אסטרטגיה של אבטחת חסינות
אבטחת החסינות של מערכת מבוססת על
שכבות של הגנה בפני איומים, במטרה ליישם את
עקרון המלחמה בביש המזל. ההנחה היא שכל אחת
מהשכבות נותנת הגנה מסויימת, אבל אף אחת מהן לא נותנת הגנה מליאה, ע"פ
מטפורת הגבינה השוייצרית.
שכבת ההגנה הראשונה - אוטומציה תחת פיקוח
למכונות יש תכונות מסויימות, בעיקר, מהירות ודיוק, המאפשרות להמנע
מטעויות בתפעול.
שכבת ההגנה השניה -
מניעת איומים
איום מוגדר כמצב של חריגה מחוקי התפעול.
החריגה יכולה להיות תקלת חומרה, סטייה מתהליך או פעולה חריגה בגין טעות
במפרטים או במימוש.
שכבת ההגנה השלישית - איתור תקלות
בתהליך פיתוח רגיל, הדגש הוא בראש ובראשונה על התנהגות תקינה של המערכת
בתהליכים הנורמאלים, המשרתים את ייעוד המערכת. בעדיפות שניה, בוחנים גם את
התנהגות המערכת במצבים חריגים. במצבים החריגים, התנהגות המערכת היא מורכבת
לאין שיעור מההתנהגות הנורמלית. למרות זאת, במצוקה של לחצי זמן ותקציב
בפיתוח, הבחינה של התנהגות המערכת במצבים החריגים היא לעתים קרובות שיטחית.
שכבת ההגנה הרביעית -
מניעת
הסלמה
הסלמה
מוגדרת כחריגה מהאילוצים המגדירים את התפעול במצבים החריגים.
שכבת ההגנה החמישית - פעולת חירום
במצב חריג, משתני המצב שמוגדרים כמשתני סיכון
צריכים להיות בטווח ערכים שנקבע מראש כטווח פעילות בטוחה.
שכבת ההגנה השישית - אימות
ותיקוף
אחת הטעויות הנפוצות בקרב מפתחי מערכות היא
בדיקת התפעול על ידי מומחים מקרב צוות הפיתוח. במקרים רבים, המומחים
מייחסים למפעילים הפוטנציאלים יכולות החורגות מכישוריהם.
שכבת ההגנה השביעית - ניהול
החסינות
אחת הטעויות הנפוצות בהתמודדות עם אירועי כשל
קשורה בהסטת הדיון מבעיות התכן למפעיל שנכשל בהתמודדות עם בעיות התכן.