Porażka źle - Failing badly
Źle upaść i dobrze upaść to pojęcia z zakresu bezpieczeństwa systemów i bezpieczeństwa sieci (i ogólnie inżynierii) opisujące sposób, w jaki system reaguje na awarię . Terminy spopularyzował Bruce Schneier , kryptograf i konsultant ds. bezpieczeństwa.
Porażka źle
System, który ulegnie poważnej awarii, to taki, który ma katastrofalne skutki, gdy wystąpi awaria. Pojedynczy punkt awarii może zatem obniżyć cały system. Przykłady obejmują:
- Bazy danych (takie jak bazy danych kart kredytowych ) chronione tylko hasłem . Po złamaniu tego bezpieczeństwa można uzyskać dostęp do wszystkich danych.
- Konstrukcje krytyczne dla pęknięć , takie jak budynki lub mosty, które zależą od pojedynczego słupa lub kratownicy, których usunięcie spowodowałoby załamanie reakcji łańcuchowej pod normalnymi obciążeniami.
- Kontrole bezpieczeństwa, które koncentrują się na ustaleniu tożsamości, a nie intencjonalnej (w ten sposób umożliwiającej przejście np. zamachowcom-samobójcom ).
- Dostęp do Internetu zapewniany przez jednego dostawcę usług . Jeśli sieć dostawcy ulegnie awarii, cała łączność z Internetem zostanie utracona.
- Systemy, w tym społecznościowe, które opierają się na jednej osobie, która nieobecna lub trwale niedostępna zatrzymuje cały system.
- Kruche materiały, takie jak „ beton zbrojony ”, gdy są przeciążone, zawodzą nagle i katastrofalnie bez ostrzeżenia.
- Przechowywanie jedynej kopii danych w jednym centralnym miejscu. Dane te są tracone na zawsze, gdy to miejsce zostanie zniszczone, na przykład w wyniku pożaru Urzędu Patentowego USA w 1836 r. , pożaru amerykańskiego National Personnel Records Center w 1973 r. oraz zniszczenia Biblioteki Aleksandryjskiej .
Zawodzi dobrze
System, który zawodzi, to taki, który dzieli lub zawiera w sobie awarię. Przykłady obejmują:
- Kadłuby podzielone na przedziały w jednostkach pływających, zapewniające, że przerwanie kadłuba w jednym przedziale nie zalanie całego statku.
- Bazy danych, które nie pozwalają na pobranie wszystkich danych za jednym razem, co ogranicza ilość skompromitowanych danych.
- Konstrukcyjnie nadmiarowe budynki zaprojektowane tak, aby wytrzymać obciążenia przekraczające te, których oczekuje się w normalnych warunkach, lub wytrzymać obciążenia, gdy konstrukcja jest uszkodzona.
- Systemy komputerowe, które uruchamiają się ponownie lub przechodzą do stanu zatrzymania, gdy wystąpi nieprawidłowa operacja.
- Systemy kontroli dostępu, które są blokowane po odcięciu zasilania urządzenia.
- Konstrukcje betonowe , które wykazują pęknięcia na długo przed pęknięciem pod obciążeniem, dając w ten sposób wczesne ostrzeżenie.
- Opancerzone drzwi kokpitu w samolotach, które zamykają potencjalnego porywacza w kabinie, nawet jeśli są w stanie ominąć kontrole bezpieczeństwa na lotnisku.
- Łączność internetowa zapewniana przez więcej niż jednego dostawcę lub ścieżkę dyskretną, zwaną multihoming .
- Sieci gwiaździste lub kratowe , które mogą nadal działać po awarii węzła lub połączenia (chociaż w przypadku sieci gwiaździstej awaria centralnego koncentratora nadal spowoduje awarię sieci).
- Materiały plastyczne , takie jak „ beton podzbrojony ”, pod wpływem przeciążenia ulegają stopniowej degradacji – uginają się i rozciągają, dając pewne ostrzeżenie przed ostatecznym zniszczeniem.
- Wykonanie kopii zapasowej wszystkich ważnych danych i przechowywanie ich w osobnym miejscu. Dane te można odzyskać z innej lokalizacji, gdy którakolwiek z tych lokalizacji jest uszkodzona.
Uważa się również, że zaprojektowanie systemu, który „zawodzi” jest lepszym wykorzystaniem ograniczonych środków bezpieczeństwa niż typowe dążenie do wyeliminowania wszystkich potencjalnych źródeł błędów i niepowodzeń.
Zobacz też
- Bezpieczny
- Odporność na awarie — odporność systemów na awarie lub błędy komponentów
- Fail-deadly – koncepcja w nuklearnej strategii wojskowej
- Odporność (sieć) – Zdolność sieci do zachowania funkcjonalności podczas awarii
- Odporność (inżynieryjna i budowlana) – Projekt infrastruktury zdolny do pochłaniania uszkodzeń bez ponoszenia całkowitej awarii