当前位置:文档之家 › 第九章要求极高的系统的描述

第九章要求极高的系统的描述

  • 格式:doc
  • 大小:81.00 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

第九章 地层单位和地层系统

第九章 地层单位和地层系统

分布范围,而是通过
这些生物界面而限定 的生物面来定义。
以a类消失和b类消 失 定义一个地层间隔
谱系带
含有代表进化谱系中某一特定化石的地层体。 它既可以是某一化石分类单元在一个演化谱系中的延限,也可以是该化石分类 单元后裔分类单元出现前的那段延限。 种系带的界限是通过演化谱系中化石的最低存在生物面来确定的。
组合带
特有的化石组合所占有的地层。该地层中所含的化石或其中一类化石,从整 体上说构成一个自然的组合,并且该组合与相邻地层中的生物化石组合有明 显不同。
间隔带/ Interval Zone
位于两个特定的生 物面之间的地层体。 不一定是某一个或 几个生物分类单元的
以a类最低存在界面 和b类最高存在界面 定义一个地层间隔
分级:群、组、段、层
Group→ Formation →Member →Bed
岩石地层单位-组
定义:组是基本的岩石地层单位,具有相对
一致的岩性、岩相和变质程度,且具有一定 结构类型的地层体。
建组条件:
1)岩性相对一致(均一、夹层、互层或特别复杂); 2)内部结构一致(内部不分段的组为一种结构类型,
延限带Range Zone-选定化石的延限范围所代表的地层 顶峰带Abundance Zone-以某个特有分类单元或一组特定
生物带 Biozone
分类单元的丰度明显高于相邻地层丰度的地层体 组合带Assemblage Zone-以三个或更多化石分类单元构 成的组合或伴生视为一整体,而有别于相邻地层 间隔带Interval Zone-两个特定生物面之间的含化石地层 谱系带Lineage Zone-含有代表进化种系中某一特定片断 化石的地层
很明显,生物地层各单位之间不存在 大小级别关系; 并非所有地层都能用生物地层学方法 进行划分对比; 因而,生物地层单位本身并不构成独 立的地层系统 但是生物地层仍是目前进行远距离、 高精度(古生代以来)地层对比所普 遍采用的、较为可靠的方法

数据库系统原理课后答案 第九章

数据库系统原理课后答案 第九章

9.1 名词解释(1)OODBS:是指面向对象数据库系统,它既具数据库管理的基本功能,又能支持面向对象的数据模型。

(2)ORDBS:基于对象关系数据模型的DBS称为对象关系数据库系统(ORDBS)。

(3)平面关系模型:传统的关系模型称为“平面关系模型”,它要求关系模式具有第一范式(1NF)性质,关系具有规范化的结构。

也就是规定属性值是不可分解的,即不允许属性值具有复合结构(元组或关系)。

(4)嵌套关系模型:是从平面关系模型发展而成的。

它允许关系的属性值又可以是一个关系,而且可以出现多次嵌套。

嵌套关系突破了1NF的定义框架,是“非1NF关系”。

(5)复合对象模型:在嵌套关系模型上进一步放宽要求。

在关系定义上,集合与元组不再有交替出现的严格限制,此时的关系中,属性类型可以是基本数据类型、结构类型(元组类型)或集体类型(即关系类型)。

(6)数据的泛化/细化:是对概念之间联系进行抽象的一种方法。

当在较低层上的抽象表达了与之联系的较高层上抽象的特殊情况时,就称较高层上抽象是较低层上抽象的"泛化",而较低层上抽象是较高层上抽象的"细化"。

(7)对象关系模型:在传统关系数据基础上,提供元组、数组、集合等更为丰富的数据类型及处理新数据类型操作的能力而形成的数据模型。

(注:传统关系模型只支持字符、数值、字串,布尔值等等基本数据类型及其处理功能)(8)类型级继承性:当继承性发生在类型级时,子类型继承了超类型的属性。

也就是说,超类型所具有的属性,在子类上也具有。

(9)表级继承性:继承性也可发生在表级,(就是元组集合上发生继承),子表继承超表全部属性,超表中每个元组最多可以与子表中一个元组对应,而子表中的每个元组在超表中恰有一个元组对应,并在继承的属性值上具有相同的值。

(10)引用类型:数据类型可以嵌套定义,在嵌套引用时,不是引用对象本身,而是个用对象标识符(即指针),这种指针被称为引用类型。

第九章 闭环系统的辨识

第九章 闭环系统的辨识

定义1:系统可辨识
ˆ 如果 θ ( L, ϕ , μ , Γ, Η ) W .P.1 DT (ϕ , μ )
L→∞
P ˆ inf θ ( L, ϕ , μ , Γ, Η ) − θ 0 ⎯W .⎯→ 0 ⎯ .1 L→∞

θˆ∈DT (ϕ , μ
则称系统 ϕ 在模型类 μ 、辨识方法 Γ 及实验条件 Η 下是系统可辨识的,记作 SI ( μ , Γ, Η ) 。 定义2:强系统可辨识 如果系统 ϕ 对一切使得 DT (ϕ , μ ) 非空的模型都是 条件 Η 下是强系统可辨识的,记作 SSI ( μ , Γ, Η ) 。
ˆ L(θ o ) ② 定义似然比函数 λ = ˆ L(θ c )
H o ( z − 1 ) 和 H c ( z −1 )
ˆ ⎡V (θ o ) ⎤ λ=⎢ ˆ o )⎥ ⎣V (θ ⎦
ˆ V (θ o )
L 2
ˆ V (θ c ) 输出残差的方差。
⎡ Nc − No λ = ⎢1 + L − Nc ⎣ ⎤ t⎥ ⎦
一.谱因子分解法 谱因子分解法是判别确定性系统输出与输入之间是 否存在反馈作用的一种常用方法。 1. 基本原理
{u (k )} 表示系统的输入数据序列;
{ y ( k )} 表示系统的输出数据序列;
Ruu (l )
Suu ( z )
Ruy (l ) 表示数据的相关函数
S uy (l ) 表示数据的离散谱密度(相关函数的z变换 )
Α( z −1 ) z (k ) = Β( z −1 )v(k )
置 θ c = [α 1 ,α 2 , ,α l , β 1 , β 2 , , β r ]τ 利用增广最小二乘法等开环辨识方法便可获得 ˆ ARMA模型的参数估计值 θ c 。 如果反馈通道的模型阶次不低于前向通道的模型 阶次,则前向通道模型是参数可辨识的。此外,无论 是前向通道还是反馈通道如果存在纯迟延环节,闭环 系统的可辨识性条件更加容易满足。

电力拖动自动控制系统:运动控制系统:第九章

电力拖动自动控制系统:运动控制系统:第九章

图9-12 双环位置伺服系统结构图
§9.3伺服系统的设计
三.双环位置伺服系统
系统的开环传递函数为
W op (s)
系统的开环放大系数
K p ( i s 1) CT /( jJ ) K ( i s 1) 3 2 is s (Ti s 1) s (Ti s 1)
K
三.双环位置伺服系统
由Routh稳定判据求得系统稳定的条件
i d Ti ( i d ) K ( i d )( i d Ti ( i d )) 1
图9-13 采用PID控制的双环控制伺服系统开环传递函数对数幅频特性
§9.3伺服系统的设计

常用的调节器有比例-微分(PD)调节器、比例-积分(PI)调 节器以及比例-积分-微分(PID)调节器,设计中可根据实际 伺服系统的特征进行选择。
§9.3伺服系统的设计
一.调节器及其传递函数

在系统的前向通道上串联PD调节器校正装置,可以使相位超前, 以抵消惯性环节和积分环节使相位滞后而产生的不良后果。

机械传动机构的状态方程
d m dt j
§9.2伺服系统控制对象的数学模型
一.直流伺服系统控制对象的数学模型

驱动装置的近似等效传递函数

状态方程
Ks Ts s 1
dUd 0 Ks 1 Ud0 uc dt Ts Ts
§9.2伺服系统控制对象的数学模型
一.直流伺服系统控制对象的数学模型
图9-11 双环位置伺服系统
§9.3伺服系统的设计
三.双环位置伺服系统
忽略负载转矩时,带有电流闭环控制对象的传递函数为
Wobj ( s )

《给排水管道系统》第九章 水管、管网附件和附属构筑物

《给排水管道系统》第九章 水管、管网附件和附属构筑物
在给水管网中,通常只在管径大和水 压高处,以及因地质、地形条件限制或穿 越公路、河谷和地震地区使用。
钢管用焊接或法兰接口。
第9章 水管、管网附件和附属构筑物
9.1 水管材料和配件 镀锌钢管存在锈蚀问题,影
响水质和使用年限,已经停止在
饮用水方面的应用,主要用于消
火栓和自动喷水灭火系统。生活
用水采用的镀锌钢管为内衬聚乙
金属管材
1)钢管 直缝焊接钢管 螺旋焊接钢 无缝钢管 不锈钢管 镀锌钢管 钢塑复合管
第9章 水管、管网附件和附属构筑物
9.1 水管材料和配件
2)铸铁管(Cast iron pipe CIP) 灰口铸铁管(GCIP) 离心灰口铸铁管 半连续灰口铸铁管 稀土铸铁管 延性铸铁管(球墨铸铁管 DCIP) 退火球墨铸铁管 铸态球墨铸铁管
旋启式止回阀
第9章 水管、管网附件和附属构筑物
9.2 管网附件 排气阀:用来排除集积在管中的空气,以 提高管线的使用效率。 在间歇性使用的给水管网末端和最高点、 给水Байду номын сангаас网有明显起伏可能积聚空气的管段的峰 点应设置自动排气阀。
给水管道排气阀 (a)阀门构造 (b)安 装方式
第9章 水管、管网附件和附属构筑物
9.1 水管材料和配件
1)自应力钢筋混凝土管是利用自应力水泥的膨胀 力张拉钢筋而产生预应力的钢筋混凝土管。 2)预应力钢筋混凝土管是通过机械张拉钢筋产生 预应力的钢筋混凝土管。预应力钢筋混凝土管按制 造工艺的不同又分为震动挤压(一阶段)工艺管和 管芯绕丝(三阶段)工艺管。 3)自应力、预应力钢筋混凝土管均具有良好的抗 渗性和耐久性。连接形式采用橡胶圈密封的承插字 母口,施工安装比较简单。因受起材料力学性能和 制造工艺的限制,自应力钢筋混凝土管适合较小管 径。

第九章巴纳德的系统行政组织学说第十章西蒙的行为主义行政学说

第九章巴纳德的系统行政组织学说第十章西蒙的行为主义行政学说

»传统的:判断(经验、直觉和洞察力)、创 造性和有条理的思考、培训; »现代的:探索式解题技术的应用(决策者培 训、探索式计算机程序的编制);
第四节 行政组织论
• 一、组织平衡 – 1、个人参加组织的三个基础: – 因组织目标实现而直接得到的个人报偿; – 与组织规模及其增长紧密相关的、由组织提供的个人 诱因; – 与组织规模及其增长无关的、由组织提供的个人诱因; – 2、只有能维持贡献对诱因的正差额或至少能维持两者 的平衡,个人才能通过组织实现其个人目标,组织也 才能继续存在。
第一节 行政谚语——对传统行 政学理论的批判
• 一、行政谚语:对传统行政学理论的 批判
– 1、传统的行政原则并非科学原则,而 是行政谚语; – 2、行政学必须在研究方法上寻找新的 途径,只有提出新的研究方法才能建立 真正的行政原则。
第二节 行政学研究方法论
• 一、事实与价值的区分 1、理论的区分:
• 4、效率准则 – 含义:个人应基于效率准则作决策,即达到一 定成果应选择机会成本最低的行动; – 与理性准则的关系: • 理性准则:要全盘考虑可能的行动,可能的 结果以及整个价值体系; • 效率准则:将复杂现象予以简化后的决策依 据,是在决策上接近理性准则的方法,是在 简化决策情况下求最大成果;
• 巴纳德提出了“无差异范围”或“接受范围”的 概念。
• 巴纳德认为,管理者要想有效利用权威,必须从 以下几个方面做持久努力: • 1、激励组织成员 • 2、设法培养良好的团体态度 • 3、已组织目标为准作出决策 • 4、建立和改善信息交流渠道 • 5、不要依赖职权
第六节 组织决策论
• 巴纳德认为,组织理论不是要研究组织成 员的操作活动,而是要研究决策活动—— 做决策的过程。

第九章相变——精选推荐

第九章相变第九章相变前⼋章我们重点讨论了⽓体的各种性质,也介绍了液体、固体的基本热学性质。

可以说,我们基本上研究了所有的物质。

到此为⽌,我们对热学这门课的梗概应该有⼀个轮廓了。

但是事物之间是普遍联系的,普遍联系的原则是⾃然界最基本的原则。

⾃然界中许多物质都以固、液、⽓三种集聚态存在,然⽽物质的三态可以互相转化并为物质本的性所决定。

例如,常态下液体的⽔可变成⽔蒸汽,也可变成冰,⽽且冰可直接变成汽。

都⾮常形象地说明了这种联系。

显然,这⼀系列转化都与物质内部微粒的热运动有着密切关系。

因此,作为普通物理的热学,⾄少应当对这个问题有⼀个简明的回答,哪怕是最肤浅的。

物质为什么会发⽣物态变化?物态变化的条件什么?物态变化的规律是什么?这些都是我们必须回答的基本问题。

这正是本章的内容。

§1单元第⼀级相变的主要特征教学⽬的和要求:理解“相变”等概念,理解“相变潜热”的物理意义。

掌握单元系⼀级相变的普遍特点和简单规律。

教学时间:⼀课时教学内容:⼀.预备知识:1.何谓相?物理性质均匀的部分,它和其它部分之间有⼀定的分界⾯隔离开来。

例如:冰和⽔的混合物,冰块和⽔有分界⾯,冰块⾥⽔物理性质三均匀的,液体中的⽔物理性质也是均匀的。

那么,冰释⼀个相,⽔也是⼀个相。

2.单元复相系(1)单元:⼀种学化物质(2)单元单相:⼀种化学物质⼀个相的体系例如:冰总是⽔的单元单相系⽔、⽔蒸汽没有混合,是两个单元相性(3)单元复相系:⼀种化学物质,有两个或以上的相。

这样的体系为单元复相系例如,冰⽔混合物是⽔的单元:相系开着的⽔也是⽔的⼀个单元⼆相系固体中不同的点阵结构可视为不同的相。

本书只研究单元系3.相变:物体的相变发⽣变化叫相变相变是在⼀定的温度和压强下进⾏的。

例如,在1atm和100℃时,⽔由液体相变成汽相,但若P不是1atm时,沸点也不再是100℃。

⾼压锅就是这样。

4.⼆级相变:没有什么积的变化,也没有相变潜热,⼈有热容易膨胀系数,⾼温压缩系数发⽣突变。

排队论详解及案例


cmLiu@shufe
Operations Research
9.2 几个常用的概率分布
9.2.1 经验分布 9.2.2 泊松分布 9.2.3 负指数分布 9.2.4 爱尔朗分布
cmLiu@shufe
Operations Research
9.2.1 经验分布
主要指标
平均间隔时间 = 总时间 到达顾客总数
Operations Research
9.1.3 排队论研究的基本问题
(3)系统优化问题的研究 研究排队系统的目的就是通过对该系统概率规律的研究, 实现系统的优化。系统的优化包括最优设计和最优运营问 题。前者属于静态问题,它是在输入和服务参数给定的情 况下,确定系统的设计参数,以使服务设施达到最大效益 或者服务机构实现最为经济。后者属于动态问题,它是指 对于一个给定的系统,在系统运行的参数可以随着时间或 状态变化的情况下,考虑如何运营使某个目标函数达到最 优。
cmLiu@shufe
Operations Research
9.1.1 排队系统的描述和组成
一般的排队过程可以这样描述:顾客由顾客源出发,到达 服务机构(服务台、服务员)前,按排队规则排队等待接 受服务,服务机构按服务规则给顾客服务,顾客接受完服 务后就离开。
cmLiu@shufe
Operations Research
9.1.1 排队系统的描述和组成
尽管排队系统是多种多样的,但所有的排队系统都是由输入过程、排 队规则、服务机构及服务规则三个基本部分组成的。 (1)输入过程 描述顾客来源以及顾客到达排队系统的规律。 一般从以下几个方面对输入过程进行描述:顾客源中顾客的数量是 有限还是无限;顾客到达的方式是单个到达还是成批到达;顾客的到 达是否相互独立(以前到达的顾客对以后达到的顾客没有影响,则称 顾客的达到是相互独立的,否则就是有关联的);顾客相继到达的间 隔时间分布是确定型的还是随机型的(如果是随机分布,需要知道单 位时间内的顾客到达数或者顾客相继到达时间间隔的概率分布);输 入的过程是平稳的还是非平稳的(若相继到达的间隔时间分布参数 (如期望值、方差等)都是与时间无关的,则称输入过程是平稳的, 否则称为非平稳)。 本章主要讨论顾客的到达是相互独立的、输入过程是平稳的情形。

电子科技大学,软件工程第九章进行体系结构设计 PPT资料共15页

数据流体系结构 数据服从输入—变换---输出的简单流程 以机载二次雷达的译码模式为例
调用和返回体系结构 主程序/子程序体系结构 远程过程调用体系结构
面向对象体系结构
层次体系结构 各模块实现功能的层次不一样
• 9.3.2 体系结构模式
不同模式操作下的一些特征---并发性、持久性、分布性。
• 9.3 体系结构风格和模式
对完成同一种或同一类工作,不同的设计人员在体系结构 设计的方式各不一样,这种方式的一定程度上的抽象,就 是体系结构风格。
体系结构模式就是风格的具体体现,或者体系结构设计的 一个框架。
• 9.3.1 体系结构风格的分类
以数据为中心的体系结构 特点:客户构件基本独立
• 9.6 映射数据流到软件体系结构
变换流 事务流 变换映射 事务映射
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
是一定程度上的抽象,非可运行的软件。
凭借体系结构图,软件开发人员可以: 分析设计能否完全满足需求 为设计中某些方面的变更提供指导 降低由于软件构造不合理带来的风险
• 9.2 数据设计
数据设计:把分析模型中定义的数据对象转化成软件构件级的 数据结构,或整个程序级的数据库结构。
体系结构级(系统结构级,或程序级)的数据设计:
• 9.5 评估可选的体系结构设计
实现一个具体的任务可以有多种不同的体系结构,哪一个 更好?
体系结构权衡分析方法(SEI): 核心:通过孤立地考虑每个属性来评估质量属性
体系结构的复杂性
体系结构描述语言
UML 体系结构描述语言(architectural description language,ADL)

第九章 汽轮机热力系统概述

汽轮机热力系统概述第一节主、再热蒸汽及旁路系统本机组主蒸汽及再热蒸汽系统采用单元制、一次中间再热型式。

通常我们将进入高压缸的蒸汽称为主蒸汽;高压缸排汽称为冷再热蒸汽;冷再热蒸汽经锅炉再热器重新加热后进入中压缸的蒸汽称为热再热蒸汽;从主蒸汽管道经高压旁路控制阀至冷再热蒸汽管道称为高压旁路管道;从热再热蒸汽管道经低压旁路控制阀以及喷水减温器后至凝汽器的管道称为低压旁路管道。

一、主蒸汽系统1、主蒸汽管道主蒸汽管道采用A335P91优质合金钢。

最大蒸汽流量为锅炉B-MCR工况时的最大连续蒸发量1025t/h。

设计蒸汽压力18.2Mpa,设计蒸汽温度546℃,主蒸汽管道计算压力降约为0.6556MPa(MCR工况)。

主蒸汽从锅炉过热器出口联箱,由单根管道接出通往汽机房。

至汽机主汽门前分成两根支管,各自接到汽轮机高压缸左右侧主汽及调节汽阀。

然后再由四根高压主汽管导入高压缸。

在高压缸内作功后的蒸汽通过两个高压排汽止回阀,在出口不远处汇合成单根管道进入锅炉再热器。

这种单管系统的优点〈比较双管系统〉是简化管道布置,并能节省管材投资费用,同时,还有利于消除进汽轮机的主蒸汽和热再热蒸汽由于锅炉可能产生的热偏差,以及由于管道阻力不同产生的压力偏差。

两个主汽门出口与汽轮机调速汽门阀壳相接。

主汽门的主要功用是在汽轮机故障或甩负荷情况下迅速切断进入缸内的主蒸汽,汽轮机正常停机时,主汽门也用于切断主蒸汽,调速汽门通过各自蒸汽导管进汽到汽轮机第一级喷嘴。

调速汽门用于调节进入汽轮机的蒸汽流量,以适应机组负荷变化的要求。

由过热器出口至汽轮机主汽门入口的范围内,在主蒸汽管道上依次设有两只电动对空排汽阀、一只高整定压力的弹簧安全阀、一只低整定压力的弹簧安全阀和一个电磁释放阀、水压试验堵阀。

水压试验堵阀的作用是当过热器水压试验时,隔离主蒸汽管道,防止由于主汽门密封不严而造成汽轮机进水。

由主汽主管上沿汽流方向依次接出的管道有:汽机高压旁路接管及启动初期向汽机汽封系统及汽机夹层加热的供汽管。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

9.2安全性描述安全性要求极高的系统主要是控制系统,在这种系统中,所控制设备的失败将导致对人员的伤害。

在20世纪80年代和90年代,计算机控制变得十分普遍,安全工程团体制订了安全性要求极高系统描述和开发标准。

安全性描述和保证过程是总的安全生命周期中的一部分,安全生命周期是作为安全管理的一个国际标准IEC61508提出来的(IEC,1998)。

这个标准是专门为保护系统(比如阻止火车闯红灯的系统)而开发的。

尽管它可以用于更一般的安全性要求极高的系统,比如控制系统,但是,此标准将安全描述从更一般的系统描述中分离出来对于信息系统来说不是很恰当。

下图说明了由IEC61508标准所假设的一个系统模型下图是Redmill的安全生命周期表示法的一个简化形式。

上图可以看出,这个标准覆盖了安全管理的所有方面,从最初的范围定义到规划和系统开发,再到系统分解。

在这个模型中,控制系统控制某些设备,这些设备都有高水平的安全性需求。

这些高水平安全性需求生成两类更详细的安全需求,最后这些需求将作用于保护系统的设备上:1.功能性安全需求:定义系统的安全性功能。

2.安全完整性需求:定义保护系统的可靠性和可用性。

这些都是基于对保护系统所期待的用法,意在保证在需要使用时它能够工作。

系统根据安全完整性级别(SIL)1到4级进行分类。

每一个SIL级代表了一个更高级别的可靠性;要求越高,SIL所需要的级别越高。

IEC61508安全生命周期标准的第一个阶段是定义系统的范围,对系统潜在的危险及其带来的风险进行估计。

第二个阶段是安全性需求描述和分配这些需求到各个子系统。

开发活动包括规划和实现两部分,安全性要求极高的系统本身被设计和实现,同时,相关的能提供额外防护功能的外部系统也一同被设计和实现。

与此同时,还要对安全有效性验证和系统的安装、运行和维护进行规划。

安全管理的终点并不是系统的交付。

在系统交付之后,系统一定要按照规划中定义的那样安装以保证风险分析能保持有效。

安全有效性验证在系统使用之前开始。

安全性在系统运行过程中尤其是在维护过程中也需要管理。

许多与安全性相关的系统问题院子不好的维护过程,所以面向维护的设计就显得尤为重要。

最后一步是系统分解(举例来说,在线路板上布置危险性材料)中的安全性考虑。

9.3信息安全性描述系统的信息安全性需求描述与安全性需求有很多相似之处。

对它们进行量化的描述是不太现实的,信息安全性需求往往是“不应该”需求类型,它定义那些无法接受的系统行为,而不是定义系统功能。

但在信息安全性描述和安全性描述之间还是有重要的区别:1.安全生命周期的概念已经很完善了,它覆盖了安全管理的所有方面。

信息安全性的描述和管理还很不成熟,还没有一个得到接受的信息安全性生命周期的概念。

2.尽管有些保密威胁是系统所特有的,但是系统面对的信息安全性威胁是普遍存在的。

所有的系统必须保护自己免于入侵、拒绝服务等。

相反,在安全性要求极高的系统中危险通常是与领域相关的。

3.信息安全性方法和技术(如加密技术和认证策略)相对比较成熟。

不过,有效地使用这些技术需要高水平的技术整合能力。

安装、配置和保持更新是很困难的事情。

结果是,系统管理者不可避免的犯一些错误,致使系统带有一定的脆弱性。

4.如果某个软件提供商在国际市场上占有统治地位,那么将意味着,如果它们的程序的信息安全性受到皮坏,将会有大量的系统受到影响。

在计算体系结构的不充分的多样性造成系统很容易受到外部威胁的攻击。

安全性要求极高的系统总是专门的、定制的系统,所以类似状况不会发生。

传统的(非计算机处理的)信息安全性分析方法是基于资产及其对机构的价值进行的。

因此,一个银行将会对存储大量资金的地带提供比较高的信息安全性措施,而对于其他潜在的损失十分有限的公共区域给予较低的信息安全性防范。

相同的方法可以用于计算机系统的信息安全性。

一个可行的信息安全性描述过程如下图所示。

这个过程中有以下几个阶段:1.资产识别和评估:资产(数据和程序)及其所需要的保护级别要明确。

注意,所需的保护级别取决于这个资产的价值,所以密码文件(比如说)比其他网页文件通常更具有价值,对密码文件的成功攻击会给系统带来广泛而严重的后果。

2.威胁分析和风险评估:找出可能的信息安全性威胁,并对其相关的风险进行评估。

3.威胁确定:识别出的威胁都是与某些资产相关联的,所以对每一种资产,给出其相关的威胁清单。

4.技术分析:评估可用的信息安全性技术及其除掉这些威胁的可行性。

5.信息安全性需求的描述:定义信息安全性的需求。

在适当的地方,需要明确给出对系统的不同威胁所要使用的信息安全性技术。

对所有的要求极高的系统,信息安全描述和信息安全管理是至关重要的。

如果系统不是安全的,那么它就会受到病毒和蠕虫的感染,损坏数据或非法对数据进行修改,拒绝服务。

所有这些意味着我们无法相信在努力保证安全性和可靠性方面所做的工作的有效性。

系统所面对的不同威胁也就对应了不同类型的信息安全需求。

Firesmith找出了包含在系统中的10类信息安全需求:1.身份验证需求:定义系统是否应该在用户与之交互之前辨认其身份。

2.认证需求:定义系统如何辨认用户。

3.权限需求:定义对所辨认出来的合法用户的权利和访问许可。

4.免疫需求:定义系统如何保护自己免受病毒、蠕虫以及类似威胁的入侵。

5.完整性需求:定义如何避免数据损坏。

6.入侵检测需求:定义应该使用说明机制来检测对系统的攻击。

7.不可抵赖需求:定义参与交易的一方不能对自己已经做出的交易抵赖。

8.隐私需求:定义如何维护数据的私密性。

9.信息安全的审查需求:定义如何对系统的使用进行审核和检查。

10.系统维护的信息安全需求:定义应用如何避免信息安全机制的意外失败所导致的合法修改。

当然,并不是没一个系统都需要所有这些信息安全性需求。

特别的需求依赖于特别的系统、特别的使用环境以及特定的用户。

作为一个例子,下图所列出的事在LIBSYS系统中所包含的信息安全性需求。

9.4软件可靠性描述可靠性是一个复杂的概念,应该在系统层次上而不是在单个组件层次上来考虑。

因为系统中的组件是相互依赖的,一个组件中的失败能够传播到整个系统并影响其他组件的操作。

在计算机系统中定义总体系统可靠性的时候,必须考虑以下三个方面:1.硬件可靠性:硬件组件失败的可能性有多大以及修复这些组件所花费的时间。

2.软件可靠性:软件组件产生不正确输出的可能性有多大?软件失败不同于硬件失败,因为它不会损坏。

它能在产生不正确的结果之后重新启动继续正确的操作。

3.操作人员可靠性:系统的操作人员出现操作错误的可能性有多大?所有这些都是紧密关联的。

硬件失败能引起超出软件输入范围的信号,由此导致软件发生无法预计的行为。

料想不到的系统行为可能使操作人员困惑和给操作人员造成压力。

而操作人员操作错误最有可能发生在紧张的情况下。

操作人员可能采取不正确的操作,使得输入信息不能处理目前的失败情形。

这些输入进一步混乱了系统,由此导致系统产生更多的错误。

因此,单一子系统失败或许是可恢复的,但当其迅速扩展为严重问题时需要立即关闭系统。

系统可靠性应该被定义为非功能需求,由下一节中介绍的度量来量化描述。

为了达到非功能性的可靠性需求,对系统定义附加的功能和设计需求是很有必要的,用这些来定义系统将如何避免失败或容错。

可靠性需求的例子有:1.应该预先定义操作者输入值的范围,系统应该检查所有操作者的输入是否在这个范围之内。

2.作为初始过程的一部分,系统应该给检查所有磁盘的坏道。

3.在实现刹车控制系统时,应该使用N版本程序设计。

4.系统应该使用Ada的一个安全子集来实现,并使用静态分析来检查。

在导出功能性的可靠性需求中,没有一个简单规则可以使用。

在开发要求极高的系统的开发机构中,通常有自己的关于可靠性需求及其对实际系统可靠性影响的知识积累。

这些机构一般在开发某个专门类型的系统方面有所擅长,如铁路控制系统。

因此,可靠性需求一旦导出,就会在一系列系统中反复使用。

9.4.1可靠性度量可靠性度量最先是用在硬件组件上。

硬件组件失败是由于一些物理因素,如机械的磨损、电器发热等。

组件都有平均寿命,这反映在使用最广泛的硬件可靠性度量“平均无故障时间(MTTF)”上。

MTTF是对组件能正常工作的平均时间长短的期待值。

硬件一旦失败就不可能修复,“平均修复时间(MTTR)”能反映需要维修或更换的平均时间,也是一个重要的度量指标。

不过,这些硬件度量并不都适合软件的可靠性描述,因为软件失败和硬件失败有很多不同之处。

软件组件失败通常是短暂的,它们的失败只有对某些输入才发生。

如果数据是完好的,系统在失败之后仍能正常工作。

用于描述软件可靠性和可用性的度量如表9-2所示。

选择使用哪个度量取决于系统的类型以及应用领域需求。

这里给出了一些系统类型的例子,它们可使用不同的度量。

表9-2 可靠性度量1.请求时失败的可能性(POFOD):这个度量最适合于对服务的请求是无法预知的和相对时间持续较长的系统、如果请求失败将有严重后果的系统。

这项度量可以用于定义保护系统的可靠性,如化工厂的减压系统和发电厂紧急关闭系统。

2.失败发生率(ROCOF):这个度量适用于经常性的系统服务请求,正确提供服务很重要的一类系统。

这项度量可以用于银行柜员机系统,该系统处理客户的交易,或者用于宾馆预约系统。

3.平均无故障时间(MTTF):这个度量可以用在有很长事务处理的系统中,也就是用户会长时间使用的系统。

平均无故障时间应该比这个事务处理的平均时间长才行。

这类系统的例子是字处理系统或CAD系统。

4.可用性(A V AIL):这个度量应该用在不间断的系统中,即用户期待这个系统提供连续的服务。

此类系统的例子是电话交换系统和铁路信号系统。

在估计系统的可靠性上,使用的测量方法有三类:1.对确定数量的系统服务请求统计系统失败的次数。

这是用来测量POFOD指标的方法。

2.系统失败间隔时间(或事物处理的数目)。

这是用来测量ROCOF和MTTF的。

3.当系统失败发生时维修和重启所需要的时间。

假设系统需要连续的工作,这是用来测量A V AIL的。

在这些度量中使用的时间是日历时间、处理机时间或其他离散单位,如事务处理的数目。

在需要系统花许多时间来等待服务请求的响应的系统中,如电话交换系统,时间单位应该使用处理机时间。

在此使用日历时间就不是太合适。

日历时间对于连续操作的系统是一个合适的时间单位。

举例来说,监控系统、警报系统和其他类型的过程控制系统都属于这个类型。

处理事务的系统如银行ATM机或航班预定系统在一天中的负荷是不一样的。

在这种情况下,“时间”单位就应该使用事务处理的数目,也就是ROCOF是上千个事务中失败的事务数目。

9.4.2非功能性的可靠性需求在许多系统需求文档中,可靠性需求没有得到很好的定义。