Содержание к диссертации
Введение
Глава 1. Проблема организации виртуальных защищенных сетей в системе управления ГПС МЧС
1.1, Исследование существующих технологий защиты информации, передаваемой в системе управления ГПС МЧС
1.1.1. Обзор применяемых средств обмена информацией 21
1.1.2. Определение требований по защите передаваемой информации
1.13. Анализ методов и средств, используемых для защиты передаваемой информации 7
1.1 4 Оценка степени реализуемости требований по защите передаваемой информации 41
1.2. Обоснование необходимости организации виртуальных защищенных сетей
12 1 Анализ технологии виртуальных защищенных сетей 41
12.2. Сравнение возможностей технологии виртуальных защищенных сетей и традиционных методов и средств по защите передаваемой информации 53
1.2.3. Формулирование проблемы организации виртуальных защищенных сетей в системе управления ГПС МЧС
1.3 Постановка задачи организации виртуальных защищенных сетей
1.3.1. Содержательная формулировка задачи 58
1.3.2. Формальная постановка задачи 65
1.3.3. Стратегия решения задачи 68
Глава 2. Разработка составляющих методики построения и управления структурой виртуальных защищенных сетей
2.1.. Структурный синтез сети 70
2.1 1. Определение исходных данных, ограничений и допущений 71
2.1.2. Выбор метода синтеза 79
2.1 3. Разработка алгоритма структурного синтеза 84
2.2. Параметрический синтез сети 96
2.2.1 Определение характеристик узлов виртуальной защищенной сети 109
2.2.2. Алгоритм размещения аппаратных и программных средств защиты в узлах сети
2.3. Реструктуризация виртуальных защищенных сетей 114
115
2.3.1 Анализ факторов, требующих изменения структуры виртуальной защищенной сети 117
2.3.2. Разработка алгоритма реструктуризации виртуальной защищенной сети 124
2.4. Оценка качества алгоритмов 12
Глава 3. Разработка и применение методики построения и управления структурой виртуальных защищенных сетей
3.1. Описание состава и порядка применения методики 124
3.2. Пример реализуемости методики 126
3.3. Оценка эффективности перспективных виртуальных защищенных сетей
3.3.1. Выбор показателей и критерия эффективности 127
3.3.2 Разработка методики оценки эффективности 133
3.4 Определение направлений совершенствования защиты
информации на базе виртуальных защищенных сетей в системе 137
управления ГПС МЧС
Заключение 142
Список использованных источников
- Обзор применяемых средств обмена информацией
- Оценка степени реализуемости требований по защите передаваемой информации
- Определение характеристик узлов виртуальной защищенной сети
- Оценка эффективности перспективных виртуальных защищенных сетей
Введение к работе
Актуальность темы диссертационного исследования
обусловлена необходимостью внедрения в систему управления ГПС МЧС
России методов и систем защиты информации, основанных на применении современных технологий безопасности информации, позволяющих выполнять требования по защите ведомственной информации в процессе ее обработки и передачи.
В новых условиях, когда наблюдается стремление информационных сетей к глобализации, а информационные потоки подвергаются различным рискам, роль научного подхода в решении актуальных задач обеспечения безопасности информации существенно возрастает. При этом особое значение приобретает использование математических методов и современных информационных технологий.
Проблема защиты передаваемой информации особенно актуально стоит перед государственными министерствами и ведомствами. Состояние напряженности в области обеспечения защиты информации и постоянный контроль безопасности в странах, лидирующих в области высоких технологий, создают предпосылки для развития теории в области защиты информации нежели неравновесное состояние защиты информации в российском информационном пространстве, где угрозы и риски безопасности остаются теми же, но неравномерность процесса развития области безопасности, характеризующаяся отсутствием стабильности и линейности развитип производства и регулярности использования средств защиты информации, как в государственных, так и коммерческих организациях. Поэтому перед отечественной наукой встает задача критического пересмотра стандартных допущений, используемых в традиционных моделях зарубежной теоретической базы, и выработки новых решений, адаптированных к специфическим условиям российского информационного пространства в целом и его отдельных субъектов.
В частности, в США, где этому вопросу уделяется огромное внимание, работы по повышению устойчивости государственных компьютерных
систем к различного рода электронным воздействиям активно ведутся начиная с середины 90-х годов. В 1995 г. была поставлена задача изучения уязвимости жизненно важных инфраструктур. Для координации этих работ в 1996 г. создана соответствующая Президентская комиссия-Неопределенность будущих изменений в области информационной безопасности порождает необходимость решения двух важнейших проблем. Первая из них состоит в определении необходимости защиты передаваемой информации и степени этой защиты, которая должна соответствовать важности информации (адекватно отражать потребности владельца информации в ее защите). Вторая заключается в разработке надежных способов и методов реализации и поддержки защиты информации, исходя из необходимых требований защищенности информации с учетом национальной специфики. Решение этой проблемы предполагает определение возможных вариантов системы защиты передаваемой информации, выбор из них наиболее вероятных, а также оптимизацию структуры системы из прогнозируемых вариантов изменения внешних условий, срока эксплуатации системы и других расчетных параметров.
Существующие проекты и модели систем обеспечения безопасности передаваемой информации, разработанные различными авторами в рамках теории информации, е большинстве своем учитывают общие риски и угрозы передаваемой информации, не рассматривая нужды конкретного государственного ведомства, например, ГПС МЧС России. Поэтому их возможности в условиях такой среды нуждаются в тщательном тестировании, что алечет за собой затраты на дополнительные исследования. В сложившейся ситуации, на мой взгляд, целесообразнее провести исследование в области поиска реализации системы защиты информации отдельно для каждого ведомства, основываясь на его структуре, выполняемых им функциях и учитывая его потребности в защите информации. Стремление минимизировать остаточный риск, защита от которого не обеспечивается традиционными методами, порождает необходимость разработки альтернативных систем защиты информации,
в гибко настраиваемых на изменяющиеся условия как российского законодательства, так и информационной среды.
Проблема оптимизации систем защиты информации, обрабатываемой и передаваемой по открытым каналам связиг особенно актуальная для государственных учреждений, до настоящего времени вообше не получила удовлетворительного решения в России.
Несмотря на богатый опыт, накопленный многими зарубежными и международными организациями в области защиты передаваемой по открытым каналам информации, первые шаги на пути теоретического решения этой проблемы были сделаны лишь в 1990-е годы. При этом потребовалось обращение к нетрадиционному математическому аппарату -теории нечетких множеств и теории нейронных сетей. Исследования, предпринятые в этой области, доказали перспективность такого направления научного поиска. Однако в этих работах не была сформулирована целостная теория, а также не была рассмотрена возможность применения формализованных методов при их реализации.
Формирование и развитие потребности в безопасности информации в России вызвало появление соответствующих научных исследований. Среди них можно отметить работы Осмоловского С.А., Молдовяна Н.А. и т.д. Однако авторы большинства публикаций, появившихся в отечественной печати в последние годы, либо игнорируют несомненные достижения зарубежной науки, либо некритично переносят основные результаты зарубежной теории информации и защиты информации на российскую почву.
Такое положение вещей определило потребность в теоретических разработках, опирающихся из модели зарубежных теорий по защите информации и одновременно учитывающих особенности российских условий, а также в эмпирических исследованиях, посвященных вопросам тестирования сравнительной эффективности различных реализаций и моделей систем защиты информации на отечественном информационном пространстве. Осуществление данных исследований является необходимым условием повсеместного научного внедрения методов
защиты и безопасности информации в практику работы государственных учреждений и ведомств как участников российского информационного пространства.
Подключение ведомственных информационно-вычислительных сетей к сетям общего пользования значительно увеличивает возможности как должностных лиц по количеству и объемам используемых информационных сервисов, так и потенциальных нарушителей по осуществлению несанкционированных воздействий на передаваемую по этим сетям информацию. Поэтому существенной является возможность использования технологии VPN (virtual private network), именуемой в дальнейшем технологией виртуальных защищенных сетей, для организации защиты передаваемой информации путем применения совокупности технологий шифрования, инкапсуляции, трансляции сетевых адресов и т.д.
Несмотря на большое количество работ [3,4,5 и др.]; в которых уже рассматривались эти вопросы, существует множество нерешенных задач. Особенно много таких задач имеется в государственных структурах. Нередко объекты министерств и ведомств оснащаются разнородными, разнотипными средствами защиты информации, а во многих случаях отсутствует действенная защита передаваемой информации.
Анализ литературы показывает, что в настоящее время задача синтеза системы безопасности компьютерных сетей ГПЧ МЧС России еще не решена окончательно. В этом ведомстве задачи защиты передаваемой информации решаются фрагментарно, выделением разнородных сил и средств. При этом регулярно осуществляется передача информации по открытым общедоступным каналам связи и доступ в глобальную сеть Internet. С развитием информационной инфраструктуры должностные лица ГПС в своей служебной деятельности все чаще используют предоставляемые глобальными и региональными сетями информационные сервисы и с течением времени этот процесс стремительно нарастает.
Отмеченное позволяет выделить сложившееся противоречие; при
отсутствии строгой ведомственной политики и нормативно-правовой базы в
отношении использования защиты передаваемой информации, при
недостаточном внимании к организации такой защиты в государственных
стандартах (ГОСТ Р ИСО/МЭК 15408-1-2002, ГОСТ Р 50739-95 и т.д.)
предъявляются требования по защите информации, а также проведенный в
рамках исследования опрос должностных лиц системы управления ГПС
показал, что помимо того, что они считают применение защиты
передаваемой информации необходимым, они в своей повседневной
деятельности сталкиваются с угрозами обрабатываемой ими служебной
информации. Помимо этого, служебная документация, передаваемая по
незащищенным каналам связи в открытом электронном виде, содержит
сведения, относимые Указом Президента №188 «Об утверждении перечня
сведений конфиденциального характера» к информации
конфиденциального характера, В процессе исследования выявлено противоречие между существующей потребностью в обеспечении безопасности передаваемой конфиденциальной информации в системе управления ГПС МЧС России и отсутствием систем, обеспечивающих требуемую защиту информации, а также ведомственной политики в отношении безопасности информации.
Вышеизложенное позволяет заключить, что проблемы защиты информации в государственных учреждениях и ведомствах России на современном этапе еще недостаточно решены и требуют активного внимания. Это определило выбор темы диссертационного исследования «Синтез системы безопасности компьютерных сетей ГПС МЧС России на открытых каналах связи». Сложность, многоаспектность и недостаточная разработанность целого ряда теоретических и эмпирических вопросов защиты информации, передаваемой по открытым каналам связи, объективная необходимость их научного осмысления и комплексного анализа определили выбор цели, задач, структуры и содержания исследования
Цель исследования заключается в обеспечении безопасности информационного сервиса должностным лицам ГПС МЧС России при их работе по открытым и общедоступным каналам передачи данных.
Для достижения указанной цели была поставлена и решена научная задача, заключающаяся в разработке методических основ синтеза системы защиты передаваемой по открытым каналам связи информации, не относящейся к секретной, но содержащей конфиденциальные сведения, несанкционированные действия с которыми могут повлечь возникновение
тяжких и особо тяжких последствий, а также комплекса организационно-технических предложений по повышению эффективности построения и
функционирования системы защиты информации, передаваемой по
компьютерным сетям ГПС
Существующая научная задача и сформулированная цель исследования определили задачи исследования:
Анализ системы управления ҐПС МЧС России и условий ее функционирования и выявление факторов и угроз, воздействующих на информацию: передаваемую по компьютерным сетям ГПС МЧС России.
Разработка имитационной модели угроз информационной безопасности в компьютерных сетях ГПС МЧС России.
Разработка методики синтеза и реструктуризации системы безопасности компьютерных сетей, защищаемых по технологии VPN.
Разработка организационно-технических предложений, направленных
на построение эффективной системы защиты информации, передаваемой по открытым каналам связи.
Объектом исследования являются методы и средства построения защищенных компьютерных сетей по технологии VPN.
Предмет исследования - закономерности анализа и синтеза автоматизированных программно-технических систем защиты информации и их элементов.
Информационная база исследования включает данные и нормативную базу МЧС России, МВД России, ФСБ России, Гостехкомисси России. Кроме этого в исследовании использованы основные положения отечественных и международных руководящих, нормативно-правовых, законодательных и отраслевых документов в области информатизации и защиты информации, а также характеристики современных аппаратных и программных средств защиты информации.
Методологической и теоретической основой исследования послужило использование гипотетико-дедуктивною и индуктивного методов научного познания. Достоверность научных выводов и практических рекомендаций основывается на теоретических и методологических положениях, сформулированных в исследованиях зарубежных ученых и отечественных ученых, а также на результатах тестирования
разработанных методик и моделей и их сравнительного анализа с существующими аналогами. При решении конкретных проблем использовались методы математического анализа, прикладной статистики, эконометрики, теории игр, теории массового обслуживания, теории информации, теории алгоритмов.
В процессе решения научной задачи и задач исследования были получены следующие научные результаты:
разработана модель угроз нарушения информационной безопасности в компьютерных сетях ГПС МЧС России;
разработана методика формирования вариантов построения системы безопасности на основе виртуальных компьютерных сетей;
разработана методика оценки эффективности системы безопасности компьютерных сетей;
разработаны предложения по построению и обеспечению функционирования ведомственной системы защиты передаваемой информации по открытым каналам связи на основе защищенных виртуальных сетей для компьютерных сетей ГПС МЧС России;
разработаны предложения по организации ведомственной политики в области информационной безопасности.
Теоретическая значимость исследования состоит в том, что оно показало необходимость пересмотра некоторых допущений, используемых в стандартных моделях. Основные положения и выводы, содержащиеся в диссертации, могут быть использованы при дальнейшем развитии теории по защите информации в условиях резких изменений основных параметров внешней среды.
Практическая значимость исследования состоит в том: что полученные результаты могут быть применены для защиты передаваемой информации в системе управления ГПС МЧС России, а также переработаны для применения в других государственных ведомствах и учреждениях. Целесообразность практического использования полученных решений подтверждена при помощи тестов: доказавших их эффективность, а в ряде случаев - превосходство над имеющимися аналогами. Кроме того,
результаты исследования могут быть использованы в преподавании курса «Методы защиты информации. Информационная безопасность» и
повышении квалификации специалистов в области защиты информации.
Апробация результатов исследования Основные научные
результаты исследования апробированы путем проведения их многоступенчатой экспертизы на межкафедральных семинарах и научно-практических конференциях:
1. Всероссийская научно-практическая конференция «Новые
технологии в деятельности органов и подразделений МЧС России», Санкт-
Петербург, СПб ИГПС МЧС России, 26 мая 2004 г.
2. Межвузовская научно-практическая конференция «Состояние и
проблемы превышения профессионального уровня научно-педагогических
и научных кадров военного института в интересах подготовки офицеров
внутренних войск России», Санкт-Петербург, СПб ВИВВГ 23 апреля 2004 г.
3. Международная научно-практическая конференция «Наркотики как
фактор риска возникновения и развития чрезвычайных ситуаций», Санкт-
Петербург. СПб ИГПС МЧС России, 15 апреля 2004 г.
А. Межвузовская научно-практическая конференция «Международный опыт подготовки специалистов пожарно-спасательного профиля» Санкт-Петербург, СПб ИГПС МЧС России, 20-21 января 2004 г.
По теме диссертационного исследования опубликовано 5 работ. Результаты исследования внедрены в учебном процессе Санкт-Петербургского университета ГПС МЧС России, а также при проектировании системы безопасности информации в Главном управлении МЧС Республики Коми, г.Сыктывкар.
Обзор применяемых средств обмена информацией
Телетайпная связь используется для передачи сводок и сообщений между подразделениями МЧС. Телетайпы устанавливаются в помещениях ЦППС (ЕДДС) и дежурных частях подразделений- Передачу информации ведет штатный сотрудник, прошедший подготовку по использованию телетайпа. Для передачи информации телетайпы используют проводные телефонные сети. Факсимильная связь применяется должностными лицами ГПС для отправки копий документов и сообщений в собственные подразделения и сторонние организации, осуществляемся как самими должностными лицами, так и сотрудниками ЦППС (ЕДДС). дежурных частой пс поручению должностных лиц. Для передачи факсимильных сообщений используется факс, который может совмещать в себе функции телефона, если выполнен в отдельном корпусе, либо, если выполнен в виде контроллера для компьютера, может совмещать в себе функции телефона и модема. Передача сообщений осуществляется по телефонным се_ям методом коммутации каналов. Оплата факсимильных сообіпений производится отдельно от телефонной связи по другим тарифным ставкам.
Модемная связь. Для организации модемной связи используется модемы, изготавливаемые как в виде самостоятельных устройств в отдельных корпусах, так и в виде контроллеров для компьютеров. В основном применяются устройства зарубежных производителей, исполозующих как программную, так и аппаратную реализации функций связи. Стандартной скоростью передачи данных для модемов, использующих протоколы V.92 является 56 Кбит/сек. но при снижении качества телефонных соединений скорость передачи снижается. С помощью модемов осуществляется доступ через телефонные линии к серверам и компьютерам других пользователей. Серверы, к которым осуществляют доступ сотрудники ГПС, могут предоставлять различные сервисы (от электронной почты до доступа в глобальные сети). Ввиду отсутствия централизованного контроля за установкой и использованием модемов, создаются реальные угрозы безопасности информации в компьютерных сетях подразделений ГПС.
Локальные вычислительные сети применяются повсеместно в подразделениях ҐПС МЧС России. Это способ связи компьютеров подразделения между собой. В большинстве подразделений используются одноранговые сети, однако в крупных городских и региональных центах используют серверы для организации сетей. Для организации сетей применяются сетевые контроллеры, коммутаторы, концентраторы, маршрутизаторы, кабельные системы. Вся используемая аппаратура производится зарубежными фирмами. На данный момент в а для связи компьютеров между собой ведомством используется технология Ethernet. Для Ethernet могут быть использованы кабели разных типов- тонкий коаксиальный кабель, толстый коаксиальный кабель и неэкранированная витая пара. Для каждого типа кабеля используются свои разъемы и свой способ подключения кабеля к сетевому адаптеру, в качестве наиболее применяемых проводников можно назвать «витую мару». Скорость передачи данных составляет 10-100 ]\Лбит\сек, в зависимости от применяемого оборудования. Посредством локальных сетей сотрудники ГПС МЧС России осуществляют обмен документами, используют предоставляемые сетевые сервисы (доступ к базам данных, служба коротких сообщений, электронная почта). Некоторые подразделения имеют серверы, напрямую подключенные к глобальной сети, в результате чего должностным лицам доступны предоставляемые ею сервисы
Территориально разделенные сети Intranet используются для связ/і подразделений одного города или района города между собой. Для организации таких сетей используется прямое кабельное соединение сетевого оборудования (маршрутизаторов, концентраторов) или серверов. Для обмена данными применяется стек протоколов ТСР/ІР, используемый также и в глобальной сети.
Радиосвязь нашла широкое применение в подразделениях МЧС России, так как обладает рядом преимуществ, таких как отсутствие прозодов, свободное использование выделенного диапазона частот без тарификации связи (в некоторых случаях), миниатюрность средств связи: возможность посылки широковещательных сообщений и т.п. В системе
МЧС используются следующие виды радиосвязи: транкинговая связь с помощь радиостанций, сотовая связь, спутниковая связь. Транкинговая связь с помощью радиостанций осуществляется в выделенном коридоро частот, сн един для всего ведомства, но не пересекается с аналогичными видами связи других служб. Этот тип связи используется для передачи оперативных сообщений сотрудниками, находящимися на выезде в подразделение, и для координации действий и связи сил непосредственно ив месте. Существуют стационарные радиостанции, устанавливаемые в ЦППС (ЕДДС), ППС, дежурных частях подразделений и имеющие большой радиус действия мобильные радиостанции, устанавливаемые на ведомственные транспортные средства и персональные радиостанции, выдаваемые сотрудникам на дежурстве. Используются как отечественные, так и зарубежные радиостанции. Связь осуществляется в выделенном диапазоне частот.
Оценка степени реализуемости требований по защите передаваемой информации
Виртуальная защищенная сеть (virtual private network) это зашифоованный и/или инкапсулированный процесс коммуникации, который безопасным образом передает данные из одной точки в другую, безопасности этих данных обеспечена устойчивой технологией шифрования, и передаваемые данные проходят через открытую, незащищенную, маршрутизируемую сеть.
В последнее время возрастает спрос на недорогие защищенные подключения. Б литературе, посвященной VPN [14], говорится, чю эта технология позволяет существенно сократить расходы и проста в использовании. Однако существует другая сторона технологии VPN, Она приносит дополнительные расходы, организационные требования и дополнительную нагрузку, возложенную на персонал ИТ конкретной организации. VPN позволяет организации сократить расходы, используя открытую сеть вместо арендуемой линии. Её наибольшее преимущество заключается в гибкости применения этих открытых сетей для осуществления управления. безопасность информационного взаимодействия локальных сечей и отдельных компьютеров через открытые сети, например, через сеть Internet, требует качественного решения двух базовых задач [15,16]: защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны инешней среды; защита информации в .процессе передачи по открытым каналам связи. Решение перзой задачи основано на использовании межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а акже выполнения функций посредничества при обмене информацией.
Защита информации в процессе передачи по открытым каналам связи основана [17] на выполнении следующих функций: аутентификации взаимодействующих сторон; криптографическом закрытии передаваемых данных; подтверждении подлинности и целостности доставленной информации; » защите от повтора, задержки и удаления сообщений; защите от отрицания фактов отправления и приема сообщений.
Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и ассиметричных криптографических систем. Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, является защищенной виртуальной сетью (Virtual Private Network - VPN) Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин «виртуальная» подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть гложет служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.
Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналь; связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальней сети Internet. В случае отсутствия непосредственного подключения доступ к сети Internet может осуществляться и через телефонную сеть.
Определение характеристик узлов виртуальной защищенной сети
Для проектировании информационно-вычислительных сетей (ИВС) встают задачи оптимизации размещения вычислительных центров, нахождения конфигурации абонентской и межцентровой сети, а также распределение потоков в сети. Последняя задача рассматривалась в [23,40,52,53], однако, описанные там варианты постановок не исчерпывают всех практически важных случаев. Представляет, в частности, интерес решение следующей задачи. При заданном общем трафике радиальной ИВС - Л и известных інтенсивностях обслуживания ut[!-].n) в узлах найти распределение потоков по узлам сети, минимизирующее среднее время прохождения заявок через ИВС. Ниже предлагается один из возможных методов решения этой задачи.
В качестве модели ИВС предлагается использовать разомкнутые стохастические сети систем массового обслуживания (СМО) [54,55], В этом случае каждый узел сети моделируется с помощью СМО типа М/М/1. Известно [47,56]. что среднее время пребывания заявки в і-ом узле ut определяется как uf =\J.SI -X [ : где ч интенсивность поступления заявок в і-й узел, а среднее время пребывания заявки в ИВС: У-Іад-Х к-Л] (2-37) где ctf=— - коэффициент передачи - параметр, показывающий долю трафика, поступающую в і-й узел. Теперь поставленную задачу можно сформулировать следующим ІГ образом найти минимум функции (2,37) при условии, что Vi = Л.
Нетрудно видеть, что искомый минимум функции (2 37) по Лі совпадает с минимумом этой же функции по а) а =- - , который может быть найден значительно проще. Поэтому преобразуем (2.37) к виду и = Уа\и,-і:\\\ (2.38) .и будем искать минимум (2.38) по /., при условии (2.39).
Решение проведем, используя метод неопределенных множителей Лагранжа, функция Лагранжа запишется в виде; /. = ,[//, -о,\У +d 1 -} , , (2.40) где П - неопределенный множитель Лагранжа.
Дифференцируя (2.40) no ut и приравнивая производную к 0, получим систему п уравнений с п + 1 неизвестными. Решая эту систему с учетом (2.39), найдем выражение для оптимальных величин Х\: v =i .". /=\
Аналогичный подход можно применить, если при тех же условиях решать задачу распределения входных потоков по узлам таким образом, чтобы минимизировать суммарное количество заявок, циркулирующих в сети. В этом случае выражение для оптимальных величин X примет вид: K (2.42
Сравнивая выражение (2.41) и (2.42), можно отметить, что если в первом случае «дополнительные» ресурсы ИВС распределяются в соответствии с корнем квадратным из интенсивности обслуживания заявок в каждом узле, то во втором - уже пропорционально величине, обратной корню квадратному из интенсивности обслуживания заявок в каждом узпе.
Найденные выражения (2.41) и (2.42) были получены для случая выбора ч из непрерывного множества значений. На практике же часто приходится осуществлять такой выбор из заданного дискретного множества значений. Предположим, что /ч могут иметь значения, кратные некоторой величине задачи дV В этом случае непосредственное решение поставленной задачи наталкивается на значительные сложности, поэтому предлагается искать решение с помощью специального итерационного аліоритма, имеющего в качестве начального результата значения интенсивностей, полученные с использованием формул (2.41) и (2 42).
Оценка эффективности перспективных виртуальных защищенных сетей
Разработанная методика состоит из семи основных этапов, которые, в свою очередь, состоят из ряда последовательных шагов в результате выполнения которых, использующий методику, получает вариант построения системы защиты передаваемой информации на открытых каналах сзязи, подходящий для подразделения ГПС. Схема этапов построения виртуальных защищенных сетей представлена на рис. 3.1.
Для реализации методики на практике необходимо выполнить следующие действия:
1. Установить назначение подразделения ГПС (например, управление или отряд ҐПС технической службы и т.п.) и его положение в системе управления ГПС и подчиненные и управляющие связи.
2. Установить общую численность подразделения, а также численность групп должностных лиц, в зависимости от исполняемых mm обязанностей (например, начальник и его заместители - 1-я группа, начальник отделов - 2-я группа и т.д.). Если это проектируемое подразделение, рекомендуется использовать методику определения численности подразделения ГПС, разработанную ВНИИПО России, в зависимости от обслуживаемой территории и численности проживающего населения.
3 Согласно разработанному стандарту оценки информации в подразделениях ГПС, провести классификацию передаваемой каждой из определенных групп должностных лиц информацией.
А. Установив численный состав подразделения, определить его информационную нагрузку (количество исходящих сообщений подразделения всех классов информации подлежащей защите) согласно проведенному регрессивному анализу применив линейное уравнение (2.5).
5. Определяются подразделения ГПС, с которыми рассматриваемое подразделения находиться на одном уровне (исходя из трех уровневой иерархической структуры проектируемой виртуальной защищенной сети), их количество и место расположения, а также если подразделение относится к 1-му или 2-му уровню, определяются подразделения для которых оно является транзитным.
6. Если подразделение относится к 1-му или 2-му уровню зиртуальной защищенной сети по выражению (2 5) рассчитывается нагрузка подчиненных подразделений и определяется в процентном соотношении возможная транзитная нагрузка.
1. Проводится определение существующих соединений с глобальной сетью Internet, занесение данных в таблицу, рассчитывается пропускная способность при одновременном доступе по всем имеющимся каналам, а также минимальная пропускная способность при работе наиболее медленного и нестабильного канала. 3. Проводится анализ соответствия возможностей имеющихся каналоь связи с глобальной сетью и требуемой возможности обработки информационной нагрузки. В случае несоответствия этих показателей принимается одно из двух решений:
Производится расчет требуемых дополнительных каналов соединения с глобальной сетью, затрат на их организацию. Затем реализуется организация требуемых дополнительных каналов связи.
Производится переведение узла в сеть ниже уровнем и возврат к этапу 5. Приведен пример реализуемости методики на базе Главного управления ГПС МЧС Республики Коми, где результаты исследования были использованы для реализации системы информационной безопасности.
Численность подразделений ГПС МЧС Республики Коми и информационная нагрузка этих подразделений приведены в "эблице 2.2. В организованной виртуальной сети определен 21 узел (Главное управление МЧС, 4 отряда ГПС МЧС Республики коми (1-й отряд ГПС, 21-й отряд ГПС, 5-й отряд ГПС ТС. 14-й отряд ГПС) и 16 пожарных частей).
Построена двухуровневая виртуальная защищенная сеть, связавшая Главное управление с подчиненными ему отрядами ГНС, а те, в свою Виртуальная защищенная сеть реализована на уровне приложений эталонной модели OSI за счет применения протокола IPSec, в результате применения методики, которую составляют алгоритмы структурного и параметрического синтеза было установлено, что приоритетным является применение программных реализаций серверов VPN, без использования специализированных аппаратных средств. В качестве критерия эффективности выбран критерий живучести сети, который совместно с показателем времени обслуживания создает полное представление о реализуемом варианте виртуальной защищенной сети
Все множество наиболее часто используемых критериев эффективности работы сети может быть разделено на две группы. Одна группа характеризует производительность работы сети, вторая -надежность. Производительность сети измеряется с помощью показателей двух типов - временных, оценивающих задержку, вносимую сетью при выполнении обмена данными, и показателей пропускной способности, отражающих количество информации, переданной сетью в единицу зремени. Эти два типа показателей являются взаимно обратными, и, зная один из них, можно вычислить другой,
