2685
.pdfСтойкость характеризует способность системы выполнение основных функций в заданном объеме и на протяжении заданного времени при воздействии НВ. Стойкость — адресная характеристика, так как всегда увязывается с физической природой конкретного поражающего фактора. Система, построенная на абсолютно стойких элементах, абсолютно неуязвима.
Отказоустойчивость — свойство системы продолжать выполнение основных функций в заданном объеме и на протяжении заданного времени после возникновения одного или нескольких сбоев или отказов отдельных элементов.
Рассмотренные характеристики живучести используются в исследовательских и прикладных задачах отдельно, как независимые. При этом полученные результаты носят частный характер и имеют ограниченное применение. Учёт всего комплекса характеристик, их взаимозависимости в моделях живучести приближает оценку данного свойства к значению, которым информационная система реально обладает
[20].
3.2. Подходы к оценке живучести
Сегодня использование СИС требует решения вопросов повышения качества их функционирования и отказоустойчивости при намеренных или случайных негативных воздействиях и факторах. Одним из важных показателей при этом является живучесть сетевой информационной структуры. Под живучестью СИС понимается ее способность выполнять основные функции с заданными параметрами во время атак, повреждений и других аварийных ситуаций, приводящим к отказам некоторых компонент или изменением их качественных характеристик.
Как показал анализ проводимых в данной области научных исследований, существующие подходы к оценке живучести СИС можно разбить на 3 вида моделей для проведения расчетов:
41
1. вероятностные |
полиномиальные |
процедурные |
модели; |
|
|
2.процедурные модели, использующие элементы искусственного интеллекта (нейронные сети);
3.потоковые модели, основанные на критерии допустимости СИС.
Рассмотрим условия применения данных моделей для различных типов практических реализаций сетевых информационных структур . Для СИС, характеризующейся гибридной топологией и большим количеством компонент, ущерб с низкой вероятностью наступления отказа которой будет значительным, целесообразно
Средняя по размерам сетевая информационная структура, имеющая древовидную, радиальную или радиальнокольцевую топологию, имеющая низкое значение ущерба в случае отказа с низким значением вероятности, рассчитывается с помощью потоковой модели. Такая модель позволяет решать вопросы, связанные с перераспределением информационных потоков в сети с учетом заданных пропускных способностей таким образом, чтобы не допустить дефицит ресурсов (например, отказ в обслуживании или появление задержек) [20].
Сетевую структуру, имеющую гибридную или сетчатую топологию с небольшим количеством компонент и высокой (или средней) вероятностью отказа, который приводит к небольшой (или средней) величине ущерба, рекомендуется исследовать с использованием полиномиальной модели оценки.
При расчетах следует учитывать наличие в СИС различных стратегий, направленных на повышение общего уровня живучести системы. Эти стратегии по своей цели можно разделить на обеспечение функциональной или структурной живучести. Методы повышения функциональной живучести ставят задачей поддержание заданной цели функционирования системы и рассчитаны на разработку методов повышения отказоустойчивости (компенсация отказов
исохранение требуемого уровня эффективности работы) и
42
собственно живучести (управление функциями компонент системы).
Структурный подход, в свою очередь, основывается на возможности реорганизации и реконфигурации сети при внутренних и внешних негативных воздействиях, позволяющей выполнять заданную цель функционирования системы.
Целесообразность внедрения приемов и подходов данных стратегий наиболее эффективно оценивать с помощью математического аппарата риск-анализа, который позволяет управлять различными параметрами исследуемой сетевой информационной структуры с точки зрения уменьшения риска отказа компонент и всей системы в целом [20].
После выполнения расчетов результат оценки живучести необходимо проверить на соответствие критерию допустимости (живучести). Если в СИС не применяются какиелибо стратегии по поддержанию функционирования в условиях отказов компонент, то результат оценки живучести может обосновать необходимость внедрения дополнительного программного и/или программно-аппаратного обеспечения для поддержания значения живучести на оптимальном уровне.
На данном конечном этапе также могут быть выработаны рекомендации по оптимизации функционирования СИС с учетом компонент, риск отказа которых при деструктивных воздействиях наиболее высок.
Исходя из вышеизложенного, можно построить алгоритм оценки живучести сетевой информационной структуры, основываясь на следующих принципах:
-актуальность - данный принцип подразумевает исследование сетевой информационной структуры на предмет соответствия различным актуальным для конкретной практической ситуации критериям;
-документирование - исходными данными (например, допустимыми параметрами нагрузки и наличия механизмов защиты от возникновения нештатных ситуаций) расчетов являются сведения о компонентах сетевой информационной
43
структуры, полученные из соответствующих технических спецификаций и документаций;
-методологическое обеспечение - алгоритм основывается на результатах научных исследований в данной области;
-топология - разрабатываемый алгоритм должен учитывать различия методов проектирования СИС;
-живучесть - принцип заключается в использовании сетевой информационной структурой специальных механизмов, реализующих ту или иную стратегию, обеспечивающую повышение живучести СИС в условиях воздействия различных внутренних и внешних деструктивных факторов;
-риск-анализ - оценка живучести компонент сетевой
структуры, а также пути реализации стратегий живучестипроизводится с точки зрения величины риска отказов как наиболее адекватной меры;
- структурирование - данный принцип заключается в использовании типовых алгоритмических структур при построении алгоритма [20].
Разработанный алгоритм представлен на (рис. 3.3.). Предложен алгоритм оценки живучести СИС,
основанный на анализе риска отказа компонент и учитывающий топологию и возможность применения стратегий обеспечения живучести в ходе внешних и внутренних деструктивный воздействий.
Предложенный алгоритм обобщает известные подходы к исследованию живучести СИС, а также позволяет определить наиболее уязвимые компоненты и выработать рекомендации по улучшению характеристик.
44
Рис. 3.3. Алгоритм оценки живучести
45
3.3. Методы анализа и оценки живучести
Необходимо оценивать способности системы продолжать нормальное функционирование в условиях постоянно действующих деструктивных влияний и противостоять им, адаптировать алгоритмы функционирования к новым условиям и организовывать функциональное восстановление или обеспечить функционирование при постепенном процессе деградации, возможно без потери наиболее значимых «критических» информационных функций; необходим переход от анализа и оценки надежности к анализу и оценке живучести.
Под живучестью мы понимаем способность информационной системы сохранять и восстанавливать выполнение основных функций в заданном объеме и на протяжении заданного времени в случае изменения структуры системы и/или алгоритмов и условий ее функционирования вследствие неблагоприятных воздействий (НВ).
Кроме возможности «внутреннего» восстановления системы после НВ, живучесть системы характеризуется также возможностью воздействия на внешнюю среду, в которой сама система функционирует. Эта возможность особо четко видна как раз в случае информационных систем.
Одним из показателей живучести системы является запас живучести (d-живучесть) — критическое количество дефектов, уменьшенное на единицу. Под дефектом будем понимать единицу измерения ущерба, нанесенного информационной системе НВ. Если обозначить через С критическое количество дефектов, то показателем d-живучести будет d= C-1.
Критическим называют минимальное количество дефектов, возникновение которых приводит к утрате информационной системой своей работоспособности (возможности информационного воздействия). С другой стороны, запас живучести можно определить как максимальное количество дефектов, которое еще может выдержать система без утраты работоспособности.
46
Пусть m=i-я комбинация дефектов, при которой система не утрачивает своей работоспособности, тогда запас живучести
определяется как |
|
. |
|
Модели |
анализа и оценки живучести могут быть |
||
|
= |
|
|
статическими и динамическими.
В статических моделях задается участок поражения информационной системы и интенсивность влияния конкретных видов НВ, определяют перечень элементов, которые могут быть поражены НВ (например, страниц вебсайта), и с помощью логической функции работоспособности находят показатель качества функционирования системы. Динамические модели анализа являются имитационными моделями, которые включают: модель возникновения и развития НВ, модель изменения состояний элементов информационной системы под воздействием НВ и модель функционирования в условиях изменения структуры и значений параметров системы, связанных с НВ [20].
3.3.1. Функциональная живучесть
Живучесть систем анализируют и оценивают на различных уровнях проектирования, моделирования и функционирования информационных систем. Во время исследования функциональной живучести могут использоваться теоретико-игровые, вероятностные, графовые, матричные модели.
При исследовании функциональной живучести информационных систем особенности топологии сети межкомпонентных связей учитываются опосредовано. Предполагается, что в информационных системах обеспечивается необходимая связность работоспособных компонент.
При анализе живучести функционирования информационная система характеризуется:
— целью функционирования (информирование, дезинформирование, информационное воздействие и т.п.);
47
—множеством задач Q={q1,...,qn}, решение которых обеспечивается с ее помощью;
—множеством компонент (информационных ресурсов) {S1,S2,...,Sp}, являющихся составными частями системы.
В процессе функционирования информационной системы ее компоненты могут находиться в одном из состояний: работоспособном, не работоспособном, частично работоспособном, т.е. работоспособном, но при частичном снижении (в допустимых пределах) значения каких-либо показателей качества функционирования.
На основе теоретико-игровых моделей исследуют живучесть систем, которые функционируют в условиях целенаправленного влияния противника, внешних и внутренних деструктивных воздействий, когда компенсировать нештатные ситуации, потоки отказов и сбоев можно лишь за счет внутренних резервов системы и воздействия на источник деструктивных воздействий.
Вероятностные, графовые, матричные модели анализа и оценки живучести достаточно разнообразны. В каждом конкретном случае для разных моделей, учитывая различные цели функционирования, а также условия работоспособности системы возможно нахождение количественных оценок живучести. Показатели живучести различных систем можно сравнивать, если цели их функционирования совпадают. Количественные показатели живучести существенно зависят от параметров, определяющих условия работоспособности информационной системы. Текущий уровень работоспособности определяет количество, качество и содержание функций, которые обобщаются понятием «цель функционирования системы». Для обеспечения цели функционирования системы можно применить одну из стратегий [20]:
—f -стратегию — стратегию обеспечения отказоустойчивости (fault-tolerance);
—s-стратегию — стратегию обеспечения живучести
(survivability).
48
В процессе формирования f -стратегии необходимо
определить множество состояний системы |
( ) |
|
( ) , , при |
которых необходимо противодействовать |
угрозам нарушения |
||
|
= { |
} |
|
работоспособности, задавать варианты распределения функций между работоспособными компонентами информационной
системами в состояниях множества |
( ). |
|
Стратегия |
обеспечения |
отказоустойчивости |
ориентирована на полную компенсацию предусмотренных функциональных отказов и обеспечения показателей эффективности функционирования систем в этих случаях.
В процессе формирования s-стратегий для каждого состояния множества ( ) необходимо дополнительно наработать решения, относящиеся к функциям системы: суживать или нет множество функций, которые вместе составляют цель функционирования; как это сделать; упрощать или нет алгоритм реализации функций и т.д.
Вариант решения относительно цели функционирования системы в условиях наличия нежелательных влияний может быть одним из таких [20]:
1. Множество функций системы не может быть изменено, должны использоваться все функции, возможно с меньшей эффективностью или с ухудшением качества, т.е. в любом
состоянии из ( ) должно выполняться условие: |
|
|
|||||
∏ x(f ) = 1,x(f ) = |
если |
|
выполняется |
. |
|
||
0, |
f , |
не, |
выполняется; |
(3.1) |
|||
|
1,если |
|
f |
|
|||
2. В любом состоянии из ( )должно выполняться некоторое подмножество функций , которые реализуют цель функционирования информационной системы, т.е.
∏ |
( ) = 1, |
(3.2) |
Множество функций |
зависит от состояния системы и |
|
заданных условий к функциональной живучести |
. |
|
|
49 |
|
3. В произвольном состоянии из ( )система должна обеспечивать выполнение хотя бы одной функции из множества F*, т.е.
∑ϵ x(f ) ≥ 1, |
(3.3) |
Функциональная живучесть информационной системы зависит от заданной заранее цели ее функционирования. Функциональная живучесть различных информационных систем можно сравнивать, если они имеют одинаковые цели функционирования. Оценка живучести одной и той же информационной системы может изменяться в случае изменения цели функционирования. При этом столь же существенное влияние на количественные показатели живучести информационных систем, как цель функционирования, оказывают параметры, определяющие условия их работоспособности.
Выбирая механизмы повышения функциональной живучести конкретной информационной системы, необходимо учесть цель функционирования (множество функций, которые реализует система), структуру связей, особенности функциональных компонент.
Под целью функционирования при этом имеют в виду понятие, которое вводится для живучих и отказоустойчивых информационных систем, но изменение ее предполагается возможным только для систем, обладающих свойством живучести. Качественная зависимость цели функционирования (числа выполняемых информационных функций) от количества отказов компонент для отказоустойчивых и живучих систем показана соответственно на рис. 3.4а и 3.4б.
Вместе с тем, существуют живучие системы, для которых рассматриваемая зависимость выражается зависимостью, представляющей собой нечто промежуточное между зависимостями, приведенными на рисунках [20].
50