2018-02-13
407
Лекція 13: Забезпечення необхідної доступності до інформації
1. Доступність: основні поняття …………………………….. 1
2. Основи заходів забезпечення високої доступності ………4
3. Відмовостійкість та зона ризику …………………………. 5
4. Забезпечення відмовостійкості ……………………………. 7
5. Програмне забезпечення проміжного шару …………….. 9
6. Забезпечення обслугованості ………………………………. 10
Розглядаються два види засобів підтримки високої доступності:
1) - забезпечення відмовостійкості (нейтралізація відмов, живучість);
Забезпечення безпечного і швидкого відновлення після відмов (обслугованість).
Доступність: основні поняття
Інформаційна система надає своїм користувачам певний набір послуг (сервісів).Кажуть, що забезпечений потрібний рівень доступності цих сервісів, якщо такі показники знаходяться в заданих межах:
· Ефективність послуг. Ефективність послуги визначається в термінах максимального часу обслуговування запиту, кількості підтримуваних користувачів і т.п. Потрібно, щоб ефективність не опускалася нижче заздалегідь встановленого порогу.
· Час недоступності. Якщо ефективність інформаційної послуги не задовольняє накладеним обмеженням, послуга вважається недоступною. Потрібно, щоб максимальна тривалість періоду недоступності і сумарний час недоступності за деякою період (місяць, рік) не перевищували заздалегідь заданих меж.
По суті, потрібно, щоб інформаційна система майже завжди працювала з потрібною ефективністю. Для деяких критично важливих систем (наприклад, систем управління) час недоступності повинно бути нульовим, без всяких "майже". У такому випадку говорять про ймовірність виникнення ситуації недоступності і вимагають, щоб ця ймовірність не перевищувала заданої величини. Для вирішення даної задачі створювалися і створюються спеціальні відмовостійкі системи, вартість яких, як правило, дуже висока.
До переважній більшості комерційних систем пред'являються менш жорсткі вимоги, проте сучасна ділова життя і тут накладає досить суворі обмеження, коли кількість обслуговуваних користувачів може вимірюватися тисячами, час відповіді не повинно перевищувати декількох секунд, а час недоступності - кількох годин на рік.
Завдання забезпечення високої доступності необхідно вирішувати для сучасних конфігурацій, побудованих у технології клієнт / сервер. Це означає, що захисту потребує весь ланцюжок - від користувачів (можливо, віддалених) до критично важливих серверів (у тому числі серверів безпеки).
Основні загрози доступності були розглянуті нами раніше.
Відповідно до ГОСТ 27.002, під відмовою розуміється подія, яка полягає в порушенні працездатності виробу. У контексті даної роботи виріб - це інформаційна система або її компонент.
У найпростішому випадку можна вважати, що відмови будь-якого компонента складеного вироби ведуть до загального відмови, а розподіл відмов у часі являє собою простий пуасонівський потік подій. У такому випадку вводять поняття інтенсивності відмов та середнього часу напрацювання на відмову, які пов'язані між собою співвідношенням
Рис. 13.1.
де i - номер компонента,
λ i - інтенсивність відмов,
T i - середній час напрацювання на відмову.
Інтенсивності відмов незалежних компонентів складаються:
Рис. 13.2.
а середній час напрацювання на відмову для складеного вироби задається співвідношенням
Рис. 13.3.
Вже ці найпростіші викладки показують, що якщо існує компонент, інтенсивність відмов якого багато більше, ніж у решти, то саме він визначає середній час напрацювання на відмову всієї інформаційної системи. Це є теоретичним обгрунтуванням принципу першочергового зміцнення найслабшої ланки.
Пуасонівська модель дозволяє обгрунтувати ще одне дуже важливе положення, яке у тому, що емпіричний підхід до побудови систем високої доступності не може бути реалізований за прийнятний час. При традиційному циклі тестування/налагодження програмної системи за оптимістичними оцінками кожне виправлення помилки призводить до експоненціального спаданням (приблизно на половину десяткового порядку) інтенсивності відмов. Звідси випливає, що для того, щоб на досвіді переконатися в досягненні необхідного рівня доступності, незалежно від застосовуваної технології тестування і налагодження, доведеться витратити час, практично рівну середньому часу напрацювання на відмову. Наприклад, для досягнення середнього часу напрацювання на відмову 105 годин буде потрібно більше 104,5 годин, що становить більше трьох років. Отже, потрібні інші методи побудови систем високої доступності, методи, ефективність яких доведена аналітично або практично за більш ніж п'ятдесят років розвитку обчислювальної техніки та програмування.
Пуасонівська модель застосовна в тих випадках, коли інформаційна система містить поодинокі точки відмови, тобто компоненти, вихід яких з ладу веде до відмови всієї системи. Для дослідження систем з резервуванням застосовується інший формалізм.
Відповідно до постановкою завдання будемо вважати, що існує кількісна міра ефективності наданих виробом інформаційних послуг. У такому випадку вводяться поняття показників ефективності окремих елементів і ефективності функціонування всієї складної системи.
В якості міри доступності можна прийняти ймовірність прийнятності ефективності послуг, що надаються інформаційною системою, на всьому протязі аналізованого відрізка часу. Що більший запас ефективності має система, тим вище її доступність.
При наявності надмірності в конфігурації системи ймовірність того, що в розглянутий проміжок часу ефективність інформаційних сервісів не опуститься нижче допустимої межі, залежить не тільки від імовірності відмови компонентів, але і від часу,протягом якого вони залишаються непрацездатними, оскільки при цьому сумарна ефективність падає,і кожен наступний відмова може стати фатальним. Щоб максимально збільшити доступність системи, необхідно мінімізувати час непрацездатності кожного компонента. Крім того, слід враховувати, що, взагалі кажучи, ремонтні роботи можуть зажадати зниження ефективності чи навіть тимчасового відключення працездатних компонентів;такого роду вплив також необхідно мінімізувати.
Кілька термінологічних зауважень. Зазвичай в літературі з теорії надійності замість доступності говорять про готовність (у тому числі про високу готовність). Ми віддали перевагу термін "доступність", щоб підкреслити, що інформаційний сервіс має бути не просто "готовий" сам по собі, але доступний для своїх користувачів в умовах, коли ситуації недоступності можуть викликатися причинами,на перший погляд не мають прямого відношення до сервісу (приклад - відсутність консультаційного обслуговування).
Далі, замість часу недоступності зазвичай говорять про коефіцієнт готовності. Нам хотілося звернути увагу на два показники - тривалість одноразового простою і сумарну тривалість простоїв, тому ми віддали перевагу термін " час недоступності " як більш ємний.
Основи заходів забезпечення високої доступності
Основою заходів підвищення доступності є застосування структурованого підходу, який знайшов втілення в об'єктно-орієнтованої методології. Структуризація необхідна по відношенню до всіх аспектів і складових частин інформаційної системи - від архітектури до адміністративних баз даних, на всіх етапах її життєвого циклу - від ініціації до виведення з експлуатації. Структуризація, важлива сама по собі, є одночасно необхідною умовою практичної реалізованим інших заходів підвищення доступності. Тільки маленькі системи можна будувати і експлуатувати як завгодно. У великих систем свої закони, які, як ми вже вказували, програмісти вперше усвідомили більше 30 років тому.
При розробці заходів забезпечення високої доступності інформаційних сервісів рекомендується керуватися наступними архітектурними принципами, що раніше розглядалися:
· апробованість всіх процесів та складових частин інформаційної системи;
· уніфікація процесів та складових частин;
· керованість процесів, контроль стану частин;
· автоматизація процесів;
· модульність архітектури;
· орієнтація на простоту рішень.
Доступність системи в загальному випадку досягається за рахунок застосування трьох груп заходів, спрямованих на підвищення:
· безвідмовності (під цим розуміється мінімізація ймовірності виникнення будь-якого відмови; це елемент пасивної безпеки, який далі розглядатися не буде);
· відмовостійкості (здатності до нейтралізації відмов, "живучості", тобто здатності зберігати необхідну ефективність, незважаючи на відмови окремих компонентів);
· обслугованість (під обслугованістю розуміється мінімізація часу простою відмовили компонентів, а також негативного впливу ремонтних робіт на ефективність інформаційних сервісів, тобто швидке і безпечне відновлення після відмов).
Головне при розробці та реалізації заходів забезпечення високої доступності - повнота і систематичність. У зв'язку з цим представляється доцільним скласти (і підтримувати в актуальному стані) карту інформаційної системи організації (на що ми вже звертали увагу), в якій фігурували б всі об'єкти ІВ, їх стан, зв'язки між ними, процеси, асоційовані з об'єктами і зв'язками. За допомогою подібної карти зручно формулювати намічені заходи, контролювати їх виконання, аналізувати стан ІС.
