系統可靠性(冗余、容錯、專用）系統可用性(可正常運行、故障可恢復）系統部件一致性（配置合理）網絡互連性（連通和隔離的矛盾，布線）環境安全性（配電、接地、防護）檢查驗收：按照標準、規范、合同和協議

系統可靠性的定義：

在特定時間內和特定條件下系統正常工作的相應程度，即(degreeofsuitability)?？煽啃缘臏y量方式：

系統的可用性(availability)，即利用率。

可用性的平均值即平均利用率，其計算方法為：

A=MTBF/(MTBF+MTTR)

MTBF(MeanTimeBetweenFailures)故障間隔平均時間

MTTR(MeanTimeToRepair)系統平均修復時間第一節

計算機系統的可靠性與容錯性

系統可靠性的獲得

可靠性

┌──────┴──────┐容錯性完美性(faulttolerance)(perfection)│┌───┴───┐冗余技術─┬硬件冗余

完美硬件

完美軟件(redundancy)├軟件冗余├整機完美性│|├時間冗余├部件完美性

可信軟件|└信息冗余└器件完美性||

靜態冗余（部件冗余）可用硬件

動態重組|--被動重組（后備

stand-by）|--主動重組（優美降級

gracefuldegradation)完美性追求一種避錯技術，即避免出錯。要求組成系統的各個部件、器件具有高可靠性不允許出錯，或者出錯率降至最低。㈠硬件的可靠性與完美性

指元器件的完美性、部件的完美性、整機與系統的完美性

電路：規范設計、電路結構、時序與競爭

元器件：制造、篩選、老化、容差、壽命

部件：PCB板、布局、位置、結構、布線、焊接、安裝、散熱、機械性能、頻率整機：整體一致、結構合理、干擾屏蔽環境：布局、強弱電干擾、靜電完美性與避錯技術

完美性與避錯技術（續）㈡軟件的可靠性與完美性軟件的可靠性與完美性是指軟件的正確性、完美性、兼容性。1）正確性：軟件有正確性嗎？軟件完美嗎？正確性證明的范疇。

2）可用性：軟件在一定的環境條件和應用條件下可以正常運行，功能正常。3）兼容性：軟件對運行環境、運行平臺和運行條件的適應性。

4）可信性：對用戶來說，所使用的軟件值得信賴，對軟件產生的心理性依賴。(三)軟件的可靠性與硬件的可靠性的區別（共9點）1.最明顯的是硬件有老化損耗現象;軟件不發生變化，沒有磨損現象，有陳舊落后的問題。2.硬件可靠性的決定因素是時間，受設計、生產、運用的所有過程影響，軟件可靠性的決定因素是與輸入數據有關的軟件差錯，更多地決定于人。

3.硬件的糾錯維護可通過修復或更換失效的系統重新恢復功能，軟件只有通過重設計。4.對硬件可采用預防性維護技術預防故障，采用斷開失效部件的辦法診斷故障，而軟件則不能采用這些技術。5.事先估計可靠性測試和可靠性的逐步增長等技術對軟件和硬件有不同的意義。6.為提高硬件可靠性可采用冗余技術，而同一軟件的冗余不能提高可靠性。7.硬件可靠性檢驗方法已建立，并已標準化且有一整套完整的理論，而軟件可靠性驗證方法仍未建立，更沒有完整的理論體系。8.硬件可靠性已有成熟的產品市場，而軟件產品市場還很新。9.軟件錯誤是永恒的，可重現的，而一些瞬間的硬件錯誤可能會被誤認為是軟件錯誤。

總的說來，軟件可靠性比硬件可靠性更難保證。

㈠容錯系統的概念容錯技術：在一定程度上容忍故障的技術容錯系統：采用容錯技術的系統

當系統因某種原因出錯或者失效，系統能夠繼續工作，程序能夠繼續運行，不會因計算機故障而中止或被修改，執行結果也不包含系統中故障引起的差錯。容錯技術也稱為故障掩蓋技術(faultmasking)。容錯性與容錯技術容錯性與容錯技術（續）

冗余技術是容錯技術的重要結構，它以增加資源的辦法換取可靠性。由于資源的不同，冗余技術分為硬件冗余、軟件冗余、時間冗余和信息冗余。資源與成本按線性增加，而故障概率則可按對數規律下降。

冗余要消耗資源，應當在可靠性與資源消耗之間進行權衡和折衷。雙CPU容錯系統當一個CPU板出現故障時，另一個CPU保持繼續運行。這個過程對用戶是透明的，系統沒有受到絲毫影響，更不會引起交易的丟失，充分保證數據的一致性和完整性。系統的容錯結構能夠提供系統連續運行的能力，任何單點故障不會引起系統停機，系統提供在線的維護診斷工具可在應用繼續運轉的情況下修復單點故障。

冗余類型：1.硬件冗余：增加線路、設備、部件，形成備份。2.軟件冗余：增加程序，一個程序分別用幾種途徑編寫，按一定方式執行，分段或多種表決。3.時間冗余：指令重復執行，程序回卷技術。4.信息冗余：增加信息數據位數，檢錯、糾錯。㈡容錯系統工作方式1.自動偵測(Auto-Detect)通過專用的冗余偵測線路和軟件判斷系統運行情況，發現可能的錯誤和故障，進行嚴謹的判斷與分析。確認主機出錯后，啟動后備系統。

偵測程序需要檢查主機硬件（處理器與外設部件）、主機網絡、操作系統、數據庫、重要應用程序、外部存儲子系統（如磁盤陣列）等。

為了保證偵測的正確性，防止錯誤判斷，系統可以設置安全偵測時間、偵測時間間隔、偵測次數等安全系數，通過冗余通信連線，收集并記錄這些數據，作出分析處理。

數據可信是切換的基礎。2.自動切換(Auto-Switch)當確認某一主機出錯時，正常主機除了保證自身原來的任務繼續運行外，將根據各種不同的容錯后備模式，接管預先設定的后備作業程序，進行后續程序及服務。

系統的接管工作包括文件系統、數據庫、系統環境（操作系統平臺）、網絡地址和應用程序等。

如果不能確定系統出錯，容錯監控中心通過與管理者交互進行有效的處理。

決定切換基礎、條件、時延、斷點3.自動恢復(Auto-Recovery)故障主機被替換后，離線進行故障修復。修復后通過冗余通信線與正常主機連線，繼而將原來的工作程序和磁盤上的數據自動切換回修復完成的主機上。這個自動完成的恢復過程用戶可以預先設置，也可以設置為半自動或不恢復。㈢容錯系統與部件

包括系統級容錯

和部件級容錯1）系統級容錯：多種系統容錯后備模式

兩機同時運行，分不同作業，各自資源負載，故障、接管、修復、交還。雙主機通過一條TCP/IP網絡線以及一條RS-232電纜線相聯雙主機各自通過一條SCSI電纜線與RAID磁盤陣列相聯雙主機各自運行不同的作業，彼此獨立，并相互備援主機A故障后，主機B自動接管主機A運行。主機A的作業將在主機B上自動運行。主機A修復后，主機B將把A的作業自動交還主機A。主機B故障時，主機A接管主機B的作業和數據。主機B修復時,主機A再將原來接管的作業和數據交還主機B。

*雙機雙工熱備份(MutualBackup)：

主從式（M/S），M運行，S后備，M故障，S接管并升級為M,原M修復后作為S。雙主機通過一條TCP/IP網絡線以及一條RS-232電纜線相聯。雙主機各自通過一條SCSI電纜線與RAID相聯。主機A為Master，主機B為Slave。主機A處理作業和數據，主機B作為熱備份機。主機A故障后，主機B自動接管主機A的作業和數據。主機B同時接管A的主機名(Host)及網絡地址(IP)。主機A的作業將在主機B上自動運行。主機A的客戶(client)可繼續運行，無需重新登錄。主機B現為Master,主機A修復后作為Slave，作為熱備份機。

2個主機建議使用規格相同的主機

*主從熱備份(Master/Slave)：

M運行，S后備，M故障，S接管作M，原M修復，S歸還M。

*熱備份(Hot-Standby)SCSISCSIRS232

例如：雙機熱備份（網絡）RS232M機S機系統盤SCSISCSI數據盤心跳線橋------在這種方案中，需采用的雙機熱備份軟件，用于提高服務器可靠性。選用離線數據備份及災難恢復軟件，保證數據可靠性。還需要用到的硬件設備還包括磁帶機/磁帶庫和磁盤陣列。2）部件級容錯：冗余或后備的部件模式。例如:RAID系統IDEEIDESCSIDAC7/15個盤僅支持2個盤可支持4個盤可支持多個盤可支持多分組多個磁盤

概念與術語

SCSI是一種連結主機和外圍設備的接口，支持包括磁盤驅動器、磁帶機、光驅、掃描儀在內的多種設備。它由SCSI控制器進行數據操作，SCSI控制器相當于一塊小型CPU，有自己的命令集和緩存。IDE接口是由WesternDigital與COMPAQComputer兩家公司所共同發展出來的。一般也稱IDE硬盤為ATA硬盤。IDE接口有兩大優點：易于使用與價格低廉。但是隨著CPU速度的增快以及應用軟件與環境的日趨復雜，IDE的缺點也開始慢慢顯現出來。

EnhancedIDE(加強型IDE，簡稱為EIDE)就是WesternDigital公司針對傳統IDE接口的缺點加以改進之后所推出的新接口。使用擴充CHS(Cylinder-Head-Sector)或LBA(LogicalBlockAddressing)尋址的方式，突破528MB的容量限制，使用容量達到數十GB硬盤。最高傳輸速度可高達100MB/秒。DiskArray磁盤陣列，一種外部存儲裝置，以并行方式在多個硬盤驅動器上工作，被系統視作一個單一的硬盤，以冗余技術增加其可靠性。

RAID(RedundantArraysofInexpensiveDisks)廉價磁盤冗余陣列，以多個低成本磁盤構成磁盤子系統，提供比單一硬盤更完備的可靠性和高性能。利用重復的磁盤來處理數據，使得數據的穩定性得到提高。

1.數據基帶條陣列(RAID0)分塊無校驗型，無冗余存儲。簡單將數據分配到各個磁盤上，不提供真正容錯性。帶區化至少需要2個硬盤，可支持8/16/32個磁盤

優點：允許多個小區組合成一個大分更好地利用磁盤空間，延長磁盤壽命多個硬盤并行工作，提高了讀寫性能

缺點：不提供數據保護，任一磁盤失效，數據可能丟失，且不能自動恢復。

輸入數據流輸入數據磁盤陣列控制器并行傳輸HDD1HDD2HDD3HDD4HDD5RAID0示意圖

2.磁盤鏡象(RAID1)每一組盤至少兩臺，數據同時以同樣的方式寫到兩個盤上，兩個盤互為鏡象。磁盤鏡象可以是分區鏡象、全盤鏡象。容錯方式以空間換取，實施可以采用鏡象或者雙工技術

優點：可靠性高，策略簡單，恢復數據時不必停機。

缺點：有效容量只有總容量的1/2，利用率50%。由于磁盤冗余，硬件開銷較大，成本較高。輸入數據流輸入數據磁盤陣列控制器并行傳輸HDD1HDD2第一組鏡象HDD3HDD4RAID1示意圖第二組鏡象

3.并行海明糾錯陣列(RAID2)存儲型ECC糾錯類，采用海明冗余糾錯碼(HammingCodeErrorCorrection)、跨接技術和存儲糾錯數據方法，數據按位分布到磁盤上。磁盤臺數由糾錯碼和數據盤數決定。

優點：可靠性高，可自動確定哪個硬盤已經失效，并進行自動數據恢復。

缺點：磁盤冗余太多，開銷太大。防止糾錯盤本身故障。輸入數據流輸入數據磁盤陣列控制器HDD1HDD2HDD3HDD4HDD5RAID2示意圖HDD6HDD7HCCHCCHCCHCCHCCHCCHCCHCCHCC海明校驗

4.奇偶校驗并行位交錯陣列(RAID3)

結合跨接技術、存儲糾錯數據方式，采用數據校驗和校正。利用單獨奇偶校驗磁盤進行。一個盤故障，可根據讀出數據內容和奇偶校驗位確定出錯位置，對數據進行修正和重組，校驗方式可采用位交錯或字節交錯。

優點：速度快，適合較大單位數據的讀寫，

缺點：不適合小單位數據的讀寫；校驗磁盤沒有冗余，若校驗磁盤失效，數據很難恢復。輸入數據流輸入數據磁盤陣列控制器HDD1HDD2HDD3HDD4HDD5RAID3示意圖parityparity奇偶校驗

5.奇偶校驗扇區交錯陣列(RAID4)與RAID3類似，但數據是以扇區(sector)交錯方式存儲于各臺磁盤，也稱塊間插入校驗。采用單獨奇偶校驗盤。

優點：只讀一個扇區，只需訪問一個磁盤。寫一個扇區，只訪問一個數據盤和一個校驗盤。各磁盤可獨立工作（扇區讀寫），讀寫并行。

缺點：奇偶盤單獨，出錯后數據很難恢復。校驗在一個磁盤上，產生寫性能瓶頸。輸入數據流輸入數據磁盤陣列控制器HDD1HDD2HDD3HDD4HDD5RAID4示意圖parityparity奇偶校驗paritySecter交叉

6.循環奇偶校驗陣列(RAID5)與RAID4類似，但校驗數據不固定在一個磁盤上，而是循環地依次分布在不同的磁盤上，也稱塊間插入分布校驗。它是目前采用最多、最流行的方式，至少需要3個硬盤。

優點：

校驗分布在多個磁盤中，寫操作可以同時處理。為讀操作提供了最優的性能。一個磁盤失效，分布在其他盤上的信息足夠完成數據重建。

缺點：

數據重建會降低讀性能；每次計算校驗信息，寫操作開銷會增大，是一般存儲操作時間的3倍。輸入數據流輸入數據磁盤陣列控制器HDD1HDD2HDD3HDD4HDD5RAID5示意圖奇偶校驗parityparityparity

7.二維奇偶校驗陣列(RAID6)將整個磁盤陣列看成一個二維陣列

RAID5只在一組（相當于行）上有奇偶校驗盤，而RAID6在各組的同一位置的盤組成的列上也加上了奇偶校驗盤。這兩個奇偶校驗盤形成了二維陣列。

此類型也稱為P＋Q冗余技術或者RAID0+1，其含義是它結合了RAID0的性能和RAID1的可靠性。它不是成對地組織磁盤，而是把按照RAID0方式產生的磁盤組全部映象到另一備份磁盤組中。第二節計算機系統的環境安全對計算機安全有影響的環境因素有很多，例如：火、煙、灰塵、地震、爆炸、溫度、臭蟲、電子噪音、閃電、共振、濕度、水等。環境因素分為四類：安裝條件：計算機安裝的各種條件，包括場地安全、配電與接地、環境干擾與破壞；運行條件：溫度、濕度、電壓、頻率、粉塵、電磁場、空調等，靜電與感應電，有害氣體；人為影響：誤操作、盜竊、故意破壞等；自然影響：雷擊、火災、鼠害、蟲害（白蟻）等自然災害。環境安全建議對于上述因素，《計算機場地通用規范》國家標準GB/T2887-2000、《電子計算機機房設計規范》GB50174-93、《計算站場地技術條件》GB2887-89、《計算站場地安全要求》GB9361-88具體地對包括機房位置、布局、裝修、潔凈與溫濕度、災害防御系統等因素提出了建議。第三節設備互連與安全性如果計算機設備不互連或者互連設備和計算機系統設備都鎖在同一間屋子里，那么設備互連相對而言是比較安全的。然而設備互連的通信線路往往連接到室外，這樣安全問題就產生了。首先是通信線路的安全，其次是通信互連設備的安全。通信互連設備主要有通信交換設備（交換機、程控機）、網絡互連設備（如調制解調器、中繼器、集線器、網橋、路由器、網關等）、存儲設備等，在網絡系統集成中，它們的可靠性和安全性必須自始至終考慮。物理層：中繼器repeater，集線器hub數鏈層：網橋bridge，橋路器brouter

交換機switcher網絡層：路由器router，路橋器roudger傳輸層：網關gateway，防火墻firewall一、網絡互連設備安全1.中繼器及物理層的安全性

中繼器作為一個雙向放大器用于驅動長距離通信，只能用于連接具有相同物理層協議的局域網，主要用于擴充LAN電纜段(segment)的距離限制。它不具有安全功能，不具備任何過濾功能，不能隔離網段間不必要的網絡流量和網絡信息。2.網橋及鏈路層的安全性網橋通過數據鏈路層的邏輯鏈路子層(LLC)來選擇子網路徑，接收完全的鏈路層數據幀，并對幀作校驗，同時，在源地址表中查找介質存取控制子層(MAC)的源和目的地址，以決定該幀是否轉發或者丟棄。網橋通過存儲轉發功能實現信息幀交換，通過自學習功能建立源MAC地址表，從而在邏輯上分開網絡段，減輕各個邏輯網段上的流量。

網橋通過MAC地址判斷選徑，實現數據鏈路層上的數據分流，隔離功能較弱。安全性弱點在于可能導致"廣播風暴"(broadcaststorm)，如果一個幀的源地址是網橋未學習過的MAC地址，它會將該幀轉發到它所連接的所有局域網上，從而產生大量的擴散幀。而且，它無法解決同一介質網絡段上可能出現的具有不同IP子網號的主機之間的互訪問題。3.路由器及網絡層的安全性路由器完成網內地址選徑，防止網內“廣播風暴”的產生，也能實現不同或者相同局域網段上不同IP網號或者子網號主機間的互訪，并提供遠程互連。由于它涉及物理、數鏈、網絡三個層次數據處理，處理時間長(延遲約100-500ms)，且價格昂貴。路由器的隔離功能強于網橋，通過自學習和人工設置方式對數據進行嚴格過濾。

給網橋加上類似于路由器的隔離功能，使其能夠阻攔網間不必要的信息交換，就可以防止"廣播風暴"。將路由器的某些思想、實現方法用于網橋，就形成了所謂"橋路器"(brouter)，而將路由器內部對IP地址的操作改為對MAC地址的操作，就形成了所謂"過濾網橋"，也稱"路橋器"。它通過信息過濾(避免無用信息廣播傳送)和權限設定(防止無權用戶訪問主網和其他網絡資源)來增強安全性。4.交換機及鏈路層的安全性

由于路由器的配置技術和管理技術較復雜，成本昂貴，數據處理時間延遲較大，在一定程度上降低了網絡性能。此外，在局域網中使用路由器的局限性促進了交換式以太網技術的發展，導致了交換機對路由器的替換。交換機工作在數據鏈路層，可看作是網橋的硬件延伸，該層中數據交換在硬件中完成，因而可以實現比較高的交換速度。5.網關及網絡高層的安全性

網關并沒有確定的實際產品，目前，安全重點研究的防火墻，實際就是一種帶有不同過濾器的網關。6調制解調器的安全性

調制解調器是撥號上網的關鍵設備之一。調制解調器的主要安全漏洞在于它提供了用戶網絡的另一個入口點，因為有電話和調制解調器的任何人都可能非法進入網絡系統。對于安全性要求較高的內部網，應該嚴格控制撥號上網服務，并應該有嚴格的