Додонов А.Г., Ландэ Д.В. Живучесть информационных систем

Подождите немного. Документ загружается.

2.1. Функциональная живучесть

1. Множество функций системы не может быть изменено, долж-

ны использоваться все функции, возможно с меньшей эффективно-

стью или с ухудшением качества, т.е. в любом состоянии из

( )

должно выполняться условие:

1, ;

( ) 1, ( )

0, .

i i

i I

если f выполняется

x f x f

если f не выполняется





 







2. В любом состоянии из

( )

должно выполняться некоторое

подмножество функций

, которые реализуют цель функциониро-

вания информационной системы, т.е.

( ) 1.

f F

x f







Множество функций

зависит от состояния системы и за-

данных условий к функциональной живучести.

3. В произвольном состоянии из

( )

система должна обеспечи-

вать выполнение хотя бы одной функции из множества

, т.е.

( ) 1.

i I

x f







Функциональная живучесть информационной системы зависит

от заданной заранее цели ее функционирования. Функциональная жи-

вучесть различных информационных систем можно сравнивать, если

они имеют одинаковые цели функционирования. Оценка живучести

одной и той же информационной системы может изменяться в случае

изменения цели функционирования. При этом столь же существенное

влияние на количественные показатели живучести информационных

систем, как цель функционирования, оказывают параметры, опреде-

ляющие условия их работоспособности.

Выбирая механизмы повышения функциональной живучести

конкретной информационной системы, необходимо учесть цель функ-

ционирования (множество функций, которые реализует система),

структуру связей, особенности функциональных компонент.

2. Анализ и оценка живучести

Под целью функционирования при этом имеют в виду понятие,

которое вводится для живучих и отказоустойчивых информационных

систем, но изменение ее предполагается возможным только для сис-

тем, обладающих свойством живучести.

Качественная зависимость цели функционирования (числа вы-

полняемых информационных функций) от количества отказов компо-

нент для отказоустойчивых и живучих систем показана соответствен-

но на рис. 7, а и 7, б.

Вместе с тем, существуют живучие системы, для которых рас-

сматриваемая зависимость выражается зависимостью, представляю-

щей собой нечто промежуточное между зависимостями, приведенны-

ми на рисунках. Подробно поведение таких систем (систем с фазовы-

ми переходами) будет рассмотрено в главе, посвященной критическо-

му уровню живучести систем.

Рис. 7. Зависимость количества выполняемых функций (вертикальная ось)

от количества отказов компонент (горизонтальная ось, k)

В процессе анализа и оценки функциональной живучести ин-

формационной системы допускается, что можно обеспечить необхо-

димые связи между отдельными функциональными компонентами.

Обозначим множество информационных функций, реализуемых

системой, через





1 2

, ,...,

i n

i I

F F f f f



 



, причем функциональная

2.1. Функциональная живучесть

компонента



потенциально может выполнять множество функций





: 1, 2,..., ( ),

p P F



 где

( )

P F

— множество всех подмножеств

. Если





1 2

( ) , ,..., ,1 ,

n k k k r

k f f f k n



  

то функциональная ком-

понента



может выполнять функции

1 2

, ,...,

k k k

f f f

В каждый конкретным момент времени функциональная компо-

нента



предназначается для выполнения некоторого множества

функций, определяемых таким образом:





: 1, 2,..., ( )

p P F



 . Если





1 2

( ) , ,..., ,1 ,

n k k k r

k f f f k n



  

то функциональная компонента



может выполнять функции

1 2

, ,...,

i i i

f f f

. Если

( ) ,



 

то



неработоспособна.

Каждая функция

f F



характеризуется некоторой эффектив-

ностью выполнения

(например, временем выполнения, объемом

аудитории при подаче информации и т.п.). Функция эффективности

для системы может быть определена как





: 1, 2,...,

F p



 

( ) ,

P F C

 

где

— некоторое числовое множество;

( , , ( ))

ef i t i

f k k c

 



означает, что функциональная компонента



предназначена для выполнения функций





1 2

( ) , ,...,

t i i i

k f f f



 , тогда

эффективность выполнения





1 2

, ,...,

i i i i

f f f f

 равна

Условия достижения цели функционирования (выполнения оп-

ределенного множества функций с заданной эффективностью) можно

определить таким образом:

( ) ;

( ) ( ) 1, ;

( , , ( )) , 1, .

t n

ef i t i

k F

k k k p

f k k c i n



 





  

  





2. Анализ и оценка живучести

Под функциональным отказом будем понимать невозможность

выполнения функциональной компонентой некоторой функции. В

этом случае изменяется состояние функциональной компоненты и со-

ответственно функции



. Если это приводит к нарушению условий

достижения цели функционирования, то средства обеспечения живу-

чести должны скорректировать функционирование системы таким об-

разом, чтобы выполнялись приведенные выше условия, возможно, за

счет изменения функции



. Оптимальность поведения системы мож-

но определить путем выполнения необходимых условий за счет изме-

нения минимального количества



, т.е. изменения количества функ-

циональных компонент, задействованных в процедурах компенсации

отказов. Критерием живучести системы (количественной оценкой)

при этом может быть количество компенсированных функциональных

отказов.

Если компоненты



функционально однородные, а цель функ-

ционирования определяют через заданный уровень производительно-

сти системы, который обеспечивается благодаря наличию соответст-

вующего количества работоспособных функциональных компонент:

( , ) * const,

R t R  

где

( , )

R t

 — среднее количество работоспособных функциональ-

ных компонент в системе в момент времени

0, *

t R

 — минималь-

но допустимое количество работоспособных функциональных компо-

нент, при котором производительность системы не меньше необходи-

мой, то оценкой функциональной живучести может быть функция

( , ) ( , ) /( ),

k k

N t t N



   

где

( , )

  — математическое ожидание производительности сис-

темы в момент времени 0;

t N



 — суммарная производительность

всех функциональных компонент.

2.2. Структурная живучесть

Структурная живучесть рассматривается как возможности ре-

конструкции, реорганизации, реконфигурации при НВ, которые по-

зволят создать структуру, обеспечивающую выполнение критического

подмножества функций для достижения цели функционирования сис-

темы.

При рассмотрении структурной живучести учитывается тополо-

гия сети межкомпонентной связи и надеждностные характеристики

компонент. Задачи, связанные с анализом структурной живучести,

можно свести к задачам надежности, связности топологических струк-

тур, в зависимости от введения понятия «разрушение».

Анализ структурной живучести требует определения:

— структуры для выполнения цели функционирования системы

в некоторый момент времени, когда возникают нежелательные влия-

ния на систему;

— требований к отдельным видам ресурсов системы и их взаи-

мосвязи;

— требований к функциональным возможностям компонент

системы;

— особенностей характера нежелательных влияний или их по-

следствий.

Структурную живучесть системы можно оценивать при некото-

рых допущениях, которые позволяют упростить задачу оценки и све-

сти ее к задаче анализа связности графов, оценки вероятности форми-

рования работоспособной структуры в случае нежелательных влияний

и т.п.

При рассмотрении информационной системы необходимо также

учитывать количество структур в этой системе, которые могут выпол-

нять критическое подмножество информационных функций. Для под-

счета этого количества необходимо выделять такие структуры, т.е.

переходя на язык теорий графов и сложных сетей — находить в сете-

вых структурах множество связных определенным образом компонент

(не обязательно «сильно связных»), например клик, при учете, что

связи формируются за счет смысловых зависимостей. Переход к рас-

смотрению сетевых моделей должен базироваться также на оценке

характеристик сетей, их максимальных и минимальных сечениях, по-

токах в этих сетях, стоимостях и т.д.

2. Анализ и оценка живучести

При исследовании структурной живучести с помощью графовых

моделей совокупность компонент системы

( , )

G V R

изображают в ви-

де вершин графа

v V



, а ребра графа

r R



соответствуют связям

между ними. Систему, которая моделируется с помощью графа, счи-

тают разрушенной, если в случае удаления вершин или ребра граф бу-

дет удовлетворять одному или большему количеству условий:

— граф состоит минимум из двух компонент;

— не существует направленных путей для определенных мно-

жеств вершин;

— количество вершин в наибольшей компоненте графа

( , )

G V R

меньше некоторого заранее заданного числа;

— кратчайший путь превышает некоторую заданную величину.

Соответственно система считается живучей, если эти условия не

выполняются. Структурную живучесть систем обычно характеризуют

различными показателями связности. Расчет таких показателей, как

например, вероятность связности при условиях случайного существо-

вания ребер графа, на практике ограничивается вычислительной слож-

ностью таких задач. Одновременно, используя пути и разрывы графа,

моделирующего систему, можно получить достаточно простые пре-

дельные оценки необходимых показателей.

Опишем механизм реконфигурации информационной системы

(информационного кластера) при деструктивном воздействии — уда-

лении элемента (документа).

Пусть

1 2

, ,...,

C C C

— различные информационные системы,

воздействующие на субъекты (объекты влияния)

1 2

, ,...,

U U U

. Ин-

формационная система

состоит из элементов

11 12 1

, ,...,

D D D

При этом сила влияния каждого элемента

информационной

системы

на субъекта

оценивается значением

( , )

v ij k

f D U



( , , ) 0.

V i j k



На рис. 8, а изображена схема влияния на субъекты

1 2 3

, ,

U U U

информационной системы

. При этом на субъект

также оказы-

вается ненулевое воздействие со стороны информационной системы

через элемент

. Следует отметить, что как между элементами

из одной информационной системы, так и между отдельными инфор-

2.2. Структурная живучесть

мационными системами и их элементами существуют информацион-

ные связи (не отображенные на рис. 8).

В результате деструктивного воздействия путем удаления эле-

мента

информационная система

теряет свое влияние на субъ-

ект

(рис. 8, б).

Рис. 8. Восстановление после деструктивного воздействия

на информационную систему С

Восстановление влияния на субъект

возможно с помощью

реконфигурации информационной системы

в трех направлениях:

1) генерации новых документов, воздействующих на

, на-

пример,

(рис. 8, в);

2) модификации существующих сообщений из

, добавление к

ним контента, оказывающего влияние на

;

2. Анализ и оценка живучести

3) модификации сообщения

в направлении тематики инфор-

мационной системы

, и, таким образом, объединения части инфор-

мационной системы

(рис. 8, г). В реальной жизни этот путь

может оказаться затруднительным, например, в том случае, когда ин-

формационная система

принадлежит силам, конкурирующим (или

находящимися в антагонистических отношениях) с владельцами

В любом случае можно оценить стоимость затрат на созда-

ние/реконфигурацию информационной системы.

Исходя из того, что общая оценка влияния информационной

системы

определяется по формуле:

| |

1 1

( ) ( , )

v ij

k j

W i f D k

 





где

| |

— количество элементов в информационной системе

суммарная стоимость создания этой информационной системы со-

ставляет

| |

( ) ( )

S i E D





где

( )

E D

— затраты на создание элемента

информационной

системы

, то один из способов определения эффективности инфор-

мационной системы, состоит в оценке выражения

| |

1 1

| |

( , )

( )

v ij

k j

f D k

E D

 







Важную группу характеристик структурной живучести состав-

ляют так называемые «меры живучести». Определяя их, выходят из

2.2. Структурная живучесть

допущения, что противник, зная структуру сети, пытается нарушить

ее функционирование. Живучесть системы считают высокой, если не-

обходимо разрушить значительное количество узлов и/или ребер, что-

бы существенно ухудшить или прервать ее функционирование.

В математической теории графов показатели живучести интер-

претируется как количественные меры связности для структуры гра-

фа: минимальное сечение, узловая связность, обобщенная связность,

длина пути и т.п.

Для проектирования информационных систем задача анализа

структурной живучести может формулироваться как задача оценки

величины максимального потока, который может передаваться в сети

в случае отказов ее элементов и понижения до допустимого уровня

качества функционирования.

Например, структурную живучесть сети MPLS (Multiprotocol

Label Switching) [2] оценивают с помощью такого алгоритма:

1. Рассчитывают общую величину потока в безотказном состоя-

нии для всех классов сервиса;

2. Моделируют различные отказные состояния и рассчитывают

вероятности этих состояний;

3. Для каждого отказного состояния рассчитывают: относитель-

ное понижение общей пропускной способности; оптимальный поток;

максимальный поток; резерв пропускной способности и т.д.

Связанные со структрной живучестью автоматическая реконфи-

гурация и перезагрузка, например, в случае DoS-атак, сегодня де-

факто являются обязательными функциями при организации веб- и

прокси-серверов, в частности под управлением HTTP-сервера Apache

(http://apache.org/). В частности, существуют внешние программные

модули этого веб-сервера, вносящие изменения в его конфигурацию и

обеспечивающие перезагрузку при обнаружении DoS-атак. В настоя-

щее время для другого HTTP-сервера — nginx (http://sysoev.ru/nginx/)

— подобные средства являются обязательными компонентами. Мо-

дуль ngx_http_limit_req_module этой системы позволяет ограничить

число запросов для заданной сессии или, как частный случай, с одного

адреса. Модуль ngx_http_limit_zone_module позволяет ограничить

число одновременных соединений для заданной сессии или, как част-

ный случай, с одного адреса. В декабре 2009 года nginx использовался

на 4 % самых посещаемых сайтов в мире. Реконфигурированием и пе-

2. Анализ и оценка живучести

резапуском прокси-сервера Squid (http://www.squid.org/) занимается

специальная программа, постоянно находящаяся в памяти (так назы-

ваемый демон) samsdaemon. Эта программа через заданные проме-

жутки времени проверяет, необходима ли реконфигурация. Например,

если пользователь превысил предел своих полномочий, возможно ав-

томатическое внесение его данных в соответсвующий конфигураци-

онный файл прокси-сервера. Таким образом, реконфигурирование

прокси-сервера Squid происходит путем изменения файла squid.conf с

последующей подачей сигнала на реконфигурацию.

2.3. Теоретико-игровой подход

В теоретико-игровых моделях живучесть информационных сис-

тем можно рассматривать с точки зрения обмена некоторого количе-

ства затраченных

ресурсов и некоторого количества потребляемых

ресурсов. В процессе количественной оценки живучести систем,

которые описываются моделями такого типа, информационные систе-

мы соответствуют продвижению товаров на рынке в экономической

среде. При этом вводится и конкретизируется содержание

( , )

V W

обменов, выполняется оптимизация этих обменов. Живучесть инфор-

мационный систем можно оценивать по наличию в них жизненно зна-

чимых элементов, которые определяются по экспертным оценкам.

Рассмотрим систему

, находящуюся во взаимодействии с сис-

темой

Каждая система во времени может переводить себя в различные

состояния, изменяя свою структуру и поведение. Предположим, что

целью

системы

является ее стремление достигнуть определен-

ных предпочтительных для нее состояний, целью

системы

явля-

ется такое же стремление достигнуть состояний, предпочтительных

для нее. Целесообразность структуры

( )

A B

и целенаправленность

поведения

( )

A B

системы

( )

A B

оценивается эффективностью, с ко-

торой система достигает цели

( )

A B

. Итак, систему

( )

A B

при фикса-

ции ее цели можно характеризовать двумя факторами:









, ; ,

A A A B B B

 

 

 