2.6. Построение систем защиты от угроз нарушения доступности.

В общем случае обеспечение защиты от угроз нарушения доступности информации реализуется путем создания той или иной избыточности. Применяются следующие мероприятия для защиты от угроз нарушения доступности на различных этапах обработки информации:

1. Этап получения информации

   1. Дублирование каналов связи;

   2. Дублирование «узких мест» (шлюзов, межсетевых экранов, маршрутизаторов);

   3. Создание запаса в пропускной способности сетевого оборудования;

2. Этап обработки информации

   1. Дублирование серверов;

   2. Использование кластеров;

   3. Управление надежностью оборудования;

3. Этап хранения информации

1. Резервное копирование информации;

2. Создание RAID – массивов;

3. Зеркалирование серверов;

2. Этап передачи информации

1. Дублирование каналов связи,

2. Дублирование «узких мест»,

3. Создание запаса в пропускной способности сетевого оборудования;

4. Избыточные маршруты (динамическая маршрутизация);

Дублирование каналов связи может осуществляться как в пределах компьютерной системы, так и в отношении каналов связи, связывающих компьютерную систему с внешней средой. Пример: использование нескольких каналов доступа в Интернет.

Дублирование шлюзов и межсетевых экранов позволяет избежать ситуаций, когда связность компьютерной системы нарушается из-за неисправности узла, представляющего собой «узкое место» - единую точку входа для всего трафика. Дублирование может осуществляться, например, следующим образом:

Рисунок 12 – Дублирование шлюзов и межсетевых экранов

В нормальных условиях функционирования работает межсетевой экран FW1. Связь У обеспечивает непрерывную синхронизацию FW2 с FW1 и в случае сбоя FW1 все управление берет на себя FW2.

Резервное копирование информации является одним из важнейших механизмов, обеспечивающих её доступность и целостность. Имеются следующие методы резервного копирования:

1. Полное копирование.

В этом случае все файлы, помеченные для резервного копирования, переносятся на резервный носитель.

2. Инкрементное копирование.

Резервному копированию подвергаются только файлы, измененные с момента последнего инкрементного копирования.

3. Дифференциальное копирование.

Копируются файлы, измененные с момента полного резервного копирования. Количество копируемых данных в этом случае с каждым разом возрастает.

На практике резервное копирование обычно осуществляется следующим образом. Периодически производится полное резервное копирование, а в промежутках – инкрементное или дифференциальное.

Использование RAID-массивов решает задачу оптимального, с точки зрения надёжности и производительности, распределения данных по дисковым накопителям.

Выделяют следующие основные виды RAID-массивов:

1. Уровень 0. В данном случае несколько дисков представляются как один виртуальный диск, имеющий объём равный сумме объёмов входящих в него дисков. Защита от сбоев на этом уровне не обеспечивается.

N дисков

N дисков

N дисков (файл пишется параллельно на все диски по секторам)

Используется, например, для монтажа видео.

Характеристики: высокая скорость и большой объём, очень низкая надёжность

2. Уровень 1. Здесь реализуется полное зеркалирование: идентичные данные хранятся на нескольких (2-х или более) дисках. Данный вариант обеспечивает защиту от сбоев.

Характеристики: надёжен, объём не изменяется, скорость чтения может быть высока, скорость записи определяется по самому медленному диску.

3. Уровень 5. Здесь данные и их контрольные суммы распределяются по всем дискам. Достоинство такого подхода состоит в том, что возможно выполнение операций чтения и записи на всех этих дисках параллельно, что существенно повышает производительность системы.

N – 1

N

N ≥ 3

КС – контрольная сумма. КС= …

Характеристики: допускает выход из строя только одного диска.

4. Уровень 6. Является дополненным уровнем 5. Несколько дисков находятся в холодном резерве: при неполадках они автоматически включаются в систему взамен вышедших из строя дисков.

5. Уровень 10. Количество дисков 2K (K ≥ 2)

Характеристики: скорость чтения больше в 2 раза; скорость записи больше в два раза, чем у самого медленного диска; надёжность больше, чем у RAID 0 (уже допустим выход из строя двух дисков: по одному из массивов RAID 0).

Зеркалирование серверов. В целом аналогично зеркалированию дисковых накопителей. Идентичные данные при этом в целях защиты от сбоев оборудования записываются на два или несколько независимых серверов. Речь в данном случае идёт исключительно о хранении файлов данных.

Дублирование серверов позволяет обеспечить полноценную замену сервера в случае его сбоя за счёт передачи управления резервному серверу.

В случае отказа основного сервера резервный сервер, постоянно синхронизирующийся с основным с использованием канала управления, оперативно перехватит управление и будет выполнять функции основного сервера.

Использование кластеров позволяет наиболее эффективно обеспечивать балансировку нагрузки между несколькими серверами. Кластером называется группа независимых серверов, управляемых как единая система. В отличие от механизма дублирования в данном случае все серверы являются активными и принимают полноценное участие в обслуживании запроса клиента.