Inhalt -
Zwei tragische Korrekturen -
Wie Aussagen über die Sicherheit zu verstehen sind -
Ein einfaches sicheres System -
Eine neue Verwundbarkeit -
Softwarebasierte Fehlererkennung -
Das 2oo2-System -
Annahmen über die Speicherbausteine -
Annahmen über den Umgang mit Speicherfehlern -
Berechnung ohne softwarebasierte Fehlererkennung -
Berechnung mit softwarebasierter Fehlererkennung -
Zusammenfassung der Erkenntnisse bezüglich softwarebasierter Fehlererkennung -
Ein neuer Ansatz -
[+]
Inhalt
Ein konkretes Sicherheitsproblem mit überhastetem Aktionismus beheben zu wollen, ohne dabei sorgfältig die Verlässlichkeit des Gesamtsystems zu untersuchen, kann viel Arbeit mit wenig Nutzen bedeuten und sogar ungewollt neue, erhebliche Probleme ...
Zwei tragische Korrekturen
Gut gemeinte, aber schlecht durchdachte „Lösungen“ können oftmals genau die Tragödien hervorrufen, die sie eigentlich verhindern sollten. Zwei Beispiele, eines aus der Schifffahrt und eines aus der Luftfahrt, veranschaulichen dies deutlich: Die erste Tragödie ereignete sich 1915 auf ...
Wie Aussagen über die Sicherheit zu verstehen sind
Beim Entwurf eines sicheren Softwaresystems müssen ganz zu Anfang die Sicherheitsanforderungen ermittelt werden. Im Einzelnen sind dies:
- der erforderliche Verlässlichkeitsgrad bzw. die akzeptable Ausfallrate des Systems ...
Ein einfaches sicheres System
Im Folgenden betrachten wir einen sehr einfachen hypothetischen Controller für ein (ebenso hypothetisches) System für vollautomatischen Zugbetrieb (Automated Train Operations – ATO), das im Führerstand von führerlosen S-Bahn-Zügen zum Einsatz ...
Eine neue Verwundbarkeit
Die Auswirkungen von Strahlung auf den Arbeitsspeicher von Computern sind zwar schon lange bekannt, aber Speicherfehler aufgrund von Höhenstrahlung wurden bei den ursprünglichen Spezifikationen nicht berücksichtigt. ...
Softwarebasierte Fehlererkennung
Da Speicherfehler das Problem sind, erscheint es naheliegend, eine Funktion zur Erkennung von Speicherfehlern zu implementieren. Bevor wir dies tun, sollten wir uns sicher sein, dass diese Lösung: ...
Das 2oo2-System
Das 2oo2-Design, das unserem ATO-Controller das Verlassen seines Design Safe State ermöglicht, so dass er seine Aufgaben zum Betrieb der S-Bahn wahrnehmen kann, funktioniert wie folgt: ...
Annahmen über die Speicherbausteine
Wir nehmen an, dass die Speicherbausteine (DIMMs) in unserem 2oo2-System über eingebaute Einzelbit- und Mehrbit-ECC-Fehlererkennungsalgorithmen auf Basis eines Hamming-Codes mit einem Mindestabstand von 4 verfügen. Wir nehmen außerdem an, ...
Annahmen über den Umgang mit Speicherfehlern
Es gibt drei mögliche Arten von Speicherausfällen. Bezüglich des Umgangs mit diesen drei Fehlerarten treffen wir folgende Annahmen: ...
Berechnung ohne softwarebasierte Fehlererkennung
Um die Häufigkeit gefährlicher Ausfälle abzuschätzen, haben wir 100 Mal eine Simulation von 109 Jahren (ca. 88 × 1012 Stunden) ausgeführt. Dabei haben wir genug Daten erhalten, um ein Konfidenzintervall berechnen zu können. Die Ergebnisse unserer ...
Berechnung mit softwarebasierter Fehlererkennung
Eine softwarebasierte Fehlererkennung auf Applikationsebene arbeitet mit einer relativ geringen Geschwindigkeit (ca. 23 h zum Testen von 2 GB Speicher) . Deshalb kann davon ausgegangen werden, dass ECC-Hardware sowohl korrigierbare als auch nicht ...
Zusammenfassung der Erkenntnisse bezüglich softwarebasierter Fehlererkennung
Das 2oo2-Modell hat sich als hervorragendes Controller-Design erwiesen, das die Sicherheit des