Лекція 7. Надійність і безпека розподілених систем

Визначення надійності, характеристики надійності: відмова, ймовірність відмови, щільність розподілу ймовірності відмов, інтенсивність відмов, середній час безвідмовної роботи, напрацювання на відмову. Безпека, модель інформаційної безпеки. Порівняння за надійністю і безпекою зосереджених і розподілених систем. Побудова відмовостійких і стабілізуючих алгоритмів.

Під надійністю розуміється відповідно до ГОСТ 27.002-89 властивість системи зберігати в часі у встановлених межах значення всіх параметрів, які працюють здатність виконувати необхідні функції в заданих режимах і умовах застосування, технічного обслуговування, транспортування і зберігання.

Є дві оцінки надійності: якісна і кількісна.

Якісна оцінка – властивості, завдяки яким вироби виконують задані функції в умовах експлуатації, а саме: безвідмовність, відновлюваність і довговічність.

Безвідмовністю називається властивість виробу безупинно зберігати працездатність протягом заданого часу у певних умовах експлуатації.

Відновлюваність (ремонтопридатність) характеризує пристосованість виробу до виявлення та усунення відмов.

Довговічністю називається властивість виробу тривалий час зберігати працездатність з можливими перервами для ремонту або при зберіганні.

Звернемо увагу на 3 основні моменти у визначеннях надійності: імовірнісний характер, залежність від встановлених меж, умов роботи і від оточуючих умов.

Вироби (системи) не є абсолютно надійними, тобто властивість надійності виробу має місце на кінцевому інтервалі часу, після закінчення якого відбувається відмова в роботі. Тривалість інтервалу безвідмовної роботи залежить від великого числа факторів, передбачити які нереально, тому відмова є випадковою подією.

Розглянемо кількісну оцінку надійності. Одним з основних понять в теорії надійності є відмова. Відмовою називається такий стан елемента, при якому він повністю або частково не виконує задані функції і кілька параметрів (зокрема, один) мають значення, що виходять за встановлені норми.

Щільність розподілу імовірності відмов f(t) (частоти відмов) характеризує число відмов в одиницю часу, віднесена до первісного числа виробів, поставлених на випробування.

Надійність прийнято характеризувати ймовірністю відмови q(t) в роботі (або ймовірність-ністю безвідмовної роботи p(t)) протягом певного проміжку часу.

Ймовірність відмови виробу за час від 0 до t визначається через щільність розподілу відмов наступним чином:

,

тоді ймовірність безвідмовної роботи дорівнює

.

З іншого боку, f(t) = q'(t) = - p'(t).

Найбільш поширеним параметром надійності є інтенсивність (небезпека) відмов  = (t), яка характеризує ступінь надійності виробу в кожен даний момент часу. Часто можна прийняти, що (t) =  = const; тоді має місце експоненціальний закон розподілу відмов, тобто залежність p(t) = exp(-t). Під цим терміном розуміють відношення швидкості відмов до числа виробів, що залишилися іс-правнимі до початку розглянутого проміжку часу.

Між показниками надійності (щільність розподілу відмов, ймовірність безвідмовної роботи, інтенсивність відмов) існує залежність, що дозволяє визначити будь-який показник по двом іншим (t) = f(t)/p(t).

Середній час безвідмовної роботи Т_ср визначається як математичне очікування часу справної роботи виробу до першої відмови

.

Для відновлюваних виробів вводиться показник напрацювання на відмову, що відповідає середньому часу роботи між двома відмовами

Т₀ = (t_i)/n = Тр/n,

де T_p – загальний час роботи виробу;

n – загальне число відмов за цей час;

t_i – час справної роботи між (i-1)-ою та i-ою відмовами виробів.

Під безпекою розуміється стан захищеності системи від потенційно і реально існуючих загроз, або відсутність таких загроз. Система знаходиться в стані безпеки, якщо дія зовнішніх і внутрішніх факторів не призводить до погіршення або неможливості її функціонування. Загрози можуть бути різного роду, в тому числі загроза фізичного руйнування.

У контексті нашої теми цікаві інформаційні загрози. До них відносяться загрози отримання системою недостовірної вхідної інформації, спотворення внутрішньосистемної інформації, а також витік інформації про функціонування системи.

Інформаційна безпека – стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання і розвиток в інтересах громадян, організацій, держави.

У якості стандартної моделі безпеки часто призводять модель CIA:

• конфіденційність інформації – confidentiality (обов'язкове для виконання особою, яка одержала доступ до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника);

• цілісність (integrity);

• доступність (availability).

Під конфіденційністю розуміється доступність інформації тільки визначеному колу осіб, під цілісністю — гарантія існування інформації в початковому вигляді, під доступністю — можливість отримання інформації авторизованим користувачем в потрібний для нього час.

Виділяють і інші категорії:

• автентичність — можливість встановлення автора інформації;

• апелліруемость — можливість довести, що автором є саме заявлена людина, і ніхто інший.

Всі фізичні елементи будь-якої системи є потенційно ненадійними і вразливими з точки зору безпеки.

Ненадійність елементів системи, що здійснюють переробку інформації, може полягати у повній відмові від переробки, у зміні функції (стабільному одержані невірних результатів), у збоях (періодичному виникненні помилок).

Ненадійність елементів, які здійснюють передачу інформації, може полягати у повному припиненні передачі, в односторонньому припинення передачі (для двонаправлених каналів), у виникненні випадкових помилок при передачі (перешкод).

Порушення безпеки елементів системи, що здійснюють обробку інформації, може складатися як в умисних діях зловмисників, що викликають відмову в роботі, зміну функцій (постійне або одиничне), так і в несанкціонованному доступі до інформації (НСД).

Порушення безпеки елементів системи, які здійснюють передачу інформації, може полягати у втручанні, що приводить до повного припинення передачі, до одностороннього припинення передачі (для двонаправлених каналів), до заміни одних повідомлень на інші. Також може мати місце НСД.

Таким чином, проблеми надійності і безпеки багато в чому споріднені. Вони пов'язані з втручанням у функціонування системи. Відмінність полягає в тому, що ненадійність визначається фізичними, природними факторами і не пов'язане з чиїмись цілями. Небезпечність визначається, в основному, «людським фактором» – наявністю зловмисників та/або безтурботних співробітників. Але одна з проблем безпеки – витік інформації при несанкціонованому доступі – не має аналога серед проблем надійності.

Порівняємо зосереджену S_sa і розподілену S_d системи, призначені для рішення одних і тих же задач для однієї і тій ж множени об'єктів, з точки зору надійності і безпеки. Об'єкти являють собою елементи системи, розташовані в різних точках простору. На рис. 2 і 3 ці об'єкти показано однаково розташованими точками. Формально обидві системи є розподіленими, але, оскільки в системі на рис. 2 вся обробка інформації відбувається в одному місці, то цю систему будемо вважати зосередженою.

Рисунок 2 – Зосереджена система

У розподіленій системі кількість елементів більше, ніж у зосередженої: S_d містить додаткові сервери Serv_a, Serv_b, Serv_c і додаткові елементи (лінії зв'язку Lj) . Кількість ліній зв'язку об'єктів з серверами в зосередженою і розподіленої системах однаково – воно визначається кількістю об'єктів.

Кожен фактор з точки зору надійності, якщо його розглядати ізольовано, грає позитивну або негативну роль. Наприклад, збільшення кількості ненадійних елементів в системі при інших рівних умовах грає негативну роль. Під іншими рівними умовами тут розуміється незмінність архітектури (з'єднань і розподілу функцій) системи, незмінність параметрів елементів і ін. Якщо ж архітектуру змінити, наприклад, використовувати додаткові елементи для дублювання (резервування), то надійність, навпаки, підвищується.

Лінії зв'язку з об'єктами в зосередженої системі мають більшу, ніж у розподіленої системі, довжину. Це, безсумнівно, негативний фактор. Зазвичай із збільшенням довжини лінії збільшується кількість перешкод, збільшується вартість передачі, збільшуються можливості зловмисників по зніманню інформації або її спотворення. Цей загальний висновок не залежить від природи лінії зв'язку – дротова, оптоволоконна, радіозв'язок, зв'язок з використанням супутників і т. д. Конструкція лінії зв'язку визначає лише вид залежності та числові характеристики параметрів надійності і безпеки.

Рисунок 3 – Розподілена система

З точки зору надійності при обробці інформації розподілена система має переваги перед зосередженою. Вихід з ладу сервера Serv у зосередженій системі призводить до повного припинення функціонування всієї системи. У розподіленій системі, такий як на рис. 2, є чотири сервера: Serv, Serv_a , Serv_b , Serv_c. Вихід з ладу сервера Serv не заважає серверам Serv_a, Serv_b, Serv_c вирішувати локальні завдання по обробці інформації в окремих підрозділах організації за умови, що для розрахунків не потрібна оперативна інформація з інших підрозділів або з головного сервера.

Вихід з ладу сервера Serv_a позначається тільки на роботі підрозділу «a» за умови, що для функціонування інших серверів не потрібна оперативна інформація з цього підрозділу. Сервер верхнього рівня Serv перестає отримувати інформацію від сервера Serv_a, тому частина функцій розподіленої системи перестають працювати.

У ряді випадків досить легко створити програми резервної обробки на функціонуючих серверах при виході з ладу одного з серверів, перенаправляючи потоки інформації.

При проектуванні системи завжди доводиться шукати компроміс між різними факторами, з математичної точки зору – вирішувати оптимізаційну задачу. Її сутність у тому, що, взагалі кажучи, можна забезпечити будь-яку необхідну надійність системи, але збільшення надійності супроводжується збільшенням її вартості. Причому, збільшується як вартість проектування і реалізації, так і вартість експлуатації (функціонування).

Те ж можна сказати і про безпеку. Заходи з безпеки мають ще одну негативну рису: заподіяння додаткових незручностей користувачам системи, мінімальне з яких – необхідність введення логіна і пароля.

Поряд з архітектурою технічних засобів для відмовостійкості розподіленої системи відіграє велику роль методика побудови алгоритмів. Вона повинна бути розрахована на можливі збої або неузгодженості в роботі вузлів системи (при програмуванні в зосереджених системах можливість збою зазвичай не враховується).

В даний час існує два підходи до розробки розподілених алгоритмів: 1) побудова відмовостійких алгоритмів і 2) побудова стабілізуючих алгоритмів. У стійких алгоритмах кожен крок кожного процесу робиться досить обережно, щоб гарантувати, що, незважаючи на збої, правильні процеси виконують тільки правильні кроки. У стабілізуючих алгоритмах правильні процеси можуть бути схильні до збоїв, але алгоритм в цілому гарантує виправлення помилок.

Стійкі алгоритми розроблені так, щоб враховувати можливість збоїв в деяких процесах (відносно невеликому їх кількості) і гарантувати при цьому правильність виконання тих процесів, в яких не відбулося збоїв. Ці алгоритми використовують такі стратегії як голосування, внаслідок чого процес сприйме тільки таку інформацію ззовні, про отримання якої оголосить досить багато інших процесів. Однак процес ніколи не повинен чекати отримання інформації від всіх процесів, тому що може виникнути тупик, якщо при виконанні будь-якого процесу відбудеться збій.

Стійкі алгоритми захищають систему проти відмов обмеженого числа вузлів. Залишаються працездатними вузли підтримують правильну (хоча можливо менш ефективну) поведінку під час відновлення і реконфігурації системи. Отже, стійкі алгоритми повинні використовуватися, коли неможливо тимчасове переривання роботи.

Стабілізуючі алгоритми пропонують захист проти збоїв, тобто, короткочасної аномальної поведінки компонент системи. Ці збої можуть відбуватися в великих частинах розподіленої системи, коли фізичні умови тимчасово досягають критичних значень, стимулюючи помилкову поведінку пам'яті і процесорів.

Прикладом може бути система управління космічною станцією, коли станція піддається сильному космічному випромінюванню, а також системи, в яких на багато компонентів одночасно впливають несприятливі природні умови. Коли вплив цих умов зникає, пристрої відновлюють свою працездатність і функціонують на основі програм. Однак через їх тимчасового аномального поведінки глобальний результуючий стан системи може бути непередбаченим. Властивість стабілізації гарантує збіжність до необхідної поведінки.