2018-02-13
284
Інформаційну систему можна представити у вигляді графа сервісів, ребра в якому відповідають відношенню "сервіс A безпосередньо використовує сервіс B".
Нехай у результаті здійснення певної атаки (джерелом якої може бути як людина, так і явище природи) виводиться з ладу підмножина сервісів S1 (тобто ці сервіси в результаті нанесених ушкоджень стають непрацездатними). Назвемо S1 зоною ураження.
У зону ризику S ми будемо включати всі сервіси, ефективність яких при здійсненні атаки падає нижче допустимої межі. Очевидно, S1 - підмножина S. S суворо включає S1, коли є сервіси, безпосередньо не порушені атакою, але критично залежні від уражених, тобто нездатні переключитися на використання еквівалентних послуг або в силу відсутності таких, або в силу неможливості доступу до них. Наприклад, зона ураження може зводитися до одного порту концентратора, обслуговуючому критичний сервер, а зона ризику охоплює всі робочі місця користувачів сервера.
Щоб система не містила одиночних точок відмови, тобто залишалася "живучою" при реалізації будь-якої з розглянутих погроз, ні одна зона ризику має включати в себе послуги, що надаються. Нейтралізацію відмов потрібно виконувати всередині системи, непомітно для користувачів, за рахунок розміщення достатньої кількості надлишкових ресурсів.
|
|
|
З іншого боку, природно необхідного зусилля щодо забезпечення "живучості" з розглянутими погрозами. Коли розглядається набір загроз, відповідні їм зони ураження можуть виявитися вкладеними, так що "живучість" по відношенню до більш серйозну загрозу автоматично тягне за собою і "живучість" у більш легких випадках. Слід враховувати, однак, що зазвичай вартість перемикання на резервні ресурси зростає разом зі збільшенням обсягу цих ресурсів. Значить, для найбільш ймовірних загроз доцільно мінімізувати зону ризику, навіть якщо передбачена нейтралізація осяжної загрози. Немає сенсу переключатися на резервний обчислювальний центр тільки тому, що в одного з серверів вийшов з ладу блок живлення.
Зону ризику можна трактувати не лише як сукупність ресурсів, але і як частина простору, зачіпаються при реалізації загрози. У такому випадку, як правило, чим більше відстань дублюючого ресурсу від меж зони ризику, тим вище вартість його підтримки, оскільки збільшується протяжність ліній зв'язку, час перекидання персоналу і т.п. Це ще один аргумент на користь адекватної протидії загрозам, який слід брати до уваги при розміщенні надлишкових ресурсів і, зокрема, при організації резервних центрів.
Введемо ще одне поняття. Назвемо зоною нейтралізації загрози сукупність ресурсів, залучених до нейтралізацію відмови, які виникли в наслідок реалізації загрози. Маються на увазі ресурси, режим роботи яких у разі відмови змінюється. Очевидно, зона ризику є підмножиною зони нейтралізації. Чим менше різниця між ними, тим економічніше даний механізм нейтралізації.
|
|
|
Все, що знаходиться поза зоною нейтралізації, відмови "не відчуває" і може трактувати внутрішність цієї зони як безвідмовну. Таким чином, в ієрархічно організованій системі грань між " живучістю " і обслугованістю, з одного боку, і безвідмовністю, з іншого боку, відносна. Доцільно конструювати цілісну інформаційну систему з компонентів, які на верхньому рівні можна вважати безвідмовними, а питання "живучості " і обслугованістю вирішувати в межах кожного компонента.
