Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2
жүктеу/скачать 1,47 Mb. Pdf көрінісі
|
| 18-сурет. Көпдеңгейлі орталықтандырылған – бөлінген жүйе
Осылай, ілгерідегі бүкіл айтылғандар негізінде, ЖЕЖ-ді қор- ғаудың қазіргі жүйелеріндегі оталықтандырылған - бөлінген ар- хитектура. ЖЕЖ-ді қорғаудың желілік жүйелерінің негізгі (үлгі) архитектурасы ретінде қарастырылуы мүмкін. Құраушылар ара- сындағы функциялардың бөліну принциптері ілгеріде қарас- тырылды. Орталықтандырылған – бөлінген қорғау жүйесінің тиімді- лігін талдау. Тиімділік парметрлері мен сипаттамалары. Ақпараттық сигнатура. Қорғау жүйесінің желісінде деректерді берудің тірек желісі- не (өткізу қабілетіне) тигізетін əсерді орталықтандырылған – 201 бөлінген қорғау жүйесі архитектурасының тиімділігін талдау көз қарасы тұрғысынан бағалайтын боламыз. Осындай тал дау- дың мақсаты жүйені желілік жүзеге асыру шеңберлерінде қорғау жүйесі шешетін міндеттерді орталықтандыру бойынша ұсы- нымдар əзірлеу болып табылады. Бұл ретте, штаттық режимде оның жұмыс істеуін сипаттай- тын, қорғау жүйесінің үш негізгі функцияларын бөліп көрсетеміз (оның параметрлерін бастаумен байланысты, жүйенің жұмыс істеуінің бастапқы кезеңі қарастырылмайды). Бұл үш функция- лар мынадай: • қорғалатын объектілер жай-күйінің өзгеруін бақылау; • қорғалатын объектіде жұмыс жасайтын пайдаланушыны бақылау; • қорғалатын объектіде оқиғаларды тіркеу (аудит). Мынадай белгілеулер енгіземіз: - параметр λкіру1, қорғау жүйесі тіркеуі тиіс ЖЕЖ-дің қор- ғалатын торабының жай-күйінің өзгеру қарқындылығы ретінде анықталады; - параметр λкіру2, қорғалатын объектіде пайдаланушы əре- кетіне бақылау жүргізу қарқындылығы ретінде анықталады; - параметр λкіру3, қорғалатын объектіден тіркелетін ақпарат- тардың серверлік бөліміне қауіпсіздік əкімшісінің сұрауларын алу қарқындылығы ретінде анықталады. - параметр Р – қорғау жүйелерін орталықтандыру шарасы, қорғалатын объектінің жай-күйін өзгерту оқиғасының ықти- мал дығы ретінде анықталады – ЖЕЖ торабы, бөлінген түрде қорғау жүйесімен өңделеді (клиенттік бөлікпен – қауіпсіздік сер верінің қатысуынсыз). Тиісінше, оқиға ықтималдықпен (1-Р) орталықтандырылған түрде – қорғау жүйесінің серверлік бө лігі- мен (қауіпсіздік серверімен) өңделетін болады. Одан əрі, байланыс арнасында қорғау жүйесімен уақыт бір- лігіне генерацияланатын, ақпараттық сигнатуралар ұғымын пай- да ланатын боламыз. Байланыс арнасы бойынша қорғау жүйе- сімен берілетін жəне секундына киллобайттармен өлшенетін ақ- па раттардың жалпы өлшемін ақпараттық сигнатура деп түсінеміз. Қорғау жүйесінің клиенттік жəне серверлік құраушысының ақпараттық өзара əрекеттерінің көлемдерін анықтаймыз. 202 Vu.........қорғалатын объектінің жай-күйінің өзгеруін сəйкес- тендіретін ақпараттар көлемі (күні, уақыты, оқиға пара метрлерін сəйкестендіретін параметрлер, ағымдағы пайдаланушы жəне т.б.); Vy.........қорғалатын объектінің жай-күйінің өзгеру фактісіне қорғау жүйелерінің басқару əсерін сəйкестендіретін, ақпараттар көлемі; Vзк....... пайдаланушы əрекетіне бақылау жүргізуге сұрау бе- рілетін ақпараттар көлемі; Vза.......қорғалатын объектіден тіркеу ақпараттарын (аудит) алуға сұрау берілетін ақпараттар көлемі; Vк..........қорғалатын объектіде пайдаланушы əрекетін бақылау ақпараттарының көлемі (мысалы, электрондық көшірме); Vа.........тіркеу ақпараттарының (аудит) көлемі. Өйткені ЖЕЖ-де бір мезгілде, қауіпсіздіктің бір серверімен өзара əрекет ететін бірнеше ондаған жəне жүздеген қорғала тын объектілер болуы мүмкін. ЖЕЖ-дегі қорғалатын тораптардың санын N арқылы белгілейміз. Уақыт бірлігіне қорғау жүйесімен байланыс арасында гене- рацияланатын ақпараттық сигнатура S, енгізілген белгілеулерді ескеріп: S = N • [P • λкіру1 • (Vu + Vy) + λкіру2 • (Vзк + Vк) + λкіру3 • Va]. түрінде анықталуы мүмкін. Өйткені, тіркеу ақпараттары серверінен сұралатын көлем Р параметрге қатысты болады (серверге, жүйеде бөлінген түрде өңделетін тіркеу ақпараттарын ғана сұрау керек; бір орталықтан өңделетін ақпарат, 1-Р ықтималдықпен нақты уақыт масштабын- да серверге түседі), онда тіркеу ақпараттарының көлемі: Va = (1 - Р) • Vu • λкіру1/λкіру3 түрінде анықталады. Егер байланысқан қордың өткізу қабілетін С арқылы белгі- лейтін болса, онда байланысқан қордың өткізу қабілетінің үлесі, К қорғау жүйесі: К = S/C көлемді алады. Бұл ретте байланыс арнасындағы деректерді берудің физика- лық жылдамдығы емес, тақырыптарды беруді, растауларды ЖЕЖ- дегі байланысқан қорлар талаптарының арбитражға жұмсай- тын уақыт шығындарын ескерусіз, өзіндік ақпараттарды беру жыл дамдығын, байланысқан қордың (ресурстың) өткізу қабілеті деп түсінетін боламыз. Сондай-ақ, қолданбалы міндеттерден өті- 203 німдерді өңдеумен салыстырғанда қорғау жүйесіне қызмет көр- сететін өтімдерді өңдеу, басым режимде жүзеге асырылуы тиіс. Алынған өрнекті талдаймыз. Егер оған, берілетін Va пара мет- рінің өрнегін қоятын болса, онда S сипаттамаларының: S = N • [λкіру1 • (Vu + Vу) + λкіру2 • (Vзк + Vк)] жуықтауын аламыз. Одан, негізі бойынша, қауіпсіздік серверінде нақты уақыттағы оқиғаларды тіркеуді (аудит) жүзеге асыру Р=1 шартын орындауға əкеледі деген қорытынды жасауға əкеледі. Бұл қорғау жүйесінің орталықтандырылған архитектурасының сипаттамаларымен іс жүзінде толықтай сəкес келетін, сипаттамалар алуды білдіреді. Осылай, қорғау жүйесін құру кезінде мына қайшылықтар ше шілуі тиіс. Біріншіден, оқиғаны қауіпсіздік серверінде тіркеу нақты уақыт масштабында лайықты болады (керісінше жағдайда, қауіп сіздік əкімшісі қорғалатын объекті туралы қажетті ағым- дағы ақпаратқа ие болмайды). Екіншіден, аталған шартты жүзеге асыру, қорғалатын желілерде байланысқан қорды (ресурсты) пай- далану тиімділігі тұрғысынан (тіркелетін оқиғаға жедел əрекет ету тұрғысынан емес) орталықтандырылған – бөлінген архи тек- тураның артықшылықтарын нивелирлеуге əкеледі. Осыған дейін атап өткеніміздей, рұқсатсыз қатынаудың мүм- кін фактілеріне жедел əрекет етуге, сондай-ақ қорғау жүйе сінің жоғары сенімділігін қамтамасыз етуге сүйеніп, бүкіл қорғау тетіктері бөлінген түрде жүзеге асырылуы тиіс (Р = 0 шарты орындалуы тиіс). Яғни олар, қорғалатын объектілерге орнатыла- тын қорғау жүйесінің клиенттік бөлігімен орындалуы қажет). S сипаттамасы бұл жағдайда: S = S1 + S2 = N • [λкіру1 • Vu + λкіру2 • (Vзк + Vк)] өрнегімен беріледі. Мұндағы сипаттама S1 = N • [λкіру1 • Vu] оқиғаларды тіркеу ішкі жүйелерінің тірек желілерінің өткізу қабілетіне əсе- рін анықтайды, ал сипаттама S2 = N • [λкіру2 • (Vзк + Vк)] – қорғалатын объектіде пайдаланушы əрекетін бақылаудың ішкі жүйелеріне əсерін анықтайды. жүктеу/скачать 1,47 Mb. Достарыңызбен бөлісу:
|