<<

стр. 6
(всего 8)

СОДЕРЖАНИЕ

>>

реализации, неминуемо сопряженной с потерей универсальности, гибкости,
адаптируемости, управляемости алгоритмов и процедур.
Поскольку в электронной среде нельзя зафиксировать процесс-
документ, но можно — процесс-технологию, то аппаратные методы
защиты возможны в основном в части защиты «информации-технологии».
Потенциал аналоговых методов и механизмов защиты несопоставимо выше,
чем программных, поэтому аппаратная реализация процедур и алгоритмов,
играющих ключевую роль в технологии электронного обмена информацией,
позволяет качественно повысить уровень защищенности. Тем самым
обосновывается предметная область настоящего исследования —
аппаратная защита технологии электронного обмена информацией.
11. Характеристики надежности и живучести системы тесно связаны,
но обозначают далеко не одно и то же. Надежность есть свойство системы
сохранять способность выполнять заданные функции в заданном объеме,
тогда как живучесть подразумевает просто способность выполнять заданные
функции, не фиксируя, в каком объеме они выполняются. Одномоторный
самолет надежней двухмоторного с двигателями такой же суммарной
мощности — хотя бы за счет меньшего суммарного числа деталей в моторе.
Но менее живучий — отказ мотора в первом случае ведет к катастрофе, тогда
как во втором, обычно, к аварийной посадке.
Таким образом, целью защиты «документа-информации» можно
считать повышение его надежности, тогда как цель защиты «технологии-
информации» — обеспечение живучести. Акцент работ меняется, при
защите технологии приходится обеспечивать защиту всех процедур на всех
этапах работы вычислительной системы, а не только имеющих прямое
отношение к обработке электронного документооборота — и в этом суть
мультипликативной парадигмы защиты. Теоретически это вытекает из
детерминированности алгоритмов, процедур, протоколов. На практике
данное положение прекрасно иллюстрируется, например, необходимостью


225
защиты программной среды от вирусов, влияние которых на конкретный
«документ-информацию» зачастую крайне неочевидно.
13. Абсолютная защита невозможна, всегда возможно нарушение
защищенности объекта, проявляющееся в различии характеристик объекта и
эталона в соответствующих точках наблюдения. Учитывая, что отсутствие
информации много лучше, чем ложная информация, информация
отклоняется, если нет достаточной уверенности в ее защищенности. Поэтому
защищенность необходимо должна индицироваться, и, значит,
сопоставление с эталоном, пусть неявное, необходимо должно
осуществляться.
В составе ЭлД необходимо должны присутствовать «индивидуальные
следы» использованной технологии. Необходимо гарантировать приемлемую
для сектора действенности вероятность выполнения предписанных
сектором требований к технологии информационного обмена. Гарантия
может быть и неявной: если априорно известны применяемые технологии
или если математическое ожидание ущерба от ошибочного придания
сообщению статуса документа и, наоборот, документу — статуса сообщения,
незначительно. Например, взаимодействие субъектов в специальной
вычислительной сети или информационный обмен в локальной сети
небольшой организации.
В противном случае гарантия должна быть явной, и тогда примененные
технологии формирования, обработки, передачи, хранения документа
необходимо должны индицироваться. Когда сектор действенности признает
документ подлинным, а содержащуюся в нем информацию — сообщением о
факте, то это означает, что на основе физической реализации документа
можно установить, что требования сектора к данному виду документа
соответствуют фактической технологии его изготовления. Подлинность
банкноты подтверждается производством в заданном классе технологий, но
не ее номиналом; криптографическая защита текста определяется ключом и


226
алгоритмом шифрования, но не текстом; разные документы одной
организации заверяются одной и той же печатью и т. п.
Результат индикации предписанных технологических правил обработки,
передачи и хранения документа в течение его жизненного цикла с
допустимой для сектора достоверностью должен вытекать из анализа
атрибутов документа. Атрибуты, защищающие информацию документа,
обусловлены не только и не столько информацией, сколько технологией ее
отображения. Одна и та же технология может использоваться для документов
с различным содержанием, равно как одна и та же информация может быть
представлена разными технологиями в виде документа. В любом случае
атрибуты и содержание конкретного документа должны быть, в некотором
смысле, неотъемлемы друг от друга.


4.2. МУЛЬТИПЛИКАТИВНАЯ ПАРАДИГМА ЗАЩИТЫ ЭЛЕКТРОННОГО ОБМЕНА
ИНФОРМАЦИЕЙ

В ряде случаев в практике обеспечения информационной безопасности
смешиваются детерминированные и вероятностные контексты того или
иного события, в частности понятия угрозы и атаки. В хорошей в целом
монографии [70], в частности, обосновано говорится:
Угроза безопасности вычислительной системе (ВС) — возможное
воздействие, которое прямо или косвенно может нарушить состояние
защищенности информации, содержащейся и обрабатывающейся в ВС.
Атака — реализация угрозы безопасности ВС.
Тем не менее, вывод, который делается в цитированных источниках,
сомнителен: защиты систем обработки информации
— «Цель —
противодействие угрозам безопасности».
В идеале это, быть может, правильно. Но в реальности главная цель —
отражение атак, борьба с угрозами вторична, хотя и не исключается. Угроза
— потенциальная, и потому постоянно существующая опасность. Угрозы
известны, т.е. детерминированы. Но далеко не всегда угроза реализуется в
227
виде атаки — атака есть событие случайное. Всегда существует угроза
падения на компьютер тяжелого предмета, но редко осуществляется
собственно падение предмета. Из наличия постоянной угрозы не следует, что
корпус компьютера надо делать бронированным. Вероятностный подход к
информационной безопасности выглядит достаточно перспективным.
Введем следующие определения и обозначения.
• ? = {tk , k = 1,K } — конечное дискретное множество моментов времени tk .

• ? = {on , n = 1,N } — конечное дискретное множество отдельных
технологических операций информационного
(процессов) on

взаимодействия, где n — номер процесса.
Текущая технология в момент задана, если известна
O (tk )

последовательность нулей и единиц длины N, такая, что на n-м месте
стоит 1, если в этот момент операция (процесс) on активизирована
(выполняется), и стоит 0 — если нет.
Технология O (T ) задана, если для всякого момента tk ,k = 1, N , известна
текущая технология O(tk ) .
В общем случае технологию O(T) можно представить в виде матрицы
? из нулей и единиц размера K ? N , элемент ? kn которой равен 1, если в

момент времени tk , k =1,K , операция on , n=1, N , активизирована, и равен
нулю — если нет.
• U = {um , m = 1,M } — конечное дискретное множество возможных угроз
технологии O(T) , где m — номер угрозы.
Каждой угрозе um ставится в соответствие неотрицательное число, не
превосходящее единицы, — вероятность реализации угрозы в виде атаки.
Допущение 1. Атаки am попарно независимы: реализация любой угрозы
не влияет на реализацию остальных.
Строго говоря, допущение не совсем корректно. Во-первых, из
попарной независимости событий иногда не вытекает их совместная

228
независимость. Во-вторых, если повреждающее воздействие намеренно, то
обычно применяется пакет атак на ВС. Но это не столь существенно: на
практике пространство попарно независимых, но взаимно зависимых в
совокупности событий практически не встречается [71]; как правило, можно
«укрупнить» пространство атак, рассматривая пакет атак как единую атаку.
Допущение 2. Длительность атаки существенно превосходит
время реализации технологии электронного обмена
(машинное)
информацией.
Допущение не столь критично, как кажется на первый взгляд. Если
атака произошла намеренно, то допущение выполняется почти всегда: атака
реализуется в «человеческом» масштабе времени, а воздействие на
технологию — в «электронном». Следует различать время активизации
технологии и время электронного взаимодействия.
(реализации)
Обмениваться документами можно часами, но реализация обмена для
каждого отдельного документа длится миллисекунды. Если атака случайная,
например, сбой в процессе, то допущение только усиливает ее воздействие.
Из допущения 2 следует, что для каждого единичного акта
документооборота условия можно считать фиксированными на момент
начала взаимодействия. Тем самым, пространство атак можно считать
постоянным в течение всего времени реализации технологии конкретного
акта электронного взаимодействия и описать подмножеством реализованных
угроз в любой момент времени tk . В любой дискретный момент времени
tk пространство атак можно описать последовательностью нулей и единиц

длины M, где на m-м месте стоит 1, если в этот момент атака am имеет место
(угроза om активизирована), и стоит 0 — если нет.
rm =1- sm — вероятность реализации угрозы um в виде атаки am .
• (4.2.1)
Опираясь на допущение на множестве угроз M строится
1,
вероятностное пространство атак, состоящее из 2 M элементов.



229
Технология O(T) , как показано выше, состоит из множества операций,
поэтому, прежде чем оценивать характеристики безопасности технологии,
рассмотрим таковые для отдельной операции.
Уточним понятия защищенности и безопасности объекта. Хотя эти
понятия и связаны друг с другом, но это далеко не одно и то же.
Защищенность характеристика объекта, определяющая его

способность противостоять атакам.
Защищаются не от угрозы, защищаются от атаки. Понятие
защищенности неизбежно связано с явной или неявной конкретизацией
атаки. Если вероятность атаки отсутствует, то говорить о защищенности
объекта бессмысленно. Защищенность человека со спасательным кругом
выше человека без круга, если «человек за бортом» и подвергается атаке
водной стихии, чем, если он делает ремонт в квартире.
Индексом защищенности ?nm операции on от атаки am (если известно,
что атака am произошла) называется условная вероятность отражения атаки
am при нападении на операцию оn.

• ?nm ? {0,1} — индекс защищенности операции (процесса) on от атаки am

: ?nm = 1 , если операция on защищена от атаки am (атака не влияет на
операцию или отражается средствами защиты), и ?nm = 0 , если операция on
повреждается атакой am (атака успешна?).
Безопасность – способность объекта сохранять свои номинальные
параметры в заданных условиях окружающей среды.
Определение безопасности неизбежно требует конкретизации среды
функционирования объекта. Если в среде атаки отсутствуют, то объект в
безопасном состоянии, при этом не важно: защищенный он или нет.
Безопасностью ? n операции on называется безусловная вероятность
сохранения операцией номинальных параметров (штатной реализации) в
окружающей среде.


230
Утверждение 1. Для заданного выше пространства атак безопасность
? n операции on определяется из соотношения:
M M
? n = ? [1- rm (1- ?nm )] = ? ( sm + rm ?nm ) (4.2.2)
m=1 m=1


Доказательство. Если операция находится в безопасном состоянии, то
для любой угрозы un имеет место: либо отсутствие реализации (атаки) —
вероятность чего sm = 1 - rm , либо наличие реализации в виде атаки, но
отражение последней — тогда вероятность равна rm ?nm . В силу взаимной
независимости атак вероятность их совместного осуществления равна
произведению вероятностей каждого осуществления, откуда сразу следует
(4.2.2). +
Если ? n = 1 , то говорят, что операция абсолютно безопасна.
Следствие 1.1 Операция абсолютно безопасна, если индекс
защищенности от любой из атак равен единице.
Для доказательства достаточно положить в (4.2.2) ?nm = 1 , для любого m,

тогда ? n = 1 . +
Предложенный подход позволяет ввести обобщенную оценку
защищенности операции оn при неявном задании множества атак.
Обобщенным индексом защищенности или, просто,
dn ,

защищенностью d n операции on называется условная вероятность (если
известно, что атаки на операцию имеются) отражения всех атак при
нападении на операцию.
Утверждение 2. Защищенность d n операции on определяется из
соотношения:
M M M M
? n ? ? sm ? (s + rm ?nm ) ? ? sm 1- ? ( sm + rm ?nm )
m
m=1 m=1
(4.2.3)
m=1 m=1
dn = = = 1-
M M M
1- ? sm 1 - ? sm 1- ? sm
m=1 m=1 m=1




231
Доказательство. Пусть d n известно. Вероятность отсутствия атак на
M

?s
операцию on есть, учитывая их взаимную независимость, . Тогда
m
m =1

M

вероятность наличия хотя бы одной атаки равна 1 – ? sm . Безопасность ? n
m =1


операции on находится по формуле полной вероятности в виде
M M
? n = ? sm + d n (1 - ? sm ) (4.2.4)
m=1 m=1


Приравнивая и сразу получим доказываемое
(4.2.2) (4.2.4),
соотношение (4.2.3) +
Предлагаемый критерий d n защищенности операции on обобщает
существующие подходы к оценке защищенности и удовлетворяет
интуитивным представлениям о критерии защищенности. Опираясь на
соотношение можно установить справедливость следующих
(4.2.4),
предложений.
Следствие 2.1. Если индекс защищенности ?nm операции on от любой
атаки an равен единице, то защищенность d n этой операции равна единице.
Доказательство.
M M M

? (s + rm ) ? ? sm 1- ? sm
m
= 1. +
? m = 1,M , ?nm = 1 : m =1 m=1
(4.2.5)
m=1
dn = =
M M
1 - ? sm 1- ? sm
m=1 m=1




Следствие 2.2. Если индекс защищенности ?nm операции on от любой
атаки am равен нулю, то и её защищенность d n равна нулю.
Доказательство.
M M

?s ? ? s
m m
=0. +
? m = 1,M , ?nm = 0 : m =1 m =1
(4.2.6)
dn = M
1 - ? sm
m=1




232
Следствие 2.3. Если вероятность реализации угрозы uM , от которой
операция on не защищена, равна 1 (т. е. rM = 1 ), то защищенность d n этой
операции равна нулю.
Доказательство.
M ?1 M ?1
?nM rM ? ( sm + ?nm rm ) ? sM ? sm
? M , ?nM = 0, sM = 1- rM = 0 : = 0 .+ (4.2.7)
m=1 m=1
dn = M ?1
1- sM ? sm
m =1


Следствие 2.4. Если при реализации операции on имеют место все

атаки am : m = 1,M , то защищенность d n этой операции равна произведению
индексов защищенности ?nm от каждой из атак.
Доказательство.
M M

? (s + ?nm rm ) ? ? sm
m M
= ? ?nm . +
? m = 1,M , sM = 1 - rM = 0 : (4.2.8)
m=1 m=1
dn = M
1- ? sm m=1

m=1


Следствие 2.5. Если вероятность отсутствия атак на операцию on
M M

?s 1 ), то с погрешностью ? [(1- ? n )? sm ] безопасность
близка к нулю, (т. е. m
m=1 m =1


? n этой операции равна ее защищенности d n , т. е.
M M M

?s d n = ? n + ? [(1 - ? n )? sm ] ? ? ( sm + ?nm rm ) .
1: (4.2.9)
m
m=1 m=1 m=1


Доказательство.
Для доказательства достаточно разложить соотношение (4.2.3) по
M

?s , учитывая, что (1 - x )?1 = 1+ x+? ( x 2 ) . +
степеням малости m
m =1

M

?s
Условие 1 характеризует окружение операции, в котором точно
m
m=1


имеются атаки на операцию — агрессивное окружение. Следствие 2.5 можно
переформулировать: — «В агрессивном окружении безопасность операции
равна ее защищенности».



233
Рассмотрим теперь более общий случай — технологию O{*}:

структурированную совокупность операций из подмножества {*} множества
N, {*} ? N = {on : n = 1,N } .
Поскольку некоторые операции технологии on в компьютере могут
выполняться одновременно, то предполагается структурированность,
говорить об упорядоченности операций не совсем верно. Однако в машинах
Тьюринга всегда существует эквивалентное представление любой
технологии в виде строго упорядоченной последовательности отдельных
операций из подмножества {*} множества N. Теоретически это означает, что
технология не повреждена, если, и только если, не повреждены
комплектующие ее операции. В таком случае характеристики безопасности
технологии должны выражаться аналогично рассмотренным для отдельных
операций.
Индексом защищенности ?{*}m технологии O{*} от атаки am называется
условная вероятность (если известно, что атака am произошла) отражения
атаки am при нападении на технологию {*}.
Утверждение 3. Индекс защищенности ?{*}m технологии O{*} от атаки
равен произведению индексов защищенности каждой из операций,
am

формирующих технологию O{*} ,

??
?{*}m = . (4.2.10)
nm
on ?{*}


Доказательство. Согласно допущению можно пренебречь
2
разновременностью операций технологии O{*} и считать, что атака am
наблюдается в течение всего периода реализации технологии, т.е. угрожает
каждой из операций, образующих технологию. Влияние атаки am на каждую
из операций on определяется индексом защищенности ?nm , где on ? {*} .
Причём повреждение любой из операций подмножества {*} необходимо
влечет искажение результата: в вероятностном смысле операции соединены
последовательно. Заметим, что только в вероятностном смысле, логическая
234
структура технологии может быть произвольной. Для безотказности
последовательной цепи событий необходима безотказность каждого из
событий. Отсюда сразу следует доказываемое. +
Безопасностью технологии называется безусловная
? {*} O{*}

вероятность номинальных параметров (штатной реализации) технологии в
окружающей среде.
Рассуждая, как и в утверждении 1, получим, учитывая (4.2.10),
M M
? {*} = ? [1 - rm (1- ?{*}m )] = ? ( sm + rm ?{*}m ) (4.2.11)
m=1 m=1


Защищенностью d{*} технологии O{*} называется условная вероятность
(если известно, что атаки на технологию имеются) отражения атак при
нападении на технологию. Аналогично соотношению легко
(4.2.3),
установить
M M M
? {*} ? ? sm ? (s + ?{*}m rm ) ? ? sm
m
m =1
(4.2.12)
m=1 m=1
d{*} = =
M M
1- ? sm 1 - ? sm
m =1 m=1


Очевидно, что и следствия 2.1 – 2.5 могут быть почти дословно
установлены и для случая анализа защищенности технологии O{*} . Из
соображений компактности эти положения здесь не формулируются.
При анализе безопасности технологии информационного обмена
выделяются две масштабные единицы времени.
Динамический период µ — интервал технологической
[ t, t + µ )

реализации единичного акта документооборота. Для динамического периода
выполняется допущение 2 — его длительность много меньше
µ

длительности ? любой из атак множества А, µ <<? . Отсюда сразу следует
постоянство в течение динамического периода как множества угроз U, так и
множества атак : атака am входит в А с вероятностью rm и не входит с
вероятностью sm =1 - rm , где вероятности rm , sm фиксируются на начало
периода rm =rm (t) , sm =1- sm (t) .

235
Статический период промежуток времени между
?
? —
последовательным обновлением электронной среды, восстанавливающим
исходное состояние множества ? технологических операций. Почти всегда
µ , например, период ? между перезагрузкой системы в начале
? ?

каждой рабочей смены. Период характеризуется фиксированным составом
угроз U и переменным составом множества атак А(t), 0 ? t ? ? , атака am
генерируется в какой-то момент статического периода, длится некоторое
время ? и завершается. Наблюдается случайный процесс «гибели и
размножения». Отношение суммарного времени длительности атак am к

общей длине периода ? равно, в первом приближении, вероятности rm

атаки am в динамическом периоде.
Легко видеть, что с математической точки зрения предложенный
подход справедлив и для анализа информационной безопасности технологии
взаимодействия в статическом периоде. Всегда можно в технологии O{*}
динамического периода в интервале [t, t + µ ) положить t =0 , µ =? , и тогда
рассуждения сводятся к предыдущему случаю. Однако исходные условия
должны быть откорректированы с учетом качественного отличия
промежутков времени µ и ? .
Во-первых, технология O{*} в статическом периоде базируется на
много более широком множестве операций, чем при единичном акте обмена
электронной информацией.
Допущение 3. Технологическая база электронного взаимодействия
безизбыточна — любая из технологических операций рано или поздно
инициализируется хотя бы раз в течение периода взаимодействия.
Допущение означает, что анализ информационной безопасности
исходит из наихудшего случая востребованности всех программно-
аппаратных ресурсов ВС в период взаимодействия. Современное
программное обеспечение настолько сложно, что конкретизация
неиспользуемых ресурсов, как правило, невозможна, если период
236
взаимодействия достаточно длителен, например, рабочая смена. Во всяком
случае, это задача не для рядового пользователя.
В течение рабочего дня используются разнообразные технологии, в
общем случае применяются все операции on из располагаемого множества

операций ? = {on , n = 1,N } , т. е. надо говорить о технологии O{ ? } . Как и
выше, различаются понятия защищенности и безопасности технологической
базы. В соответствии с допущением 3 считается, что база формируется всем
множеством технологических операций
? = {on , n = 1,N } (процессов)
информационного взаимодействия, где n — номер процесса.
Поэтому индекс ?{ ? }m защищенности технологии от атаки am должен в

соответствии с (4.2.10) определяться по всему множеству ? = {on , n = 1,N }

?
?{ ? }m = ?nm (4.2.13)
on ?{ ? }


Во-вторых, приемлемые для практических нужд критерии
безопасности информационных технологий, применяемых в течение
статического периода, обычно допускают только единичные нарушения
отдельных актов электронного взаимодействия. При большом количестве
нарушений дискредитируется весь период ? . Вероятность rm ( ? )= 1- sm ( ? )

атаки am в статическом периоде ? существенно возрастает по сравнению с
динамическим, что приводит при анализе статического периода к
предпосылке агрессивной среды. Выполняются условия следствия 2.5, и
почти всегда, особенно при повышенных требованиях к безопасности,
справедливо положение: информационных
? { ? }( ? )
— «Безопасность

технологий в статическом периоде взаимодействия? равна их
?

защищенности d{ ? } ( ? ) в течение периода ? ».
M M
? { ? } ( ? )= ? [1- rm ( ? )(1- ?{ ? }m )] = ? [ sm ( ? )+ rm ( ? )?{ ? }m ] ? d{ ? } ( ? ) .
? µ (4.2.14)
m=1 m=1


Можно выделить два класса задач информационной безопасности.



237
Обеспечение защиты отдельных технологических операций
при их активизации. Так как активизация операции
(процессов)
автоматически означает, что в это время протекает процесс преобразования
собственно информации, то динамические задачи сводятся именно к защите
информации. Например, защита от перехвата сигнала при обеспечении
конфиденциальности информации.
Обеспечение защиты технологической базы в течение длительного
периода функционирования ВС. В любой конкретный момент в ВС
активизирована всегда очень малая, но не одна и та же, часть располагаемых
операций. Решение статических задач неизбежно обусловлено наличием
пассивной формы информации в электронной среде
(хранением)
существования, в том числе, «информации–технологии» (программных
файлов). В таком случае, статические задачи заключаются в сохранении
эталонного состава вычислительной среды (программных средств) и в
обеспечении эталонного (санкционированного) доступа к этим средствам.
Обратим внимание, что здесь не говорится о данных — любой доступ к
данным (например, чтение файла) возможен, только если имеется доступ к
соответствующим операциям (копировать, вывести на экран, читать и др.)
Соотношения (4.2.13), (4.2.14) характеризуют мультипликативность
защитных свойств вычислительной системы. В соответствии с (4.2.13) для
построения гарантированно защищенной вычислительной системы
достаточно обеспечить защиту всех ее элементов от каждой из возможных
атак на ВС. Тогда индекс защищенности ?{N}m от любой атаки am равен
единице, и согласно (4.2.14) безопасность и защищенность системы равна
единице при любом распределении атак am . Свойство мультипликативности
относится к наиболее общим закономерностям в среде безопасности, а
именно: безопасности системы определяется степенью
«степень
безопасности ее самого «слабого» элемента» [72] или «итоговая прочность
защищенного контура определяется его слабейшим звеном» [54].


238
Как показывает выражение (4.2.14), это условие достаточное, но не
необходимое. Если вероятность атаки am низка, то высокий уровень
безопасности может быть достигнут и без применения специальных средств
защиты, что позволяет на практике существенно удешевить защиту ВС.
Например, использовать механизмы, основанные на кодах аутентификации
вместо асимметричной криптографии. Однако, предварительный анализ
пространства угроз обязателен при решении проблем обеспечения
информационной безопасности технологий электронного взаимодействия.


4.3. ДОВЕРЕННАЯ ВЫЧИСЛИТЕЛЬНАЯ СРЕДА — ДВС. РЕЗИДЕНТНЫЙ
КОМПОНЕНТ БЕЗОПАСНОСТИ — РКБ

Разрабатываемая модель аппаратной защиты технологии электронного
взаимодействия лежит в классе субъектно-объектных (СО) моделей и,
развивая существующие СО-модели, направлена на более адекватный учет
реальных условий электронного взаимодействия. В известных моделях,
основные положения которых рассмотрены в гл. 1, накладываются
чрезмерные ограничения на программно-аппаратный комплекс ВС. Даже
проверка выполнения подобных ограничений в сложных корпоративных ВС
крайне затруднительна на практике.
В главной своей части требования сводятся к обеспечению
изолированности программной среды. Понятие изолированной программной
среды (ИПС) введено в [59], где и дано ее формальное описание. Обобщая,
можно сказать, что изолированная программная среда это совокупность
(множество) программ, в которой:
• никакая активизированная программа не влияет на другую
активизированную программу;
• никакая активизированная программа не влияет на данные, которые
используются для создания (активизации) другой программы;
• каждая программа может использовать только те данные, которые ей
разрешено использовать политикой безопасности;
239
• каждая программа может активизировать только те программы,
целостность которых установлена и активизация которых ей разрешена
политикой безопасности.
Постулируется, что изолированная программная среда должна
поддерживать разумную непротиворечивую политику
«любую
безопасности». Если непротиворечивость политики безопасности еще можно
установить, то можно ли точно трактовать термины «любая» и «разумная»?
Как наиболее современная, СО-модель [59] позволила выявить
важнейший факт – для изолированности программной среды недостаточно
контролировать доступ пользователя к данным, необходимо контролировать
еще и доступ программ к данным, а также процесс порождения одними
программами других на основе контролируемых данных. Изолированная
программа (в терминологии СО-модели она еще называется корректной) не
обязательно является корректной по отношению к преобразованиям данных.
Так, программа вычисления хэш-функции сама по себе может быть
корректной (изолированной), но применение ее к электронному документу
является некорректным, хотя бы в силу того обстоятельства, что
однонаправленное преобразование нарушает изоморфизм.
Ограниченность модели ИПС обусловлена также и тем, что она
инвариантна к объекту, и в силу этого объекты в ней не различаются.
Действительно, проверка изолированности необходимо означает
перечислимость объектов, относящихся к программам и данным, что
практически невыполнимо в программной среде современных
вычислительных машин фон-неймановского типа. В универсальных машинах
большинство программ и данных неразличимы: в разных вычислительных
процессах и даже на разных этапах одного и того же процесса выполняют
разные задачи.
Условие об отсутствии влияния данных на программы заведомо не
выполняется в современных языках программирования, в которых


240
возможность создания объектно-ориентированных программ является одной
из основных.
Для установления целостности объектов в СО-модели ИПС
применяется термин «тождественность», понимаемый как «одинаковость в
языке описания». Если же возможностей терминологии не хватает, то
используется понятие тождественность», очевидно
«семантическая
неадекватное принципиальной точности электронной среды.
Но наиболее существенные ограничения СО-модели ИПС
определяются принятыми в ней допущениями [59]: «генерация ИПС
рассматривается в условиях неизменности конфигурации тех компонентов
системы, которые активизируются до старта процедур контроля целостности
объектов…» И далее: «Неизменность данных компонентов обеспечивается
внешними по отношению к самой системе методами и средствами. При
анализе или синтезе защитных механизмов свойства указанных компонентов
являются априорно заданными». В то же время сами «методы и средства» не
конкретизируются, хотя именно разработка подобных «внешних методов и
средств» представляет одну из основных трудностей при обеспечении
информационной безопасности. Фактически за пределами модели остается
важнейшая в защите информации проблема эталона: в разделе 4.1 показано,
что защита информации, будь то документ или технология, явно или неявно
базируется на сравнении наблюдаемого результата с эталоном. Проблема в
том, что решение принимается всегда в условиях только частичной
известности одного из сравниваемых объектов — результата и эталона. К
тому же и сам компаратор, производящий сравнение, подвержен атакам и
может выдавать неверные заключения.
Отмеченные положения позволяют конкретизировать приоритетные
направления усовершенствования модели ИПС с целью более адекватного
отображения в СО-модели реальных условий электронного обмена
информацией. Предлагаемая усовершенствованная субъектно-объектная
модель защиты технологии электронного обмена информацией называется
241
далее как модель доверенной вычислительной среды — модель ДВС.
Концептуальные отличия модели ДВС от модели ИПС приводятся ниже.
1. Требование неизменности программных средств в модели ИПС
ослабляется до ограничения целостности.
Во-первых, неизменность есть, строго говоря, характеристика только
цифрового отображения информации, здесь неизменность может быть
установлена, например, побитным сравнением двух двоичных
последовательностей. Понимая электронную среду существования как
множество элементов, взаимодействующих на основе формальных правил
обработки, хранения и передачи цифровой информации, надо учитывать, что
сами эти элементы реализованы в объектах аналоговой среды. Любой
аналоговый объект принципиально вариативен, его параметры не могут быть
измерены абсолютно точно, к тому же они изменяются с течением времени.
Ранее установлено, что в электронной среде информация существует в
двух формах: в пассивном состоянии (хранение на диске) — в аналоговой; в
активном состоянии (передача и преобразование) — в цифровой. По сути
вычислительных процессов обе эти формы тесно связаны и не могут
существовать одна без другой. Неизменности не бывает в аналоговой среде,
среде приблизительности, здесь постоянство устанавливается и
обеспечивается всегда с конечной, пусть и достаточно высокой, точностью.
Нельзя говорить о неизменности записи на диске, хотя бы потому, что ее
физическое размещение меняется с течением времени. Но можно говорить о
целостности, понимая, что отображение записи в виде процесса при
считывании неизменно.
Во-вторых, составы активизированных в разных интервалах времени
процессов различаются, хотя бы за счет изменения обрабатываемой
информации. Тогда что же означает неизменность среды? Постоянство
программных средств, как активизированных, так и хранящихся в памяти? А
что тогда делать с файлами документов, состав которых принципиально


242
вариативен? И здесь понятие целостности кажется более предпочтительным
по сравнению с неизменностью.
Под целостностью вычислительной среды понимается стабильность
в течение рассматриваемого периода в требуемом диапазоне состава
объектов и процессов, их взаимосвязей и параметров функционирования.
Какой состав, какие параметры и взаимосвязи и в течение какого
периода — это определяется конкретной задачей исследования. Нельзя
ограничиваться только файловой структурой при анализе особенностей
защиты различных объектов ВС.
2. Замена требования неизменности ограничением целостности
концептуально сказывается на задачах защиты информации. Неизменность
синоним фиксированности, и требование неизменности логично

предполагает статическую модель явления. Кстати, рассмотренное в гл. 1
распространенное представление об электронном документе как об
информации, зафиксированной на машинном носителе, по существу, есть
статическая модель ЭлД. Целостность — следствие динамического характера
информации в электронной среде, ее отображения как процесса,
интерпретации технологии как информации.
Вычислительная среда меняется во времени, и задача защиты
информации — обеспечение изменений в предусмотренном, штатном,
режиме. Но тогда задача становится динамической, а динамический характер
принципиально требует отслеживания изменений во времени. Если требуется
отслеживать целостность среды, то надо знать ее меняющиеся во времени
параметры, необходимо приходится «влезать» в среду, измерять, сравнивать
ее параметры с эталоном. Для изолированной среды такое требование не
является, вообще говоря, обязательным — достаточно никого «не пускать» в
среду.
Следовательно, доверенная программная среда принципиально
предполагает наличие некоего отслеживающего ее
«контролера»,
параметры, — компонента безопасности (КБ).
243
3. А где должен находиться компонент безопасности, вне
вычислительной среды или «внутри», являться одним из элементов среды?
Если — «вне», то обязательно должен быть некий элемент, «разрешающий»
такой контроль и, быть может, даже вмешательство в процесс
функционирования среды при фиксации нежелательных режимов. И задача
сводится к предыдущей. Наиболее очевидный ответ — компонент
безопасности целесообразно встраивать в состав вычислительной системы,
это должен быть «присутствующий — resident» объект. Исходя из этого
требования, далее будем его называть резидентный компонент безопасности
— РКБ.
С практических позиций, включение РКБ в состав вычислительной
системы предоставляет широкие возможности для возложения на него и ряда
дополнительных, помимо контроля, функций: оповещения, регулирования и
управления процессами в вычислительной среде.
4. С одной стороны, РКБ предназначен для защиты электронной среды,
а с другой — сам является элементом этой среды и, таким образом, сам
нуждается в защите. Теоретически идеальная защита вычислительной среды
недостижима, но практически это сводится к тому, что сам РКБ должен
обладать намного более высоким индексом защищенности, нежели
остальные элементы вычислительной среды.
Ранее установлено, что аппаратная реализация технологических
операций, процедур, протоколов изначально обладает более высоким
потенциалом защиты, чем программная. Поэтому при практической
реализации РКБ должны превалировать аппаратные методы. Из этого,
конечно, не следует, что такое направление повышения защищенности
средства защиты единственно, что РКБ должны непременно реализовываться
аппаратном виде. За все приходится платить — здесь теряется гибкость и
адаптируемость. Возможны иные пути, в том числе, редуцирование
вычислительных возможностей, например, РКБ с перестраиваемой


244
структурой. А в ряде случаев предпочтительнее чисто программная
реализация, например, межсетевые экраны.
5. Понимая, что абсолютно надежных средств защиты не существует, и
полагая, что злоумышленник в состоянии преодолеть защиту на любом
этапе, разумно стремиться к получению реальных результатов, а не к
бесплодным попыткам достичь идеальную цель — к созданию и
поддержанию доверенной вычислительной среды, но не к обеспечению ее
изолированности.
Фрагмент среды электронного взаимодействия, для которого
установлена и поддерживается в течение заданного интервала времени
целостность объектов и целостность взаимосвязей между ними,
называется доверенной вычислительной средой — ДВС.
6. Электронный документооборот в ВС основан на следующей
взаимосвязи субъектов и объектов: оператор — за ПЭВМ в ЛВС — с ОС —
используя ППО — и данные — формирует ЭлД — передаваемый в ВС —
обрабатываемый в ВС — и хранимый в ВС — исполняемый в ВС.
Это означает, что применяемые РКБ должны участвовать в
обеспечении информационной безопасности на следующих этапах
реализации технологии электронного обмена данными (задачи 1—8):
1. Контроль целостности технического состава ПЭВМ и ЛВС.
2. Контроль целостности ОС.
3. Контроль целостности ППО и данных.
4. Распределение доступов и защита среды при доступе извне среды
(межсетевые экраны, антивирус, и др.).
5. Контроль идентификации/аутентификации (ИА) пользователей.
6. Аутентификация документа при его создании.
7. Защита документа при его передаче (шифрование, ЭЦП и т.п).
8. Аутентификация документа при обработке, хранении и исполнении
документа.


245
Такое разделение задач не противоречат требованиям нормативных
документов Гостехкомиссии, а является их необходимым дополнением, тем
более что изложенные в [73] требования характеризуют каждый класс только
минимальной совокупностью требований по защите.


4.4. КОНЦЕПТУАЛЬНЫЕ ОСОБЕННОСТИ РЕЗИДЕНТНОГО КОМПОНЕНТА
БЕЗОПАСНОСТИ

4.4.1. Автономность и независимость РКБ от защищаемой среды

Из общесистемных понятий вытекает, и многовековой опыт это
подтверждает, что наилучшие результаты достигаются, когда средства
защиты функционируют максимально автономно от защищаемого объекта.
Покажем, что в случае взаимозависимости качество защиты ухудшается.
Пусть функционирование средств обеспечения и состояние
защищаемого объекта полностью взаимозависимы. Если вероятность
отсутствия атаки am равна единице, sm = 1 – rm = 1, то согласно соотношению
(4.2.11) мультипликативной модели безопасность ?{*} технологии O{*} равна
единице при любом индексе ?{*} ее защищенности. В этом случае технология
реализуется штатно, соответственно и средства защиты функционируют
нормально. Поскольку атак нет, то и защита не нужна, разве что защищаться
от угроз. Порочность подобной постановки вопроса уже была показана
(раздел 4.2). Если угроза реализуется в виде атаки и воздействует на
защищаемую технологию, то, в силу взаимозависимости, парализуются и
средства защиты. И опять защита оказывается ненужной — как раз в нужный
момент она «отключается».
При частичной взаимозависимости рассуждения аналогичны, результат
меняется количественно: вместо «защита бесполезна» — «защита в ряде
случаев бесполезна». Конечно, на практике взаимозависимость исключить
невозможно, абсолютная автономность недостижима — защита и объект
связаны всегда, хотя бы потому, что данное средство защищает именно

246
данный объект. В той или иной степени защита обеспечивается и при общем
базисе. Очевидно, по этой причине в сфере информационной безопасности
широко распространено представление, что полноценная защита
программной среды может быть обеспечена целиком программными
методами: межсетевые экраны, антивирусные программы и т. п.
Практическое удобство и полезность таких мероприятий бесспорна [74]. Тем
не менее, стремиться надо к максимальной автономности, независимости
средств защиты от защищаемого объекта. Поскольку защита неминуемо
связана с индикацией состояния защищаемого объекта, то отсюда
автоматически следует и общеизвестный принцип независимости средств
контроля от контролируемого объекта. В реальной жизни это именно так.
Центральный банк страны, контролирующий и защищающий денежную
систему государства, должен быть отделен от исполнительной власти,
распоряжающейся финансами. Налоговые органы действуют независимо от
налогоплательщика.
С системных позиций, ориентация на защиту фрагмента электронной
среды на базе методов и механизмов того же самого фрагмента не имеет
достаточной перспективы. Это обусловлено не только тем, что при цифровом
отображении ресурсы защиты информации много ниже, чем при
использовании аналоговых методов. В том числе, и технологии — как
информации о процессах обработки. Это количественный эффект. Важнее
другая, качественная, системная причина: высокая достоверность
фрагмента среды детерминированных (точных) процессов принципиально не
может быть обеспечена без выхода за рамки этого фрагмента.
Непрекращающаяся борьба с вирусами, червями, закладками подтверждает
тезис.
Защита любого процесса базируется на явном или неявном сравнении
результата обработки данным процессом известного тестового сигнала с
априорно известным эталоном. Очевидно, что и компаратор, сравнивающий
результат с эталоном, и сам эталон не должны зависеть от тестируемого
247
процесса, должны быть инвариантными относительно него. Но если,
например, защищается процесс загрузки доверенной вычислительной среды,
то средствами только загружаемого ПО обеспечить такую независимость
невозможно. Компаратор будет работать на базе той же самой операционной
среды, достоверность которой он устанавливает и, значит, будет зависим от
среды.
Можно в загружаемое ПО включить программу, блокирующую
измерение фактических результатов и подставляющую требуемое эталонное
значение. Так как среда детерминированная, то подобная подстановка
априорно вычислима и, следовательно, реализуема. Рассуждения не
меняются, если тестируется некий вторичный процесс: подстановка может
быть выполнена на предыдущих этапах. По существу, на качественном
уровне подтверждается результат предыдущего раздела о необходимости
некоторой начальной неизменяемой процедуры, эталона, выполняющего
функцию точки опоры для следующих этапов.
Результат принципиально не меняется от того, как конкретно
организуется сравнение результата с эталоном: на входе, выходе,
«посередине». Механизмы защиты вторичны, диктуются конкретными
условиями: можно, например, проверять исходные компоненты, и тогда
продукт будет соответствовать требованиям, а можно контролировать
готовый продукт, и это означает, что ингредиенты качественные. Что также
следует из анализа проблем размещения РКБ, вводимые резидентные
компоненты безопасности выполняют, по существу, функции хранения и
сравнения эталона с фактическим результатом.
Резидентный компонент безопасности необходимо должен быть
максимально автономен относительно программной среды, безопасность
которой он должен обеспечивать.




248
4.4.2. Примитивность резидентного компонента безопасности

В разделе 4.3 было установлено, что РКБ должен входить в состав ВС,
безопасность которой он обеспечивает. На первый взгляд приходим к
противоречию, однако, это кажущийся парадокс. Входить в состав ВС и быть
автономным относительно программной среды возможно: вычислительная
система — это не только программные средства, это и аппаратная
реализация, и интерфейсы, и стандарты взаимодействия, и др.
Действительно, РКБ должен быть совместим с ВС, иметь возможность
физически входить в состав системы. Одновременно он должен быть
независим от вычислительной системы, т. е. являться специализированным
компьютером с собственной операционной средой, памятью и прочими
атрибутами фон-неймановской машины.
Теоретически возможно в качестве РКБ применить другой компьютер,
если бы удалось обеспечить более высокий уровень его защищенности, чем у
защищаемого компьютера. Эти задачи эквивалентны, если сопоставимы
компьютеры — так что такое направление бесперспективно. РКБ как
вычислительное устройство должно существенно отличаться от защищаемой
среды, иметь много меньше уязвимостей. На практике почти всегда много
проще не предоставлять конкретных возможностей для атаки, чем
защититься от нее. В отличие от защищаемой универсальной электронной
среды, компонент безопасности необходимо должен быть узко
специализированным, примитивным компьютером.
Здесь выделяется только доминирующая характеристика компонента
безопасности, логично вытекающая из его функциональной роли эталона,
ведь эталон — это всегда неизменность, константа. И с указанных позиций
аппаратная реализация РКБ выглядит более перспективной, нежели
программная.
Итак, РКБ должен представлять собой вычислительную машину,
причем надо стремиться, чтобы возможности его были максимально
249
ограничены. Универсальная машина Тьюринга основана на четырех
элементарных операциях: сдвинуть ячейку влево, сдвинуть ячейку вправо,
заменить символ в ячейке, остановиться. Необходимый и достаточный набор
элементарных операций для работы ЭВМ в любом случае должен состоять из
четырех операций, таких, что ни одна из этих операций не может быть
выражена через композицию остальных. Так как две сложные процедуры
«читать, адрес где» и «писать, адрес куда» базируются, по существу, на
четырех независимых в совокупности процессах, то они исчерпывающе
описывают основанное на их использовании вычислительное устройство.
Отметим одно важное обстоятельство, на которое обычно не обращают
внимание. Машина Тьюринга принципиально является машиной
последовательной, так что, теоретически, совсем не требуется, чтобы все
четыре операции существовали одновременно. Если априорно известно, что
некоторая операция будет выполняться n тактов подряд, то остальные
операции в это время не нужны. Строго говоря, переключаемое устройство,
которое в один период времени (в человеческом масштабе) «пишет», а в
другой — «читает», есть, в долговременном смысле, полноценная машина
Тьюринга. А значит, и это принципиально, с этим устройством практически
возможно сопряжение и взаимодействие стандартных компьютеров.
Ну а что может быть в рассматриваемом контексте ограниченнее, чем
компьютер в долговременном смысле, который не является компьютером в
любой краткосрочный период. Сколь эффективно сужаются возможности
негативного воздействия на работу такого вычислительного устройства: чем
меньше возможностей — тем лучше защита.
Принцип примитивности, ограниченности свойств РКБ как
вычислительного устройства позволяет конкретизировать его сущность и
статус в рамках вычислительной системы. Логично возложить подавляющее
большинство вспомогательных функций сопряжения и взаимодействия РКБ с
ВС на устройства системы, оставив на долю РКБ только «руководство». В
цифровой детерминированной среде взаимоотношения, права и обязанности
250
«руководителя и подчиненных» задаются абсолютно точно, однозначно.
Поэтому необходимо выполнение двух требований:
• РКБ как «руководитель» должен «знать» в процессе функционирования
эталонный результат технологических процессов — хранить эталон и
позволять его варьировать извне при изменении требований сектора
действенности к технологии информационного взаимодействия.
• Устройства ВС, «подчиненные РКБ», должны информироваться о
требованиях РКБ в процессе выполнения соответствующих
технологических процедур и операций.
Выполнение требования минимальной конфигурации РКБ как
вычислительного устройства возможно в таком случае только если
интерпретировать его, пусть это очень схематично, как долговременное
запоминающее устройство. Действительно, тем или иным способом в РКБ
извне записывается эталон, а развитые исполнительные устройства
защищаемой системы считывают необходимые инструкции из РКБ.
Другое дело, что реализация этого, вообще говоря, достаточно
очевидного принципа на практике далеко нетривиальна. Как обеспечить
предельно санкционированный доступ к записи в РКБ? Как оперативно
корректировать РКБ, учитывая, что состав программной среды постоянно
меняется? И при этом сохранять неизменность? Как исключить действия
исполнительных устройств ВС «в обход» РКБ, иначе — какие магистральные
направления функционирования электронной среды должны
«перекрываться» компонентом безопасности? Как обеспечить отсутствие
искажений между эталоном и результатом, который доходит до
исполнительных устройств? Считывающее устройство может, в принципе,
внести «свои» корректировки.
Но все это вопросы вторичные, они будут рассмотрены ниже. С
теоретических позиций ситуация ясна резидентный компонент

безопасности по своей функциональной сущности есть всего лишь
запоминающее устройство.
251
4.4.3. Перестраиваемость резидентного компонента безопасности

Установленные в разделе 4.3 задачи безопасности (1—8) электронного
обмена данными, в решении которых должен участвовать РКБ, можно
разделить на две группы, соответствующие двум основным этапам работы
вычислительной системы:
• этап формирования политики безопасности — режим управления;
• этап электронного обмена информацией — пользовательский режим.
Предметной областью задач первой группы (1—4, см. разд. 4.3)
является среда существования документа, целостность и санкционированный
доступ к которой должен обеспечиваться средствами защиты — задачи
целостности среды. Здесь не существенен сам непосредственный носитель
информации, собственно электронный документ. Во временном аспекте
можно говорить об этапе управления средой или об этапе формирования
политики безопасности. Считается, что описание политики безопасности,
согласно которой функционирует ВС, зафиксировано в некоторой базе
данных в виде правил разграничения доступа дискреционного механизма,
меток конфиденциальности, мандатного механизма и т. д.
Задачи второй группы (5—8, см. разд. 4.3) характерны для
пользовательского режима работы ВС — задачи аутентификации объектов
и субъектов. В отличие от первой группы здесь приходится иметь дело с
конкретными пользователями и конкретной информацией, конкретному
сообщению придается статус документа. Основное содержание — решение
проблем аутентификации субъектов, взаимодействующих с данным
документом, санкционирование доступа к ЭлД. В том числе аутентификация
субъектов, формирующих и применяющих данный ЭлД, а также имеющих
доступ к документу в процессе документооборота. Специфика групп задач
обусловлена качественно разными объектами защиты — среда и документ,



252
и, соответственно, должна отражаться в требованиях к РКБ, участвующих в
их решении.
В таком случае, при обосновании архитектуры РКБ можно
ограничиться изучением только двух принципиально отличающихся
функциональных возможностей: чтение — R (read); запись — W (write)
(адрес подразумевается и опущен для компактности). Точно такой же
результат следует и из предыдущего раздела, где обсуждалась минимальная
конфигурация РКБ: извне в РКБ записывается эталон, устройства ВС
считывают из РКБ требуемый результат. На практике, конечно, потребуется
целый ряд дополнительных требований к РКБ, обеспечивающих его
сопряжение с ВС, совместимость и т. п. Тем не менее, в самом общем плане
можно утверждать, что для функционирования РКБ достаточно реализации
этих двух операций, причем адрес должен пониматься по умолчанию.
В режиме управления назначение РКБ — обеспечение легального
формирования выбранной системным администратором политики
безопасности. Для этого требуется внесение соответствующих изменений
(записей) в базу данных компонента безопасности. Следовательно, для
применимости РКБ на этапе управления ВС компонент необходимо должен
обладать свойством «записать, W». С математических позиций, «стереть»
запись эквивалентно — «записать»: например, одни «нули». Поэтому можно
обойтись без операции чтения, не заменять записи, но записать всю базу
полностью. Таким образом, в режиме управления наличие операции W не
только необходимое, но и достаточное условие выполнения РКБ своего
назначения.
В пользовательском режиме назначение РКБ — контроль соответствия
доступа пользователей к интересующим их объектам вычислительной
системы сформированной политике безопасности. Доступ либо разрешается,
либо запрещается в соответствии с информацией из базы данных РКБ,
содержащей правила функционирования ВС. Следовательно, для
применимости РКБ в пользовательском режиме ВС компонент безопасности
253
необходимо должен обладать возможностью чтения R. В принципе, это и
достаточное условие для реализации пользовательского режима работы
РКБ.
Итак, для работы во всех режимах ВС достаточно, чтобы РКБ обладал
свойствами R, W, что, согласно предыдущему разделу, означает, что РКБ
будет полноценной машиной Тьюринга. Но тогда РКБ одновременно
обладает этими свойствами и задача защиты ВС необходимо сводится к
почти равноценной задаче защиты РКБ-компьютера. Легко привести пример
разрушающего программного воздействия (РПВ), если РКБ одновременно
обладает свойствами R, W. Если злоумышленник является легальным
пользователем ВС, то, используя функциональные возможности РКБ, он
может сначала выяснить свои права доступа к интересующему его объекту (с
помощью процесса R), а затем заменить свои права на интересующие (с
помощью процесса W).
Суммируя приведенные доводы, выделим следующие положения:
• для обеспечения защиты ВС резидентный компонент безопасности
необходимо должен быть машиной Тьюринга;
• если РКБ в каждый момент времени может выполнять любую из
тьюринговых операций, то построенные на такой базе механизмы
защиты потенциально уязвимы;
• в цикле функционирования ВС можно выделить два непересекающихся
режима — режим управления и пользовательский режим;
• для каждого из режимов достаточно функционирование РКБ с
редуцированным множеством операций: в режиме управления W —
запись, адрес; в пользовательском режиме R — чтение, адрес;
• РКБ с редуцированным множеством операций, как установлено в
предыдущем разделе, имеет потенциально высокую защищенность.
Но тогда напрашивается следующее предложение — РКБ не должен
быть машиной Тьюринга в краткосрочном периоде, но должен являться
таковой в долгосрочном. Резидентный компонент безопасности должен
254
иметь перестраиваемую архитектуру, в каждый момент времени обладать
редуцированным набором вычислительных операций: в режиме управления
W — запись, адрес; в пользовательском режиме R — чтение, адрес. Это
позволило бы сочетать отмеченные выше несовместимые требования.
Возникает вопрос, а кто (что) должен выдавать команду на
перестройку РКБ? Вариант, что такой сигнал должен исходить от ВС,
порочен в принципе. Согласно теореме о программировании
последовательной композиции тьюринговых программ [13] всегда может
быть построена программа T, которая будет реализовывать рассмотренный
выше механизм РПВ. Остается единственная возможность — перестройка
архитектуры РКБ должна осуществляться извне, защищенным
воздействием уполномоченного лица.


4.5. МОДЕЛИ РАЗМЕЩЕНИЯ РЕЗИДЕНТНОГО КОМПОНЕНТА БЕЗОПАСНОСТИ

4.5.1. Исходные предпосылки

Целостность вычислительной системы — технического состава,
операционной системы (ОС), прикладного программного обеспечения (ППО)
и данных — необходимое условие безопасности обмена электронной
информацией. При условии целостности технического состава ВС
следующим рубежом защиты является обеспечение и поддержание (защита
от несанкционированной доступа — НСД) целостности программной среды.
Исходным является естественное допущение, что в ПЗУ (BIOS) и
операционной среде (в том числе и в сетевом ПО) отсутствуют специально
интегрированные в них возможности НСД — т. е. система проверена, или
сертифицирована.
Пусть пользователь работает с программой, в которой также
исключено наличие каких-либо скрытых возможностей (проверенные
программы). Потенциально злоумышленные действия могут быть такими:



255
• Проверенные программы будут использованы на другой ПЭВМ с
другим BIOS и в этих условиях использоваться некорректно.
• Проверенные программы будут использованы в аналогичной, но не
проверенной операционной среде, в которой они также могут
использоваться некорректно.
• Проверенные программы используются на проверенной ПЭВМ и в
проверенной операционной среде, но запускаются еще и не
проверенные программы, потенциально несущие в себе возможности
НСД.
Указанные события и, соответственно, НСД в ВС практически
невозможны, если выполняются следующие условия.
У1 — на ПЭВМ с проверенным BIOS установлена проверенная
операционная среда.
У2 — достоверно установлена неизменность DOS и BIOS для данного
сеанса работы.
У3 — кроме проверенных программ в данной программно-аппаратной
среде не запускалось и не запускается никаких иных программ, проверенные
программы перед запуском контролируются на целостность.
У4 — исключен запуск проверенных программ в какой-либо иной
ситуации, т. е. вне проверенной среды.
У5 — условия У1—У4 выполняются в любой момент времени для всех
пользователей, аутентифицированных защитным механизмом.
В таком случае программная среда является доверенной — ДВС.
Обеспечение ДВС существенно ослабляет требования к базовому ПО,
поскольку контролируется активизация процессов через операционную
среду, целостность исполняемых модулей перед их запуском и разрешается
инициирование процесса только при одновременном выполнении двух
условий: принадлежности к разрешенным и неизменности. В таком случае от
базового ПО требуется только:
• невозможность запуска программ помимо контролируемых ДВС событий;
256
• отсутствие в базовом ПО возможностей влиять на среду
функционирования уже запущенных программ это
(фактически
требование невозможности редактирования оперативной памяти).
Все прочие действия, являющиеся нарушением Условий 1—3, в
оставшейся их части будут выявляться и блокироваться. Таким образом, ДВС
существенно снижает требования к ПО в части наличия скрытых
возможностей.
Основным элементом поддержания доверенности среды является
контроль целостности. Но контроль целостности необходимо сопряжен с
чтением данных (по секторам, по файлам и т. д.), т. е. вмешательством в
программную среду. Возможна ситуация, когда внедренное в систему
разрушающее программное воздействие (РПВ) в процессе чтения будет
навязывать вместо одного сектора другой или редактировать
непосредственно буфер памяти. С другой стороны, даже контроль самого
BIOS может происходить «под наблюдением» какой-либо дополнительной
программы («теневой BIOS») и не показать его изменения. Аналогичные
эффекты могут возникать и при обработке файла. Внедренное в систему РПВ
может влиять на процесс чтения-записи данных на уровне файлов или на
уровне секторов и предъявлять системе контроля некоторые другие вместо
реально существующих данных. Этот механизм неоднократно
реализовывался в STELS-вирусах.
Тем не менее, очевидно, что если программный модуль,
обслуживающий процесс чтения данных, не содержал РПВ и целостность его
зафиксирована, то при последующей неизменности этого программного
модуля чтение с его использованием будет чтением реальных данных.
Данный принцип предлагается реализовать с помощью следующего
механизма ступенчатого контроля для создания ДВС.
При включении питания происходит тестирование ОП, инициализация
таблицы прерываний и поиск расширений BIOS. При их наличии управление
передается на них. После отработки расширений BIOS в память считывается
257
первый сектор дискеты или винчестера (загрузчик) и управление передается
на него, код загрузчика считывает драйверы DOS, далее выполняются файлы
конфигурации, подгружается командный интерпретатор и выполняется файл
автозапуска. Тем самым при реализации ДВС предварительно фиксируется
неизменность программ в основном и расширенных BIOS, далее, используя
функцию чтения в читаются программы
BIOS (для DOS int13h),
обслуживания чтения рассматриваемые как
(драйверы DOS),
последовательность секторов, и фиксируется их целостность. Затем,
используя уже файловые операции, читаются необходимые для контроля
исполняемые модули (командный интерпретатор, драйверы дополнительных
устройств, .EXE и .COM — модули и т. д.).
Очевидно, что при запуске ДВС контроль целостности должен
выполняться таким же образом и в той же последовательности. Процесс
аутентификации необходимо проводить в одном из расширений BIOS (чтобы
минимизировать число ранее запущенных программ), а контроль запуска
программ включать уже после загрузки DOS (иначе DOS определяет эту
функцию на себя). При реализации ДВС на нее должна быть возложена
функция контроля за запуском программ и контроля целостности.
Первый шаг алгоритма ступенчатого контроля для создания ДВС
должен базироваться на применении некоторой неизменяемой
(немодифицируемой) процедуры, выполняющей роль «твердой» точки опоры
для следующих этапов. Не любой контроллер в состоянии обеспечить
защитные функции: необходим достаточный ресурс постоянства самого
контроллера для выполнения пошагового алгоритма контроля целостности и
формирования ДВС. Предпочтительнее аппаратная реализация
алгоритмических процедур.
В общем случае вычислительную систему можно рассматривать как
некоторое множество элементарных (базисных) операций, под которыми в
зависимости от конкретной задачи можно понимать отдельные операции,
алгоритмы, процессы, процедуры, протоколы. Детализация здесь
258
несущественна. В первом приближении множество элементарных процессов
— это все файлы, хранящиеся в устройствах долговременной памяти
компьютера, будь то оперативная память, BIOS, кэш и т. д. Тогда
используемую технологию информационного обмена можно
интерпретировать как некоторую выборку с возращением из базисного
множества операций. Выбор с возвращением означает, что ряд элементарных
операций (например, копирование или чтение) может неоднократно
использоваться в составе данной технологии. Обратим внимание, что
управляющую программу, т. е. алгоритм технологии, можно также
рассматривать как элементарную операцию.
Очевидно следующее положение: «для целостности вычислительной
системы необходимо и достаточно, чтобы целостной являлась любая
технология, сформированная на базисном множестве элементарных
операций». Целостность (только) элементарных операций необходима, но не
достаточна: и на основе «доброкачественных» операций может быть
сформирована некорректная технология. Пример вирусов хорошо
иллюстрирует это положение. Строго говоря, установление целостности ВС
необходимо требует установления целостности (корректности) любой
логически непротиворечивой допустимой последовательности элементарных
операций.
Известно, что число различных n-выборок (длиной n операций) с
возвращением из m различных элементов равно mn. При сколько-нибудь
больших m и n абсолютное установление целостности системы практически
невозможно, тестирование потребует огромного времени. Хотя логически
реализуема лишь очень малая часть возможных выборок операций, но все
равно очевидно, что лобовое решение задачи установления абсолютной
целостности ВС бесперспективно. Очевидный путь уменьшения размерности
— переход к более крупным масштабным единицам: сокращается как m, так
и В этом случае вместо исходных элементарных операций
n.
рассматриваются структурированные объекты: процессы как организованная
259
совокупность операций, процедуры детерминированная

последовательность процессов, протоколы и т. д.
Но здесь возникает новая трудность — теряется доступ к отдельным
элементарным операциям, и о целостности каждой из них приходится судить
по кумулятивному результату. Не удается непосредственно проверить
выполнение даже необходимого условия целостности ВС — целостность
каждой операции. Кстати, это типичный случай. Почти всегда установление
целостности отдельной операции физически осуществимо только при
условии ее включения в некоторый более сложно организованный
программный продукт. Встает задача установления целостности
компонентов процесса на основе изучения процесса в целом.
Наиболее распространенными архитектурами организации
вычислительных процедур являются линейная и
(последовательная)
древовидная (иерархическая). Поэтому ниже свойства таких архитектур
анализируются специально.


4.5.2. Размещение резидентного компонента безопасности при
обеспечении целостности технологий с линейной архитектурой

Наиболее важен начальный этап — от включения системы до
активизации механизмов поддержки ДВС. В силу мультипликативности
защитных свойств оставлять этот этап без защиты нельзя, и простого
декларирования его свойств на практике недостаточно. Хотя модель
доверенной вычислительной среды является развитием СО-модели
изолированной программной среды, но она позволяет установить ряд новых
положений, связанных с конкретной аппаратной реализацией РКБ,
реализующих функции защиты доверенности среды.
Система имеет линейную архитектуру (линейная система), если
множество объектов строго упорядочено всякому объекту, за

исключением начального, предшествует один и только один объект. Иначе,
любой процесс технологии инициируется одним и только одним процессом.
260
• О = {oi, i = 1,N } — система из N взаимосвязанных объектов oi (технология
O, состоящая из N процессов oi).
Система с линейной архитектурой может быть отображена в виде
последовательности объектов начинающейся с объекта и
oi, o1
заканчивающейся объектом oN .
Определение Линейная система является целостной, если
1.

установлена целостность каждого из ее объектов oi ? O, i = 1, N .
Определение 2. Связь между любой парой объектов (oi, oi+1) при
проверке целостности линейной системы описывается (ni+1)-местной
функцией проверки целостности объекта:

где
i = 1, N?1,
fi = fi(oi) = fi(oi, pi1, pi2, …, pin ) = oi+1, pi1, pi2, …, pin —
i i




параметры объекта oi+1. Функция fi, i = 1, N?1, устанавливает целостность
объекта oi+1, если целостность объекта oi зафиксирована. При этом функции

fi(oi) = oi+1, i = 1, N?1, являются функциями следования согласно [8].
Утверждение 4 (об установлении целостности линейной системы):
целостность линейной системы установлена тогда и только тогда, когда
установлена целостность объекта oN.
Доказательство. Пусть система целостна, тогда по определению 1

oi ? O, i = 1, N .
установлена целостность всех объектов системы
Следовательно, установлена целостность объекта oN.
Пусть установлена целостность объекта oN, т. е. известно значение
функции проверки целостности fN–1 = fN–1(oN–1, pN–1,1, pN–1,2, …, pN ?1, n ) = oN. N ?1



Функция определена только в том случае, когда установлена
f N ?1

целостность объекта oN–1. Рассуждая по индукции, придем к выводу, что из
целостности объекта o2 следует, что целостность объекта o1 зафиксирована.
Тем самым, зафиксирована целостность всех объектов системы oi

?O, i = 1,N , и по определению 1 система целостная.

261
Таким образом, задача установления целостности линейной системы
эквивалентна задаче установления целостности объекта oN.
Пусть подмножество M ? O есть множество объектов системы,
целостность которых установлена.
Определение 3. Множество М разрешимо, если существует алгоритм
АМ, который по любому объекту oi дает ответ, принадлежит oi множеству М
или не принадлежит.
Определение 3*. Множество М разрешимо, если оно обладает
вычислимой всюду определенной (общерекурсивной) функцией такой,
M,

что
?1, если oi ? М
?М (oi ) = ? . (4.5.1)
0, если oi ? М
?
Определение 4. Множество М называется перечислимым, если оно
является областью значений некоторой общерекурсивной функции, т.е.
существует общерекурсивная функция ?M(x) такая, что oi ? M, если и только
если для некоторого x ? N oi = ?M(x). Функция ?M(x) называется
перечисляющей для множества М. Из [75] известно
утверждение 5 (о разрешимости). Множество М разрешимо, если и
только если М и М перечислимы.
Определение 2*. Линейная система является целостной, если М —
разрешимое множество и М совпадает с О, М = О.
Теперь может быть сформулировано
утверждение использовании резидентного компонента
6 (об
безопасности — РКБ). Задача контроля целостности системы разрешима
только при использовании специализированного аппаратного резидентного
компонента безопасности (РКБ).
Доказательство. 1. Покажем, что без дополнительного компонента
построение системы с установлением целостности невозможно.



262
Построим перечисляющую функцию для множества М. Она должна
быть общерекурсивной, т. е. всюду определенной на О частично-
рекурсивной функцией.
Определим функцию ?M(x) следующим образом:
?M(i) = oi . (4.5.2)
Тогда ее можно представить через функции проверки целостности
объектов fi (См. Опред. 2). Для этого определим семейство операторов
? ni +1 ?
суперпозиции ?Sni+1 +1 ? :
? ?

Snii++1+1( fi+1, fi ) = fi+1(oi , fi (oi )) .
n
(4.5.3)
1



В этом случае перечисляющая функция примет вид: ?М (i) = Snii+1 +1( fi+1, fi ) .
n +1



При этом ?M(i) является частично-рекурсивной функцией, так как
построена из функций fi, которые являются элементарными как функции
следования [75], путем последовательного к ним применения операторов
n +1
суперпозиции Snii+1 +1 .

Однако ?M(i) не является всюду определенной, т.к. значение функции
f1 в точке о1 не определено. Это объясняется тем, что не определена (согласно
определению 2) связь f0, которая устанавливала бы целостность объекта о1.
Причиной неопределенности функции f0 является отсутствие объекта,
который являлся бы областью определения функции f0 и целостность
которого была бы зафиксирована.
Следовательно, нельзя построить перечисляющую функцию множества
М и множество М не является перечислимым.
Согласно теореме о разрешимости, множество М не является
разрешимым, и, по определению 2*, система не является целостной.
2. Покажем, что при использовании РКБ построение целостной АС
возможно.



263
Добавим в систему элемент o 0 , целостность которого достоверно

определена. Рассмотрим систему с множеством объектов О = О U{о0} .
0



Определим связь f0, устанавливающую целостность объекта о1:
f0 ( o0 ) = f0 (o0 , p11,K, p1n1 ) = o1 .

Тогда перечисляющая функция ?M(i) множества М будет задана
согласно (4.5.2) следующим образом:
?? М ( 0) = f0(o0 ) = o1
?
? ,
? M ( i ) = Snii++11 ( fi +1, fi ) = oi+1
n
?
? 1+



т. е. функция является частично-рекурсивной и определена на всем
множестве О. Следовательно множество М – перечислимо.

М = О0 \ М = {о0} . ?М
Определим Перечисляющая функция для

множества М может быть определена как функция аутентификации для
объекта o0 .

??М (0) = о0 , т.е. o0 ? M
?
? (4.5.4)
??М (i) = oi , {oi }i=1 = O, т.е. oi ? M
N
?

В этом случае ?М является всюду определенной, вычислимой, т. е.

М является
общерекурсивной функцией, следовательно, множество
перечислимым.
Тогда, по теореме о разрешимости, М есть разрешимое множество,
следовательно, в силу определения 1, целостность системы может быть
установлена.
Из доказанного утверждения об использовании РКБ следует:
Следствие 6.1: установление целостности возможно только при
расширении АС специализированным резидентным компонентом
безопасности (РКБ).




264
Следствие 6.2: установление целостности АС невозможно только за
счет программных средств без использования резидентного компонента
безопасности (РКБ).
Рассмотрим теперь вопрос о размещении компонентов безопасности
(РКБ) в системе, описываемой на рассматриваемом этапе линейной
структурой.

<<

стр. 6
(всего 8)

СОДЕРЖАНИЕ

>>