SISTEMAS CRITICOS

©Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 3 Slide 1

Sistemas Críticos


Objetivos

Explicar qué se entiende por sistema crítico en el que el fallo del sistema puede tener graves consecuencias económicas o humanas.

Explicar las cuatro dimensiones de la confiablidad de un sistema – disponibilidad, fiabilidad, seguridad y protección.

Explicar que, para lograr la confiabilidad, es necesario evitar los errores, detectar y eliminar los errores y limitar los daños causados por el fracaso.


Tópicos Expuestos

Un sistema de seguridad crítico Confiabilidad del sistema Disponibilidad y fiabilidad Seguridad Protección


Sistemas Críticos

Los sistemas críticos de seguridad• Las fallas se traducen en pérdida de vidas, lesiones o

daños para el entorno;• Sistema de protección de una planta química;

Sistemas de misión crítica• La falla da lugar a fallar en actividades dirigidas hacia

una meta;• Sistema de navegación de naves espaciales;

Los sistemas críticos de negocio• Las fallas se traducen en altas pérdidas económicas;• Sistema de contabilidad de clientes en un banco;


Confiabilidad del sistema

Para los sistemas críticos, por lo general se da el caso de que la propiedad más importante es la fiabilidad del sistema.

La fiabilidad de un sistema refleja el grado de confianza en dicho sistema por parte del usuario. Refleja el grado de confianza del usuario de que el sistema va a funcionar como los usuarios esperan y que no ‘fallará' en condiciones normales de uso.

Utilidad y confiabilidad no son la misma cosa. Un sistema no tiene que ser de confianza para ser útil.


Importancia de la fiabilidad

Sistemas que no son fiables y son desconfiables, inseguros o no protegidos pueden ser rechazados por sus usuarios.

Los costes de fallo del sistema pueden ser muy altos.

Sistemas no confiables pueden causar la pérdida de información con una consiguiente recuperación de alto costo.


Metodologías de desarrollo para sistemas críticos

Los costos de error de sistemas críticos son tan elevados que la metodología de desarrollo puede ser no rentable para otros tipos de sistema.

Ejemplos de metodologías de desarrollo• Métodos formales de desarrollo de software• Análisis estático• Garantía externa de la calidad


Sistemas socio-técnicos críticos

Fallo de hardware• El hardware falla debido a errores de diseño y

fabricación o bien a que éstos componentes han finalizado su periodo de vida útil.

Fallo de software• Software falla debido a errores en su

especificación, diseño o implementación. Fallo de funcionamiento

• Operadores humanos cometen errores. Actualmente tal vez la principal causa de los fallos del sistema.


Software de control para una bomba de insulina

Utilizados por los diabéticos para simular la función del páncreas que produce insulina, una hormona que metaboliza la glucosa en la sangre.

Mide la glucosa en la sangre (azúcar) con micro-sensores y calcula la dosis de insulina necesaria para metabolizar la glucosa.


Estructura de la bomba de insulina


Modelo de flujo de datos de la bomba de insulina


Requerimientos de confiabilidad

El sistema se pondrá a disposición de entregar la insulina cuando sea necesario hacerlo.

El sistema actuará confiablemente y entregará la cantidad correcta de insulina para contrarrestar el actual nivel de azúcar en la sangre.

El requisito de seguridad esencial es que excesivas dosis de insulina nunca deben ser bombeadas ya que estas son potencialmente mortales.


Confiabilidad

La confiabilidad de un sistema equivale a la fiabilidad del mismo.

Un sistema fiable es un sistema que es de confianza para sus usuarios.

Principales aspectos de la confiabilidad son los siguientes:• Disponibilidad;• Fiabilidad;• Seguridad;• Protección


Aspectos de confiabilidad


Otras propiedades de confiabilidad

Reparabilidad• Refleja el grado en que el sistema puede ser reparado en

caso de un fracaso Mantenibilidad

• Refleja el grado en que el sistema puede ser adaptado a las nuevas necesidades;

Supervivencia• Refleja el grado en que el sistema puede ofrecer

servicios bajo ataque hostil; Tolerancia de error

• Refleja el grado en que los errores introducidos por el usuario pueden ser evadidos y tolerados.


Mantenibilidad

Un atributo del sistema que se refiere a la facilidad de reparar el sistema después de que una falla ha sido descubierta o cambiar el sistema a fin de incluir nuevas características

De gran importancia para los sistemas críticos puesto que comúnmente se introducen fallas al sistema debido a problemas de mantenimiento

La mantenibilidad es distinta de otros aspectos de la confiabilidad, porque es un atributo estático y no dinámico. No contemplo ello en este curso (El Autor).


Supervivencia

La capacidad de un sistema para seguir prestando sus servicios a los usuarios frente a un ataque deliberado o accidental

Este es un atributo de cada vez más importancia para los sistemas distribuidos, cuya seguridad personal puede verse comprometida

La supervivencia incluye la noción de resistencia - la capacidad de un sistema para seguir en funcionamiento a pesar de los fallos de componentes


Confiabilidad vs Funcionamiento

Sistemas poco fiables pueden ser rechazados por sus usuarios

El costo de fallas del sistema puede ser muy alto Es muy difícil de ajustar los sistemas para hacerlos

más fiables Es posible compensar sistemas de funcionamiento

pobre Los sistemas no confiables pueden causar la

pérdida de información valiosa


Confiabilidad y costos

Los costos de funcionamiento eficiente y confiable tienden a aumentar de forma exponencial al incrementar los niveles de confiabilidad requeridos

Hay dos razones para ello• El uso de técnicas de desarrollo y hardware más caros

que se requieren para alcanzar los niveles más altos de fiabilidad

• El aumento de las pruebas y la validación del sistema que se necesita para convencer al cliente de que el sistema ha logrado los niveles de fiabilidad requeridos


Confiabilidad y costos


La economía de la confiabilidad

Debido a costos muy elevados de logro de fiabilidad, puede ser más rentable aceptar sistemas no confiables y pagar los costes de fallos del mismo

Sin embargo, esto depende de factores sociales y políticos. Repudiar supuestos sistemas no confiables puede dar lugar a futuros negocios perdidos

Depende del tipo de sistema - para sistemas empresariales, en particular, los niveles de confiabilidad modesta puede ser adecuada


Disponibilidad y fiabilidad

Fiabilidad• La probabilidad de fallo libre de la operación del

sistema durante un período de tiempo determinado en un entorno determinado para un propósito determinado

Disponibilidad• La probabilidad de que un sistema, en un punto

en el tiempo, estará en funcionamiento y capaz de ofrecer los servicios solicitados

Ambos de estos atributos pueden expresarse cuantitativamente


Disponibilidad y fiabilidad

A veces es posible incluir la disponibilidad del sistema en virtud de la fiabilidad del sistema• Obviamente, si un sistema no está disponible no se

hace entrega de los servicios específicos del sistema

Sin embargo, es posible disponer de sistemas de baja confiabilidad que deben estar disponibles. Siempre y cuando los fallos en el sistema puedan ser reparados rápidamente y no dañar los datos, la baja fiabilidad puede no ser un problema

La disponibilidad toma en cuenta tiempo de reparación


Terminología de la fiabilidad


Defectos y Fallos Los fallos son por lo general una consecuencia de

los errores del sistema que se derivan de defectos en el sistema

Sin embargo, los defectos no necesariamente resultan en errores de sistema• El defectuoso estado del sistema puede ser temporal y

"corregido" antes de que un error surja Errores no conducen necesariamente a los fallos en

el sistema• El error puede ser corregido por un sistema de detección

de errores incorporado, y ser recuperado• Puede protegerse de fallos mediante instalaciones

protectoras incorporadas o sistemas de detecciones. Estos pueden, por ejemplo, proteger los recursos del sistema de errores de sistema


Percepciones de confiabilidad

La definición formal de la fiabilidad no siempre refleja la percepción del usuario acerca de la fiabilidad de un sistema• Los supuestos que se hacen sobre el entorno en el que un

sistema será utilizado pueden ser incorrectos• El uso de un sistema en un entorno de oficina puede ser muy

diferente de la utilización del mismo sistema en un entorno universitario

• Las consecuencias de los fallos en el sistema afecta a la percepción de confiabilidad• Limpiaparabrisas poco confiables de un coche pueden ser

irrelevantes en un clima seco• Las fallas que tienen consecuencias serias (tales como una

avería en el motor de un automóvil) tienen mayor peso por parte de los usuarios que otras fallas inadecuadas.


Logros de Confiabilidad

Evitación de la culpa• Técnica empleada en el desarrollo que se utiliza ya sea

para reducir al mínimo la posibilidad de errores o trampas antes de que resulten introduciéndose errores al sistema

Detección y eliminación de defectos• Son usadas técnicas de verificación y validación que

aumentan la probabilidad de detectar y corregir errores antes de que el sistema entre en servicio

Tolerancia a fallos• Técnicas en tiempo de ejecución que se utilizan para

garantizar que los defectos del sistema no dan lugar a fallos de sistema y / o que los errores de sistema que no dan lugar a fallos en el sistema


Modelado Confiable

Puede modelarse un sistema como un mapa de entrada-salida donde algunas entradas se traducirán en resultados erróneos

La fiabilidad del sistema es la probabilidad de que una determinada entrada estará dentro de un conjunto de entradas que causan salidas erróneas

Diferentes personas utilizan el sistema en diferentes formas, por lo que esta probabilidad no es un atributo estático del sistema, pero depende del entorno del sistema


Correspondencia entre entradas y salidas


Patrones del uso de Software


Mejora de la confiabilidad

X% de la eliminación de los defectos en un sistema no necesariamente mejoran la fiabilidad en un X%. Un estudio de IBM demostró que la eliminación del 60% de los defectos de los productos resultó en un 3% de mejora en la fiabilidad

Los defectos del programa pueden estar en las secciones raramente ejecutadas del código, de manera que tal vez nunca sean encontrados por los usuarios. La eliminación de estos no afecta a la percepción de fiabilidad

Un programa con defectos conocidos todavía puede ser visto como fiable por sus usuarios


Seguridad

La seguridad es una propiedad de un sistema que refleja la capacidad del sistema para operar normalmente o anormalmente, sin peligro de causar lesiones o la muerte humana y sin daño para el entorno del sistema

Es cada vez más importante considerar seguridad del software pues los dispositivos incorporan cada vez más sistemas de control basados en software

Los requisitos de seguridad son exclusivos, es decir que excluyen situaciones indeseables en lugar de especificar los servicios requeridos del sistema


Sistemas de seguridad críticos primarios• Sistemas de software embebido cuyo fallo puede hacer

que el hardware asociado falle y amenace directamente a la gente.

Sistemas de seguridad críticos secundarios• Sistemas cuyo fallo se traduce en fallas de otros

sistemas que pueden amenazar a la gente Se hace un enfoque en los sistemas de seguridad

críticos primarios• Los sistemas de seguridad-críticos secundarios se

pueden considerar solamente sobre una base única

Seguridad-criticidad


La seguridad y la fiabilidad están relacionadas pero son distintas• En general, la fiabilidad y la disponibilidad son

condiciones necesarias pero no suficientes para un sistema de seguridad

La fiabilidad se refiere a la conformidad con un pliego de condiciones y la entrega de servicio

Seguridad hace referencia a que el aseguramiento del sistema no pueda causar daño alguno, independientemente de sise ajusta a su especificación o no

La seguridad y la fiabilidad


Especificación de los errores• Si la especificación del sistema es incorrecta,

entonces el sistema puede comportarse tal como se especifica causando así un accidente

Fallas de hardware que generan entradas falsas• Difíciles de prever en la especificación

Comandos sensibles al contexto, es decir que publican el comando correcto en el momento inadecuado• A menudo es resultado de los errores de los

operadores

Sistemas confiables no seguros


La terminología de seguridad


Logros de seguridad

Evitar los peligros• El sistema está diseñado de modo que algunas clases de

peligro no puede surgir. Detección y eliminación de peligros

• El sistema está diseñado de manera que los peligros se detectan y se retiran antes de resultar en un accidente

Limitar los daños• El sistema incluye características de protección que

minimicen los daños que pueden derivarse de un accidente


Accidentes normales

Los accidentes en los sistemas complejos raramente tienen una única causa, ya que estos sistemas están diseñados para ser resistentes a un único punto de fallo• Diseñar sistemas de forma que un único punto de fallo no

provoque un accidente, es un principio fundamental del diseño de sistemas de seguridad

Casi todos los accidentes son el resultado de combinaciones de fallos de funcionamiento

Es probablemente el caso de que la previsión de todas las combinaciones del problema, sobre todo, en sistemas controlados por software es imposible, así que alcanzar de manera completa la seguridad es imposible


Protección

La protección de un sistema es una propiedad del sistema que refleja la capacidad del sistema para protegerse de un ataque exterior accidental o deliberado

La protección es cada vez más importante a medida que los sistemas emplean redes, debido a la posibilidad de acceso externo al sistema a través de Internet.

La protección es un requisito previo esencial para la disponibilidad, fiabilidad y seguridad


Protección Fundamental

Si un sistema es un sistema de red, es inseguro, luego las declaraciones acerca de su fiabilidad y su protección no son fiables

Estas declaraciones dependen de que el sistema de ejecución y el sistema que se desarrolló sean el mismo. Sin embargo, la intrusión puede cambiar el sistema de ejecución y / o sus datos

Por lo tanto, la fiabilidad y la garantía de protección ya no son válidas


La terminología de protección


Los daños provocados por la inseguridad

Denegación de servicio• El sistema se ve obligado a un estado donde no se

dispone de los servicios normales de prestación de servicios o cuando es degradado

La corrupción de los programas o datos• Los programas o datos en el sistema pueden ser

modificados de manera no autorizada Divulgación de información confidencial

• Información que es administrada por el sistema puede estar expuesta a personas que no están autorizadas a leer o utilizar esa información


Garantía de Protección

Evitar la vulnerabilidad• El sistema está diseñado de modo que la vulnerabilidad

no se produzcan. Por ejemplo, si no hay ninguna conexión de red externa a continuación, las agresiones externas son imposibles

Ataque de detección y eliminación• El sistema está diseñado para que los ataques a las

vulnerabilidades se detectan y neutralizan antes de que deriven en una exposición. Por ejemplo, detectores de virus encuentran y eliminan los virus antes de infectar un sistema

Limitación de la exposición• El sistema está diseñado para que las consecuencias

adversas de un ataque con éxito se reducen al mínimo. Por ejemplo, una copia de seguridad de la información permite que se restablezca información dañada


Puntos clave

Un sistema crítico es un sistema donde el fracaso puede conducir a altas pérdidas económicas, daños físicos o de amenazas a la vida.

La confiabilidad en un sistema refleja la confianza del usuario en ese sistema

La disponibilidad de un sistema es la probabilidad de que pueda estar disponible para prestar servicios cuando se solicite

La fiabilidad de un sistema es la probabilidad de que los servicios del sistema serán entregados, tal como se especifica

Fiabilidad y disponibilidad son generalmente vistos como condiciones necesarias pero no suficientes para la seguridad y la protección


Puntos clave

La fiabilidad se relaciona con la probabilidad de que se produzca un error en el uso operativo. Un sistema con fallas conocidas puede ser fiable

La protección es un atributo del sistema que refleja la capacidad del sistema para funcionar sin poner en peligro las personas o el entorno

La seguridad es un atributo del sistema que refleja la capacidad del sistema para protegerse de las agresiones externas

La mejora de la fiabilidad requiere un enfoque socio-técnico para el diseño, en la que considera a los seres humanos, así como el hardware y el software

SISTEMAS CRITICOS

Documents

Transcript of SISTEMAS CRITICOS