Консалтинг в области разработки ПО
|
|
|
Реклама:
Наши партнёры:
Наша рассылка:
Работа с Web-сервисами в корпоративных SOA: Часть 12. Разработка Web-сервисов управления риском в SOA с использованием IBM Rational ClearQuestСтатьи → SOA и Web-сервисыВведениеЧасть 10, этой серии статей, была посвящена использованию глубокой защиты для обеспечения безопасности ваших SOA. Вам была продемонстрирована центрированная модель трехслойной системы защиты. Вы можете использовать эту модель для преодоления недостатков, характерных для некоторых технологий, и средств управления, динамично маневрируя между лучшими ресурсами. То, что образует каждый слой, с учетом защитной позиции, зависит от бизнес-стратегии организации и концепции защиты SOA. Вы видели как стратегии защиты и средства контроля могут базироваться на основе технологий — и наоборот: как технологии и средства контроля могут базироваться на основе стратегий защиты и программ. За пределами глубокой защитыВам нужно больше чем глубокая защита. Процесс разработки Web-сервисов в SOA всегда сопровождается неопределенностями. Неопределенность возникает, когда неизвестно распределение вероятностей (случайное распределение). Введите данные риска для установления распределения вероятностей. Риск — это вероятность фактора угрозы, пользующийся одной или несколькими уязвимостями. В этой статье описывается традиционный жизненый цикл риска в SOA: Web-сервисы анализа риска, оценки риска и управления риска. Мы рассматриваем увеличение жизненного цикла для включения других Web-сервисов: прогнозирования риска, стратегий риска, технических требований риска и мониторинга риска. Вы увидите, почему для работы с файлами, которые своевременно динамически зависят от других, необходимы нелинейные очереди. Традиционный жизненный цикл рискаАнализ риска — это метод идентификации рисков и оценки потенциальных повреждений для настройки средств контроля и мер безопасности. Оценка риска — это процесс идендификации активов, угроз и уязвимостей, измерения рисков и их приоритезации. Вы можете использовать количественный или качественный подход для определения манеры возникновения угроз. Примером количественного подхода является оценивание с помощью вероятностей. А отнесение риска к рискам повышенной (H), средней (M) или сниженной (L) степени — пример качественного подхода. Вам необходимо управлять рисками таким образом, чтобы каждая угроза эксплуатировала одну или несколько уязвимостей, и снизить риски до приемлемых уровней с наименьшими затратами на контрмеры. Управление риском — это процесс снижения риска до приемлемого уровня и применения мер безопасности и средств контроля для поддерживания этого уровня риска и получения доходов от инвестиции (ROI). ROI для каждой меры безопасности — показатель того, насколько используемая вами мера безопасности оправдывает инвестиции в снижение рисков. Применение мер безопасности не завершает процесс анализа, оценки и управления рисками. Процесс продолжает обратная связь с предыдущими этапами жизненного цикла, реагируя на экономически значимые изменения системных активов, уязвимостей, угроз, стратегий и требований. Чтобы вместить больший диапазон угроз, уязвимостей и рисков современного мира, необходимо увеличить жизненный цикл риска. Для наглядности рассмотрим риск непредумышленной ошибки пользователя, когда некорректный ввод данных на экран приводит к системной ошибке. Сниженный или повышенный риск?До крупной системной ошибки степень риска непредумышленной ошибки пользователя можно считать низкой, благодаря корректному вводу данных пользователем ранее. Одна контрмера была применена с целью обратить внимание пользователя на некорректность вводимых данных. Другая контрмера обеспечила пользователей учебной программой. После первой ошибки системы степень риска возросла. Вследствие чего были приняты новые контрмеры, такие как кадровая безопасность в первой линии защиты и аттестация программного обеспечения на проведение процедур проверки достоверности для защиты системы от непредумышленной ошибки пользователя во второй линии защиты. Прогнозирование необходимостейЕсли бы мы спрогнозировали необходимость изменить рейтинг риска до того, как произошла непредумышленная ошибка системы, то степень риска непредумышленной ошибки пользователя была бы выше, и были бы приняты дополнительные контрмеры. Итак, пусть первой фазой жизненого цикла будет прогнозирование необходимостей управления риском. Перед фазой анализа риска необходимо добавить еще 2 фазы: стратегии и требования управления риском. Включения в стратегииДанные о необходимости управления риском, полученные во время прогнозирования, включаются в стратегии управления риском. Стратегия должна быть четко задана таким образом, чтобы общую картину можно было преобразовать в задачи, которые вы можете использовать для измерения протекания каждой фазы цикла. Например, когда стратегия требует снижения риска авиакатастрофы до более приемлемого уровня, задачами, поддающимися измерению будут такие показатели как вычисление вероятности годовых убытков и ROI мер безопасности. Планирование требований.От задач мы переходим к планированию требований упраления риском, включая переоценку модифицируемой системы программного обеспечения в заданных временных рамках, как 3 года и меньше. В требованиях должен также указываться вид документации, соответствующий правилам техники безопасности оценки и управления рисками, для обеспечения защиты системы от непредумышленной ошибки пользователя. Мониторинг измененийПо завершении задач по упралению риском мы добавляем к жизненному циклу еще одну фазу — мониторинг изменений. Необходимо контролировать качество реакции оркестраторов на изменения рисков, угроз, уязвимостей, требований и организационных структур. С помощью электронной почты мы можем получить предупреждение о критических моментах или опасности системных перегрузок в ходе операций. Первичный оркестраторИтак, мы увеличили жизненный цикл Risk Web-сервиса, состоящий из следующих Web-сервисов, каждый из которых представляет собой фазу цикла:
Risk Management Web-сервис (Web-сервис управления риском) одновременно является и частью жизненного цикла, и первичным оркестратором Web-сервисов первого уровня. Как показано на рисунке 1, эти сервисы динамично отвечают на его запросы ресурсов Risk Management (управления риском) в зависимости от потока деятельности и изменения параметров отслеживания. Рисунок 1. Первичный оркестратор  Вы можете довершить это IBM Rational ClearQuest для иерархии оркестраторов. Вторичный оркестраторПусть Risk Analysis Web-сервис (Web-сервис анализа риска) — вторичный оркестратор. См. рисунок 2. Рисунок 2. Вторичный оркестратор  Фазу анализа мы делим на:
Мировая компания может использовать оркестратор анализа для обновления информации об активах — людях, технологиях и средствах — из всех своих организационных единиц в разных SOA. Этот оркестратор можно запрограмировать на рассылку e-mail предупреждений о несостоятельности обновлений. То же самое можно сделать для Web-сервисов идентификации уязвимостей и угроз. Web-сервис сопоставления угроз и уязвимостейСамая интересная часть анализа риска — сервис сопоставления уязвимостей и угроз. Этот сервис сопоставляет уязвимость с несколькими угрозами, подразумевая, что одна и та же уязвимость может использоваться несколькими угрозами. Возможно также использование одной и той же уязвимости в создаваемой SOA одними угрозами в одной и другими угрозами в другой SOA. Точно также этот сервис сопоставляет одну угрозу с несколькими уязвимостями, подразумевая, что одна и та же угроза может использовать несколько уязвимостей. Одна угроза может воспользоваться какой-либо группой уязвимостей в одной SOA и другой группой — в другой SOA. Угроза может быть непредумышленной, умышленной или созданной человеком. Все усложняется, когда объекты перемещаются в сети из одной точки в другую и из одной SOA в другую, динамично изменяя диапазон угроз, уязвимостей и рисков. На рисунки 3 сервис сопоставления представлен как другой оркестратор для координирования этих изменений. Рисунок 3. Оркестратор третьего уровня  Использование Rational ClearQuest поможет вам проследить за изменениями в потоке деятельности Web-сервисов на этом уровне. Нелинейные очереди оркестраторовС возросшей сложностью Web-сервисов, зависящих от других при выполнении серии задач, всегда есть вероятность того, что один-два файла одного Web-сервиса не совметсимы с некоторыми файлами других Web-сервисов. Единственный способ справиться с такой нетерпимостью — создать нелинейные очереди в Web-сервисах, часто требующих связи с другими. Когда принимающая нелинейная очередь принимает файл из внешнего Web-сервиса, созданный Web-сервис перемещает этот файл в другую нелинейную очередь, которая доступна для немедленной связывающей оптимизации с другими файлами, которые ждали их в ближайшее время. Rational ClearQuest отслеживает изменения в способе связи файлов. ВыводыРазработка Web-сервисов для управления рисками в SOA требует заранее составленного плана: прогнозирование необходимостей, составление концепции стратегии, формулировка требований, проведение анализа и оценки, преодоление риска и мониторинг результатов. Стадия планирования также включает в себя определение того, какие участки жизненного цикла должны быть оркестраторами на разных уровнях структуры жизненного цикла риска. Вам необходимо обсудить обеспечение адекватного управления рисками с группой системных администраторов, бизнес аналитиков и разработчиков. Вы непременно найдете, что решение этих вопросов существенно облегчит разработку Web-сервисов для преодоления рисков. Вы можете использовать IBM Relational ClearQuest для автоматизации процессов разработки с помощью гибкого управления потоком действий и отслеживания дефектов и изменений. После разрешения этих вопросов работа администраторов по управлению и контролю Web-сервисов в жизненном цикле риска станет легче. Они смогут определить, сколько файлов может быть создано и использовано без системных прегрузок. 21.02.2008 Комментарии
Добавить комментарий (анонимные комментарии не публикуются!!!)
Новости и пресс-релизы СМ-Консалт08.05.2012 18:00:34
Продолжительность тренинга составляет 2 или 3 дня по выбору. Целевая аудитория:
начальники отделов, менеджеры проектов, директора, руководители
проектов внедрения, бизнес-аналитики, специалисты команды внедрения.
21.02.2012 14:21:11 Продолжительность тренинга составляет 2 или 3 дня по выбору. Целевая аудитория: начальники отделов, менеджеры проектов, директора, руководители проектов внедрения, бизнес-аналитики, специалисты команды внедрения. 21.02.2012 12:42:20 16.01.2012 20:09:00 Продолжительность тренинга составляет 2 или 3 дня по выбору. Целевая аудитория: начальники отделов, менеджеры проектов, директора, руководители проектов внедрения, бизнес-аналитики, специалисты команды внедрения. 27.12.2011 16:15:27 26.12.2011 21:05:28
В блоге Новичкова Александа доступен отчет авторов тренинга «Коммуникации и психология межличностных отношений в ИТ-проектах». В целом, тренинг завершился положительно - средний балл за интересность по 5 бальной шкале - 4,2 балла. 28.11.2011 20:09:21 Продолжительность тренинга составляет 2 или 3 дня по выбору. Целевая аудитория: начальники отделов, менеджеры проектов, директора, руководители проектов внедрения, бизнес-аналитики, специалисты команды внедрения. 28.11.2011 18:31:55 28.11.2011 15:05:11 10.10.2011 11:16:06 17.09.2011 21:40:22 На сайте СМ-Консалт открыт новый раздел Статьи наших заказчиков об успешных внедрениях IBM Rational и Microsoft. Статьи для данного раздела пишутся нашими заказчиками и рассказывают о сути проектов внедрения технологий IBM и Microsoft. Первая статья, представленная вашему вниманию написана сотрудниками Иркутского Авиационного Завода (ИАЗ).
Иркутский авиазавод имеет длительный опыт разработки программного
обеспечения для информационной поддержки ключевых бизнес-процессов
предприятия. Однако, в связи с увеличивающейся сложностью и повышением
требований к разрабатываемому программному обеспечению, возникла
настоятельная необходимость усовершенствовать процесс разработки:
повысить качество разрабатываемых программных продуктов,
стандартизировать процесс с увеличением его эффективности.
13.09.2011 12:07:29 Компания «СМ-Консалт» представляет новый тренинг, организуемый совместно с компанией «КарьерKаб» - «Коммуникации и психология межличностных отношений в ИТ-проектах. Тренинг позволит понять, насколько коммуникации в проектах важнее инструментов, что люди и их взаимоотношения зачастую оказываются решающим фактором, определяющим успех проекта. Если более пятидесяти процентов рабочего времени вы тратите на взаимодействие с заказчиком, если вам небезразлична судьба вашей команды и вы хотите, чтобы ваша команда работала как часы, реализуя проекты точно, вовремя и без перерасхода ресурсов - наш тренинг поможет в этом. 25.08.2011 13:46:04
Наша компания специализируется на консалтинге и внедрении инструментов и методологий IBM Rational, Microsoft и др. для повышения эффективности процессов разработки и сопровождения программного обеспечения.
03.08.2011 14:05:11 01.08.2011 17:44:25
В 2010-2011 гг. наши специалисты провели в Нордеа Банке проект по предварительному обследованию, развертыванию инструментальных средств и ряд тренингов по обучению методологии и работе с продуктами IBM Rational: «Методология разработки программных систем IBM Rational Unified Process», «Управление требованиями с использованием IBM Rational RequisitePro», «Управление изменениями в IBM Rational ClearQuest». 24.06.2011 01:27:57 Планируемая продолжительность семинара - 8 академических часов. Место проведения: Санкт-Петербург (очно) и Интернет (для всех желающих: приходите сами и приглашайте друзей!). Дата и время: 14 июля 2011 в 9 00.
ВНИМАНИЕ: если вы не сможете очно приехать на семинар - это не страшно, так как семинар будет транслироваться через интернет в формате вебинара и к нему, после регистрации, смогут присоединиться все желающие. Трансляция будет осуществляться посредством технологии Adobe Connect Pro , это позволит Вам присоединяться к конференции без установки дополнительного ПО - только интернет браузер. 07.06.2011 13:02:44
Проведенные семинары были посвящены средствам разработки и тестирования программного обеспечения компании Майкрософт для сотрудников ГНИВЦ ФНС России. Слушатели семинаров отметили высокую квалификацию тренеров компании "СМ-Консалт" по организации учебного процесса и повышению квалификации специалистов, прошедших обучение. 07.12.2010 12:28:15
Наша компания открыла аккаунт в системе микроблоггинга Twiter.Теперь все официальные и неофициальные новости будут появляться в нашей ленте в Twitter. Следуйте за нами! 11.11.2010 14:14:14 09.09.2010 16:11:03 Если вы хотите сэкономить время или у вас не получается сразу и эффективно настроить наши решения на вашу схему ClearQuest, то вы можете прислать свою схему ClearQuest нам и специалисты СМ-Консалт бесплатно в течение 3х рабочих дней:
08.09.2010 18:37:52
Компания СМ-Консалт предлагает для всех желающих на льготных условиях приобрести программное обеспечение IBM Rational. Снижение цен связано с тем, что мы стараемся быть как можно ближе к нашим клиентам, многие из которых постепенно начали преодолевать последствия финансового кризиса.Наше предложение поможет с минимальными издержками приобрести ПО IBM Rational, что является хорошим капиталовложением.
07.09.2010 13:53:40 02.09.2010 14:41:12
Компания СМ-Консалт и Федеральный Национальный банк Бразилии (ФНББ) объявляют об успешном завершении проекта по поставке и внедрению решения СМ-Консалт - GanttChart for ClearQuest. Руководство ФНББ, понимая ограничения использования IBM Rational ClearQuest в части проектного управления, обратилось в СМ-Консалт с просьбой поставки и адаптации GanttChart for ClearQuest под свои потребности. 02.09.2010 14:17:23 В августе 2010 года специалистами компании «СМ-Консалт» были выполнены работы по обучению и консультированию сотрудников компании «Метран» методологии и инструментальным средствам процесса управления конфигурациями – IBM Rational Software ClearCase и ClearQuest. Был проведен тренинг-консультация «Практика и технология внедрения процесса конфигурационного управления и управления изменениями на основе IBM RUP, ClearCase и ClearQuest».
В тренинге принимали участие ведущие специалисты и руководители отделов компании «Метран». 29.06.2010 13:07:07 |
