Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2
жүктеу/скачать 1,47 Mb. Pdf көрінісі
|
| Орталықтандырылған – бөлінген қорғау жүйесі тиімділігінің
сипаттамасын сандық бағалау. 204 Қарастырылатын сипаттамалардың сандық бағалауын келті- реміз. Байланысқан қордың (ресурстың) өткізу қабілетіне аудит (сипаттама S1) ішкі жүйесінің əсерін қарастырамыз. Бұл ретте параметрлердің төмендегі мəндерін береміз. Желіде 250 қорғалатын объектілер: N = 250 ( бұл орта мас- штабтардағы ЖЕЖ) болады деп ұйғарайық. Параметр λкіру1-ді негізді түрде беру неғұрлым күрделі, өйткені, əртүрлі физикалық мағынаға ие стансалардың жай-күйімен сипатталатын оқиға рет- тікпен өзгешеленетін жиілікпен генерациялануы мүмкін. Шабу- ылдарды жүзеге асыру кезіндегі аталған параметрдің нақты мəні елеулі түрде үлкен болуы мүмкін екенін түсіне отырып, λвход1 = 10 с -1 қабылдаймыз (мысалы, 1 секундта 10 əртүрлі үдерістер жа- сайды, файлдық объектілерге 10 өтініштер жүзеге асырылады). Параметрлердің берілген мəндері кезінде, S1 = 0,25 Мбайт/с аламыз. Ізделетін С сипаттаманың мəнін бағалаймыз. ЖЕЖ Ethernet үшін арнадағы физикалық жылдамдық 10 Мбит/с (тиісінше, Fast Ethernet - 100 Мбит/с) құрайды. Деректерді беру жылдамдығын байланыс арнасындағы физикалық жылдамдықтан бір ретке аз деп қабылдауға болады ( тақырыптардың қызметтік бөліктерін беруге жұмсалатын уақыт шығындары, коллизияларға рұқсат ету), одан Ethernet желілер үшін: С=0,1 Мбайт/с, ал Fast Ethernet үшін: С=1 Мбайт/с аламыз. Осылай, енгізілген ұйғарымдар үшін, Ethernet желілері үшін аудит ішкі жүйесін жүзеге асыру шеңберлерінде қорғау жүйесінің трафигі Ethernet желісінің алғашқы өткізу қабілетінен асып кетеді жəне Fast Ethernet желісінің өткізу қабілетін 25% - ға кемітеді (К = S1/C= 0,25). Оңтайлы шешімді іздеу. Мүмкін ыңғайлар. Алынған нəтижелерден, қорғау жүйесінде тіркеу ақпаратта- рын толық көлемде нақты уақытта қауіпсіздік серверіне беруді жүзеге асырудың мүмкін еместігі туралы қорытынды жасай ала- мыз. Оңтайлы шешім іздеу мақсатында S1 жəне S2 екі құраушы- ны талдаймыз. S1 = N • [λкіру1 • Vu] өрнектен, S1 сипаттама- ларын кішірейтуді, lкіру1 параметрінің мəнін кішірейту есебінен ғана мүмкін болады (яғни Vu параметрін кішірейту нақтысында 205 мүмкін емес). λкіру1 параметрін кішірейту мүмкін емес, ол пай- даланушымен, сондай-ақ операциялық жүйе жұмысымен жəне қосымшалармен анықталады. Бірақ, тіркеу ақпараттарының үле- сін елеулі азайтуға болады. Бұл ретте бүкіл қалған ақпаратты, байланыс арнасының аздау жүктелулері мезеттерінде қауіпсіздік əкімшісінің сұрауы бойынша серверде алуға болады. (мысалы, жұмыс күнін аяқтағаннан кейін, түскі үзіліс уақытында жəне т.б.). Нақты уақытта қауіпсіздік серверіне рұқсатсыз қатынау мен байланысты ақпаратты ғана, яғни қорларға (ресурстарға) қаты- наудың шектемелі саясатына қайшы келетін, пайдала нушылардың əдейі əрекеттері туралы ақпаратты беріп қояды деп ұйғарайық. Бұл, λкіру1 параметрінің мəнін, пайыздар бірліктері (үлестері) шектерінде байланысқан қор (ресурс) өнімділігі ысырабынан үлесін қамтамасыз ете отырып, бірнеше ретке төмендетуге мүм- кіндік береді. Бірақ, бұл жерде, қаскүнемнің ЖЕЖ байланыс арналарын ар- тық жүктеу жəне кəсіпорын байланысының тірек желісі ретінде ЖЕЖ-ді уақытша істен шығару мақсатымен, рұқсатсыз қатынау оқиғаларын генерециялау қатері пайда болады. Өйткені байла- ныс арнасындағы қорғау жүйелерінің өтінімдері, қосымшалардан келіп түсетін, байланысқан қорғау қоры өтінімдеріне қарағанда, неғұрлым жоғары басымдықпен өңделеді, сондықтан қаскүнемнің осындай мүмкіндігі болады. Осыған қарсы əрекет ету үшін нақты уақытта, қорғау жүйесі- нің клиенттік бөлігімен жүзеге асырылатын қорғау тетіктерін қан- дай да бір түрде еңсеретін, рұқсатсыз қатынаудың сол тіркелген оқиғаларын ғана бөліп көрсету жəне өңдеу (қауіпсіздік серверіне беру) қажет, сондықтан қауіпсіздік əкімшісінің ақпараттарды өңдеу үдерісіне тез арада араласуы талап етіледі. Сипаттама S2 = N • [λкіру2 • (Vзк + Vк)] қорғалатын объектідегі пайдаланушы əрекетін бақылау ішкі жүйесінің тірек желілерінің өткізу қабілетіне əсерін көрсетеді. Аталған тəуелділікті талдап көреміз. Біріншіден, Vзк << Vк екені анық. Екіншіден, пайдала- нушы əрекетін бақылау жедел өңдеудің ішкі жүйесімен жүзеге асырылады (реакцияны адам факторы береді). Бақыланатын ақ- паратты қауіпсіздік əкімшісі қарай алатын нақты уақыт интер- валы (мысалы, мониторда қорғалатын объектіні бейнелеу) – бұл 206 5 ... 15 секунд, əрі қорғалатын объектілердің жергілікті есептеу желілеріне қосылған санға тəуелсіз болады. Сондықтан, бұл жер- де біз Vк = 10 Кбайтты аламыз. Айтылғанды ескере отырып: S2= 1 Кбайт/с аламыз, тиісінше, Ethernet желілері үшін: К = S2/C= 0,01, Fast Ethernet желілері үшін: К=0,001 аламыз, яғни қорғалатын объектіде пайдаланушының əрекетін бақылау, желілердің өткізу қабілетін, тиісінше 1 % -ға жəне 0,1 % - ға төмендетеді. Осылай, бақыланатын ақпараттардың үлкен көлеміне қара- мастан, адам факторымен байланысты, бақылаудың ішкі жүйесі жеделдігінің төмен деңгейінен, қорғау жүйесіндегі аталған іш- кі жүйелерді жүзеге асыру, ЖЕЖ-дің байланысқан қорының (ресурстарының) өнімділігіне қаншалықты бір айтарлықтай əсер етпейді. Тиімділікті талдауға сүйеніп, қорғау жүйесінің орталық тан- дырылған бөлінген желілерін құру бойынша жиын ұсынымдар. Қорғау жүйесі үш негізгі: • пайдаланушылардың қорларға шектеулі қатынау саясатын жүзеге асыратын, қорғаудың өзіндік құраушысынан; • қорғалатын объектіде оқиғалардың өзгеруін тіркеу (аудит) құраушысынан; • қорғалатын объектіде пайдаланушы əрекетін бақылау құ- раушысынан тұруы тиіс. Қорғау жүйесінің орталықтандырылған – бөлінген архитек- тураларының тиімділігіне жүргізілген талдаулар негізінде оны құру бойынша төмендегідей ұсынымдар берілуі мүмкін: 1.Қорғау құрауышы, нақтысында толығымен бөлінген түрде жүзеге асырылуы тиіс. Бұл ретте бүкіл оның қорғау тетіктері, қорғалатын объектіде орнатылатын жүйенің клиенттік бөлігімен жүзеге асырылуы тиіс. Осы құраушылар үшін орталықтандыру, қауіпсіздік серверінен қорғау тетіктерін алыстан əкімшілік ету мүмкіндіктерінен ғана тұрады, əрі қорғалатын объекті консолінен аталған функциялар қосарланады (яғни, бөліктенеді). 2. Тіркеу (аудит) құрауышы, тіркеу ақпараттарын өңдеудің екі деңгейлерімен орталықтандырылған – бөлінген сызбасы бойын- ша жүзеге асырылуы мүмкін. Құраушылардың бөлінушілігі, аудиттің бүкіл оқиғасы клиенттік бөлікпен тіркелуі тиіс екендігінен 207 тұрады. Бұл ретте серверге, қорғау жүйесінің клиенттік бөлігімен тіркелген деректер ғана түсуі тиіс. Өңдеу деңгейлері аудиттің орталықтандырылған құраушы- ларын құру тетіктерін анықтайды жəне қауіпсіздік серверіне тіркеу ақпараттарын беру тəсілдерін береді. Бірінші деңгей – нақ- ты уақытта өңдеу – клиенттік бөліктегі тіркеу ақпараттарын қа- уіпсіздік серверіне тез арада жөнелтуді ұйғарады, екінші деңгей – жедел өңдеу деңгейі – байланыс арнасын ең аз мөлшерде жүктеу мезеттерінде серверден қауіпсіздік əкімшісінің алыстан сұрауы бойынша тіркеу ақпараттарын беруді ұйғарады. Байланысқан қордың (ресурстың) өнімділігіне қорғау жү- йесінің əсерін барынша азайту мақсатында бірінші деңгейде тіркеу ақпараттарының ең аз көлемі – рұқсатсыз қатынау фактілері өңделуі тиіс. 3. Қорғалатын объектіде пайдаланушылардың бақылау құ- ра уышы ақпараттарды жинау мен өңдеудің орталықтандырыл- ған сызбасын жүзеге асыруды білдіреді. Бұл ретте бақылана- тын ақпарат генерециялаланады жəне бұйрық бойынша сер- верден қа уіп сіздік серверіне беріледі. Берілетін ақпараттардың үлкен көле міне қарамастан, аталған құраушыларды жүзеге асы- ру байланысқан қордың (ресурстың) өнімділігіне ешқандай да айтар лықтай əсер етпейді (байланыс арнасының өткізу жолақтары пайызының үлесіне ие болады). Əрі, бұл объектілерді ( ЖЕЖ жұмыс стансалары мен серверлерін) қорғаудың бақыланатын жүйесінің санына тəуелсіз. Желінің физикалық құраушыларын қорғап, əкімші желілік қорлар рұқсатсыз қатынаудан жəне кездейсоқ немесе əдейі жо- юдан қауіпсіз екендігіне кепілдік беруі керек. Желілік қорлар- ға қатынауға пұрсаттылықты жəне құқықтылықты тағайындау, желінің бизнесті ойдағыдай жүргізу құралына айналуына негіз болып табылады. Қазір ақпараттық жəне аппараттық қорлардың қауіпсіздігін қамтамасыз ететін екі модель: • пароль арқылы қорғау; • қатынау құқығы арқылы қорғау кеңінен қолданылады. жүктеу/скачать 1,47 Mb. Достарыңызбен бөлісу:
|