автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методы и средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа

005531359

На правах рукописи

Беззубов Владимир Федорович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МОДЕЛЕЙ, МЕТОДОВ И СРЕДСТВ ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНО-ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕЗЕРВИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ НА ОСНОВЕ МЕЖМАШИННОГО ПРЯМОГО ДОСТУПА

Специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 1 Ш 2013

Санкт-Петербург 2013г.

005531359

Работа выполнена на кафедре «Вычислительной техники» в Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики

Научный руководитель:

Богатырев Владимир Анатольевич доктор технических наук, профессор

Официальные оппоненты:

Арустамов Сергей Аркадьевич доктор технических наук профессор НИУ ИТМО кафедра проектирования компьютерных систем.

Ведущая организация: Санкт-Петербургский государственный университет аэрокосмического приборостроения.

Защита диссертации состоится «01»июля2013 г.в 15-50 часов на заседании диссертационного Совета Д.212.227.05 в НИУ ИТМО по адресу: 197101, Санкт-Петербург, Кронверский пр., 49.

С диссертацией можно ознакомиться в библиотеке НИУ ИТМО Автореферат разослан «24» мая 2013 г.

Музелин Юрий Николаевич кандидат технических наук

Начальник НТО ОАО «ВНИИРА» зам. главного конструктора.

Ученый секретарь

к.т.н., доцент

-о совета Д.212.227.05,

Поляков Владимир Иванович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

АКТУАЛЬНОСТЬ РАБОТЫ

Высокая надежность, устойчивость, функциональная и информационная безопасность систем критического применения, достигается при резервировании основных подсистем и комплектации системы средствами защиты от злонамеренных и случайных внешних и внутренних воздействий, потенциально вызывающих отказы, снижение устойчивости функционирования, нарушения целостности и доступности данных.

Повышение функциональной и информационной безопасности систем достигается при минимизации вероятности и последствий возникновения опасных состояний, возникающих в результате отказов, сбоев или внешних злонамеренных или случайных (непредумышленные) дестабилизирующих воздействий.

Обеспечение функционатьной безопасности в значительной мере определяется информационной безопасностью, и прежде всего, связано с минимизацией риска потери данных при отказах системы, вызванных внешними или внутренними причинами, в том числе в результате злонамеренных воздействий.

Эффективность средств защиты от внешних и внутренних воздействий, вызывающих нарушение целостности информации и отказы резервированных вычислительных комплексов, во многом определяется организацией средств комплексирования, которые должны обеспечить высокоскоростной доступ к памяти, хранящей важные для вычислительного процесса данные и результаты вычислений. Высокоскоростной доступ к ресурсам вычислительных комплексов, позволяет ускорить контроль и обнаружение опасных состояний, минимизировать их вероятности и увеличить эффективность процесса снижения риска при компенсации ошибочного функционирования вычислительного процесса, потери доступности и целостности данных.

Взаимозависимость и взаимосвязь задач противодействия угрозам нарушения информационной и функциональной безопасности, обеспечения устойчивости информационных систем требует интеграции всей совокупности средств защиты системы от внешних и внутренних угроз функционированию системы.

Таким образом, на современном этапе развития информационных технологий создание средств обеспечивающих устойчивое функционирование вычислительных систем, сокращение риска и последствий потери информации, после случайных или злонамеренных дестабилизирующих воздействий, является актуальной задачей.

ОБЪЕКТ ИССЛЕДОВАНИЯ - защищенные вычислительные информационно управляющие резервированные системы критического (ответственного) назначения.

ПРЕДМЕТОМ ИССЛЕДОВАНИЯ являются модели, методы н средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа.

- защищенные отказоустойчивые вычислительные системы и узлы (модули) для их построения;

- организация защищенного устойчивого вычислительного процесса в резервированных вычислительных системах, включая межмашинный обмен для поддержки их безопасности.

ЦЕЛЬЮ РАБОТЫ является разработка и исследование методов и средств обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа.

ЗАДАЧИ ИССЛЕДОВАНИЯ:

- разработка структур, протоколов и алгоритмов функционирования средств защиты, обеспечивающих высокоскоростной доступ к ресурсам вычислительных устройств, в том числе и с отказавшим процессором с целью минимизации нахождения системы в опасных состояниях;

- разработка алгоритмов и средств взаимосвязи узлов защищенных вычислительных систем на основе межмашинного прямого доступа к памяти (межмашинного ПДП);

- разработка набора модулей (узлов) для построения средств защиты отказоустойчивых резервированных вычислительных систем, с обеспечением высокоскоростного доступа к ресурсам вычислительных устройств, в том числе после отказа их процессора;

- построение моделей оценки информационно - функциональной безопасности, надежности и производительности защищенных устойчивых резервированных систем, с обеспечением высокоскоростного доступа к внутренним ресурсам, вычислительных систем;

- исследование эффективности защищенных систем, с реализацией взаимосвязи между резервированными узлами на основе межмашинного (двойного) ПДП.

МЕТОДЫ ИССЛЕДОВАНИЯ Используются методы теорий массового обслуживания, надежности, оптимизации, Марковских процессов и рисков.

НАУЧНАЯ НОВИЗНА

В диссертационной работе предложены модели, методы и средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа к внутренним ресурсам резервированных устройств, при этом:

1. Предложен метод и организация межмашинного прямого доступа к памяти, позволяющие сократить время межмашинного обмена информацией и обеспечить высокоскоростной доступ к памяти и другим ресурсам резервированных вычислительных устройств, в том числе, в случае отказов процессоров резервированных устройств, что потенциально позволяет повысить устойчивость системы (доступность и возможность восстановления данных ) к воздействию деструктивных факторов.

2. Предложена организация средств обеспечения информационно-функциональной безопасности, надежности, целостности и доступности данных в резервированных вычислительных комплексах на основе межмашинного ПДП, позволяющего повысить устойчивость функционирования резервированных комплексов путем создания работоспособных конфигураций с использованием сохраненных после деструктивных воздействий (отказов) ресурсов и результатов вычислений.

3. Предложена организация резервированных (в том числе дублированных) вычислительных комплексов с реализацией высокоскоростного межмашинного ПДП;

4. Предложены аналитические модели безопасности и надежности отказоустойчивых вычислительных комплексов на основе межмашинного ПДП, - определена область эффективного использования предлагаемых решений по обеспечению отказоустойчивого безопасного функционирования резервированных вычислительных комплексов.

5. Проанализированы варианты организации отказоустойчивых резервированных вычислительных комплексов и показана эффективность реализации доступа, к ресурсам резервированных вычислительных устройств на основе межмашипного ПДП.

ПОЛОЖЕНИЯ ВЫНОСИМЫЕ НА ЗАЩИТУ

Методы и средства обеспечения информационно-функциональной безопасности и надежности резервированных вычислительных систем.

Метод и организация межмашинного обмена для защищенных отказоустойчивых резервированных вычислительных комплексов с-двойным прямым доступом к памяти.

Модели безопасности и надежности отказоустойчивых вычислительных комплексов на основе межмашинного ПДП.

Организация защищенных отказоустойчивых резервированных вычислительных комплексов с реализацией межмашинного ПДП.

ПРАКТИЧЕСКАЯ ЦЕННОСТЬ РАБОТЫ

1. Предложены средства поддержки информационно-функциональной безопасности и надежности вычислительных систем критического применения на основе организации высокоскоростного обмена и обеспечения доступа к внутренним ресурсам ВМ на основе межмашинного ПДП.

2. Предложен протокол и организация межмашинного обмена на основе двойного ПДП, обеспечивающие высокоскоростной доступ к внутренним ресурсам вычислительного устройства, в том числе при состояниях с отказавшим процессором резервированного устройства.

3. Рассмотрены типовые структуры отказоустойчивых вычислительных ком плексов на основе предложенных средств защиты.

4. Проаналширована эффективность предлагаемых структур защищенных отказоустойчивых вычислительных комплексов и определена область эффективности предложенных решений.

5. Патентная чистота предлагаемых технических решений по построению защищенных отказоустойчнвых вычислительных комплексов и их узлов, подтверждается одиннадцатью авторе ким и свидетельствам и и тринадцатью патекгаии на изобретения.

АПРОБАЦИЯ РАБОТЫ. Основные результаты работы докладывались и обсуждались на научно - технических конференциях: - Международная конференция «Локальные вычислительные сети» ЛОКСЕТЬ 90, Рига, 9-11 октября 1990г.; - Третья и Четвертая международщя научно-техническая конференция «Автоматизация и энергосбережение машиностроительного производства, технология и надежность машин, приборов и оборудования», г. Вологда, 10 -12 ноября 2007г., 24 - 26 ноября 2008г.; - 3-ий Международный форум «Актуальные проблемы современной науки», г. Самара, 20 -23 ноября 2007г.; - XXXIX и ХЬ Международная научно-практическая конференция, «Неделя наукиСПбГПУ», 6-11 декабря 2010, 2011 г., Санкт-Петербургский Государственный Пол технический Университет; -Ма1епа1у VII miedznarodowej паикоум -ргаЙусгпе] копГегепср «реврек1ушсгпе оргасоууата ва паика1 (есЬшкапи - 2011», РсгетуЛ, Майка 1 вЫы 2011, 07 - 15 ноября 2011г.; - Пятая всероссийская межвузовская конференция молодых ученых, СПбГУ ИТМО, 15 - 18 апреля 2008г.; -Всероссийская межвузовская научная конференция «Всероссийские шучные Зворыкинские чтения», Муромский институт Владимирского Государственного университета, 22 апреля 2011г.; - Всероссийская молодежная научно - практическая конференция: - «Исследования молодежи, -экономике, производству, образованию.», г .Сыктывкар, 20 - 21 апреля 2011г.; - Отраслевая научно-практическая конференция: - "Пути совершенствования сетей и комплексов технических средств связи", Ленинград, НПО «Красная Заря», 1989г.; - Первая межвузовская научно -практическая конференция - «Актуальные проблемы организации и технологии защигы информации»., СПбГУ ИТМО, 30 ноября - 01 декабря 2011г.; - VII Всероссийская межвузовская конференция молодых ученых (КМУ), СПбГУ ИТМО, 16 - 18 марта 2010г.; - XXXIX юучная и учебно-методнческая конференция СПбГУ ИТМО, 02 - 05 февраля 2010.

Результаты работы использовались в ряде разработок, в том числе в НИР № 610481 на кафедре вычислительной техники НИУ ИТМО.

ДОСТОВЕРНОСТЬ ПОЛУЧЕННЫХ РЕЗУЛЬТАТОВ ПОДТВЕРЖДАЕТСЯ

корректностью используемого математического аппарата; - реализацией и внедрением, предложенных технических решений; результатами Государственной патентной экспертизы предлагаемых технических решений; обсуждением материалов на четырнадцати конференциях.

ПУБЛИКАЦИИ. По результатам проведенных исследований опубликовано 47 печатных работ, в том числе авторских свцдетельств на изобретение - 11, патентов на изобретение - 13. Число публикаций в изданиях из списка ВАК - 6.

ОБЪЕМ И СТРУКТУРА РАБОТЫ Диссертация состоит из введения, четырех глав, приложения и заключения. Материалы изложены на 161-ой странице, 85-ти рисунках, 2-х таблицах. Библиографический список включает 98 наименований.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность проблемы, определяется предмет исследования, формулируются цели и задачи, показана научная новизна и практическая значимость результатов работы.

В первой главе рассматриваются принципы построения защищенных отказоустойчивых вычислительных и в том числе информационно-управляющих систем.

Для управляющих информационно-вычислительных систем критического применения, работающих в реальном времени, комплексная защищенность системы должна включать средства и системы защиты от внешних и внутренних злонамеренных и случайных незлонамеренных воздействий направленных на нарушение работоспособности, целостность и доступность данных.

Совокупность средств противодействия угрозам должна обеспечивать защиту от:

- внешних злонамеренных воздействий через каналы связи;

- внешних злонамеренных и случайных физических воздействий, (электромагнитные излучения, нестабильность в сети электропитания, атмосферные явления, солнечная активность, геомагнитных явлений, техногенные и природные катастрофы и др.).

Обеспечение доступности информации реализуется на основе резервирования (дублирования), как каналов связи, так и средств обработки и хранения информации, в этом случае задача доступности информации сводится к обеспечению надежности системы.

Показана потребность создания методологии анализа и обеспечения информационной и функциональной безопасности, па основе активной защиты от злонамеренных и случайных внешних и внутренних воздействий на информационные и вычислительные ресурсы системы.

Под функциональной безопасностью понимается часть общей безопасности, которая относится к объекту управления и управляющим системам объекта управления и зависит от правильности функционирования Е/Е/РЕ систем (электрический/ электронный/программируемый электронный), связанных с безопасностью, систем обеспечения безопасности, внешних средств уменьшения риска

Снижение рисков, прежде всего, связано с минимизацией вероятности опасных состояний системы, к которым относятся состояния:

- необнаруженные отказы и состояния нарушения целостности и доступности, которые могут быть потенциально опасными для системы;

- обнаруженные опасные отказы, а также состояния нарушения целостности и доступности до момента завершения активных воздействий системы обеспечения безопасности с целью минимизации или предотвращения последствий опасных состояний;

Снижение рисков обеспечивается при минимизации вероятностей опасных состояний, которая достигается при ускорении процесса обнаружения опасных состояний и восстановления целостности и работоспособности отказавших состояний. Для снижепия риска потери данных и критических результатов вычислений в системах ответственного (критического) назначения производится резервирование основных ресурсов обработки и хранения данных, что приводит к реализации вычислительных узлов в виде резервированных, как правило, дублированных вычислительных комплексов (ДВК).

Ускорение процесса восстановления и контроля ДВК требует высокоскоростного доступа к дублированным ресурсам хранения критически важных данных и результатов вычислений, причем такая доступность должна поддерживаться на основе высокоскоростного ПДП даже при отказах процессоров одного из полукомплексов.

Показано что для отказоустойчивого функционирования вычислительных комплексов, при выходе из строя процессора одного полукомплекса, для резервного полукомплекса должен быть обеспечен доступ к внутренним ресурсам, отказавшего полукомплекса.

Показано, что эффективность средств обеспечения информационно-функциональной безопасности отказоустойчивых резервированных комплексов во многом определяется организацией межмашинного обмена. Проведен анализ эффективности известных вариантов организации межмашинного обмена и возможностей их модификации с учетом требований

организации защищенных отказоустойчивых резервированных вычислительных систем. Показано, что использование технологии 1ШМА ( удаленный ПДП) для построения локальных (малых) систем управления связано с увеличением временных издержек на реализацию ТСР/1Р-протоколов для организации каналов и режима работы 1ШМА, поэтому представляет интерес разработка ускоренного межмашинного ПДП при простейшей реализации сетевых магистралей или непосредственной связанности дублированных вычислительных узлов.

В результате проведенного анализа показано, что разработка и исследование аппаратных средств обеспечения отказоустойчивого функционирования с поддержкой высокоскоростного доступа к внутренним ресурсам вычислительных устройств с отказавшим процессором требует решения, которое должно осуществляться с позиции создания средств обеспечения информационно-функциональной безопасности, надежности и отказоустойчивости систем компьютерного управления.

Во второй главе предложена организация средств обмена и обеспечения функционально-информационной безопасности на основе межмашинного прямого доступа. Предлагаемые средства взаимосвязи отказоустойчивых вычислительных устройств на основе межмашинного прямого доступа предназначены для того, чтобы сократить время обмена информацией и обеспечить доступ к памяти вычислительного устройства с отказавшим процессором, в результате чего появляются дополнительные возможности обеспечения устойчивости вычислительных систем и ускорить процесс перехода из опзсиых состояний в безопасные состояния.

Суть двойного ПДП заключается в том, что устройство, реализующее данный способ обмена, захватывает шины (магистрали) обоих, участвующих в обмене вычислительных модулей (ВМ). Далее устройство формирует интерфейсные сигналы управления для каналов обоих ВМ и производит последовательно - параллельную (конвейерную) передачу информации из ОЗУ-источника в ОЗУ-приёмник без использования процессоров обеих участвующих в обмене машин.

Взаимоконтроль ВМ может быть организован при периодическом обмене результатами вычислений с их сравнением в контрольных точках (КТ). Если время выполнения запросов является критичным и при отказе ВМ выполнение запроса не может быть возобновлено сначала без риска срыва управления, то прерванная сбоями обработка восстанавливается, используя данные КТ.

Будем считать, что дублированные комплексы сохраняют способность функционировать при исправности хотя бы одного резервного устройства и возможности его доступа к данным КТ, создаваемых при исправной работе резервных устройств. При этом в структуре с адаптером межмашинной связи, благодаря наличию в адаптере устройства реализации ПДП, возможна организация доступа к запоминающему устройству отказавшего вычислительного узла, даже при отказе его процессора. Необходимым условием для такого доступа является исправность системных шин, в том числе, после отказа процессора. В структуре с общей памятью межмашинный обмен осуществляется под управлением центральных процессоров. Реализация восстановления вычислительного процесса после отказа одного из резервных устройств возможна только при сохранении данных КТ в общей памяти.

При использовании двойного ПДП время, затрачиваемое на передачу массива из N слов, составляет: Тууг). = Тор. + 1); при этом для 0 - шины Тар =15/, Т;у<1 =¿(N + 16); где / - цикл шины. Обмеп с двойным ПДП сравнительно с обменом через общую память и адаптер пе поддерживающий двойной ПДП, позволяет сократить время обмена. Действительно, при обмене через общую память требуется время: Тш = 4Ш, а при обмене через адаптер: = Т + 2№. При этом, например, для магистрали типа «О - шина» Тор =91 и Ттк = 2((Л' + 4,5);

Эффективности двойного ПДП относительно обмена через общую память п адаптер определим, соответственно, как к, = Тттк / ; кг = Г„, / Т)го (рисунок1.). Применение двойного ПДП целесообразно, когда время организации режима обмена меньше времени передачи массива информации программным способом, Тср < , что соответствует Д'> 4.

о

1 10 ira lxio3

Щбайт)

Рисунок 1. Эффективность двойного ПДП

Сравним эффективность ДВК при следующих вариантах межмашинного обмена:

• вариант В1: обмен с конвейерным совмещением в режиме ПДП передачи слов из модуля памяти M резервного устройства в буфер переключателя 5 и из него в модуль памяти M второго резервного устройства по магистралям первого и второго резервных устройств (обмен с двойным ПДП);

• вариант В2: обмен под управлением процессора Р с конвейерным совмещением передачи слов из модуля памяти M одного резервного устройства в буфер переключателя S и из него в модуль памяти M второго резервного устройства по магистралям первого и второго резервных устройств (программно управляемый обмен с конвейеризацией);

• вариант ВЗ: обмен с занесением кадра из модуля памяти M одного резервного устройства в буферную память переключателя S в режиме ПДП с дальнейшей передачей этого кадра (после его полного приема) в модуль памяти M второго резервного устройства в режиме ПДП;

• вариант В4: обмен под управлением процессора Р с занесением кадра из модуля памяти M резервного устройства в память переключателя с дальнейшей передачей этого кадра (после его полного приема) в модуль памяти M второго резервного устройства под управлением процессора Р .

Время межмашинного обмена при передаче кадра из N слов для вариантов В1 - В4 вычисляется соответственно как: Т, =(N + 1)/ + d, Тг = (N + 1)2/ + D, T,=2 (Nt + d), Г4 = 4tN + D, где t - время передачи одного слова, d и D времена инициализации и установления режима ПДП и прерывания.

Среднее время обмена для вариантов В1-В4 с учетом повторных передач кадров в случае сбоев найдем соответственно как:

Tt = ({N + 1 )t + rf)f;«èi(l - ¿if . h = е-((Л, + ,)'"Ш1+'12>; i=i

Г2= ((N + 1)2/ + D)|>,(1 - г>2)'1, ь2= + " 1=1

T} = 2(Nt + d)±ib,( 1 - è3f A= H2(№+J»WM3);

TA= (Ш + D)±ib,(1 - b4):-\ 64= е^тмг^.

¿=1

где >_i, Xi, X} интенсивности сбоев процессора P, модуля памяти Ми переключателя S.

Результаты расчета среднего времени межмашинного обмена Т в зависимости от длины массива передаваемых данных N слов (шт.) без учета повторных передач из-за сбоев для вариантов межмашинного обмена В1-В4 представлены на рисунке 2а. соответствующими кривыми. Расчеты выполнены в предположении, что /=10"' ч. d=5t ч., 0=10/ ч.. Представленные зависимости показывают эффективность межмашинного обмена на основе двойного ПДП,

причем эта эффективность растет с увеличением объемов передаваемых данных.

Для функционирования ДВК в режиме дублированных вычислений, когда в полукомплексах решаются одтш и те же задачи, программно управляемый обмен может быть организован без прерываний, в этом случае результаты расчета среднего времени межмашинного обмена для рассматриваемых вариантов В1-В4 приведены на рисунке 26. Из рисунка видно, 410 существует граница, при длине кадров меньше которой обмен с двойным ПДП становится не эффективным.

В4.-' вз

дг

-............

б.

О 2»!0' Ив1 ЬЛ!? 1яЮ4

ЛГ.шг.

а

Рисунок 2. Средние времена межмашинного обмена для различных вариантов его Организации

Л'га.

При передаче по варианту межмашинного обмена В1 больших массивов данных возможно их разбиение на части (кадры) с организацией капала двойного ПДП между полукомплексами для каждого кадра. Очевидно, что без сбоев (их пренебрежимо малой вероятности) весь массив данных наиболее быстро удается передать без его разбиения на кадры, так как передача каждого кадра требует затрат времени на установления канала ПДП. В реальных условиях разбнение передаваемого массива данных на кадры (и, соответственно, уменьшение их длин) приводит с одной стороны к снижению вероятностей повторных передач из-за ошибок (сбоев), но с другой -и к возрастанию издержек времени на организацию каналов прямого доступа. Таким образом, возникает задача оптимизации числа кадров, формируемых при передаче массива данных в режиме двойного ПДП.

Среднее время межмашинного обмена Т\ с установлением канала двойного ПДП при разбиении передаваемого массива данных из N слов на к кадров вычисляется как:

Г,= ((1 + Ы/к)1+с1)фь(1 - 6)м где Ь =

1=1

Зависимость среднего времени межмашинного обмена Т ч. от числа кадров к (шт.), формируемых при передаче массива данных длиной N слов (шт.) представлена на рисунке 3. для интенсивности сбоев =?.2 =?-з = X, когда Х.=10"3 ч"1 и когда ?.=10 4 ч"1. Из графиков видно, что существует оптимальное значение числа кадров, формируемых при передачи массива данных, при котором в условиях сбоев (ошибок передачи) достигается минимум времени межмашинного обмена в режиме двойного ПДП.

а, шт.

Рисунок 3. Зависимость среднего времени межмашинного обмена от числа кадров к

Представленные результаты показывают:

• существенность влияния организации межмашинного обмена на эффективность отказоустойчивого дублированного вычислительного комплекса;

• преимущество межмашинного обмена на основе использования двойного ПДП, при условии, что длина передаваемых кадров, превышает некоторое граничное значение, зависящее от времени установления ПДП;

• существование в режиме двойного ПДП оптимального числа, формируемых при передачи массива данных кадров, при котором в условиях сбоев достигается минимум времени межмашинного обмена.

В третьей главе рассмотрена Марковская модель надежности и функционально-пнформационной безопасности резервированных вычислительных комплексов с реализацией межмашинного прямого доступа.

Межмашинный прямой доступ позволяет сократить время обмена информацией и обеспечить доступ к памяти и другим ресурсам резервированных вычислительного устройств, в том числе в случае отказа его процессора. При построении Марковской модели надежности восстанавливаемого дублированного комплекса будем считать, что известны интенсивности отказов 1р , ).„, , X, и восстановлений р.р , , Ц* процессоров Р, памяти М и переключателя (адаптера) Б, причем восстановление проводится одним ремонтником после любого отказа.

Решение дифференциальных уравнений, составленных по графу переходов Марковской модели, позволяет найти вероятности всех состояний комплекса и, в результате суммирования вероятностей работоспособных состояний, определить нестационарный коэффициент готовности (функцию готовности) комплекса. Решение системы дифференциальных уравнений проведено в системе компьютерной математики МаШсай-15 по методу Рунге-Куты. Суммируя вероятности работоспособных состояний, найденных при решении алгебраических уравнений, вычисляем коэффициент готовности (стационарный) комплекса.

При межмашинном ПДП состояние комплекса относится к работоспособным в случае исправности хотя бы одного процессора и хотя бы одного модуля памяти в любом резервном устройстве. При программно управляемом обмене состояние резервированного устройства относится к работоспособным, если исправны модуль памяти и процессор одновременно в одном резервном устройстве.

Результат расч&га нестационарного коэффициента готовности К(1) ДВК отражен на рисунке 4. Кривые 1 и 2 соответствуют комплексу с межмашинным обменом без ПДП и с использованием двойного ПДП. Расчет проведен при Х„ =0,00005 ч"1, \т =0,00015 ч"1, >,,=0,0001 ч ; (1р=ц„=и1=0,5ч1. При тех же исходных данных в результате решения системы алгебраических уравнений найдены значения стационарного коэффициента готовности кг комплекса без ПДП и с использованием двойного ПДП, они равны соответственно 0,9999997 и 0,9999998

т1

0,99999993

0.9999999

0,99999985

(>59з;;?э

2

0.99999975

0.9999997

0 10 20 30 40 50 М 70 80 90 100 Время функционирования системы, ч

Рисунок 4. Функция готовности дублированного вычислительного комплекса

В результате проведенного анализ безопасности и функциональной надежности систем критического применения, в том числе систем, критичным к нарушениям доступности и целостности информационных ресурсов, представляется актуальным исследование их надежности. Модели функционально - информационной безопасности и надежности таких систем должны учитывать недопустимость срывов вычислительного процесса и (или) потери стратегически важной информации, потенциально приводящие к катастрофическим последствиям, после которых восстановление вычислительной системы теряет смысл. Модели безопасности указанного класса систем помимо оценки традиционных показателей надежности должны находить вероятности опасных состояний, при которых возможны срыв критичных вычислительных (управляющих) процессов и невосполнимая потеря критически важных данных.

В работе предложены Марковские модели безопасности и надежности восстанавливаемых ДВК, отличающиеся возможностью учета ограниченного восстановления, при невосполнимой потере накопленных данных (результатов вычислений) или при недопустимости прерываний вычислительного (управляющего) процесса во время процесса восстановления системы.

Средства комплексирования должны обеспечивать доступ к памяти сопряженного полукомплекса с целью сохранения информационных ресурсов (результатов решения прикладных задач) даже при отказах одного из дублированных ЦП. Таким образом, для информационно безопасного, отказоустойчивого функционирования комплекса АС должен обеспечивать прямой доступ к памяти двух полукомплексов.

Надежность ДВК в определенной мере зависит от ограничений восстановления системы после отказов, определяемых особенностями прикладных процессов.

Рассмотрим Офшшчеиия восстановления комплекса, когда оно не реализуемо в случаях когда:

потеря данных не допустима, а перерывы вычислительного процесса во время восстановления допустимы (81);

потеря данных и перерывы вычислительного процесса во время восстановления не допустимы (52);

потеря данных и перерывы вычислительного процесса во время восстановления допустимы (ЭЗ).

Потеря данных происходит, когда при информационной зависимости прикладных функциональных задач, решаемых вычислительной системой, отказывает память в двух полукомплексах, что приводит к невозможности выполнения задач, т.е. к отказу системы, при котором ее восстановление невозможно.

Перерывы вычислительного процесса во время восстановления не допустимы, например, для управляющих систем, работающих в реальном времени, при этом будем считать, что для поддержки вычислений достаточно работоспособности хотя бы одного ЦП при доступности для него памяти хотя бы в одном полукомплексе. При отказе одного ЦП доступ исправного ЦП к

памяти другого (сопряженного) полукомплекса должен поддерживаться средствами комплексирования по прямому доступу.

Случай ограничения восстановления, когда потеря данных недопустима, а перерывы вычислительного процесса во время восстановления допустимы, не рассматривается, так как при отказе памяти в двух полукомплексах вычислительный процесс не реализуем, и при потере данных в обоих полукомплексах их восстановление считается не возможным.

При построении Марковской модели восстанавливаемого ДВК с учетом отмеченных ограничений восстановления (51-53) будем считать, что в каждый момент времени восстанавливается только один узел. Будем считать известными интенсивности отказов процессора - Хо, памяти - Xj, адаптера (средств комплексирования) - >„2, а интенсивность восстановления любого узла равна ц. В случае достижения состояния, при котором вычислительный процесс восстановить не удается в соответствии с перечисленными условиями (51-52), считается, что достигнуто невосстанавливаемое опасное состояние (состояния полного отказа системы), когда выполнение потока прикладных задач невозмолшо.

Марковские модели надежности ДВК для различных случаев ограниченного восстановления 51-53 приведены на рис. 5-7, при этом выделены состояния: работоспособные (вычисления реализуемы); отказа, при которых восстановление системы возможно; отказа, при которых восстановление системы не возможно.

На графах переходов на рисунках 5-7 вершины, представляющие состояния системы, пронумерованы (АО-АП для рисунка5; 50-517 для рисунка6; С0-С14 для рисунка7). В поле вершин графов представлены изображения, поясняющие состояния ДВК, при этом отказавшие узлы перечеркнуты.

Для варианта ограниченного восстановления 51 признаком невосстанавливаемого состояния является отказ блоков памяти двух полукомплексов (состояния А4, А5, Al, AS, /110, .411, А12, А15, Л16, All - не работоспособны, среди них состояния А5, А В, All, А16, AM -невоссганавливаемые, неработоспособные состояния на рисунках 5-7 затемнены).

Для варианта ограниченного восстановления 52 невосстанавливаемое состояние возникает при отказе двух блоков памяти или двух процессоров. Для варианта 52, при исправности АС, способность выполнения вычислительного процесса во время восстановления сохраняется, если исправен хотя бы один ЦП и один узел памяти, а при отказе АС, если одновременно исправны ЦП и модуль памяти одного полукомплекса Для систем, соответствующих рисунку 6, все неработоспособные состояния (54, 55, 57, 58, 510, 511, 515, 516, 517) являются невосстанавливаемьши.

Для варианта восстановления 53 все состояния являются восстанавливаемыми (к неработоспособным состояниям относятся С4, С5, С7, С8, С12, С13, С14), ограничений по восстановлению нет.

Рисунок 6. Граф переходов для Марковской модели ДВЬС при ограничении восстановления 52

Рисунок 7. Граф переходов для Марковской модели ДВК ири ограничении восстановления S3

Для вычисления вероятности нахождения системы в работоспособном состоянии по графам, представленным на рисунках 5-7, по известным правилам составляется система дифференциальных уравнений, решение которой позволяет найти вероятности всех состояний ДВК, в том числе работоспособных.

Надежность ДВК охарактеризуем нестационарным коэффициентом готовности K(t), который определяется как вероятность того, что в заданный момент времени t система находится в одном из работоспособных состояний. Коэффициент K(t) вычисляется при суммировании вероятностей всех работоспособных состояний. Заметим, что нестационарный коэффициент готовности (функция готовности) K(t) при возможностях восстановления, соответствующих S3, при увеличении времени t стремится к стационарному коэффициенту готовности. При вариантах ограничений восстановления S1 и S2 с увеличением времени работы t вероятность работоспособного состояния системы стремится к нулю.

С учетом сформулированных условий работоспособности состояний ДВК для вариантов 51-S3 ограничений восстанавливаемости системы нестационарные коэффициенты готовности вычисляются как:

Кп (/) = pM(t) + р„ (0 + pA1(t) + p„{t) + pM{t) + pA9(t) + pM3(t) + pM4(t), KS2(0 = Рво(0 + Pbi (0 + РвгС) + Рвз (0 + Рве(!) + PB9(0 + Рва (0 + Рвы (О, к„ (0 = Рсо (О + Рс, (!) + Рсг (0 + Ра (О +РС6 (0 + Pes (0 + Рею (0 + Ра, (О, гдерм0),РА\(*)*•■■>Рлн(!)> Рво(0>Рт(1)' - 'Рви(1)> Рс*(0,Ра(*)>->РаА{) соответствуют вероятностям состояний АО, А\, ..., А14 системы S1 (рисунок 5), состояний ВО, В1, ..., 314 системы S2 (рисунок 6) и состояний СО, С1, ..., С14 системы S3 (рисунок 7).

Предложенные модели позволяют вычислить вероятности опасных состояний. Так вероятность потери информационных ресурсов для систем S1, определяются как: КаЯ (0 = рА5 (0 + pjt) + рлп (0 + рш(0+pA„(t),

и соответственно вероятность неопасного (восстанавливаемого) отказа как:

Для системы S2 вероятности опасных состояний вычисляется как 1- KS2. Результаты расчета нестационарного коэффициента готовности K{t) для рассматриваемых вариантов S1-S3 ограниченного восстановления дублированных комплексов после отказов представлены на рисунке 8. Расчеты проведены для случая Хо=0,8- КГ4, /-1=0,5-104, Хг=0,3- Ю^11/ч

и ц=1 1/'ч. Кривые 1-3 соответствуют вариантам SI-S3 ограничений восстанавливаемости после отказов.

Расчеты выполнены в системе компьютерной математики Mathcad-15 при решении системы дифференциальных уравнений, составленных по графам на рисунках 5-7, по методу Рунге-Куты.

K(t) I«»0

9.995К1Г1 9.99x10"' 9М5*Ш"1 9.98x10'1

0x10е ISxiO4 5х104 7.5*Ю4 1х105

Время, ч.

Рисунок 8. Нестационарный коэффициент готовности для вариантов ограниченного восстановления

Расчеты подтверждают существенность влияния ограничений восстанавливаемости после отказов на надежность вычислительных комплексов.

Таким образом, при оценке надежности и безопасности критически важных систем рекомендуется использование предлагаемых моделей, позволяющих учесть особенности ограниченного восстановления при невосполнимой потере информационных ресурсов и при прерывании критически важных вычислительных процессов при восстановлении.

В четвертой главе предложены варианты построения резервированных вычислительных устройств с обменом между вычислительными узлами по магистрали с использованием устройства межмашинного обмена [Патент на изобретение № 1605242.], реализующего режим межмашинного (двойного) прямого доступа к памяти. Применение устройства сопряжения с внешними объектами [Патент па изобретение № 1478222.] делает общедоступными внешние устройства для всех вычислительных узлов, что позволяет наиболее эффективно использовать ресурсы комплекса

Объединение вычислительных узлов в единую систему при использовании многоканального устройства для реконфигурации [Патент на изобретение № 1628725] позволяет частично возложить функции обеспечения безопасности и отказоустойчивости на аппаратные средства и соответственно создает дополнительный временной ресурс. Показано, что предложенные технические решения позволяют при накоплении отказов обеспечить отказоустойчивое функционирование системы при использовании сохраненных аппаратных и информационных ресурсов, в том числе, результатов вычислений, сохраненных в блоках памяти вычислительных узлов, с отказавшими процессорами [АС. на изобретение № 1798946], что потенциально позволяет повысить безопасность систем.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОЙ РАБОТЫ

В диссертационной работе предложены модели, методы и средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа к внутренним ресурсам резервированных устройств, при этом:

1. Предложен метод и организация межмашинного прямого доступа к памяти (двойного ПДП), позволяющие сократить время межмашинного обмена информацией и обеспечить высокоскоростной доступ к памяти и другим ресурсам резервированных вычислительных

..... 3

......»1 ..

2

устройств, в том числе, в случае отказов процессоров резервированных устройств, что потенциально позволяет повысить устойчивость системы (доступность и возможность восстановления данных ) к воздействию деструктивных факторов.

2. Предложена организация средств обеспечения информационно-функциональной безопасности, надежности, целостности и доступности данных в резервированных вычислительных комплексах на основе межмашинного ПДП, позволяющего повысить устойчивость функционирования резервированных комплексов путем создания работоспособных конфигураций с использованием сохраненных после деструктивных воздействий (отказов) ресурсов и результатов вычислений.

3. Предложена организация резервированных (в том числе дублированных) вычислительных комплексов с реалшацией высокоскоростного межмашинного ПДП;

4. Предпожеш организация защищенных резервированных (в том числе дублированных) вычислительных комплексов с реализацией отказоустойчивого высокоскоростного доступа на основе межмашинного (двойного) ПДП;

5. Предложены аналитические модели безопасности и надежности отказоустойчивых вычислительных комплексов на основе межмашинного ПДП, - определена область эффективного использования предлагаемых решений по обеспечению отказоустойчивого безопасного функционирования резервированных вычислительных комплексов.

6. Проанализированы варианты организации защищенных резервированных вычислительных комплексов и показана эффективность реализации доступа к ресурсам резервированных вычислительных устройств на основе межмашинного ПДП. Определена область эффективности предложенных решений.

7. Патентная чистота предлагаемых технических решений по построению средств обеспечения информационно - функциональной безопасности и надежности отказоустойчивых вычислительных устройств и ilk узлов, подтверждается одиннадцатью авторскими свидетельствами и тринадцатью патентами на изобретения.

В ПРИЛОЖЕНИИ представлен набор модулей, предназначенный для построения защищенных отказоустойчивых вычислительных устройств, с реализацией взаимосвязи на основе межмашинного ПДП.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в рецензируемых журналах и изданиях из перечня ВАК

1. Беззубое В.¿.Сравнительный анализ методов обмена в многопроцессорных системах// Вестник компьютерных и информационных технологий №4,2006, С.51 - 56.

2. Беззубое В.Ф. Управляющая вычислительная система высокой надежности с реконфигурацией // Информационно - измерительные и управляющие системы, №3, 2010, С. 4650.

3. Богатырев В .А., Беззубое И.Ф., Голубев И.Ю. Сравнительный анализ структур отказоустойчивых дублированных вычислительных комплексов // Информационно -измерительные иупраатяющие системы,№ 2,2011,С.8 - 12.

4. Богатырев В. А., Беззубое В.Ф., Башкова С А., Полякова А.В., Когельпикова ЕЮ., Голубев И.Ю. Надежность дублированных вычислительных комплексов // Научно технический вестник информационных технологии механики и оптики., № 6, 2011, С.74 - 78.

5. Богатырев В.А., Голубев И.Ю., Беззубов В.Ф. Организация межмашинного обмена в дублированных вычислительных комплексах // Известия ВУЗов Приборостроение № 3, 2012, С.8 -14.

Публикации в других изданиях.

6. Беззубов В.Ф., Кравцов JT Л., Корчагин В.Г. Кольцевая локальная сеть для построения распределённых АСУТП с организацией приоритетных очередей абонентов. // труды Международной конференции «Локальные вычислительные сети» ЛОКСЕТЬ 90, Pira, 9-11 октября 1990, С. 176- 180.

Публикации в других изданиях.

6. Беззубое В.Ф., Кравцов Л.Я., Корчагин В.Г. Кольцевая локальная сеть для построения распределённых АСУТП с организацией приоритетных очередей абонентов. // труды Международной конференции «Локальные вычислительные сети» ЛОКСЕТЬ 90, Рига, 9-11 октября 1990, С. 176- 180.

7. Беззубов В.Ф. Устройство ввода-вывода дискретной информации для ЛВС АСУ ТП. // Тезисы докладов отраслевой научно-практической конференции молодых учёных и специалистов "Пути совершенствования сетей и комплексов технических средств связи.", .Ленинград НПО " Красная Заря", 1989, С.244 - 247.

8. Беззубов В.Ф., Осипов Ю.И. Структура локальной управляющей вычислительной сети для АСУ ТП. // Тезисы докладов отраслевой научно-практической конференции молодых учёных и специалистов "Пути совершенствования сетей и комплексов технических средств связи.", .Ленинград НПО " Красная Заря", 1989, С.233 - 236.

9. Беззубов В.Ф. Резервированная вычислительная система // Материалы третьей международной научно-технической конференции «Автоматизация и энергоснабжение», г.Вологда, 10 -12 ноября 2007г., С.53 - 56.

10. Беззубов В.Ф. Способы обмена в многопроцессорных системах // Труды 3-го Международного форума (8-й Международной конференции), г. Самара, 20 -23 ноября 2007г.

11. Беззубов В.Ф. Устройство для реконфигурации резервированной системы // Материалы четвертой международной научно-технической конференции «Автоматизация и энергоснабжение», г.Вологда, 24 - 26 ноября 2008., С.67- 68.

12. Беззубов В.Ф. Возможность повышения скорости обмена в отказоустойчивых вычислительных системах // Сборник научных работ аспирантов и студентов СПбГУ ИТМО, 2009, С.2.

13. Беззубов В.Ф., Котельникова Е.Ю. Увеличение ресурса времени в отказоустойчивых вычислительных системах// материалы КМУ, СПбГУ ИТМО, Санкт-Петербург, 2010, С.88.

14. Богатырев В.А., Голубев И.Ю., Беззубов В.Ф. Организация межпроцессорного обмена отказоустойчивого вычислительного комплекса. // материалы международной научно-практической конференции «XXXIX Неделя науки СПбГПУ, 6-11 декабря 2010., С.17.

15. Богатырев В.Ф., Беззубов В.Ф., Котельникова Е.Ю., Землянухин A.A. и др. Выбор структуры отказоустойчивого двухмашинного вычислительного комплекса //, Информационные системы и технологии: - теория и практика, выпуск 3,2011. ЛТА, С.14-20.

16. Богатырев В.А., Голубев И.Ю., Беззубов В.Ф. Исследование вариантов построения двухмашинных вычислительных комплексов // Экономические проблемы лесного сектора, ЛТА, 2011, С.14-20.

17. Беззубов В.Ф., Кудрявцева В.Ю. Устройство переключения резерва И сборник тезисов и докладов, Всероссийская межвузовская научная конференция «Всероссийские научные Зворыкинские чтеппя», 22 апреля 2011., С.139 - 141.

18. Беззубов В.Ф., Котельникова Е.Ю. Устройство для реконфигурации резервированной системы // Всероссийская молодежная научно - практическая конференция., г. Сыктывкар, 20 -21 апреля 2011.

19. Беззубов В.Ф. Организация межмашинного обмена в защищенных вычислительных системах.// Труды 1 межвузовской научно - практической конференции - «Актуальные проблемы организации и технологии защиты информации». Санкт - Петербург., 30 ноября - 01 декабря 2011.,С.139-141.

20. Богатырев В.А., Голубев И.Ю., Беззубов В.Ф. Межмашинный обмен в двухмашинных вычислительных комплексах // Материалы VII Международной научно - практической конференции, 07-15 ноября 2011., С.22 - 24.

21. Богатырев В.А., Беззубов В.Ф., Голубев И.Ю. Эффективность двухмашинных вычислительных комплексов. // XL Неделя пауки СПб.ГПУ.: материалы международной научно -практической конференции, Ч VIII - СПб, 2011, С.28 - 30.

22. Беззубое В.Ф., Дзбоев Е.А. Управляющая вычислительная система высокой надежности с реконфигурацией // Научно - технический вестник информационных технологий механики и оптики, № 46,2008, С.228 - 231.

23. В.А. Богатырев, С.М. Алексанков, Д.В. Демидов, В.Ф. Беззубов, «Надежность резервированного вычислительного комплекса при ограниченном восстановление» // Компьютерные системы и информационные технологии, 2013., С. 67 - 72.

24. АС. №1543415, Устройство для сопряжения двух ЭВМ, Бюл.№6 1990 // В.Ф.Беззубов.

25. АС. №1837307, Многоканальное устройство для подключения абонентов к общему ресурсу, Бюл.№32. 1993.//В.Ф.Беззубов.

26. АС. № 1562914., Многоканальное устройство для подключения абонентов к общей магистрали, Бюл.№17. 1990. // В.Ф.Беззубов, Л.Я.Кравцов, В.А.Тазитдинов, В.В.Шмелев.

27. АС. № 1675883. Многоканальное устройство приоритета, Бюл.№33 1991. // В.Ф.Беззубов, В.А.Кошко, В.В.Шмелев

28. АС. №1820382. Устройство для подключения абонентов к общей магистрали, Бюл.№21 1993.//В.Ф.Беззубов.

29. АС. 1805476. Многоканальное устройство для сопряжения абонентов с общей магистралью, Бюл.№12. 1993.// В.Ф.Беззубов.

30. АС. № 1751759. Многоканальное устройство приоритета, Бюл.№28 1992. // В.Ф.Беззубов.

31. АС. №1598148. Транзисторный ключ с защитой от перегрузки, Бюл.№37 1990. // В.Ф.Беззубов, В.А.Тазитдинов, С.Е.Барклаевский.

32. АС. № 1462341. Устройство для сопряжения ЭВМ, Бюл.№8. 1989., // В.Ф.Беззубов.

33. ПАТЕНТ № 1525704. Устройство для обмена информацией в кольцевом канале связи, Бюл.№44 1989. // В.Ф.Беззубов, В.Г.Корчагин, ЛЯ.Кравцов.

34. ПАТЕНТ. № 1605242, Устройство для сопряжения ЭВМ с магистралью, Бюл.№41 1990., // В.Ф.Беззубов, В.Г.Корчагин, Л Л.Кравцов.

35. ПАТЕНТ. № 1628725. Устройство для реконфигурации резервированной системы, // В.Ф.Беззубов, Л.Я.Кравцов, В.А.Кошко.

36. АС. №1780172., Транзисторный ключ с защитой от перегрузки, Бюл.№45. 1992. // В.Ф.Беззубов, В.А.Тазитдинов, М.П.Бородин.

37. АС. №1675885. Многоканальное устройство для подключения абонентов к общей магистрали, Бюл.№33 1991. // В.Ф.Беззубов, Л.Я.Кравцов, В.В.Шмелев.

38. ПАТЕНТ_№ 1478222., Устройство для сопряжения ЭВМ с внешними устройствами, Бюл.№17 1989., //В.Ф.Беззубов.

39. ПАТЕНТ. № 1562916., Устройство для подключения абонентов к магистрали, Бюл.№17

1990. // В.Ф.Беззубов, Л Л.Кравцов, В.В.Шмелев, Г.С.Певзнер.

40. 40.АТЕНТ. № 1633440. Устройство передачи и приема информации с гальванической развязкой, Бюл.№9 1991.// В.Ф.Беззубов, Л.Я.Кравцов, А.А.Балсутьев.

41. ПАТЕНТ № 1679493., Устройство для сопряжения ведомой и ведущей ЭВМ, Бюл.№35

1991. // В.Ф.Беззубов, А.И.Гуляев, В.В.Шмелев.

42. ПАТЕНТ. № 1699027.Многоканальное резервированное устройство передачи информации, Бюл.№46 1991.// В.Ф.Беззубов, Л.Я.Кравцов, С.Е.Барклаевский, В.А.Тазитдинов.

43. ПАТЕНТ. № 1787285. Многоканальное устройство для подключения абонентов к общей магистрали, Бюл.№1. 1993.// В.Ф.Беззубов.

44. ПАТЕНТ. № 1737447. Устройство для подключения абонентов к общей магистрали, Бюл.№20 1992. // В.Ф.Беззубов.

45. ПАТЕНТ. № 1836682. Устройство для подключения абонентов к общему ресурсу, Бюл.№31 1993. // В.Ф.Беззубов.

46. АС. № 1798946. Резервированная вычислительная система, Бюл.№8 1993// В.Ф.Беззубов, Л.Я.Кравцов, А.И.Гуляев, Ю.И.Осипов, Г.З.Эйдельсон.

47. ПАТЕНТ. № 2017205., Устройство для подключения абонентов к общему ресурсу, Бюл.№14. 1994.//В.Ф.Беззубов.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101, Санкт-Петербург, Саблинская ул., 14 Тел. (812) 233 46 69. Объем 1,0 у.п.л. Тираж 100 экз.

Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕЗЕРВИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ НА ОСНОВЕ МЕЖМАШИННОГО

ПРЯМОГО ДОСТУПА

Специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность»

Диссертация на соискание ученой степени кандидата технических наук

П4201 3 5^88 і

На эукописи

Беззубое Владимир Федорович

Научный руководитель

доктор технических наук, профессор

Богатырев Владимир Анатольевич

Санкт-Петербург 2013 г.

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.................................................................................5

Глава 1. Защищенные вычислительные системы, принципы построения, безопасность функционирования и средства

обеспечения функционально - информационной безопасности.............11

1.1. Защищенные многопроцессорные вычислительных систем............17

1.2.3ащищенные Многомашинные вычислительные комплексы............19

2. Анализ способов организации обмена..........................................23

2.1. Многомашинные вычислительные комплексы с общей магистралью межмашинного обмена..............................................23

2.2. Двухмашинные вычислительные комплексы (ДВК).......................29

2.2.1. Временные характеристики ДВК............................................30

2.2.2. Remote Direct Memory Access (дистанционный ПДП)..................39

Выводы...................................................................................43

Глава 2. Организация средств обмена и обеспечения функционально - информационной безопасности

на основе межмашинного прямого доступа.......................................44

2.1. Использование прямого доступа к памяти для организации

обмена данными..............................................................................................45

2.2. Двойной (межмашинный) прямой доступ к памяти.......................51

2.2.1. Алгоритм межмашинного (двойного) ПДП для организации обмена в ДВК............................................................................51

2.2.2. Временные характеристики межмашинного (двойного) ПДП........55

2.3. Варианты организации вычислительных комплексов....................57

2.3.1.Алгоритм работы ДВК с организацией обмена между вычислительными модулями посредством межмашинного ПДП..............61

2.4. Исследование вариантов организации взаимосвязи

ВМ в отказоустойчивых вычислительных комплексах.........................66

2.5. Эффективность межмашинного обмена в дублированных вычислительных комплексах при различных способах

организации обмена.....................................................................76

Выводы....................................................................................82

Глава 3. Модель надежности и функционально - информационной безопасности резервированных вычислительных комплексов с реализацией межмашинного прямого доступа.......................................83

3.1. Марковская модель надежности резервированных вычислительных комплексов с межмашинным (двойным)

прямым доступом к памяти...........................................................83

3.2. Надежность и безопасность резервированного

вычислительного комплекса при ограниченном восстановлении............92

3.3. Модели определения вероятностей опасных и безопасных состояний надежности с учетом ограничений восстановления

с учетом требований функционально-информационной безопасности......95

Выводы..................................................................................102

Глава 4. Организация средств обмена и защиты на основе межмашинного прямого доступа через общую магистраль...................104

4.1. Алгоритм межмашинного (двойного) ПДП для организации

обмена ММВК с шинной структурой..............................................104

4.2. Архитектура резервированных вычислительных систем

с обеспечением устойчивого функционирования и сохранности

данных на основе программных методов межканального контроля.......109

Выводы..................................................................................115

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОЙ РАБОТЫ 116

ПРИЛОЖЕНИЕ А. Варианты реализации средств поддержки

функционально - информационной безопасности на основе межмашинного прямого доступа..........................................................118

А. 1. Средства реконфигурации структуры.......................................119

А. 1.1. Многоканальное устройство для реконфигурации системы..........125

А. 1.2. Устройство переключения и управления реконфигурацией.........127

А.2. Устройства сопряжения (УС).................................................131

А.З. Устройства (модули) сопряжения с внешними объектами (УСО)....139

А.4. Устройства (модули) сопряжения с магистралью (УСМ)................141

А.5. Аппаратные технические решения обеспечения

отказоустойчивости резервированных вычислительны комплекс..........141

А.5.1. Устройство переключения резерва........................................141

А.5.2. Устройства (модули) реконфигурации (УР).............................143

А.5.3. Резервированная вычислительная система

с реконфигурацией структуры.......................................................146

СПИСОК ЛИТЕРАТУРЫ.............................................................152

ВВЕДЕНИЕ

АКТУАЛЬНОСТЬ РАБОТЫ

Высокая надежность, устойчивость, функциональная и информационная безопасность систем критического применения, достигается при резервировании основных подсистем и комплектации системы средствами защиты от злонамеренных и случайных внешних и внутренних воздействий, потенциально вызывающих отказы, снижение устойчивости функционирования, нарушения целостности и доступности данных.

Повышение функциональной и информационной безопасности систем достигается при минимизации вероятности и последствий возникновения опасных состояний, возникающих в результате отказов, сбоев или внешних злонамеренных или случайных (непредумышленные) дестабилизирующих воздействий.

Обеспечение функциональной безопасности в значительной мере определяется информационной безопасностью, и прежде всего, связано с минимизацией риска потери данных при отказах системы, вызванных внешними или внутренними причинами, в том числе в результате злонамеренных воздействий.

Эффективность средств защиты от внешних и внутренних воздействий, вызывающих нарушение целостности информации и отказы резервированных вычислительных комплексов, во многом определяется организацией средств комплексирования, которые должны обеспечить высокоскоростной доступ к памяти, хранящей важные для вычислительного процесса данные и результаты вычислений. Высокоскоростной доступ к ресурсам вычислительных комплексов, позволяет ускорить контроль и обнаружение опасных состояний, минимизировать их вероятности и увеличить эффективность процесса снижения риска при компенсации ошибочного функционирования вычислительного процесса, потери доступности и целостности данных.

Взаимозависимость и взаимосвязь задач противодействия угрозам нарушения информационной и функциональной безопасности, обеспечения устойчивости

информационных систем требует интеграции всей совокупности средств защиты системы от внешних и внутренних угроз функционированию системы.

Таким образом, на современном этапе развития информационных технологий создание средств обеспечивающих устойчивое функционирование вычислительных систем, сокращение риска и последствий потери информации, после случайных или злонамеренных дестабилизирующих воздействий, является актуальной задачей.

ОБЪЕКТ ИССЛЕДОВАНИЯ — защищенные вычислительные информационно управляющие резервированные системы критического (ответственного) назначения.

ПРЕДМЕТОМ ИССЛЕДОВАНИЯ являются модели, методы и средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа.

- защищенные отказоустойчивые вычислительные системы и узлы (модули) для их построения;

- организация защищенного устойчивого вычислительного процесса в резервированных вычислительных системах, включая межмашинный обмен для поддержки их безопасности.

ЦЕЛЬЮ РАБОТЫ является разработка и исследование методов и средств обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа.

ЗАДАЧИ ИССЛЕДОВАНИЯ

• разработка структур, протоколов и алгоритмов функционирования средств защиты, обеспечивающих высокоскоростной доступ к ресурсам вычислительных устройств, в том числе и с отказавшим процессором с целью минимизации нахождения системы в опасных состояниях;

• разработка алгоритмов и средств взаимосвязи узлов защищенных вычислительных систем на основе межмашинного прямого доступа к памяти (межмашинного ПДП);

• разработка набора модулей (узлов) для построения средств защиты отказоустойчивых резервированных вычислительных систем, с обеспечением высокоскоростного доступа к ресурсам вычислительных устройств, в том числе после отказа их процессора;

• построение моделей оценки информационно - функциональной безопасности, надежности и производительности защищенных устойчивых резервированных систем, с обеспечением высокоскоростного доступа к внутренним ресурсам, вычислительных систем;

• исследование эффективности защищенных систем, с реализацией взаимосвязи между резервированными узлами на основе межмашинного (двойного) ПДП.

МЕТОДЫ ИССЛЕДОВАНИЯ. Используются методы теории массового обслуживания, надежности, оптимизации, Марковских процессов и рисков. НАУЧНАЯ НОВИЗНА

В диссертационной работе предложены модели, методы и средства обеспечения функционально-информационной безопасности резервированных вычислительных систем на основе межмашинного прямого доступа к внутренним ресурсам резервированных устройств, при этом:

1. Предложен метод и организация межмашинного прямого доступа к памяти, позволяющего сократить время межмашинного обмена информацией и обеспечить высокоскоростной доступ к памяти и другим ресурсам резервированных вычислительных устройств, в том числе, в случае отказов процессоров резервированных устройств, что потенциально позволяет повысить устойчивость системы (доступность и возможность восстановления данных ) к воздействию деструктивных факторов.

2. Предложена организация средств обеспечения информационно-функциональной безопасности, надежности, целостности и доступности данных в резервированных вычислительных комплексах на основе межмашинного ПДП, позволяющего повысить устойчивость функционирования резервированных комплексов путем создания работоспособных конфигураций с использованием

сохраненных после деструктивных воздействий (отказов) ресурсов и результатов вычислений.

3. Предложена организация защищенных резервированных (в том числе дублированных) вычислительных комплексов с реализацией отказоустойчивого высокоскоростного доступа на основе межмашинного (двойного) ПДП;

4. Предложены аналитические модели безопасности и надежности отказоустойчивых вычислительных комплексов на основе межмашинного ПДП, -определена область эффективного использования предлагаемых решений по обеспечению отказоустойчивого безопасного функционирования резервированных вычислительных комплексов.

5. Проанализированы варианты организации отказоустойчивых резервированных вычислительных комплексов и показана эффективность реализации доступа, к ресурсам резервированных вычислительных устройств на основе межмашинного ПДП.

ПОЛОЖЕНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

Методы и средства обеспечения информационно-функциональной безопасности и надежности резервированных вычислительных систем.

Метод и организация межмашинного обмена для защищенных отказоустойчивых резервированных вычислительных комплексов с двойным прямым доступом к памяти.

Модели безопасности и надежности отказоустойчивых вычислительных комплексов на основе межмашинного ПДП.

Организация защищенных отказоустойчивых резервированных вычислительных комплексов с реализацией межмашинного ПДП.

ПРАКТИЧЕСКАЯ ЦЕННОСТЬ РАБОТЫ

1. Предложены средства поддержки информационно-функциональной безопасности и надежности вычислительных систем критического применения на основе организации высокоскоростного обмена и обеспечения доступа к внутренним ресурсам ВМ на основе межмашинного ПДП.

2. Предложен протокол и организация межмашинного обмена на основе двойного ПДП, обеспечивающие высокоскоростной доступ к внутренним ресурсам вычислительного устройства, в том числе при состояниях с отказавшим процессором резервированного устройства.

3. Рассмотрены типовые структуры отказоустойчивых вычислительных комплексов на основе предложенных средств защиты.

4. Проанализирована эффективность предлагаемых структур защищенных отказоустойчивых вычислительных комплексов и определена область эффективности предложенных решений.

5. Патентная чистота предлагаемых технических решений по построению защищенных отказоустойчивых вычислительных комплексов и их узлов, подтверждается одиннадцатью авторскими свидетельствами и тринадцатью патентами на изобретения.

АПРОБАЦИЯ РАБОТЫ. Основные результаты работы докладывались и обсуждались на научно - технических конференциях: - Международная конференция «Локальные вычислительные сети» ЛОКСЕТЬ 90, Рига, 9-11 октября 1990г.; - Третья и Четвертая международная научно-техническая конференция «Автоматизация и энергосбережение машиностроительного производства, технология и надежность машин, приборов и оборудования», г. Вологда, 10 -12 ноября 2007г., 24 - 26 ноября 2008г.; - 3-ий Международный форум «Актуальные проблемы современной науки», г. Самара, 20 -23 ноября 2007г.; - XXXIX и ХЬ Международная научно-практическая конференция, «Неделя науки СПбГПУ», 6 -11 декабря 2010, 2011 г., Санкт-Петербургский Государственный Политехнический Университет; - Ма1епа1у VII гшеёгпагоёолуе] паико^ш -ргак^усгпе] ког^егепср «рег8рек1ушсгпе оргасо\уаша Ба паика1 1есЬшкагш - 2011», Рггету^, Каика [ БШсПа 2011, 07 - 15 ноября 2011г.; - Пятая всероссийская межвузовская конференция молодых ученых, СПбГУ ИТМО, 15 - 18 апреля 2008г.; - Всероссийская межвузовская научная конференция «Всероссийские научные Зворыкинские чтения», Муромский институт Владимирского Государственного университета, 22 апреля 2011г.; - Всероссийская молодежная научно - практическая конференция: -

«Исследования молодежи, - экономике, производству, образованию.», г.Сыктывкар, 20 - 21 апреля 2011г.; - Отраслевая научно-практическая конференция: - "Пути совершенствования сетей и комплексов технических средств связи.", .Ленинград, НПО «Красная Заря», 1989г.; - Первая межвузовская научно -практическая конференция - «Актуальные проблемы организации и технологии защиты информации»., СПбГУ ИТМО, 30 ноября - 01 декабря 2011г.; - VII Всероссийская межвузовская конференция молодых ученых (КМУ), СПбГУ ИТМО, 16 - 18 марта 2010г.; - XXXIX научная и учебно-методическая конференция СПбГУ ИТМО, 02 - 05 февраля 2010.

Результаты работы использовались в ряде разработок, в том числе в НИР № 610481 на кафедре вычислительной техники НИУ ИТМО.

ДОСТОВЕРНОСТЬ ПОЛУЧЕННЫХ РЕЗУЛЬТАТОВ подтверждается корректностью используемого математического аппарата; - реализацией и внедрением, предложенных технических решений; результатами Государственной патентной экспертизы предлагаемых технических решений; обсуждением материалов на четырнадцати конференциях.

ПУБЛИКАЦИИ. По результатам проведенных исследований опубликовано 46 печатных работ, в том числе авторских свидетельств на изобретение - 11, патентов на изобретение - 13. Число публикаций в изданиях из списка ВАК - 5.

ОБЪЕМ И СТРУКТУРА РАБОТЫ Диссертация состоит из введения, четырех глав и заключения. Материалы изложены на 161 странице, 85-ти рисунках, 2-х таблицах. Библиографический список включает 98 наименований.

11

Глава 1

ЗАЩИЩЕННЫЕ ВЫЧИСЛИТЕЛЬНЫЕ СИСТЕМЫ, ПРИНЦИПЫ ПОСТРОЕНИЯ, БЕЗОПАСНОСТЬ ФУНКЦИОНИРОВАНИЯ И

СРЕДСТВА ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНО - ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Под информационной безопасностью информационно вычислительных систем подразумевается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.

Информационная безопасность включает:

• доступность - возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью;

• целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;

• конфиденциальность - защита от несанкционированного доступа.

Для систем предоставления информационного сервиса важнейшей составляющей информационной безопасности является доступность предоставляемых услуг.

Для управляющих систем реального времени наиболее важна доступность данных при защите от атак, вызывающих отказы в обслуживании.

Для нормативно-справочных систем важно обеспечение целостности, включая актуальность и непротиворечивость представ�