Обеспечение отказоустойчивости по АС

Невозможность обеспечить в процессе создания АС ее абсолютную защищенность от угрозы отказа функционирования даже при отсутствии злоумышленных воздействий заставляет искать дополнительные методы и средства повышения безопасности функционирования ПО на этапе экс­плуатации [10]. Для этого разрабатываются и применяются методы опе­ративного обнаружения дефектов при исполнении программ и искажений данных введением в них временной, информационной и программной избыточности. Эти же виды избыточности используются для оперативного восстановления искаженных программ и предотвращения возможности развития угроз до уровня, нарушающего безопасность АС.

Для обеспечения высокой надежности и безопасности функциониро­вания АС необходимы вычислительные ресурсы для максимально быст­рого обнаружения проявления дефектов, возможно точной классификации типа уже имеющихся и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое восстанов­ление нормального функционирования АС. Неизбежность ошибок в слож­ных АС, искажений исходных данных и других аномалий приводит к необ­ходимости регулярной проверки состояния и процесса исполнения про­грамм, а также сохранности данных. В процессе проектирования тре­буется разрабатывать надежные и безопасные программы и базы данных, устойчивые к различным возмущениям и способные сохранять достаточное качество результатов во всех реальных условиях функционирования. В любых ситуациях прежде всего должны исключаться катастрофические последствия дефектов и длительные отказы или в максимальной степени смягчаться их влияние на результаты, выдаваемые пользователю.

Временная избыточность состоит в использовании некоторой части производительности компьютера для контроля исполнения программ и восстановления (рестарта) вычислительного процесса. Для этого при проектировании АС должен предусматриваться запас производительно­сти, который затем будет использоваться системами контроля и для по­вышения надежности и безопасности функционирования. Значение вре­менной избыточности зависит от требований к безопасности функциони­рования или обработки информации и находится в пределах от 5...10% производительности до трех-четырех кратного дублирования в мажори­тарных вычислительных комплексах.

Информационная избыточность состоит в дублировании накоплен­ных исходных и промежуточных данных, обрабатываемых программами. Избыточность используется для сохранения достоверности данных, кото­рые в наибольшей степени влияют на нормальное функционирование АС и требуют значительного времени на восстановление. Такие данные обычно характеризуют некоторые интегральные сведения о внешнем управляющем процессе; в случае их разрушения может прерваться про­цесс управления внешними объектами или обработки их информации, отражающийся на безопасности АС.

Программная избыточность используется для контроля и обеспече­ния достоверности наиболее важных решений по управлению и обработке информации. Она заключается в сопоставлении результатов обработки одинаковых исходных данных разными программами и исключении иска­жения результатов, обусловленных различными аномалиями. Программ­ная избыточность необходима также для реализации средств автомати­ческого контроля и восстановления данных с использованием информа­ционной избыточности и для функционирования всех средств защиты, имеющих временную избыточность.

Последовательный характер исполнения программ центральным процессором приводит к тому, что средства оперативного программного контроля включаются после выполнения прикладных и сервисных про­грамм. Поэтому средства программного контроля обычно не могут обна­руживать возникновение искажения вычислительного процесса или дан­ных (первичную ошибку) и фиксируют, как правило, только последствия первичного искажения (вторичную ошибку). Результаты первичного иска­жения в ряде случаев могут развиваться во времени и принимать катаст­рофический характер отказа при увеличении времени запаздывания в обнаружении последствий первичной ошибки.

Обеспечение отказоустойчивости ПО АС применимо в основном к прикладному программному обеспечению, так как в этом случае реализа­ция задачи контроля возлагается на операционную систему. Что же каса­ется самой операционной системы, то данный подход здесь практически не работает, так как для нее потребуется своя 'контролирующая операци­онная "сверхсистема", которую также надо контролировать, и т.д. Поэтому для операционных систем применяют методы предотвращения неисправ­ностей в ПО.