Показатели технологической безопасности информационных систем
В сложных информационных системах невозможно обеспечить полное отсутствие дефектов проектирования и реализации. В связи с этим актуальна задача установления метрики и определения ее значений, объективно отражающих степень безопасности информационных систем при реальной или вероятной совокупности возможных дефектов.
Наиболее полно безопасность системы характеризует величина ущерба, возможного при проявлении дестабилизирующих факторов и реализации конкретных угроз безопасности, а также среднее время между проявлениями угроз, нарушающих безопасность.
Однако описать и измерить в достаточно общем виде возможный ущерб при нарушении безопасности для критических информационных систем разных классов практически невозможно, поэтому реализации угроз целесообразно характеризовать интервалами времени между их проявлениями, или наработкой на отказы, отражающиеся на безопасности.
Это сближает понятия и характеристики степени безопасности с показателями надежности систем. Различие состоит в том, что в показателях надежности учитываются все реализации отказов, а в характеристиках безопасности следует регистрировать только те отказы, которые отразились на безопасности.
Статистически таких отказов может быть в несколько раз меньше, чем учитываемых в значениях надежности, однако методы, влияющие факторы и реальные значения показателей надежности программного средства могут служить ориентирами при оценке безопасности критических информационных систем.
Первопричиной нарушения работоспособности системы при предположении о безотказности аппаратуры всегда является конфликт между реальными исходными данными, подлежащими обработке, и программой, осуществляющей эту обработку. Работоспособность системы можно гарантировать при исходных данных, которые использовались при отладке и испытаниях. Реальные исходные данные могут иметь значения, отличающиеся от заданных техническим заданием и от использованных при тестировании программ, в результате чего функционирование последних трудно предсказать заранее, и вероятны различные аномалии, завершающиеся отказами.
Основным принципом классификации сбоев и отказов в программах при отсутствии физического разрушения аппаратуры является разделение по временному показателю длительности восстановления после любого искажения программ, данных или вычислительного процесса, регистрируемого как нарушение работоспособности. При длительности восстановления, меньшей заданного порога, аномалии при функционировании программ следует относить к сбоям, а при восстановлении, превышающем по длительности пороговое значение, происходящее искажение соответствует отказу.
Некоторая часть отказов может не отражаться на безопасности применения системы и устраняться достаточно быстрым восстановлением работоспособности. Характеристики проявления и возможная длительность восстановления после других видов отказов могут быть катастрофическими, квалифицируемыми как нарушение безопасности функционирования системы.
Достаточно универсальным измеряемым параметром при этом остается время восстановления нормальной работоспособности. Таким образом, приближенно такие катастрофические отказы в восстанавливаемых информационных системах можно выделять по превышению некоторого допустимого времени восстановления работоспособности, которое может отличаться от порогового времени, разделяющего сбои и отказы.
В теории надежности работоспособным называется такое состояние объекта, при котором он способен выполнять заданные функции с параметрами, установленными требованиями технической документации.
Надежность является внутренним свойством систем, проявляющимся только во времени.
Критерии качества становятся динамическими и преимущественно стохастическими, характеризующими функционирование информационной системы в целом или крупных групп программ. Измеряемые интегральные показатели качества программ в этом случае более определенные и могут достаточно точно оцениваться экспериментально.
Устойчивость наиболее широко характеризует способность системы к безотказному функционированию при наличии сбоев и отказов.
Она зависит от уровня неустраненных ошибок и способности системы реагировать на проявления ошибок так, чтобы это не отражалось на показателях надежности и безопасности.
Последнее определяется эффективностью контроля за доступом к данным, степенью обеспечения их конфиденциальности и целостности, а также селекцией достоверных данных, поступающих из внешней среды, средствами обнаружения аномалий и эффективностью процессов восстановления функционирования системы.
Восстанавливаемость характеризуется полнотой восстановления функционирования программ после перезапуска - рестарта после сбоя или отказа.
Перезапуск должен обеспечивать возобновление нормального функционирования системы, на что требуются ресурсы ЭВМ и время. Поэтому полнота и длительность восстановления функционирования после сбоев и отказов отражают качество и безопасность системы.
Обобщение характеристик отказов и восстановлений производится в критерии коэффициент готовности.
Коэффициент готовности отражает вероятность иметь восстанавливаемую систему в работоспособном состоянии в произвольный момент времени.
Значение коэффициента готовности соответствует доле времени полезной работы системы на достаточно большом интервале, содержащем отказы и восстановления.
Применение основных понятий теории надежности для оценки надежности и безопасности сложных информационных систем позволяет получить ряд четких, хорошо измеряемых интегральных показателей качества программ. Приведенные критерии используются в основном при испытании систем и на завершающих фазах комплексной отладки. Их практически невозможно использовать для оценки качества программных компонент, решающих частные функциональные задачи.