CC BY
60
Колосков Д.Н. КРИТЕРИАЛЬНЫЙ ПОДХОД ДЛЯ ВЫБОРА УСТРОЙСТВ БЕСПРОВОДНОГО СЕГМЕНТА СИСТЕМЫ "БЕЗОПАСНЫЙ ГОРОД"
Предлагается интегрированная система «Безопасный город», рассматривается критериальный подход для выбора устройств беспроводного сегмента сети системы безопасности.
Безопасность - важнейшее условие качественной, успешной жизни, к которой мы все стремимся. Между тем современный мегаполис диктует свои требования. Пожары, взрывы, аварии, угрозы жизни и здоровью, муниципальному и частному имуществу возникают буквально на каждом шагу. Городской житель, будь он на улице или в помещении, рискует столкнуться в любой момент с опасностями такого рода. Принятие мер по обеспечению личной безопасности граждан и общественной безопасности является непременным условием поддержания надежного общественного порядка [1].
Система «Безопасный город» - это комплекс взаимодействующих государственных служб, ведомств и их подразделений, обеспечивающих защиту населения, жизни жителей, их интересов и прав, а также мер по предупреждению угроз населению, функционирующих на основе современных технических средств безопасности и систем коммуникаций.
В последнее время в ряде городов России создаются или находятся на стадии создания значительное количество систем, позволяющих производить обнаружение и предупреждение несанкционированного проникновение в жилые и административные здания, отдельные помещения (в том числе относящиеся к муниципальной сфере), обеспечивающих своевременное реагирование на тревожные сигналы от стационарных и подвижных объектов, а также их видеонаблюдение и иные диспетчерские функции.
Однако используемые и создаваемые системы часто несовместимы между собой, не позволяют своевременно передавать необходимую информацию в органы обеспечения безопасности города и коммунальные службы и не предоставляют возможности получения тревожных сигналов при перемещении объектов по городу.
Похожие системы в последнее время внедряются в ряде городов РФ: Белгороде, Москве, Красноярске, Калуге и т.д. Вместе с тем, следует отметить, что, как правило, подобные системы функционируют только в интересах органов МВД РФ. Отличием предлагаемой системы от существующих является ее интегрированность с другими системами и службами безопасности, а также возможность предоставления услуг муниципальным и коммерческим субъектам.
Реализация данной системы в ряде других субъектов федерации позволит в недалекой перспективе
не только значительно снизить уровень правонарушений в различных сферах жизнедеятельности, но и
повысить уровень социальной защищенности жителей города, а также и следующие задачи обеспечения жизни города:
создать и развивать информационную систему обеспечения городских закупок;
улучшить эффективность функционирования городского транспорта за счет внедрения информационных технологий и телекоммуникаций;
решить проблему «последней мили» и доступа в Интернет (в том числе с внедрением беспроводных технологий) для муниципальных учреждений образования, здравоохранения и культуры;
улучшить работу жилищно-коммунального комплекса;
усовершенствовать систему регулирования контроля дорожного движения; усовершенствовать систему городского экологического мониторинга;
развить и внедрить в здравоохранение города телемедицинские и телерадиологические системы; развить системы электронного документооборота в интересах всех подразделений городского хозяйства и управления;
улучшить информационное обеспечение комплекса по имущественно-земельным отношениям; создать единую городскую базу данных населения г. Липецка улучшить работу службы чрезвычайных ситуаций;
создать инфраструктуру для решения задач по федеральной целевой программе «Электронная Россия» и национальных проектов;
существенно снизить расходы на оплату услуг электросвязи с одновременным улучшением качества телефонной связи за счет установки на базе оптоволоконной сети собственной АТС в интересах всех муниципальных учреждений муниципального и городского управления.
Рис. 1 Типовая структура системы «Безопасный город»
С целью обеспечения системного подхода к проектированию и функционированию систем раннего обнаружения и предотвращения событий и действий, а также оперативному управлению действиями служб городского хозяйства и служб обеспечения безопасности города, можно предложить следующую типовую структуру системы «Безопасный город» (рис. 1).
Основой предлагаемого технологического решения является защищенная телекоммуникационная структура (мультисервисная сеть), состоящая из разнородных сегментов, как проводных так и беспроводных [2]. Мультисервисная сеть позволяет собирать информацию от различных источников (ведомств, служб, объектов и т.д.) в районные центры обработки данных, которые взаимодействуют с городским центром обработки данных, выполняя задачи обеспечения безопасности объектов. Данная структура должна быть многопротокольной, так как в системе «Безопасный город» могут использоваться данные различного характера: видеоинформация, служебные и персональные данные, голосовая информация и т.д.
В последнее время для построения систем такого рода стали использоваться беспроводные сегменты . Эти сегменты, как правило, состоят из различного набора устройств, предоставляющих разнообразные сервисы. Не существует общих критериев выбора оборудования для построения сегментов такого рода.
Предлагается использовать следующие критерии для выбора устройств беспроводной сети системы «Безопасный город»:
отказоустойчивость или живучесть устройств и сегмента в целом;
производительность устройств и сегмента в целом;
безопасность устройств и сегмента.
Рассмотрим более подробно каждый из критериев.
Отказоустойчивость устройств и сегмента в целом
Точный расчет общей отказоустойчивости устройств и сегмента в целом представляет собой NP (от англ. non-deterministic polynomial) - сложную задачу, затраты на решение которой возрастают экспоненциально с ростом числа узлов и связей сегмента [3].
Из-за громоздкости расчета общей отказоустойчивости для сегмента больших и средних размеров в качестве альтернативного используется метод моделирования Монте-Карло для оценки живучести систем в верхних и нижних пределах, который можно описать в качестве функции.
Обычный алгоритм Монте-Карло интегрирования функции рисунок 2[4].
ограничим функцию прямоугольником (n-мерным параллелепипедом в случае многих измерений), площадь которого Spar можно легко вычислить;
Рис. 2 Обычный алгоритм Монте-Карло интегрирования «набросаем» в этот прямоугольник (параллелепипед) некоторое количество точек (Ы штук), координаты которых будем выбирать случайным образом;
определим число точек (К штук), которые попадут под график функции;
площадь области, ограниченной функцией и осями координат, S даётся следующим выражением
S = S„
K
par N
Математически проблема может быть описана следующим образом:
|0,если,R(x) >R0
minZ(x) = Z Z ciixii + 8(cmx(R(x)—Ro))2 , где 8
i=1 j=i+1
11, если,Я(х) < Я0
N - количество узлов или устройств в сегменте; у) связь между узлом 1 и j
е
Xij - переменная
принятия решения, Xij *= {0, 1}; x - топология связей вида {X11, X12 , X13, ..., Xij , ..., Xn,n-i};
R(x) - отказоустойчивость сегмента; Ro - требование к отказоустойчивости сегмента (минимальное значение живучести); Z - целевая функция; Cj - стоимость связи (i, j); cmax - максимальное значение Cij .
Таким образом, возможно спроектировать сегмент при помощи различных сетевых эмуляторов и рассчитать отказоустойчивость сегмента.
Производительность устройств и сегмента в целом;
При выборе оборудования необходимо учитывать, кроме его технических характеристик, также трудности оформления частотных разрешений. Активное беспроводное оборудование стандартизируется тремя основными органами стандартизации Wi-Fi Alliance , IEEE, ETSI. В РФ практически не существует "безлицензионных" диапазонов.
В диапазоне 2400 — 2483,5 МГц в соответствии с решением ФГУП ГКРЧ от 29.04.2002 г. (протокол № 18/3) разрешается использование отдельных частот для внутриофисных систем на вторичной основе.
Основные технические характеристики для беспроводного сегмента можно выделить в следующий список:
Мощность передатчика;
Пропускная способность (скорость передачи данных) ;
Гибкость и эффективность, при работе в сегменте.
Мощность передатчика
Производители беспроводного оборудования, как правило, указывают зону устойчивой работы оборудования. Так, например, для оборудования WiFi при мощности передатчика 16-18 dBm зона устойчивой работы составляет 2 0 0 м (HW-2 4 54), исходя из этого и учитывая то, что мощность сигнала падает пропорционально квадрату расстояния, можно рассчитать необходимую дополнительную мощность сигнала для передачи на любое расстояние [5].
AP = 20(log 10L — 2,3) , где ДР - дополнительная мощность [dBm], необходимая оборудованию или сегменту; L - расстояние между оборудованием или сегментами (в метрах).
Радиостанции стандарта WiFi 802.11 имеют мощность передатчиков от 30- 100 мВт, поэтому могут быть использованы без лицензии. Допустима пиковая мощность 1 Вт (30 dBm) с антенной имеющей коэффициент усиления 6 dBi. Другими словами, если радиостанция не участвует в формирование моста, то ее EIRP (эквивалентная изотропно излучаемая мощность) не должен превышать 36 dBi. Для мостов действует правило, согласно которому мощность передатчика должна снижаться на 1 дБ при каждом увеличение усиления антенны на 3 dB свыше уровня 6 dBi.
Все вышеприведенные формулы используют модель потерь на трассе для свободного пространства (имеется в виду соблюдение условий по первой зоне Френеля). Ниже приведена таблица показывающее необходимое пространство зону Френеля для организации надежной связи WiFi антен.
Дистанция между антеннами [м] Требуемый радиус первый зоны Френеля на частоте 2,4 ГГц [м] Требуемый радиус первый зоны Френеля на частоте 5ГГц [м]
300 3,06 2,12
1600 7 4,9
8000 15,81 10,95
10000 17,68 12,25
15000 21,65 15
В случае, если организуются связи между устройствами в сегменте, в условиях большого количества отражающих объектов, целесообразно использовать модель потерь на трассе пропорциональных четвертой степени радиуса действия АР = 40(1о^0Ь -1,14) .
Пропускная способность
Поскольку в беспроводном сегменте могут находиться как подвижные объекты, так и неподвижные, а также тот факт, что большинство современных оконечных устройств работает по стандартам 802.11, то необходимо учитывать их характеристики приведенные в таблице:
Сравнительная таблица стандартов беспроводной связи
Технология Стандарт Использование Пропускная способность Радиус действия Частоты
UWB 802.15.3a WPAN 110-480 Мбит/с До 10 метров 7,5 ГГц
Wi-Fi 802.11a WLAN До 54 Мбит/с До 100 метров 5,0 ГГц
Wi-Fi 802.11b WLAN До 11 Мбит/с До 100 метров 2,4 ГГц
Wi-Fi 802.11g WLAN До 54 Мбит/с До 100 метров 2,4 ГГц
Wi-Fi 8 02.11n WLAN До 480 Мбит/с До 100 метров 2,4 - 2,5 или 5,0 ГГц
WiMax 8 02.16d WMAN До 7 5 Мбит/с 6-10 км 1,5 - 11 ГГц
WiMax 8 02.16e Mobile WMAN До 3 0 Мбит/с 1-5 км 2-6 ГГц
Под гибкостью и эффективностью при работе устройства в сегменте или сегмента в целом, стоит понимать тонкости настроек устройств и возможность их как масштабирования, так и взаимодействия с различными другими устройствами [6].
Безопасность устройств и сегмента в целом
В беспроводных сетях существуют следующие стандарты безопасности которым отвечают распространенные сетевые устройства.
Протокол шифрования WEP: Протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе. Существует 64, 128, 256 и 512-битный ключ шифрования. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть WEP-ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) - динамической (вектор инициализации), она меняется в процессе работы сети.
Протокол шифрования WPA: Более стойкий протокол шифрования, чем WEP , хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.
TKIP (Temporal Key Integrity Protocol) - протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.
MIC (Message Integrity Check) - протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления.
Существует два вида WPA:
WPA-PSK (Pre-Shared Key) - для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
WPA-8 02.1x - вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.
Протокол WPA2 - усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-
802.1x.
Стандарт безопасности 802.1X, в который входят несколько протоколов:
EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS - сервером в крупных сетях.
TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.
RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.
Учет этих стандартов безопасности при выборе сетевых устройств позволит существенно повысить безопасность сегмента в целом [7].
С учетом всех этих критериев при проектировании, можно будет говорить о достаточно стабильном и надежном сегменте системы «Безопасный город»
Литература
1. Безопасный город. От идеологической концепции к действующей системе - Журнал «Алгоритм безопасности» №2/2007.
2. http://www.ot.ru/industry gos 1.html / Концепция построения правоохранительной системы «Безопасный город».
2. Синтез и анализ живучести сетевых систем / Ю.Ю. Громов, В.О. Драчев, К.А. Набатов, О.Г. Иванова, Монография - М.: Машиностроение 1, 2007.
3. http://ru.wikipedia.org
4. Безопасность беспроводных сетей / М. Меррит, Д. Поллино -М.: Компания АйТи, ДМК Пресс, 2004 (Информационные технологии для инженеров).
5. Основы построения беспроводных сетей стандарта 802.11. / Педжман Р, Джонатан Л. - М.: Вили-амс, 2004.
6. Безопасность беспроводных сетей / Гордейчик С.В., Дубровин В.В. - M.: Горячая линия-
Телеком, 2008.
