文档介绍:安全关键软件开发
黄锡滋张昊
在涉及计算机软件属性的名词中,Security 和Safety都译为安全性,然而二者含义有很大差别。软件的Security是指计算机系统或网络保护用户数据隐秘、完整,保护数据正常传输和抵御黑客、病毒攻击的能力。这方面的问题,影响到使用计算机的千家万户,早已深受社会各界重视。软件的安全性(Safety)是指软件所具有的防范系统设备损坏,防范人员伤亡和发生危及社会安全事件的能力。并不是所有软件都需要具有安全性(Safety)属性,所以受到的关注程度,远小于前者。然而对于安全关键软件而言,特别是对于高技术装备、军用装备中各种安全关键软件,安全性(Safety)容不得半点差错,必须予以高度重视。本文讨论的安全性是指Safety而言。
一、安全关键软件的安全性问题
软件存在安全问题,决非凭空虚构,过去的三十年,由软件触发的重大安全问题,层出不穷,下面是其中影响比较大的几个案例。
1. 印度博帕尔(Bhopal)有毒气体泄漏事件1]
1984年12月3日凌晨,印度中央邦首府博帕尔市北郊,美国联合碳化物公司印度公司农药厂一个储气罐内的压力急剧上升。储气罐装有45吨用于制造农药西维因和涕灭威的原料——液态剧毒异氰酸甲酯。3日0时56分,储气罐阀门失灵,罐内的剧毒化学物质开始泄漏,并以气态迅速向外扩散,直接致使3150人死亡,5万多人失明,近8万人终身残疾,15万人接受治疗,受影响人口多达150余万,目前博帕尔大量居民仍依靠受污染的地下水生存。
此次事故是人为错误和安全防御系统的缺陷共同导致,其中系统的控制软件,当硬件发生故障时缺乏安全防御功能,是事故不能及时制止迅速漫延的重要原因。
2. 美军爱国者导弹拦截失败事件2]
1991年在沙漠风暴战斗中,美军发射爱国者导弹拦截伊拉克飞毛腿导弹袭击时发生故障,致使28名士兵死亡。事后查明,是由于爱国者导弹的内部软件计时系统的时间和全球卫星计时系统时间存在误差,导致拦截失败所致。
3. 伊朗航空655班机空难事件2]
1988 年7月3日,搭载的神盾武器系统造价十亿美元的美国文森斯号巡洋舰,因为目标识别系统的软件缺陷,将伊朗航空655班商用客机误判为来袭的F14战机。巡洋舰舰长下令对这架飞机发射导弹袭击。造成机上290人身亡,其中包括66名孩童。全球为之震惊。
4. 美国放射治疗仪超剂量辐射事件3]
上世纪80年代中期、美国和加拿大的Therac 25放射治疗仪,发生多次医疗事故,若干病人多次诉讼,设备制造商一再推诿,直至 80年代末,才最终确定是由超计量辐射造成的恶性事故,深层的原因则是系统和软件的安全性设计方面存在严重问题。
5. 阿丽亚纳5号火箭首发失败事件4]
1996年欧洲航天局首次用新型的阿丽亚娜5号火箭发射卫星,升空后仅30秒,火箭发生爆炸,导致任务完全失败,直接损失5 亿美元,还使耗资已达80 亿美元的开发计划推迟了近三年,事故的原因是火箭控制系统的软件故障。
这些严重事件说明了软件安全性的重要性,和安全事故后果的严重性,对于安全关键软件,存在的问题必须在开发过程中,找到有效的方法加以解决,
二、危险识别和分析。
为了能够及早解决软件的安全性问题,必须在软件开发之初,项目管理人员和设计团队就应清楚地认识项目可能存在的危险和危险事件发生的原因。所以危险识别和分析至关重要。识别和分析即有联系又有区别。识别的要求比较明确,目的就是找出系统的各种危险事件。分析不仅要求找出危险事件,而且需要找出事件发生的深层原因,从而有利于制定防范和消除的对策
软件本身仅是一些书写和存储在计算机和芯片中的语句,孤立的看,它本身不存在危及人类的安全问题。软件对人类和社会安全的影响,是通过它控制的硬件和系统产生的,因此软件系统危险识别和分析实际上是分两步进行。第一步是对系统和硬件的危险事件识别和分析,此后危险事件涉及的硬件,只要是包含嵌入式芯片或储存有控制软件,动作受软件控制或受软件的影响,就应该继续进行软件层次的危险分析。现在有实用价值的识别和分析方法有下列几种。
1. 德尔菲方法2]
德尔菲方法是一种危险识别方法,由美国兰德公司在上世纪80年代提出。德尔菲方法实质上是一种专家意见收集和综合分析方法,它采用问卷调查和投票选择,广泛征求有关专家的意见。德尔菲方法要求主持人注意对提出意见的专家身份和意见保密,避免影响意见独立性和不同意见人士之间的矛盾和冲突。问卷调查和投票需要多次反复才能使问题逐渐明确,重点逐渐凸现。德尔菲方法的缺点是需要占用相当长的时间,可能对项目的进度产生影响。
2. 联合应用程序设计法(JAD)5]
联合应用程序设计法(joint application design )属于危险识别方法,是IBM提出的一种头脑风暴法,