Содержание к диссертации
Введение
Глава 1. Исследование и анализ моделей управления сервис-ориентированной информационной системой 12
1.1. Анализ концепции и принципов сервис-ориентированной архитектуры 12
1.1.1. Концепция сервис-ориентированной архитектуры 12
1.1.2. Базовые компоненты сервис-ориентированной архитектуры 18
1.1.3. Анализ моделей сервис-ориентированной архитектуры компаний-вендоров
1.2. Разработка концептуальной модели сервис-ориентированной архитектуры информационной системы 23
1.3. Разработка комбинированного подхода к выделению сервисов и перехода к сервис-ориентированной архитектуре 30
1.4. Анализ моделей управления сервис-ориентированной информационной системой 36
1.5. Обзор программных продуктов для мониторинга ИТ-сервисов 42
1.6. Математическая постановка задачи мониторинга показателей ИТ-сервисов в СОА 44
Глава 2. Разработка моделей и методов мониторинга показателей ИТ-сервисов в информационной системе с сервис-ориентированной архитектурой 50
2.1. Разработка модели мониторинга показателей ИТ-сервисов в информационной системе с СОА 50
2.2. Разработка метода мониторинга показателей ИТ-сервиса, влияющих на уровень его информационной безопасности 57
2.2.1. Специфика управления информационной безопасностью ИТ-сервисов в информационной системе с СОА 57
2.2.2. Процессный подход к мониторингу информационной безопасности ИТ-сервисов 64
2.2.3. Виды мониторинга для контроля информационной безопасности ИТ-сервисов в СОА 70
2.2.4. Метод мониторинга показателей ИТ-сервисов, влияющих на уровень информационной безопасности сервисов в СОА 74
2.3. Разработка метода мониторинга важности ИТ-сервисов в СОА 81
2.3.1. Методика оценки важности ИТ-сервиса без учета взаимодействия с другими ИТ-сервисами з
2.3.2. Методика оценки влияния исследуемого ИТ-сервиса на зависимые сервисы .88
2.3.3. Методика оценки зависимости исследуемого ИТ-сервиса от поддерживающих сервисов 91
2.3.4. Оценка важности ИТ-сервиса в СОА 95
Выводы по главе 2 95
Глава 3. Разработка программной системы для мониторинга показателей ИТ-сервисов в ИС с СОА (на примере сервис-ориентированной информационной системы ВУЗа) 96
3.1. Разработка концептуальной модели сервис-ориентированной архитектуры ИС вуза 96
3.2. Разработка моделей взаимосвязей ИТ-сервисов ИС ВУЗа 100
3.3. Разработка программной системы для мониторинга показателей ИТ-сервисов в СОА 109
3.4. Технология работы с программной системой мониторинга показателей ИТ-сервисов в СОА 120
Заключение 131
Источники и литература 133
- Базовые компоненты сервис-ориентированной архитектуры
- Разработка метода мониторинга показателей ИТ-сервиса, влияющих на уровень его информационной безопасности
- Методика оценки влияния исследуемого ИТ-сервиса на зависимые сервисы
- Разработка программной системы для мониторинга показателей ИТ-сервисов в СОА
Введение к работе
Актуальность темы исследования. В настоящее время одним из факторов успешной деятельности большинства предприятий и организаций является эффективное использование информационных технологий и систем. В быстро изменяющихся экономических условиях перед ИТ-подразделениями встают задачи, требующие существенного изменения или дальнейшего развития и совершенствования функциональности применяемых информационных систем, а также ввода в эксплуатацию новых технологических решений, внедрение которых должно осуществляться с учетом уже существующей инфраструктуры.
Организации заинтересованы в комплексных программных решениях, отражающих специфику их деятельности и быстро приносящих конкурентные преимущества. Это зачастую требует использования программных продуктов от нескольких компаний-вендоров, причем приложения могут быть как вновь разработанные, так и функционирующие в организации уже длительное время. Поэтому все более актуальной для многих из них становится задача интеграции ИТ-инфраструктуры как на внутреннем, так и на межкорпоративном уровне.
Одним из требований, предъявляемых к разработке ИС, является снижение временных, ресурсных, финансовых затрат. С одной стороны, данная задача может быть решена за счет повторного использования полученных ранее результатов, в том числе программного кода, с другой стороны, разработчикам систем для минимизации затрат необходима типизация бизнес-операций, бизнес-процессов, выполняемых при поддержке информационных технологий.
Внедрения методов и технологий, позволяющих быстро и легко перестраивать существующие информационные системы для поддержки инновационных бизнес-процессов, создавать новые системы в достаточно короткие сроки и с минимальными затратами при этом не снижая уровень их надежности, безопасности, масштабируемости и управляемости, является актуальной задачей для многих организаций.
Одним из подходов создания информационных систем, удовлетворяющих перечисленным требованиям, является использование концепции сервис-ориентированной архитектуры (СОА). В связи с активным применением сервис-ориентированного подхода к организации архитектур информационных систем возрастает значение методов и средств управления СОА, учитывающих особенности этих архитектур. Что в свою очередь вызывает необходимость разработки соответствующих методов и моделей мониторинга функционирования сервисов и их показателей, необходимых для повышения эффективности процессов управления СОА.
Степень разработанности проблемы. Методологические вопросы проектирования, разработки и перехода к сервис-ориентированным архитектурам информационных систем в том или ином аспекте освещаются в трудах зарубежных и отечественных ученых и специалистов, среди которых Н. Биберштейн, С. Боуз, К. Джонс, М. Фиаммант, Р. Ша, Г. Льюис, Д. Смит, K. Контоджианис, Дж. Уэстерман, К. Финкельштейн, Э. Лейна, И. Мамду, М.И. Мабрук, Т. Кватрани, Д. Палистрант, Г. Буч, В.А. Балыбердин, Л.Г. Гагарина, В.И. Грекул и другие. В работах авторов сформулированы и теоретически обоснованы научные подходы к проблемам создания сервис-ориентированных информационных систем.
Методологии управления информационными системами, том числе с сервис-ориентированной архитектурой, рассмотрены в трудах таких исследователей, как Н.А. Кузнецов, В.В. Кульба, А.Г.Мамиконов, Е.А. Микрин, А.Б.Шелков, В.А.Галатенко, С.С.Ковалевский, В.В.Мельников, В.И. Ярочкин, Д. Гроувер, Р. Сатер, Дж. Фипс, В.В.Цехановский, А.М.Астахов, А.П.Трубачев, М.Ю.Долинин, М.Т.Кобзарь, Е.З.Зиндер, А.К.Коптелов, В.К.Батоврин и др.
Однако проведенные исследования не исчерпывают проблем, связанных с переходом от существующих архитектур к сервис-ориентированным, а также с различными аспектами управления и мониторинга сервис-ориентированных информационных систем. Учитывая, что сервис-ориентированный подход к созданию информационных систем является достаточно новым и активное развитие методологических аспектов в данной сфере и апробация их на практике охватывает период, исчисляемый последним десятилетием, поэтому вопросы создания, управления и перехода к сервис-ориентированным системам требуют дальнейшего исследования и разработки. В частности это касается научно-обоснованных методологических и практических аспектов организации и проведения мониторинга показателей ИТ-сервисов в информационной системе с СОА.
Цель и задачи исследования. Целью диссертационного исследования является исследование теоретических, методологических и практических проблем управления сервис-ориентированной информационной системой и разработка моделей и методов мониторинга показателей ИТ-сервисов для контроля соответствия их требованиям, определенным в соглашениях об уровне предоставления ИТ-сервисов, и выявления необходимых управленческих воздействий в случае их отклонений.
В соответствии с поставленной целью, в рамках исследования решались следующие задачи:
исследовать принципы организации сервис-ориентированных архитектур информационных систем на основе анализа стандартных моделей СОА;
провести анализ методов перехода информационной системы от существующей архитектуры к сервис-ориентированной;
исследовать возможные подходы к управлению сервис-ориентированной информационной системой в целом;
типизировать и классифицировать ИТ-сервисы в сервис-ориентированной архитектуре информационной системы;
разработать модель мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе для контроля соответствия их требованиям, определенным в соглашениях об уровне предоставления сервисов (SLA);
разработать методы мониторинга показателей функционирования ИТ-сервисов в сервис-ориентированной архитектуре с целью оценки важности сервисов для реализации бизнес-процессов;
разработать метод мониторинга показателей владельцев и пользователей ИТ-сервисов, оказывающих влияние на уровень информационной безопасности сервиса, заданного в соглашении об уровне предоставления сервиса, с целью применения необходимого набора регуляторов безопасности в случае отклонения текущего уровня от требуемых значений;
разработать прототип программной системы для реализации предложенных методов мониторинга показателей ИТ-сервисов и выбора соответствующих действий по обеспечению соглашений об уровне предоставления ИТ-сервисов; провести апробацию прототипа программной системы на примере ИС вуза.
Объектом исследования является система управления сервис-ориентированной информационной системой.
Предметом исследования являются методы мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе для контроля соответствия их требованиям, определенным в соглашениях об уровне предоставления сервисов.
Соответствие темы исследования требованиям Паспорта специальностей ВАК (по техническим наукам). Исследование выполнено в рамках специальности 05.25.05 – Информационные системы и процессы (п.1. «Методы и модели описания, оценки, оптимизации информационных процессов и информационных ресурсов, а также средства анализа и выявления закономерностей в информационных потоках»).
Теоретической и методологической основой диссертационного исследования являются теоретические и научно-практические работы российских и зарубежных авторов в области управления автоматизированными информационными системами, разработанных на основе сервис-ориентированной архитектуры; обширные источники научной литературы, периодические издания и стандарты в области информационных технологий, менеджмента ИТ-услуг, менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 12207-99, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК ТО 19791-2008, ГОСТ Р ИСО/МЭК 20000-1-2010, 20000-2-2010, ГОСТ Р ИСО/МЭК 27001-2006, ITIL V3-2007).
Гипотеза диссертационного исследования. Рабочая гипотеза исследования состоит в том, что мониторинг показателей ИТ-сервисов в сервис-ориентированной информационной системе и контроль их соответствия требованиям соглашения об уровне предоставляемых сервисов позволяет определять совокупность необходимых управленческих действий, обеспечивающих функционирование ИС в соответствии с требованиями потребителей и владельцев бизнес-сервисов, позволяющих повысить эффективность функционирования информационной системы в целом.
Методы и средства исследования. Основные результаты диссертационной работы получены и обоснованы с использованием методов системного анализа, основных положений теории множеств, объектно-ориентированного и сервис-ориентированного моделирования, метода разработки метрик (Goal Question Method, GQM). Для построения процессных моделей мониторинга показателей сервисов и исследования моделей взаимосвязей сервисов выбрано инструментальное средство IBM WebSphere Business Modeler Advanced.
Научная новизна. В результате проведенных исследований и анализа были разработаны научно-методические рекомендации по реализации мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе для контроля соответствия их требованиям, определенным в соглашениях об уровне предоставления сервисов.
К числу результатов диссертационного исследования, обладающих научной новизной, относятся:
-
Предложен и разработан новый комбинированный подход к переходу от традиционной архитектуры информационной системы к сервис-ориентированной, который охватывает все этапы жизненного цикла сервиса: идентификацию, моделирование и реализацию сервисов, и обеспечивает взаимосвязи между моделями, разрабатываемыми в соответствии с нисходящим и восходящим подходами. Для выделения ИТ-сервисов применяется метод декомпозиции доменов, включающий построение моделей взаимосвязей ИТ-сервисов в соответствии с моделями бизнес-процессов. Разработана модель типизации сервисов для выделения сервисов из существующей инфраструктуры информационной системы организации.
-
Разработана математическая модель мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе на основе теоретико-множественного подхода, обеспечивающая контроль показателей сервисов с учетом требований к уровню предоставления ИТ-сервисов.
-
Разработана структурная модель мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе на основе математической модели мониторинга и развитого в работе процессного подхода к управлению СОА, обеспечивающая учет особенностей данной архитектуры. Определен набор показателей ИТ-сервисов, необходимый для проведения мониторинга с учетом требований, указанных в соглашении об уровне предоставления сервисов. Разработана методика количественной оценки системы контролируемых показателей.
-
Разработаны методы мониторинга показателей ИТ-сервисов в сервис-ориентированной архитектуре, обеспечивающие оценку важности сервисов для реализации бизнес-процессов, важности ИТ-сервисов в СОА, влияния показателей сервиса на степень его защищенности на основе процессного подхода к управлению в СОА.
На защиту выносятся следующие положения:
-
Переход от существующей архитектуры информационной системы к сервис-ориентированной целесообразно осуществлять на основе комбинированного подхода, который охватывает все этапы жизненного цикла сервиса и основан на взаимосвязи между моделями, разрабатываемыми в соответствии с нисходящим и восходящим подходами, что способствует большей взаимосвязи между бизнес-сервисами и ИТ-сервисами на различных уровнях моделирования.
-
Разработка и функционирование системы мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе должно осуществляться на основе процессного подхода к управлению и моделей управления СОА, что обуславливает необходимость разработки процессных моделей мониторинга, использования методологии сервис-ориентированного моделирования для отображения взаимосвязей ИТ-сервисов при реализации бизнес-процессов, осуществления мониторинга с учетом процессов управления уровнем предоставления сервисов.
-
Согласно принципам СОА (в частности, повторного использования сервисов) возрастает роль мониторинга показателей ИТ-сервисов и анализа степени соответствия их требованиям к уровню предоставления сервисов. Для реализации задач мониторинга были разработаны методы и модели мониторинга показателей ИТ-сервисов (владельцы, пользователи, важность) в сервис-ориентированной архитектуре с целью оценки важности ИТ-сервисов для реализации бизнес-процессов, важности ИТ-сервисов в СОА, влияния текущих показателей сервиса на уровень его безопасности.
-
Для поддержки требуемого уровня предоставления сервисов в СОА необходимо использование методов количественной оценки контролируемых параметров сервисов и разработка системы регуляторов и управляющих воздействий, применяемых в случае отклонения текущего уровня от требуемых значений.
-
Мониторинг показателей ИТ-сервисов в СОА возможен при использовании программных средств, позволяющих автоматизировать методы и процессы мониторинга показателей ИТ-сервисов в сервис-ориентированной информационной системе.
Теоретическая значимость диссертационного исследования заключается в развитии научно-методологического обеспечения управления сервис-ориентированными информационными системами, в разработке моделей и методов мониторинга показателей ИТ-сервисов на основе процессного подхода к управлению сервис-ориентированной системой.
Практическая значимость диссертационного исследования заключается в том, что разработанные и предложенные автором методы и модели мониторинга показателей ИТ-сервисов, а также прототип программной системы, реализующей данные методы, могут быть использованы организациями, осуществляющими переход от существующей архитектуры к сервис-ориентированной архитектуре информационной системы с целью обеспечения эффективности ее функционирования.
Внедрение. Эффективность разработанных в диссертационной работе моделей и методов подтверждена положительным опытом их использования в процессе подготовки и реализации программных проектов в Российском государственном гуманитарном университете.
Личный вклад. Все основные положения и результаты, выносимые на защиту, получены автором самостоятельно.
Апробация практических результатов исследования. Основные теоретические положения и результаты диссертационного исследования докладывались и обсуждались на международных конференциях «Проблемы управления безопасностью сложных систем» (Москва, РГГУ, декабрь 2009 года; Москва, РГГУ, декабрь 2010 года), а также на научно-методическом семинаре и заседании кафедры Математических методов обработки информации ИИНиТБ РГГУ.
Результаты диссертационного исследования используются в учебном процессе РГГУ при чтении лекций и проведении семинарских занятий по учебным дисциплинам «Информационный менеджмент» и «Информационные системы» для студентов IV курса специальности «Прикладная информатика». Теоретические и практические результаты диссертации использованы при разработке курса «Сервис-ориентированные архитектуры информационных систем» для бакалавров по направлению «Прикладная информатика» и курса «Управление информационными сервисами» для магистров по этому направлению.
Публикации. По теме исследования автором опубликовано 7 печатных работ, в т.ч. 3 статьи в рецензируемых журналах из перечня ВАК. Объем публикаций, принадлежащий автору – 1,9 п.л.
Структура и объем диссертации. Диссертация состоит из введения, трех глав, заключения, списка источников и литературы и приложений. Работа содержит 173 страницы, 42 рисунка, 17 таблиц, а также список источников и литературы, включающий 127 наименований и приложения на 26 стр.
Базовые компоненты сервис-ориентированной архитектуры
В качестве поставщиков сервиса выступают объекты (люди, организации, ИТ-приложения), которые предлагают определенные возможности, а те объекты, которые испытывают потребности по отношению к сервису, являются потребителями сервиса (люди, организации, ИТ-приложения).
Важную ролъ в сервис-ориентированной архитектуре отводится каталогу сервисов, который выполняет следующие функции: - реализует принцип слабой связанности (связь между потребителем и поставщиком сервиса осуществляется на основе информация о сервисах, содержащейся в каталоге); - выполняет функцию управления сервисами и их согласованностью; - способствует повторному использованию сервисов посредством публикации дос тупных сервисов и их интерфейсов; - позволяет исследовать какие сервисы доступны для реализации бизнес-процессов и какие необходимо разработать. Сценарий взаимодействия между компонентами в базовой архитектуре СОА включает набор определенных действий: - поставщик сервиса создает сервис и принимает решение о его открытии; - поставщик публикует сервис путем отправки информации о нем в каталог сервисов; - потребитель сервиса просматривает каталог в поисках сервиса, который удовлетворяет его критериям; - при обнаружении соответствующего сервиса, инициатор запроса сервиса может напрямую обратиться к поставщику для вызова сервиса или напрямую использовать уникальный идентификатор ресурса (URI).
В модели СОА, разработанной организацией OASIS [101, 123], помимо выше указанных базовых компонентов сервис-ориентированной архитектуры, выделяется в качестве отдельного компонента сервисная или интеграционная шина (ESB), которая предоставляет магистральную сеть и инфраструктуру для соединения поставщиков и потребителей сервисов и реализует следующие функции [60, 73, 94] (рис. 3): - обеспечивает транспортировку сообщений между сервисами, с возможностью использования различных протоколов (JMS, HTTP); - выполняет трансформацию и маршрутизацию сервисных запросов, обработку событий; - предоставляет средства для управления инфраструктурой сервисов; - обеспечивает централизованное управление сервисами и распределенную обработку; - реализует защиту и обеспечение качества сервиса в СОА; - осуществляет поддержку стандартов Web-сервисов и таких технологий, как J2EE, .NET и т.п. СОА Интерфейс приложения X Сервис Хранилище сервисов Сервисная шина Соглашение Контракт Реализация X Интерфейс Бизнес-логика
ESB является посредником, объединяющим все корпорат ния, и реализует функции преобразования/передачи данных, (рис. 4). Создаваемая магистральная среда не зависит от программно-аппаратных платформ и сетевых технологий, что дает возможность всем действующим приложениям получать доступ к необходимым программным компонентам. Использование ESB обеспечивает реализацию слабой связанности сервисов.
Рассмотрим модели сервис-ориентированной архитектуры, разработанные ведущими компаниями-вендорами программного обеспечения (IBM, Oracle, Microsoft).
Эталонная модель СОА, разработанная компанией IBM [56, 60] (рис. 5), включает две группы сервисов: ключевые сервисы (сервисы взаимодействия, бизнес-процессов, информационные, взаимодействия с партнерами, бизнес приложений, доступа) и сервисы поддержки (сервисы инфраструктуры, инноваций и оптимизации, разработки, управления).
В данной модели с помощью ключевых сервисов решаются такие задачи, как: - доступ конечных пользователей к ИТ-сервисам и данным с учетом их индивидуальных требований и предпочтений (сервисы взаимодействия); - интеграция бизнес-процессов, в которые вовлечены сотрудники, потоки данных, приложения, различные системы и платформы, и объединение бизнес-процессов в единое согласованное приложение (сервисы процессов); - репликация, интеграция, анализ данных (информационные сервисы); - взаимодействие между внутренними унаследованными приложениями, приложениями внешнего уровня, корпоративными хранилищами данных и ESB, встраивая их в функциональные потоки бизнес-процессов (сервисы доступа); - включение в информационную систему прикладных компонентов, реализующих бизнес-логику (сервисы бизнес-приложений); - управление требованиями к бизнес-процессам с участием внешних партнеров и клиентов (сервисы взаимодействия с контрагентами).
Центральным элементом эталонной модели СОА является корпоративная сервисная шина (ESB), которая обеспечивает все аспекты взаимодействия, необходимые для связи между потребителями и поставщиками сервисов.
Сервисы управления обеспечивают функции администрирования, безопасности, мониторинга, согласования сервисов. Задачи сервиса управления включают; определение и контроль процессов разработки и эксплуатации СОА, определение политик, процессов и инструментальных средств для контроля за сервисами (кто владеет сервисами, кто может вызывать сервисы, когда сервис может быть востребован), мониторинг показателей сервисов и др.
Функции администрирования (руководство) в СОА связаны с управлением жизненным циклом СОА, оценкой и измерением эффективности сервисов и СОА, высокоуровне-вое определение бизнес-сервисов и др.
Архитектура Oracle SOA Suite [108] включает следующий набор сервисов: сервисы поддержки портала (сервис-ориентированный портал), средства разработки, сервисы оркестровки и ВРМ, сервисы реализации и управления бизнес-правилами, сервисы интеграции, сервисы активного мониторинга, сервисы управления и безопасности, каталог сервисов и др. (рис. 6).
Разработка метода мониторинга показателей ИТ-сервиса, влияющих на уровень его информационной безопасности
Рассмотрим более подробно еодержание этапов работ при использовании комбинированного подхода для создания сервисов и перехода к сервисной архитектуре ИС.
ГОСТ Р ИСО/МЭК 20000-1-2010. Информационная технология. Менеджмент услуг. Часть 1. Спецификация. - Введ. 2011 -07-01.-М.: Стандартинформ, 2011. - IV, 15 с. Процесс создания сервисов на основе сервис-ориентированного моделирования состоит из трех основных этапов: идентификации, спецификации и реализации сервисов и включает следующие действия:
1. Используя нисходящий подход выполняется: - определение основных направлений и сфер деятельности организации; - выявление базовых бизнес-сервисов, осуществляемых организацией; - формирование классификации бизнес-сервисов с учетом общей иерархии сервисов; - описание и моделирование бизнес-процессов (ВРМ); - выделение сервисов на основе анализа и декомпозиции моделей бизнес-процессов и описания их взаимодействия (интеграционных бизнес-процессов); - формирование спецификации сервисов с позиции потребителя, ключевых показателей эффективности и параметров.
2. Используя восходящий подход выполняется: - проведение анализа существующей информационной системы; - описание приложений (тиражируемые, заказные приложения, приложения собственной разработки и др.) как ИТ-сервисов; - формирование классификации ИТ-сервисов с учетом общей иерархии и типизации еервисов; - рассмотрение каждого приложения как составной части информационной системы организации и определение их взаимосвязей; - выделение ИТ-компонентов в приложениях; - определение взаимосвязи между ИТ-компонентами; - формирование спецификации ИТ-компонентов, ключевых показателей эффективности и параметров. 3. Принятие решения о программной реализации выделенных сервисов: - определение способа реализации сервиса: а) использование ИТ-компонента имеющейся программной системы; б) разработка нового программного компонента; в) использование внешних программных компонентов. - создание репозитория сервисов; - составление бизнес-процессов из доступных сервисов; - реализация сервисов, не включающих бизнес-функциональность (обеспечение безопасности, управления и контроля).
Действия на этапах 1 и 2 выполняются параллельно. 1.4. Анализ моделей управления ссрвиссориентированной информационной системой
Специфика информационных систем с СОА, в том числе гибкость и адаптивность архитектуры к изменяющимся бизнес-процессам, обуславливает разработку и применение соответствующих подходов и методов управления такими системами. Прежде всего, управление в сервис-ориентированных системах должно быть ориентировано на управление сервисами и включать методы и процессы, касающиеся планирования, моделирования, разработки, развертывания и мониторинга сервисов на протяжении всего их жизненного цикла.
Рассмотрим ряд моделей управления информационной системой с сервис-ориентированной архитектурой, разработанных ведущими компаниями в области программного обеспечения в сфере СОА: - модель жизненного цикла СОА (IBM SO А Foundation) [60, 73]; - модель жизненного цикла СОА-руководства (IBM SOA Governance) [60, 73]; - модель жизненного цикла сервисов (ITIL V3) [122]; - эталонная модель безопасности в СОА (IBM SOA Security model) [115]. В модели жизненного цикла СОА (IBM SOA Foundation) выделяется четыре фазы: моделирование, сборка, развертывание, управление (рис. 13). Сборка Развертывание Настройка среды на необходимый уровень качества сервиса Настройка системы безопасности 3 ) - Масштабирование и оптимизация среды для надежности процессов Динамическое обновление процессов - Выявление ИТ-акшвов и инкапсулирование их в сервисы - Разработка и тестирование новых сервисов - Компоновка сервисов для реализации бизнес-процессов Моделирование - Определение целей и требований - Моделирование и оптимизация бизнес-процессов Управление Управление приложениями и сервисами Управление безопасностью и доступностью сервисов Управление согласованностью и гибкостью Мониторинг бизнес-показателей
На фазе моделирования выполняется бизнес-анализ (определяются бизнес-цели, осуществляется расстановка приоритетов, разработка требований, бизнес-процессов и правил, формирование ключевых показателей эффективности, как для отдельных процессов, так и для композитного приложения в целом) и ИТ-анализ (разработка требований к сервисам). Задачами фазы сборки является выявление сервисов, необходимых для реализации бизнес-процессов. Определяется возможность использования существующих приложений в качестве сервисов или необходимость создания новых сервисов посредством бизнес проектирования и использования СОА программируемых моделей. Кроме того, на этапе сборки выполняется назначение параметров различным политикам и проверка работы приложений в реальной среде и реальном масштабе времени.
На этапе развертывания создается среда для развертывания композитных приложений, урегулирование зависимостей между бизнес-сервисами и ИТ-сервисами, условий функционирования, проверка и уточнение требований к инфраструктуре, тестирование сервиса, мониторинг. При развертывании композитного приложения проводится проверка степени интеграции приложения, конфигурирование систем и приложений, создание новых сборок, планирование и тестирование производительности, оценка приложений пользователями и др.
Фаза управления включает задачи, технологии и программное обеспечение, используемые для управления и мониторинга сервисов и бизнес-процессов. Управление включает управление бизнес моделью, настройку операционной среды, управление безопасностью приложений, ресурсов и пользователей, управление согласованностью сервисов, управление политиками использования сервиса, мониторинг бизнес-показателей сервисов и др. Управление архитектурой СОА осущеетвляется в интегрированной среде управления и реализуется в рамках концепции руководства, контролирующей различные аспекты архитектуры СОА.
Руководство СОА - это интегрированная среда принятия решения и идентификации ролей для поддержки действий, согласующихся со стратегией организации [73, 110].
Компания IBM отмечает, что эффективное управление СОА - это не просто технология, для его реализации требуется создание специализированной инфраструктуры управления СОА, которая бы обеспечивала разработку, внедрение, поддержку и развитие эффективных средств управления СОА [73, ПО]. В результате была разработана модель жизненного цикла СОА-руководства (IBM SOA Governance). В соответствии с данной моделью администрирование осуществляется на всех этапах жизненного цикла СОА и включает следующие виды деятельности:
Методика оценки влияния исследуемого ИТ-сервиса на зависимые сервисы
Все большее число организаций используют процессное управление в ходе реализации своей деятельности. Процессное управление, как управленческая концепция, постулирует целесообразность координации деятельности отдельных служб организации с целью получения определенного результата при помощи явно и формально определенных бизнес-процессов. Формализация бизнес-процессов дает возможность более тесной интеграции бизнеса и информационных технологий, что повышает адаптивность ИТ-инфраструктуры к изменяющимся требованиям.
В состав основных функций управления СОА входит реализация мониторинга сервисов. Под мониторингом, в широком смысле, понимается специально организованное, систематическое наблюдение за состоянием объектов, явлений, процессов с целью их оценки, контроля или прогноза [21, 22].
Мониторинг показателей ИТ-сервисов - это процесс систематического отслеживания контролируемых показателей ИТ-сервисов и проведения оценки соответствия их требованиям, определенным в соглашениях об уровне предоставления сервисов, с целью выявления необходимых для реализации установленных предупреждающих мер.
Рассмотрим основные характеристики мониторинга показателей ИТ-сервисов ИС с СОА с целью контроля их соответствия требованиям, определенным в соглашениях об уровне предоставления сервисов (SLA).
Для проведения мониторинга необходимо определить способ сбора информации, к числу которых относятся: непосредственное описание объекта мониторинга; физическое измерение параметров объекта мониторинга; измерение с использованием критериев или индикаторов; опосредованный сбор показателей (с привлечением технологий научного исследования, с использованием системы критериев и показателей). При мониторинге показателей ИТ-сервисов в качестве способа сбора информации применяются измерения с использованием метрик или индикаторов и опосредованный сбор показателей, которые предоставляют необходимую информацию для своевременного принятия мер по удержанию значений показателей в заданном диапазоне или по возвращению в заданный диапазон в случае выхода за его пределы. Для расчета коэффициента влияния ИТ-сервиса на зависимые сервисы учитываются веса метрик, величина которых определяется на основе экспертных оценок.
В зависимости от требований к точности оценки формируются допустимые значения шкалы (минимальное и максимальное значения). В данном случае выбрана шкала 0-1. Тем не менее, методика и программные средства, реализуемые ее, должны выполнять расчет коэффициента влияния ИТ-сервиса на зависимые сервисы для различных допустимых значений шкалы.
Пусть SI - исследуемый сервис. В соответствии с моделью взаимодействия ИТ-сервисов (BPEL) составим множество зависимых сервисов от исследуемого сервиса SI. SZ ={SZj},j = lX где jo - количество зависимых сервисов от исследуемого сервиса SI. Определяем множество соединений исследуемого сервиса SI с каждым элементом множества SZ; czj={c4i=u;, где io - количество соединений между исследуемым сервисом SI и зависимым сервисом SZJ. Этап 4. Расчет коэффициента влияния ИТ-сервиса на зависимые сервисы.
Составляем множество М, включающее в свой состав метрики, используемые для оценки влияния ИТ-сервиса на зависимые сервисы: М ={mr\r = U0, где г0 - количество метрик, используемых в вопросе о влиянии ИТ-сервиса на зависимые сервисы.
Составляем множество WM, включающее в свой состав метрики, используемые для оценки влияния ИТ-сервиса на зависимые сервисы: WM ={wmrj,r = U. 4.3. Формирование допустимых значений для каждой метрики. Составляем множества MX, включающие в свой состав максимальные значения метрик: MX ={mxrj,r = U. Составляем множества MI, включающие в свой состав минимальные значения метрик: МІ ={тіДг = й.
Разработка программной системы для мониторинга показателей ИТ-сервисов в СОА
В информационных системах с сервис-ориентированной архитектурой, как и в системах с традиционной архитектурой, основными целями системы защиты информации являются: а) обеспечение устойчивого функционирования всех подразделений организации; минимизация возможного ущерба; обеспечение конфиденциальности, целостности, доступности информации; б) повышение качества предоставляемых услуг и гарантий безопасности прав и интересов пользователей. Тем не менее, управление информационной безопасностью в ИС с СОА должно осуществляться с учетом специфики сервис-ориентированной архитектуры, что выражается в ряде положений: - динамичность изменений системы информационной безопасности в зависимости от требований бизнес-владельцев и пользователей сервисов, а также бизнес-процессов; - высокие требования к структурированности процессов управления ИБ сервисов; - управление идентификацией сервисов и распространение этих данных в рамках всей организации и ИТ-инфраструктуры; - управление ИБ в целом ряде систем и сервисов, которые вызываются в разнообразных сочетаниях и последовательностях и реализованы на различных платформах, приложениях и технологиях; - управление ИБ при формировании композитных сервисов в зависимости от логики бизнес-процесса, т.е. решение задач безопасности в динамичном режиме при формировании некоторой последовательности вызова сервисов в ходе реализации бизнес-процесса; - обеспечение требуемого уровня безопасности для композитных приложений (поскольку сервисы характеризуются различными уровнями ИБ, то требуется определять, как это будет влиять на уровень безопасности композитного сервиса); - управление ИБ композитных сервисов, выходящих за корпоративные границы (бизнес-процесс может запускать (вызывать) как внутренние, так и внешние сервисы; бизнес-процесс может запускать последовательность сервисов от различных поставщиков); - управление влиянием инцидентов, связанных с информационной безопасностью, одного сервиса на уровень безопасности других сервисов и всей системы в целом; - управление соответствием системы ИБ постоянно возрастающему числу корпоративных и промышленных стандартов и др.
Под уровнем ИБ сервиса понимается достигнутый в текущий момент уровень защищенности ИТ-сервиса с учетом показателей системы мониторинга.
Прежде, чем переходить к решению задачи мониторинга уровня информационной безопасности ИТ-сервисов в ИС с СОА, необходимо определить виды угроз ИБ ИТ-сервисов, которые появляются в связи с переходом к СОА, и какие уязвимости ИС с СОА спосооствуют повышению рисков ИБ ИТ-сервисов. Для этого целесообразно, прежде всего, рассмотреть модель построения защиты информации в ИС с СОА (рис. 20). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, международным и отечественным стандартам; ГОСТ Р ИСО/МЭК 15408 «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», стандарту ГОСТ Р ИСО/МЭК 17799-2005 «ИТ. Практиче 59 ские правила управления информационной безопасностью», стандартам серии ГОСТ Р ИСО/МЭК 27000 [15, 16, 17, 18, 24]. Модель построения защиты информации в ИС с СОА может быть представлена как совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности ИС и на сохранность информационных ресурсов.
В качестве объективных факторов, влияющих на ИБ ИС с СОА, рассматриваются: - угрозы информационной безопасности ИТ-сервисов, характеризующиеся вероятностью возникновения и вероятностью реализации; - уязвимости ИТ-сервисов и информационной системы с СОА в целом или системы контрмер (система информационной безопасности (СИБ), система управления информационной безопасностью (СУИБ), в состав которой входит сервис управления ИБ в СОА), влияющие на вероятность реализации угрозы; - риски - факторы, отражающие возможный ущерб организации в результате реализации угрозы информационной безопасности: нарушения конфиденциальности, целостности или доступности информации.
В соответствии с данной моделью для построения системы информационной безопасности первоначально проводится анализ рисков в области информационной безопасности. Затем определяется оптимальный уровень риска для организации на основе заданного критерия, после чего систему информационной безопасности (контрмеры) строят таким образом, чтобы достичь заданного уровня риска.
Использование данной модели требует учета взаимосвязей между объектами защита-ми, в данном случае, между ИТ-сервисами. Например, недоступность одного ИТ-сервиса может привести к потере данных, невозможности запуска или вызова другого ИТ-сервиса, незавершенности выполнения бизнес-процесса, выходу из строя другого критически важного ИТ-сервиса ИС. Подобные взаимосвязи влияют на построение модели ИС с позиции ИБ и обуславливают следующие действия: - для выделенных ИТ-сервисов определяется их ценность, как с позиций возможных финансовых потерь, так и с позиций возможного ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. - описываются взаимосвязи ИТ-сервисов и оценивается роль каждого сервиса в СОА; - определяются угрозы безопасности ИТ-сервисов и оцениваются вероятности их реализации. При выполнении выше указанных действий можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей эффективноетью. Рассмотрим виды угроз ИБ и уязвимости ИС с СОА (табл. 6).
