ИНСТИТУТ ПРОБЛЕМ ИНФОРМАТИКИ РОССИЙСКОЙ АКАДЕМИИ НАУК

На правах рукописи

НИСТРАТОВ ГЕОРГИЙ АНДРЕЕВИЧ

МОДЕЛИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ КОНТРОЛЯ,

МОНИТОРИНГА И ПОДДЕРЖАНИЯ ЦЕЛОСТНОСТИ В

ЖИЗНЕННОМ ЦИКЛЕ СИСТЕМ

Автореферат диссертации на соискание ученой степени кандидата технических наук

по специальности 05.13.17 «Теоретические основы информатики»

Научный руководитель:

член-корреспондент РАН доктор технических наук Соколов И.А.

Москва -

Работа выполнена в Институте проблем информатики Российской Академии наук Научный руководитель: член-корреспондент РАН, доктор технических наук Соколов Игорь Анатольевич

Официальные оппоненты: доктор технических наук, профессор, заслуженный деятель науки РФ Синицын Игорь Николаевич кандидат физико-математических наук, доцент Ищук Владимир Андреевич

Ведущая организация: Федеральное государственное унитарное предприятие «Центр информационных технологий и систем органов исполнительной власти» (ФГУП «ЦИТиС»)

Защита состоится « 22 » февраля 2007 г. в 16 часов 00 минут на заседании диссертационного совета Д002.073.01 в Институте проблем информатики РАН по адресу: 119333, г. Москва, ул. Вавилова, д.44, корп. Отзыв на автореферат, заверенный печатью организации, просим направлять по вышеуказанному адресу.

С диссертацией можно ознакомиться в библиотеке Института проблем информатики РАН.

Автореферат разослан « 20 » января 2007 г.

Ученый секретарь диссертационного совета доктор технических наук, профессор С.Н. Гринченко Практика показывает, что из-за наличия различного рода угроз, сложности логической архитектуры и невозможности полной проверки программного обеспечения в компьютерных системах всегда присутствуют остаточные риски негативного развития событий. Под системой согласно ГОСТ Р ИСО/МЭК 15288 «Информационная технология (ИТ). Системная инженерия. Процессы жизненного цикла систем» понимается комбинация взаимодействующих элементов, упорядоченная для достижения одной или нескольких поставленных целей. Как следствие различного рода угроз и повышения технической сложности снижается качество функционирования систем, например, из-за ненадежности программно-технических средств, ненадлежащего выполнения функций человеком, несанкционированного изменения, копирования программ и данных, нарушения своевременности доступа к ним легальных пользователей и др. Под качеством функционирования системы согласно ГОСТ 15457 понимается совокупность ее потребительских свойств. Одним из необходимых условий управления качеством являются контроль и мониторинг состояний и принятие мер по поддержанию целостности системы, т.е. такого ее состояния, при котором обеспечивается достижение целей функционирования. Сегодня эффективность мер по управлению качеством функционирования систем от циркулирующей информации, принимаемых системных решений и их реализаций. Центральное место в системах занимают информационные процессы (ИП) контроля, мониторинга и поддержания целостности.

Обоснование рациональных значений параметров ИП базируется на использовании теоретических основ информатики. Однако, степень теоретической проработки вопросов оценки и обеспечения эффективности ИП оказывается недостаточной для разрешения возникающих практических проблем. Так, в настоящее время Главные конструктора руководствуются в работе положениями стандартов ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», ГОСТ 34.602 «ИТ. КСАС. Техническое задание на создание автоматизированной системы», ГОСТ РВ 51987 «ИТ. КСАС.

информационных систем. Общие положения» и др., согласно которым заказчики и разработчики систем должны использовать данные реализуемых ИП, определять критерии и методы, необходимые для обеспечения результативности и качества, осуществлять мониторинг, измерение, анализ и совершенствование протекающих процессов. Однако, в отличие от моделей надежности технических средств (рекомендуемых в стандартах), несмотря на логическую идентичность выполняемых функций ИП контроля, мониторинга и поддержания целостности, унифицированного методического аппарата их анализа, применимого к системам различного функционального назначения, не существует.

К концу 80-х годов прошлого века основные научные исследования в области качества были направлены на улучшение надежностных и вероятностно-временных показателей функционирования систем, снижение вероятности ошибки на один знак, развитие концептуальных основ обеспечения защищенности электронно-вычислительной техники от несанкционированного доступа (НСД) и характеризовали лишь отдельные важные аспекты, определяющие эффективность реализуемых ИП.

Углубление научных основ обеспечения качества стало осуществляться с жестким учетом области функционального приложения систем (в частности, отдельно для АСУ технологическими процессами, АСУ предприятием с конкретной специализацией и др.). К началу 90-х годов стало очевидным, что всестороннем обеспечении качества информации, циркулирующей в системе. Созданию и практической реализации такой концепции предшествовали глубокие теоретические исследования в информатике, относящиеся к области качества информации. С появлением современных ИТ семантическое содержание систем стали определять информационные системы (ИС). В отличие от технологических систем, результатом функционирования которой могут быть конкретные действия (например, космического корабля) либо какая-либо материальная продукция (например, тепло, поставляемое в дома в системе жилищно-коммунального хозяйства), входными данными и выходным результатом функционирования ИС является нематериальная информация, от качества которой зависит последующая эффективность системы в целом. Вопросы многосторонней оценки качества функционирования информационных систем, в т.ч.

реализуемых в них ИП, рассматривались в работах В.А.Балыбердина, Г.В.Дружинина, В.А.Ищука, В.Ю.Королева, К.К.Колина, А.И.Костогрызова, В.В.Кульбы, В.В.Липаева, И.А.Мизина, А.П.Печинкина, И.Н.Синицына, И.А.Соколова, В.Г.Ушакова и др. В данных работах предложены теоретические подходы к методам анализа функционирования сложных систем и безопасности информации, обрабатываемой в них. Созданные модели доведены до уровня требований стандартов ГОСТ 34.602 и ГОСТ РВ 51987, однако, не в полной мере охватывают современные процессы жизненного цикла в системной инженерии (например, по ГОСТ Р ИСО/МЭК 15288). Сегодня налицо противоречие между возросшими практическими потребностями в необходимости всемерного повышения качества (в т.ч.

безопасности) функционирования систем и сложившимися теоретическими возможностями информатики в удовлетворении этих потребностей за счет оптимизации реализуемых ИП. Именно необходимость разрешения этого противоречия путем обнаружения и прагматического использования новых знаний о возможностях системы по итогам моделирования ИП в жизненном цикле обусловливает актуальность работы.

Настоящая диссертационная работа посвящена решению научной задачи обоснования рациональных значений параметров ИП контроля, мониторинга и поддержания целостности в жизненном цикле систем. Целью исследований является повышение степени научно-методической обоснованности значений параметров ИП контроля, мониторинга и поддержания целостности в жизненном цикле систем.

модели ИП контроля, мониторинга и поддержания целостности систем и их программная реализация в комплексах «Проектирование архитектуры» и «Анализ безопасности» (свидетельство Роспатента № 2004610858);

методика оценки эффективности ИП контроля, мониторинга и поддержания целостности систем;

методика обоснования рациональных значений параметров ИП контроля, мониторинга и поддержания целостности, организационнотехнических мер и управляющих воздействий в жизненном цикле систем.

Научная новизна работы состоит:

в предложении оригинальных математических и программных моделей для оценки эффективности ИП контроля, мониторинга и поддержания целостности систем по интегральным показателям качества и безопасности их функционирования (без программной реализации применение предложенных математических моделей оказывается практически невозможным ввиду их высокой алгоритмической сложности);

в выработке методического подхода к обоснованию рациональных значений параметров ИП контроля, мониторинга и поддержания целостности в жизненном цикле систем.

Практическая значимость работы состоит:

в возможности практического использования предложенных моделей и методик для систем различных областей приложения (проиллюстрировано на примерах для корпоративной информационной системы, робототехнических систем и автоматизированной системы обеспечения жизнедеятельности космонавта, системы теплоснабжения г.Жуковский Московской области, подтверждено актами реализации);

в использовании комплексов для научно-исследовательских и опытноконструкторских работ (акты 3 ЦНИИ Минобороны РФ и ЦНИИ машиностроения), в учебном процессе для проведения лабораторных работ, подготовки курсовых, дипломных работ студентами старших курсов по нефти и газа им. И.М.Губкина и «Безопасность информации» в МИЭМ (подтверждено актами реализации).

Достоверность и обоснованность полученных результатов, выводов и рекомендаций обусловлена корректностью применения теоретических основ информатики, теории вероятностей, теории регенерирующих процессов, математической статистики и методов системного анализа для построения моделей и методик, а также совпадением в частных случаях полученных формул с существующими (в частности, вероятности безотказного функционирования по ГОСТ 27.301-96 и вероятности отсутствия опасного воздействия на систему по ГОСТ РВ 51987) и совпадением полученных результатов моделирования с результатами статистических экспериментов и применения других вспомогательных моделей в ходе испытаний систем.

Результаты работы реализованы:

в эскизном и техническом проектах по созданию корпоративной информационной системы;

в отчетах о НИР, связанных с анализом ИП и систем по требованиям качества и безопасности функционирования, анализом робототехнических систем и автоматизированной системы обеспечения жизнедеятельности космонавта, оптимизацией системы теплоснабжения г.Жуковский Московской области;

в учебных курсах «Стандартизация, моделирование и сертификация» в РГУ нефти и газа им. И.М.Губкина и «Безопасность информации» в МИЭМ.

Апробация работы осуществлялась на образцах сложных систем различного назначения и подтверждена актами реализации 3 ЦНИИ теплоэнергетической компании ЗАО "ИНГРАС-М", РГУ нефти и газа им.

Губкина, МИЭМ. Программные комплексы представлялись на отечественных и международных научно-технических форумах в России, Германии, Италии, Люксембурге, Украине. Комплекс «Проектирование и Федерального агенства по информационным технологиям по результатам выставки «Softool-2005». Математические и программные модели используются для лабораторных работ и расчетов курсовых, дипломных работ и диссертаций в РГУ нефти и газа им. И.М.Губкина, МИЭМ и ряде других учебных заведений.

Работа состоит из введения, 3-х разделов и заключения.

В первом разделе проведен анализ требований системообразующих международных и отечественных стандартов, проанализировано влияния ИП на качество и безопасность функционирования систем. Выявлено, что ИП контроля и мониторинга занимают центральное место и играют ключевую роль в оперативном определении готовности компонентов систем к выполнению своих функций. В совокупности с мерами анализа, принятия решений и своевременными организационно-техническими мерами и управляющими воздействиями по поддержанию целостности они являются главными компонентами управления функционированием системы, определяющими ее качество (или безопасность, как одно из важных составных свойств качества, имеющих самостоятельное значение).

Предложены следующие интегральные вероятностно-временные показатели для оценки эффективности ИП:

нарушение приемлемого качества и вероятность обеспечения приемлемого качества системы в течение заданного периода времени;

на уровне безопасности: среднее время безопасного функционирования как показатель стойкости системы к реализации угроз и вероятность обеспечения ее безопасного функционирования в течение заданного периода времени.

В завершение раздела на основе анализа существующих методов оценки эффективности систем сформулирована научная задача обоснования рациональных значений параметров ИП контроля, мониторинга и формализована (см. рис.1) как задача определения таких значений воздействий, на которых достигается минимум затрат при ограничениях на минимально допустимый уровень эффективности ИП (на этапах концепции и ТЗ, проектирования и разработки, производства и сопровождения) или максимум эффективности ИП при ограничениях на затраты (в процессе эксплуатации).

На этапах концепции и ТЗ, производства и сопровождения системы 1.1) в приложении к качеству 2.1) в приложении к качеству Zсозд. (Q рац.) = min Zсозд. (Q) Т(с обсл.) (Q рац.) = max Т(с обсл.) (Q) Pкач. Pдоп. и Сэкспл. Сдоп. Pкач. (Q рац.) = max Pкач. (Q) при ограничениях Сэкспл. Сдоп.

1.2) в приложении к безопасности Pбезоп. Pдоп. и Сэкспл. Сдоп.

Обозначения: в приложении к качеству Q(S,Твосст.,Tзад.,Тк ухудш.,Тк наруш.,Тк между,Ск экспл.) и безопасности Q(S,Твосст.,Tзад.,Чугроз,Тк стойкость,Тк монитор,Тк между,Ск экспл.) – характеристики ИП, орг.-технические меры и управляющие воздействия по результатам реализации ИП; Tзад - заданный период для оценки; Zсозд. затраты на создание системы; Pкач. (Pбезоп.) - достигаемый уровень качества (безопасности); Сэкспл - затраты на эксплуатацию; Т(с обсл.) - наработка на нарушение приемлемого качества; Чугроз – частота возникновения угроз системе; Тстойкость – стойкость системы к реализации угроз При этом окончательный выбор интегрального показателя должен быть сделан заказчиком с учетом специфики создаваемой или эксплуатируемой системы. Варьируемыми параметрами ИП, организационно-технических мер и управляющих воздействий предложены:

системные характеристики: S – логическая структура архитектурного построения системы; Твосст. – время восстановления системы; Tзад. – задаваемый период для оценки; Pдоп. - задаваемый допустимый уровень вероятности обеспечения приемлемого уровня качества (безопасности);

реализации угроз (среднее время); Тк монитор. – наработка на ошибку средств мониторинга; Тк – период между моментами контроля приемлемого функционирования.

Существо нынешнего и предлагаемого подходов к использованию ИП контроля, мониторинга и поддержания целостности систем отражен в таблице 1.

1. Не ставится цели использования ИП для 1. Осуществлять сбор тех данных, которые управления качеством (в т.ч. безопасностью) на позволят оценивать эффективность ИП по всех этапах жизненного цикла (ЖЦ) систем единым системным показателям с учетом области 2. Как следствие – ИП реализуются на стадии эксплуатации системы для сбора данных о ее 2. На всех этапах жизненного цикла систем текущем состоянии и экстраполяции различного назначения решать оптимизационные отслеживаемых характеристик системы в целях задачи для обеспечения эффективности динамического управления планируемых и реализуемых ИП. Получаемые Вывод: несмотря на логическую идентичность и приемлемых рисков по «прецедентному ключевую роль в обеспечении качества и принципу»

безопасности, отсутствуют модели, позволяющие количественно оценивать в жизненном цикле Предлагается: использовать скрытый потенциал эффективность ИП по системным показателям, реализуемых ИП для целенаправленного обосновывать рациональные значения параметров обнаружения новых знаний о возможностях Во втором разделе предложено развитие существующих моделей для анализа интегральных показателей. Разработаны математические модели ИП контроля, мониторинга и поддержания целостности систем и составных компонентов. Основная идея в построении моделей ИП состоит в следующем. Путем комбинации существующих моделей надежности (не учитывающих возможностей управления процессами контроля, мониторинга и поддержания целостности, но позволяющих проведение комплексных оценок для сложных структур), защищенности от опасных программнотехнических воздействий и мониторинга безопасности систем (учитывающих влияние контроля, мониторинга и поддержания целостности, но не нового комплекса математических моделей для ИП, позволяющего выявлять новые знания на уровне предложенных интегральных показателей. В качестве комбинируемых выбраны следующие модели.

1. Модель для оценки надежности из ГОСТ 27.301 и ГОСТ РВ (Модель…1). Для системы из одного элемента при экспоненциальной аппроксимации распределений исходных характеристик и их независимости вероятность надежного представления информации Рнад в течение Тзад :

( T вос +T нар )( T зад+T нар ) Твос – среднее время восстановления системы после отказа функции распределения независимых случайных величин:

аналогично предположению о пуассоновости общего потока событий (от различных компонентов), приводящих к нарушению приемлемого качества.

Для сложной структуры системы этот общий поток нарушений представляет Интенсивность каждого из слагаемых потоков мала по сравнению с предельная теорема В. Григолиониса, согласно которой суммарный поток будет пуассоновским.

программно-технических воздействий из ГОСТ РВ 51987 (Модель …2).

Для варианта Тзад< Тмеж+ Тдиаг вероятность отсутствия опасного воздействия в течение времени Тзад.:

Для варианта Тзад Тмеж+ Тдиаг: Рвозд(2) = Рсеред+ Ркон, где Рсеред – вероятность отсутствия опасного воздействия в течение всех серединных периодов между диагностиками, целиком вошедшими в Тзад,, Ркон – вероятность отсутствия опасного воздействия в течение последней диагностики (в конце Тзад) где s-1 –наработка на ухудшение функционирования (в модели обозначается как 1/Тк ухудш. для оценки качества) или частота возникновения угроз системе (Чугроз для оценки безопасности); b –наработка на нарушение приемлемого качества с начала ухудшения функционирования (Тк наруш. для оценки качества) или стойкость меры к реализации угроз (Тк стойкость – для оценки безопасности); Тмеж –период между моментами восстановления; Тдиаг – длительность диагностики, включая восстановление целостности, в модифицированной «Модели…2» учтено в Тмеж; Тзад –задаваемый период для оценки, N – число периодов между диагностиками, которые целиком вошли в пределы времени Тзад, с округлением до целого.

3. Модель мониторинга безопасности системы (Модель…3, [1]).