ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 30
Скачиваний: 0
Інформаційна безпека Забезпечення високої доступності План
1 Доступність
1.1 Основні поняття
1.2 Основи заходів забезпечення високої доступності
1.3 Відмовостійкість і зона ризику
1.4 Забезпечення відмовостійкості
1.5 Програмне забезпечення проміжного шару
1 Доступність
1.1 Основні поняття
Інформаційна система надає своїм користувачам певний набір послуг (сервісів). Говорять, що забезпечений потрібний рівень доступності цих сервісів, якщо наступні показники знаходяться в заданих межах:
-
Ефективність послуг. Ефективність послуги визначається в термінах максимального часу обслуговування запиту, кількості підтримуваних користувачів і т.п. Вимагається, щоб ефективність не опускалася нижче наперед встановленого порогу.
-
Час неприступності. Якщо ефективність інформаційної послуги не задовольняє накладеним обмеженням, послуга вважається неприступною. Вимагається, щоб максимальна тривалість періоду неприступності і сумарний час неприступності за деякою період (місяць, рік) не перевищували наперед заданих меж.
В єстві, вимагається, щоб інформаційна система майже завжди працювала з потрібною ефективністю. Для деяких критично важливих систем (наприклад, систем управління) час неприступності повинне бути нульовим, без всяких "майже". У такому разі говорять про вірогідність виникнення ситуації неприступності і вимагають, щоб ця вірогідність не перевищувала заданої величини. Для вирішення даної задачі створювалися і створюються спеціальні відмовостійкі системи, вартість яких, як правило, вельми висока.
До переважної більшості комерційних систем пред’являються менш жорсткі вимоги, проте сучасне ділове життя і тут накладає достатньо суворі обмеження, коли число обслуговуваних користувачів може вимірюватися тисячами, час відповіді не повинен перевищувати декількох секунд, а час неприступності - декількох годин в рік.
Задачу забезпечення високої доступності необхідно вирішувати для сучасних конфігурацій, побудованих в технології клієнт/сервер. Це означає, що захисту потребує весь ланцюжок - від користувачів (можливо, видалених) до критично важливих серверів (у тому числі серверів безпеки).
Основні загрози доступності були розглянуті нами раніше.
Відповідно до ГОСТ 27.002, під відмовою розуміється подія, яка полягає в порушенні працездатності виробу. В контексті даної роботи виріб - це інформаційна система або її компонент.
В найпростішому випадку можна вважати, що відмови будь-якого компоненту складового виробу ведуть до загальної відмови, а розподіл відмов в часі є простим пуассоновский потоком подій. У такому разі вводять поняття інтенсивності відмов і середнього часу напрацювання на відмову, які зв’язані між собою співвідношенням
Рис.
13.1.
де i - номер компоненту
λ i- інтенсивність відмов
T i - середній час напрацювання на відмову.
Інтенсивності відмов незалежних компонентів складаються:
Рис.
13.2.
а середній час напрацювання на відмову для складового виробу задається співвідношенням
Рис.
13.3.
Вже ці найпростіші викладення показують, що якщо існує компонент, інтенсивність відмов якого багато більше, ніж у інших, то саме він визначає середній час напрацювання на відмову всієї інформаційної системи. Це є теоретичним обгрунтовуванням принципу першочергового зміцнення самої слабкої ланки.
Пуассоновськая модель дозволяє обгрунтувати ще одне дуже важливе положення, що полягає в тому, що емпіричний підхід до побудови систем високої доступності не може бути реалізований за прийнятний час. При традиційному циклі тестування/відладки програмної системи за оптимістичними оцінками кожне виправлення помилки приводить до експоненціального убування (приблизно на половину десяткового порядку) інтенсивності відмов. Звідси витікає, що для того, щоб на досвіді переконатися в досягненні необхідного рівня доступності, незалежно від вживаної технології тестування і відладки, доведеться витратити час, практично рівний середньому часу напрацювання на відмову. Наприклад, для досягнення середнього часу напрацювання на відмову 105 годин буде потрібно більше 104,5 годин, що складає більше трьох років. Значить, потрібні інші методи побудови систем високої доступності, методи, ефективність яких доведена аналітично або практично за більш ніж п’ятдесят років розвитку обчислювальної техніки і програмування.
Пуассоновськая модель застосовна в тих випадках, коли інформаційна система містить одиночні точки відмови, тобто компоненти, вихід яких з ладу веде до відмови всієї системи. Для дослідження систем з резервуванням застосовується інший формалізм.
Відповідно до постановки задачі вважатимемо, що існує кількісна міра ефективності інформаційних послуг, що надаються виробом. У такому разі вводяться поняття показників ефективності окремих елементів і ефективності функціонування всієї складної системи.
Як міра доступності можна прийняти вірогідність прийнятності ефективності послуг, що надаються інформаційною системою, на всьому протязі даного відрізка часу. Ніж більший запас ефективності має свій в розпорядженні система, тим вище її доступність.
За наявності надмірності в конфігурації системи вірогідність того, що в даний проміжок часу ефективність інформаційних сервісів не опуститься нижче за допустиму межу, залежить не тільки від вірогідності відмови компонентів, але і від часу, протягом якого вони залишаються непрацездатними, оскільки при цьому сумарна ефективність падає, і кожна наступна відмова може стати фатальною. Щоб максимально збільшити доступність системи, необхідно мінімізувати час непрацездатності кожного компоненту. Крім того, слід враховувати, що, взагалі кажучи, ремонтні роботи можуть зажадати пониження ефективності або навіть тимчасового відключення працездатних компонентів; такого роду вплив також необхідно мінімізувати.
Декілька термінологічних зауважень. Звичайно в літературі по теорії надійності замість доступності говорять про готовність (у тому числі про високу готовність). Ми віддали перевагу терміну "доступність", щоб підкреслити, що інформаційний сервіс повинен бути не просто "готовий" сам по собі, але доступний для своїх користувачів в умовах, коли ситуації неприступності можуть викликатися причинами, що на перший погляд не мають прямого відношення до сервісу (приклад - відсутність консультаційного обслуговування).
Далі, замість часу неприступності звичайно говорять про коефіцієнт готовності. Нам хотілося звернути увагу на два показники - тривалість однократного простою і сумарну тривалість простоїв, тому ми віддали перевагу терміну "час неприступності" як більш ємкий.
1.2 Основи заходів забезпечення високої доступності
Основою заходів підвищення доступності є вживання структурованого підходу, що знайшов втілення в об’єктно-орієнтованій методології. Структуризація необхідна по відношенню до всіх аспектів і складових частин інформаційної системи - від архітектури до адміністративних баз даних, на всіх етапах її життєвого циклу - від ініціації до виведення з експлуатації. Структуризація, важлива сама по собі, є одночасно необхідною умовою практичної реалізовуваної інших заходів підвищення доступності. Тільки маленькі системи можна будувати і експлуатувати як бажано. У великих систем свої закони, які, як ми вже указували, програмісти вперше усвідомили більше 30 років тому.
При розробці заходів забезпечення високої доступності інформаційних сервісів рекомендується керуватися наступними архітектурними принципами, що розглядалися раніше:
-
апробированность всіх процесів і складових частин інформаційної системи;
-
уніфікація процесів і складових частин;
-
керованість процесів, контроль стану частин;
-
автоматизація процесів;
-
модульна архітектури;
-
орієнтація на простоту рішень.
Доступність системи в загальному випадку досягається за рахунок вживання трьох груп заходів, направлених на підвищення:
-
безвідмовності (під цим розуміється мінімізація вірогідності виникнення якої-небудь відмови; це елемент пасивної безпеки, який далі розглядатися не буде);
-
відмовостійкості (здібності до нейтралізації відмов, "живучість", тобто здібності зберігати необхідну ефективність, не дивлячись на відмови окремих компонентів);
-
обслуживаемости (під обслуживаемостью розуміється мінімізація часу простою компонентів, а також негативного впливу ремонтних робіт, що відмовили, на ефективність інформаційних сервісів, тобто швидке і безпечне відновлення після відмов).
Головне при розробці і реалізації заходів забезпечення високої доступності - повнота і систематичність. В зв’язку з цим представляється доцільним скласти (і підтримувати в актуальному стані) карту інформаційної системи організації (на що ми вже звертали увагу), в якій фігурували б всі об’єкти ІС, їх стан, зв’язки між ними, процеси, асоційовані з об’єктами і зв’язками. За допомогою подібної карти зручно формулювати намічані заходи, контролювати їх виконання, аналізувати стан ІС.
1.3 Відмовостійкість і зона ризику
Інформаційну систему можна представити у вигляді графа сервісів, ребра в якому відповідають відношенню "сервіс А безпосередньо використовує сервіс B".
Хай в результаті здійснення деякої атаки (джерелом якої може бути як людина, так і явище природи) виводиться з ладу підмножина сервісів S1 (тобто ці сервіси в результаті нанесених пошкоджень стають непрацездатними). Назвемо S1 зоною поразки.
В зону ризику S ми включатимемо всі сервіси, ефективність яких при здійсненні атаки падає нижче за допустиму межу. Очевидно, S1 - підмножина S. S строго включає S1, коли є сервіси, безпосередньо не зачеплені атакою, але критично залежні від уражених, тобто нездатні перемкнутися на використовування еквівалентних послуг або через відсутність таких, або через неможливість доступу до них. Наприклад, зона поразки може зводитися до одного порту концентратора, обслуговуючого критичний сервер, а зона ризику охоплює всі робочі місця користувачів серверу.
Щоб система не містила одиночних точок відмови, тобто залишалася "живучою" при реалізації будь-якої з даних загроз, жодна зона ризику не повинна включати послуги, що надаються. Нейтралізацію відмов потрібно виконувати усередині системи, непомітно для користувачів, за рахунок розміщення достатньої кількості надмірних ресурсів.
З другого боку, природно соизмерять зусилля по забезпеченню "живучості" з даними загрозами. Коли розглядається набір загроз, відповідні їм зони поразки можуть виявитися вкладеними, так що "живучість" по відношенню до більш серйозної загрози автоматично спричиняє за собою і "живучість" в більш легких випадках. Слід враховувати, проте, що звичайно вартість перемикання на резервні ресурси росте разом із збільшенням об’єму цих ресурсів. Значить, для найвірогідніших загроз доцільно мінімізувати зону ризику, навіть якщо передбачена нейтралізація охоплюючої загрози. Немає значення перемикатися на резервний обчислювальний центр тільки тому, що у одного з серверів вийшов з ладу блок живлення.
Зону ризику можна потрактувати не тільки як сукупність ресурсів, але і як частину простору, що зачіпає при реалізації загрози. У такому разі, як правило, чим більше відстань дублюючого ресурсу від меж зони ризику, тим вище вартість його підтримки, оскільки збільшується протяжність ліній зв’язку, час перекидання персоналу і т.п. Це ще один довід на користь адекватної протидії загрозам, який слідує брати до уваги при розміщенні надмірних ресурсів і, зокрема, при організації резервних центрів.
