МОДЕЛИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КРИТИЧНЫХ ИНФОРМАЦИОННО - ИЗМЕРИТЕЛЬНЫХ СИСТЕМ
(Часть 1. Введение и общая модель)
Артамонов В.А.
Белорусский национальный технический университет, Минск, Республика Беларусь
Обозначена проблема построения безопасности информационных технологий критичных информационно-измерительных систем. Рассмотрены основные математические методы, применяемые при формальном анализе и описании таких систем. Вводится общая модель безопасности информационных технологий.
Artamonov V.A.
THE MODELS OF SAFETY INFORMATION TECHNOLOGIES CRITICAL INFORMATION-MEASURING SYSTEMS
( Part 1. Introduction and the general model)
The problem of construction safety the information measuring systems is designated.
The basic mathematical methods applied at the formal analysis and the
description of such systems are considered. The general model of
safety information technologies is entered.
Введение
Информационные технологии (ИТ) становятся на сегодняшний день краеугольным камнем построения современных информационно-измерительных систем (ИИС). Вместе с этим, ИТ привнесли в эту сферу проблемы обеспечения известной "триады" – конфиденциальности, целостности и доступности. Таким образом, для обеспечения и поддержания режима информационной безопасности (ИБ) современных ИИС требуется разработка и реализация политик безопасности, используемых информационных технологий. В связи с этим рассмотрим основные математические методы, применяемые при формальном анализе и описании политик безопасности ИИС. При анализе функционирования этих систем (при этом системы являются необязательно вычислительными), область применения которых является критичной в плане обеспечения их жизнедеятельности (к данному классу обычно относятся защищенные ИИС), желательно рассмотреть ее реакции на все возможные входные воздействия.
Хотя количество всех возможных реакций системы достаточно велико, существует два метода, позволяющих уменьшить количество состояний, которые необходимо подвергнуть анализу.
Один из методов заключается в доказательстве того, что система всегда "работает корректно", тогда как альтернативный метод состоит в демонстрации того, что система "никогда не выполняет неверных действий".
При использовании первого метода используется комбинация анализа и эмпирического тестирования для определения таких реакций системы, которые могут привести к серьезным сбоям – например, функционирование системы при граничных условиях или при условиях, не оговоренных в качестве возможных для компонентов системы. В качестве примера можно привести требование описания поведения системы в ответ на входное воздействие типа "выключение питания".
Основной идеей второго метода является гипотеза о том, что система делает что-то некорректное, поэтому ведется анализ реакций системы с выявлением состояний, в которых возможно проявление данной некорректности. Доказательство корректности работы системы сводится к демонстрации того, что данные состояния недостижимы, то есть к доказательству от противного.
Свойство, характерное как для одной, так и для другой технологии анализа безопасности ИИС, выражаются путём группирования схожих реакций системы (cигнатур) так, что для рассмотрения всех возможных реакций ИИС необходимо анализировать лишь небольшое количество входных воздействий.
Данные методы анализа безопасности систем пригодны в основном для измерительных систем, основывающихся на механических, электрических и других компонентах, то есть компонентах, основанных на физических принципах действия. В системах, основанных на физических принципах, отношения между входными и выходными данными являются непрерывными, то есть незначительные изменения во входных данных влекут незначительные изменения в выходных данных.
Это позволяет проанализировать (протестировать) поведение системы, основанной на физических законах конечным количеством тестов, так как непрерывный характер правил функционирования системы позволяет заключить, что отклик системы на непротестированное значение входной величины будет схожим с соответствующими протестированными случаями.
Таким образом, можно сделать вывод о том, что метод непосредственного тестирования хотя и необходимо применять к системам критического назначения, но он способен выявлять только примитивные ошибки в программном обеспечении. Вследствие сложности современных программных систем и вытекающего из этого многообразия реакций системы на входной поток данных, описанная выше техника недостаточна для анализа сложных ИИС.
Общая модель
Сложность системы ИТ определяется большим количеством дискретных решений, принимаемых системой при исполнении программного обеспечения. Таким образом, при определении взаимоотношений между входом и выходом системы (входным и выходным потоками данных), в случае анализа программной системы, реакцию системы на входное воздействие нельзя рассматривать как непрерывную функцию, так как она является дискретной: небольшие изменения во входных данных системы могут радикально изменить поведение всей системы в целом. Это является главным отличием современных ИИС от систем, основанных на физических процессах.
Отклонение от непрерывности ведет к непредсказуемому росту количества возможных реакций системы на изменения во входных данных. Таким образом, в случае с ИИС в состав которых входят системы (подсистемы) ИТ, метод непосредственного тестирования с последующими выводами о свойствах данной системы не дает должной уверенности в её безопасности вследствие дискретного характера отношений между входными данными и выходной реакцией системы. И таким образом, практическое значение применения формальных методов при анализе систем заключается в возможности анализа всех реакций систем ИТ.
Необходимо отметить, что в случае формального анализа мы имеем дело не просто с реакцией системы на некоторые группы входных данных, а с внутренней реализацией системы. Таким образом, возникает возможность "декомпозиции" возможных реакций системы на реакции ее компонентов (с помощью анализа формальных спецификаций компонентов) с последующей их композицией, что дает возможность описания всех реакций системы.
Описанные выше принципы применения формальных методов для анализа систем, содержащих программное обеспечение, имеют недостаток, присущий всем методам моделирования: формальные методы имеют дело не с самой системой, а с ее моделью и это означает, что модель может не отражать реальность или отражать ее некорректно.
Данная проблема может возникнуть вследствие использования модели, учитывающей не все факторы, оказывающие влияние на реальную систему. С другой стороны, излишняя детализация системы ведёт к росту затрат на проведение формального анализа, что может привести к неэффективности применения данного метода. К модели безопасности должны предъявляться требования, общие для всех моделей, а именно: адекватность, предсказуемость, общность. Таким образом, возникает задача корректного выбора уровня абстракции в описании модели безопасности. Под уровнем абстракции понимается множество требований к реальной системе, которые должны найти свое отражение в модели, для корректного отображения моделируемой системы.
Для того чтобы перейти к рассмотрению модели безопасности системы, рассмотрим концепцию ядра безопасности, отражающую свойства механизмов безопасности. В данной концепции сеанс работы пользователя в системе ИТ характеризуется последовательностью операций доступа к объектам системы. Очевидно, что должна существовать некая процедура принятия решений о том, какой из запрашиваемых доступов разрешить, а какой нет. По другому это можно представить как фильтр, через который должны пройти все запросы на доступ, сделанные субъектами. Схема такого фильтра получила название монитора пересылок (возможная реализация в виде программной и /или аппаратной компоненты) .
Основной характеристикой монитора пересылок является то, что он или разрешает запрос на доступ, или запрещает, возможно, уведомляя об этом субъекта. Таким образом, монитор пересылок может быть описан в терминах функции с запросами на обслуживание, разрешениями доступа, другими компонентами состояния системы на входе (т. е. элементами области определения) и разрешениями или запретами на обслуживание на выходе (т. е. элементами области значения)...
Закачать полную версию статьи по ссылке: Часть 1. Введение и общая модель
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: