PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA MODELLAZIONE DELLE INTERDIPENDENZE. Definizione di infrastrutture critiche

Transcript

1 tesi di laurea PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA MODELLAZIONE DELLE INTERDIPENDENZE Anno Accademico relatore Ch.mo prof. Valeria Vittorini correlatore Ch.mo prof. Stefano Marrone candidato Stefano Guerra Matr. 832/109 Definizione di infrastrutture critiche Le infrastrutture critiche sono sistemi complessi altamente dipendenti tra di loro reti e beni che forniscono servizi essenziali alla nostra vita di ogni giorno La definizione che segue è quella attualmente utilizzata dal Dipartimento di Homeland Security Americano: systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters (Homeland Security Act of 2002) Sebbene non esista una classificazione unica, la maggior parte delle nazioni hanno individuato la seguente classificazione: infrastrutture per la produzione, trasporto e distribuzione di energia (elettrica, gas, ecc.); infrastrutture di telecomunicazioni; circuiti bancari e finanziari; sistema sanitario; infrastrutture di trasporto (aereo, viario, ferroviario, navale, ecc.); infrastrutture per la raccolta, distribuzione e trattamento delle acque superficiali; servizi di emergenza; filiera alimentare. La protezione delle infrastrutture critiche è un obiettivo strategico per garantire la sicurezza ed il benessere di una comunità -> necessità della valutazione di IC 1

2 Problematiche specifiche Aspetto fondamentale è l interdipendenza tra CI, strettamente legata ai concetti di affidabilità e sicurezza La Protezione delle infrastrutture critiche è una priorità per la maggior parte dei paesi e numerose iniziative sono in atto per individuare soluzioni attuabili, soprattutto al fine di identificare le vulnerabilità, Rischi relativi a sistemi dependability inseriti in un contesto di infrastrutture critiche ( guasti, errori e fallimenti) In particolare si individuano tre tipologie di possibili fallimenti nell ambito delle CI: Fallimenti a cascata - Escalation di fallimenti - Fallimenti con causa comune Approcci esistenti: 1. Model based Matrice di Leontief -> Equazioni algebrico-differenziali (Haimes Y.Y., 2001) Grafi delle interdipendenze -> Dipendenze tra diverse infrastrutture (Svendsen et al., 2007) Reti di Petri -> Stochastic Activity Networks (Chiaradonna et al., 2007) Reti Bayesiane Dinamiche -> Reti di bayes dove viene considerato il tempo (Jha, 2009) 2. Experimental evaluation -> Valutazione della dependability del sistema realizzato attraverso testing (Silva et al., 2005) Fault Injection -> Iniezione di errori nel sistema al fine di testarlo nello stato di errore Robustness/Stress Testing -> Analisi del comportamento del sistema in situazioni limite 3. Composite evaluation -> Utilizza gli approcci elencati precedentemente, combinandoli nel modo più opportuno Obiettivo della tesi L obiettivo è quello di investigare sugli approcci model-driven ai fini della valutazione delle infrastrutture critiche e delle loro interdipendenze. A tal scopo sono stati studiati alcuni approcci presenti in letteratura e la loro possibile integrazione per sfruttare i vantaggi apportati da ognuno di essi. Gli approcci individuati sono: UML-CI -> Linguaggio specifico del dominio delle Infrastrutture Critiche MARTE-DAM -> Linguaggio generico per la modellazione delle caratteristiche di affidabilità (dependability) dei sistemi critici a partire dall analisi della letteratura esistente la tesi propone un profilo che integra i vantaggi di UML-CI e MARTE-DAM e quindi di mostrare la fattibilità del processo di estensione degli elementi UML al fine di poter modellare le infrastrutture critiche e le interdipendenze tra esse Il linguaggio così definito è stato applicato al caso di studio esemplificativo della metropolitana di Napoli 2

3 UML-CI Questo profilo consente di modellare un'infrastruttura attraverso cinque metamodelli principali: 1. Ownership and Management Metamodel -> Aspetti gestionali di una IC 2. Structure Metamodel -> Elementi e relazioni che compongono l'infrastruttura 3. Resource Metamodel -> Funzionalità di un'infrastruttura 4. Threat, Risk, Vulnerability (TRV) Metamodel -> modella le Minaccie, i rischi, e la vulnerabilità 5. Relationship Metamodel -> Fornisce varie metaclassi utili per evidenziare le relazioni esistenti tra le varie componenti dell'infrastuttura UML-CI, per quando concerne i rischi, le minacce e la vulnerabilità non risponde alle aspettative: la definizione di Risk come estensione del concetto di Hazard non ha pieno riscontro con le definizioni ormai comunemente accettate dalle comunità scientifiche ed industriali. (es. tassonomia di Laprie) MARTE Analisi e modellazione di sistemi real-time e sistemi Embedded La specifica MARTE può essere considerato il primo passo verso l introduzione della specifica di NFPs all interno di modelli UML. E' uno standard OMG Le specifiche di Non-Functional Properties possono essere di tipo: Qualitative Quantitative E' prevalentemente orientato alla verifica dei seguenti punti di interesse: Prestazioni QoS Schedulability 3

4 MARTE DAM MARTE-DAM è una proposta di estensione per il profilo MARTE (analisi quantitativa generale) che si focalizza sulla dependability (disponibilità, replicazione, manutenibilità, etc...) fornisce un framework assestato per la modellazione e la specializzazione dei concetti di dependability in diversi contesti Esso è composto da un set di package: System: Core -> Modella i concetti generali di sistema e di servizio (rappresenta il modello da analizzare) Redundancy -> Introduce i costrutti di ridondanza e replicazione (viene incluso questo package perchè non possiamo modellare l architettura di tolleranza al danno) Threats -> Introduce le minacce su un sistema a differenti livelli Maintenance -> Introduce le azioni di repair e recovery ed anche il reallocation e il riconfiguration su un sistema Integrazione tra UML-CI / MARTE-DAM Il modello UML-CI pur presentando peculiarità nell ambito della modellistica dei IC, non si adatta pianamente alle esigenze progettuali del caso di studio. E stato proposto un modello unificante che integra i vantaggi di UML-CI e MARTE-DAM e quindi, un profilo essenziale che mette in evidenza un uso molto forte di MARTE-DAM con una visione sul dominio applicativo di UML-CI. Di seguito viene riportato il package Threats e Maintenance 4

5 Estensione proposta: interdipendenze tra ICs Tra le tipologie di interdipendenze presenti in letteratura, sono state individuate in ambito ferrovario alcune di maggior interesse: Capacity Failure Recovery (intra-infrastrutturale) SI PROPONE UN ESTENSIONE DEL METAMODELLO IN TAL SENSO Si osservi come la classe infrastruttura si relaziona con se stessa mediante la relazione relies on Questa relazione può essere specificata mediante due relazioni Capacity e Failures Ciò consente di analizzare più nel dettaglio le varie tipologie di avarie che si possono verificare sul sistema oggetto di studio Il caso di studio di un'infrastruttura ferroviaria Il caso di studio preso in esame è una porzione della metropolitana di Napoli, limitandosi ad analizzare cinque stazioni Gli aspetti modellizzati sono la gestione degli scambi, il sistema semaforico, passaggi a livello e un sistema di telecomunicazioni Tale infrastruttura è in stretta interconnessione con l infrastruttura elettrica, con la rete di telecomunicazioni e con la rete idrica si osservi, nella vista dell infrastruttura ferroviaria ad alto livello, come l infrastruttura Metro interagisce con i sottosistemi (Model): LAN, Central control e Station 5

6 Conclusioni Studio delle metodologie di modellazione ed analisi per la valutazione delle infrastrutture critiche E' stato proposto un profilo integrante la potenza di MARTE-DAM con il focus sul dominio applicativo di UML-CI Estensione alle interdipendenze in campo ferroviario Ottimizzazione del profilo creato Approfondimento del caso di studio Integrazione di altri tipi di interdipendenze Studio di meccanismi trasformazionali per la generazione di modelli per l'analisi 6