автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методы и модели оценки и снижения ущерба при потере доступности приложений в процессе эволюции автоматизированных систем

005060736

На правах рукописи

ГЕНИН Михаил Геннадьевич

МЕТОДЫ И МОДЕЛИ ОЦЕНКИ И СНИЖЕНИЯ УЩЕРБА ПРИ ПОТЕРЕ ДОСТУПНОСТИ ПРИЛОЖЕНИЙ В ПРОЦЕССЕ ЭВОЛЮЦИИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

05.13.19 — Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

б и:он 2013

Санкт-Петербург — 2013

005060736

Работа выполнена на кафедре проектирования и безопасности компьютерных систем федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики» (НИУ ИТМО).

Научный руководитель: доктор технических наук, профессор, Арустамов Сергей

Аркадьевич, профессор кафедры проектирования и безопасности компьютерных систем НИУ ИТМО

Официальные оппоненты: Коробейников Анатолий Григорьевич, доктор технических наук, профессор, заместитель директора по науке Санкт-Петербургского филиала Федерального государственного бюджетного учреждения науки «Институт земного магнетизма, ионосферы и распространения радиоволн им. Н.В. Пушкова» Российской Академии наук

Мажников Павел Викторович, кандидат технических наук, доцент, старший преподаватель кафедры систем сбора и обработки информации Федерального государственного казенного военного образовательного учреждения высшего профессионального образования «Военно-космическая академия имени А.Ф. Можайского» Министерства обороны Российской Федерации (BKA имени А.Ф. Можайского)

Ведущая организация: Федеральное государственное бюджетное учреждение

высшего профессионального образования «Государственный университет морского и речного флота имени адмирала С.О. Макарова»

Защита диссертации состоится « \Ъ>имР\А^ 2013 года в (5 чЗ-^мин на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики по адресу: 197101, г. Санкт-Петербург, Кронверкский пр., д. 49.

Отзывы на автореферат, заверенные печатью, просим направлять по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49, СПб НИУ ИТМО, ученому секретарю диссертационного совета Д 212.227.05.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики.

Автореферат разослан «17» мая 2013 г.

Ученый секретарь

диссертационного совета Д 212.227.05 кандидат технических наук, доцент

'U и. л в. И. Поляков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Защите информационных систем от разного рода внешних и внутренних угроз посвящено большое количество работ в области защиты информации. В большинстве случаев речь, как правило, идет о неких злонамеренных действиях, защиту от которых необходимо выстраивать. Предлагаются самые разнообразные методы защиты внешнего и внутреннего периметра, такие, как защищенные каналы передачи, криптографическая защита данных, межсетевые экраны, разграничение прав доступа, разного рода внутренние процедуры аудита и контроля, процессов и т.д. Однако, существует большая группа рисков, не связанных со злонамеренными действиями и с ошибками пользователей. Это риски, возникающие при обновлениях систем. Автору представляется, что именно они являются наиболее вероятными. В то же время, эти риски являются наименее изученными.

Вопросами управления обновлениями (или изменениями) информационных систем занимаются достаточно давно, им посвящено много публикаций. Одна из первых работ датируется 1980-м годом и принадлежит фирме IBM. В ней впервые управление изменениями рассматривается не как отдельная дисциплина, а как составная часть управления информационными системами. С тех пор эта область знаний сильно расширилась, были предложены различные подходы к управлению изменениями, однако этот основополагающий принцип в силе и по сегодняшний день. В настоящее время процесс управления изменениями обычно связывают с методологией ITIL. Наряду с ITIL, существуют и другие методологии, посвященные управлению изменениями в информационных системах, например, COBIT, Microsoft Operational Framework. В конце концов, в 2005-м году бьи разработан международный стандарт ISO/EIC 20000, который объединил все эти методологии в одну общую концепцию управления процессами в ИТ, в том числе и управления изменениями.

Тем не менее, несмотря на достаточно большое количество разработанных подходов и методик, все они являются в значительной степени организационными и носят формальный характер. Предлагаемые в них процедуры являются внешними по отношению собственно к процессу обновления, они не дают ответа на вопрос о том, как нужно проводить обновление систем наиболее безопасным образом, так, чтобы ущерб от возникновения внештатных ситуаций при этом был минимальным.

По мнению автора, задача разработки методов и алгоритмов для снижения ущерба от потери доступности приложений в процессе их обновления является актуальной.

Объектом исследования являются автоматизированные системы в процессе проведения обновлений.

Предметом исследования являются риски потери доступности, возникающие в результате проведения обновления приложений автоматизированных систем.

Цель диссертационной работы - разработка общей методики, моделей и методов оценки и снижения ущерба, связанных с потерей доступности приложений в процессе эволюции автоматизированных систем.

Задачи исследования. Для достижения указанной цели необходимо решить следующие задачи:

1. разработка модели уязвимостей приложений при проведении запланированных изменений;

2. разработка метода расчета возможного ущерба для каждого из выявленных негативных событий на основе модели дерева ущербов;

3. разработка метода декомпозиции обновлений для снижения общего рассчитанного ущерба для всех выявленных негативных событий;

4. разработка программного обеспечения, выполняющего расчет ожидаемых и максимальных ущербов при проведении обновления;

5. настройка и исследование эффективности предложенных моделей и методов на примере системы дистанционного банковского обслуживания (ДБО).

Методы исследования основаны на использовании теории вероятности, математической статистики, математического моделирования. В работе широко применяется компьютерное моделирование, в том числе с использованием самостоятельно разработанного программного обеспечения (ПО).

Информационной базой исследования являются отечественные и зарубежные литературные источники: методические рекомендации, монографии, публикации в отраслевых периодических журналах, материалы крупных исследовательских и методических центров. Также использованы материалы, размещенные в сети Интернет.

Научная новизна работы.

1. Разработана модель уязвимостей приложений при проведении запланированных изме-

нений, учитывающая взаимосвязь приложений на основе анализа информационных процессов применительно к планируемому обновлению.

2. Разработан метод расчета ожидаемого и максимального ущерба для каждого из выяв-

ленных негативных событий на основе модели дерева ущербов, позволяющий снизить риски потери доступности за счет применения приоритетного тестирования

3. Предложен метод декомпозиции обновлений, снижающий время восстановления сис-

темы при возникновении инцидентов потери доступности после обновлений.

Реализация и внедрение результатов исследования. Основные результаты исследований использованы на кафедре проектирования и безопасности компьютерных систем НИУ ИТМО при выполнении ряда научно-исследовательских работ и внедрении в образовательный процесс лабораторных работ по защите информационных процессов в компьютерных сетях.

Достоверность полученных результатов подтверждается полнотой и корректностью математического аппарата и теоретических обоснований, а также и результатами экспериментов, проведенных с помощью разработанного в диссертации программного обеспечения.

Практическая значимость работы заключается в следующем:

1. разработанный метод расчета ожидаемого и максимального ущерба для каждого из выявленных негативных событий позволяет применить стратегию тестирования с приоритетом по отношению к информационным процессам, порождающих максимальные риски потери доступности;

2. разработанное программное обеспечение позволяет рассчитать ожидаемые и максимальные ущербы для каждого из выявленных негативных событий, что дает возможность определить приоритетность тестирования;

3. предложенный метод декомпозиции установки обновлений позволяет повысить эффективность традиционных методов резервирования за счет разбиения обновления на элементарные составляющие;

4. разработанные методы и модели позволяют адаптировать предложенные подходы для различных типов автоматизированных систем.

Внедрение и реализация. Практические результаты работы были внедрены и использованы в НИУ ИТМО, что подтверждено соответствующими актами о внедрении.

Публикации по теме диссертации. По теме диссертации опубликовано шесть научных работ, из них две выполнено самостоятельно, четыре в соавторстве. Три статьи опубликованы в рецензируемом научном журнале, определенном в перечне ВАК.

Апробация работы. Основные научные положения и практические результаты работы были представлены и обсуждены на следующих научно-технических конференциях:

1) VII всероссийской межвузовской конференции молодых ученых, 2010 г.;

2) XL научной и учебно-методической конференции, 2011 г.;

3) VIII всероссийской межвузовской конференции молодых ученых, 2011 г.;

4) IX всероссийской межвузовской конференции молодых ученых, 2012 г.;

5) XLI научной и учебно-методической конференции, 2012 г.;

6) VIII miedzynarodowej naukowi - praktycznej konferencji «Aktualne problemy

nowoczesnych nauk - 2012», 2012 г.;

7) XLII научной и учебно-методической конференции НИУ ИМТО, 2013 г.

Основные научные положения, выносимые на защиту:

1. модель уязвимостей приложений при проведении запланированных изменений, учиты-

вающая взаимосвязь приложений на основе анализа информационных процессов применительно к планируемому обновлению;

2. метод расчета ожидаемого и максимального ущерба для каждого из выявленных нега-

тивных событий на основе модели дерева ущербов, позволяющий снизить риски потери доступности за счет применения приоритетного тестирования;

3. метод декомпозиции обновлений, снижающий время восстановления системы при воз-

никновении инцидентов потери доступности после обновлений.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы. Материал изложен на 115 страницах компьютерного текста, иллюстрирован 20 рисунками и 30 таблицами.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, описаны объект и предмет исследования, указаны теоретические и методологические основы, раскрыты элементы научной новизны работы, ее теоретическая и практическая значимость.

В первой главе работы вводится понятие доступности, проводится анализ процесса эволюции автоматизированных систем и связанных с этим рисков потери доступности приложений, рассматриваются существующие и применяемые на сегодняшний день методики управления изменениями в автоматизированных системах, выявляются сильные и слабые стороны этих методик. На основе проведенного анализа делается вывод о недостаточности современных подходов к контролю за проведениями изменений в автоматизированных системах, формулируются цели и задачи диссертационной работы.

Под доступностью в данной работе понимается возможность системы выполнять заявленные функции их легальными пользователями.

Во второй главе работы рассматривается процессная модель системы, на основе которой составляется список возможных уязвимостей при проведении обновления. Затем вводится понятие риска потери доступности для негативного события, приводится алгоритм расчета величины ожидаемого ущерба на основе построения дерева ущерба для данного негативного события.

На рис. I представлен пример графического описания процессного взаимодействия приложений для некоторой автоматизированной системы.

Предположим, что обновляется структура данных для процесса РЗ, что требует обновления приложений С5 и С7.

Рисунок 1. Пример схемы процессного взаимодействия приложений с тремя основными (Р1, Р2, РЗ) и двумя вспомогательными (Р4, Р5) процессами и с обновляемыми приложениями С5 и С7.

При выявлении уязвимостей будем придерживаться следующих принципов:

1. во всех процессах, в которых участвует обновляемое приложение, могут воз-

никнуть уязвимости;

2. процессы, выявленные в п.1, могут, в свою очередь, вызывать уязвимости во

всех остальных приложениях, через которые они проходят;

3. дополнительные приложения, выявленные в п.2, могут вызывать уязвимости

других процессов, выполняемых данными приложениями.

Как следует из рисунка 1, для проверки работоспособности всей системы после проведения данного обновления необходимо проверить работу всех приложений, непосредственно обеспечивающих процесс РЗ (С5, С6, С7, С9), несмотря на то, что обновление затронуло только приложения С5 и С7. Кроме этого, необходимо учесть, что изменяемое приложение С7 обеспечивает работу и всех остальных процессов. Следовательно, есть вероятность, что изменения в приложения С7 для процесса РЗ могут повлиять и на работу остальных процессов. При отсутствии информации об изменениях внутренней структуры С7 можно сделать вывод о необходимости проверять работоспособность всех приложений системы. Иными словами, в этом случае при проведении данного обновления нужно тестировать все процессы Р1-Р5. Если информация об изменениях в структуре приложения С7 доступна, то объем необходимого тестирования, возможно, уменьшится.

Исходя из полученной информации (рис.2), дополнительно к РЗ необходимо тестировать только процессы Р4 и Р5, что существенно облегчает задачу. Для дальнейшего уточнения объема необходимого тестирования следует продолжать применять данную методику для каждого из обновляемых частей данного приложения (например для С7.4).

Р1, Р2, РЗ

Рисунок 2. Пример структуры приложения С7 с учетом данного обновления.

Если на очередной итерации число процессов, подлежащих проверке, перестает уменьшаться, дальнейшая детализация данного компонента нецелесообразна. В результате анализа данной модели можно определить возможные уязвимости. Для рас-

Модуль Уязвимость

С5 Ошибки при выполнении процесса РЗ

С6 Ошибки при выполнении процесса РЗ

С7.3 Ошибки при выполнении процесса РЗ

С7.3 Ошибки при выполнении процесса Р4

С7.4 Ошибки при выполнении процесса Р5

С7.1 Ошибки при выполнении процесса Р5

С7.2 Ошибки при выполнении процесса Р5

С9 Ошибки при выполнении процесса РЗ

СЮ Ошибки при выполнении процесса Р5

Таблица 1. Список выявленных уязвимостей при установке данного обновления.

Компонент С7

На основе полученного списка уязвимостей необходимо выбрать оптимальную стратегию установки и тестирования обновления для снижения возможных ущербов от потери доступности системы.

Обычно риск потери доступности определяют как пару, состоящую из вероятности наступления того или иного события, приведшего к потере доступности после проведения обновления, и ущерба от наступления этого события.

В данной работе предлагается ввести расширенное понятие ущерба в предположении, что он носит вероятностный характер. Например, утрата части клиентской базы и связанная с этим потеря доли рынка в результате сбоя ПО может и не произойти. Все зависит от множества различных объективных и субъективных факторов, таких, как продолжительность неработоспособности системы в результате сбоя, время сбоя, наличие клиентов, которые в момент сбоя работали с системой и т.д. Поэтому можно говорить как о величине ущерба, так и о вероятности наступления ущерба при условии, что сбой произошел.

Основываясь на этих предположениях, определим риск потери доступности следующим образом:

Я,={РьЦРи)}. (1)

где /?, - риск наступления /-го события, Р, - вероятность наступления г'-го события, )-величина ущерба от г'-го события, наступающая с вероятностью Ри, при этом ущерб будем рассматривать как дискретную случайную величину (ДСВ).

Будем считать, что на момент начала исследования текущая версия системы до обновления не содержит ошибок, т.е. риски потери доступности для неё отсутствуют.

Для решения данной задачи предлагается следующий эвристический подход. Для каждого из выявленных возможных негативных событий, которые могут иметь место в результате обновления, проводится оценка риска потери доступности на основе анализа возможных ущербов от этого события. События с более высоким ущербом признаются более опасными. Для количественной оценки возможного ущерба в работе предлагается метод построения дерева ущерба для каждого из выявленных негативных событий.

Для дальнейшего развития понятия ущерба обратим внимание на то, что ущерб возникший в результате события /', может быть составным, т.е. представленным в виде нескольких независимых составляющих:

Ц={1и},]={1,2.....Щ,

где Ьу -_/'-я составляющая ущерба возникшего в результате г'-го события.

Такое представление оправдано, т.к. в результате сбоя системы могут произойти одновременно и независимо друг от друга несколько негативных последствий. Например, в результате неполадок новой версии СУБД перестали быть доступными независимые друг от друга функции (такие, например, как ввод документов и подготовка отчетности). При этой ситуации возникают несколько независимых друг от друга ущербов. Продолжая рассуждения, по аналогии с (1), можно заметить, что у каждой у'-й составляющей ущерба £у- может быть своя независимая от других составляющих вероятность возникновения В результате получаем следующее выражение для риска потери доступности:

{Ьп(Рш), ЫРиа), ЫРШ), ..., ЬШ(РШ)}}, (2)

где N - количество независимых составляющих ущерба от г'-го события.

Далее рассмотрим ситуацию, когда составляющие ущерба являются зависимыми друг от друга, т.е. когда одна составляющая ущерба является следствием другой. Это возможно в случае, когда в результате неполадок в работе системы часть клиентов переходит к другому поставщику услуг, в результате чего уменьшается доля контролируемого рынка, и т.д. При этом один ущерб может породить другой, т.е. возникает цепочка вложенных ущербов. Каждый из них имеет свою собственную вероятность возникновения при условии, что реализовались все предыдущие ущербы цепочки. В этом случае риск потери доступности для зависимых ущербов определяется следующим образом:

{1-и(Рш)}: 1*12(Ри2\щ), ..., Ьц^Р им\им-1 ...ыш2ш)}}, (3)

где М - количество зависимых ущербов от г'-го события в данной цепочке.

Возможно существование ситуаций, когда цепочка зависимых ущербов завершается несколькими независимыми ущербами, каждый из которых может быть началом новой цепочки зависимых ущербов, т.е. присутствует комбинация зависимых и независимых ДСВ. В общем случае можно сказать, что в результате события г возникает набор независимых ущербов, некоторые из которых могут породить цепочку зависимых. Каждая из порожденных цепочек зависимых ущербов может заканчиваться несколькими независимыми ущербами, которые тоже могут порождать свои цепочки, и т.д. Формально это можно описать различными вложенными комбинациями формул

(2) и (3), однако выразить общий случай в виде одной формулы сложно, т.к. выражение будет слишком громоздким. Вместо этого предлагается графическое представление совокупности ущербов в виде дерева.

При построении дерева перейдем к более удобному способу обозначения пары «вероятность-ущерб». Вместо нижних индексов будем использовать индексы, заключенные в квадратные скобки. Индексы в скобках будем указывать сразу для пары (Р,Ц, а не для каждой из составляющих, так как индексы для Р и для Ь из одной пары всегда совпадают. Например, запись Ьц(Р!и) преобразуется в (/*,£)[/,1]. Тогда запись

(3) для независимых ущербов будет выглядеть следующим образом:

д,.={л, ттп (р.тиг (р,1)[1,з],.... (лшлг]}},

где ТУ, - количество независимых составляющих ущерба от г'-го события.

Для обозначения ущерба, подчиненного предыдущему, будем использовать индекс следующего уровня. Например, ущерб, который подчинен ущербу {Р,Ь)\},2] будем обозначать как (Р,/,)[/,2,./], следующий за ним в цепочке ущерб будет уже (Р,Ь)[1,2,1,]], и т.д. Запись (4) для зависимых ущербов в новой форме примет вид:

я,={р„ {(/>,£)[/,л.(р,ти,ц,(р,£)[и,7,/],..., (рми,...,/]}}.

Например, если у узла (Р,Ь)[1,1,1] будет не один подчиненный ему ущерб, а Л'/ подчиненных ущербов, независимых друг от друга, то будем обозначать их как {Р,Р)[1,1,1,1], (Р,Ь)[1,1,1,2], (Р,Ь)[1,1,1,3], ..., (Р,Ь)[1,1,1,Щ. Используя данное обозначение ущербов разных уровней (узлов дерева), перейдем к наглядной модели ущербов в виде дерева (рис.3).

Введем понятие ожидаемого значения ущерба Ь"' для события г. Для его вычисления будем применять подход, основанный на расчете математического ожидания для случайной величины. Вначале рассмотрим варианты расчета математического ожидания для независимых и зависимых ущербов, а затем их комбинацию для вычисления ожидаемого значения ущерба всего дерева.

Для независимых событий (горизонтальный уровень дерева) средневзвешенное значение ДСВ (математическое ожидание) вычисляется как сумма произведений вероятности и величины каждой из возможных комбинаций ущербов, разделенная на сумму вероятностей комбинаций этих ущербов. Так как перечисляются все возможные комбинации независимых ущербов одного горизонтального уровня, то их совокупность можно считать полной группой событий, поэтому сумма вероятностей всех возможных комбинаций, т.е. знаменатель формулы, будет равен единице.

Событие /'

Т (Р.щи]

(Р.ЦП.2] у {сРЛ)[1,3]~У

(р,щш1 }•

... {(рхт.щ}

!-{(Р,ЦП,2,1,3,1] }

I-^(Р,ЦЦ2,1,3.1,1] У

Рисунок 3. Пример графического изображения дерева ущербов, порождаемого /-м событием

Рассмотрим дерево к при гипотезе, что число его независимых ущербов горизонтального уровня равно 2. Для простоты записи обозначим вероятность /-ого ущерба Р*,, а его величину Ьк] (/=1,2). Тогда ожидаемое значение ущерба для дерева к будет следующим:

¿Г=

Р11-(1-Р*2)-Ьк,+Р12-(1-Рк1)-Ьк2+Р11-Рк2-(£1+1}2) + (1-1*1)-(1-Р12)-1}(0) Рк,-(1~Р*2)+1*2-(1-Рк1) + Р11-Р'2+(1-Рк1)-(1-Рк2)

(4)

где Ь (0)=0 - нулевая величина ущерба, соответствующая исходу, при котором он отсутствует.

Т.к. £*(0)=0, а знаменатель, образуя сумму вероятностей полной группы событий (ущербов), равен единице, то формула (4) примет следующий вид:

¿Г = РкI • (1 -Р*г) ■ Ьк,+Рк2 ■ (1 -Р\) • Ьк2 + Рк, ■ Р12 ■ (Л*1 + Л).

После аналогичных рассуждений и преобразований для дерева т с гипотезой о трех независимых ущербах, формула расчета ожидаемого ущерба примет вид:

П-Р"2-Р"}- (Г, + С г +Сз). (6)

В общем случае с N>3 независимыми составляющими ущерба от го события формула для вычисления Ь"' будет слишком громоздкой, поэтому в работе она не приведена. Кроме того, на практике крайне редко удается выделить более трех независимых существенных ущербов, порождаемых одним узлом дерева.

При суммировании зависимых ущербов одной ветви дерева будем использовать тот же подход, что и для (5, 6), рассматривая все возможные комбинации ущербов для ветви дерева и учитывая при этом, что реализация каждого следующего ущерба из данной ветви возможна при условии, что все предыдущие ущербы реализовались. В отличие от независимых ущербов одного горизонтального уровня, совокупность зависимых ущербов вертикальной ветви не образует полную группу событий, т.к. не все возможные комбинации реализуются. Ущерб с1 не может реализоваться в случае, если не реализовались ущербы 1, 2, ..., (с1-1).

Рассмотрим дерево д при гипотезе, что оно состоит из одной ветви, содержащей три последовательных ущерба (¿=3). В этом случае ожидаемое значение ущерба примет вид:

.., _ (1 - Р",) ■ ¿'(0) + ■ (1 - Р<2) ■ (1 - Р';) ■ ¿'1+ + Р'1 • Р'г ■ (1 - Р'',) ■ (¿'| + • Г г ■ РЬ ■ (¿'1 + ¿'г + I?,)

1ч ~ (\-Р<,) + Р\-(1-Р'2)-(\-Р<,)+Р*1Р<2-{\-Р'1>)+Р''<-Р*2 Р'1 , (7)

где Л?(0) - нулевой ущерб. Т.к. Ьч{0)=0, то формула (7) примет следующий вид: „, РЬ ■ (1 - РЧ1) ■ (1 - Р~'1) • + Р1■ Р11 ■ (1 - Р''¡) ■ (¿'1 + ¿"2 )+/"I ' Р"2 ■ Р<> ■ (¿'1 + ¿"2 + Цу )

Поскольку совокупность зависимых ущербов вертикальной ветви не образует полную группу событий, знаменатель формулы (8) меньше единицы.

С использованием этой методики, можно рассчитать ожидаемое значение ущерба для всего дерева. Вначале, используя (8), проведем свертку самых нижних ветвей до нижних горизонтальных уровней, а затем, в соответствии с (5, 6), свертку этих горизонтальных уровней. Последовательно повторяя эти операции, свернем все дерево снизу вверх от самых длинных ветвей к вершине (рис.4).

Использование ожидаемого значения ущерба Ь"' после свертки всего дерева ущербов для события г позволяет получить некоторую обобщенную оценку величины возможного ущерба от данного события.

Кроме того, для любого события г, связанного с потерей доступности ПО, наряду с ожидаемым значением ущерба Ь логично ввести понятие максимального значения ущерба Ьг""", которое рассчитывается при условии, что вероятность любого из составляющих ущербов события г равна единице.

Событие /

{ггул} } "^{(Р*^}

\ I-{(РЛд У*

г~

{гл,^} {(РМ } Шаг 2. {(РуЛ,) } 1

у

(рму

~{(Р9,и) у

Рисунок 4. Пример пошагового алгоритма свертки для дерева ущербов

При невозможности точного расчета абсолютных величин ущербов в денежном выражении предлагается перейти от абсолютных значений величин ущерба к некоторым условным значениям. Представим ущерб в некоторых условных единицах, соответствующих степени его критичности. Для того, чтобы с величинами ущербов можно было выполнять операции сложения и умножения, поставим в соответствие величинам ущербов числовой ряд {1, 2, 3, 4, 5} так, что числу 5 соответствует

Очень низ- Низкий (Н) Средний Высокий Очень вы-

кий (ОН) (С) (В) сокий (ОВ)

1 2 3 4 5

Таблица 2. Градации величин ущербов

Введем градации вероятности. Будем использовать три уровня вероятности ущерба: низкую (Н), среднюю (С), высокую (В), поставив им в соответствие числовой ряд {0.3,0.6, 0.9}' I

Низкий (Н) Средний (С) Высокий (В)

0.3 0.6 0.9

Таблица 3. Градации вероятностей ущербов

' Предложенное авторам разбиение представляется удобным с точки зрения программной реализации. Можно использовать и другую шкалу градаций величин ущербов и вероятностей, которую можно настраивать в зависимости от сложности эксплуатируемой инфраструктуры.

После введения градаций величин ущербов и их вероятностей перейдем к оценке ущерба, используя механизм расчета ожидаемого значения ущерба, описанный выше. При построении дерева ущербов представляется целесообразным учитывать возможное изменение вероятности возникновения или величины ущерба от продолжительности недоступности системы. Анализируя возможный рост вероятности и величины ущерба для каждого из ущербов в построенном дереве, можно перейти от статического изображения дерева ущербов к его динамическому изображению, указав возможную эволюцию во времени каждого из ущербов дерева. Стоит отметить, что и ожидаемое значение ущерба L"' и максимальный ущерб L"ax будут зависеть от продолжительности простоя системы.

Предположим, что определено максимально допустимое значение величины возможного ущерба при возникновении какого-либо негативного события в результате обновления. Анализируя динамику роста общего ущерба от времени для всех выявленных негативных событий, можно указать максимально допустимое время простоя системы (RTO - recovery time objective), соответствующее выбранной максимально допустимой величине ущерба.

С использованием платформы Visual Basic автором разработано программное обеспечение (ПО), с помощью которого можно рассчитать ожидаемое и максимальное значение ущерба для каждого из заданных деревьев ущербов. Исходными данными для него являются экспертные оценки вероятности величин ущербов для событий, образующих каждое из деревьев ущербов, а результатами расчета - их ожидаемые и максимальные ущербы. Этот расчет позволяет определить приоритетность тестирования для процессов, порождающих максимальные ущербы после обновления.

В третьей главе разработан метод декомпозиции обновлений для снижения возможного суммарного ущерба при проведении обновлений для случая, когда время тестирования всего комплексного обновления ограничено.

Предлагаемый эвристический подход к обновлению систем основан на том, чтобы единовременно устанавливать только такие обновления, которые возможно отменить или исправить за допустимое время. Для этого нужно определиться с максимально допустимым временем простоя (RTO), а затем разбить планируемое обновление на несколько т.н. элементарных обновлений, возврат каждого из которых в отдельности возможен за данный интервал времени. Каждое элементарное обновление в составе комплексного обновления должно удовлетворять следующим условиям:

1. в определенный момент времени устанавливается только одно элементарное обновление;

2. после корректной установки элементарного обновления потеря доступности отсутствует;

3. в случае возникновения проблем после установки элементарного обновления возврат к предыдущей конфигурации происходит за допустимый интервал времени (RTO) и либо не приводит к потере данных вообще, либо приводит лишь к минимальной потере данных, связанных с новым функционалом.

Покажем, что предлагаемый эвристический подход снижает риск потери доступности по сравнению с одновременной установкой всего комплексного обновления.

Назовем обновление и,- элементарным, если возможен процесс возврата за допустимое время к предыдущему состоянию системы по прошествии некоторого времени после установки обновления и-,. Если и, установилось корректно, то система работоспособна и готова к установке обновления

Будем считать, что любое комплексное обновление С/ может быть разложено на несколько элементарных обновлений и„ ¡=1,...,№

и={иии2,..., им}.

Утверждение. Последовательная установка элементарных обновлений к„ /=1, ...,ЛГ в составе обновления и снижает риск потери доступности по сравнению с установкой всего комплексного обновления и сразу.

Будем исходить из того, что после установки любого и, система работоспособна, В этом случае есть выбор: либо установить все комплексное обновление и целиком, либо поэтапно устанавливать каждое элементарное обновление и„ после чего проводить тесты на потерю доступности, и при их успешном завершении устанавливать и,+1 и т.д.

Обозначим р(и^) вероятность сохранения доступности системы после установки обновления и/.. Рассчитаем теперь вероятность сохранения доступности системы Р(11) после установки всего комплексного обновления в том и в другом случае.

Рассмотрим случай установки всего обновления сразу. Если все обновление и состоит из одного элементарного обновления «1, можно записать:

Р(и)=р(щ).

Для обновления, состоящего из двух элементарных обновлений и1 и и2 формула будет выглядеть как произведение вероятностей:

Р(и)=р(иО-р(и2),

так как сохранение доступности после установки всего обновления возможно только при сохранении доступности после установки обновлений и/ и и2. Соответственно, для N обновлений формула будет выглядеть следующим образом:

Р(Ц) = р(иО-р(иг)-... -рЫ = П р(«1 ' = 1.....N (9)

Поскольку любая р(и¡) меньше единицы, то можно утверждать, что Р(и) < р(и) для любого /'. Отсюда вытекает, что при одновременной установке всех элементарных обновлений и, в составе комплексного обновления V вероятность Р(17) всегда ниже, чем при единовременной установке только одного обновления «,-.

Рассмотрим ситуацию, когда каждое обновление и, в составе обновления и устанавливаются не одновременно, а через определенные промежутки времени, между которыми проводятся тесты на отсутствие потери доступности. Другими словами, установка обновления н, производится только после того, как обновление и-,.\ было корректно установлено и после этого система находилась в эксплуатации без потери доступности.

Проанализируем зависимость вероятности р(и¡) от времени эксплуатации при таком способе обновления. Известно, что в первое время после запуска обновленной системы вероятность потери доступности выше, чем в последующем. Как правило, большинство проблем после обновления возникает в первые часы работы. Если в

первые часы эксплуатации потери доступности не произошло, то вероятность того, что они возникнут позднее, существенно ниже, т.е. после установки обновления и, с течением времени вероятность р(и¡) будет возрастать и в предельном случае стремиться к единице. На рисунке 5 вероятность р(и$ представлена графически как функция времени.

Рисунок 5. Зависимость вероятности сохранения доступности обновления от времени

Здесь момент времени, равный нулю, соответствует времени запуска системы сразу после обновления «,, а момент времени / - состоянию, когда система уже проработала некоторое время после обновления без потери доступности.

Чем больше это время, тем меньше шансов, что из-за установки ¡-го обновления возникнет потеря доступности. Если между каждым обновлением и, _ м2, ...,ым проходит достаточное количество времени, то вероятности сохранения доступности системы после этих уже установленных обновленийр(и\),..., р(и¡. \) близки к единице (см. рис. 5).

Рисунок 6. Вероятности сохранения доступности после уже установленных обновле-

/

/

Обозначим Р(и,) вероятность сохранения доступности после установки всех обновлений системы с первого по ;'-е при последовательной их установке. По аналогии с (9) можем записать:

Р("1> = Р(и\)-Р(и?)-...-р(ид = ПрГЫ

Учитывая, что р(и]),..,,р(и^\) в случае последовательной установки близки к единице при установке г-го обновления, можно записать, что Р(и¡) «р(и¡).

Таким образом, при последовательной установке обновлений и\: иъ...,щ вероятность сохранения доступности после всех этих обновлений равна вероятности сохранения доступности после установки последнего, г-го обновления. Действительно, все предыдущие обновления установлены ранее и после каждого обновления система некоторое время эксплуатировалась без потери доступности.

Выше показано, что при одновременной установке всех обновлений вероятность р(и¡) сохранения доступности каждого из них от первого до последнего не стремится к единице, а имеет начальное значение для момента времени ноль, и, следовательно, вносит свой негативный вклад в общую вероятность Р(и). Поэтому (см. формулу (1)), вероятность Р(Ц) сохранения доступности после установки всех обновлений одновременно ниже вероятности Р(ипри последовательной установке обновлений с «, по м„ и так вплоть до последнего ««.Следовательно, можно записать, что

Р(У) < Р(и¡) для любого / от единицы до N.

Таким образом, показано, что при выполнении требования о работоспособности системы при установке любого из элементарных обновлений в составе комплексного обновления вероятность успешного исхода выше именно при последовательной, растянутой во времени установке обновлений. При одновременной установке всех элементарных обновлений риск потери доступности существенно возрастает.

В приведенных выше рассуждениях не проводился анализ степени разбиения комплексного обновления на элементарные составляющие. В предположении, что промежуток времени между соседними обновлениями примерно один и тот же, время, которое система должна эксплуатироваться без потери доступности при установке всего комплексного обновления и определяется как:

Т(Ц) = Тс-Ы + I Т(и),

где Тс - время работы системы между соседними элементарными обновлениями, N - количество элементарных обновлений и„ составляющих и, а Т(и$ - время установки г'-го обновления. Если считать, что установка обновлений и, проводится во внерабочее для пользователей системы время и/или что время установки каждого и, мало по сравнению со временем Тс эксплуатации системы между элементарными обновлениями, то время установки Т(и¡) каждого 1-го обновления можно не учитывать и второе слагаемое в формуле опустить:

Т(1Г)*ТС-Ы (10)

Таким образом, можно считать, что время установки всего комплексного обновления и растет линейно с количеством элементарных обновлений. При отсутствии необходимости уложиться в определенное время установку последовательных элементарных обновлений можно проводить в режиме без жестких ограничений по времени. Рассмотрим более реальную ситуацию, когда время установки обновлений ограничено практическими соображениями. Для сокращения время Т(17). согласно (10) это можно сделать двумя способами: уменьшая время работы системы Тс между элементарными обновлениями или сокращая количество элементарных обновлений в составе полного.

Проведем анализ ситуации при сокращении времени между соседними элементарными обновлениями. Из графиков на рисунках 3 и 4 следует, что вероятность сохранения доступности системы после обновления тем выше, чем больше времени после него прошло. Соответственно, при сокращении времени между обновлениями вероятность сохранения доступности снижается (рис.7).

Рисунок 7. Влияние сокращения времени между соседними обновлениями на вероятности сохранения доступности после их проведения

Рассмотрим ситуацию при сокращении числа элементарных обновлений. Это означает, что за один раз устанавливается не одно обновление и„ а сразу несколько элементарных обновлений от и,.* до и-,. В этом случае вероятность сохранения доступности после установки этих нескольких обновлений в одном пакете будет равна произведению соответствующих вероятностей для каждого из обновлений:

Так как любая р(и¡) меньше единицы, то в соответствии с (9) мы можем сделать вывод, что вероятность сохранения доступности после одновременной установки нескольких обновлений ниже, чем после установки каждого обновления отдельно.

Рассмотрев оба варианта сокращения времени, сделаем вывод, что сократить время установки обновления можно только за счет повышения риска сбоя системы. Повышенный риск может быть либо следствием сокращения времени работы системы между элементарными обновлениями либо следствием установки нескольких элементарных обновлений сразу (причем второй вариант сводится к первому, т.к. при этом время между этими обновлениями сокращается до нуля). На рисунке 8 изображены оба варианта.

Рисунок 8. Вероятность сохранения доступности при одновременной установке нескольких обновлений

Наряду с разработкой метода декомпозиции обновлений, в третьей главе рассмотрены возможности его применения в сочетании с традиционным резервированием для снижения ущерба от потери доступности приложений.

В контексте использования резервирования представим всю систему как состоящую из статической (СЧ) и динамической части (ДЧ). К СЧ будем относить то, что воспринимается как «черный ящик», который в случае неполадок можно заменить в любой момент без существенного ущерба для работы (каналы связи, сетевое оборудование, серверы, дисковые массивы и т.д.). К динамической части (ДЧ) будем относить только те ПО и данные, замена которых на аналогичные в случае неполадок или сбоев не приводит к полному восстановлению работы системы без потери функциональности. Такая ситуация может сложиться, если сбой носит логический характер, например, ошибка в коде программы или в структуре БД. В этом случае использование резервной копии может оказаться бессмысленным, т.к. логическая ошибка также будет присутствовать и в ней.

В работе показано, что применение метода декомпозиции в комбинации с резервированием позволяет повысить эффективность традиционных методов резервирования за счет разбиения обновления на элементарные составляющие.

В четвертой главе проводится исследования эффективности предложенной методики.

Для решения данной задачи использовалась ИТ-платформа с установленной системой ДБО.

Рисунок 9. Тестовая система дистанционного банковского обслуживания

В работе тестировались варианты обновлений, затрагивающие различные информационные процессы системы ДБО. Эффективность предложенных методов подтверждена для всех рассмотренных примеров. Объем автореферата позволяет привести результаты для одного их них.

Для приведенного примера обновление затрагивало следующие компоненты системы: административный модуль (АМ), модуль рублевых платежей (РП), а также модуль обмена с внешними подсистемами (ОВП). На основе анализа возможных проблем при обновлении каждого из указанных компонентов был получен следующий список возможных негативных событий (уязвимостей), связанный с обновлениями этих компонентов (табл. 3)._

Модуль Уязвимость процесса

АМ Некорректная обработка прав существующих пользователей

АМ Ошибки при заведении новых пользователей/изменении прав существующих пользователей

РП Ошибки при заведении клиентом платежей нового формата ускоренной доставки

РП Ошибки при заведении клиентом платежей старых форматов

ОВП Ошибки при обработке платежей нового формата ускоренной доставки на стороне банка

ОВП Ошибки при обработке платежей старых форматов на стороне банка

Таблица 4. Список выявленных уязвимостей процессов

При построении дерева ущербов для каждого из выявленных событий использовались условные, а не абсолютные значения ущербов. В результате анализа деревьев ущербов, построенных для случая возможной неработоспособности каждого из пере-

численных компонентов, были получены следующие значения ожидаемых Ь,"' и максимальных £,""" ущербов (табл. 4). _

Возможное время неработоспособности

№ Модуль Уязвимость процесса 1 час 4 часа 8 часов

Ь,е" ^ шах Ы' ыах ьгх

1 АМ Некорректная обработка прав существующих пользователей 3.51 6 8.79 12 18.49 29

2 АМ Ошибки при заведении новых пользователей/ изменении прав существующих пользователей 0.3 1 0.78 2 7.53 10

3 РП Ошибки при заведении клиентом платежей нового формата 0.3 1 0.63 2 6.26 10

4 РП Ошибки при заведении клиентом платежей старых форматов 3.32 6 8.78 12 12.2 15

5 ОВП Ошибки при обработке платежей нового формата на стороне банка 0.3 1 0.78 2 3.51 6

6 ОВП Ошибки при обработке платежей старых форматов на стороне банка 6.41 12 10.98 15 18.43 25

Итого: 14.14 27 30,74 45 66,42 95

Таблица 5. Оценка ожидаемых и максимальных ущербов для выявленных уязви-мостей.

Значения обоих параметров Ь'" и Ь[""х однозначно указывают на события с максимальными возможными ущербами, на предотвращение которых надо обратить особое внимание при тестировании (№1,6,4). Вместе с тем, для событий с меньшими возможными ущербами параметр Ц (свертка всех ущербов для дерева данного события) дает более точную оценку и позволяет различать события с одинаковыми параметрами 1""" - простая сумма всех ущербов для дерева (№2,3). Исходя из полученных результатов, была выбрана следующая приоритетная стратегия тестирования наибольший, 5

Модуль Процесс Приоритет тестирования

АМ Обработка прав существующих пользователей 1-2

АМ Заведение новых пользователей/изменение прав существующих пользователей 3-4

РП Заведение клиентом платежей нового формата 3-4

РП Заведении клиентом платежей старых форматов 1-2

ОВП Обработка платежей нового формата на стороне банка 4-5

ОВП Обработка платежей старых форматов на стороне банка 1

Таблица 6. Выбранные приоритеты при тестировании процессов В таблице 7 приведены сравнительные результаты для двух типов тестирования:

интуитивного и основанного на п риоритетах.

Примененный метод тестирования Выявлено критических ошибок при тестировании Выявлено критических ошибок в процессе эксплуатации (1 неделя)

Тестирование процессов в произвольном порядке 2 3

Приоритетное тестирование процессов с учетом вычисленных ущербов 4 1

Таблица 7. Сравнение результатов тестирования системы при использовании интуитивного тестирования и тестирования на основе вычисления ущербов.

Для данного тестовой среды было решено максимально допустимыми величинами ожидаемого ЬГ' и максимального Ь "'ах ущерба считать значения 15 и 30 соответственно. Исходя из данных таблицы 5, этим величинам соответствует максимальное время неработоспособности (ЯТО) 1 час. При проведении обновления в случае возникновения проблем время возврата системы в работоспособное состояние не должно превышать величины ЯТО (1 час). Для обеспечения данного условия применялся метод декомпозиции обновлений. Пакет обновления был подготовлен в двух вариантах: для единовременной и для поэтапной установки. Пакет для поэтапной установки был разбит на части, каждую из которых нужно было устанавливать отдельно в определенной последовательности. Для подтверждения корректности установки каждой из частей пакета система должна была отработать не менее одного дня перед установкой следующей по порядку части пакета.

В таблице 8 приведены данные об ошибках, возникших во время установки обнов-

Время установки всех обновлений Всего ошибок на этапе эксплуатации системы (1 неделя) Время устранения

менее 1 часа от 1 до 4 часов Более 4-х часов

Тестовая платформа 1, установка без декомпозиции пакета обновления 14 чел*час 5 3 1 1

Тестовая платформа 58 5 5

2, установка с де- чел*час

композицией пакета

обновления

Таблица 8. Данные о потере доступности системы при установке обновлений традиционным и предложенным методом

Как видно из приведенных данных, поэтапная установка пакета обновлений с декомпозицией заняла существенно больше времени по сравнению с единовременной, но при этом оказалась гораздо менее рискованной с точки зрения потери доступности приложения, т.к. привела к существенно меньшим величинам ущербов (табл.5). Использование метода декомпозиции при проведении обновления существенно увеличило время полного обновления системы, однако позволило ограничить время неработоспособности максимально допустимым значением КТО 1 час. Напротив, единовременная установка всего обновления, будучи выполненной за один день, привела к ошибкам, вызвавшим гораздо более длительную потерю доступности системы, существенно превышающую максимально допустимую.

В заключении изложены основные итоги диссертационной работы и приводятся основные результаты, полученные в процессе ее выполнения.

ОСНОВНЫЕ НАУЧНЫЕ И ПРАКТИЧЕСКИЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ

На основании полученных результатов диссертационной работы можно сделать вывод, что цель диссертации, сформулированная во введении, достигнута и поставленные задачи решены.

Основные научные и практические результаты диссертационной работы:

1. Разработана модель уязвимостей приложений при проведении запланированных измене-

ний

2. Разработан метод расчета возможного и максимального ущерба для каждого из выявленных негативных событий на основе модели дерева ущербов, позволяющий снизить риски потери доступности за счет применения приоритетного тестирования

3. Разработан метод декомпозиции обновлений, снижающий время восстановления системы при возникновении инцидентов потери доступности после обновлений и позволяющий повысить эффективность традиционных методов резервирования за счет разбиения обновления на элементарные составляющие.

4. Разработано программное обеспечение, позволяющее рассчитать ожидаемые и максимальные ущербы для каждого из выявленных негативных событий, что дает возможность определить приоритетность тестирования.

5. Проведена настройка и выполнено исследование эффективности предложенных моделей и методов на примере системы дистанционного банковского обслуживания, критичной к потерям доступности.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Опубликовано в рецензируемых изданиях из списка ВАК:

1. Арустамов С.А., Гении М.Г. Минимизация рисков потери доступности программно-

го обеспечения после установки обновлений или изменения функциональности // Научно-технический вестник СПбГУ ИТМО. - 2011.-№ 3 (73). - С. 111-116.

2. Арустамов С.А., Генин М.Г. Методы снижения рисков потерь доступности про-

граммного обеспечения критических информационных систем // Научно-технический вестник информационных технологий, механики и оптики. — 2012. — №4 (80).-С. 131-136.

3. Арустамов С.А., Генин М.Г. Деревья ущербов как модель оценки рисков потерь

доступности после проведения изменений в финансовых информационных системах // Научно-технический вестник информационных технологий, механики и оптики. - 2013.-№ 2 (84). - С. 129-135.

Опубликовано в других изданиях:

1. Генин М.Г. Методика проведения обновлений, снижающая риски доступности ин-

формационных ресурсов. Информатика, моделирование, автоматизация проектирования // Сборник научных трудов под ред. H.H. Войта. - Ульяновск: УлГТУ, 2011. -С. 125-137.

2. Арустамов С.А., Генин М.Г. Управление рисками потери доступности программного обеспечения критических информационных систем // Materialy

VIII miedzynarodowej naukowi - praktycznej konferencji «Aktualne problemy nowoc-zesnych nauk - 2012», - 2012. - C.89 - 99.

3. Генин M. Организация взаимодействия ИБС с внешними подсистемами // Банки и

технологии 3'2000 - с.16-20.

Заказ № 22-р/05/2013 Подписано в печать 16.05.2013 Тираж 100 экз. Усл. п.л. 1

IV

ООО "Цифровичок", тел. (495) 649-83-30 www.cfr.ru; е-таП:zak@cfr.ru

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики»

МЕТОДЫ И МОДЕЛИ ОЦЕНКИ И СНИЖЕНИЯ УЩЕРБА ПРИ ПОТЕРЕ ДОСТУПНОСТИ ПРИЛОЖЕНИЙ В ПРОЦЕССЕ ЭВОЛЮЦИИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

05.13.19 — Методы и системы защиты информации,

информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель: доктор технических наук, профессор,

Арустамов Сергей Аркадьевич

04201358070

На правах рукописи

ГЕНИН Михаил Геннадьевич

Санкт-Петербург — 2013

ОГЛАВЛЕНИЕ

Введение...................................................................................................................6

Глава 1 Анализ предметной области исследования..........................................14

1.1 Понятие риска потери доступности информационных систем...........14

1.2 Доступность в методологии ІТІЬ............................................................16

1.2.1 Модели доступности и их взаимодействие.....................................20

1.2.2 Простая модель доступности услуги (ББАМ).................................21

1.2.3 Модель качества услуги....................................................................22

1.2.4 Модель восстановления услуги........................................................22

1.2.5 Взаимосвязь моделей доступности..................................................23

1.2.6 Подходы к оценке риска потери доступности................................24

1.2.7 Оценка риска потери доступности для рассмотренных моделей . 25

1.2.8 Снижение риска потери доступности..............................................27

1.3 Другие стандарты управления рисками потери доступности..............27

1.4 Контроль за проведением изменений в ІТІЬ.........................................31

1.5 Постановка задачи....................................................................................34

Глава 2 Метод расчета возможного ущерба для выявленных негативных событий на основе модели дерева ущербов.......................................................36

2.1 Построение модели взаимодействия приложений...................................36

2.2 Создание списка возможных уязвимостей................................................39

2.3 Понятие риска потери доступности...........................................................40

2.4 Построение дерева ущербов для /-го события..........................................41

2.5 Свертка дерева ущерба для /-го события. Ожидаемое значение ущерба ..............................................................................................................................46

2.6 Градации ущербов и вероятностей............................................................51

2.7 Ущерб и продолжительность потери доступности..................................52

2.8 Расчет возможных ущербов для некоторых последствий негативных событий...............................................................................................................55

2.8.1 Временная потеря доступности приложения с последующим её восстановлением.............................................................................................56

2.8.2 Задержки с оплатой налогов, сборов, бюджетных платежей........57

2.8.3 Несвоевременное предоставление банковской отчетности...........60

2.8.4 Перевод деятельности клиентов в другой банк..............................60

2.8.5 Задержки при обработке банком клиентских платежей................62

2.9 Выводы..........................................................................................................63

Глава 3 Метод декомпозиции обновлений.........................................................64

3.1 Понятие элементарного обновления..........................................................64

3.2 Снижение риска сбоя системы при использовании стратегии элементарных обновлений................................................................................65

3.3 Ограничение во времени и его влияние на риск потери доступности при проведении обновления....................................................................................69

3.4 Метод декомпозиции и резервирования...................................................72

3.4.1 Резервирование и области его использования...................................73

3.4.2 Применение метода декомпозиции.....................................................79

3.5 Выводы..........................................................................................................82

Глава 4 Настройка и исследование эффективности предложенных моделей и методов...................................................................................................................83

4.1 Пример 1: добавление функционала для обработки рублевых платежей нового формата.................................................................................85

4.2 Пример 2: замена криптосистемы...........................................................91

4.3 Пример 3: замена платформы веб-сервера............................................99

4.4 Выводы....................................................................................................104

Заключение..........................................................................................................107

Список литературы.............................................................................................110

Список сокращений

IT information technology

ITIL IT infrastructure library

ITSM IT service management

SLA service level agreement

BCP business continuity plan

СОВГГ control objectives for information and related technology

ISO international standard organization

SCM service capacity management

SAM service availability management

ITSCM IT service continuity management

BRA business requirement analysis

BIA business impact analysis

CFIA component failure impact analysis

S SAM simple service availability model

SQM service quality model

S RM service resilience model

MTTF mean time to failure

MTTR mean time to repair

CMM capability maturity models

KGI key goal indicator

KPI key performance indicator

RBD reliability block diagram

CAB change advisory board

ECAB emergency CAB

RFC request for changes

RTO recovery time objective

URL unified resource location

no программное обеспечение

ИТ информационные технологии

ДБО дистанционное банковское обслуживание

дев дискретная случайная величина

СУБД система управления базами данных

БД база данных

ЦБ Центральный банк Российской Федерации

ДЧ динамическия часть

сч статическая часть

АМ административный модуль

РЕГ модуль регистрации

РП модуль рублевых платежей

ВП модуль валютных платежей

ПС модуль обмена почтовыми сообщениями

ОДБ модуль обмена данными с БД

ОВП модуль обмена с внешними подсистемами

ВВЕДЕНИЕ

Актуальность темы. Защите информационных систем от разного рода внешних и внутренних угроз посвящено огромное количество работ в области защиты информации. Предлагаются самые разнообразные методы защиты внешнего и внутреннего периметра, такие, как защищенные каналы передачи, криптографическая защита данных, межсетевые экраны, разграничение прав доступа, разного рода внутренние процедуры и контроль, ведение журналов процессов и т.д.

В большинстве случаев речь, как правило, идет о неких злонамеренных действиях, защиту от которых необходимо выстраивать. Однако это вовсе не означает, что в отсутствие опасности совершения такого рода действий нормальной работе систем ничто не угрожает. За рамками рассмотрения остаются риски, связанные с ошибками пользователей, которые сложно предотвратить средствами автоматизации. Такие ошибки могут вызывать большие задержки в процессе работы, что, в свою очередь, может негативно сказаться на имидже компании и привести к потерям. Но кроме этого, есть еще одна большая группа рисков, не связанных со злонамеренными действиями и с ошибками пользователей. Это риски, возникающие при обновлениях систем.

Вопросами управления обновлениями (или изменениями) информационных систем занимаются достаточно давно, им посвящено много публикаций. Одна из первых работ датируется 1980-м годом и опубликована фирмой IBM [1]. В ней впервые управление изменениями рассматривается не как изолированная задача, а как составная часть управления информационными системами. С тех пор эта область знаний сильно расширилась, были предложены различные подходы к управлению изменениями, однако этот основополагающий принцип в силе и по сегодняшний день. В настоящее время процесс управления изменениями обычно связывают с методологией ITIL (IT infrastructure library) [2]. Наряду с ITIL, существуют и другие методологии,

посвященные управлению изменениями в информационных системах, например, COBIT (Control Objectives for Information and related Technology) [3], Microsoft Operational Framework [4]. Позднее, в 2005-м году был разработан международный стандарт ISO/МЭК 20000 [5], который объединил все эти методологии в одну общую концепцию управления процессами в ИТ, в том числе и управления изменениями.

Тем не менее, несмотря на достаточно большое количество разрабошн-ных подходов и методик, все они являются в значительной степени организационными и носят формальный характер. В них предлагаются процедуры планирования, утверждения, реализации и контроля за выполнением изменений в системе, обсуждаются вопросы организации взаимодействия руководства, бизнес-подразделений и подразделений ИТ при выполнении тех или иных действий, распределяются роли и зоны ответственности сотрудников. Но все эти процедуры являются внешними по отношению собственно к процессу обновления и не дают ответа на вопрос, как нужно проводить обновление систем наиболее безопасным образом так, чтобы риск возникновения внештатных ситуаций при этом был минимальным.

При обновлении приложений риски потери доступности являются наиболее вероятными. В то же время, они являются наименее изученными. Это можно объяснить трудностью выявления и классификации таких рисков, а также сложностью привязки их как к конкретным приложениям, так и к процессам взаимодействия приложений в многопрограммной среде. Если для того или иного приложения процесс обновления может быть достаточно хорошо описан и протестирован компанией-разработчиком, то отладка информационной среды взаимодействия приложений разных производителей ложится на плечи пользователей.

В данной работе предпринята попытка рассмотреть этот вопрос изнутри, обсудить риски, связанные с обновлением систем, а также предложить некоторые способы снижения этих рисков. По мнению автора, задача разработки

методов и алгоритмов для снижения ущерба от потери доступности приложений в процессе их обновления является актуальной.

Объектом исследования являются автоматизированные системы в процессе проведения обновлений.

Предметом исследования являются риски потери доступности, возникающие в результате проведения обновления приложений автоматизированных систем.

Цель диссертационной работы - разработка общей методики, моделей и методов оценки и снижения ущерба, связанных с потерей доступности приложений в процессе эволюции автоматизированных систем.

Задачи исследования. Для достижения указанной цели необходимо решить следующие задачи:

1. разработка модели уязвимостей приложений при проведении запланированных изменений;

2. разработка метода расчета возможного ущерба для каждого из выявленных негативных событий на основе модели дерева ущербов;

3. разработка метода декомпозиции обновлений для снижения общего рассчитанного ущерба для всех выявленных негативных событий;

4. разработка программного обеспечения, выполняющего расчет ожидаемых и максимальных ущербов при проведении обновления;

5. настройка и исследование эффективности предложенных моделей и методов на примере системы дистанционного банковского обслуживания (ДБО).

Методы исследования основаны на использовании теории вероятности, математической статистики, математического моделирования. В работе ши-

роко применяется компьютерное моделирование, в том числе с использованием самостоятельно разработанного программного обеспечения (ПО).

Информационной базой исследования являются отечественные и зарубежные литературные источники: методические рекомендации, монографии, публикации в отраслевых периодических журналах, материалы крупных исследовательских и методических центров. Также использованы материалы, размещенные в сети Интернет.

Научная новизна работы.

1. Разработана модель уязвимостей приложений при проведении запланированных изменений, учитывающая взаимосвязь приложений на основе анализа информационных процессов применительно к планируемому обновлению.

2. Разработан метод расчета возможного и максимального ущерба для каждого из выявленных негативных событий на основе модели дерева ущербов, позволяющий снизить риски потери доступности за счет применения приоритетного тестирования

3. Предложен метод декомпозиции обновлений, снижающий время восстановления системы при возникновении инцидентов потери доступности после обновлений.

Реализация и внедрение результатов исследования. Основные результаты исследований использованы на кафедре проектирования и безопасности компьютерных систем НЕГУ ИТМО при выполнении ряда научно-исследовательских работ и внедрении в образовательный процесс лабораторных работ по защите информационных процессов в компьютерных сетях.

Достоверность полученных результатов подтверждается полнотой и корректностью математического аппарата и теоретических обоснований, а

также и результатами экспериментов, проведенных с помощью разработанного в диссертации программного обеспечения.

Практическая значимость работы заключается в следующем:

1. разработанный метод расчета возможного и максимального ущерба для каждого из выявленных негативных событий позволяет применить стратегию тестирования с приоритетом по отношению к информационным процессам, порождающих максимальные риски потери доступности;

2. разработанное программное обеспечение позволяет рассчитать ожидаемые и максимальные ущербы для каждого из выявленных негативных событий, что дает возможность определить приоритетность тестирования;

3. предложенный метод декомпозиции установки обновлений позволяет повысить эффективность традиционных методов резервирования за счет разбиения обновления элементарные составляющие;

4. разработанные методы и модели позволяют настраивать предложенные подходы для различных типов автоматизированных систем.

Внедрение и реализация. Практические результаты работы были внедрены и использованы в НИУ ИТМО, что подтверждено соответствующими актами о внедрении.

Публикации по теме диссертации. По теме диссертации опубликовано шесть научных работ [6-11], из них две выполнено самостоятельно, четыре в соавторстве. Три статьи [6-8] опубликованы в рецензируемом научном журнале, определенном в перечне ВАК.

Апробация работы. Основные научные положения и практические результаты работы были представлены и обсуждены на следующих научно-технических конференциях:

1) VII всероссийской межвузовской конференции молодых ученых, 2010 г.;

2) XL научной и учебно-методической конференции, 2011 г.;

3) VIII всероссийской межвузовской конференции молодых ученых, 2011 г.;

4) IX всероссийской межвузовской конференции молодых ученых, 2012 г.;

5) XLI научной и учебно-методической конференции, 2012 г.;

6) VIII miedzynarodowej naukowi - praktycznej konferencji «Aktualne prob-lemy nowoczesnych nauk - 2012», 2012 г.;

7) XLII научной и учебно-методической конференции НИУ ИТМО, 2013 г.

Основные научные положения, выносимые на защиту:

1. модель уязвимостей приложений при проведении запланированных изменений, учитывающая взаимосвязь приложений на основе анализа информационных процессов применительно к планируемому обновлению;

2. метод расчета возможного и максимального ущерба для каждого из выявленных негативных событий на основе модели дерева ущербов, позволяющий снизить риски потери доступности за счет применения приоритетного тестирования;

3. метод декомпозиции обновлений, снижающий время восстановления системы при возникновении инцидентов потери доступности после обновлений.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы. Материал изложен на 115 страницах компьютерного текста, иллюстрирован 20 рисунками и 30 таблицами.

В первой главе работы вводится понятие доступности, проводится анализ процесса эволюции автоматизированных систем и связанных с этим рисков потери доступности приложений, рассматриваются существующие и применяемые на сегодняшний день методики управления изменениями в автоматизированных системах, выявляются сильные и слабые стороны этих методик. На основе проведенного анализа делается вывод о недостаточности современных подходов к контролю над проведениями изменений в автоматизированных системах, формулируются цели и задачи диссертационной работы.

Во второй главе работы рассматривается процессная модель системы, на основе которой составляется список возможных уязвимостей при проведении обновления. На основе полученного списка уязвимостей выбирается первичная стратегия установки и тестирования обновления для снижения возможных ущербов от потери доступности системы. Затем вводится понятие риска потери доступности для негативного события, приводится алгоритм расчета величины возможного ущерба на основе построения дерева ущерба для данного негативного события. Рассчитав величину ущерба для каждого из выявленных негативных событий, можно определить приоритетность тестирования для процессов, порождающих события с максимальными возможными ущербами после проводимого обновления.

В третьей главе разработан метод декомпозиции обновлений для снижения возможного суммарного ущерба при проведении обновлений для случая, когда время тестирования всего комплексного обновления ограничено.

В четвертой главе проводится исследования эффективности предложенных моделей и методов на примере системы дистанционного банковского обслуживания (ДБО).

В заключе�