[стр.-0]
Алгоритм оценки профиля защиты информации в телекоммуникационных сетях
Новиков С.Н. (snovikov@nsk.ru) (1), Киселёв А.А.(1)
(1) ГОУ ВПО «Сибирский Государственный Университет Телекоммуникаций и Информатики»
Постановка задачи
Введём следующее определение профиля защиты (ПЗ) - это совокупность агентов защиты, расположенных в узлах коммутации, и соединений защиты, организационно реализованных в отдельных выделенных виртуальных каналах.
Обозначим ПЗ как следующее множество - совокупность четырех сервисных служб защиты - аутентификации, конфиденциальности, достоверности и контроля доступа, которые и реализуются агентами защиты:
ПЗ={GA,Gk,Gд,Gu} ,(i)
где G,a. [БА (M), ХА] - граф аутентификации, Gr [Sk (M), Хк] - граф конфиденциальности, Gд (M), Хд] - граф достоверности, Git [S]t (M), Хц] - граф контроля доступа, где Si (M) - множество вершин (агентов защиты),
Xi; i = А, К, Д, Ц - множество ребер (соединений защиты). Таким образом, что при изменении хотя бы одного из параметров множества, мы соответственно меняется и сам ПЗ.
Основная задача данной статьи - разработка методики оценки ПЗ методом статистического моделирования. В качестве критерия оценки ПЗ предлагается использовать вероятность связности графа.
В качестве модели структуры сети используем граф G(M,N), где N= n1, n2, .. .,nn -множество вершин, которые сопоставляются с узлами сети, а M=m1, m2,.. .,mm, -множество ребер, которые сопоставляются с линиями связи.
Приведем некоторые определение, используемые в дальнейшем для обоснования алгоритма:
матрица смежности (Р), полученная в результате объединения инцидентных вершин
сети;
операция стягивания вершин графа - исключение ребра между заданными вершинами графа ni и nj и превращение этих двух вершин в одну объединенную вершину nij. В общем случае число стягиваемых вершин может быть больше двух [1].
1. Описание работы предлагаемого алгоритма анализа ПЗ 1-й и 17-й блоки - начало и конец программы соответственно. 2-й блок - а) формирование матрицы смежности, соответствующей общему числу узлов сети (ввод данных вручную): P = ptj nn,
где n - размерность матрицы,
Pij =
1, если есть ребро, соединяющее узлы ni и nj 0 - в противном случае.
б) ввод числа испытаний, необходимых для оценки заданной вероятности надежности каждой из четырех сервисных служб защиты - аутентификации, конфиденциальности, достоверности и контроля доступа.
3-й блок - задание цикла для последовательного выбора одной из четырех сервисных служб защиты.
4-й блок - предварительное обнуление счетчика благоприятных исходов.
5-й блок - задание цикла для проведения испытаний над элементами матрицы Р от 1 до N0 с шагом равным единице.
6-й блок - генерация случайных чисел xy с равномерным законом распределения числа в интервале (0,1)
7-й блок - задание цикла для перебора элементов строк матрицы Ру- от 1 до n с шагом равным единице.
8-й блок - задание цикла для перебора элементов столбцов матрицы Рч- от 1 до n с шагом равным единице.
9-й блок - последовательное сравнение величин исходной матрицы Ру- со значением
xy .
10-й блок - присвоение элементу формируемой матрицы А значения о (при невыполнении условия блока 9 считается, что элемент сети Ру ненадежен).
11-й блоки - присвоение элементу формируемой матрицы А значения 1 (при выполнении условия блока 9 считается, что элемент сети Ру- надежен).
12-й блок - проверка сформированной матрицы a=1 а-Л , описывающей граф
II 13 II n, n
сети, на связность.
13-й блок - увеличение счетчика благоприятных исходов (N6) на 1, при условии связности графа.
14-й блок - определение значения Ринт (что и является оценкой надежности сети: отношение числа благоприятных исходов к общему числу испытаний). 15-й блок - задание цикла для вывода результатов.
16-й блок - вывод результатов оценки для каждой из сервисной службы защиты.
2. Методика сравнения основных типов структур по одной службе защиты ПЗ
На сегодняшний день существует большое количество структур сетей, объединяющих множество узлов коммутации (УК), однако среди них можно выделить три большие группы: сетеобразные, древовидные и кольцевые. На основе классификации [2] выборочно исследуем основные типы структур сетей связи и дадим им качественную оценку.
Анализ данных структур по критериям капитальных затрат и надежности показывает, что для создания сети с кольцевой структурой капитальные затраты относительно невелики, однако, надежность такой сети также невысокая (при выходе из строя двух соединительных элементов сеть оказывается несвязной); древовидным структурам сетей (звездообразные, линейные и иерархические) присуща отличительная особенность - минимальные капитальные затраты для их создания, но при этом надежность имеет невысокий показатель.
Сетеобразные же требуют однозначно больших затрат на их организацию, но и надежность таких сетей в сравнении с древовидными и кольцевыми существенно выше. В свою очередь сетеобразные разделяют на плоские и объемные, последние имеют наибольший показатель надежности, вместе с этим наибольшие материальные затраты.
Установим агентов защиты (SAi) в каждом УК, а между каждым агентом защиты установим соединение защиты (СЗ.
Оценим упомянутые графы структур методом статистического моделирования, используя программу [3] (по одной службе), позволяющую получить интегральную оценку исследуемых топологий. Устанавливая поочередно значения СЗ от 0 до 1 с шагом
0.1, будем определять для каждого случая надежность сервисной службы защиты для оценки полного профиля. В каждом случае будем проводить 90000 испытаний, что является достаточным для получения достоверных результатов оценки.
При условии, что цена каждого СЗ различна, в каждом варианте оценку ПЗ службы защиты необходимо привести к единому коэффициенту, для этого надежность будем делить на его стоимость.
1"
Начало
2
Рк=1Ыи N0;
К=1,4
<
4 | |
N6=0 | |
5 | |
>
Y=1, N0, 1
6 | |
Xy = random | |
7 | |
>
15
1
К=1,4
Ринт[К]
14
Рис. 1. - Алгоритм анализа профиля защиты
