Таксономическая схема гарантоспособности СВГ. Анализ угроз

Свойство гарантоспособности далее рассматривается применительно к компьютерным системам (КС) различных типов, включая, в первую очередь, компьютерные сети, системы распределенной обработки информации, web-системы и др. и СВГ построенных на их основе. Ключевые понятия гарантоспособных КС базируются на результатах анализа работы [6]. Состояния, события и свойства определяются в терминах услуг, предоставляемых КС.

Гарантоспособность - это комплексное свойство системы предоставлять требуемые услуги, которым можнооправданно доверять. Гарантоспособность является комплексным свойством, включающим (рис. 1.2):

- безотказность (reliability) – свойство непрерывно предоставлять корректные (требуемые) услуги;

- готовность (availability) – свойство доступности ресурсов СВГ для предоставления требуемых услуг;

- живучесть (survivability) – свойство минимизировать снижение и сохранять в приемлемых пределах объем и качество предоставляемых услуг при отказах;

- функциональная безопасность (safety) – свойство исключать или минимизировать вредные (катастрофические) последствия при отказах для пользователей, других систем или окружающей среды;

- целостность (integrity) – свойство исключать непредусмотренные изменения системы и предоставляемых услуг;

- конфиденциальность (confidentiality) – свойство препятствовать неавторизованному доступу к информации об услугах;

- достоверность (high confidence) – свойство правильно оценивать корректность предоставляемых услуг, т.е. определять степень доверия к услуге;

- обслуживаемость (maintainability) – свойство приспособленности к модификациям и ремонту.

Рис. 1.2 – Структура и взаимосвязь свойств гарантоспособности

Рассмотренные свойства, составляющие гарантоспособность, являются первичными. Для каждого из них могут быть определены вторичные свойства. Например, для обслуживаемости такими могут являться ремонтопригодность (repairability), контролепригодность (chekability) и др. При этом вторичные и последующие свойства могут быть общими для различных первичных свойств, что является следствием их неполной «ортогональности».

Сопоставительный анализ приведенной выше таксономии свойств показывает следующее.

1. В определение гарантоспособности включен термин «требуемые», т.е. специфицированные услуги, поскольку без этого размываются границы свойства.

2. Включение свойств конфиденциальности и живучести как составляющих гарантоспособности зависит от назначения и специфики использования СВГ. Если не допускается доступ к информации об услугах, предоставляемых системой, то гарантоспособность должна включать конфиденциальность как обязательное свойство. Если допускается деградация (снижение) объема и качества предоставляемых услуг, то живучесть таких СВГ должна рассматриваться как часть гарантоспособности. Кроме того, в число первичных свойств гарантоспособности включена достоверность, поскольку ею определяется одно из ключевых слов в формулировке гарантоспособности («...оправданно доверять»).

3. Гарантоспособность и информационная безопасность (security) имеют общие свойства (целостность и конфиденциальность) и специфические. Для безопасности - это, например, аутентичность. Включение в работе [8] готовности в число таких свойств, не является оправданным, так как оно имеет самостоятельный характер, хотя и зависит определенным образом от уровня информационной безопасности. Кроме того, свойство готовности не рассматривалось в ГОСТах и ДСТУ как первичное свойство надежности и могло в их рамках представляться как совокупность свойств безотказности и ремонтопригодности.

В работе [8] отказоустойчивость (fault tolerance) не рассматривается в отличие от [9] как свойство, составляющее гарантоспособность, а определяется как механизм, средство, поддерживающее другие свойства гарантоспособности. Такой подход к трактовке отказоустойчивости оправдан, поскольку с помощью рассмотренных средств может обеспечиваться (повышаться) безотказность, готовность, безопасность и живучесть.

Важной частью таксономии гарантоспособности являются угрозы (threats), которые могут привести к непредоставлению услуг (рис. 1.2). При этом речь идет, прежде всего, о дефектах или неисправностях (faults), которые имеют место вследствие различных причин.

В конечном итоге множество дефектов, классифицируемое по многим признакам, делится на три большие группы: дефекты разработки или проектирования (ДП) (development или design faults), физические дефекты (ДФ) (physical faults) и дефекты взаимодействия (ДВ) (interaction faults).

Первая группа дефектов характерна, в первую очередь, для программных средств и проявляется при определенных условиях (входных данных), вторая – для аппаратных средств и возникает вследствие естественных причин (например, старения элементов), проявление дефектов третей группы является следствием внешних воздействий (несанкционированных вмешательств или информационных атак), ошибок обслуживающего персонала, экстремальных воздействий физического характера, которые могут привести к кратным отказам аппаратных средств.

Дефекты являются причиной отказов СВГ. Отказы СВГ имеют свою классификацию дефектов, определяемую, прежде всего, их последствиями. Цепочка событий, которые имеют место для различных дефектов такова [9]:

a) для ДП: ошибочные действия или решения при проектировании системы приводит к внесению дефекта в ее проект, который проявляется при использовании системы при определенных условиях и приводит к ошибке в вычислительном процессе, что вызывает сбой или отказ системы (в предоставлении услуги);

b) для ДФ: вследствие естественных (внутренних) причин возникает дефект, который приводит к ошибке в вычислительном процессе, приводящей к сбою или отказу;

c) для ДВ: вследствие внешних воздействий информационного, физического или иного характера появляется дефект, который вызывает ошибку вычислительного процесса и далее сбой или отказ СВГ.

Гарантоспособная система, в общем случае, имеет (рис. 1.3) множества работоспособных (и безопасных) состояний МS_РС, частично работоспособных (и безопасных) состояний МS^і_ЧР, (d – число допустимых уровней деградации) и полностью неработоспособных состояний МS_ПНР. Если d > 1, можно говорить о свойстве живучести рассматриваемой системы.

Рис. 1.3 – Модель состояний гарантоспособной системы

В состав МS_ПНР входят множества неработоспособных, но безопасных состояний МS_НРБ и опасных состояний МS_НРО. При этом последнее множество МS_НРО рассматривается как множество функционально опасных (аварийных) состояний, а множества МS_НРБ и МS_ЧР объединяют состояния функционально безопасные.

Что касается информационной безопасности, то она может обеспечиваться частично для множеств МS_ЧР. С учетом возможных типов отказов из-за ДР, ДФ и ДВ система из исходного исправного состояния S₀ переходит в состояния (подмножества состояний) S_ДР, S_ДФ и S_ДВ соответственно. Если эти дефекты возникают, но не обнаруживаются, система переходит в состояния (подмножества состояний) S'_ДР, S'_ДФ и S'_ДВ.

При обнаружении дефектов и их парировании (устранении) система переходит в исправное состояние S₀ в случае, если это не связано с включением резервных (использованием не пополняемых) ресурсов (аппаратных, программных) и таким образом остается в пространстве состояний множества МS_РС1. Это множество может включать и другие состояния, например, связанные с профилактикой, обновлением системы и т.д. (на рис. 1.3 не показаны).

Переход системы из состояний множества МS_РС1 в состояния множества МS_РСj, вызвано уменьшением запаса ресурсов при сохранении в полном объеме ее функциональности. В случае пополнения ресурсов возможны обратные переходы.

При невозможности сохранения полной функциональности системы (уровня основных характеристик) после возникновения новых дефектов ДР, ДФ или ДВ происходит переход в состояния из множеств MS^і_ЧР. Структура пространства состояний этих множеств аналогична структуре МS_РС.

Далее могут осуществляться переходы в состояния S_nÎMS_ПНР (MS_НРБ, MS_НРО). Пунктиром обозначены менее вероятные переходы, которые могут иметь место при кратных (однородных и неоднородных) дефектах или при пополнении ресурсов, обеспечивающем восстановление (переход) на несколько уровней «вверх». Данная модель состояний и переходов является обобщением модели отказобезопасных систем, поскольку учитывает аспекты как функциональной, так и информационной безопасности.