3.3. Методы анализа и оценки живучести
Необходимо оценивать способности системы продолжать нормальное функционирование в условиях постоянно действующих деструктивных влияний и противостоять им, адаптировать алгоритмы функционирования к новым условиям и организовывать функциональное восстановление или обеспечить функционирование при постепенном процессе деградации, возможно без потери наиболее значимых «критических» информационных функций; необходим переход от анализа и оценки надежности к анализу и оценке живучести.
Под живучестью мы понимаем способность информационной системы сохранять и восстанавливать выполнение основных функций в заданном объеме и на протяжении заданного времени в случае изменения структуры системы и/или алгоритмов и условий ее функционирования вследствие неблагоприятных воздействий (НВ).
Кроме возможности «внутреннего» восстановления системы после НВ, живучесть системы характеризуется также возможностью воздействия на внешнюю среду, в которой сама система функционирует. Эта возможность особо четко видна как раз в случае информационных систем.
Одним из показателей живучести системы является запас живучести (d-живучесть) — критическое количество дефектов, уменьшенное на единицу. Под дефектом будем понимать единицу измерения ущерба, нанесенного информационной системе НВ. Если обозначить через С критическое количество дефектов, то показателем d-живучести будет d= C-1.
Критическим называют минимальное количество дефектов, возникновение которых приводит к утрате информационной системой своей работоспособности (возможности информационного воздействия). С другой стороны, запас живучести можно определить как максимальное количество дефектов, которое еще может выдержать система без утраты работоспособности.
46
Пусть m=i-я комбинация дефектов, при которой система не утрачивает своей работоспособности, тогда запас живучести
определяется как |
|
. |
|
Модели |
анализа и оценки живучести могут быть |
||
|
= |
|
|
статическими и динамическими.
В статических моделях задается участок поражения информационной системы и интенсивность влияния конкретных видов НВ, определяют перечень элементов, которые могут быть поражены НВ (например, страниц вебсайта), и с помощью логической функции работоспособности находят показатель качества функционирования системы. Динамические модели анализа являются имитационными моделями, которые включают: модель возникновения и развития НВ, модель изменения состояний элементов информационной системы под воздействием НВ и модель функционирования в условиях изменения структуры и значений параметров системы, связанных с НВ [20].
3.3.1. Функциональная живучесть
Живучесть систем анализируют и оценивают на различных уровнях проектирования, моделирования и функционирования информационных систем. Во время исследования функциональной живучести могут использоваться теоретико-игровые, вероятностные, графовые, матричные модели.
При исследовании функциональной живучести информационных систем особенности топологии сети межкомпонентных связей учитываются опосредовано. Предполагается, что в информационных системах обеспечивается необходимая связность работоспособных компонент.
При анализе живучести функционирования информационная система характеризуется:
— целью функционирования (информирование, дезинформирование, информационное воздействие и т.п.);
47
—множеством задач Q={q1,...,qn}, решение которых обеспечивается с ее помощью;
—множеством компонент (информационных ресурсов) {S1,S2,...,Sp}, являющихся составными частями системы.
В процессе функционирования информационной системы ее компоненты могут находиться в одном из состояний: работоспособном, не работоспособном, частично работоспособном, т.е. работоспособном, но при частичном снижении (в допустимых пределах) значения каких-либо показателей качества функционирования.
На основе теоретико-игровых моделей исследуют живучесть систем, которые функционируют в условиях целенаправленного влияния противника, внешних и внутренних деструктивных воздействий, когда компенсировать нештатные ситуации, потоки отказов и сбоев можно лишь за счет внутренних резервов системы и воздействия на источник деструктивных воздействий.
Вероятностные, графовые, матричные модели анализа и оценки живучести достаточно разнообразны. В каждом конкретном случае для разных моделей, учитывая различные цели функционирования, а также условия работоспособности системы возможно нахождение количественных оценок живучести. Показатели живучести различных систем можно сравнивать, если цели их функционирования совпадают. Количественные показатели живучести существенно зависят от параметров, определяющих условия работоспособности информационной системы. Текущий уровень работоспособности определяет количество, качество и содержание функций, которые обобщаются понятием «цель функционирования системы». Для обеспечения цели функционирования системы можно применить одну из стратегий [20]:
—f -стратегию — стратегию обеспечения отказоустойчивости (fault-tolerance);
—s-стратегию — стратегию обеспечения живучести
(survivability).
48
В процессе формирования f -стратегии необходимо
определить множество состояний системы |
( ) |
|
( ) , , при |
которых необходимо противодействовать |
угрозам нарушения |
||
|
= { |
} |
|
работоспособности, задавать варианты распределения функций между работоспособными компонентами информационной
системами в состояниях множества |
( ). |
|
Стратегия |
обеспечения |
отказоустойчивости |
ориентирована на полную компенсацию предусмотренных функциональных отказов и обеспечения показателей эффективности функционирования систем в этих случаях.
В процессе формирования s-стратегий для каждого состояния множества ( ) необходимо дополнительно наработать решения, относящиеся к функциям системы: суживать или нет множество функций, которые вместе составляют цель функционирования; как это сделать; упрощать или нет алгоритм реализации функций и т.д.
Вариант решения относительно цели функционирования системы в условиях наличия нежелательных влияний может быть одним из таких [20]:
1. Множество функций системы не может быть изменено, должны использоваться все функции, возможно с меньшей эффективностью или с ухудшением качества, т.е. в любом
состоянии из ( ) должно выполняться условие: |
|
|
|||||
∏ x(f ) = 1,x(f ) = |
если |
|
выполняется |
. |
|
||
0, |
f , |
не, |
выполняется; |
(3.1) |
|||
|
1,если |
|
f |
|
|||
2. В любом состоянии из ( )должно выполняться некоторое подмножество функций , которые реализуют цель функционирования информационной системы, т.е.
∏ |
( ) = 1, |
(3.2) |
Множество функций |
зависит от состояния системы и |
|
заданных условий к функциональной живучести |
. |
|
|
49 |
|
3. В произвольном состоянии из ( )система должна обеспечивать выполнение хотя бы одной функции из множества F*, т.е.
∑ϵ x(f ) ≥ 1, |
(3.3) |
Функциональная живучесть информационной системы зависит от заданной заранее цели ее функционирования. Функциональная живучесть различных информационных систем можно сравнивать, если они имеют одинаковые цели функционирования. Оценка живучести одной и той же информационной системы может изменяться в случае изменения цели функционирования. При этом столь же существенное влияние на количественные показатели живучести информационных систем, как цель функционирования, оказывают параметры, определяющие условия их работоспособности.
Выбирая механизмы повышения функциональной живучести конкретной информационной системы, необходимо учесть цель функционирования (множество функций, которые реализует система), структуру связей, особенности функциональных компонент.
Под целью функционирования при этом имеют в виду понятие, которое вводится для живучих и отказоустойчивых информационных систем, но изменение ее предполагается возможным только для систем, обладающих свойством живучести. Качественная зависимость цели функционирования (числа выполняемых информационных функций) от количества отказов компонент для отказоустойчивых и живучих систем показана соответственно на рис. 3.4а и 3.4б.
Вместе с тем, существуют живучие системы, для которых рассматриваемая зависимость выражается зависимостью, представляющей собой нечто промежуточное между зависимостями, приведенными на рисунках [20].
50