Если вы — руководитель предприятия, которому уже удалось «раскрутить» свой бизнес, создать его развитую инфраструктуру, внедрить компьютерную информационную систему и организовать взаимодействие сотрудников с клиентами и партнерами, то вполне естественно, что вы захотите защитить свою систему от возможных угроз.
Ушлый проектировщик обязательно предложит вам длинный список потенциальных угроз вашей системе, в котором будут фигурировать пожары, наводнения, землетрясения, падение самолетов и метеоритов, террористические акты и т.п. Он предложит выбрать наиболее вероятные, на ваш взгляд, угрозы и тут же реализует за определенную плату систему мер защиты от этой напасти (см., например: Акимов Е.О., Порошин А.Е. Определение требуемого уровня информационной безопасности: эффективность и управление рисками в проектах защиты информации // Документальная электросвязь. 2003, № 11). Однако не спешите защищать свою информационную систему от метеоритов. Мы рассмотрим три поучительные реальные истории, иллюстрирующие проблему катастрофоустойчивости, которые помогут вам принять верное решение. При этом мы постараемся избегать сложных терминов, ограничившись школьными знаниями физики.
История первая
Солидная организация, работа которой немыслима без информационной системы, обзавелась экранированными залами для размещения вычислительных машин, системами гарантированного электропитания, кондиционирования воздуха и химического пожаротушения. Эта организация занимается обработкой весьма деликатной информации и необходимым условием эксплуатации своей информационной системы считает, что вполне разумно, целостность стального экрана в помещениях вычислительного центра (рис. 1).
Рис. 1. Устройство машинного зала |
Однажды после сильных продолжительных морозов началась оттепель, и сотрудники вычислительного центра неожиданно обнаружили в экранированном зале капель — вода попадала прямо на сервер. К счастью, эту капель удалось обнаружить прежде, чем возникло короткое замыкание в электрических цепях сервера (из школьного курса физики известно, что вода — проводник второго рода, который может вызвать короткое замыкание и стать причиной пожара). Но тревогу у руководства компании вызвало состояние экрана. Если он протек, надо немедленно прекратить эксплуатацию системы и приступить к ремонту: отыскать щель в экране, заварить ее и произвести аппаратные замеры экранирующих свойств. На это могло уйти много времени, что было недопустимо для деятельности организации. Вместе с тем аппаратура, которая непрерывно контролировала целостность экрана, показывала, что какой-либо утечки информации по каналам побочного электромагнитного излучения нет.
Тщательный «разбор полетов» показал следующее. При строительстве экрана учитывали законы физики. Если полость между стеной и экраном сделать герметичной, то разница между атмосферным давлением и давлением в этой полости будет оказывать воздействие на экран, пропорциональное произведению этой разности и площади экрана. Поскольку последняя составляла около 1 тыс. м2, то достаточно было даже небольшого перепада давления, чтобы деформировать экран. Для того чтобы «стравливать» возникающую разность давлений, в крыше здания были предусмотрены проемы, закрытые соломенными матами. Такое решение позволило не только выравнивать давление в полости, но и сохранять в ней тепло. Однако по прошествии многих лет соломенные маты превратились в труху, и холодный воздух начал проникать в полость. На потолке внутри экрана стал появляться конденсат, который в сильный мороз превращался в наледь, а потепление на улице привело к образованию капели внутри экранированного помещения.
Краткие выводы:
- угрозу образования наледи внутри стального экрана, как и многие другие, не найти ни в одном «каноническом» перечне угроз;
- крайне желательно иметь возможность переноса системы в другое помещение на время выявления и устранения неполадок;
- перенос должен выполняться в автоматизированном режиме.
История вторая
В любом вычислительном центре ценят специалистов «на все руки». В одном из них потребовалось залудить какой-то слаботочный контакт. Нашелся специалист, который принес для этого свой любимый советский паяльник с очень удобным жалом, предусмотрительно выключил сервер и приступил к работе. Однако уже после первого прикосновения к контакту он, к своему удивлению, обнаружил, что из обесточенного сервера повалил синий дым (рис. 2).
Рис. 2. Происшествие с паяльником |
Анализ происшествия показал, что паяльник «пробит» на корпус. Это означает, что на его жале присутствует потенциал 220 В переменного тока, в десятки раз превышающий допустимый для работы микросхем. Использовать такие инструменты (в том числе электродрели, осциллографы и т.д., выпускавшиеся когда-то без «зануления» корпуса) опасно не только для микросхем, но и для жизни работника. Возгорание могло произойти за сотню метров от точки прикосновения паяльником к проводнику, где-нибудь в этажном коммутаторе, и найти виновного было бы очень непросто. В нашем случае компании просто повезло, что сервер загорелся на глазах у горе-специалиста. Однако чтобы найти этому мощному серверу замену, пришлось потратить больше месяца - такие устройства не пылятся на полках магазинов.
А вот откровения администратора: «Я давно говорил, что необходимо подстраховаться и приобрести резервный сервер. Выгнать меня из-за аварии? Шеф не посмеет. Он знает, что система у нас не документирована. Мы делали ее сами, и только мы сможем ее восстановить. Наши прикладные программисты тоже не документируют свои приложения. Они и исходники только у себя хранят. Будут выгонять - унесут с собой. Самим себе писать описания и инструкции - это нелепица. Я убедил шефа, что подробное описание станет подарком для хакеров».
Краткие выводы:
- внутренние угрозы системе часто возникают из-за желания специалистов сделать свою работу «как лучше»;
- отсутствие подробных описаний системы часто объясняется личной заинтересованностью специалистов;
- стоит разобраться, кому принадлежит исходный текст программ — сотруднику или фирме, в которой он работает;
- запасной сервер - это дорого, но необходимо.
История третья
Серьезный банк находился по соседству с большим казино, и здания, в которых они располагались, получали электроэнергию из одной трансформаторной будки. У электриков банка и казино были ключи от этой будки. Как-то раз электрику, который недавно начал работать в казино, потребовалось отключить питание во всем здании игорного дома.
Зайдя в трансформаторную будку, он обнаружил на стене три рубильника. Под каждым из них была непонятная ему маркировка, но найти нужный рубильник оказалось проще простого: электрик по очереди, один за другим выключал рубильники, выходил на улицу и смотрел, не погасла ли реклама на фасаде казино. При этом ему приходилось каждый раз обходить здание банка. Выключив первый рубильник и выйдя на улицу, он увидел, что в окнах банка погас свет — ясно, что этот фидер принадлежит банку. Выключив второй рубильник и обойдя здание, он обнаружил, что горят и окна банка, и реклама на фасаде казино, а где-то рядом начал работать мотор. Возвращаясь в будку, он столкнулся с двумя парнями в униформе и с пустыми ведрами в руках, выбегавшими из дверей банка. «Плохая примета» - мелькнуло в голове у электрика, но с третьим рубильником ему повезло, и реклама погасла.
При «разборе полетов» выяснилось, что вторым рубильником он отключил электропитание оборудования банковской информационной системы. Ситуация отключения городской сети электроснабжения была предусмотрена в банковской системе: автоматически включался дизельный электрогенератор. Однако оказалось, что накануне из него слили зимнее топливо, а завезти летнее не успели. В здании банка не было помещений, оборудованных для хранения горюче-смазочных материалов, поэтому они хранились на дальних складах. Сразу после запуска генератора на пульт электриков банка поступило сообщение о нехватке топлива в баке генератора, и они, схватив ведра, кинулась на улицу в надежде добыть солярки у водителей проезжающих мимо грузовиков. И хотя в системе был предусмотрен размещенный на удаленной площадке сервер, он использовался только для хранения ежедневных копий баз данных и не мог автоматически запускать приложения. Банковская система встала со всеми вытекающими отсюда последствиями.
Краткие выводы:
- жизнь богаче фантазий самых изощренных проектировщиков;
- для бесперебойной эксплуатации информационной системы необходимо обеспечить возможность автоматического переноса данных и запуска приложений в удаленном вычислительном центре. Практика эксплуатации ответственных информационных систем — наличие трех территориально разнесенных ВЦ, объединенных в единую систему.
Меры противодействия
Не думайте, что катастрофы в информационных системах возникают только в результате каких-то земных катаклизмов, — системы уязвимы в силу своей зависимости от множества разнородных факторов. Человеко-машинная система — не автомат, и, пожалуй, решающим является непредсказуемый человеческий фактор. Не доверяйте решениям доморощенных системщиков и программистов, обращайтесь к интеграторам за разработкой катастрофоустойчивых систем, причем требуйте их подробные описания.
Приведенные примеры свидетельствуют, что полный перечень угроз определить невозможно. Однако можно составить список нежелательных последствий аварий и катастроф, а затем разработать меры противодействия угрозам (табл. 1). При их реализации катастрофоустойчивость вашей информационной системы во многом будет зависеть от выбора альтернативной площадки.
Выбор альтернативной площадки
Единственным спасением системы от внешних и внутренних угроз является перенос приложения с основной площадки на альтернативную. Время такого переноса во многом зависит от оснащения площадки — в конечном счете, это время максимально допустимого простоя информационной системы, которое бизнес может «выдержать» без существенных потерь. Автору довелось исследовать на основе опыта множества зарубежных вычислительных центров проблему выбора альтернативных площадок в процессе создания информационных систем для разных организаций. Вот несколько примеров, демонстрирующих различные подходы.
Муниципалитет города Мангейм
Информационная система муниципалитета основана на принципах двухзвенной архитектуры «клиент-сервер». Большое количество серверов размещено в различных помещениях здания. Каждый сервер обслуживает конкретное приложение. Администраторы приложений должны в конце рабочего дня копировать информационные массивы на съемный магнитный носитель, причем они несут ответственность за полноту и логическую целостность этих массивов. Каждый вечер администраторы, покидая здание, помещают магнитные носители с копиями данных в специальные контейнеры, вмонтированные в стены вестибюля здания. Физическая сохранность копий обеспечивается в ночное время и выходные дни дежурной сменой вахтеров. В случае возникновения пожара или другого стихийного бедствия, угрожающего массивам данных физическим уничтожением, команда спасателей в первую очередь эвакуирует контейнеры. После ликвидации последствий пожара принимается решение о дислокации сотрудников муниципалитета во временном помещении.
В Германии, с ее развитыми средствами телекоммуникаций, не составляет труда арендовать офисное помещение, оснащенное необходимыми для размещения информационных систем средствами связи. На его поиск и освоение уйдет примерно 3-4 дня. Такой срок простоя информационной системы является вполне приемлемым для муниципалитета. Альтернативная площадка здесь существует виртуально: главное - обеспечить сохранность актуальной информации.
Центр резервного копирования в пункте управления войсками США в Европе
После вывода американских войск из Центральной Европы подземные сооружения командного пункта, построенные союзниками по НАТО в горах Шварцвальд, перешли в ведение правительства Германии и позднее были приватизированы. По частной инициативе в этом подземном сооружении был создан центр резервного хранения. После дооснащения командного пункта запоминающими устройствами и вычислительными машинами гражданского назначения был создан центр резервного копирования (рис. 3), предназначенный для коллективного использования и оказывающий следующие услуги:
Рис. 3. Центр резервного копирования в горах Шварцвальд |
- прием на хранение съемных магнитных носителей;
- прием на хранение информационных файлов, получаемых по линиям телекоммуникаций;
- актуализацию накопленных ранее клиентских баз данных и прикладного программного обеспечения;
- запуск приложений на серверах центра и обслуживание клиентов в режиме on-line.
Несколько десятков клиентов обслуживает семья из четырех человек, проживающая недалеко от входа в бункер и обеспечивающая три вида услуг:
- «горячая площадка» — средства вычислительного центра, которые включают в себя аппаратуру, коммуникационные интерфейсы, необходимое для их работы окружение (электроснабжение, кондиционирование и т.п.) и достаточны для немедленного восстановления работы приложения;
- «теплая площадка» — вычислительный центр или офисное помещение, которое частично оснащено аппаратными средствами, коммуникационными интерфейсами, а также системами электроснабжения и кондиционирования, достаточными для выполнения удаленного резервного копирования;
- «холодная площадка» — один или более вычислительных центров или офисных помещений, которые оснащены в принципе достаточным кондиционированием, возможностью электроснабжения, имеют доступ к коммуникациям и располагают достаточным пространством для экстренного размещения и запуска оборудования, необходимого для возобновления бизнес-процессов. До возникновения катастрофы используется для хранения копий данных на съемных магнитных носителях.
Характер услуг центра и коэффициенты стоимости указаны в табл. 2.
Вычислительный центр завода BASF
Предприятие BASF в городе Людвигсхафен занимает площадь в несколько километров. На его территории кроме сооружений основного производства находятся два здания вычислительного центра - основная и резервная площадки, соединенные оптическим кабелем. Расстояние между площадками составляет 3,3 км. На вычислительном центре размещено около 500 серверов (AIX, Solaris, HP-UX, Novell NetWare и Windows), обеспечивающих работу 50 тыс. пользователей по всей Европе. Объем хранимой на дисковых запоминающих устройствах информации к 2002 году составлял примерно 90 Tбайт. На вычислительном центре размещены десять библиотек магнитных лент IBM Magstar 3494.
В процессе создания вычислительного центра специалистам BASF пришлось решать непростую задачу. С одной стороны, наличие протяженной территории дает хорошую возможность для построения двух площадок ВЦ, с другой стороны, на территории размещены цеха по выпуску химической продукции. Это производство считается пожароопасным, а потому требует применения специальных мер и средств защиты от возгорания. При проектировании удалось найти решения, которые обеспечивают высокую надежность работы ВЦ в условиях опасного окружения. Созданы и оснащены вычислительной техникой две площадки - основная и резервная. При выходе из строя любой из них оставшаяся поддерживает обработку трафика обращений в полном объеме.
Управление площадками обеспечивается из единого центра управления. Альтернативная площадка способна работать в автоматическом режиме («безлюдная» технология). Площадки могут обмениваться данными по высокоскоростным каналам связи. Для различных приложений время восстановления работы при аварии варьируется от нескольких минут до нескольких часов.
Вычислительный центр Deutsche Telecom
Вычислительный центр Deutsche Telecom в Магдебурге создан после объединения Германии и предназначен для обслуживания клиентов национальной сети ISDN в восточных землях. Для размещения биллинговой системы и Центра поддержки построено новое здание (рис. 4), в котором обеспечены условия, достаточные, по мнению немецких специалистов, для предотвращения катастроф в системе клиентского обслуживания. Здание с помощью брандмауэра, выполненного из огнеупорного кирпича, разделено на две примерно равные части (основную и резервную площадки). Для прохода из одной половины здания в другую служат двери, которые автоматически закрываются при пожаре или аварии. Конструкция дверей предусматривает защиту от высокой температуры на протяжении нескольких часов, необходимых для тушения пожара. Каждая площадка оснащена серверным оборудованием и средствами телекоммуникаций, достаточными для обработки всего поступающего трафика сообщений.
Рис. 4. Конструкция здания Deutsche Telecom |
Кроме автоматических дверей в брандмауэре имеется специальный проем для прокладки связных кабелей. В случае пожара кабели перерубаются с помощью гильотины, а проем заполняется специальным составом, обеспечивающим герметичную теплоизоляцию. Таким образом, проектировщикам удалось создать систему, размещенную на основной и альтернативной площадках внутри одного специально спроектированного здания.
Особенности России
В середине 70-х годов в СССР было принято решение об организации на базе ТЭЦ централизованного снабжения теплом и горячей водой жилого сектора крупных городов. Реализация столь грандиозного проекта была возможна только в условиях полного обобществления жилья в стране - таких условий тогда не было больше ни в одном государстве. Не вдаваясь в вопросы экономической эффективности рассматриваемой схемы, можно констатировать уникальность энергетической инфраструктуры, созданной в СССР и унаследованной Россией. Но уникальными оказываются и последствия в случае аварий. Нынешние изменения в праве собственности на жилье, неразбериха с принадлежностью жилых зданий, общая запущенность коммунального хозяйства - это те условия, в которых аварии получают масштабы национальных катастроф.
Не вдаваясь в анализ социальных проблем, возникающих при авариях в системах теплоснабжения жилых домов, сосредоточимся на возможных сложностях обеспечения бесперебойной эксплуатации автоматизированных информационных систем. Типичная для городов России схема тепло- и энергоснабжения приведена на рис. 5.
Рис. 5. Схема центрального тепло- и энергоснабжения городских объектов |
По тепломагистралям, выполненным в виде замкнутого контура (на рисунке - толстая линия), горячая вода поступает в бойлерные. Там она через теплообменник нагревает воду, поступающую в здания по местному контуру (тонкая линия). Для повышения температуры в домах в зимнее время требуется повышать давление в тепломагистралях, что увеличивает риск их разрыва. Таким образом, наиболее вероятным для аварии является период экстремально низких температур.
В случае аварии подача тепла в здания прекращается на время ремонта тепломагистрали. При этом необходимо во избежание разрыва труб системы отопления слить воду, и единственным альтернативным источником тепла в жилых домах становятся бытовые электронагреватели. Их массовое включение приводит к аварийному срабатыванию защиты на электроподстанциях, в том числе районных трансформаторных подстанциях. Поскольку энергию от них получают как жилые дома, так и офисы компаний, которые часто размещаются на нижних этажах таких зданий, обесточенными оказываются находящиеся в них вычислительные машины (вычислительные центры). Продолжительность этих отключений может существенно превышать сроки восстановительных работ на тепломагистралях.
При повторном заполнении водой отопительной системы часто выясняется, что в неотапливаемых помещениях здания (чердаки, подвалы, лестничные клетки и т.д.) из-за нерадивости хозяев лопнули трубы (это дополнительная угроза для вычислительных центров), и отопление в здании не может быть включено. Городские власти принимают экстраординарные меры по дополнительному электроснабжению жилого сектора, что может привести к возникновению пожаров в коллекторах. В результате этих пожаров пострадают сети телекоммуникаций, проходящие по тем же коллекторам.
Бесполезно искать решение этой проблемы путем анализа международного опыта - повсюду в мире используются мини-котельные, не требующие прокладки тепломагистралей. Ситуация, сложившаяся в России, уникальна.
Краткие выводы
Существуют различные подходы к выбору альтернативных площадок при строительстве информационных систем. Время восстановления работы системы на такой площадке зависит от объема потраченных на ее создание средств. При выборе альтернативной площадки необходимо учитывать особенности городской инфраструктуры. Разумное во многих отношениях решение, состоящее в размещении альтернативных площадок вычислительного центра в пределах предприятия, с учетом российских особенностей выглядит сомнительным. Требуется разносить площадки так, чтобы они оказывались в ведении электроподстанций разных районов города. А это совсем другое оборудование и совсем другие деньги.
Вадим Ефремов (VEfremov@hetnet.ru) — советник генерального директора компании «ГЕТНЕТ консалтинг» (Москва).