Наши друзья
|
Время восстановления системы защиты. Коэффициент готовности
Ранее нами рассматривалась целесообразность усиления средств защиты в части увеличения параметра «среднее время наработки на отказ». Однако не менее (если не более) важным является другая составляющая надежности системы защиты — так называемое «время восстановления».
Интервал времени, в течение которого после возникновения отказа системы защиты обнаруженный канал НСД к информации устраняется, будем называть временем восстановления (TJ.
В общем случае время восстановления является случайной величиной.
Однако принято учитывать его среднее значение. Характеризуется среднее время восстановления следующими компонентами:
» временем устранения соответствующего канала НСД к информации
разработчиком ф; » временем внедрения на защищаемый объект исправленной версии
системы защиты, включая ее настройку
Очевидно, можем принять, что среднее время восстановления определяется временем устранения соответствующего канала НСД к информации
разработчиком. Другой компонентой, ввиду ее относительной малости,
можем пренебречь. Поэтому примем:
Т.- ТУ
С учетом сказанного можем отметить, что в рассматриваемом случае среднее время восстановления -- это одна из основных характеристик
надежности функционирования системы защиты. Определяется она тем,
насколько предприятие-разработчик системы защиты оперативно исправляет обнаруживаемые каналы НСД. Причем при использовании встроенных механизмов защиты этим разработчиком является сам разработчик ОС (приложения).
Отметим, что характеристика «время восстановления» объективно зависит от сложности системы. Действительно, зачастую исправление одной ошибки требует тестирования практически всех функциональных модулей системы заново, поскольку в сложной технической системе все функциональные модули сильно взаимосвязаны.
Кстати говоря, исправление одной ошибки может привести к появлению других ошибок. Поэтому исправление ошибок в ОС и сложных приложениях требует реализации соответствующей технологии внесения исправлений. Эта технология предполагает серьезное тестирование ПО практически по всем
функциям, что может составлять месяцы. Например, для ОС семейства
Windows данный параметр можно охарактеризовать, как половину среднего интервала времени между выходами в свет доработок ОС Pack.
Отметим, что с учетом сложности исправления ошибок, на практике разработчики сложных систем стараются не исправлять ошибки поодиночке, а приступать к тестированию системы уже по факту исправления некоторой совокупности ошибок (с учетом совокупности внесенных изменений).
При этом необходимо учитывать, что в течение всего времени восстановления можно считать систему защиты отказавшей, а защищаемый объект — незащищенным.
Следовательно, такая характеристика надежности системы защиты, как «время восстановления», может служить требованием к предприятию-разработчику системы защиты.
С позиций надежности эксплуатационные свойства системы защиты можно охарактеризовать коэффициентом готовности:
Коэффициент готовности, во-первых, характеризует долю времени, в течение которого система защиты работоспособна, а во-вторых, определяет вероятность того, что в любой произвольный момент времени система защиты работоспособна. Соответственно получаем долю времени, в
течение которого объект находится в незащищенном состоянии, а также вероятность того, что в любой момент времени объект незащищен:
Кнг = \-Кг.
Проведем грубую оценку характеристики «коэффициент готовности», чтобы оценить, насколько критична характеристика «время восстановления» при построении системы защиты. Примем интенсивность обнаружения
ошибки, которая может привести к НСД к информации, равной 1 в год (практика показывает, что для ряда ОС и приложений она значительно выше). В табл. 3.1 показано изменение коэффициента готовности системы (вероятности нахождения системы в защищенном виде) при различных значениях характеристики времени восстановления.
Изменение коэффициента готовности системы (вероятности нахождения системы
в защищенном виде) при различных значениях характеристики времени восстановления
Время восстановления |
3 месяца |
1 месяц |
2 недели |
1 неделя |
3 дня |
1 день |
Коэффициент готовности |
0,8 |
0,92 |
0,96 |
0,98 |
0.992 |
0,997 |
Требования к системе защиты информации, исходя из отказоустойчивости
Требования к надежности вычислительной системы на практике определяются, как правило, значением коэффициента готовности не ниже 0,99 (в большинстве случаев 0,999 и выше). Соответственно, на основе представленных в табл. 1.5 исследований мы можем сделать вывод, что время восстановления системы защиты должно определяться днями, а не месяцами, как это происходит на практике при использовании встроенных в ОС (и приложения) защитных механизмов. При этом отметим, что
нами исследовался наиболее благоприятный случай, когда интенсивность
отказов принималась равной 1 в год. А если их будет два и более, какова будет вероятность защищенности системы?
Из сказанного могут быть сделаны следующие выводы:
1. Усиление средств защиты целесообразно для повышения надежности системы защиты — уменьшения времени восстановления системы при обнаружении канала НСД к информации. В этом случае следует говорить о целесообразности замещения всех встроенных механизмов защиты на механизмы систем защиты отечественной разработки. Возможность же существенного снижения характеристики «времени восстановления» при этом обусловливается двумя причинами: во-первых, объективной система защиты как таковая имеет на порядки меньшую сложность, чем ОС в целом (исправление ошибки в ней потребует на столько же меньших трудозатрат, чем аналогичные исправления в ОС), во-вторых, субъективной — отечественные производители могут с большей оперативностью обеспечить взаимодействие с конечным потребителем средств защиты, в частности, при распространении исправленной версии ПО.
2. К разработчику системы защиты, при ее практическом использовании, должно выдвигаться требование к времени восстановления си-
стемы защиты — устранения каналов НСД к информации. Так как время восстановления системы защиты, с целью достижения высокого уровня ее отказоустойчивости, должно определяться днями (что на практике невозможно), то при построении системы защиты должны решаться вопросы резервирования. 3. Недопустимо использовать средства добавочной защиты, не поддерживаемые конкретным предприятием-разработчиком (в частности, свободно распространяемые и др.), а также распространяемые предприятием, не способным обеспечить необходимую оперативность восстановления системы защиты при обнаружении канала НСД к информации.
Таким образом, как видим, требования к времени восстановления системы защиты очень высоки даже при использовании на защищаемом объекте средств защиты отечественного производителя. |