Построение безопасных отказоустойчивых систем. Вопросы резервирования
Способы резервирования. Понятие интегрированной информационно-эксплуатационной безопасности
Ранее мы говорили о том, что в контексте теории защиты информации задача повышения надежности функционирования ИС может рассматриваться в качестве одной из задач, решаемых для повышения доступности обрабатываемой в ней информации, что обусловливает актуальность задачи построения безопасных отказоустойчивых ИС.
Однако доступность информации — это не единственная характеристика безопасности, в ИС также должна реализовываться защита и от нарушения конфиденциальности, и от нарушения целостности обрабатываемой информации.
Рассмотрим возможности решения этих задач ЗИ в отказоустойчивой ИС в комплексе.
В теории надежности повышение отказоустойчивости систем в первую очередь достигается резервированием их основных компонентов, применительно к ИС — серверов, в которых концентрируется обработка и хранение обрабатываемой информации. При этом можно выделить следующие основные способы резервирования [6].
Структурное (элементное) резервирование — эго резервирование, при котором предусматривается использование избыточных элементов, входящих в физическую структуру объекта, при этом обеспечивается подключение резервной аппаратуры к основной таким образом, чтобы при отказе основной аппаратуры резервная продолжала выполнять ее функции.
Функциональное резервирование — это резервирование, при котором заданная функция должна выполняться различными способами и реализовываться различными техническими средствами. Например, для осуществления функции передачи информации могут использоваться радиоканалы, телеграф, телефон и другие средства связи.
Информационное резервирование — это резервирование с применением избыточности информации. Примерами такого резервирования являются: многократная передача одного и того же сообщения по каналу связи; применение при передаче информации по каналам связи различных кодов, обнаруживающих и исправляющих ошибки, которые появляются в результате отказов аппаратуры и влияния помех; введение избыточных информационных символов при обработке, передаче и отображении информации. Избыток информации позволяет в той или иной мере компенсировать искажения передаваемой информации или устранять их.
Временное резервирование связано с использованием резервов времени. При этом предполагается, что на выполнение объектом требуемой работы отводится время, которое заведомо больше минимально необходимого. Резервы времени могут создаваться за счет повышения производительности объекта, инерционности его элементов и т.д.
Нагрузочное резервирование — это резервирование с применением нагрузочных резервов. Оно заключается в обеспечении оптимальных запасов способности элементов выдерживать действующие на них нагрузки или во введении в систему дополнительных защитных или разгружающих элементов для защиты некоторых основных элементов системы от действующих на них нагрузок.
При реализации ЗИ повышенного уровня защиты, в случае использования наряду с реализацией процессной модели контроля доступа соответствующего сканера безопасности, решающего задачу защиты от вторжений, можно говорить о функциональном резервировании средств защиты от вторжений, поскольку эта задача решается разными способами различными средствами ЗИ.
Замечание. В данном случае нас будет интересовать не резервирование средств ЗИ, а влияние на характеристики безопасности резервирования, реализуемого с целью повышения надежности ИС, в первую очередь широко используемого при построении ИС структурного резервирования их критических важных компонентов.
Создание в рамках построения ИС центров обработки данных и использование так называемых облачных вычислений, предполагающих концентрацию в одной ИС обработки и хранения больших объемов разнородных данных, а также их использование большим числом пользователей (как правило, удаленных), делает подобные ИС крайне критичными как к нарушению их работоспособности, так и к нарушению безопасности обрабатываемой в них информации.
Как следствие, применительно к подобным ИС актуально решение задачи повышения уровня надежности функционирования и уровня безопасности обрабатываемой информации в комплексе — повышение уровня интегрированной информационно-эксплуатационной безопасности ИС.
• Под интегрированной информационно-эксплуатационной безопасностью ИС будем понимать свойство ИС сохранять во времени в установленных пределах значения всех характеристик надежности ее функционирования и безопасности обработки информации, определяющих способность выполнять ИС требуемые функции обработки информации в безопасном режиме.
Основу построения ИС, предполагающих концентрацию в одной ИС обработки и храпения больших объемов данных, составляет реализация так называемых вычислительных кластеров (ВК) [6]. Под вычислительным кластером понимается совокупность компьютеров, объединенных в рамках некоторой сети для решения крупной вычислительной задачи.
Поскольку несколько компьютеров в рамках одного кластера решают одну и ту же задачу, в кластере может быть реализовано структурное резер- вирование компонентов. При построении ВК резервирование обычно реализуется не подключением резервного компонента при отказе основного, а использованием всех компонентов в режиме решения соответствующих задач, распределяемых между ними па основе используемого в ВК алгоритма кластеризации, который реализуется соответствующим маршрутизатором, концентрирующим на своем входе весь трафик запросов доступа к вычислительному кластеру.
Алгоритмы кластеризации могут быть различными, в зависимости от решаемых задач. Максимальная отказоустойчивость ВК, применительно к решаемой им совокупности задач обработки информации, обеспечивается при реализации в нем обработки информации в режиме разделения нагрузки. При этом компоненты системы полностью равноправны, могут решать всю совокупность задач обработки информации, решаемых вычислительным кластером. Балансировка же нагрузки, обеспечиваемая маршрутизатором, при этом реализуется с целью обеспечения равномерной нагрузки всех компонентов для обеспечения максимальной производительности ВК.
Особенностью решения задачи структурного резервирования, применительно к построенному таким образом ВК, является то, что каждый компонент системы одновременно может рассматриваться и в качестве резервируемого, и в качестве резервирующего, поскольку при отказе одного из компонентов его нагрузка равномерно распределяется между работоспособными компонентами, что обеспечивает решение требуемых задач с максимальной производительностью.
Естественно, что в данной архитектуре ВК присутствует так называемая общая точка отказа — это маршрутизатор. Однако будем считать, что вероятность его отказа пренебрежимо мала по сравнению с вероятностями отказов соответствующих компонентов обработки информации, и далее ее учитывать не будем.
Именно такую архитектуру ВК будем исследовать, рассматривая соответствующие вопросы повышения уровня интегрированной информационно-эксплуатационной безопасности ИС.
Для последующего изложения материала нам понадобится характеристика вероятности доступности информации для ее обработки в безопасном режиме в ИС.
• Под вероятностью доступности информации для ее обработки в безопасном режиме в ИС будем понимать комплексную характеристику интегрированной информационно-эксплуатационной безопасности ИС, определяющую, с какой вероятностью в любой произвольный момент времени доступна для обработки информация в безопасном режиме.
Обозначим через Рг:1 вероятность готовности к эксплуатации (работоспособности) ИС, через Р0уэ — вероятность того, что ИС готова к безопасной эксплуатации в отношении возможных угроз атак (актуальных для нее угроз атак), тогда вероятность доступности информации для ее обработки в безопасном режиме в ИС, обозначим се Рди, может быть определена следующим образом: Рди = Р0у;|Рга.
