Аналіз надійності інформаційних систем на етапі їх проектуванні

Розглянувши етапи науково-технічного напряму "надійність систем", можна  виділити найбільш показові для них  характеристики.

Перший  етап:

• постановка завдань, стимулювання уваги до питань надійності; систематичне вивчення і забезпечення надійності елементів;
• завдання вимог до кількісних показників надійності виробів і перевірка виконання вимог шляхом розрахункового визначення надійності при проектуванні.

Другий етап:

• вивчення надійності систем на всіх стадіях їх створення, посилення уваги до експериментального відробітку техніки;
• завдання вимог до кількісних показників надійності і достовірності їх визначення, вказівка в технічному завданні (ТЗ) на необхідність експериментального підтвердження виконання вимог по надійності.

Третій етап:

• використання усіх практично доцільних засобів для досягнення високої надійності виробу на можливо більше ранній стадії проектування;
• встановлення вимог, аналіз отриманих і уточнення очікуваних результатів по основних заходах, забезпечення контролю надійності у рамках "Програм забезпечення надійності" на всіх стадіях створення і застосування систем.

Четвертий етап:

• автоматизація розрахунків і прогнозу надійності систем;
• перехід від оцінки надійності до оцінки живучості систем;

оптимізація резервування.

Кількісні показники надійності вводять в теорію надійності на основі побудови математичних моделей даних об'єктів. У теорії надійності використовуються різноманітні математичні методи, особливе місце займають методи теорії вірогідності і математичної статистики. Це пов'язано з тим, що події, що описують показники надійності (моменти появи відмов, тривалість ремонту і так далі), часто є випадковими. Для розрахунку вірогідності безвідмовної роботи об'єкту впродовж деякого часу використовуються аналітичні методи теорії випадкових процесів. Розрахунок кількісних показників надійності об'єктів з урахуванням можливості відновлення пристроїв, що відмовили, багато в чому аналогічний розрахунку систем теорії масового обслуговування. Аналітичні методи розрахунку надійності поєднуються з методами моделювання на ЕОМ.

2. Надійність інформаційних схем
1. Основні відмінності технічних і інформаційних схем з точки зору аналізу надійності

Передусім, слід зазначити головну  особливість інформаційних систем: на відміну від технічних вони менш різноманітні і складаються з об'єктів (забезпечень), які в різних співвідношеннях повторюються у більшості таких систем. Дійсно, кожна нова конструкція технічного об'єкту може бути представлена абсолютно новою схемою елементів, що входять в неї: неможливо порівняти конструкцію велосипеда, водопровідного крану, космічного зонду, усі вони складаються з різних елементів, що грають свою особливу роль в поведінці об'єкту.

Інша справа – інформаційна система, її головні складові наступні:

• технічне забезпечення;
• програмне забезпечення;
• інформаційне забезпечення.

Таке положення дає можливість досліджувати кожну складову системи  окремо з метою вдосконалення характеристик визначальних її надійність. Природно, збільшення надійності кожною складовою сприяє росту надійності усієї системи. Для первинної оцінки характеристик надійності інформаційної системи пропонується розпочати з визначення меж аналізованої інформаційної системи, а також ресурсів і інформації її, що утворюють [34].

Про систему необхідно зібрати  наступну інформацію:

• архітектура ІС;
• використовуване апаратне забезпечення;
• використовуване програмне забезпечення;
• системні інтерфейси (внутрішня і зовнішня зв'язність);
• топологія мережі;
• присутні в системі дані і інформація;
• підтримувальний персонал і користувачі;
• місія системи (тобто процеси, що виконуються ІС);
• критичність системи і даних;
• чутливість (тобто необхідний рівень захищеності) системи і даних;
• функціональні вимоги до ІС;
• політики безпеки, положення яких зачіпають ІС;
• заходи захисту доступності, конфіденційності і цілісності даних, що зберігаються;
• потоки даних, що належать системі, вхідні і вихідні дані.

Відмови системи, як правило, проявляються через уразливості, що призводять до порушення безпеки в ІС. Уразливості ІС обумовлюються недоліками процесу функціонування, властивостями архітектури ІС, протоколами обміну і інтерфейсами, вживаним програмним забезпеченням і апаратною платформою, умовами експлуатації і розташування.

2. Класифікація вразливостей в інформаційних системах.

Існує наступна класифікація вразливостей [34]:

Об'єктивні - залежать від особливостей побудови і технічних характеристик устаткування, вживаного в ІС. Повне усунення цих вразливостей неможливе, вони можуть істотно ослаблятися технічними і інженерними – технічними методами. До них можна віднести:

Супутні технічним засобам випромінювання:

Електромагнітні (побічні випромінювання елементів технічних засобів, кабельних  ліній технічних засобів, випромінювання на частотах роботи генераторів, на частотах самозбудження підсилювачів);

Електричні (наведення електромагнітних випромінювань на лінії і проводки, просочування сигналів в мережі електроживлення, в ланцюги заземлення, нерівномірність споживання струму електроживлення);

Звукові (акустичні, вибро-акустичні).

Що активізуються:

Апаратні закладки (встановлювані  в телефонні лінії, в мережі електроживлення, в приміщеннях, в технічних засобах);

Програмні закладки (шкідливі програми, технологічні виходи з програм, нелегальні копії ПО).

Визначувані особливостями елементів:

Електроакустичними перетвореннями (телефонні апарати, гучномовці, мікрофони);

Елементи схильні до дії електромагнітного  поля (магнітні носії, мікросхеми).

Визначувані особливостями об'єкту, що захищається:

Місцем розташування об'єкту (відсутність  контрольованої зони, наявність прямої видимості об'єктів, видалених і мобільних елементів об'єкту);

Організацією каналів обміну інформацією (використання радіоканалів, глобальних інформаційних мереж, орендованих  каналів).

Суб'єктивні – залежать від дій  співробітників, в основному усуваються організаційними і програмно - апаратними методами:

Помилки:

При підготовці і використанні програмно  забезпечення (при розробці алгоритмів і програмного забезпечення, інсталяції і завантаженні програмного забезпечення, експлуатації програмного забезпечення, введенні даних);

При управлінні складними системами (при використанні можливостей самонавчання систем, організація управління потоками обміну інформації);

При експлуатації технічних засобів (при включенні /виключенні технічних засобів, використанні технічних засобів охорони, використання засобів обміну інформацією).

Порушення:

Режиму охорони і захисту (доступу  на об'єкт, доступу до технічних засобів);

Режиму експлуатації технічних  засобів (енергозабезпечення, життєзабезпечення);

Режиму використання інформації (обробка  і обмін інформацією, зберігання і знищення носіїв інформації, знищення виробничих відходів і браку);

Режиму конфіденційності (співробітники  в не робочий час, звільнені співробітники; скривджені співробітники).

Випадкові – залежать від особливостей такою, що оточує ІС середовища і непередбачених обставин.

Збої і відмови:

Відмови і несправності технічних  засобів (оброблювальних інформацію, засобів обробки інформації, що забезпечують працездатність, охорону, що забезпечують, і контроль доступу);

Старіння і розмагнічування носіїв інформації (дискет і знімних носіїв, жорстких дисків, мікросхем, кабелів і сполучних ліній);

Збої програмного забезпечення (операційних систем і СКБД, застосовних програм, сервісних програм, антивірусних програм);

Збої електропостачання (устаткування, оброблювального інформацію; устаткування, що забезпечує і допоміжного);

Ушкодження:

Комунікацій (электро-, водо-, газо-, теплопостачання, каналізації, кондиціонування і вентиляція) життєзабезпечення;

Конструкцій (зовнішніх обгороджувань  територій, стін і перекриттів будівель; корпусів технологічного устаткування), що захищають.

Існують що також наслідує класифікацію відмов.

З причин виникнення.

Відмови із-за конструктивних дефектів. Виникають як наслідок недосконалості конструкції із-за "промахів" при конструюванні. В цьому випадку найбільш поширеними є недооблік "пікових" навантажень, застосування матеріалів з низькими споживчими властивостями. Відмови цієї групи позначаються на усіх екземплярах виробу, об'єкту, системи.

Відмови із-за технологічних дефектів. Виникають як наслідок порушення прийнятої технології виготовлення виробів (наприклад, вихід окремих характеристик за встановлені межі). Відмови цієї групи характерні для окремих партій виробів, при виготовленні яких спостерігалися порушення технології виготовлення.

Відмови із-за експлуатаційних дефектів. Виникають унаслідок невідповідності необхідних умов експлуатації, правил обслуговування дійсним. Відмови цієї групи характерні для окремих екземплярів виробів.

Відмови із-за поступового зносу. Внаслідок накопичення безповоротних змін в матеріалах, що призводять до порушення міцності (механічною, електричною), взаємодії частин об'єкту.

За схемами виникнення.

З миттєвою схемою виникнення. Характеризуються тим, що час настання відмови не залежить від часу попередньої експлуатації і стану об'єкту, момент відмови настає випадково, несподівано. Прикладами реалізації такої схеми можуть служити відмови виробів під дією пікових навантажень в електричній мережі, механічне руйнування сторонньою зовнішньою дією і тому подібне

З поступовою схемою виникнення. Відбуваються за рахунок поступового накопичення внаслідок фізико-хімічних змін в матеріалах ушкоджень. При цьому значення деяких "вирішальних" параметрів виходять за допустимі межі і об'єкт (система) не здатний виконувати задані функції. Прикладами реалізації поступової схеми виникнення можуть служити відмови внаслідок зниження опору ізоляції, електричної ерозії контактів і тому подібне.

З релаксаційною схемою виникнення. Характеризуються первинним поступовим накопиченням ушкоджень, які створюють умови для стрибкоподібної (різкого) зміни стану об'єкту, після якого виникає відмовний стан. Прикладами реалізації релаксаційної схеми виникнення відмов можуть служити пробій ізоляції кабелю внаслідок корозійного руйнування броні.

З комбінованими схемами виникнення. Характерні для ситуацій, коли одночасно  діють декілька причинних схем. Прикладом, що реалізовує цю схему, може служити  відмова двигуна в результаті короткого замикання з причин зниження опору ізоляції обмоток і перегрівання.

По тимчасовому аспекту і  мірі передбачуваності. Раптові і  поступові.

За характером усунення з часом.

Стійкі (остаточні) відмови, що самоусуваються (короткочасні). Короткочасна відмова називається збоєм. Характерна ознака збою - те, що відновлення працездатності після його виникнення не вимагає ремонту апаратури.

Усі види вразливостей створюють випадковий потік відмов інформаційної системи, що підкоряється відомим в теорії вірогідності, теорії випадкових процесів, теорії масового обслуговування положенням. У наступному розділі ми нагадаємо основні з цих положень, причому нас цікавитимуть лише невідновні системи.

3. Кластерні рішення

Підвищення рівня готовності припускає  пригнічення в певних межах впливу відмов і збоїв на роботу системи за допомогою засобів контролю і корекції помилок, а також засобів автоматичного відновлення обчислювального процесу після прояву несправностей, включаючи апаратурну і програмну надмірність, на основі якої реалізуються різні варіанти відмово стійкої архітектури. Підвищення готовності є способом боротьби за зниження часу простою системи. Основні експлуатаційні характеристики системи істотно залежать від зручності її обслуговування, зокрема від ремонтопридатності, контролепридатності і так далі.

Останніми роками в літературі по обчислювальній техніці все частіше вживається термін "системи високої готовності" (High Availability Systems). Усі типи таких систем мають спільну мету - скорочення часу простою. Є 2 типи часу простою комп'ютера : планове і непланове. Мінімізація кожного з них вимагає різної стратегії і технології. Плановий час простою зазвичай включає час, прийнятий керівництвом для проведення робіт по модернізації системи і для її обслуговування. Неплановий час простою є результатом відмови системи або компонента. Хоча системи високої готовності можливо більше асоціюються з мінімізацією позапланових простоїв, вони виявляються також корисними для зменшення планового часу простою.

Існує декілька типів систем високої  готовності, що відрізняються своїми функціональними можливостями і вартістю. Слід зазначити, що висока готовність не дається безкоштовно. Вартість систем високої готовності на багато перевищує вартість звичайних систем.

Ймовірно, тому найбільше поширення  у світі отримали кластерні системи, завдяки тому, що вони забезпечують досить високий рівень готовності систем при відносно низьких витратах. Термін "кластеризація" на сьогодні в комп'ютерній промисловості має багато різних значень. Строге визначення могло б звучати так: "реалізація об'єднання машин, що представляється єдиним цілим для операційної системи, системного програмного забезпечення, застосовних програм і користувачів". Машини, кластеризовані разом у такий спосіб можуть при відмові одного процесора дуже швидко перерозподілити роботу на інші процесори усередині кластера. Це, можливо, найбільш важливе завдання багатьох постачальників систем високій готовності.