3. Построение систем защиты от угрозы отказа доступа к информации

Поскольку одной из основных задач АС является своевременное обеспечение пользователей системы необходимой информацией (сведе­ниями, данными, управляющими воздействиями и т.п.), то угроза отказа доступа к информации применительно к АС может еще рассматриваться как угроза отказа в обслуживании или угроза отказа функционирования. В свою очередь, создание и эксплуатация АС тесным образом связаны с проблемой обеспечения надежности, важность которой возрастает по мере увеличения сложности и стоимости разработки, а также характера возможных последствий, которые для управляющих критических систем могут быть катастрофическими.

Защита от сбоев программно-аппаратной среды

К неправильному функционированию АС приводят ошибки в ПО или отказ аппаратуры. Поэтому в органически связанном комплексе невоз­можно бывает, по крайней мере на начальной стадии поиска, разделить причины отказа. В связи с этим вводят понятие надежности ПО, под кото­рой понимается свойство объекта сохранять во времени значения всех параметров, характеризующих способность выполнять требуемые функ­ции в заданных режимах и условиях применения, технического обслужи­вания, ремонта, хранения и транспортировки.

Несмотря на явное сходство в определениях надежности для аппа­ратных средств и ПО фактически между этими надежностями сохраняют­ся принципиальные различия. Программа в большинстве случаев не мо­жет отказать случайно. Ошибки в ПО, допущенные при его создании, за­висят от технологии, организации и квалификации исполнителей и в принципе не являются функцией времени. Причиной отказов, возникаю­щих из-за этих ошибок и фиксируемых как случайный процесс, является не время функционирования системы, а набор входных данных, сложив­шихся к моменту отказа.

Угроза отказа функционирования АС может быть вызвана как целе­направленными действиями злоумышленников, так и недостаточной на­дежностью входящей в состав АС аппаратуры и ПО. При обеспечении защиты АС от угрозы отказа функционирования обычно делают следую­щие допущения. Считается, что надежность аппаратных компонентов дос­таточно высока, и в практическом плане этой составляющей в общей на­дежности АС можно пренебречь. Более того, темпы морального старения вычислительной техники значительно опережают темпы ее физического старения, и замена вычислительной техники, как правило, происходит до ее выхода из строя. В настоящее время (при условии соблюдения правил эксплуатации) практически не рассматривается возможность потери дан­ных вследствие утери МНИ функциональных свойств. Таким образом, на­дежность функционирования АС может быть сведена к надежности функ­ционирования входящего в ее состав программного обеспечения. Другое допущение связано с тем, что принято не различать природу причин сбо­ев и отказов работы АС, т.е. для надежности функционирования АС не­важно, вызваны ли они действиями злоумышленника или связаны с ошиб­ками разработки, важно, как и в каком объеме произойдет их парирование.

Существуют два основных подхода к обеспечению защиты ПО АС от угрозы отказа функционирования-предотвращение неисправностей (fault avoidance) и отказоустойчивость (fault tolerance).

Отказоустойчивость предусматривает, что оставшиеся ошибки ПО обнаруживаются во время выполнения программы и парируются за счет использования программной, информационной и временной избыточно­сти. Предотвращение неисправностей связано с анализом природы оши­бок, возникающих на разных фазах создания ПО, и причин их возникнове­ния. Рассмотрим эти два направления подробнее.

Обеспечение отказоустойчивости ПО АС

Невозможность обеспечить в процессе создания АС ее абсолютную защищенность от угрозы отказа функционирования даже при отсутствии злоумышленных воздействий заставляет искать дополнительные методы и средства повышения безопасности функционирования ПО на этапе экс­плуатации [10]. Для этого разрабатываются и применяются методы опе­ративного обнаружения дефектов при исполнении программ и искажений данных введением в них временной, информационной и программной избыточности. Эти же виды избыточности используются для оперативного восстановления искаженных программ и предотвращения возможности развития угроз до уровня, нарушающего безопасность АС.

Для обеспечения высокой надежности и безопасности функциониро­вания АС необходимы вычислительные ресурсы для максимально быст­рого обнаружения проявления дефектов, возможно точной классификации типа уже имеющихся и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое восстанов­ление нормального функционирования АС. Неизбежность ошибок в слож­ных АС, искажений исходных данных и других аномалий приводит к необ­ходимости регулярной проверки состояния и процесса исполнения про­грамм, а также сохранности данных. В процессе проектирования тре­буется разрабатывать надежные и безопасные программы и базы данных, устойчивые к различным возмущениям и способные сохранять достаточное качество результатов во всех реальных условиях функционирования. В любых ситуациях прежде всего должны исключаться катастрофические последствия дефектов и длительные отказы или в максимальной степени смягчаться их влияние на результаты, выдаваемые пользователю.

Временная избыточность состоит в использовании некоторой части производительности компьютера для контроля исполнения программ и восстановления (рестарта) вычислительного процесса. Для этого при проектировании АС должен предусматриваться запас производительно­сти, который затем будет использоваться системами контроля и для по­вышения надежности и безопасности функционирования. Значение вре­менной избыточности зависит от требований к безопасности функциони­рования или обработки информации и находится в пределах от 5...10% производительности до трех-четырех кратного дублирования в мажори­тарных вычислительных комплексах.

Информационная избыточность состоит в дублировании накоплен­ных исходных и промежуточных данных, обрабатываемых программами. Избыточность используется для сохранения достоверности данных, кото­рые в наибольшей степени влияют на нормальное функционирование АС и требуют значительного времени на восстановление. Такие данные обычно характеризуют некоторые интегральные сведения о внешнем управляющем процессе; в случае их разрушения может прерваться про­цесс управления внешними объектами или обработки их информации, отражающийся на безопасности АС.

Программная избыточность используется для контроля и обеспече­ния достоверности наиболее важных решений по управлению и обработке информации. Она заключается в сопоставлении результатов обработки одинаковых исходных данных разными программами и исключении иска­жения результатов, обусловленных различными аномалиями. Программ­ная избыточность необходима также для реализации средств автомати­ческого контроля и восстановления данных с использованием информа­ционной избыточности и для функционирования всех средств защиты, имеющих временную избыточность.

Последовательный характер исполнения программ центральным процессором приводит к тому, что средства оперативного программного контроля включаются после выполнения прикладных и сервисных про­грамм. Поэтому средства программного контроля обычно не могут обна­руживать возникновение искажения вычислительного процесса или дан­ных (первичную ошибку) и фиксируют, как правило, только последствия первичного искажения (вторичную ошибку). Результаты первичного иска­жения в ряде случаев могут развиваться во времени и принимать катаст­рофический характер отказа при увеличении времени запаздывания в обнаружении последствий первичной ошибки.

Обеспечение отказоустойчивости ПО АС применимо в основном к прикладному программному обеспечению, так как в этом случае реализа­ция задачи контроля возлагается на операционную систему. Что же каса­ется самой операционной системы, то данный подход здесь практически не работает, так как для нее потребуется своя 'контролирующая операци­онная "сверхсистема", которую также надо контролировать, и т.д. Поэтому для операционных систем применяют методы предотвращения неисправ­ностей в ПО.