возмущающие факторы такие как температура с учетом разогрева элементов вследствие тепловыделения при работе, влажность, электрические помехи и наводки т.п. При этом ЦВМ и другие средства автоматизации и управления должны не терять работоспособности.

Движущиеся объекты управления и СУ движущихся объектов, для работы в составе которых также имеются ЦВМ и сети, промышленные средства автоматизации работают в условиях воздействий небезопасной физической среды, сильно отличающихся от офисной.

Прежде всего эти средства работают в условиях повышенных или пониженных температур, повышенной влажности, повышенных механических вибраций и ударов, радиации. С другой стороны ЦВМ ЛВС данного типа используются в системах реального времени чаще всего критичных по применению. Для таких систем надежность - первейшее свойство и необходима защита от неблагоприятных воздействий, могущих привести к отказу ЦВМ, узлов систем автоматизации и управления или ЛПИ.

Для того, чтобы построить защиту от этих неблагоприятных физический полей, необходимо построить модели их воздействия на СТС и ЦВМ, в том числе на элементы ЛВС, а также определить параметры этих моделей. В частности определить интенсивность воздействий, приходящих на устройства ЛВС, а также интенсивности воздействий, приходящие на элементы внутри этих устройств, так как именно на данные элементы заданы их производителями допустимые уровни воздействий ВВФ, которые по большей части подтверждены испытаниями.

Реальные физические поля внешних возмущающих факторов воздействуют на объект, на котором установлена аппаратура ЛВС и ЦВМ. Периметр или корпус этого объекта и, например, системы терморегулирования, установленные на нем, частично защищают аппаратуру от ВВФ, снижая их уровень, приходящий на каждый прибор в зависимости от места его установки внутри объекта. В свою очередь корпуса и элементы конструкции уже отдельных приборов снижают уровень ВВф приходящих на элементы, установленные внутри корпусов. Поэтому необходимы теоретические расчеты и экспериментальные замеры уровней интенсивности ВВФ, доходящих до элементов.

Эти интенсивности должны быть сопоставлены с характеристиками элементов, которые должны выдерживать эти воздействия. Данные модели и их параметры определяются расчетно-теоретическими методами, но обязательно подтверждаются экспериментальными данными, полученными как в специально поставленных экспериментах, так и по результатам эксплуатации (не всегда удачными) системы.

Ниже эта физическая защита будет рассмотрена подробнее. Значения ВВФ, которые выдерживают ЭРИ, определенные подобным образом, помещаются в ТУ на них. Отсюда очень важно наличие подробного и достаточно добросовестного ТУ на устанавливаемые в средства автоматизации и управления элементы, чего не бывает для контрафактных элементов. Поэтому при конструировании надежных ЦВМ, ЛВС, датчиков и исполнительных органов выбор элементной базы не только определяется её функциональными возможностями, но и допустимым и требуемым уровнем ВВФ.

Неблагоприятные температурные условия приводят либо к перегреву электронных компонент и выходу их из строя, либо к недопустимым температурным деформациям, приводящим к разрушению плат, разрыву проводников и т.п. Защита в основном сводится к применению методов отвода или подвода тепла.

Вибрации и удары приводят к разрушению конструктивных элементов электронной аппаратуры, обрыву и механическому разрушению БИС, источников питания и т.п. Защита в основном сводится к помещению аппаратуры в прочные подрессоренные корпуса

Искусственные и естественные ионизирующие излучения приводят к отказам и сбоям электронной аппаратуры, особенно с элементной базой высокой степени интеграции.

В случае аэрокосмических применений большая угроза надежности электронной аппаратуры и следовательно безопасности полета исходит от потока электронов и протонов естественных радиационных поясов Земли, солнечных и галактических космических лучей. Воздействие этих ионизирующих излучений приводит к воздействию на БИС эффектов ионизации, структурных повреждений материалов, а также к локальному выделению тепла.

К основным радиационным эффектам относятся:

1) Деградация характеристик БИС вследствие накопления поверхностных и объёмных радиационных повреждений.

2) Возникновение мощных импульсных электрических разрядов вследствие электростатического пробоя изолирующих материалов.

3) Одиночных сбоев БИС от отдельных высокоэнергетических ядерных частиц (высокоэнергетических протонов и ТЗЧ), что связанно с несанкционированным переключением триггеров и искажений бит информации.

Схема выбора элементов с учётом требований надёжности для критичных СТС

 

ВВФ Испытательные средства

Давление, влажность, температура термокамеры, барокамеры,

Удары и вибрации, радиация, вибростенды, ударные электромагнитные поля стенды, радиационные пушки,

электрические помехи реакторы

 

 

 

		Выбор другого элемента

 

4) Отказ КМОП БИС от тиристорного эффекта (защелкивания), вызванного отдельными высокоэнергетическими частицами. Этот отказ проявляется через потерю работоспособности БИС с резким возрастание тока, протекающего через нее по цепям питания, от которого эта БИС обычно сгорает.

Основная мера защиты от накапливаемых радиационных эффектов – создание защитных физических экранов из соответствующих материалов и

соответствующей толщины корпуса системы и её приборов, элементов. Эта мера недостаточно эффективна для защиты от высокоэнергетических частиц, прилетающих из космического пространства. В этом случае рекомендуется либо ограничение степени интеграции БИС значение топологической нормы 0, 25-0, 3 мкм, либо специально разработанные радиационно-стойкие БИС, имеющие в топологии внутренние конструктивные средства защиты. Конечно, такие БИС гораздо дороже обычных и также имеют пониженную степень интеграции.

 

Классификация элементной базы по качеству изготовления и допустимым значениям ВВФ.

 

Затронув тему значительных уровней ВВФ нельзя не рассмотреть проблему импортной элементной базы и импортного ПО, применяемого повсеместно в настоящее время при создании устройств ЛВС.

Элементная база для устройств информационных технологий должна применяться и испытываться с учетом условий ее эксплуатации в этих устройствах. В настоящее время в России вследствие известных событий она в основном импортного производства. Это создает ряд дополнительных проблем ИБ. По степени защищенности от ВВФ и по степени надежности западная техническая политика и практика разделяет элементную базу на три класса:

· industrial;

· military;

· space.

Отличия состоят в повышенных уровнях ВВФ в степени контроля качества при производстве, наличие в двух последних случаях военной приемки и специальной аттестации технологического оборудования, дополнительного объема отбраковочных испытаний. В ряде случаев отличается конструкция корпусов и самих микросхем. В результате функционально одна и та же микросхема, но сделана по технологии разных классов отличается по стоимости. В среднем стоимость military на порядок выше, чем industrial, а space на порядок дороже military.

Однако, увеличение стойкости и надежности элементов оправдывает это увеличение стоимости. При этом поставка в РФ микросхем последних двух классов оговаривается часто неприемлемыми условиями.

Главная проблема состоит в том, что исходная сертификация импортной электронной базы особенно industrial не всегда прозрачна, также как и непрозрачен поставщик. Объем сопроводительной документации недостаточен для правильного конструирования и эксплуатации аппаратуры.

Часто встречаются ситуации, когда условия применения элементов в конкретных отечественных системах не соответствует условиям испытаний разработчика и поставщика и не соответствует их документации. Все это делает в ответственных случаях для критических систем обязательным проведение собственных сертификационных испытаний импортных элементов.

 

Проблема импортной элементной базы и ПО.

Сертификация и лицензирование как методы обеспечения ИБ.

 

Для удостоверения качества, надежности и безопасности применяемых технических средств, в том числе ЛВС СТС, и ПО информационных технологий их следует подвергать сертификации в специально аттестованных испытательных лабораториях у производителей либо специальных лабораториях. Сертификационные испытания должны устанавливать соответствие характеристик средств ИТ и ПО, документации на них в пределах заданных изменений параметров внешней среды.

Если все испытания на заданные требования прошли успешно, то испытанным средствам ИТ и ПО выдается сертификат соответствия. Сертификационные испытания должны проводиться в лицензированных организациях, имеющих Государственную лицензию на проведение такого рода деятельности.

Лицензия – специальное разрешение, выдаваемое государством, на осуществление конкретного вида деятельности организации любого вида собственности при обязательном соблюдении лицензионных требований и условий, наличия необходимого оборудования и обученных кадров.

При использовании импортного ПО и технических средств ИТ, что в условиях РФ повсеместно имеет место, в них возможны как злоумышленные, так и случайные непредумышленные ошибки, отказы, нарушения ИБ. Парадокс, но в этом сугубо техническом вопросе исходно интересы потребителя при использовании импортных средств и ПО защищаются таможенными органами, которые следят за наличием международного сертификата импортированной продукции. При этом считается, что злоумышленные вирусы и закладки маловероятны в серийных широко тиражируемых в мире авторитетных продуктах авторитетных производителей. Однако гарантий на этот счет нет, а закладки могут быть сделаны спецслужбами помимо воли авторитетных производителей.

Поэтому применение в отечественных разработках критических систем импортной элементной базы, устройств и ПО должно сопровождаться дополнительными сертификационными испытаниями и прежде всего, следует полностью отказаться от применения контрафактных (нелегальных) программ и электронных элементов, происхождение которых не прослеживается (не прозрачно).

 

Вопросы для повторения

Компьютерные технологии в системах автоматизации и управления. Основные понятия теории надежности

Типовые информационные процессы в системах автоматизации и управления.

Классификация систем автоматизации и управления

⇐ Предыдущая3456789101112

Поделиться: