автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.16, диссертация на тему:Задача рационального размещения системы контроля на сети

'<1

£

Волгоградский Ордена Трудового Красного Знамени Государственный Технический университет

и Ц п / Л О /*> ¡ 7 ^

^У э/ /оо / - г

КРЫМОВ Владимир Николаевич

УДК 512 о 64„001 о 5

ЗАДАЧА РАЦИОНАЛЬНОГО РАЗМЕЩЕНИЯ СИСТЕМЫ КОНТРОЛЯ НА СЕТИ

Специальность 05„13 о 16 - применение вычислительной техники,

математического моделирования и математических методов в научных исследованиях

Научный руководитель; д-р техн„ наук,

профессор Духнич Е.И. Консультант: к.т„н„,

доцент Лукьянов В.С.

Диссертация на соискание ученой степени кандидата технических наук

ВОЛГОГРАД 1999

СОДЕРЖАНИЕ

1 о ВВЕДЕНИЕ 4

2. АНАЛИЗ СОДЕРЖАНИЯ ЗАДАЧИ КОНТРОЛЯ СЕТИ ВЕДОМСТВЕННОЙ СВЯЗИ ' 14

2.1. Особенности ведомственной городской сети связи 14

2.2. Требования по надежности, целостности, задача контроля сети 19

2.3. Проблема рационального размещения системы контроля 22

2.3.1. Пример размещения источников ТС 23

2.3.2. Простейшие варианты размещения ИТС 25

2.3.3. Применение системы контроля по отношению к сетям различной топологии 28

2.4. Последовательность расчетов по реализации системы контроля на сети • - ' 37

2.5. Оценка характеристик системы"контроля 41

2.6. Идентификация задачи размещения системы контроля на сети 43 Выводы по разделу 2 53

3. КРИТЕРИИ ВЫБОРА РАЦИОНАЛЬНОЙ ПРОКЛАДКИ ТРАСС ПРИ ФИКСИРОВАННЫХ МЕСТАХ УСТАНОВКИ ИСТОЧНИКОВ 55 3.1. Математическая модель сети с ТС 55

3.1.1. Перечень и свойства компонентов системы 55

3.1.2. Правила прокладки технологических сигналов в сети 57

3.1.3. Критерии оценки вариантов прокладки ТС 58

3.1.4. Области модели, подлежащие оптимизации 69

3.1.4.1. Число ТС необходимых для контроля абонентской

сети узла 7 0

3.1.4.2. Показатель наименьшего числа транзитных узлов в тракте подачи ТС 74

3.1.5. Связь исходных данных с выходными параметрами системы 75

3.1.5.1. Критерий суммарной длины трасс контроля 7 8

3.1.5.2. Критерий загруженности межузловых связей 81

3.1.5.3. Соотношение свободных и занятых ИТС 85

3.1.5.4. Критерий числа неконтролируемых магистральных связей 88

3.1.5.5. Критерий общего числа ИТС по сети 89

3.1.6. Зависимость параметров системы от аргументов 90

3.2. Примеры расчетов по критериям 93

3.2.1. Пример расчетов по критерию суммарной длины 93

3.2.2. Пример расчетов по критерию загруженности межузловых магистральных каналов 94

3.2.3. Пример расчета по количеству неконтролируемых магистралей и числа ТС для них 101

3.2.4. Расчеты по критерию соотношения свободных и занятых

ИТС в узлах сети 102

3.3. Способ расчетов по критериям 103 Выводы по разделу 3 104

4. РАЗРАБОТКА МЕТОДОВ РАСЧЕТОВ ДЛЯ ФИКСИРОВАННЫХ МЕСТ УСТАНОВКИ ИСТОЧНИКОВ 106

4.1. Оценка сложности вычислений по критериям оптимизации 106

4.2. Последовательный метод выбора комбинации трасс 113

4.3. Модифицированный пакетный метод расчетов 116

4.4. Гибридный метод выбора трасс контроля 123

4.5. Применение методов к другим критериям 128 Выводы по разделу 4 133

5. ЗАДАЧА РАЗМЕЩЕНИЯ ИСТОЧНИКОВ ТЕХНОЛОГИЧЕСКИХ СИГНАЛОВ В УЗЛАХ СЕТИ 135

5.1. Критерии рационального выбора расположения источников 135

5.2. Методы рационального размещения источников на сети 148

5.2.1. Анализ и модификация существующих методов для

решения задачи 148

5.2.2. Метод потенциалов и потребностей 155 Выводы по разделу 5 162

6. АНАЛИЗ ПРИМЕНИМОСТИ РАЗРАБОТАННОЙ МОДЕЛИ СЕТИ С

СИСТЕМОЙ КОНТРОЛЯ В ПРАКТИЧЕСКИХ ЗАДАЧАХ 164

6.1. Общие характеристики программной модели 164

6.2. Описание схемы функционирования программной модели 166

6.3. Пример расчетов системы контроля на фрагментах сети 17 4 Выводы по разделу 6 17 8

7. ЗАКЛЮЧЕНИЕ 180 ПРИЛОЖЕНИЕ 18 2 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 18 6

1. ВВЕДЕНИЕ

При создании информационно-вычислительных сетей (ИБС), объединяющих ресурсы различных организаций, а также при синтезе телефонных сетей, одной из основных задач является обеспечение безопасности данных„ Особенно, в этом смысле, важна безопасность сетей ведомственной связи» Под безопасностью данных обычно понимают такое состояние хранимых, обрабатываемых и передаваемых по сетям, при котором невозможно их случайное или преднамеренное раскрытие, изменение или уничтожение [37,44]„ Безопасность данных обеспечивается и поддерживается комплексом программно-аппаратных средств защиты, которые выполняются свои функции в тесном взаимодействии с основными компонентами ИТ С. Совокупность этих средств образует систему защиты данных, причем, с одной стороны, средства защиты являются общесистемными ресурсами ИБС, а с другой стороны, в силу специфики решаемых задач система защиты может быть представлена в виде самостоятельной внутрисетевой структуры, которая нуждается в собственном управлении,. При этом основным назначением подсистемы управления средствами защиты является координация всех процессов, выполняющихся в сети в интересах обеспечения безопасности данных.

Задачи управления можно разбить на два класса взаимосвязанных частных задач„ К первому классу относится компенсация нарушений функционирования системы защиты, которые возникают в результате отказа каких-либо элементов системы или при воздействии на систему нарушителя„ Здесь необходимо учитывать возможность преднамеренного нарушения целостности и непротиворечивости распределенной между элементами системы служебной информации, нарушения безопасности ключей и паролей, что связано с определением допустимого времени их использования, а также возможность потери или частичного искажения служебной информации в результате отказов аппаратных или программных средств элементов системы защиты. Кроме того, необходимо учитывать изменение уровней (вплоть до полной потери) работоспособности отдельных элементов системы защиты

или нарушение связей между ними. Рассматриваемые нарушения могут быть разделены по виду на внешние и внутренние . Внешние являются следствием целенаправленной деятельности нарушителя с целью получения несанкционированного доступа к защищаемым данным или изменения режимов работы системы защиты. При рассмотрении нарушений этого вида можно говорить о живучести системы защиты [34,44]. Внутренние нарушения являются следствием скрытых дефектов элементов системы защиты или связей между ними и проявляются случайным образом в процессе эксплуатации.

Средства обеспечения безопасности данных можно разделить на два основных класс0. локальные средства, являющиеся принадлежностью абонентских систем, и сетевые средства защиты.

В последнее время системы управления сложными распределенными системами, к которым с полным основанием может быть отнесена и система защиты данных в ИБС, создаются с помощью методов и средств искусственного интеллекта [30,31,44]. Основным содержанием концепции построения интеллектуальных систем управления является использование введенных в систему и пополняемых в ходе функционирования знаний. Применение методов искусственного интеллекта позволяет существенно повысить эффективность управления такими объектами, как сети передачи данных. Целесообразность использования искусственного интеллекта в системе защиты информации обусловлена тем, что при отказе или нарушении работы каких-либо элементов системы защиты может возникнуть возможность утечки информации, что недопустимо. Предотвращение утечки обеспечивается оперативным блокированием участка ИВС, который содержит неисправный элемент системы защиты. Следовательно, система защиты должна постоянно проводить контроль функционирования своих элементов, анализировать результаты этого контроля и оперативно реагировать на возникновение различного рода сбойных ситуаций независимо от природы их возникновения (случайных или преднамеренно создаваемых нарушителем). Включение в контур управления оператора системы защиты в качестве лица, принимающего решение по предоставляемой ему информации, не

позволяет достичь достаточной оперативности реакции на возможные нарушения» Таким образом, необходимо оснастить систему защиты специализированной экспертной системой, которая выполняет функции оперативного управления ею. Естественно, что при этом оператор может влиять на процесс управления на любом этапе, вводя операторские директивы с собственного терминала.

Система функционального контроля средств защиты данных предназначена для формирования и выдачи в ИВС тестовых команд или сигналов, направленных на проверку правильности работы тех или иных средств защиты» Результаты проверок собираются этой же системой в реальном масштабе времени, что обеспечивает возможность оперативного реагирования на возникающие нарушения» Поступающие из ИВС данные о результатах контроля используются для обновления знаний о текущем состоянии системы защиты и в совокупности с уже имеющимися знаниями служат основой для выработки необходимых управляющих воздействий»

Таким образом, основной элемент системы защиты данных использует для реализации своих функций специализированную экспертную систему, постоянно контролирующую правильность работы системы обеспечения безопасности» Однако сложность проблемы управления безопасностью данных в ИВС требует проведения дополнительных исследований для оценки эффективности предлагаемых методов, конкретизации функций и принципов построения элементов системы управления, а также для оценки влияния средств контроля функционирования системы защиты на загрузку сети» Оставив в стороне вопросы реализации экспертной системы, обратимся к последней проблеме влияния системы защиты на загрузку, а, кроме того, стоимость реализации некоторых компонентов системы»

Одним из видов защиты служебной информации является система защиты линий связи» Имеется в виду дополнительные меры по поддержанию в рабочем состоянии основной среды передачи информации по сетям — кабелей, соединяющих абонентские пункты или узлы ИВС [8,9,18]»

Исторически сложилось, что до недавнего времени как в вычислительных системах, так и в системах телефонной связи

использовались кабели, содержащие в своей структуре большое количество металлических проводящих жил. Как правило, для этих целей использовались медные проводники.

Для обеспечения защиты данных со стороны централизованной системы защиты часть проводников была задействована для технологических целей. Именно по ним системой функционального контроля системы защиты передаются тестовые сигналы, которые затем анализируются в реальном масштабе времени.

Параметры линии связи, контролируемые системой защиты данных, могут быть различны. Все свойства кабельной системы, нарушение которых тем или иным образом повлечет утечку информации или ее искажение должны быть учтены. В зависимости от того, какой именно параметр контролируется, в структуру кабелей могут включаться или не включаться дополнительные датчики состояния, реагирующие на запросы системы защиты, либо в реальном режиме времени выдающие сигналы, которые отражают условия функционирования кабеля [33].

Общим для этих параметров функционирования является использование части жил кабеля для передачи технологической информации (запрос системы защиты и ответ датчиков, либо сигнал мониторирования состояния). Для обеспечения безопасности передачи данных важно, чтобы на всех участках сети кабели были под контролем системы защиты. Таким образом, сигналы ото всех кабелей сети должны сходиться в пункт сбора контрольной информации, где она анализируется.

Такая система контроля подразумевает, во-первых, большое количество приемников контрольной информации, а во-вторых, при установке этих приемников в одном из узлов сети или даже выделенной для этих целей станции, наличие большого числа этих технологических сигналов в кабелях, входящих непосредственно в этот узел или станцию.

До недавнего времени задачей большинства систем контроля ставилось обеспечение защиты, в основном, участков сети, соединяющих между собой узлы. Для этого, в соответствии с конкретными целями, в кабели магистральных (межузловых) соединений вводились дополнительные технологические жилы,

которые обеспечивали контроль за их состоянием» При этом общее число технологических сигналов определялось типом и количеством кабелей магистральных участков сети» В результате заполнение кабельной системы технологическими сигналами было незначительно [33,46] .

В последние годы все большее значение приобретает принцип полного покрытия сети системой контроля» Это означает, централизованная система контроля должна получать данные о состоянии не только магистральных, но и абонентских участков сети» Если технологическое оборудование системы контроля устанавливается в узлах, абонентская сеть которых должна контролироваться, то магистральные участки должны

контролироваться отдельными технологическими сигналами» В противном случае технологические сигналы от контроля абонентских участков неизбежно будут проходить по магистральным участкам» В то же время по ним проходят сигналы контроля самих этих участков [33]»

Заполнение магистральных участков технологическими сигналами характерно не только для сетей, имеющих повышенные требования к безопасности данных, таких как информационно-вычислительные сети или телефонные сети ведомственного назначения» В телефонных сетях общего пользования уже давно применяется технология поддержания в исправном состоянии кабельной системы» Для этого на территории АТС или крупных узлов устанавливаются испытательно-измерительные столы (стенды) (ИИС) [8] » Часть линий кабеля задействуется с целью контроля параметров кабельной системы, а также передачи служебной информации„

Более того, в последнее время имеет место интенсивное развитие средств телекоммуникаций и расширение спектра функциональных возможностей аппаратуры передачи данных» Увеличивается спектр услуг телефонной связи в плане выдачи сервисной информации абонентам» Это неизбежно ведет к росту требований к среде передачи данных также и в смысле использования части объема кабелей для сервисных функций»

Таким образом, именно на данном этапе существует целый ряд объективных причин, ведущих к увеличению числа технологических сигналов в кабельной системе сети, При определенных обстоятельствах их объем может быть сравним с объемом информационных сигналов.

Следовательно, происходит невольное переполнение кабелей магистральных участков технологическими сигналами, идущими от периферийных областей сети и абонентских участков„ Одним из выходов является распределение системы защиты по узлам сети. По крайней мере, децентрализации подлежит та ее часть, которая производит, во-первых, рассылку запросов о функциональном состоянии элементов системы, а во-вторых, содержит приемники контрольной информации. Для телефонных сетей общего пользования необходимо выбрать места расположения ИИС.

Кроме того, как показано в разделе 2 диссертации, объем технологических сигналов в кабелях сети во многом зависит от того, какими путями они проходят по магистральным участкам сети. Таким образом, задача заключается в том, чтобы выбрать не только места расположения контрольных пунктов, т.е. где будет установлено технологическое оборудование, но и в том, чтобы найти комбинацию путей прохождения технологических сигналов с целью минимизации объема технологических сигналов в кабелях.

Включая большое количество технологических жил в кабели сети, мы тем самым переносим стоимость кабельной системы сети с информационных линий на технологические. В процессе эксплуатации, безусловно, информационная доля линий в какой-то мере окупит себя. Однако при этом остальные линии выключены из эксплуатации, и, следовательно, из аренды. Таким образом, увеличивая долю технологических сигналов в кабелях сети, при сохранении безопасности данных сеть теряет свою окупаемость.

Место диссертации среди навесдшнж направлений наувш.

В работе приводится анализ существующих методов для применения к решению поставленной задачи. Так, задача размещения объектов по узлам сети широко изучена в теории графов. Известны типовые задачи нахождения центра графа. Существует множество методов и алгоритмов, осуществляющих такой

поиск„ Большинство из них ориентировано на отыскание единственного центра, в то время как рассматриваемая задача характеризуется большим числом таких центров [4,27] . Методы полного перебора ведут к значительному увеличению операционной сложности задачи» Задачи поиска нескольких центров сети сводятся к разбиению сети (графа) на фрагменты с последующим поиском в каждом из них единственного центра» Особенности решаемой задачи требуют более подробного рассмотрения известных методов, их возможностей для решения проблемы размещения системы контроля на сети, а также критериев оценки размещения» Необходимо рассмотрет