Постановка задачи

Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:

• Эффективность услуг. Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.
• Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, она (услига) считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторой период (месяц, год) не превышали заранее заданных пределов.

Коротко говоря, требуется, чтобы информационная система почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". В таком случае говорят о вероятности возникновения ситуации недоступности и требуют, чтобы эта вероятность не превышала заданной величины. Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.

К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, и именно этот класс систем — системы высокой доступности — мы будатривать в настоящей работе. Впрочем, современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности — нескольких часов в год.

Некомпьютерные информационные сервисы за время своего развития достигли чрезвычайно высокого уровня доступности. В таком городе, как Москва, телефонная связь работает без сбоев, так что даже с учетом диверсий среднее время неработоспособности среднестатистического телефонного аппарата не превышает нескольких минут в год. Доступность компьютерных систем и глобальных сетей на 2-3 порядка ниже. Если учесть, что сейчас коммерческие компьютерные решения проникают буквально во все области деятельности, целесообразно поставить задачу "дотягивания" доступности компьютерных сервисов до "телефонного" уровня, привычного для большинства людей.

Как всегда, когда речь идет об информационной безопасности, необходимо уточнить спектр рассматриваемых рисков. Мы будем придерживаться наиболее общей точки зрения, имея в виду следующие классы угроз:

• отказ пользователей — невозможность или нежелание пользователей взаимодействовать с информационной системой в силу неудобства последней, недостаточной квалификации пользователей, невозможности получения ими технической помощи и т.п.;
• внутренний отказ информационной системы - выход из строя аппаратного или программного компонента (компонентов) информационной системы в силу сбоя, технической неисправности или ошибки обслуживающего персонала; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
• отказ поддерживающей инфраструктуры — выход из строя энергоснабжения, связи, кондиционирования и т.п., повреждение или разрушение помещений (зданий), невозможность или нежелание обслуживающего персонала выполнять свои функции.

Подчеркнем, что обслуживающий персонал и пользователей следует считать частью информационной системы, так как их действия впрямую влияют на доступность. Отметим также, что спектр рассматриваемых рисков предельно широк — от появления одного лишнего пользователя до разрушения здания или группы зданий, в которых установлена информационная система.

Задачу обеспечения доступности необходима решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка от пользователей (возможно, удаленных) до критически важных серверов.

В заключение раздела — несколько слов о терминологии. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример — отсутствие консультационного обслуживания).

Далее, вместо времени недоступности обычно говорят о коэффициенте готовности. Нам хотелось обратить внимание читателей на два показателя — длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин "время недоступности" как более емкий.

Наконец, вместо живучести употребляют термин "восстанавливаемость". На наш взгляд, при этом затушевываются различия между способностью сервиса продолжать работу, несмотря на отказ, и средствами восстановления функциональности отказавших компонентов. Нам это различие представляется важным, поэтому мы решились на использование "ненаучного", но точно отражающего суть дела слова "живучесть".

Мы надеемся, что отмеченные терминологические особенности не помешают восприятию данной работы.

Доступность как элемент информационной безопасности	Содержание	Основные понятия