Sûreté de fonctionnement informatique : un nécessaire ... · MSDN.MICROSOFT.COM CPMSFTWBN01...
-
Upload
trinhtuong -
Category
Documents
-
view
212 -
download
0
Transcript of Sûreté de fonctionnement informatique : un nécessaire ... · MSDN.MICROSOFT.COM CPMSFTWBN01...
Jean-Claude Laprie
Sûreté de fonctionnementinformatique :
un nécessaire changement d’échelle
Toulouse, 28-30 septembre 2005
Sûreté de fonctionnement
Etat de l’art en (quelques) statistiques
Changement d’échelle de la sûreté defonctionnement
Le réseau d’excellence ReSIST
Conclusion
Sûreté de fonctionnement : aptitude à délivrer un service deconfiance justifiée
Service délivré par un système : son comportement tel que perçu par son, ou sesutilisateurs
Utilisateur : autre système en interaction avec le système considéré
Fonction d’un système : ce à quoi le système est destiné, décrite par laspécification fonctionnelle
Service correct : le service délivré accomplit la fonction du système
Défaillance (du service) : événement qui survient lorsque le service délivré déviedu service correct, soit parce qu’il n’est plus conforme à la spécification, soit parceque la spécification ne décrit pas de manière adéquate la fonction du système
Erreur : partie de l’état susceptible d’entraîner une défaillance
Faute : cause adjugée ou supposée d’une erreur
Modes de défaillance : manières selon lesquelles un système peut défaillir,classées selon leur gravité
Sûreté de fonctionnement : aptitude à éviter des défaillancesdu service plus fréquentes ou plus graves qu’acceptable
Défaillances du service plus fréquentes ou plus graves qu’acceptable:défaillances de la sûreté de fonctionnement
Sûreté de Fonctionnement
Sécurité(-innocuité)
Fiabilité ConfidentialitéDisponibilité Intégrité Maintenabilité
Prêt àl’utilisation
Continuitédu service
Absence deconséquences
catastrophiquespour
l’environnement
Absence dedivulgations
non-autoriséesde l’information
Absenced’altérations
inappropriéesdu système
Aptitude auxréparations
et auxévolutions
Sécurité (-immunité)Absence d’accès ou de manipulations non-autorisés de l’état du système
Actions autorisées
Sécurité(-innocuité)
Fiabilité ConfidentialitéDisponibilité Intégrité Maintenabilité
Préventiondes fautes
Tolérance aux fautes
Elimination des fautes
Prévision des fautes
…Fautes Erreurs Défaillances FautesDéfaillances… Conséquences Activation Propagation Conséquences
Fautes Erreurs Défaillances FautesDéfaillances ……
Fautes temporaires
Phase de créationou d’occurrence
Fautes de développement
Fautes opérationnelles
Frontières systèmeFautes internes
Fautes externes
DimensionFautes matérielles
Fautes logicielles
Causephénoménologique
Fautes naturelles
Fautes dues à l’homme
PersistanceFautes permanentes
Capacité
IntentionFautes non malveillantes
Fautes malveillantes
Fautes accidentelles
Fautes délibérées
Fautes d’incompétence
Défaillances signalées
Défaillances non signaléesDétectabilité
CohérenceDéfaillances cohérentes
Défaillances incohérentes
Conséquences
Défaillances mineures
Défaillances catastrophiques
Domaine
Défaillances en valeur
Défaillances retard
Défaillances avance
Défaillances par arrêt
Défaillances erratiques
Fautes
Persistance Per Per Per Per Per Per Per Per Per Per Tem Per Tem Tem Tem Per Tem Per Tem PerTem Tem Tem Per Tem
Intention Nonmal
Nonmal
Mal Mal Nonmal
Nonmal
Nonmal
Nonmalveillantes
Nonmalveillantes
Mal Mal
Dimension Logicielles Matérielles Matérielles Matérielles Logicielles
Frontières système Internes Internes Externes
Phase de créationou d’occurrence
De développement Opérationnelles
Capacité Acc Dél Inc Acc Inc Acc Acc Acc Acc Dél Inc Dél Dél Acc Dél IncDél Dél Dél
Causephénoménologique
Dues à l’homme
Dues à l’homme
Nat Nat NatDues à l’homme
Dues à l’homme
Fautes de développement Fautes physiques Fautes d’interaction
Bugslogicielles
Bombeslogiques
Errata mat
Défauts Prod
Dégrphys
Agressionsphysiques
Tentat.intrusion
VV
Erreurs d’entrée
Fautes dues à l’homme
Non malveillantes MalveillantesIntention
Capacité
Interaction(opérateurs,équipes de
maintenance)et
Développement(concepteurs,réalisateurs)
Logiquesmalignes :bombeslogiques,
chevaux deTroie, portes
dérobées,canaux cachés
virus, vers,zombies
Tentativesd’intrusion,y comprisdénis deservice
Individus&
organisations
Décision par jugementprofessionnel
indépendant, parcommission d’enquête, oupar action juridique devant
tribunal
Accidentelles(erreurs)
Délibérées(décisions
malheureuses)
DélibéréesD’incompétence
Activationou
occurrence
Propagation Conséquences(interaction,composition)
Erreur altèreservice
(perçue parutilisateur(s))
Reproductibilitéactivation
Fautessolides
Fautesfurtives
Fautes furtiveset
Fautes temporaires(internes, externes)
Fautes intermittentes
Fautesd’interaction
Présenceantérieure
vulnérabilité :faute interne (y
compris omission)qui permet à fauteexterne de causer
des dommages
Commoditépour arrêt
récursion decausalité
Dépend ducontexte
Fautes Erreurs Fautes……Défaillances Défaillances
Attributs
DisponibilitéFiabilitéSécurité-innocuitéConfidentialitéIntégritéMaintenabilité
Sûreté de fonctionnement
Moyens
Prévention des fautesTolérance aux fautesElimination des fautesPrévision des fautes
MenacesFautesErreursDéfaillances
Prévisiondes fautes
Evaluation ordinale ou qualitative
Evaluation probabilisteou quantitative
Modélisation
Tests opérationnels
Toléranceaux fautes
Détection d’erreur
Rétablissementdu système
Traitement d’erreur
Traitement de faute
En développement
Vérification statique
Vérification dynamiqueVérification
Diagnostic
CorrectionVérification de non-régressionElimination
des fautesEn vie opérationnelle Maintenance curative ou préventive
Moyens
Préventiondes fautes
Attributs
Disponibilité / Fiabilité
Sécurité-innocuité
Confidentialité
Intégrité
Maintenabilité
Entraves
Fautes
Erreurs
Défaillances
De développement
Physiques
D’interaction
Sûreté defonctionnement
Fautes
Phy
siqu
es
Dév
elop
pem
ent
Inte
ract
ion
Dis
poni
bilit
é/F
iabi
lité
Séc
urité
-inno
cuité
Con
fiden
tialit
é
Lo
calis
ées
Défail.
17 Juillet 1997: Mélange des adresses du domaineinternet .com
✔ ✔ ✔
✔13 Avril 1998 : Ecroulement réseau de données d'AT&T ✔ ✔ ✔
4 Juin 1996 : Défaillance du vol 501 d'Ariane 5 ✔ ✔✔
✔✔ ✔✔26 et 27 Juin 1993 : Refus des cartes de crédit dansles distributeurs de monnaie en France
✔ ✔✔Juin 1980 : Fausses alertes à des attaques massivesde fusées soviétiques au NORAD
✔ ✔✔Juin 1985 - Janvier 1987 : Doses excessives deradiothérapie (Therac-25)
✔ ✔ ✔✔Août 1986 - 1987 : Le "Wily hacker" pénètre desdizaines de centres informatiques sensibles
✔ ✔✔15 Janvier 1990 : Indisponibilité totale du téléphoneinterurbain aux Etats-Unis, pendant 9h
✔ ✔ ✔✔✔Février 1991 : Scud raté par un Patriot à Dhahran
✔ ✔ ✔✔✔Novembre 1992 : Ecroulement des communicationsdu service d'ambulances de Londres
✔Février 2000 : Engorgement de grands portails Web ✔ ✔ ✔
✔Mai 2000 : Virus "I love you" ✔ ✔ ✔
Juillet 2001 : Ver "Code Red" ✔ ✔ ✔ ✔
Août 2003 : Propagation de panne électrique dans leNord-Est des USA et le Canada
✔ ✔ ✔ ✔
Dis
trib
uée
s
15-20%2~ 50%1Développement
40-50%1~ 30%2D’interactions humaines *
15-20%2~ 10%3Physiques externes
15-20%2~ 10%3Physiques internes
ProportionRangProportionRangFautes
Systèmes contrôlés(par ex., avions commerciaux,
réseau téléphonique,serveurs Internet frontaux)
Systèmes cœur(par ex., traitements
transactionnels,commutation électronique,serveurs Internet dorsaux)
Nombre de défaillances enfonction classes fautes
[conséquences et durée depanne largement dépendantesde l’application]
* Recherche des causes premières montre qu’elles peuvent êtresouvent attribuées à des fautes de développement, elles-mêmeconsécutives à une sous-estimation des interactions homme-systèmedans le processus de développement
• Complexité
• Pression économique
D’après J. Gray, Dependability in the Internet era
9%
99%
99.9%
99.99%
99.999%
99.9999%
1950 1960 1970 1980 1990
Systèmes informatiques
Telephonie fixe
Téléphoniemobile
Internet
Dis
poni
bilié
2000
36j 12h0,9
3j 16h0,99
8h 46mn0,999
52mn 34s0,9999
5mn 15s0,99999
32s0,999999
Duréeindisponibilité/an
Disponibilité
1A
3A
3B
0 1 2 3 4 5 6 70
20
40
60
80
100
Années depuis mise en service
Dur
ée m
oyen
ne d
'indi
spon
ibili
té(M
inut
es /
an /
syst
ème)
Autocommutateurs AT&T
Tandem Computers
MTBF Système 21 ans
Indisponibilités rapportées 438
Clients 2000 7000
Systèmes 9000 30000
Processeurs 25500 80000
Disques 74000 200000
Nombre Durée(ans)
Environnement
Total
Maintenance
Exploitation
Logiciel
Matériel
50
100
150
200
250
300
350
400
450
0
MTBF (ans)
1284
9
0
200
400
600
800
1000
1200
1400
1600
180043
89
6298
2605
1895
1337
1312
1084
1027
936
809
744
695
611
Moy
Max
Moy 92
Moy 259
www.whitehouse.govwww.google.com
www.daiko-lab.co.jp
www.microsoft.com
NetCraftStatistiques temps
fonctionnement sites Web
Nombre requêtes
Tem
ps fo
nctio
nnem
ent (
h)
Matériel15%
Logiciel34%
Erreursexploitation
51%
Sources de défaillance sites Web
(3 sites, 6 mois, 500-5000 serveurs/sites)
D’après D. Patterson, A. Brown, A. Fox,‘Recovery-oriented computing’
Enquête annuelle sur les dommages informatiques en France — CLUSIF(2000, 2001, 2002)
Impact des occurrences
Perteserv.ess.
Déf.int.
Evén.nat.
Err.utilis.
Err.conc.
Infec.virus
Vols
Fort
Moyen
Faible
Causes accidentelles Malveillances
0%
20%
40%
60%
80%
100%
Tendances sur 3 ans stable accroissement diminution
Occurrences
05,0%
10,0%15,0%20,0%25,0%
Défaillances internes Perte de
services essentiels
Evénements naturels
Accidents physiques
Erreurs d'utilisation
Erreurs de conceptionInfections
par virus
Attaques logiques
ciblées
Divulgations,fraudes,
extorsions
Attaques sur l' image
Vols
Sabotage physique
Causes accidentelles71%
Malveillances29%
Perception des risquesCauses accidentelles
29%
Défaillances internes
Perte de services essentiels
Evénements naturels
Accidents physiques
Erreurs d'utilisation
Erreurs de conceptionInfections
par virus
Attaques logiques
ciblées
Divulgations,fraudes,
extorsions
Attaques sur l' image
Vols
Sabotage physique
Malveillances71%
10,0%
20,0%
30,0%
Cisco 7000
ICPMSCOMC7501
Cisco 7000
ICPMSCOMC7502
Catalyst5000
ICPMSCOMC5001(MSCOM1)
ATM0/0/0.1
FE4/0/0Port 1/1
HSRP
FE4/1/0 FE4/1/0
HSRP
Port 2/1 Port 2/1Catalyst
5000
ICPMSCOMC5002(MSCOM2)
FE4/0/0
ATM0/0/0.1
Port 1/1
Cisco 7000
ICPMSCOMC7503
Catalyst5000
ICPMSCOMC5003(MSCOM3)
ATM0/0/0.1
FE4/0/0Port 1/1
HSRP
FE4/1/0 FE4/1/0
HSRP
Port 2/1 Port 2/1 Catalyst5000
ICPMSCOMC5004(MSCOM4)
FE4/0/0
ATM0/0/0.1
Port 1/1
Cisco 7000
ICPMSCOMC7504
SD
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SY ST EM S
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SER
ETH
NEXT
SEL
ECT
RES
ETT
XC
RXL
PWR
AC AC
48 V D C 48 V D C
5V DC OK 5V DC O K
SH UT DO W N SH UT DO W N
C AU TIO N:D oub le Pole /ne utr al fu sin g C AU TIO N:D ou ble Po le/n eut ral f usin g
F1 2A /25 0V F 12A /25 0V
A SX-1000
B
D
B
D
B
D
B
D
A CA CA CA C
SD
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SY ST EM S
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SER
ETH
NEXT
SEL
ECT
RES
ET
TX
C
RXL
PWR
SER
ETH
NEXT
SEL
ECT
RES
ETT
XC
RXL
PWR
AC AC
48 V D C 48 V D C
5V DC OK 5V DC O K
SH UT DO W N SH UT DO W N
C AU TIO N:D oub le Pole /ne utr al fu sin g C AU TIO N:D ou ble Po le/n eut ral f usin g
F1 2A /25 0V F 12A /25 0V
A SX-1000
B
D
B
D
B
D
B
D
A CA CA CA C
ICPMDISTFA1001 ICPMDISTFA1002
3A2 2A2
2A2
1A2
ATM0/0/0.1
4A2
ATM0/0/0.1
4A2
1A2
Cisco 7000
ICPMSCOMC7505
Catalyst 2926
ICPMSFTDLC2921(MSCOM DL1)
Port 1/1
FE4/0/0
HSRP
Cisco 7000
ICPMSCOMC7506
Catalyst 2926
ICPMSFTDLC2922(MSCOM DL2)
Port 1/1
FE5/0/0
HSRP
Port 1/2Port 1/2
FE4/0/0
HSRP
FE5/0/0
HSRP
IIS
IIS
IIS
IIS
IIS
IIS
CPMSFTWBW26CPMSFTWBW28CPMSFTWBW30
CPMSFTWBW37CPMSFTWBW38CPMSFTWBW39
WWW.MICROSOFT.COMWWW.MICROSOFT.COM
CPMSFTWBW24CPMSFTWBW31CPMSFTWBW32CPMSFTWBW33CPMSFTWBW34
CPMSFTWBW35CPMSFTWBW40CPMSFTWBW41CPMSFTWBW42CPMSFTWBW43
SEARCH.MICROSOFT.COM
CPMSFTWBS01CPMSFTWBS02CPMSFTWBS03CPMSFTWBS04CPMSFTWBS05CPMSFTWBS06CPMSFTWBS07CPMSFTWBS08CPMSFTWBS09
CPMSFTWBS10CPMSFTWBS11CPMSFTWBS12CPMSFTWBS13CPMSFTWBS14CPMSFTWBS15CPMSFTWBS16CPMSFTWBS17CPMSFTWBS18
WWW.MICROSOFT.COM
CPMSFTWBW08CPMSFTWBW13CPMSFTWBW14CPMSFTWBW29
CPMSFTWBW36CPMSFTWBW44CPMSFTWBW45
WWW.MICROSOFT.COM
CPMSFTWBW01CPMSFTWBW15CPMSFTWBW25
CPMSFTWBW27CPMSFTWBW46CPMSFTWBW47
REGISTER.MICROSOFT.COM
CPMSFTWBR03CPMSFTWBR04CPMSFTWBR05
CPMSFTWBR09CPMSFTWBR10
SUPPORT.MICROSOFT.COM
CPMSFTWBT01CPMSFTWBT02
CPMSFTWBT03CPMSFTWBT07
CPMSFTWBT04CPMSFTWBT05
WINDOWS.MICROSOFT.COM
CPMSFTWBY01CPMSFTWBY02
CPMSFTWBY03CPMSFTWBY04
WINDOWS98.MICROSOFT.COM
CPMSFTWBJ01
WINDOWSMEDIA.MICROSOFT.COM
PREMIUM.MICROSOFT.COM
CPMSFTWBP01CPMSFTWBP02
CPMSFTWBP03
SUPPORT.MICROSOFT.COM
CPMSFTWBT06CPMSFTWBT08
CPMSFTWBR07CPMSFTWBR08
CPMSFTWBR01CPMSFTWBR02CPMSFTWBR06
REGISTER.MICROSOFT.COM
WINDOWSMEDIA.MICROSOFT.COM WINDOWSMEDIA.MICROSOFT.COM
CPMSFTWBJ01CPMSFTWBJ02
CPMSFTWBJ03CPMSFTWBJ05
CPMSFTWBJ06CPMSFTWBJ07CPMSFTWBJ08
CPMSFTWBJ09CPMSFTWBJ10
CPMSFTWBJ06CPMSFTWBJ07CPMSFTWBJ08
CPMSFTWBJ09CPMSFTWBJ10
MSDN.MICROSOFT.COM
CPMSFTWBN01CPMSFTWBN02
CPMSFTWBN03CPMSFTWBN04KBSEARCH.MICROSOFT.COM
CPMSFTWBT40CPMSFTWBT41CPMSFTWBT42
CPMSFTWBT43CPMSFTWBT44
INSIDER.MICROSOFT.COM
CPMSFTWBI01 CPMSFTWBI02
3D2
Catalyst5000
IUSCCMQUEC5002(COMMUNIQUE2)
Catalyst5000
IUSCCMQUEC5001(COMMUNIQUE1)
Catalyst5000
Catalyst5000
ICPMSCBAC5001ICPMSCBAC5502
Port 1/1 Port 1/2Port 2/12
Cisco 7000
ICPCMGTC7501
Cisco 7000
ICPCMGTC7502
FE4/1/0
Port 1/1
FE4/1/0SQL
Microsoft.com SQL Servers
Microsoft.com Stagers,Build and Misc. Servers
FTP 6
Build Servers 32
IIS 210
Application 2
Exchange 24
Network/Monitoring 12
SQL 120
Search 2
NetShow 3
NNTP 16
SMTP 6
Stagers 26
Total 459
Microsoft.com Server Count
Drawn by: Matt GroshongLast Updated: April 12, 2000
IP addresses removed by Jim Gray to protect security
CPMSFTSQLB05CPMSFTSQLB06CPMSFTSQLB08CPMSFTSQLB09CPMSFTSQLB14CPMSFTSQLB16CPMSFTSQLB18CPMSFTSQLB20CPMSFTSQLB21
Backup SQL Servers
CPMSFTSQLB22CPMSFTSQLB23CPMSFTSQLB24CPMSFTSQLB25CPMSFTSQLB26CPMSFTSQLB27CPMSFTSQLB36CPMSFTSQLB37CPMSFTSQLB38CPMSFTSQLB39
CPMSFTSQLA05CPMSFTSQLA06CPMSFTSQLA08CPMSFTSQLA09CPMSFTSQLA14CPMSFTSQLA16CPMSFTSQLA18CPMSFTSQLA20CPMSFTSQLA21CPMSFTSQLA22
Live SQL ServersCPMSFTSQLA23CPMSFTSQLA24CPMSFTSQLA25CPMSFTSQLA26CPMSFTSQLA27CPMSFTSQLA36CPMSFTSQLA37CPMSFTSQLA38CPMSFTSQLA39
IIS
IIS
IIS IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
Consolidator SQL Servers
CPMSFTSQLC02CPMSFTSQLC03CPMSFTSQLC06CPMSFTSQLC08CPMSFTSQLC16CPMSFTSQLC18CPMSFTSQLC20CPMSFTSQLC21CPMSFTSQLC22CPMSFTSQLC23
CPMSFTSQLC24CPMSFTSQLC25CPMSFTSQLC26CPMSFTSQLC27CPMSFTSQLC30CPMSFTSQLC36CPMSFTSQLC37CPMSFTSQLC38CPMSFTSQLC39
DOWNLOAD.MICROSOFT.COM DOWNLOAD.MICROSOFT.COM
HTMLNEWS(pvt).MICROSOFT.COM
CPMSFTWBV01CPMSFTWBV02CPMSFTWBV03
CPMSFTWBV04CPMSFTWBV05
CPMSFTWBD01CPMSFTWBD05CPMSFTWBD06
CPMSFTWBD07CPMSFTWBD08
CPMSFTWBD03CPMSFTWBD04CPMSFTWBD09
CPMSFTWBD10CPMSFTWBD11
ACTIVEX.MICROSOFT.COM
CPMSFTWBA02 CPMSFTWBA03
FTP.MICROSOFT.COM
CPMSFTFTPA03CPMSFTFTPA04
CPMSFTFTPA05CPMSFTFTPA06
NTSERVICEPACK.MICROSOFT.COM
CPMSFTWBH01CPMSFTWBH02
CPMSFTWBH03
HOTFIX.MICROSOFT.COM
CPMSFTFTPA01
ASKSUPPORT.MICROSOFT.COM
CPMSFTWBAM03CPMSFTWBAM04
CPMSFTWBAM01CPMSFTWBAM01
MSDNNews.MICROSOFT.COM
CPMSFTWBV21CPMSFTWBV22
CPMSFTWBV23
MSDNSupport.MICROSOFT.COM
CPMSFTWBV41 CPMSFTWBV42
NEWSLETTERS.MICROSOFT.COM
CPMSFTSMTPQ01 CPMSFTSMTPQ02
NEWSLETTERS
CPMSFTSMTPQ11CPMSFTSMTPQ12CPMSFTSMTPQ13CPMSFTSMTPQ14CPMSFTSMTPQ15
NEWSWIRE
CPMSFTWBQ01CPMSFTWBQ02CPMSFTWBQ03
Misc. SQL Servers
INTERNAL SMTP
CPMSFTSMTPR01CPMSFTSMTPR02
NEWSWIRE.MICROSOFT.COM
CPITGMSGR01 CPITGMSGR02
NEWSWIRECPITGMSGD01CPITGMSGD02CPITGMSGD03
OFFICEUPDATE.MICROSOFT.COM
CPMSFTWBO01CPMSFTWBO02
CPMSFTWBO04CPMSFTWBO07
PremOFFICEUPDATE.MICROSOFT.COM
CPMSFTWBO30CPMSFTWBO31
CPMSFTWBO32
SearchMCSP.MICROSOFT.COM
CPMSFTWBM03
SvcsWINDOWSMEDIA.MICROSOFT.COM
CPMSFTWBJ21 CPMSFTWBJ22
STATSCPITGMSGD04CPITGMSGD05CPITGMSGD07CPITGMSGD14CPITGMSGD15CPITGMSGD16CPMSFTSTA14CPMSFTSTA15CPMSFTSTA16
WINDOWS_Redir.MICROSOFT.COM
CPMSFTWBY05
COMMUNITIES
COMMUNITIES.MICROSOFT.COM
CPMSFTNGXA01CPMSFTNGXA02CPMSFTNGXA03
CPMSFTNGXA04CPMSFTNGXA05
CODECS.MICROSOFT.COM
CPMSFTWBJ16CPMSFTWBJ17CPMSFTWBJ18
CPMSFTWBJ19CPMSFTWBJ20
CGL.MICROSOFT.COM
CPMSFTWBG03CPMSFTWBG04CPMSFTWBG05
CPMSFTWBG04CPMSFTWBG05
CDMICROSOFT.COM
CPMSFTWBC01CPMSFTWBC02
CPMSFTWBC03
BACKOFFICE.MICROSOFT.COM
CPMSFTWBB01CPMSFTWBB03
CPMSFTWBB04
Build Servers
INTERNET-BUILDINTERNET-BUILD1INTERNET-BUILD2INTERNET-BUILD3INTERNET-BUILD4INTERNET-BUILD5INTERNET-BUILD6INTERNET-BUILD7INTERNET-BUILD8INTERNET-BUILD9INTERNETBUILD10INTERNETBUILD11INTERNETBUILD12INTERNETBUILD13INTERNETBUILD14INTERNETBUILD15INTERNETBUILD16
INTERNETBUILD17INTERNETBUILD18INTERNETBUILD19INTERNETBUILD20INTERNETBUILD21INTERNETBUILD22INTERNETBUILD23INTERNETBUILD24INTERNETBUILD25INTERNETBUILD26INTERNETBUILD27INTERNETBUILD30INTERNETBUILD31INTERNETBUILD32INTERNETBUILD34INTERNETBUILD36INTERNETBUILD42
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IIS
IISIIS
IIS IIS
SQL
SQL
SQL
SQL
SQLSQL
SQL
SQL
SQL
SQL
SQL
StagersCPMSFTCRA10CPMSFTCRA14CPMSFTCRA15CPMSFTCRA32CPMSFTCRB02CPMSFTCRB03CPMSFTCRP01CPMSFTCRP02CPMSFTCRP03
CPMSFTCRS01CPMSFTCRS02CPMSFTCRS03CPMSFTSGA01CPMSFTSGA02CPMSFTSGA03CPMSFTSGA04CPMSFTSGA07
PPTP / Terminal Servers
CPMSFTPPTP01CPMSFTPPTP02CPMSFTPPTP03CPMSFTPPTP04
CPMSFTTRVA01CPMSFTTRVA02CPMSFTTRVA03
CPMSFTSQLD01CPMSFTSQLD02CPMSFTSQLE01CPMSFTSQLF01CPMSFTSQLG01CPMSFTSQLH01CPMSFTSQLH02CPMSFTSQLH03CPMSFTSQLH04CPMSFTSQLI01CPMSFTSQLL01CPMSFTSQLM01CPMSFTSQLM02CPMSFTSQLP01CPMSFTSQLP02CPMSFTSQLP03CPMSFTSQLP04CPMSFTSQLP05CPMSFTSQLQ01CPMSFTSQLQ06
CPMSFTSQLR01CPMSFTSQLR02CPMSFTSQLR03CPMSFTSQLR05CPMSFTSQLR06CPMSFTSQLR08CPMSFTSQLR20CPMSFTSQLS01CPMSFTSQLS02CPMSFTSQLW01CPMSFTSQLW02CPMSFTSQLX01CPMSFTSQLX02CPMSFTSQLZ01CPMSFTSQLZ02CPMSFTSQLZ04CPMSFTSQL01CPMSFTSQL02CPMSFTSQL03
Monitoring Servers
CPMSFTHMON01CPMSFTHMON02CPMSFTHMON03
CPMSFTMONA01CPMSFTMONA02CPMSFTMONA03
Canyon Park Data CenterMicrosoft.com Network Diagram
D’après J. Gray, Dependability in the Internet era
Ferme de serveurs (500 serveurs)
Changement d’échelle de la sûreté de fonctionnement
En complément de la prévention et de l’élimination des fautes,
Accent sur Tolérance aux Fautes
Croissance continue de la complexité(applications web, serveurs frontaux, réseaux de systèmes enfouis ; fixes ou mobiles)
Avionique, signalisation ferroviaire,commande-contôle nucléaire, etc.
Traitement transactionnel,serveurs dorsaux, etc.
(Raisonnablement) maîtrisé: haute sûreté de fonctionnement poursystèmes critiques vis-à-vis sécurité-innocuité ou disponibilité
Ecart en sûreté de fonctionnemententre confiance attendue par utilisateurs et réalité statistique
Accent sur Tolérance aux Fautes
Fautes accidentelles,physiques
ou de développement
Malveillances[intrusions, attaques endéni de service, virus —
Attaques continues]
Erreurs d’interactionhomme-système
[administration système,configuration,maintenance]
Vulnérabilités[certaines inévitables
pour utilisabilité]
Réseau d’excellence européen
ReSIST[Resilience for Survivability in Information Society Technologies]
ComposabilityExtensibility Adaptivity ConsistencyResilienceScalabilityProperties
AssessabilityEvolvability Usability DiversityResilienceScalingTechnologies
Changes Environmentalchanges
Functionalchanges
Technologicalchanges
Dependability scalability
ResilienceBuildingTechnologies
ResilienceEvaluation
ResilienceVerification
ResilienceDesign
Resilience BuildingTechnologies
DesignVerificationEvaluation
Resilience ScalingTechnologies
EvolvabilityAssessabilityUsabilityDiversity
Resilience IntegrationTechnologies
Resilience Knowledge BaseResilience-Explicit Computing
JointProgramme of
Research(JPR)
ResilienceKnowledgeBase
Resilience-ExplicitComputingApproach
ResilienceIntegration
Technologies
Evolvability
Assessability
Usability
Diversity
ResilienceScaling
Technologies
ResilienceDesign
ResilienceVerification
ResilienceEvaluation
ResilienceBuilding
Technologies
Joint Programme of Activities(JPA)
JointProgramme
of Integration(JPI)
Joint Programmeof Excellence
Spreading(JPES)
JointProgramme
of Management(JPM)
Syllabuses
Courseware
Seminars
Training
BestPractices
Awareness
Dissemination
ScientificCouncil
GoverningBoard
StrategicManagement
ExecutiveBoard
OperationalManagement
Training andDisseminationCommittee
ResilienceKnowledgeBaseEditorialCommittee
IntegrationOperations
MeetingsandWorkshops
Exchange ofPersonnel
Co-AdvisedDoctorateTheses
71 researchers plus 44 students, 3 year (initial) duration
Partners Mobility CountryAcademia (A) /
Industry (I)
Physical (PA)
Devel-opment
(DA)
Inter-action (IA)
PA DA IA M
Budapest PA HU A
City University DA IA M UK A
Darmstadt PA DA DE A
DeepBlue IA IT I
Eurecom M x FR A
France Telecom PA M x FR I
IBM Zurich M CH I
IRISA PA DA x FR A
IRIT IA FR A
Kaunas PA DA LT A
LAAS [coordinator] PA DA M x FR A
Lisbon PA M x PT A
Newcastle DA IA M UK A
Pisa PA DA IA IT A
Qinetiq DA M UK I
Roma-La Sapienza PA x IT A
Ulm DA DE A
Fault class resilience
AccidentalMalic-
ious (M)