КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ
УДК 681.3
Н. А. Верзун, А. И. Воробьёв, Е. Д. Пойманова
МОДЕЛИРОВАНИЕ ПРОЦЕССА ПЕРЕДАЧИ ИНФОРМАЦИИ С РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ
Рассматривается информационная сеть предприятия сервиса с использованием централизованного устройства контроля доступа для организации санкционированного доступа пользователей к ресурсам сети. Предложена математическая модель сети и метод расчета вероятностно-временных характеристик процессов передачи информации.
Ключевые слова: информационная сеть, ресурсы сети, устройство контроля доступа, шлюз контроля доступа, математическая модель сети, вероятностно-временные характеристики процессов передачи информации.
Введение. Одним из немаловажных факторов, влияющих на эффективность бизнес-проектов, является, без сомнения, грамотная организация информационного взаимодействия подразделений предприятия [1, 2].
Вместе с тем используемые на предприятии информационные системы при неправильном их развитии могут стать уязвимым местом процесса функционирования предприятия в целом [3]. При этом следует учитывать, что внедрение информационных технологий, необходимых для поддержания бизнес-процесса, наряду с предоставлением новых возможностей и преимуществ, содержит, однако, и определенные угрозы. Используемые в настоящее время методы передачи, обработки и накопления информации связаны с появлением внутренних и внешних угроз, т.е. с возможностью потери, искажения и раскрытия данных, принадлежащих пользователям [4].
Для современного уровня развития информационных систем предприятий сферы сервиса характерно, с одной стороны, значительное увеличение объемов информации, хранимой, обрабатываемой, передаваемой в рамках корпоративной системы. Так, по оценкам специалистов, 70—90 % интеллектуальной собственности компаний хранятся в цифровом виде — в текстовых файлах, таблицах, базах данных [4]. С другой стороны, наблюдается расширение круга пользователей, имеющих непосредственный доступ к информационным ресурсам и сервисам, что ведет к увеличению числа внутренних, преднамеренных или случайных, попыток вмешательства в информационную структуру предприятия [5].
Именно поэтому для защиты интеллектуального капитала компании от внутренних угроз представляется актуальным внедрение и использование в системе управления информационной сетью предприятия аппарата разграничения прав доступа пользователей к ее ресурсам. Проблема санкционированного доступа пользователей к информационным ресурсам может быть решена путем применения централизованного устройства управления доступом. В данном случае решение о доступе каждого конкретного пользователя к информационным ресурсам сети предприятия принимает устройство контроля доступа.
Использование централизованного устройства контроля доступа позволит обеспечить конфиденциальность информации, т.е. ее защиту от несанкционированного просмотра лицами, не имеющими на это право, доступность информации и ее целостность.
В настоящей статье предлагается вариант структуры информационной сети с централизованным устройством контроля доступа к ее ресурсам.
Структура информационной сети. В состав сети, структура которой представлена на рис. 1, входят N рабочих станций и централизованное устройство контроля доступа (УКД). Рабочие станции подключаются к сети через шлюзы контроля доступа (ШКД). Процесс доступа пользователей к информационным ресурсам корпоративной сети осуществляется следующим образом: перед началом сеанса связи (обращением к ресурсам сети) рабочие станции через ШКД отправляют запрос на его разрешение УКД, которое принимает решение о доступе и отправляет ответ-разрешение (либо ответ-запрет) на создание сеанса связи, основываясь на определенной политике безопасности, а также на текущем состоянии системы [6, 7]. УКД может также давать дополнительные команды управления рабочим станциям. В общем случае УКД может рассматриваться как рабочее место администратора сети.
Рис. 1
Все передающие элементы сети можно разбить на три логические группы, т.е. данная сеть представляет собой совокупность 3 подсетей:
1 — подсеть пользователей (П),
2 — подсеть передачи запросов от ШКД к УКД (ШКД),
3 — подсеть передачи ответов от УКД к ШКД (УКД).
Рассмотрим комбинированный метод разделения общего канала передачи данных: между подсетями используется временное разделение — интервалы однократного доступа подсетей (рис. 2), а внутри подсетей П и ШКД — случайный синхронный доступ (ССД). Подсеть УКД состоит из одного передающего элемента и, таким образом, работает в режиме временного разделения канала.
Интервал однократного доступа подсети ШКД
Доступ подсети П
Т
П
Доступ подсети ШКД
-Т
ШКД
Интервал однократного доступа
подсети УКД
Доступ подсети УКД
Доступ подсети П
-Т
УКД
Т
П
Доступ подсети ШКД
Т
ШКД
Доступ подсети УКД
Т
УКД
Интервал однократного доступа подсети П
Рис. 2
В отличие от модели, предложенной в работе [8], построим модель в дискретном времени. На вход станции подсети П поступает бернуллиевский поток пакетов данных с интенсивностью Хип на интервалах 70 = 1/Vс, где V,, — скорость передачи сигналов в среде, бит/с. Аналогично и для подсетей ШКД и УКД предположим входные потоки пакетов (запросов и ответов) бернуллиевскими с интенсивностями ^ишкд и ^нукд на интервалах 70.
Формирование кадров для передачи осуществляется с применением служебных полей: преамбулы длиной гпр разрядов, флага — Гф, адреса — га, управления — Гу, контрольных
разрядов — гкр и информационной части пакета кг; здесь и далее г = ШКД, УКД, П .
Рассмотрим для передачи всех типов кадров вариант использования алгоритма РОС-ОЖ (решающей обратной связи с ожиданием), предусматривающего применение положительных или отрицательных квитанций длиной пкв. Длительность временных окон для передачи кадров-запросов ШКД — ТшКд , кадров-ответов УКД — ТуКд и пользовательских кадров — ТП
определяется следующим образом:
т = С^-1, Сг = п + пкв + ^с+4-10"6ОГс — для „шины"; п = гпр + гф + га + Гкр + гу + кг, (1)
где п — длина кадра, tд — время декодирования кадров и квитанции; Б — длина канала передачи данных, км.
Математическая модель сети. Математическая модель сети может быть представлена совокупностью моделей подсетей, входящих в ее состав [9, 10]. Каждая подсеть представляется системой массового обслуживания Ы/О/1 в дискретном времени на интервалах 70.
Подсеть пользователей. Кадры, переданные пользователем, считаются обслуженными при соблюдении следующих условий:
— в сообщениях не обнаружено ошибки в результате применения помехоустойчивого кодирования, вероятность чего обозначается как Qкi;
— отсутствуют мешающие воздействия станций других пользователей, т.е. нет конфликтов при передаче, вероятность чего обозначается как Qmi;
— разрешен доступ станции к сети с вероятностью Qд (в соответствии с протоколом ССД).
Если перечисленные условия не выполняются, доставка всех типов кадров повторяется. Так как используется временное разделение канала между подсетями, то интервал однократной передачи кадров в сети постоянный и равен С = Сп + Сшкд + Сукд, где %, Сшкд и Сукд — длительности временных окон соответственно для передачи кадров пользователей, запросов ШКД и ответов УКД в интервалах 70 — определяются по формулам (1). Выражения для ¿-преобразования рядов распределения (г-прр) интервалов однократной передачи для всех подсетей будут иметь вид
= г-С, (2)
а г-прр интервала обслуживания при передаче информации в подсети П определяется как
ЯП (г) = , Qcп = QдQкпQmп, Рп = 1 - Qcп; QкП = (1 - р)Ип, ОтП = (1 - Qд©П )"-1, (3)
г - РсП
где Пп — длина пользовательского кадра, ©п — вероятность занятости буфера станции пользователя, р — вероятность ошибки в среде передачи; г-прр времени задержки при передаче информации в подсетях
г (г) = (1 -©г)(1 -г)Яг(г) П = Л Т р =, П (4)
(г) = --7Т, Пт = Лиi70, Рт = 1 - Пт, (4)
где Пт — параметры входных потоков.
Подсеть ШКД. Кадры-запросы от ШКД к УКД на разрешение сеанса передачи считаются обслуженными, если не обнаружено ошибки, не было конфликтов при передаче и разрешен доступ ШКД к сети. Иначе — доставка кадров-запросов повторяется. Тогда, с учетом выражения (2), г-прр интервала обслуживания при передаче кадров-запросов
бсШКД
Ешкд (г) - с Р
I — Р
", бсШКД - бдбкШКдботШКД, РсШКД - 1 бсШКД;
! ШКД (5)
бкШКД - (1— р) ШКД , QтШКД - (1 — 0д©ШКД )N 1, где %ТКд — длина кадра-запроса, ©шкд — вероятность занятости буфера ШКД; г-прр времени задержки при передаче запросов на разрешение сеансов связи определяется формулой (4) с подстановкой в нее выражений (5).
Подсеть УКД. Кадры-ответы от УКД к ШКД считаются обслуженными, если в сообщениях не обнаружено ошибки. Если ошибка обнаружена, доставка кадров-ответов повторяется. С учетом формулы (2) выражение для г-прр интервала обслуживания при передаче кадров-ответов будет иметь вид
£укд (- —
бсУКД
—Р.с
QcУКД - (1 — р) УКД , РсУКД - 1 — бсУКД,
(6)
1 — РсУКД
где Пукд — длина кадра-ответа; г-прр времени задержки при передаче ответов на запросы
определяется формулой (4) с подстановкой в нее выражений (6).
Взаимовлияние подсетей учитывается в системе уравнений интерференции:
©п - чип пп , пп - / ^ 1)£п (1)
г-1
©п < 1;
©ШКД - диШКД ^ШКД, ^ШКД - № / ^ 1)£ШКД (1)
© УКД - диУКД nsУКД, пУКД - / ^ 1)ЕУКД (1) Подставив в систему уравнений (7) выражения (3), (5) и (6) и упростив, получим
©П - ЧиПСбсП, ©П <1;
©ШКД - диШКДСбсШКД, ©ШКД <1, г (8)
©УКД - диУКДСбсУКД, ©УКД < 1 Вероятностно-временные характеристики процессов передачи данных. Среднее время задержки при передаче кадров в подсетях можно найти, используя выражения (1)—(8):
(9)
2(ес,-—си) "
Приведем выражения для расчета вероятности своевременной доставки кадров всех типов для случая стохастического ограничения на время обслуживания заявок в подсетях, при котором допустимое время обслуживания заявок в подсетях задается геометрическими распределениями с параметрами тг-:
г-1
г-1 ©
©ШКД < 1
УКД
< 1.
(7)
- - СТ0(2 — дИ1 (С +1))
Пд - !т (1)
дг'
I=т.—1, Тг -
1 — Т,/Тд
допг
(10)
где Тдопг — среднее допустимое время „старения" кадров, передаваемых в каждой из трех подсетей.
Информационные скорости общего применения (ОП) и реального времени (РВ) рассматриваемых подсетей определяются из следующих выражений:
RcU - УиП knN, УиП " ЧиП
Т Т?РВ _ 7?°ПтТ •
TQ, Rcn - ЛсП ПчП;
R
сШКД - УиШКД^ШКДN, УиШКД - ЧиШКД
!?°П - У k
^УКД ~ УиУКД %КД,
tq, R
>РВ
РВ
- R
°П
гШК^-1 ЧШКД1 хЧШКД'
П Ч
Т рРВ _ Р°П тг TQ, ^УКД- -"сУКДпЧУКД •
(11)
ъиУКД = ПиУКД
Заключение. Итак, используя выражения (9)—(11), можно произвести численный анализ вероятностно-временных характеристик процессов передачи информации, поступающей от пользователей, и запросов и ответов на разрешение доступа к информационным ресурсам, а также оценить влияние внедрения централизованного устройства контроля доступа на качество передачи информации в сети.
список литературы
1. Кожанов Ю. Ф., Колбанёв М. О. Технология инфокоммуникации. Курск: НАУКОМ, 2011.
2. Двухуровневая модель информационного взаимодействия / Б. Я. Советов, М. О. Колбанёв, Т. М. Татар-никова // Материалы VIII Санкт-Петербург. межрегион. конф. „Информационная безопасность регионов России", 23—25 окт. 2013 г. СПб: СПОИСУ, 2013. С. 184—185.
3. Левкин И. М. Информационные проблемы современного общества // Цензура в России: история и современность: Сб. науч. тр. / Под ред. В. Р. Фирсова. СПб: Изд-во „Российская национальная библиотека", 2013. Вып. 6. С.108—125.
4. Биячуев Т. А. Безопасность корпоративных сетей: Учеб. пособие / Под ред. Л. Г. Осовецкого. СПб: СПбГУ ИТМО, 2004.
5. Доронин А. И. Бизнес-разведка. М.: Ось-89, 2013.
6. Суворов А. А. Архитектура сетей связи с разграничением доступа на основе шлюзов контроля доступа // Материалы конференции „Информационная безопасность регионов России", 28—30 окт. 2009 г. СПб: СПОИСУ, 2009. С. 140.
7. Верзун Н. А. Модель процесса передачи информации в сети с разграничением прав доступа с использованием устройства контроля доступа // Материалы VIII Санкт-Петербург. межрегион. конф. „Информационная безопасность регионов России", 23—25 окт. 2013 г. СПб: СПОИСУ, 2013. С. 134.
8. Советов Б. Я., Колбанёв М. О., Татарникова Т. М. Оценка вероятности эрланговского старения информации // Информационно-управляющие системы. 2013. № 6. С. 25—28.
9. Чугреев О. С., Македонский М. А. Моделирование локальных информационных систем с услугами административного управления // Междунар. конф. по информационным сетям и системам — ICINAS-2000, 2—7 окт.: Тр. ЛОНИИС. СПб: СПбГУТ, 2000. C. 332—344.
10. Верзун Н. А. Множественный доступ в информационных системах: Учеб. пособие. СПб: СПбГУТ, 2007. 92 с.
Сведения об авторах
Наталья Аркадьевна Верзун — канд. техн. наук, доцент; Санкт-Петербургский государственный
экономический университет, кафедра прикладных информационных технологий; E-mail: [email protected] Андрей Игоревич Воробьёв — канд. техн. наук; Санкт-Петербургский государственный экономи-
ческий университет, кафедра прикладных информационных технологий; E-mail: [email protected] Екатерина Дмитриевна Пойманова — Санкт-Петербургский государственный экономический университет, кафедра прикладных информационных технологий; ассистент; E-mail: [email protected]
Рекомендована кафедрой Поступила в редакцию
прикладных информационных 28.04.14 г.
технологий