3345
.pdfизвестно распределение адресов всех субъектов и объектов системы, находящихся в основной памяти, и обеспечен локальный контроль их неизменности (то есть содержания, значения субъектов и объектов). Однако в системе могут присутствовать сущности, которые нельзя по формальным признакам отнести ни к классу объектов, ни к классу субъектов, и современные системы защиты информации их не различают. Поэтому уникальные идентификаторы и атрибуты сущностей могут рассматриваться как свойства только легитимных сущностей системы, для которых установлены логические правила определения и взаимодействия с системой. Но в системе могут присутствовать и нелегитимные сущности. Эти сущности могут представлять программные закладки, потенциально опасные для системы и интересующие нас.
Предлагается следующая модель CMS-памяти, обеспечивающая локализацию легитимных сущностей системы:
CMS = LMS U VMS ,
где CMS – множество адресов контролируемой памяти системы известной емкости;
LMS - множество адресов контролируемой памяти, занятое под размещение легитимных сущностей системы;
VMS – множество вакантных адресов контролируемой памяти (не занятых под размещение легитимных сущностей системы).
Предполагается, что множества адресов LMS и VMS не пересекаются, то есть выполняется условие
LMS I VMS=0 .
Однако, в составе системы могут присутствовать сущности, не принадлежащие ни к одному из известных по классификационным признакам множеств. Так, программные закладки или «мусор», оставшийся после некорректной процедуры, не имеют идентификаторов классов сущности, зарегистрированных системой (первые – умышленно, чтобы не попасть под уничтожение, вторые
– технологически, в результате некорректности реализации процедур). Политика же безопасности не может гарантировать отсутствия таких сущностей в системе, поскольку они появляются в системе в обход логических правил еѐ функционирования. Поэтому
221
для организации противодействия нелегитимным сущностям системы они, по крайней мере, должны быть представлены в моделях сущностей системы как имеющие дополнительные свойства. Их можно назвать Е-свойства, которые по используемой классификации не могут быть отнесены ни к объектам, ни к субъектам системы. Формально это можно записать так
E = E (L),
где L – классификационный тип сущности, который может иметь следующие значения: L = O - объект; L = S - субъект; L = U - неопознанная сущность, не принадлежащая по классификации ни к типу О, ни к типу S. Естественно, их можно различить только в том случае, если они будут иметь соответствующий информационный портрет. В качестве такового может быть предложена типизированная Е-модель с конкретным вектором свойств сущностей системы. Например, таковых
E = E(V )= E(I ,Q, R, L, D, M , H , S, F,T ),
где I – уникальный идентификатор сущности;
Q – размер битового набора, характеризующего сущность; R – выделенный ресурс основной памяти;
L – типизированный классификационный признак легитимности;
D - типизированный классификационный признак функционального или технологического назначения сущности;
M – содержательная наполненность битового набора;
H – тэг неизменности битового набора (например, его контрольная сумма);
S – логическая структура сущности;
F – формат представления структуры;
T – время последнего доступа к сущности; V – обобщенный вектор атрибутов.
Информационная модель сущностей системы позволяет унифицированным образом определить все классы сущностей системы. Все сущности, при этом, могут быть представлены в унифицированном классификационном виде.
Признаки классификации для легальных сущностей системы
222
(объектов и субъектов) основываются на выявлении принадлежности сущности к одному из типов декларированных информационных структур по дополнительной описательной информации, ассоциированной с рассматриваемой сущностью. Но с таким же основанием можно также рассматривать в качестве классификационного признака сущности отсутствие принадлежности к декларированным типам классификации. Следовательно, локализованные U- сущности, не принадлежащие по классификационным признакам ни к одному из легально установленных типов сущностей системы (О или S), также можно отнести к типу контролируемых сущностей системы и установить для всех типов сущностей унифицированный классификационный вид. Например, можно априори отнести выявленные сущности в VMS-области памяти к типу неопознанных сущностей и установить для нее соответствующий тип класса L = U . Пространственные атрибуты U-сущностей можно установить в процессе анализа занятости VMS-памяти, для чего необходимы соответствующие программные средства. Однако при этом возникает вопрос, а как исключать из оперирования выявленные сущности типа U? Предлагается следующее.
Для того, чтобы компьютер мог обрабатывать информацию различного вида, требуется определить на уровне машинных команд форматы представления команд и структур данных, участвующих в вычислительном процессе. Под форматом понимается взаимно однозначное битовое представление элементов кода и информационных структур в памяти ЭВМ и информационных моделях, используемых на различных уровнях абстракции. Установление конкретных форматов так же, как и вопрос выбора информационных структур, - вопрос соглашения между разработчиками программного обеспечения АС.
Изменение согласованного формата представления сущности блокирует функциональность сущности, то есть исключает еѐ использование при счѐте. Это объясняется так.
Обработка информации в компьютере основана на системе соглашений о форме представления информационных структур внутри компьютера (форматах). Несогласованное изменение принятого формата приведѐт к неверной интерпретации программных
223
кодов и не позволит реализовать их функциональность. Поэтому изменение согласованного формата может быть использовано в качестве превентивной меры блокирования U-сущностей, обнаруженных в VMS-памяти АС. В самом деле, неверная интерпретация кода программной закладки не позволит реализовать еѐ функциональность даже в том случае, если ей будет передано управление от резидентной части, корректно внедренной в легальную сущность системы.
Таким образом, контролируемое изменение принятых форматов обеспечивает блокирование потенциальных программных закладок в памяти ЭВМ.
Для представления данных и программного кода ТСВ-среды предложена стратегия динамического форматирования (СДФ). В соответствии с этой стратегией содержательная часть сущности, представляемая двоичным кодом, в течение всего времени нахождения в системе представляются в состоянии формата хранения. Программный код в состоянии хранения не может быть корректно выполнен при получении фокуса управления. Только один фрагмент программного кода, подлежащий исполнению в ближайшее время (по понятиям очередности исполнения), переводится из формата хранения в естественное состояние исполнимого программного кода и сразу после исполнения вновь переводится в формат хранения. Аналогичному преобразованию подвергаются и сущности других классов, представленные в информационных контейнерах системы.
Приведѐнные соображения являются совершенно предварительными и предназначены для привлечения внимания молодых умов к важнейшей проблеме.
Выводы
Рассмотрены структуры данных, являющихся «паром» компьютерных машин. Их детали для нас очень важны, ибо по соседству с ними размещаются в машине все «враги» компьютерной безопасности: закладки, вирусы, «мусор». Поэтому для реализации эффективной борьбы с ними основы представления данных и процедур их обработки специалистам по защите информации надо знать!
224
4. Основы построения, моделирования и проектирования систем
4.1.Введение. Причины и сущность системного представления реальности
Сущность человеческой жизни составляет деятельность во всех ее формах. Основная же помощь науки в улучшении и облегчении деятельности для человека заключалась в ее рационализации. До некоторых пор основной путь рационализации деятельности заключался в совершенствовании средств, взятых непосредственно с их функциональной стороны, то есть автономно и отдельно друг от друга. Но в начале 70-х годов положение резко изменилось по следующим причинам:
Во-первых, основной процент деятельности стал относиться к категории «сложных», результат в которой достигался только применением совокупности средств и, притом, разнородных (непохожих друг на друга).
Во-вторых, в ходе непосредственного развития средств накопился арсенал их типов, похожих друг на друга. И при выборе подходящих средств возникла потребность их сравнения в более широких масштабах.
В-третьих, появилась большая потребность в реализации, кроме основных, так называемых обеспечивающих действий (РЭБ, маскировки, защиты информации и т.п.). То есть содержание результата деятельности (основной) усложнилось настолько, что его можно достичь только дополнительным проведением сопутствующих им обеспечивающих действий.
Применительно к защите информации имеется особая причина, заставляющая решать проблему системно. Она заключается в том, что все злоумышленники, стремящиеся добыть чужую информацию, действуют скрытно. Из-за этого адекватный прицельный ответ действиям злоумышленника при защите информации невозможен. Лица, отвечающие за защиту информации, стремятся рассмотреть все возможные случаи изъятия информации. А это без системного подхода сделать невозможно.
225
Кроме того, как сказано в п.1.4., каналы утечки защищаемой информации и каналы доступа к ней (см. рис.1.2) сами представляют сложные системы. Поэтому эффективно воздействовать на них с целью защиты информации можно только системно.
Можно привести и другие, не менее веские причины, но сказанного уже вполне достаточно для формулирования принципиального вывода: решение задач рационализации деятельности (в том числе и по защите информации) потребовало рассмотрения совместного применения многих разнородных средств в интересах достижения более высоких (сложных) целей (достижения более сложных результатов).
При этом совместное рассмотрение применения разнородных средств не предусматривает сведение их эффекта к простой сумме. Предполагается рассмотрение более сложного взаимодействия, когда действие (деятельность) любой части системы оказывает влияние на действие всех других частей, формируя совместный (интегральный) эффект. Вот вопросами совместного применения, использования и рассмотрения разнородных средств в их взаимосвязи, которое нельзя представить как обыкновенную сумму, и занимается специальный раздел прикладных наук, называемый теорией систем, системным анализом. Его можно рассматривать как комплекс приемов и методов решения конкретных задач на основе принципа системности. В данном курсе мы и должны изучить основы этой важной «мини-науки», основным методом которого является моделирование.
Теория систем имеет свою историю. Первую работу по теории систем опубликовал австрийский биолог Людвиг Берталанфи вскоре после второй мировой войны. Однако русский философ А.Богданов, раскритикованный В.И.Лениным в работе «Материализм и эмпириокритицизм», еще в 1907 г. опубликовал свою «Тектологию», в которой было много системных идей. Вообще-то считается, что первые системные представления у людей возникли тогда, когда человек впервые запряг лошадь в телегу. Появилась первая система «лошадь - телега».
Для вас, будущих специалистов по защите информации, данный курс имеет принципиальное значение. Во-первых, сама ин-
226
формация, как объект защиты, является принципиально системной категорией и ее можно защитить только по принципу «система против системы». Во-вторых, комплексность защиты является синонимом системности защиты. То есть ваша профессия является принципиально системной.
Основная причина совместного рассмотрения объектов реальности в их взаимосвязи и обусловленности состоит в желании достичь системного эффекта, заключающегося в том, что общий эффект системы много больше суммы эффектов входящих в систему элементов, то есть целое всегда превосходит части. А основная суть системного исследования (системного представления) заключается в локализации той предметной области, где этот эффект системности будет достигнут (съинтегрирован). А возникает он изза реализации в этой области комплексной процедуры управления по всем составляющим деятельности (по цели, по структуре и составу системы, по процедуре функционирования и по методологии обоснования), реализуемой в правильно выявленной (синтезированной) системе. Рассмотрим этот клубок более подробно.
Эффект от объединения в системе нескольких элементов по величине будет выше суммативного в том случае, когда объединяются разноуровневые элементы, ибо верхний уровень отличается от нижнего сжатием (интегрированием) эффективности, так как уровень элементов является отношением не только друг к другу, но и отношением к целому. Поэтому между ними действует закон объединения выше суммирования. Суммируются же всегда только однородные (одноуровневые) вещи. Поэтому первым основным признаком системы является наличие в ней элементов различных уровней. Идея уровней далее неизбежно приводит к идее структуры (любой установленной неоднородности), а с ней в оппозиции находится понятие функции.
Структура как целостное образование задает на множестве элементов определенные отношения, указывающие на отличия этих элементов. Для определения состава элементов необходимо задать их границу – границу системы, где указанные отношения действуют.
227
Категория функции определяет на этих элементах их назначение с точки зрения содержания цели, которую должна реализовывать (достигать) система. В связи с этим цель функционирования (деятельности) системы является главным системообразующим фактором, задающим завязку системы. В итоге получается некоторое целостное образование, в котором действует некоторая сквозная закономерность, превращающая разнородные эффекты элементов в общий эффект системы. Это показано на рис. 4.1. применительно к обоснованию системы обеспечения технологической независимости государства.
В качестве такой закономерности выступает процедура интегрирования частных эффектов в единый системный эффект. Он достигается: выбором определенных элементов; установлением между ними определенных отношений; установлением функций этих элементов; увязкой процедур выполнения частных функций в единый алгоритм функционирования системы в интересах достижения цели ее существования (функционирования, деятельности).
Из изложенного следует одна принципиальная трудность реализации процедуры системного исследования или системного представления реальности. Она состоит в том, что объединение в целостность (системный монолит) разнородных вещей (объектов, элементов) происходит по правилам, которые не являются четкими (жесткими). Для того, чтобы быть конструктивными (операционными), должна быть установлена полная ясность в сущности этих правил. Такую ясность и наводит рассматриваемая нами дисциплина «Системный анализ» по двум основным позициям.
Во-первых, из всего предметного многообразия реальности четко формулируется аналитическая единица исследования, называемая системой. Тем самым все системные исследования трактуются как процедуры выявления или создания (проектирования) некоторой системы. Именно проектирования системы, а не ее изучения. Это объясняется тем, что пока практически все системы являются уникальными, вновь (впервые) создаваемыми.
228
229
Содер- 
жание Критерий
препятдостаточноствий. Мести наращи-
ханизм |
вания каче- |
определе- |
ства техно- |
ния ущерлогий |
|
ба от по- |
(технологи- |
тери дос- |
ческой |
таточно- |
зависимо- |
сти |
сти) |
|
Все технологии |
|
|
|
человеческой цивилизации |
Мотивация: достичь |
|||
|
|
|
|
|
|
|
|
технологической |
|
|
|
|
независимости |
|
|
Определенные |
|
||
|
|
|
|
|
|
технологии |
|
|
|
|
|
|
|
|
Системообразующий фактор: поднять и сохранить качество определенных
технологий на
Морфологическое уровне, адекват-
описание ном возможным вызовам со стороны соперника
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Функциональное |
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
описание |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
Описание при- |
|
|
||||||||||||
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
нятых допущений |
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Качество технологий |
|
|
|
|
|
|
Методики синтеза |
||||||||||||||
и закономерности его |
|
исполнительной системы: |
|||||||||||||||||||
наращивания |
|
|
|
|
|
|
генерации способов, |
||||||||||||||
|
|
|
оценивания эффективности, |
||||||||||||||||||
|
|
|
|
||||||||||||||||||
|
|
|
|
|
оптимизации комплектов |
||||||||||||||||
Возможные показатели |
|
|
|
|
|
|
средств и порядка их |
||||||||||||||
качества технологий и пути |
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
применения |
||||||||||||
его улучшения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.4.1 Содержание границ определяющей системы
При этом в ходе проектирования, как процедуры перебора всего подходящего с выбором наилучшего, наиболее полно и глубоко проявляется суть системного подхода. При этом когда интересующая исследователя система сложилась стихийно и эволюционно, она выявляется или «вытягивается» из реальности. В том случае, когда система создается вновь, она проектируется. Эти обе процедуры по содержанию сходны и часто называются одним словом – синтезом системы. Отсюда получается методическое назначение изучаемой нами дисциплины – изложение методологии синтеза систем различных назначений и классов, хотя курс системного исследования часто называется системным анализом, т.е. методом, противоположным синтезу. А основным методическим инструментом синтеза является математическое моделирование.
Вторым шагом в прояснении правил системных исследований (установлении их нормативной базы) является установление их четкой градации и последовательности исполнения.
Из изложенного достаточно понятно, что для выявления (синтеза) системы необходимо: сформулировать цель ее функционирования, то есть определить системообразующий фактор, в интересах которого «работают» (коллективно) все элементы системы; определить соответствующие предметные границы системы; сформулировать полную совокупность описаний наполнения внутри границ системы*, определить алгоритм функционирования системы и методику оценивания ее эффективности; предложить правила и методы оптимизации свойств системы по критерию «эффект - затраты». И всѐ это необходимо представить в виде комплекса математических моделей.
В совокупности содержание этих правил определяется достаточно простой «физикой». Некто желает улучшить состояние в одном новом сложном деле. Для этого он формулирует свое желание в четкой и понятной форме – в форме содержания цели различной степени общности. Содержание цели предопределяет проведение мероприятий с участием многочисленных сил (производственных
* Описание будет полным, если определен состав элементов системы, их и ее функционирование и установлены все принятые допущения.
230