Методика решения задачи оптимизации размещения информационных ресурсов в локальной вычислительной сети

Размещено на http://www.allbest.ru/

Академия Федеральной службы охраны Российской Федерации

Методика решения задачи оптимизации размещения информационных ресурсов в локальной вычислительной сети

Бочков П.В.

Опыт создания и эксплуатации корпоративных информационных систем крупных государственных и коммерческих организаций показывает, что на современном этапе развития информационных и телекоммуникационных технологий такая система может быть эффективной только в том случае, если она синтезирована на основе сочетания различных технологий, обеспечивающих оперативный и безопасный доступ пользователей к информационным ресурсам (ИР) [1-5].

На практике в задачах обеспечения оперативности доступа в качестве его основного показателя наиболее распространенным является вероятность своевременного выполнения запроса пользователя, определяемая функционалом:

где - время выполнения запроса; - допустимое время выполнения запроса; -- множество характеристик запросов пользователей (интенсивность и приоритет, требуемые для выполнения ИР); - план (вариант) размещения ИР по ЭВМ сети; V - множество характеристик технического и программного обеспечения (производительность ЭВМ, пропускная способность моноканала локальной вычислительной сети (ЛВС) и др.); - подмножество характеристик ИР, влияющих на оперативность доступа (технология хранения и доступа, тип, объем и др.).

Основным показателем безопасности доступа к ИР является вероятность несанкционированного доступа (НСД), определяемая выражением

,

где - принятая модель разграничения доступа; - подмножество характеристик информационных ресурсов, влияющих на безопасность доступа (технология хранения, важность, конфиденциальность, тип, объем и др.) [6, 7].

Анализ выражений (1) и (2) показывает зависимость каждого из показателей от общих исходных данных, что обусловливает необходимость постановки и решения общей задачи оптимизации размещения и защиты ИР с векторным критерием оптимизации (по критерию максимума оперативности и безопасности доступа).

В общем случае такая задача имеет следующий вид.

Заданы:

1. Множество серверов , где - общее число серверов ЛВС.

2. Множество пользователей , где - общее число пользователей в ЛВС; - значение метки безопасности из множества меток безопасности .

3. Множество ИО, подлежащих размещению , где - общее число ИО; - значение метки безопасности из множества меток безопасности .

4. Множество логических дисков серверов ЛВС, доступных для размещения информационных объектов (ИО) , где - общее число логических дисков серверов ЛВС.

5. Множество каталогов файловой системы дисков серверов ЛВС, доступных для размещения ИО , где - общее число каталогов; - значение метки безопасности из множества меток безопасности .

6. Вектор значений объема ИО , где - объем -го ИО.

7. Матрица разграничения доступа пользователей ЛВС к ИО

,

где

8. Матрица размещения логических дисков по серверам сети

,

где

9. Вектор параметров логических дисков серверов ЛВС , где - объем (размер) логического диска.

10. Матрица размещения каталогов, доступных для размещения ИО по дискам серверов сети

,

где

11. Вероятность преодоления подсистемы разграничения доступа в результате однократной попытки подбора нарушителем параметров аутентификации.

Найти:

вариант размещения (распределения) элементов множества F по элементам множеств E и D, описываемый трехмерной матрицей ,

где

- множество допустимых вариантов размещения ИО,

который соответствует минимальному значению целевой функции

Ограничения:

;

;

для

где общее число ИО; - общее число каталогов ; значение метки безопасности из множества меток безопасности .

Физический смысл ограничения (4) состоит в том, что суммарный объем информационных объектов, размещенных на каждом диске множества , не может превышать его объем, значение которого определяется соответствующим элементом вектора параметров логических дисков .

Ограничение (5) сводится к требованию размещения только одного экземпляра каждого информационного объекта, то есть элемента множества .

Ограничение (6) устанавливает, что в каталоге не должно быть ИО, к которым допущены пользователи, имеющие более высокие, чем у него метки безопасности.

Выбор метода решения адекватного по отношению к данной постановке задачи определяет необходимость анализа особенностей ее области допустимых решений (ОДР), вида и характера целевой функции и системы ограничений, зависимости между ОДР и неуправляемыми параметрами.

Алгоритм выбора математических методов решения данной задачи представлен на рисунке 1.

Рисунок 1. Алгоритм выбора математических методов решения задачи оптимизации размещения и защиты ИР

В задаче (3)-(6) ОДР образуется путем объединения вариантов размещения ИР по серверам, логическим дискам и каталогам, задаваемым матрицами размещения вида

,

где ; ; , то есть элементы матрицы размещения могут принимать значения "1" или "0", что означает соответственно ИО размещен на сервере (диске или каталоге) или отсутствует на нем; для справедливо

;

.

Условие (8) устанавливает, что каждое допустимое решение должно обеспечивать размещение всех ИО, а условие (9) - что ИО может быть размещен только в одном месте (на одном сервере, диске, в каталоге).

Анализ вида и характера целевой функции (3) показывает, что данная задача относится к классу задач с векторным критерием оптимизации, с линейной целевой функцией, а с учетом вида ОДР - к задачам целочисленного программирования.

Вид и характер ограничений (4)-(6) носит линейный характер, и в соответствии с этим задача попадает в класс линейного программирования.

В связи с тем, что данная задача оптимизации предполагает размещение ИО в пределах ЛВС по серверам, в пределах каждого сервера - по логическим дискам и в пределах каждого диска - по каталогам, размерность ОДР при ее решении в один этап становится чрезмерно высокой. В этом случае для формального представления варианта размещения необходимо использовать трехмерную матрицу, элементы которой могут принимать значение "1" - если -й ИО принадлежит -му каталогу -го сервера и значение, равное "0", - в противном случае. Для учета соответствия каталогов логическим дискам и логических дисков серверам при расчете значений целевой функции необходимо использование двух дополнительных двумерных матриц (рисунок 2), которые накладывают ограничения на возможность присвоения единичных значений элементам , в случае если соответствующего адреса хранения ИО физически не существует. Максимально возможное число вариантов размещения ИО по каталогам на серверах, задаваемых матрицей , составляет , что при относительно небольших значениях исходных данных приводит к NP-полноте задачи оптимизации [8]. В связи с этим целесообразным представляется декомпозиция исходной задачи в каждой из рассмотренных постановок на отдельные последовательные этапы (рисунок 2) и решение задач оптимизации на основе метода динамического программирования.

Рисунок 2. Декомпозиция решения общей задачи оптимизации

В основе метода динамического программирования лежит принцип Беллмана, согласно которому оптимальная стратегия обладает таким свойством, что каково бы ни было начальное состояние и начальные решения, последующие решения должны приниматься исходя из оптимальной стратегии с учетом состояния, вытекающего из первого решения. Использование этого принципа является гарантией того, что оптимальное решение, принимаемое на каждом этапе, является наилучшим с точки зрения всего процесса в целом.

Формально процесс оптимизации при динамическом программировании описывается следующим соотношением (итерационной процедурой). информационный ресурс операционный несанкционированный

На первом этапе (оптимизация размещения ИО по серверам)

,

,

На втором этапе (оптимизация размещения ИО по логическим дискам сервера)

,

,

На третьем этапе (оптимизация размещения ИО по каталогам логического диска сервера)

,

,

где , , - максимальный выигрыш, получаемый при распределении ИО между серверами, по логическим дискам и по каталогам соответственно; - выигрыш, получаемый при распределении совокупности ИО на сервере (локальном диске, в каталоге); - коэффициент локализации запросов пользователей сервера, определяемый отношением разности объемов локальных и удаленных запросов к ИР к их общему объему в домене; - вероятность НСД к ИО на сервере (локальном диске, в каталоге).

Первый член правой части уравнений (10), (13) и (16) выражает выигрыш, получаемый при распределении ИО на сервере, логическом диске и в каталоге, при выборе соответственно , , , где , и являются значениями величины в соответствующих интервалах , и , максимизирующими данные уравнения. Второй член представляет выигрыш для остальных серверов, логических дисков и каталогов, на которые приходится соответственно , и количество ИО, которые, в свою очередь, должны быть распределены между указанными серверами, логическими дисками и каталогами оптимальным образом. Выигрыш для одностадийного сервера, логического диска и каталога описывается соответственно уравнениями (11), (14) и (17). Условия (12), (15) и (18) требуют полного распределения соответствующего количества ИО на серверах, логических дисках и в каталогах.

Из множества известных задач динамического программирования представленная задача в наибольшей степени соответствует классу задач о распределении ресурсов, и в частности, задаче о распределении между некоторым количеством параллельно соединенных реакторов полного количества ядерного катализатора, активность которого не зависит от времени, но различна для каждого реактора. Данная задача решается методом прямого прогона. При этом на каждом этапе динамической оптимизации решается задача линейного программирования, исходные данные и ограничения в которой зависят от решений, полученных на предыдущих этапах. Содержание и порядок решения такой задачи рассматривались в [8].

Анализ постановки представленной выше задачи позволяет выделить ее принципиальные особенности и возможность применения классических методов линейной оптимизации (рисунок 3):

зависимость параметров целевой функции и ограничений от рассматриваемого варианта размещения ИО (так коэффициент локализации запросов пользователей к ИО () зависит от его размещения на конкретном сервере, а вероятность НСД к ИО () - от размещения других ИО по серверам, дискам и каталогам);

высокую размерность области всех возможных вариантов размещения (так, для ЛВС, состоящей всего из трех доменов, на серверах которых размещено только 600 ИО, число возможных вариантов размещения ИО по серверам составит 1,8710286);

необходимость скаляризации векторного критерия при решении задачи (3)-(6).

С учетом данных особенностей на каждом этапе динамического программирования представленная задача должна рассматриваться как задача дискретного линейного программирования, которая формально соответствует многомерной постановке задачи о рюкзаке. Для решения последней в ее классическом виде используются алгоритмы Данцинга или Ленд и Дойг. К достоинствам этих методов относится их относительная простота программной реализации. Однако, основным их недостатком является невозможность применения на задачах высокой размерности, для которых исследование ОДР данными методами даже с использованием вычислительных возможностей современных ЭВМ требует слишком больших, недопустимых в практической работе, временных затрат [9].

В связи с этим для решения задачи (3)-(6) представляется целесообразным использование методов эволюционных вычислений, объединяемых понятием генетические алгоритмы оптимизации (ГАО) [10], а для скаляризации векторного критерия оптимизации целесообразно использовать метод линейной свертки.

Рис. 3. Методы решения задач линейного программирования

Литература

1. Назаров С. В., Ашихмин Н. В., Луговец А. В. и др. Локальные вычислительные сети: Справочник. В 3-х кн. Кн. 3: Организация функционирования, эффективность, оптимизация / Под ред. С. В. Назарова - М.: Финансы и статистика, 1995.- 248 с.

2. Бэри Нанс. Компьютерные сети: Пер. с англ. - М.: БИНОМ, 1995. - 400 с.

3. Microsoft Corporation. Компьютерные сети. Учебный курс / Пер. с англ. М.: Издательский отдел "Русская Редакция" ТОО "Channel Trading Ltd". 1997. 696 с.

4. Щеглов А. Б. Защита компьютерной информации от несанкционированного доступа. - СПб.: Наука и Техника, 2004. - 384 с.

5. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452 с.

6. Бияшев Р. Г., Афонская Т. Л. Некоторые задачи защиты информации // Зарубежная радиоэлектроника, 1994. № 2/3. - С. 42-45.

7. Кульба В. В., Ковалевский С. С., Косяченко С. А., Сиротюк В. О. Теоретические основы проектирования оптимальных структур распределенных баз данных. Серия "Информатизация России на пороге XXI века". - М: СИНТЕГ, 1999. - 600 с.

8. Робертс С. Динамическое программирование в процессах химической технологии и методы управления. - М.: Мир, 1965. - 480 с.

9. Сигал И. Х. Задача о рюкзаке: Теория и вычислительные алгоритмы. Учебное пособие. - М.: МИИТ, 1999. - 74 с.

10. Букатова И. Л. Обучающиеся, адаптивные и самоорганизующиеся эволюционные вычисления // Обозрение прикладной и промышленной математики. Том 3. Выпуск 5. - М.: "ТВН", 1996. С. 706724.

Аннотация

В статье рассматривается методика выбора методов решения задачи размещения информационных ресурсов и организации их защиты от несанкционированного доступа на основе реализованных в сетевой операционной системе механизмов разграничения доступа к ним с векторным критерием оптимизации.

В соответствии с видом и характером целевой функции, ее параметров и ограничений описан алгоритм выбора математических методов решения экстремальных задач.

The article reviews {principles of choice of) methods of information resources allocation and their illegal access protection organization on basis of realized in the network operation system access distribution mechanisms to them with vectorial optimization criterion solving problems.

In accordance with criterion function kind and pattern, its parameters and restrictions algorithm of choice of mathematical methods of solving extremum problem.

Размещено на Allbest.ru