20、利用冗余增强安全关键系统的安全性

利用冗余增强安全关键系统的安全性

1. 引言

在铁路领域，可靠性、可用性、可维护性和安全性（RAMS）被视为衡量系统能否按指定要求运行、保持可用且安全的重要指标。安全意味着对用户和环境无灾难性后果，而可靠性则体现为持续提供正确服务的能力，二者紧密相连。

实现可靠性的主要手段是容错，容错旨在防止组件故障扩散至系统边界导致系统失效。实施容错会在系统设计中引入冗余，因此安全关键系统（如铁路系统）通常具有较高的冗余度。

许多安全关键系统（如铁路系统）寿命较长，往往超过25年。早期设计的遗留系统无法抵御现代网络威胁，引入安全控制机制又需大量的重新设计和重新认证成本，这促使我们研究能否利用安全关键系统中固有的冗余来增强网络安全保护。

本文将采用定量方法，分析经典冗余架构抵御网络攻击的能力，依据攻击成功的可能性确定网络安全保护的优先级，优化实施网络安全保护的投资和时间。

2. 安全关键系统中的冗余架构

容错的主要目标是防止故障传播到系统边界。故障可能表现为硬件组件故障、软件漏洞、内存损坏等，会通过错误检测机制被发现，随后进行错误限制和恢复。

• 硬件组件故障示例 ：传感器测量参数并将数据输入控制组件，控制组件检查输入是否在可行范围内，若不在则忽略该输入，这是错误检测和限制。控制设备可使用上一个有效值来容错，并切换到备用组件进行错误恢复。
• 软件故障示例 ：软件中的错误（通常称为漏洞）在执行时会引发异常，这是错误检测和限制，随后执行异常处理程序进行错误恢复。

容错通常需要某