7.4 Построение изолированной программной среды
Цель практических методов построения ИПС – реализовать гарантированную защищенность в реальных компьютерных системах. Эта цель реализуется с помощью метода субъектно-объектного взаимодействия.
Из базовой теоремы ИПС следует, что ДЛЯ СОЗДАНИЯ ГАРАНТИРОВАННО ЗАЩИЩЕННОЙ СИСТЕМЫ НЕОБХОДИМО:
а) убедиться в попарной корректности субъектов, замыкаемых в ИПС (либо убедиться в корректности любого субъекта относительно МБО и МБС);
б) спроектировать и реализовать программно (или программно-аппаратно) МБС так, чтобы:
1) для субъекта и любого объекта проводился контроль порождения субъектов – то есть, реализация МБС должна соответствовать его определению;
2) порождение любого субъекта происходило с контролем неизменности объекта-источника;
в) реализовать МБО в рамках априорно сформулированной политики безопасности.
При этом нужно проверять, не нарушает ли модель политики безопасности условий по перечислениям а) – в).
Кроме того, так как Управляющий объект является ассоциированным объектом для МБС (обычно ассоциированный объект данные), – то это играет важную роль в проектировании.
При изменении состояния управляющего объекта потенциально возможно размыкание программной среды: к множеству разрешённых субъектов могут добавиться другие, реализующие злоумышленные функции.
В проектировании важную роль играет свойство операционной системы (ОС, программной системы), заключающееся В ПОЭТАПНОЙ АКТИВИЗАЦИИ субъектов из объектов различного уровня представления информации.
В начальные этапы активизации компьютерной системы декомпозиция на объекты и субъекты динамически изменяется.
То есть, основная теорема ИПС применима лишь на отдельных интервалах времени, когда уровень представления объектов постоянен и декомпозиция фиксирована.
В работе ОС можно выделить ДВЕ фазы:
1 активизация субъектов с ростом уровня представления объектов (ФАЗА ЗАГРУЗКИ);
2 фаза стационарного состояния – уровень представления объектов не увеличивается.
Поэтому ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ИПС может состоять из двух этапов:
а) предопределённое выполнение начальной фазы, включающее в себя активацию МБС и МБО;
б) работа в стационарной фазе в режиме ИПС, возможно с контролем неизменности объектов-источников.
Существует понятие ПОСЛЕДОВАТЕЛЬНОСТИ АКТИВИЗАЦИИ КОМПОНЕНТОВ АС, то есть, задаётся предопределённая последовательность активизации субъектов ОС.
Обозначают как ZL – последовательность пар (i, j)t , где (t = 0, 1, 2, …, L–1 – моменты времени) длиной L таких, что:
где SZ – множество всех субъектов, включённых в последовательность Z L ; OZ – множество всех объектов, включённых в последовательность Z L .
Для многопотоковых программных систем можно рассматривать несколько последовательностей ZL, и, соответственно, множеств SZ и OZ.
ОПРЕДЕЛЕНИЕ: СОСТОЯНИЕМ компьютерной системы в момент времени t называется упорядоченная совокупность состояний субъектов. (Каждый субъект – это слово в априорно определённом языке).
Длина L последовательности ZL определяется:
– по признаку невозможности управления субъектами, принадлежащими множеству SZ со стороны пользователя (иначе последовательность активизации м. б. изменена);
– по признаку доступности для контроля неизменности всех объектов из множества OZ;
– по признаку невозрастания уровня представления информации.
Последовательность ZL локализуется в некотором объекте либо совокупности объектов. (Для OС Windows NT последовательность активизации компонентов определена содержанием соответствующих ключей реестра ресурсов Registry).
УСЛОВИЕ (достаточное условие ИПС при ступенчатой загрузке): при условии неизменности ZL и неизменности объектов из OZ в системе с момента времени установления неизменности ZL и OZ действует изолированная программная среда.
Данное условие требует убедиться в том, что МБС в момент времени t = m гарантированно активизируется.