Для оценивания эффективности системы мониторинга сети передачи данных (СМ СПД) необходимо проводить измерение показателей качества этой системы. Измерения нужны, чтобы оценить степень эффективности принимаемых для контроля мер. В случае недостаточной эффективности есть возможность применить другие способы контроля, реализуемые СМ СПД (системой мониторинга сети передачи данных). Замеры осуществляются на всех участках системы, по всем ее циклам, по всем входам и выходам обработки данных цикла PDSA (составление плана, его реализация, проверка правильности, применение). Чтобы контролировать все текущие процессы, нужно управлять специальной программой, отслеживающей изменения на всех этапах проводимой деятельности. В первую очередь это необходимо на этапе реализации. Измерения именно на этом этапе наиболее важны для точного функционирования всей системы. Позднее, на следующем этапе, когда проводится проверка данных, их сравнивают с пороговыми значениями, заложенными в систему. В зависимости от полученных данных принимается решение о правильности или неправильности выбранных средств контроля, о соответствии или несоответствии их необходимым требованиям.
Таблица 1
|
Появление инцидента |
Пример |
Время реагирования на инцидент, t (мин) |
|
По звонку |
Не работает, какая-либо служба и NNM не отображает и нет визуального контроля оборудования |
0 |
|
При визуальном контроле оборудования |
Резервный блок питания |
1÷∞ — 1, если событие происходит в присутствии специалиста — ∞, если к оборудованию ни разу и не подойдут за время эксплуатации |
|
Программные средства диагностики |
NNM |
1÷5 мин. |
Если периодически проводить измерения показателей качества СМ СПД, то мы увидим состояние всей системы в определенный момент времени и сможем сравнить его с состояниями в другие моменты времени. Но эти данные жестко коррелируют только со временем, поэтому совершенно невозможно понять, как изменилось качество работы системы на разных временных отрезках. Алгоритмы измерения показателей имеют свои недостатки. При измерении данных все показатели, кроме одного, условно принимаются неизменными, хотя это лишь приближение, а на самом деле это не так. В каждом последующем измерении за константу принимается следующий показатель и так далее. Минусом такого подхода является игнорирование стохастических изменений в системе, особенно при прогнозировании различного рода рисков, контроля и управления за всей системой. Так же сказываются недостатки самой СМ СПД и вкрадывающиеся ошибки при проведении измерений.
В конечном итоге общее качество, эффективность и работоспособность СМ СПД сводится к принятию бинарного решения «удовлетворяет–не удовлетворяет». Отсюда проистекает чрезвычайно важная задача оценки работоспособности системы при помощи машинных методов. Необходим алгоритм, учитывающий все недостатки системы и ясно показывающий оператору, как работать и на что обратить внимание. Для создания такого алгоритма не обойтись без анализа повторяющихся процессов, протекающих в системе. Если найти способ, как их обработать должным образом, то станет понятно, в каком направлении нужно работать над усовершенствованием системы, учитывая цели ее создания, механизм работы и иные факторы. Считается, что оптимальным будет учет времени реакции системы на инциденты СПД.
При анализе эффективности работы различных систем пришли к выводу, что 80 % времени реакции системы уходит на обнаружение изменения внешних параметров, их обработку и внесение в базу данных, блокирование ошибочных действий системы и оповещение операторов.
Таблица 2
|
|
|
При отсутствии плановых работ. Штатный режим |
t,мин |
|
Старт |
Зарождение инцидента (НШС) |
1. Индикация на экране NNM Critical due to NodeDown at 22/10/15 14:16 |
1÷5 |
|
Осознание |
2. Время осознания критической ситуации на индикаторе NNM. |
1÷5 |
|
|
Анализ |
3. Время предварительного анализа инцидента СМ СПД, (ping, tracert, http, трап…). Наличие резервирования. |
1÷5 |
|
|
НШС |
4. Оповещения оперативно технической службы ОТС организации об инциденте. (телефон, е-маил, голосовое). Принятие решения об открытии инцидента. |
1÷5 |
|
|
Дорога к стойке |
Решение инцидента (НШС) |
5. Доступ к стойке и оборудованию (помещение сотрудника в серверную, ключи, анализ индикации) |
1÷15 |
|
Визуальный контроль |
6. Дефектовка на месте размещения оборудования |
1÷5 |
|
|
Перезапуск |
7. Проверка интерфейсов, перезапуск оборудования…холодный резерв |
1÷5 |
|
|
анализ |
8. Анализ восстановления штатного режима СМ СПД, (ping, tracert, http, трап…). |
1÷5 |
|
|
закрытие |
Закрытие инцидента (НШС) |
Оповещения оперативно технической службы ОТС организации об инциденте (телефон, е-маил, голосовое). Принять решения об закрытии инцидента |
1÷5 |
___________________
----------------------------
…………………………
Время обнаружения, (Х1) время анализа, (Х2) время устранения, (Х3)
Многое зависит от того, какая часть общей системы сработала на выявленные изменения. Это могут быть модули, реагирующие на попытку нарушить периметр системы (так называемые СОВ), на изменение параметров допуска и контролирующие многие другие изменения. От этого зависит скорость реакции системы на произошедшие изменения. Иногда система реагирует практически мгновенно. Но при смене алгоритмов и настроек безопасности, возможна длительная реакция. При этом время реагирования является самым лучшим показателем эффективности работы системы:
,
где 
— время реакции СМ СПД на инцидент СПД;
— время обнаружения инцидента СПД;
— время блокирования несанкционированных действий по нарушению СПД;
— время регистрации события, связанного с инцидентом СПД;
— время оповещения персонала службы о выявленном инциденте СПД.
Для расчета показателя необходимо разделение мер и средств управления и контроля для выполнения проверок на группы по времени реагирования на инцидент СПД. Например, можно установить такой вид группирования:
– немедленный контроль (время реакции — несколько минут ( ≤ 10 мин));
– суточный контроль (время реакции — в течение суток ( ≤ 24 ч));
– контроль изменения политик СПД (время реакции — в течение нескольких суток (≤ 10 сут)).
Изменения в течение времени показателя 
говорят об общем состоянии системы, об эффективности принимаемых мер между проверками, о надежности способов контроля над всей системой. Сам показатель зависит от типа СМ СПД и особенностей ее построения. Обычно этот показатель сканируется через заранее установленные промежутки времени, зависящие от особенностей конкретной СМ СПД. Такой подход позволяет на выходе получать вполне конкретные, объективные, пригодные, а главное, воспроизводимые для дальнейшего использования данные.
Алгоритм оценки работоспособности СМ СПД показывает, как влияет на нее тот или иной обрабатываемый объект. Список элементов измерений определяется заранее и вносится в систему. Но он способен отследить только основные взаимодействия и не может учитывать индивидуальные особенности конкретной СМ СПД. Чтобы вся система работала максимально корректно, используют стохастические модели поведения и их статистический анализ. Такой вариант более предпочтителен, так как учитывает вероятностное изменение измеряемых параметров. Различные случайные воздействия на систему вносятся в нее как при снятии параметров в процессе измерений, так и с помощью специально настроенного генератора.
Огромным плюсом такой модели является то, что в нее изначально заложен особый алгоритм обработки полученных данных. Регрессионной анализ считается наиболее оптимальным алгоритмом, если брать во внимание результативность и качество работы. По сравнению с другими статистическими программами, регрессионный анализ показывает методы и формы зависимости и позволяет судить о причинно-следственных связях. К тому же, такой аппарат имеет хорошо разработанное программное обеспечение, что позволяет быстро и качественно производить необходимые расчеты. Он совместим с системами Mathcad, Scilab, GNU Octave, Mathematica, MATLAB и некоторыми другими. Поддерживается системами обработки статических данных (STATISTICA, SYSTAT, JMP и т.д).
Литература:
1. Шаго Ф.Н., Методика оценки эффективности системы менеджмента информационной безопасности по времени реакции системы на инциденты информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 4 (92). с. 9.
2. Костогрызов А.И., Методическое руководство по оценке качества функционирования информационных систем // М. 2004. 352 с.
3. Спиридонов А.А. Планирование эксперимента при исследовании технологических процессов // М.1981. 184 с.
