Таксономическая схема гарантоспособности СВГ. Анализ угроз
Свойство гарантоспособности далее рассматривается применительно к компьютерным системам (КС) различных типов, включая, в первую очередь, компьютерные сети, системы распределенной обработки информации, web-системы и др. и СВГ построенных на их основе. Ключевые понятия гарантоспособных КС базируются на результатах анализа работы [6]. Состояния, события и свойства определяются в терминах услуг, предоставляемых КС.
Гарантоспособность - это комплексное свойство системы предоставлять требуемые услуги, которым можнооправданно доверять. Гарантоспособность является комплексным свойством, включающим (рис. 1.2):
- безотказность (reliability) – свойство непрерывно предоставлять корректные (требуемые) услуги;
- готовность (availability) – свойство доступности ресурсов СВГ для предоставления требуемых услуг;
- живучесть (survivability) – свойство минимизировать снижение и сохранять в приемлемых пределах объем и качество предоставляемых услуг при отказах;
- функциональная безопасность (safety) – свойство исключать или минимизировать вредные (катастрофические) последствия при отказах для пользователей, других систем или окружающей среды;
- целостность (integrity) – свойство исключать непредусмотренные изменения системы и предоставляемых услуг;
- конфиденциальность (confidentiality) – свойство препятствовать неавторизованному доступу к информации об услугах;
- достоверность (high confidence) – свойство правильно оценивать корректность предоставляемых услуг, т.е. определять степень доверия к услуге;
- обслуживаемость (maintainability) – свойство приспособленности к модификациям и ремонту.
Рис. 1.2 – Структура и взаимосвязь свойств гарантоспособности
Рассмотренные свойства, составляющие гарантоспособность, являются первичными. Для каждого из них могут быть определены вторичные свойства. Например, для обслуживаемости такими могут являться ремонтопригодность (repairability), контролепригодность (chekability) и др. При этом вторичные и последующие свойства могут быть общими для различных первичных свойств, что является следствием их неполной «ортогональности».
Сопоставительный анализ приведенной выше таксономии свойств показывает следующее.
1. В определение гарантоспособности включен термин «требуемые», т.е. специфицированные услуги, поскольку без этого размываются границы свойства.
2. Включение свойств конфиденциальности и живучести как составляющих гарантоспособности зависит от назначения и специфики использования СВГ. Если не допускается доступ к информации об услугах, предоставляемых системой, то гарантоспособность должна включать конфиденциальность как обязательное свойство. Если допускается деградация (снижение) объема и качества предоставляемых услуг, то живучесть таких СВГ должна рассматриваться как часть гарантоспособности. Кроме того, в число первичных свойств гарантоспособности включена достоверность, поскольку ею определяется одно из ключевых слов в формулировке гарантоспособности («...оправданно доверять»).
3. Гарантоспособность и информационная безопасность (security) имеют общие свойства (целостность и конфиденциальность) и специфические. Для безопасности - это, например, аутентичность. Включение в работе [8] готовности в число таких свойств, не является оправданным, так как оно имеет самостоятельный характер, хотя и зависит определенным образом от уровня информационной безопасности. Кроме того, свойство готовности не рассматривалось в ГОСТах и ДСТУ как первичное свойство надежности и могло в их рамках представляться как совокупность свойств безотказности и ремонтопригодности.
В работе [8] отказоустойчивость (fault tolerance) не рассматривается в отличие от [9] как свойство, составляющее гарантоспособность, а определяется как механизм, средство, поддерживающее другие свойства гарантоспособности. Такой подход к трактовке отказоустойчивости оправдан, поскольку с помощью рассмотренных средств может обеспечиваться (повышаться) безотказность, готовность, безопасность и живучесть.
Важной частью таксономии гарантоспособности являются угрозы (threats), которые могут привести к непредоставлению услуг (рис. 1.2). При этом речь идет, прежде всего, о дефектах или неисправностях (faults), которые имеют место вследствие различных причин.
В конечном итоге множество дефектов, классифицируемое по многим признакам, делится на три большие группы: дефекты разработки или проектирования (ДП) (development или design faults), физические дефекты (ДФ) (physical faults) и дефекты взаимодействия (ДВ) (interaction faults).
Первая группа дефектов характерна, в первую очередь, для программных средств и проявляется при определенных условиях (входных данных), вторая – для аппаратных средств и возникает вследствие естественных причин (например, старения элементов), проявление дефектов третей группы является следствием внешних воздействий (несанкционированных вмешательств или информационных атак), ошибок обслуживающего персонала, экстремальных воздействий физического характера, которые могут привести к кратным отказам аппаратных средств.
Дефекты являются причиной отказов СВГ. Отказы СВГ имеют свою классификацию дефектов, определяемую, прежде всего, их последствиями. Цепочка событий, которые имеют место для различных дефектов такова [9]:
a) для ДП: ошибочные действия или решения при проектировании системы приводит к внесению дефекта в ее проект, который проявляется при использовании системы при определенных условиях и приводит к ошибке в вычислительном процессе, что вызывает сбой или отказ системы (в предоставлении услуги);
b) для ДФ: вследствие естественных (внутренних) причин возникает дефект, который приводит к ошибке в вычислительном процессе, приводящей к сбою или отказу;
c) для ДВ: вследствие внешних воздействий информационного, физического или иного характера появляется дефект, который вызывает ошибку вычислительного процесса и далее сбой или отказ СВГ.
Гарантоспособная система, в общем случае, имеет (рис. 1.3) множества работоспособных (и безопасных) состояний МSРС, частично работоспособных (и безопасных) состояний МSіЧР, (d – число допустимых уровней деградации) и полностью неработоспособных состояний МSПНР. Если d > 1, можно говорить о свойстве живучести рассматриваемой системы.
Рис. 1.3 – Модель состояний гарантоспособной системы
В состав МSПНР входят множества неработоспособных, но безопасных состояний МSНРБ и опасных состояний МSНРО. При этом последнее множество МSНРО рассматривается как множество функционально опасных (аварийных) состояний, а множества МSНРБ и МSЧР объединяют состояния функционально безопасные.
Что касается информационной безопасности, то она может обеспечиваться частично для множеств МSЧР. С учетом возможных типов отказов из-за ДР, ДФ и ДВ система из исходного исправного состояния S0 переходит в состояния (подмножества состояний) SДР, SДФ и SДВ соответственно. Если эти дефекты возникают, но не обнаруживаются, система переходит в состояния (подмножества состояний) S'ДР, S'ДФ и S'ДВ.
При обнаружении дефектов и их парировании (устранении) система переходит в исправное состояние S0 в случае, если это не связано с включением резервных (использованием не пополняемых) ресурсов (аппаратных, программных) и таким образом остается в пространстве состояний множества МSРС1. Это множество может включать и другие состояния, например, связанные с профилактикой, обновлением системы и т.д. (на рис. 1.3 не показаны).
Переход системы из состояний множества МSРС1 в состояния множества МSРСj, вызвано уменьшением запаса ресурсов при сохранении в полном объеме ее функциональности. В случае пополнения ресурсов возможны обратные переходы.
При невозможности сохранения полной функциональности системы (уровня основных характеристик) после возникновения новых дефектов ДР, ДФ или ДВ происходит переход в состояния из множеств MSіЧР. Структура пространства состояний этих множеств аналогична структуре МSРС.
Далее могут осуществляться переходы в состояния SnÎMSПНР (MSНРБ, MSНРО). Пунктиром обозначены менее вероятные переходы, которые могут иметь место при кратных (однородных и неоднородных) дефектах или при пополнении ресурсов, обеспечивающем восстановление (переход) на несколько уровней «вверх». Данная модель состояний и переходов является обобщением модели отказобезопасных систем, поскольку учитывает аспекты как функциональной, так и информационной безопасности.
Дата добавления: 2015-08-11; просмотров: 946;