КБ (ответы)

1. Содержательная постановка задачи создание ЭВМ, функционирующей в условиях разрушения программно-аппаратной среды

Моделирование вообще, а математическое моделирование в частности, определяют технологию познания. Насколько адекватно мы моделируем действительность, настолько успешно мы её познаем. На основе адекватного познания мы и адекватно существуем в действительности. Мерой адекватности является полнота учёта закономерностей рассматриваемой предметной области. Базовым законом является закон сохранения целостности объекта, сформулированный автором данной статьи. Сущность этого закона определяется неразрывной связью объекта и его движения и характеризуется как взаимная трансформация свойств объекта и свойств его движения при заданном, чётко фиксированном предназначении[1]. Практически предназначение количественно должно определяться значением показателя эффективности функционирования объекта. Не учитывая на практике закон сохранения целостности объекта, мы сталкиваемся с тем, что результат применения созданной нами объекта не соответствует ожидаемому.

Как раз при разработке компьютерных технологий этот закон в полной для практики мере не учитывается, что не позволяет адекватно реагировать как на сбои аппаратной части, так несанкционированные программные воздействия извне. Большинство современных ЭВМ следуют «модели фон Неймана». Самой важной отличительной чертой этой модели остаётся принцип единой «линейной памяти», которая адресуется последовательными номерами ячеек и в которой команды неотличимы от данных.

Как и все объекты окружающей действительности, программная система (ПС) существует в пространстве и времени и характеризуется пространственно - временными состояниями (ПВС). Множество возможных ПВС ПС есть декартово произведение множества всех состояний пронумерованных ячеек памяти (Х) и множества натуральных чисел (например N), которыми пронумерованы ячейки, и которое в процессе функционирования ПС тождественно временной оси - множеству Т.

ПС реализуется логической последовательностью выполнения команд в памяти при функционировании ПС. Если множество Х есть множество возможных состояний памяти ЭВМ, то X- множество требуемых состояний памяти в процессе реализации ПС, а Т - множество требуемых временных состояний памяти в процессе реализации ПС. Множество Q=X×Тесть множество требуемых ПВС ПС при её реализации в памяти. То есть, это математическая модель, описывающая логическую последовательностью выполнения команд в памяти при функционировании ПС. Физически при реализации ПС нам надо выбрать определённую логическую последовательность команд, размещённых в памяти. Математически это можно осуществить только на основе алгебраической операции, связанной со свойствами несущего множества. (Новое направление в абстрактной алгебре[2]). Применяя такую алгебраическую операцию на множестве возможных состояний памяти ЭВМ, мы можем моделировать процесс функционирования ПС в зависимости от множества возможных ПВС памяти. Множество ПВС памяти может изменяться как из-за выхода из строя (разрушения) аппаратной части, так и из-за целенаправленного изменения извне, как содержания команд, так и последовательности их выполнения.

Под разрушением программно-аппаратной среды будем понимать выход (или вывод) из строя аппаратной части и целенаправленной изменение извне, как требуемого содержания команд, так и требуемой последовательности их выполнения.

Для учёта разрушения программно-аппаратной среды получим новый класс алгебраических операций, связанных со свойствами несущего множества, и рассмотрим алгоритм её применения.

2. Системообразующие основы моделирования. Модель действия.

Рассмотрим общий подход к одновременному синтезу модели системы и способов её применения. Будем характеризовать систему на каждый момент времени tT n-ым вектором состояний x со следующими компонентами:

- компоненты, отражающие расположение в пространстве;

- компоненты, отражающие состояние агрегатов и подсистем, зоны воздействия, влияния, обмена и т.п..

В процессе функционирования в момент времени tT вектор x принимает значение элемента из множества допустимых значений X. T - допустимая длительность функционирования системы. Тогда процесс функционирования системы будем характеризовать парой элементов из множеств T и X, которую определим следующим образом.

Определение 2.1. Множество R = X×T (декартово произведение множеств X и T) есть множество допустимых значений ПВС системы, зон воздействия, обмена и т.п. в процессе решения целевой задачи.

На множестве R в процессе синтеза модели системы формируется множество требуемых ПВС системы, которое определим следующим образом.

Определение 2.2. Множество требуемых пространственно - временных состояний (ПВС) системы (объекта), зон воздействия, обмена и т.п. при решении целевой задачи QR называется районом сосредоточения основных усилий системы (РСОУ). (В данной статье это модель функционирования ПС. Программа в действии).

Q –данное множество есть модель действия в силу следующего. Объект существует в пространстве и времени. Движение есть изменение пространства и времени. Поэтому декартово произведение множеств требуемых пространственных и временных состояний определяет движение. Каково действие (проявление энергии), таково и движение.

Так как обычно процесс применения характеризуется, в первую очередь способом, то определим его и сравним с РСОУ.

Определение 2.3. Способ действий - это порядок и приемы использования системы для решения целевых задач. (Способ преобразований символов в памяти).

Базовые элементы способа действий.

- последовательность реализации возможностей системы, согласованной и объединенной целью функционирования (предназначением);

- район сосредоточения основных усилий системы;

- характер изменения ПВС системы.

Сопоставляя поэлементно определения РСОУ и Способа действий можно увидеть в этих понятиях общую сущность, при этом характеристики РСОУ носят конструктивный характер и всегда вычислимы.

На каждом элементе множества Q система выполняет "работу" с определенной производительностью, определение которой следующее.

Определение 2.4. Производительностью системы называется величина (функция), характеризующая способность решения определенного количества целевых задач системой в единицу времени. (Например, количество требуемых символов, преобразованных в памяти за единицу времени).

Производительность системы в области компьютерных технологий это базовая характеристика процессора ЭВМ. Производительность системы зависит от возможностей системы и механизмов реализации этих возможностей. Поэтому приведем соответствующие определения.

Определение 2.5. Возможности - это количественные и качественные показатели, характеризующие способность системы по выполнению определенных целевых задач за установленное время в конкретной обстановке. Количественно оцениваются вектором возможностей v(r)V, где V ограниченное, замкнутое множество. (V- множество команд ЭВМ, ресурсы; в том числе и временные).

Особо необходимо рассмотреть вопрос определения компонент вектора возможностей, так как команды определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого необходимо использовать аппарат лямбда-исчисления [4].

Определение 2.6. Эффективность применения (ЭП) это свойство системы, которое характеризуется степенью реализации возможностей системы в процессе решения целевых задач. Оценивается величиной I (показатель ЭП) с учётом затрат материальных средств, различных ресурсов и времени. (Второе базовое понятие). (В статье показатель ЭП - требуемое количество требуемых символов, реализующее логическую последовательностью выполнения команд в памяти при функционировании целевой ПС).

Для существующих ЭВМ разработчик ПС «пишет» её в виде цепочки символов, реализующей логическую последовательностью выполнения команд в памяти при функционировании целевой ПС. Для такого класса систем эффективность применения (свойство ПС) характеризуется 2-мя состояниями: «решает» или «не решает» ПС поставленную задачу. Или если показатель ЭП I равен требуемому количеству требующихся символов, то задача решается, если I не равен, то задача не решается. При этом значение I обеспечивает требуемое количество, а как будет показано в следующем определении 2.7., множество правил исполнения команд ЭВМ (U) обеспечивает номенклатуру требующихся символов. На практике получается, что разработчик алгоритмически реализует целостность ПС и доверяет её (целостность ПС) памяти ЭВМ, которая способна реализовать ПС только в идеальных, расчётных условиях – как без выхода из строя аппаратной части, так и без целенаправленного изменения, как содержания, так и последовательности выполнения команд злоумышленником.

Естественно в такой постановке не рассматривать алгоритмические ошибки и некорректности на этапе разработки ПС.

Для достижения требуемого уровня ЭП должны существовать определённые механизмы реализации возможностей, заложенных в системе разработчиком. У ЭВМ эти механизмы характеризуются правилами выполнения команд, то есть отношениями команд и механизмами их исполнения. Правила выполнения команд в модели реализуются управлением.

Определение 2.7. Управление системой - это целенаправленное воздействие разработчика, руководителя системы на систему с целью обеспечения требуемой ЭП в различных условиях обстановки. Реализуется вектором управления u(r)U, где U - замкнутое, ограниченное множество. (U - множество правил выполнения команд ЭВМ).

Как и в случае рассмотрения вектора возможностей необходимо рассмотреть вопрос определения компонент вектора управления, так как компоненты вектора управления определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого также необходимо использовать аппарат лямбда-исчисления [4].

Процессор ЭВМ на множестве требуемых пространственно-временных состояний памяти осуществляет требуемые преобразования требуемых символов. Поэтому естественно предположить, что система в каждой точке пространственной области Q "что-то делает" с определенной производительностью в соответствии со своим предназначением, характеризуемой функцией (r). (То есть плотность распределения производительности системы в пространстве). Если с каждой точкой М определенной пространственной области связана некоторая скалярная или векторная величина, то говорят, что задано поле этой величины, соответственно, скалярное или векторное. Предположим, что система в процессе функционирования формирует некоторое поле эффективности I (Q), (интеграл – функция множества, по которому осуществляется интегрирование), где Q  R. Зная свойства поля и проинтегрировав его ППЭ (r) по области Q можно получить результат действия системы по всей области Q(РСОУ). Поэтому применим понятие потенциала поля для определения свойств системы.

Определение 2.8. Функцию (r)=(u(r),v(r),r), где u(r), v(r), соответственно, вектора управления и возможностей, а r Q, будем называть потенциалом поля эффективности (ППЭ) разрабатываемой системы (третье базовое понятие).

Конкретизацией ППЭ является процессор ЭВМ. ППЭ – это модель процессора. Базовой, определяющей характеристикой процессора является показатель производительности. То есть определённое количество преобразованных в памяти символов за определённое количество времени.

Из закона сохранения целостности следует, что кроме соответствующего набора символов, у каждой команды должен быть строго один итог работы процессора по преобразованию символов в памяти. А итог работы – показатель эффективности применения ЭВМ. Это необходимо для того, чтобы система команд удовлетворяла базовым свойствам формальной системы – это полнота, непротиворечивость, разрешимость и независимость аксиом.

Каждая команда это определённый набор символов – слово. Правило выполнения команды - это аксиома. Правилами вывода являются – правило подстановки и правило следования. Теоремами являются блоки программ и сами программы.

ППЭ в соответствии с требуемой пронумерованной последовательностью действий процессора по преобразованию памяти (множество Q) осуществляет преобразование состояний памяти ЭВМ в соответствии с написанной программой. Поэтому будем считать эту функцию моделью системы. В данном случае моделью ЭВМ является (u(r),v(r),r), так как эта модель позволяет определить базовую, интегральную характеристику ЭВМ – это её производительность в зависимости от состояний программно-аппаратной среды. Она обладает свойством

(r)dr = (u(r),v(r),r)dr = I(Q), (2.1.), где I(Q) –показатель ЭП системы, функция множества Q.

В силу дискретности процессов протекающих в памяти ЭВМ (u(r),v(r),r)dr =(…)dr, так как Q= Q, QQ= 0, где L длина упорядоченной, логической последовательности команд рассматриваемой ПС. Q-требуемая, занумерованная и размещённая в памяти ЭВМ, последовательность символов, реализующая i - ую команду, требуемой логической последовательности Q. Тогда из соотношений (…)dr = I(Q), I (Q) = I(Q) следует, что для реализации i-ой команды, указанной в ПС, необходимо осуществить преобразование в памяти I(Q)-го количества символов. Из этого следует, что все свойства i-ой команды должны удовлетворять следующему соотношению (…)dr = I(Q). Надо понимать, что эти два соотношения являются необходимым и достаточным условием реализации программы в памяти ЭВМ, так как с одной стороны, мы задаём количество символов, которые надо преобразовать в памяти, а с другой стороны через вектор u(r) задаём правило выполнение требуемой команды на i-ом шаге. ППЭ есть отображение :U×V× RF, где область изменения производительности ПС, распределённой в пространстве и времени, а U= U, V= V.

При таком подходе требуемая потенциальная ЭП системы объединяет её ПВС и возможности в единое целое, направленные на достижение целевых установок, а разработчик системы получает инструмент для синтеза системы с требуемыми свойствами.

Известны два подхода к проектированию систем - это анализ и синтез.

При анализе (решение проблемы выбора) проектировщику выдают набор физических элементов и требуют предсказать возможный результата функционирования системы (некоторые выходные характеристики). То есть проектировщик сформирует один вариант системы, другой и так далее, анализирует результат функционирования каждого и выбирает тот вариант, который наиболее полно удовлетворяет требуемым условием.

При синтезе проектировщику дают набор выходных характеристик проектируемой системы и требуют определить количественный и качественный состав системы.

Для тех, кто достаточно глубоко изучал математику, между решением задачи Коши и краевой задачи для дифференциального уравнения такая же разница как между проблемой выбора и проблемой синтеза. То есть при анализе решается задача «от начала» и анализируется, что получится. При синтезе решается задача «от конца», желаемого результата; формируется система с требуемыми выходными характеристиками.

Синтез системы основан на установление разработчиком соответствия (условия замыкания) между моделью объекта в сложившейся ситуации и действием, изменяющим должным образом ситуацию в соответствии с предназначением системы. Изложим концепцию синтеза.

3. Системообразующие основы моделирования. Модель объекта.

Рассмотрим общий подход к одновременному синтезу модели системы и способов её применения. Будем характеризовать систему на каждый момент времени tT n-ым вектором состояний x со следующими компонентами:

- компоненты, отражающие расположение в пространстве;

- компоненты, отражающие состояние агрегатов и подсистем, зоны воздействия, влияния, обмена и т.п..

В процессе функционирования в момент времени t T вектор x принимает значение элемента из множества до допустимых значений X. T - допустимая длительность функционирования системы. Тогда процесс функционирования системы будем характеризовать парой элементов из множеств T и X, которую определим следующим образом.

Определение 2.1. Множество R = X×T (декартово произведение множеств X и T) есть множество допустимых значений ПВС системы, зон воздействия, обмена и т.п. в процессе решения целевой задачи.

На множестве R в процессе синтеза модели системы формируется множество требуемых ПВС системы, которое определим следующим образом.

Определение 2.2. Множество требуемых пространственно - временных состояний (ПВС) системы (объекта), зон воздействия, обмена и т.п. при решении целевой задачи QR называется районом сосредоточения основных усилий системы (РСОУ). (В данной статье это модель функционирования ПС. Программа в действии).

Q –данное множество есть модель действия в силу следующего. Объект существует в пространстве и времени. Движение есть изменение пространства и времени. Поэтому декартово произведение множеств требуемых пространственных и временных состояний определяет движение. Каково действие (проявление энергии), таково и движение.

Так как обычно процесс применения характеризуется, в первую очередь способом, то определим его и сравним с РСОУ.

Определение 2.3. Способ действий - это порядок и приемы использования системы для решения целевых задач. (Способ преобразований символов в памяти).

Базовые элементы способа действий.

- последовательность реализации возможностей системы, согласованной и объединенной целью функционирования (предназначением);

- район сосредоточения основных усилий системы;

- характер изменения ПВС системы.

Сопоставляя поэлементно определения РСОУ и Способа действий можно увидеть в этих понятиях общую сущность, при этом характеристики РСОУ носят конструктивный характер и всегда вычислимы.

На каждом элементе множества Q система выполняет "работу" с определенной производительностью, определение которой следующее.

Определение 2.4. Производительностью системы называется величина (функция), характеризующая способность решения определенного количества целевых задач системой в единицу времени. (Например, количество требуемых символов, преобразованных в памяти за единицу времени).

Производительность системы в области компьютерных технологий это базовая характеристика процессора ЭВМ. Производительность системы зависит от возможностей системы и механизмов реализации этих возможностей. Поэтому приведем соответствующие определения.

Определение 2.5. Возможности - это количественные и качественные показатели, характеризующие способность системы по выполнению определенных целевых задач за установленное время в конкретной обстановке. Количественно оцениваются вектором возможностей v(r)V, где V ограниченное, замкнутое множество. (V- множество команд ЭВМ, ресурсы; в том числе и временные).

Особо необходимо рассмотреть вопрос определения компонент вектора возможностей, так как команды определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого необходимо использовать аппарат лямбда-исчисления [4].

Определение 2.6. Эффективность применения (ЭП) это свойство системы, которое характеризуется степенью реализации возможностей системы в процессе решения целевых задач. Оценивается величиной I (показатель ЭП) с учётом затрат материальных средств, различных ресурсов и времени. (Второе базовое понятие). (В статье показатель ЭП - требуемое количество требуемых символов, реализующее логическую последовательностью выполнения команд в памяти при функционировании целевой ПС).

Для существующих ЭВМ разработчик ПС «пишет» её в виде цепочки символов, реализующей логическую последовательностью выполнения команд в памяти при функционировании целевой ПС. Для такого класса систем эффективность применения (свойство ПС) характеризуется 2-мя состояниями: «решает» или «не решает» ПС поставленную задачу. Или если показатель ЭП I равен требуемому количеству требующихся символов, то задача решается, если I не равен, то задача не решается. При этом значение I обеспечивает требуемое количество, а как будет показано в следующем определении 2.7., множество правил исполнения команд ЭВМ (U) обеспечивает номенклатуру требующихся символов. На практике получается, что разработчик алгоритмически реализует целостность ПС и доверяет её (целостность ПС) памяти ЭВМ, которая способна реализовать ПС только в идеальных, расчётных условиях – как без выхода из строя аппаратной части, так и без целенаправленного изменения, как содержания, так и последовательности выполнения команд злоумышленником.

Естественно в такой постановке не рассматривать алгоритмические ошибки и некорректности на этапе разработки ПС.

Для достижения требуемого уровня ЭП должны существовать определённые механизмы реализации возможностей, заложенных в системе разработчиком. У ЭВМ эти механизмы характеризуются правилами выполнения команд, то есть отношениями команд и механизмами их исполнения. Правила выполнения команд в модели реализуются управлением.

Определение 2.7. Управление системой - это целенаправленное воздействие разработчика, руководителя системы на систему с целью обеспечения требуемой ЭП в различных условиях обстановки. Реализуется вектором управления u(r)U, где U - замкнутое, ограниченное множество. (U - множество правил выполнения команд ЭВМ).

Как и в случае рассмотрения вектора возможностей необходимо рассмотреть вопрос определения компонент вектора управления, так как компоненты вектора управления определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого также необходимо использовать аппарат лямбда-исчисления [4].

Процессор ЭВМ на множестве требуемых пространственно-временных состояний памяти осуществляет требуемые преобразования требуемых символов. Поэтому естественно предположить, что система в каждой точке пространственной области Q "что-то делает" с определенной производительностью в соответствии со своим предназначением, характеризуемой функцией (r). (То есть плотность распределения производительности системы в пространстве). Если с каждой точкой М определенной пространственной области связана некоторая скалярная или векторная величина, то говорят, что задано поле этой величины, соответственно, скалярное или векторное. Предположим, что система в процессе функционирования формирует некоторое поле эффективности I (Q), (интеграл – функция множества, по которому осуществляется интегрирование), где Q  R. Зная свойства поля и проинтегрировав его ППЭ (r) по области Q можно получить результат действия системы по всей области Q(РСОУ). Поэтому применим понятие потенциала поля для определения свойств системы.

Определение 2.8. Функцию (r)=(u(r),v(r),r), где u(r), v(r), соответственно, вектора управления и возможностей, а r Q, будем называть потенциалом поля эффективности (ППЭ) разрабатываемой системы (третье базовое понятие).

Конкретизацией ППЭ является процессор ЭВМ. ППЭ – это модель процессора. Базовой, определяющей характеристикой процессора является показатель производительности. То есть определённое количество преобразованных в памяти символов за определённое количество времени.

Из закона сохранения целостности следует, что кроме соответствующего набора символов, у каждой команды должен быть строго один итог работы процессора по преобразованию символов в памяти. А итог работы – показатель эффективности применения ЭВМ. Это необходимо для того, чтобы система команд удовлетворяла базовым свойствам формальной системы – это полнота, непротиворечивость, разрешимость и независимость аксиом.

Каждая команда это определённый набор символов – слово. Правило выполнения команды - это аксиома. Правилами вывода являются – правило подстановки и правило следования. Теоремами являются блоки программ и сами программы.

ППЭ в соответствии с требуемой пронумерованной последовательностью действий процессора по преобразованию памяти (множество Q) осуществляет преобразование состояний памяти ЭВМ в соответствии с написанной программой. Поэтому будем считать эту функцию моделью системы. В данном случае моделью ЭВМ является (u(r),v(r),r), так как эта модель позволяет определить базовую, интегральную характеристику ЭВМ – это её производительность в зависимости от состояний программно-аппаратной среды. Она обладает свойством

(r)dr = (u(r),v(r),r)dr = I(Q), (2.1.),

где I(Q) –показатель ЭП системы, функция множества Q. В силу дискретности процессов протекающих в памяти ЭВМ (u(r),v(r),r)dr =(…)dr, так как Q= Q, QQ= 0, где L длина упорядоченной, логической последовательности команд рассматриваемой ПС. Q-требуемая, занумерованная и размещённая в памяти ЭВМ, последовательность символов, реализующая i - ую команду, требуемой логической последовательности Q. Тогда из соотношений (…)dr = I(Q), I (Q) = I(Q) следует, что для реализации i-ой команды, указанной в ПС, необходимо осуществить преобразование в памяти I(Q)-го количества символов. Из этого следует, что все свойства i-ой команды должны удовлетворять следующему соотношению (…)dr = I(Q). Надо понимать, что эти два соотношения являются необходимым и достаточным условием реализации программы в памяти ЭВМ, так как с одной стороны, мы задаём количество символов, которые надо преобразовать в памяти, а с другой стороны через вектор u(r) задаём правило выполнение требуемо й команды на i-ом шаге. ППЭ есть отображение :U×V× RF, где область изменения производительности ПС, распределённой в пространстве и времени, а U= U, V= V.

При таком подходе требуемая потенциальная ЭП системы объединяет её ПВС и возможности в единое целое, направленные на достижение целевых установок, а разработчик системы получает инструмент для синтеза системы с требуемыми свойствами.

Известны два подхода к проектированию систем - это анализ и синтез[4].

При анализе (решение проблемы выбора) проектировщику выдают набор физических элементов и требуют предсказать возможный результата функционирования системы (некоторые выходные характеристики). То есть проектировщик сформирует один вариант системы, другой и так далее, анализирует результат функционирования каждого и выбирает тот вариант, который наиболее полно удовлетворяет требуемым условием.

При синтезе проектировщику дают набор выходных характеристик проектируемой системы и требуют определить количественный и качественный состав системы.

Для тех, кто достаточно глубоко изучал математику, между решением задачи Коши и краевой задачи для дифференциального уравнения такая же разница как между проблемой выбора и проблемой синтеза. То есть при анализе решается задача «от начала» и анализируется, что получится. При синтезе решается задача «от конца», желаемого результата; формируется система с требуемыми выходными характеристиками.

Синтез системы основан на установление разработчиком соответствия (условия замыкания) между моделью объекта в сложившейся ситуации и действием, изменяющим должным образом ситуацию в соответствии с предназначением системы. Изложим концепцию синтеза.

4. Системообразующие основы моделирования. Эффективность применения ЭВМ.

Рассмотрим общий подход к одновременному синтезу модели системы и способов её применения. Будем характеризовать систему на каждый момент времени tT n-ым вектором состояний x со следующими компонентами:

- компоненты, отражающие расположение в пространстве;

- компоненты, отражающие состояние агрегатов и подсистем, зоны воздействия, влияния, обмена и т.п..

В процессе функционирования в момент времени t T вектор x принимает значение элемента из множества до допустимых значений X. T - допустимая длительность функционирования системы. Тогда процесс функционирования системы будем характеризовать парой элементов из множеств T и X, которую определим следующим образом.

Определение 2.1. Множество R = X×T (декартово произведение множеств X и T) есть множество допустимых значений ПВС системы, зон воздействия, обмена и т.п. в процессе решения целевой задачи.

На множестве R в процессе синтеза модели системы формируется множество требуемых ПВС системы, которое определим следующим образом.

Определение 2.2. Множество требуемых пространственно - временных состояний (ПВС) системы (объекта), зон воздействия, обмена и т.п. при решении целевой задачи QR называется районом сосредоточения основных усилий системы (РСОУ). (В данной статье это модель функционирования ПС. Программа в действии).

Q –данное множество есть модель действия в силу следующего. Объект существует в пространстве и времени. Движение есть изменение пространства и времени. Поэтому декартово произведение множеств требуемых пространственных и временных состояний определяет движение. Каково действие (проявление энергии), таково и движение.

Так как обычно процесс применения характеризуется, в первую очередь способом, то определим его и сравним с РСОУ.

Определение 2.3. Способ действий - это порядок и приемы использования системы для решения целевых задач. (Способ преобразований символов в памяти).

Базовые элементы способа действий.

- последовательность реализации возможностей системы, согласованной и объединенной целью функционирования (предназначением);

- район сосредоточения основных усилий системы;

- характер изменения ПВС системы.

Сопоставляя поэлементно определения РСОУ и Способа действий можно увидеть в этих понятиях общую сущность, при этом характеристики РСОУ носят конструктивный характер и всегда вычислимы.

На каждом элементе множества Q система выполняет "работу" с определенной производительностью, определение которой следующее.

Определение 2.4. Производительностью системы называется величина (функция), характеризующая способность решения определенного количества целевых задач системой в единицу времени. (Например, количество требуемых символов, преобразованных в памяти за единицу времени).

Производительность системы в области компьютерных технологий это базовая характеристика процессора ЭВМ. Производительность системы зависит от возможностей системы и механизмов реализации этих возможностей. Поэтому приведем соответствующие определения.

Определение 2.5. Возможности - это количественные и качественные показатели, характеризующие способность системы по выполнению определенных целевых задач за установленное время в конкретной обстановке. Количественно оцениваются вектором возможностей v(r)V, где V ограниченное, замкнутое множество. (V- множество команд ЭВМ, ресурсы; в том числе и временные).

Особо необходимо рассмотреть вопрос определения компонент вектора возможностей, так как команды определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого необходимо использовать аппарат лямбда-исчисления [4].

Определение 2.6. Эффективность применения (ЭП) это свойство системы, которое характеризуется степенью реализации возможностей системы в процессе решения целевых задач. Оценивается величиной I (показатель ЭП) с учётом затрат материальных средств, различных ресурсов и времени. (Второе базовое понятие). (В статье показатель ЭП - требуемое количество требуемых символов, реализующее логическую последовательностью выполнения команд в памяти при функционировании целевой ПС).

Для существующих ЭВМ разработчик ПС «пишет» её в виде цепочки символов, реализующей логическую последовательностью выполнения команд в памяти при функционировании целевой ПС. Для такого класса систем эффективность применения (свойство ПС) характеризуется 2-мя состояниями: «решает» или «не решает» ПС поставленную задачу. Или если показатель ЭП I равен требуемому количеству требующихся символов, то задача решается, если I не равен, то задача не решается. При этом значение I обеспечивает требуемое количество, а как будет показано в следующем определении 2.7., множество правил исполнения команд ЭВМ (U) обеспечивает номенклатуру требующихся символов. На практике получается, что разработчик алгоритмически реализует целостность ПС и доверяет её (целостность ПС) памяти ЭВМ, которая способна реализовать ПС только в идеальных, расчётных условиях – как без выхода из строя аппаратной части, так и без целенаправленного изменения, как содержания, так и последовательности выполнения команд злоумышленником.

Естественно в такой постановке не рассматривать алгоритмические ошибки и некорректности на этапе разработки ПС.

Для достижения требуемого уровня ЭП должны существовать определённые механизмы реализации возможностей, заложенных в системе разработчиком. У ЭВМ эти механизмы характеризуются правилами выполнения команд, то есть отношениями команд и механизмами их исполнения. Правила выполнения команд в модели реализуются управлением.

Определение 2.7. Управление системой - это целенаправленное воздействие разработчика, руководителя системы на систему с целью обеспечения требуемой ЭП в различных условиях обстановки. Реализуется вектором управления u(r)U, где U - замкнутое, ограниченное множество. (U - множество правил выполнения команд ЭВМ).

Как и в случае рассмотрения вектора возможностей необходимо рассмотреть вопрос определения компонент вектора управления, так как компоненты вектора управления определяются как функции в виде правил, а не в виде графиков (как, например, в математическом анализе). Для этого также необходимо использовать аппарат лямбда-исчисления [4].

Процессор ЭВМ на множестве требуемых пространственно-временных состояний памяти осуществляет требуемые преобразования требуемых символов. Поэтому естественно предположить, что система в каждой точке пространственной области Q "что-то делает" с определенной производительностью в соответствии со своим предназначением, характеризуемой функцией (r). (То есть плотность распределения производительности системы в пространстве). Если с каждой точкой М определенной пространственной области связана некоторая скалярная или векторная величина, то говорят, что задано поле этой величины, соответственно, скалярное или векторное. Предположим, что система в процессе функционирования формирует некоторое поле эффективности I (Q), (интеграл – функция множества, по которому осуществляется интегрирование), где Q  R. Зная свойства поля и проинтегрировав его ППЭ (r) по области Q можно получить результат действия системы по всей области Q(РСОУ). Поэтому применим понятие потенциала поля для определения свойств системы.

Определение 2.8. Функцию (r)=(u(r),v(r),r), где u(r), v(r), соответственно, вектора управления и возможностей, а r Q, будем называть потенциалом поля эффективности (ППЭ) разрабатываемой системы (третье базовое понятие).

Конкретизацией ППЭ является процессор ЭВМ. ППЭ – это модель процессора. Базовой, определяющей характеристикой процессора является показатель производительности. То есть определённое количество преобразованных в памяти символов за определённое количество времени.

Из закона сохранения целостности следует, что кроме соответствующего набора символов, у каждой команды должен быть строго один итог работы процессора по преобразованию символов в памяти. А итог работы – показатель эффективности применения ЭВМ. Это необходимо для того, чтобы система команд удовлетворяла базовым свойствам формальной системы – это полнота, непротиворечивость, разрешимость и независимость аксиом.

Каждая команда это определённый набор символов – слово. Правило выполнения команды - это аксиома. Правилами вывода являются – правило подстановки и правило следования. Теоремами являются блоки программ и сами программы.

ППЭ в соответствии с требуемой пронумерованной последовательностью действий процессора по преобразованию памяти (множество Q) осуществляет преобразование состояний памяти ЭВМ в соответствии с написанной программой. Поэтому будем считать эту функцию моделью системы. В данном случае моделью ЭВМ является (u(r),v(r),r), так как эта модель позволяет определить базовую, интегральную характеристику ЭВМ – это её производительность в зависимости от состояний программно-аппаратной среды. Она обладает свойством

(r)dr = (u(r),v(r),r)dr = I(Q), (2.1.),

где I(Q) –показатель ЭП системы, функция множества Q. В силу дискретности процессов протекающих в памяти ЭВМ (u(r),v(r),r)dr =(…)dr, так как Q= Q, QQ= 0, где L длина упорядоченной, логической последовательности команд рассматриваемой ПС. Q-требуемая, занумерованная и размещённая в памяти ЭВМ, последовательность символов, реализующая i - ую команду, требуемой логической последовательности Q. Тогда из соотношений (…)dr = I(Q), I (Q) = I(Q) следует, что для реализации i-ой команды, указанной в ПС, необходимо осуществить преобразование в памяти I(Q)-го количества символов. Из этого следует, что все свойства i-ой команды должны удовлетворять следующему соотношению (…)dr = I(Q). Надо понимать, что эти два соотношения являются необходимым и достаточным условием реализации программы в памяти ЭВМ, так как с одной стороны, мы задаём количество символов, которые надо преобразовать в памяти, а с другой стороны через вектор u(r) задаём правило выполнение требуемо й команды на i-ом шаге. ППЭ есть отображение :U×V× RF, где область изменения производительности ПС, распределённой в пространстве и времени, а U= U, V= V.

При таком подходе требуемая потенциальная ЭП системы объединяет её ПВС и возможности в единое целое, направленные на достижение целевых установок, а разработчик системы получает инструмент для синтеза системы с требуемыми свойствами.

Известны два подхода к проектированию систем - это анализ и синтез[4].

При анализе (решение проблемы выбора) проектировщику выдают набор физических элементов и требуют предсказать возможный результата функционирования системы (некоторые выходные характеристики). То есть проектировщик сформирует один вариант системы, другой и так далее, анализирует результат функционирования каждого и выбирает тот вариант, который наиболее полно удовлетворяет требуемым условием.

При синтезе проектировщику дают набор выходных характеристик проектируемой системы и требуют определить количественный и качественный состав системы.

Для тех, кто достаточно глубоко изучал математику, между решением задачи Коши и краевой задачи для дифференциального уравнения такая же разница как между проблемой выбора и проблемой синтеза. То есть при анализе решается задача «от начала» и анализируется, что получится. При синтезе решается задача «от конца», желаемого результата; формируется система с требуемыми выходными характеристиками.

Синтез системы основан на установление разработчиком соответствия (условия замыкания) между моделью объекта в сложившейся ситуации и действием, изменяющим должным образом ситуацию в соответствии с предназначением системы. Изложим концепцию синтеза.

5.Анализ и синтез при создании ЭВМ. Концепция синтеза. Структура множества Q.

КОНЦЕПЦИЯ СИНТЕЗА

Модель Системы ↔ Условие ЗАМЫКАНИЯ ↔ Модель Действия

ЗАДАЧА. Дано. Множество возможных ситуаций (F×R). Множество возможных

действий (R = X×T).

Требуется определить. Условие замыкания.

Потенциал поля эффективности (ППЭ) системы - (u(r),v(r),r) F; F- множество допустимых значений производительности; : U×V×RF.

Количественно ситуация характеризуется результатом мгновенной деятельности системы ((u(r),v(r),r)r) на элементе r области Q. В случае рассмотрения ПС результат мгновенной деятельности системы будет характеризоваться (…) dr. Руководствуясь разработанным автором законом сохранения целостности, получим условие ЗАМЫКАНИЯ, "собирая" по всей области Q "результаты" мгновенной деятельности системы,

Условие замыкания (u(r),v(r),r)dr = I(Q), (2.2.)

Модель действия Модель объекта Модель ситуации Результат замыкания

Структура множества Q является носителем возможностей системы и механизмов их реализации. Соотношение (2.2.) является алгебраической операцией, определённым образом связанной со свойствами несущего множества. Как известно, алгебраическая операция это отображение, сопоставляющее всякому упорядоченному набору n элементов данного множества определённый элемент этого же множества. Отображение f(r):Q R обеспечивает формирование элементов r R, удовлетворяющих уравнению синтеза модели и способов применения системы (2.2.), т.е. формирование множества требуемых ПВС Q R). Физически эта операция "фильтрует" элементы множества R с целью выбора таких элементов, которые несут свойства создаваемой целевой системы и тем самым формируют элементы множества QR. Применительно к нашей задаче наша модель программы «фильтрует» состояния памяти ЭВМ с целью формирования в памяти ЭВМ требуемой логической последовательности команд и соответствующих состояний памяти. При этом надо понимать то, что такая «фильтрация» осуществляет управление внешними устройствами ЭВМ.

6. Принцип системности. Задача А.

Принцип системности. Для синтеза модели системы и способов ее использования, обладающей показателем ЭП I(Q), необходимо и достаточно задать множество Q R и функцию (...), удовлетворяющих условию (2.1.)

А само соотношение (2.1.) целесообразно назвать уравнением синтеза, в общем случае с двумя неизвестными Q и (...). Это уравнение формализует закон сохранения целостности. Новая трактовка проблемы синтеза системы порождает новый класс задач, решение которых и обеспечивает одновременный синтез модели и способов применения системы.

Задача А. Дано. Область из множества допустимых ПВС QR, множества допустимых состояний вектора возможностей V и вектора управления U, некоторое положительное значение показателя I(Q) (требуемое значение показателя ЭП).

Требуется определить функцию (…), удовлетворяющую условию (2.1.).

Комментарий А. В данной задаче при известных

- логической последовательности команд,

- количестве преобразованных в памяти символов, реализующих ПС,

- множествах допустимых команд и ресурсов,

- множестве допустимых правил выполнения команд,

выбрать и обосновать требуемые команды и правила их выполнения, обеспечивающие требуемую производительность процессора.

7. Принцип системности. Задача Б.

Задача Б. Дано. Множество допустимых ПВС R, функция (…), некоторое положительное некоторое положительное значение показателя I(Q).

Требуется определить область из множества допустимых ПВС Q R, удовлетворяющую условию (2.1.)

Комментарий Б. В данной задаче при известных

- количестве преобразованных в памяти символов, реализующих ПС,

- требуемых команд и ресурсов,

- требуемых допустимых правил выполнения команд,

выбрать и обосновать логическую последовательность выполнения команд.

8. Принцип системности. Задача В.

Задача В. Дано. Область из множества допустимых ПВС Q R, множества допустимых состояний вектора возможностей V и вектора управления U, функция (…). Требуется определить вектор возможностей v(r) V и вектор управления u(r)  U удовлетворяющих условию

(u(r),v(r),r)dr  .

Комментарий В. В данной задаче при известных

- логической последовательности выполнения команд,

- множестве допустимых команд и ресурсов,

- множестве допустимых правилах выполнения команд,

выбрать и обосновать требуемые команды и правила их выполнения, минимизирующие количество потребных преобразованных символов в памяти.

9. Принцип системности. Задача Г.

Комментарий Г. В данной задаче при известных

- логической последовательности выполнения команд,

- множестве допустимых команд и ресурсов,

- множестве допустимых правилах выполнения команд,

выбрать и обосновать логическую последовательность команд, минимизирующих количество потребных преобразованных символов в памяти.

Такой подход к синтезу позволил конструктивно определить, что должны содержать и давать исследователю методология, методы и технология моделирования системы.

Методология должна содержать условия, определяющие свойства множества требуемых ПВС системы Q.

Методы должны содержать условия, определяющие переход из одного состояние в другое на множестве требуемых ПВС системы Q.

Технология должна содержать условия реализации переходов из одного состояние в другое на множестве требуемых ПВС системы Q

Обычно система имеет определенный количественный состав, распределенный в пространстве с соответствующими зонами воздействия (влияния). Поэтому при непрерывном изменении времени условие (2.1.) будет задаваться в условиях формирования структуры системы и распределения функций между ее элементами при ограниченном количественном составе системы следующим образом. (Множество G)

10.Теория подобия при синтезе модели ЭВМ

 В основе моделирования лежит теория подобия, которая утверждает, что абсолютное подобие может иметь место лишь при замене одного объекта другим точно таким же. При моделировании абсолютное подобие не имеет места и стремятся к тому, чтобы модель достаточно хорошо отображала исследуемую сторону функционирования объекта.

В настоящее время распространены методы машинной реализации исследования характеристик процесса функционирования больших систем. Для реализации математической модели на ЭВМ необходимо построить соответствующий моделирующий алгоритм. При имитационном моделировании реализующий модель алгоритм воспроизводит процесс функционирования системы S во времени, причем имитируются элементарные явления, составляющие процесс, с сохранением их логической структуры и последовательности протекания во времени, что позволяет по исходным данным получить сведения о состояниях процесса в определенные моменты времени, дающие возможность оценить характеристики системы. Основным преимуществом имитационного моделирования по сравнению с аналитическим является возможность решения более сложных задач. Имитационные модели позволяют достаточно просто учитывать такие факторы, как наличие дискретных и непрерывных элементов, нелинейные характеристики элементов системы, многочисленные случайные воздействия и др., которые часто создают трудности при аналитических исследованиях. В настоящее время имитационное моделирование — наиболее эффективный метод исследования больших систем, а часто и единственный практически доступный метод получения информации о поведении системы, особенно на этапе ее проектирования.

Когда результаты, полученные при воспроизведении на имитационной модели процесса функционирования системы S, являются реализациями случайных величин и функций, тогда для нахождения характеристик процесса требуется его многократное воспроизведение с последующей статистической обработкой информации и целесообразно в качестве метода машинной реализации имитационной модели использовать метод статистического моделирования. Первоначально был разработан метод статистических испытаний, представляющий собой численный метод, который применялся для моделирования случайных величин и функций, вероятностные характеристики которых совпадали с решениями аналитических задач (такая процедура получила название метода Монте-Карло). Затем этот прием стали применять и для машинной имитации с целью исследования характеристик процессов функционирования систем, подверженных случайным воздействиям, т. е. появился метод статистического моделирования.

11.Синтез модели и способов её применения, осложненный конфликтной ситуацией.

Объект различной физической природы функционирует в како-то среде или вступает с другим объектом в определённые отношения. Поэтому, разрабатывая теорию моделирования функционирования сложных объектов, следует предположить, что в исследуемом процессе принимают участие как минимум две стороны (А, Б). Их взаимодействие рассматривается как конфликт с несовпадающими, в общем случае, интересами.

По проблеме конфликта опубликовано значительное количество научных работ, монографий. Однако единого общепринятого определения конфликта не существует. Конфликт следует рассматривать не как синоним конфронтации, а как способ преодоления противоречий, форму взаимодействия сложных систем. Конфликт возникает при столкновении интересов, при желании сторон занять несовместимые позиции и т. п.. По нашему мнению при столкновении интересов надо искать пути преодоления возникшего конфликта, а не отстаивать некоторую позицию, позволяющую (теоретически) достичь поставленную цель. В настоящей работе рассмотрен подход к разрешению конфликта с позиции закона сохранения целостности объекта. Это позволило сформулировать "Принципа системности". В известных публикациях отсутствует формализованное определение системы. Как раз предлагаемый "принцип системности" позволил разработать инструмент разрешение конфликта. Структурная схема процесса разрешения конфликта между субъектами "А"и"Б" представлена на рис. 4.1.

Субъект под воздействием среды формирует в соответствии со своим предназначением интересы. Для их обеспечения (отстаивания) создает систему. Система может создаваться для отстаивания экономических интересов, завоевания рынков сбыта, территорий для разработки полезных ископаемых, экологического мониторинга и управления экологической обстановкой, завоевания рынка сбыта информационных услуг, обеспечения информационной безопасности и других интересов. Примеры разработки моделей таких систем будут рассмотрены в дальнейшем. Исходя из интересов субъектом ставится цель. Цель достигается за счет разработки, развертывания и применения соответствующей системы, показатель эффективности функционирования которой, является мерой соответствия своему целевому предназначению. Ядро конфликта содержит механизмы формирования меры соответствия своего целевого предназначения. Так как на практике важно исследовать сложные динамические процессы, то для получения количественных характеристик целесообразно использовать подходы теория дифференциальных игр. При этом надо понимать, что в силу своей неполноты, эта теория позволяет лишь определять условия перехода системы из одного состояния в другое (методы), а полноту можно обеспечить только разработанная методология. Только эта теория позволяет определить свойства множеств требуемых ПВС разрабатываемой системы, задать сами эти множества.

Не нарушая общности рассуждений, рассмотрим противостояние двух сторон "A" и "Б", обладающих определенными подсистемами.

12.Структурная схема взаимодействия трёх базовых подсистем при разрешении конфликта.

Не нарушая общности рассуждений, рассмотрим противостояние двух сторон "A" и "Б", обладающих определенными подсистемами.

Рис. 4.2. Структурная схема взаимодействия трёх базовых подсистем при разрешении конфликта.

Система должна выполнять три основных функции:

1. Целевую. 2. Защитную. 3. Обеспечивающую.

Дальнейшее наращивание количественного состава новых функций приведёт к появлению подобных по содержанию функций.

Поэтому правомерно предположить, что сторона "А" создает следующие подсистемы, выполняющие перечисленные три функции (рис.4.2):

- Целевую подсистему (ЦПС"А"),

- Защитную подсистему (ЗПС"А"),

- Обеспечивающую подсистему (ОПС"А"), защищающую Целевую подсистему"А"от воздействия защитной подсистемы стороны "Б".

ЦПС"А" предназначена для решения целевых задач на соответствующем множестве ПВС. ЗПС"А", предназначена для недопущения решения целевых задач ЦПС"Б" на общем со стороной "А" целевом множестве.

Если рассматривать функции ЦПС"А" и ЗПС"А", то они находятся в противоречии, так как выполняют две противоречивые функции. Для гармоничного их существования, естественно предположить существование подсистемы, снимающей это противоречие. Возможности, механизмы их реализации, виды, способы, действий ОПС"А" определяются по схеме (рис.4.3.) через требуемый вклад в решение общей задачи ЦПС"А".

Целевая система А

Целевая подсистемаА”

Оценивание

Действия Эффективность применения Возможности

(Модель действия) (Модель системы)

Общая задача, решаемая целевой системой А

Рис. 4.3. Схема взаимосвязи основных подсистем системы "А".

Рассмотрим механизмы действия этих трёх функций. В соответствии с нашим подходом ПВС ПС удовлетворяют алгебраической операции, связанной со свойствами несущего множества вида (u(r),v(r),r)dr = I(Q). В случае действия противостоящей стороны, например «Б» происходит разрушение множества Q на величину ∆ Q. Естественно это приводит и к изменению I на величину ∆I, так как тогда (u(r),v(r),r)dr = I(Q) -∆I. Для нейтрализации процесса разрушения памяти мы поступим следующим образом.

13. Алгоритм логической последовательности выполнения команд ПС

Шаг 1. В соответствии с троичной организацией систем различной физической природы необходимо осуществить троичную организацию исполнения команд ПС.

Шаг 2. Для реализации каждой основной команды на i-ом шаге (ЦПС«А») формируются последовательно две команды, соответственно ЗПС«А» и ОПС«А».

Шаг 3. Выделяется дополнительно три ячейки в свободном поле памяти.

Шаг 4. На i-ом шаге логической последовательности команд после выполнения основной команды (ЦПС«А») выполнятся команда контроля:

- состояний трёх ячеек i+1-го шага (например, по контрольной сумме содержимого),

- исходящего адреса, передавшего управление на i+1-ый шаг,

- адрес передачи управления на i+1-ом шаге.

Шаг 5. Если контроль прошел успешно, то выполняется основная команда на i+1ом ша ге (ЦПС«А»).

Шаг 6. Если контроль прошел не успешно (обнаружено изменение содержимого хотя бы одной из трех ячеек i+1-го шага выполнения программы) осуществляется

6.1. если эталон храниться в специальном разделе памяти, то передача управления из 3-ей ячейки i+1-го шага в ОС с запросом эталонного содержимого тройки ячеек i+1-го шага;

6.2. если эталон храниться в специальном упакованном формате в поле размещения ЗПС«А» и ЗПС«А» i-го шага.

Шаг 7. Эталонное содержимое тройки ячеек i+1-го шага, размещённое в вариантах 6.1. или 6.2. реализуется на резервном поле памяти с возвратом на i+2-й шаг и последующим предварительным контролем содержимого тройки ячеек i+2-го шага и т.д.

14. Компенсация разрушения программной системы изменением аппаратной части

15. Компенсация разрушения аппаратной части изменением программной системы

16. Язык, объекты, субъекты. Основные понятия.

Используем некоторые понятия математической логики. Пусть А конечный алфавит, А - множество слов конечной длины в алфавите А.

Из А при помощи некоторых правил выделено подмножество Я правильных слов, которое называется языком. Если Я₁ - язык описания одной информации, Я₂ - другой, то можно говорить о языке Я, объединяющем Я₁ и Я₂ описывающем ту и другую информацию. Тогда Я₁ и Я₂ подъязыки Я.

Будем считать, что любая информация представлена в виде слова в некотором языке Я. Кроме того, можно полагать, что состояние любого устройства в вычислительной системе достаточно полно описано словом в некотором языке. Тогда можно отождествлять слова и состояния устройств и механизмов вычислительной системы или произвольной электронной системы обработки данных (ЭСОД). Эти предположения позволяют весь анализ вести в терминах некоторого языка.

Определение Объектом относительно языка Я (или просто объектом, когда из контекста однозначно определен язык) называется произвольное конечное множество языка Я.

Пример 1. Произвольный файл в компьютере есть объект. В любой момент в файл может быть записано одно из конечного множества слов языка Я, в некотором алфавите А, которое отражает содержимое информации, хранящейся в файле. Значит, файл можно рассматривать как конечное множество слов, которые в нем могут быть записаны (возможные содержания файла). То, что в данный момент в файле содержится только одно слово, не исключает потенциально существования других записей в данном файле, а в понятие файла как объекта входят все допустимое множество таких записей. Естественно выделяется слово, записанное в файле в данный момент, - это состояние объекта в данный момент.

Пример 2. Пусть текст в файле разбит на параграфы так, что любой параграф также является словом языка Я и, следовательно, тоже является объектом. Таким образом, один объект может являться частью другого.

Пример 3. Принтер компьютера - объект. Существует некоторый (достаточно сложный) язык, описывающий принтер и его состояния в произвольный момент времени. Множество допустимых описаний состояний принтера является конечным подмножеством слов в этом языке. Именно это конечное множество и определяет принтер как объект.

В информации выделим особо описания преобразований данных.

Преобразование информации отображает слово, описывающее исходные данные, в другое слово. Описание преобразования данных также является словом. Примерами объектов, описывающих преобразования данных, являются программы для ЭВМ

Каждое преобразование информации может:

а) храниться;

б) действовать.

В случае а) речь идет о хранении описания преобразования в некотором объекте (файле). В этом случае преобразование ничем не отличается от других данных. В случае б) описание программы взаимодействует с другими ресурсами вычислительной системы - памятью, процессором, коммуникациями и др.

Определение. Ресурсы системы, выделяемые для действия преобразования, называются доменом.

Однако для осуществления преобразования одних данных в другие кроме домена необходимо передать этому преобразованию особый статус в системе, при котором ресурсы системы осуществляют преобразование. Этот статус будем называть "управление".

Определение. Преобразование, которому передано управление, называется процессом.

При этом подразумевается, что преобразование осуществляется в некоторой системе, в которой ясно, что значит передать управление.

Определение. Объект, описывающий преобразование, которому выделен домен и передано управление, называется субъектом.

То есть субъект - это пара (домен, процесс). Субъект для реализации преобразования использует информацию, содержащуюся в объекте О, то есть осуществляет доступ к объекту О.

Рассмотрим некоторые основные примеры доступов.

1. Доступ субъекта S к объекту О на чтение (r) данных в объекте О.

При этом доступе данные считываются в объекте О и используются в качестве параметра в субъекте S.

2. Доступ субъекта S к объекту О на запись (w) данных в объекте О.

При этом доступе некоторые данные процесса S записываются в объект О. Здесь возможно стирание предыдущей информации.

3. Доступ субъекта S к объекту О на активизацию процесса, записанного в О как данные (ехе). При этом доступе формируется некоторый домен для преобразования, описанного в О, и передается управление соответствующей программе.

Существует множество других доступов, некоторые из них будут определены далее. Множество возможных доступов в системе будем обозначать R.

Будем обозначать множество объектов в системе обработки данных через О, а множество субъектов в этой системе S. Ясно, что каждый субъект является объектом относительно некоторого языка (который может в активной фазе сам менять свое состояние). Поэтому S  O. Иногда, чтобы не было различных обозначений, связанных с одним преобразованием, описание преобразования, хранящееся в памяти, тоже называют субъектом, но не активизированным. Тогда активизация такого субъекта означает пару (домен, процесс).

В различных ситуациях мы будем уточнять описание вычислительной системы. Однако мы всегда будем подразумевать нечто общее во всех системах. Это общее состоит в том, что состояние системы характеризуется некоторым множеством объектов, которое будем предполагать конечным.

В любой момент времени на множестве субъектов введем бинарное отношение a активизации. S₁aS₂, если субъект S₁, обладая управлением и ресурсами, может передать S₂ часть ресурсов и управление (активизация). Тогда в графах, которые определяются введенным бинарным отношением на множестве объектов, для которых определено понятие активизации, возможны вершины, в которые никогда не входит ни одной дуги. Таких субъектов будем называть пользователями. Субъекты, в которые никогда не входят дуги и из которых никогда не выходят дуги, исключаются.

В рассмотрении вопросов защиты информации мы примем аксиому, которая положена в основу американского стандарта по защите ("Оранжевая книга") и будет обсуждаться далее. Здесь мы сформулируем ее в следующей форме.

17. Язык, объекты, субъекты. Аксиома

Аксиома. Все вопросы безопасности информации описываются доступами субъектов к объектам.

Если включить в рассмотрение гипотетически такие процессы как пожар, наводнение, физическое уничтожение и изъятие, то эта аксиома охватывает практически все известные способы нарушения безопасности в самых различных вариантах понимания безопасности. Тогда для дальнейшего рассмотрения вопросов безопасности и защиты информации достаточно рассматривать множество объектов и последовательности доступов.

Пусть время дискретно, О_t - множество объектов момент t, S_t - множество субъектов в момент t. На множестве объектов О_t как на вершинах определим ориентированный граф доступов G_t следующим образом: дуга с меткой pR принадлежит G_t тогда и только тогда, когда в момент t субъект S имеет множество доступов р к объекту О.

Согласно аксиоме, с точки зрения защиты информации, в процессе функционирования системы нас интересует только множество графов доступов {G_t}_t=1^T. Обозначим через ={G} множество возможных графов доступов. Тогда  можно рассматривать как фазовое пространство системы, а траектория в фазовом пространстве  соответствует функционированию вычислительной системы. В этих терминах удобно представлять себе задачу защиты информации в следующем общем виде. В фазовом пространстве  определены возможные траектории Ф, в  выделено некоторое подмножество N неблагоприятных траекторий или участков таких траекторий, которых мы хотели бы избежать. Задача защиты информации состоит в том, чтобы любая реальная траектория вычислительного процесса в фазовом пространстве  не попала во множество N. Как правило, в любой конкретной вычислительной системе можно наделить реальным смыслом компоненты модели , и N. Например, неблагоприятными могут быть траектории, проходящие через данное множество состояний ‘.

Чем может управлять служба защиты информации, чтобы траектории вычислительного процесса не вышли в N? Практически такое управление возможно только ограничением на доступ в каждый момент времени. Разумеется, эти ограничения могут зависеть от всей предыстории процесса. Однако, в любом случае, службе защиты доступно только локальное воздействие. Основная сложность защиты информации состоит в том, что имея возможность использовать набор локальных ограничений на доступ в каждый момент времени, мы должны решить глобальную проблему недопущения выхода любой возможной траектории в неблагоприятное множество N. При этом траектории множества N не обязательно определяются ограничениями на доступы конкретных субъектов к конкретным объектам. Возможно, что если в различные моменты вычислительного процесса субъект S получил доступ к объектам О₁ и О₂, то запрещенный доступ к объекту О₃ реально произошел, так как из знания содержания объектов О₁ и O₂ можно вывести запрещенную информацию, содержащуюся в объекте O₃.

Пример 4. Пусть в системе имеются два пользователя U₁, и U₂, один процесс S чтения на экран файла и набор файлов O₁...O_m. В каждый момент работает один пользователь, потом система выключается и другой пользователь включает ее заново. Возможны следующие графы доступов

R r

Uj------->S-------------Oi , i=l ,..., m, j=l , 2. (1)

Множество таких графов - . Траектории - последовательности графов вида (1). Неблагоприятными считаются траектории, содержащие для некоторого i= 1...m состояния

R r

U₁------------>S------->Oi

R r

U₂------------>S------->Oi

То есть неблагоприятная ситуация, когда оба пользователя могут прочитать один объект. Ясно, что механизм защиты должен строить ограничения на очередной доступ, исходя из множества объектов, с которыми уже ознакомился другой пользователь. В этом случае, очевидно, можно доказать, что обеспечивается безопасность информации в указанном смысле.

Пример 5. В системе, описанной в примере 4, пусть неблагоприятной является любая траектория, содержащая граф вида

R r

U₁------------>S------->O₁

В этом случае очевидно доказывается, что система будет защищена ограничением доступа на чтение пользователя U₁ к объекту О₁

18. Иерархические модели и модель взаимодействия открытых систем . МОДЕЛЬ OSI/ISO.

1. Одним из распространенных примеров иерархической структуры языков для описания сложных систем является разработанная организацией международных стандартов (ISO) Эталонная модель взаимодействия открытых систем (OSI), которая принята ISO в 1983 г.

ISO создана, чтобы решить две задачи:

• своевременно и правильно передать данные через сеть связи (т.е. пользователями должны быть оговорены виды сигналов, правила приема и перезапуска, маршруты и т.д.);

• доставить данные пользователю в приемлемой для него распознаваемой форме.

2. Модель состоит из семи уровней. Выбор числа уровней и их функций определяется инженерными соображениями. Сначала опишем модель.

Физическая среда

Верхние уровни решают задачу представления данных пользователю в такой форме, которую он может распознать и использовать. Нижние уровни служат для организации передачи данных. Иерархия состоит в следующем. Всю информацию в процессе передачи сообщений от одного пользователя к другому можно разбить на уровни; каждый уровень является выражением некоторого языка, который описывает информацию своего уровня. В терминах языка данного уровня выражается преобразование информации и "услуги", которые на этом уровне предоставляются следующему уровню. При этом сам язык опирается на основные элементы, которые являются "услугами" языка более низкого уровня. В модели OSI язык каждого уровня вместе с порядком его использования называется протоколом этого уровня.

Каково предназначение каждого уровня, что из себя представляет язык каждого уровня?

19. МОДЕЛЬ OSI/ISO.Прикладной уровень (пУ).

Прикладной уровень (ПУ). ПУ имеет отношение к семантике обмениваемой информации (т.е. смыслу). Язык ПУ обеспечивает взаимопонимание двух прикладных процессов в разных точках, способствующих осуществлению желанной обработки информации. Язык ПУ описывает два вида ситуаций:

• общие элементы для всех прикладных процессов, взаимодействующих на прикладном уровне;

• специфические, нестандартизируемые элементы приложений.

Язык ПУ состоит и постоянно расширяется за счет функциональных подъязыков. Например, разработаны протоколы (языки ПУ):

• виртуальный терминал (предоставление доступа к терминалу процесса пользователя в удаленной системе);

• файл (дистанционный доступ, управление и передачу информации, накопленной в форме файла);

• протоколы передачи заданий и манипуляции (распределенная обработка информации);

• менеджерские протоколы;

• одним из важных протоколов прикладного уровня является "электронная почта" (протокол Х.400), т.е. транспортировка сообщений между независимыми системами с различными технологиями передачи и доставки сообщений.

20. МОДЕЛЬ OSI/ISO.Уровень представления (УП).

Уровень представления (УП). УП - решает те проблемы взаимодействия прикладных процессов, которые связаны с разнообразием представлений этих процессов. УП предоставляет услуги для двух пользователей, желающих связаться на прикладном уровне, обеспечивая обмен информацией относительно синтаксиса данных, передаваемых между ними. Это можно сделать либо в форме имен, если обеим связывающимся системам известен синтаксис, который будет использоваться, либо в форме описания синтаксиса, который будет использоваться, если он не известен. Когда синтаксис передаваемой информации отличается от синтаксиса, используемого принимающей системой, то УП должен обеспечить соответствующее преобразование.

Кроме того, УП обеспечивает открытие и закрытие связи, управление состояниями УП и контролем ошибок.

21. МОДЕЛЬ OSI/ISO. Уровень сеанса (УС)

1. Одним из распространенных примеров иерархической структуры языков для описания сложных систем является разработанная организацией международных стандартов (ISO) Эталонная модель взаимодействия открытых систем (OSI), которая принята ISO в 1983 г.

ISO создана, чтобы решить две задачи:

• своевременно и правильно передать данные через сеть связи (т.е. пользователями должны быть оговорены виды сигналов, правила приема и перезапуска, маршруты и т.д.);

• доставить данные пользователю в приемлемой для него распознаваемой форме.

2. Модель состоит из семи уровней. Выбор числа уровней и их функций определяется инженерными соображениями. Сначала опишем модель.

Физическая среда

Верхние уровни решают задачу представления данных пользователю в такой форме, которую он может распознать и использовать. Нижние уровни служат для организации передачи данных. Иерархия состоит в следующем. Всю информацию в процессе передачи сообщений от одного пользователя к другому можно разбить на уровни; каждый уровень является выражением некоторого языка, который описывает информацию своего уровня. В терминах языка данного уровня выражается преобразование информации и "услуги", которые на этом уровне предоставляются следующему уровню. При этом сам язык опирается на основные элементы, которые являются "услугами" языка более низкого уровня. В модели OSI язык каждого уровня вместе с порядком его использования называется протоколом этого уровня.

Уровень сеанса (УС). УС обеспечивает управление диалогом между обслуживаемыми процессами на уровне представления. Сеансовое соединение сначала должно быть установлено, а параметры соединения оговорены путем обмена управляющей информацией. УС предоставляет услугу синхронизации для преодоления любых обнаруженных ошибок. Это делается следующим образом: метки синхронизации вставляются в поток данных пользователями услуги сеанса. Если обнаружена ошибка, сеансовое соединение должно быть возвращено в определенное состояние, пользователи услуги должны вернуться в установленную точку диалогового потока информации, сбросить часть переданных данных и затем восстановить передачу, начиная с этой точки.

22. МОДЕЛЬ OSI/ISO. Транспортный уровень (ТУ).

Транспортный уровень (ТУ). ТУ представляет сеансовому уровню услугу в виде надежного и прозрачного механизма передачи данных (вне зависимости от вида реальной сети) между вершинами сети.

23. МОДЕЛЬ OSI/ISO. Сетевой уровень

Сетевой уровень (СУ). СУ представляет ТУ услуги связи. СУ определяет маршрут в сети. Организует сетевой обмен (протокол IP). Управляет потоками в сети.

24. МОДЕЛЬ OSI/ISO. Канальный уровень.

Канальный уровень. Представляет СУ услуги канала. Эта услуга состоит в безошибочности последовательной передачи блоков данных по каналу в сети. На этом уровне реализуется синхронизация, порядок блоков, обнаружение и исправление ошибок, линейное шифрование.

25. МОДЕЛЬ OSI/ISO.Физический уровень.

Физический уровень. Физический уровень обеспечивает то, что символы, поступающие в физическую среду передачи на одном конце, достигали другого конца.

26. Информационный поток. Основные понятия.

Структуры информационных потоков являются основой анализа каналов утечки и обеспечения секретности информации. Эти структуры опираются на теорию информации и математическую теорию связи. Рассмотрим простейшие потоки.

1. Пусть субъект S осуществляет доступ на чтение (r) к объекту О. В этом случае говорят об информационном потоке от О к S. Здесь объект О является источником, а S - получателем информации.

2. Пусть субъект S осуществляет доступ на запись (w) к объекту О. В этом случае говорят об информационном потоке от S к О. Здесь объект О является получателем, а S - источником информации.

Из простейших потоков можно построить сложные. Например, информационный поток от субъекта S2 к субъекту S1 по следующей схеме:

r w

S₁ ---------- O ---------- S₂ (1)

Субъект S₂ записывает данные в объект О, а затем S₁ считывает их. Здесь S₂ - источник, а S₁ - получатель информации. Можно говорить о передаче информации, позволяющей реализовать поток. Каналы типа (1), которые используют общие ресурсы памяти, называются каналами по памяти.

С точки зрения защиты информации, каналы и информационные потоки бывают законными или незаконными. Незаконные информационные потоки создают утечку информации и, тем самым, могут нарушать секретность данных.

Рассматривая каналы передачи информационных потоков, можно привлечь теорию информации для вычисления количества информации в потоке и пропускной способности канала. Если незаконный канал нельзя полностью перекрыть, то доля количества информации в объекте, утекающая по этому каналу, служит мерой опасности этого канала. В оценках качества защиты информации американцы используют пороговое значение для допустимой пропускной способности незаконных каналов.

С помощью теоретико-информационных понятий информационные потоки определяются следующим образом.

Будем считать, что всю информацию о вычислительной системе можно описать конечным множеством объектов (каждый объект - это конечное множество слов в некотором языке Я). В каждом объекте выделено состояние, а совокупность состояний объектов назовем состоянием системы. Функция системы - это последовательное преобразование информации в системе под действием команд. В результате, из состояния s мы под действием команды  перейдем в состояние s', обозначается: s|-- s'(). Если  последовательность команд, то композиция преобразований информации обозначается также, т.е. s|---s'() означает переход из состояния s в s' под действием последовательности команд  (автоматная модель вычислительной системы).

В общем виде для объектов X в s и Y в s' определим информационный поток, позволяющий по наблюдению Y узнать содержание X.

Предположим, что состояние X и состояние Y - случайные величины с совместным распределением Р(х, у)=Р(Х=х, Y=y), где под {Х=х} понимается событие, что состояние объекта X равно значению х (аналогично в других случаях). Тогда можно определить: P(x), Р(у/х), Р(х/у), энтропию Н(Х), условную энтропию H(X/Y) и среднюю взаимную информацию

I(Х, Y) = Н(X) - H(X/Y).

Определение. Выполнение команды  в состоянии s, переводящей состояние s в s', вызывает информационный поток от X к Y (обозначение Х-->Y ),если I(Х, Y)>0. Величина I(Х, Y) называется величиной потока информации от X к Y.

Определение. Для объектов X и Y существует информационный поток величины С (бит), если существуют состояния s и s' и последовательность команд  такие, что s|-- s'(), X-->Y.

Оценка максимального информационного потока определяется пропускной способностью канала связиХ---> Y и равна по величине

C(, X, Y)=max I(X, Y).

P(x)

27. Информационные потоки в вычислительных системах

Рассмотрим дальнейшие примеры информационных потоков в вычислительных системах.

1. Рассмотрим операцию присвоения значения переменных

Y:=X.

Пусть X - целочисленная случайная величина со значениями [0,15] и Р(x) - равновероятная мера на значениях X. Тогда Н(Х)=4 бит. После выполнения операции присвоения по полученной в состоянии s‘ величине Y однозначно восстанавливается X, следовательно H(X/Y)=0 I(X, Y)=4C(, X, Y)=4, т.к. рассмотренный канал - симметричный.

2. Y:=X

Z:=Y.

Выполнение этих команд вызывает непрямой (косвенный) поток информации Х-->Z, такой же величины как прямой поток Х-->Y.

3. Z:=X + Y.

Предполагаем, что X, Y [0,15] и равновероятны. Тогда Н(Х)=4, H(Y)=4.

0 < H(X/Z) = Р(х, z) logP(x/z)< 4,

(xz)

следовательно, 0 < I(Х, Z) < 4 бит.

4. Пусть X₁, X₂,..., Х_n - независимые одинаково распределенные равновероятные случайные величины со значениями 0 и 1.

n

Z=Xi , Н(Х₁) = 1,

i=1

n-1 n

H(X1/Z)=-Р(Х1=0,Z=k)logP(X=0/Z=k)- Р(Х1=1, Z=k) logP(X=l /Z=k)

k=o k=1

Если n->, то H(X₁/Z) = Н(Х₁)(1 + O(1)), откуда следует, что I(X₁/Z)=O(l).

Отсюда возникает возможность прятать конфиденциальные данные в статистические данные.

5. Z:=XY, X и Y - равновероятные булевы случайные величины, - сложение по mod 2, тогда Z не несет информации о X или Y.

6. If X=l then Y=l. Х{0,1}, где величина X принимает свои значения с вероятностями Р(Х=0)=Р(Х==1)=1/2, начальное значение Y=0, Н(Х)=1.

H(X/Y)=  Р(х, у) logP(x/y)=0.

(x,y)

Следовательно, I(Х, Y) = 1. Поток называется неявным, в отличие от явного при операции присвоения.

7. If(Х=1) и (Y=l) then Z:=l.

H(X)=H(Y)=l, Z=l => X=l=Y

X=0 c P=2/3 }

Z = 0 => } апостериорные вероятности

X=1 c P=1/3 }

Отсюда H_z(X)O,7. Поэтому количество информации о X в Z равно

I(Z, Х)  0,3.

Если X₁, Х₂,...,Х_n - исходные (ценные) переменные системы (программы), а Y=(Y₁,...,Y_m) - выходные, то I(X_i,Y) - количество информации о Х_i, в потоке, который индуцируется системой. Тогда отношение I(X_i,Y)/Н(Х₁) - показатель "утечки" информации о X₁. Если установить порог > О для "утечки", то из условия при каждом i=l.....n,

I(X_i,Y)/Н(Х_i)<,

следуют требования к защите Y.

28. Ценность информации. Аддитивная модель.

Чтобы защитить информацию, надо затратить силы и средства, а для этого надо знать какие потери мы могли бы понести. Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери. Для решения этих задач в информацию вводятся вспомогательные структуры - ценность информации.

Аддитивная модель. Пусть информация представлена в виде конечного множества элементов и необходимо оценить суммарную стоимость в денежных единицах из оценок компонент. Оценка строится на основе экспертных оценок компонент, и, если денежные оценки объективны, то сумма дает искомую величину. Однако, количественная оценка компонент невсегда объективна даже при квалифицированной экспертизе. Это связано с неоднородностью компонентв целом. Поэтому делают единую иерархическую относительную шкалу (линейный порядок, который позволяет сравнивать отдельные компоненты по ценности относительно друг друга). Единая шкала означает равенство цены всех компонент, имеющих одну и туже порядковую оценку.

29. Ценность информации. Анализ риска.

Анализ риска. Пусть в рамках аддитивной модели проведен учет стоимости информации в системе. Оценка возможных потерь строится на основе полученных стоимостей компонент, исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий, а потери подсчитываются как сумма математических ожиданий потерь для компонент по распределению возможных угроз.

30. Ценность информации. Порядковая шкала ценностей.

Порядковая шкала ценностей. Далеко не всегда возможно и нужно давать денежную оценку информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. Однако подход, связанный со сравнением ценности отдельных информационных элементов между собой, по-прежнему имеет смысл.

31. Ценность информации. Модель решетки ценностей

Модель решетки ценностей. Обобщением порядковой шкалы является модель решетки. Пусть дано SC - конечное частично упорядоченное множество относительно бинарного отношения <, т.е. для каждых А, В, С выполняется

1) рефлексивность: А<А,

2) транзитивность: А<В, В<С==>А<С,

3) антисимметричность: А<В, В<А => А=В.

Определение. Для А, BSC элемент C=ABSC называется наименьшей верхней границей (верхней гранью), если

1) А<С, В<С;

2) A<D, B<DC<D для всех DSC.

Элемент AB, вообще говоря, может не существовать. Если наименьшая верхняя граница существует, то из антисимметричности следует единственность.

Упражнение. Доказать это.

Определение. Для А, BC элемент E=ABSC называется наибольшей нижней границей (нижней гранью), если

1) Е<А, Е<В;

2) D<A, D<BD<E.

Эта граница также может не существовать. Если она существует, то из антисимметричности следует единственность.

Определение. (SC, <) называется решеткой, если для любых А, BSC существует ABSC и ABSC.

Лемма. Для любого набора S={А₁,...,А_n } элементов из решетки SC существуют единственные элементы,:

S=A₁...A_n - наименьшая верхняя граница S;

S=A₁...A_n - наибольшая нижняя граница S.

Доказательство. Докажем ассоциативность операции .

C₁=(A₁A₂) A3=A1(A₂A₃)=C₂.

По определению C₁>A₃, C₁>A₁A₂. Отсюда следует С₁>Аз, С₁>A₂, С₁>А₁. Тогда C₁>A₂A₃, С₁>А₁, следовательно, С₁>С₂. Аналогично С₂>С₁. Из антисимметричности С₁=С₂.

Отсюда следует существование и единственность S. Такими же рассуждениями доказываем, что существует S и она единственна. Лемма доказана.

Для всех элементов SC в конечных решетках существует верхний элемент High = SC, аналогично существует нижний элемент Low = SC.

32. Ценность информации. Решетка подмножеств Х.

Для A, ВХ. Определим А<ВАВ. Все условия частичного порядка 1), 2), 3) выполняются. Кроме того, AB - это АВ, АВ=АВ. Следовательно, это решетка.

Пример 4. Х={1, 2, 3}.

(1 2 3)

1 2 2 3 1 3

1 2 3



Пусть программа имеет Х={Х₁,...,Х_m} - входные,Y₁...Y_n - выходные элементы. Каждый выходной элемент зависит от некоторых входных элементов. Отношение вход-выход описывается решеткой рассматриваемого типа. Решетка подмножеств строится по подмножествам X следующим образом. Для каждой Х_iX_i={Х_i}. Для каждой Y_jY_j={X_i|X_jY_j}.

Пример 5. X₁, Х₂, X₃, Y₁, Y₂. Y₁ зависит только от X₁,Х₂; Y₂ зависит от X₁ и Х₃.

Y₁={X₁,X₂} Y₂={X₁,X₃}

H

Y₁ Y₂

X₁

X₂ X₃

L

33. Ценность информации. MLS решетка

Название происходит от аббревиатуры Multilevel Security и лежит в основе государственных стандартов оценки информации. Решетка строится какпрямое произведение линейной решетки L и решетки SC подмножеств множества X, т.е. (,), (’,’) -элементы произведения, ,’L - линейная решетка, ,’SC - решетка подмножеств некоторого множества X. Тогда

,)(’,’’,’

Верхняя и нижняя границы определяются следующим образом:

max{,’}),

min{,’}).

Вся информация {объекты системы} отображается в точки решетки {(а,)}. Линейный порядок, как правило, указывает гриф секретности. Точки множества X обычно называются категориями.

Свойства решетки в оценке информации существенно используются при классификации новых объектов, полученных в результате вычислений. Пусть дана решетка ценностей SC, множество текущих объектов О, отображение С: 0S, программа использует информацию объектов 0₁,..,0_n , которые классифицированы точками решетки С(0₁),...,С(0_n). В результате работы программы появился объект О, который необходимо классифицировать. Это можно сделать, положив С(0)= C(0₁)...C(0_n). Такой подход к классификации наиболее распространен в государственных структурах. Например, если в сборник включаются две статьи с грифом секретно и совершенно секретно соответственно, и по тематикам: первая - кадры, вторая - криптография, то сборник приобретает гриф совершенно секретно, а его тематика определяется совокупностью тематик статей (кадры, криптография).

34. Угрозы информации

Если информация представляет ценность, то необходимо понять, в каком смысле эту ценность необходимо оберегать. Если ценность информации теряется при ее раскрытии, то говорят, что имеется опасность нарушения секретности информации. Если ценность информации теряется при изменении или уничтожении информации, то говорят, что имеется опасность для целостности информации. Если ценность информации в ее оперативном использовании, то говорят ,что имеется опасность нарушения доступности информации. Если ценность информации теряется при сбоях в системе, то говорят, что есть опасность потери устойчивости к ошибкам. Как правило, рассматривают три опасности, которые надо предотвратить путем защиты: секретность, целостность, доступность. Хотя, как показывают примеры действий в боевых условиях, развитие сложных систем Hewlett-Packard, Tandem, практически добавляется четвертое направление: устойчивость к ошибкам.

Под угрозами подразумеваются пути реализации воздействий, которые считаются опасными.

Связь между видом опасности и возможной угрозой состоит в месте, времени и типе атаки, реализующей угрозу. Анализ опасности должен показать, где и когда появляется ценная информация, в каком месте системы эта информация может потерять ценность. Угроза характеризует способ нападения в. определенном месте и в определенный момент. Угроза реализуется через атаку в определенном месте и в определенное время.

35. Угрозы секретности. Утрата контроля над системой защиты; каналы утечки информации

В руководстве по использованию стандарта защиты информации существует только два пути нарушения секретности:

• утрата контроля над системой защиты;

• каналы утечки информации.

Если система обеспечения защиты перестает адекватно функционировать, то, естественно, траектории вычислительного процесса могут пройти через состояние, когда осуществляется запрещенный доступ. Утрата управления системой защиты может быть реализована оперативными мерами и здесь играют существенную роль административные и кадровые методы защиты. Утрата контроля за защитой может возникнуть в критической ситуации, которая может быть создана стихийно или искусственно. Поэтому одной из главных опасностей для системы защиты является отсутствие устойчивости к ошибкам.

Утрата контроля может возникнуть за счет взламывания защиты самой системы защиты. Противопоставить этому можно только создание защищенного домена для системы защиты.

Большой спектр возможностей дают каналы утечки. Основной класс каналов утечки в ЭСОД - каналы по памяти (т.е. каналы, которые образуются за счет использования доступа к общим объектам системы). Графически канал по памяти можно изобразить следующим образом:

U₂

Пользователь U₁ активизирует процесс, который может получить доступ на чтение к общему с пользователем U₂ ресурсу О, при этом U₂ может писать в О, а U₁ может читать от S. Приведем примеры таких каналов.

36. Угрозы целостности

Нарушения целостности информации - это незаконные уничтожение или модификация информации.

Традиционно защита целостности относится к категории организационных мер. Основным источником угроз целостности являются пожары и стихийные бедствия. К уничтожению и модификации могут привести также случайные и преднамеренные критические ситуации в системе, вирусы, "троянские кони" и т.д.

Язык описания угроз целостности в целом аналогичен языку угроз секретности. Однако в данном случаев место каналов утечки удобнее говорить о каналах воздействия на целостность (или о каналах разрушающего воздействия). По сути они аналогичны каналам утечки, если заменить доступ (r) доступом (w).

Основой защиты целостности является своевременное регулярное копирование ценной информации.

Другой класс механизмов защиты целостности основан на идее помехозащищенного кодирования информации (введение избыточности в информацию) и составляет основу контроля целостности. Он основан на аутентификации, т.е. подтверждении подлинности, целостности информации. Подтверждение подлинности охраняет целостность интерфейса, а использование кодов аутентификации позволяют контролировать целостность файлов и сообщений. Введение избыточности в языки и формальное задание спецификации позволяет контролировать целостность программ.

Наконец, к механизмам контроля и защиты целостности информации следует отнести создание системной избыточности. В военной практике такие меры называются: повышение "живучести" системы. Использование таких механизмов позволяет также решать задачи устойчивости к ошибкам и задачи защиты от нарушений доступности.

37. Политика безопасности. Определение политики безопасности

Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации .

Смысл политики безопасности - это набор правил управления доступом. Заметим отличие ПБ от употребляемого понятия несанкционированный доступ (НСД). Первое отличие состоит в том, что политика определяет как разрешенные, так и неразрешенные доступы. Второе отличие - ПБ по своему определению конструктивна, может быть основой определения некоторого автомата или аппарата для своей реализации.

ПБ определяется неоднозначно и, естественно, всегда связана с практической реализацией системы и механизмов защиты.

Выбор ПБ определяется фазовым пространством, допустимыми природой вычислительных процессов, траекториями в нем и заданием неблагоприятного множества N. Корректность ПБ в данных конкретных условиях должна быть, вообще говоря, доказана.

Построение политики безопасности обычно соответствует следующим шагам:

1 шаг. В информацию вносится структура ценностей и проводится анализ риска.

2 шаг. Определяются правила для любого процесса пользования данным видом доступа к элементам информации, имеющим данную оценку ценностей.

Однако реализация этих шагов является сложной задачей. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики. Таким образом, даже хорошая система защиты может быть "прозрачной" для злоумышленника при плохой ПБ.

38. Дискреционная политика.

Заглавие параграфа является дословным переводом Discretionary policy, еще одним вариантом перевода является следующий - разграничительная политика. Рассматриваемая политика - одна из самых распространенных в мире, в системах по умолчанию имеется ввиду именно эта политика.

Пусть О - множество объектов, S - множество субъектов, SO. Пусть U={U₁,...,U_m} - множество пользователей. Определим отображение: own: 0U.

В соответствии с этим отображением каждый объект объявляется собственностью соответствующего пользователя. Пользователь, являющийся собственником объекта, имеет все права доступа к нему, а иногда и право передавать часть или все права другим пользователям. Кроме того, собственник объекта определяет права доступа других субъектов к этому объекту, то есть политику безопасности в отношении этого объекта. Указанные права доступа записываются в виде матрицы доступа, элементы которой - суть подмножества множества R, определяющие доступы субъекта S, к объекту 0_i(i = 1, 2,...,; j = 1, 2,... ).

Существует несколько вариантов задания матрицы доступа.

1. Листы возможностей: Для каждого субъекта S_i создается лист (файл) всех объектов, к которому имеет доступ данный объект.

2. Листы контроля доступа: для каждого объекта создается список всех субъектов, имеющих право доступа к этому объекту.

Дискреционная политика связана с исходной моделью таким образом, что траектории процессов в вычислительной системе ограничиваются в каждом доступе. Причем вершины каждого графа разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий N для рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые в свою очередь определяются запретами на некоторые дуги. Однако многих проблем защиты эта политика решить не может. Одна из самых существенных слабостей этого класса политик - то, что они не выдерживают атак при помощи "Троянского коня". Это означает, в частности, что система защиты, реализующая дискреционную политику, плохо защищает от проникновения вирусов в систему и других средств скрытого разрушающего воздействия.

Следующая проблема дискреционной политики - это автоматическое определение прав. Так как объектов много, то задать заранее вручную перечень прав каждого субъекта на доступ к объекту невозможно.

Одна из важнейших проблем при использовании дискреционной политики - это проблема контроля распространения прав доступа. Чаще всего бывает, что владелец файла передает содержание файла другому пользователю и тот, тем самым, приобретает права собственника на информацию. Таким образом, права могут распространяться, и даже, если исходный владелец не хотел передавать доступ некоторому субъекту S к своей информации в О, то после нескольких шагов передача прав может состояться независимо от его воли. Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ.

39. Политика MLS.

Многоуровневая политика безопасности (политика MLS) принята всеми развитыми государствами мира. В повседневном секретном делопроизводстве госсектор России также придерживается этой политики.

Решетка ценностей SC является основой политики MLS. Другой основой этой политики является понятие информационного потока. Для произвольных объектов X и Y пусть имеется информационный поток Х->_Y, где X -источник, Y - получатель информации. Отображение: O->SC считается заданным. Если c(Y)>c(X), то Y -более ценный объект, чем X.

Определение. Политика MLS считает информационный поток Х->Y разрешенным тогда и только тогда, когда c(Y)>c(X) в решетке SС.

Таким образом, политика MLS имеет дело с множеством информационных потоков в системе и делит их на разрешенные и неразрешенные очень простым условием. Однако эта простота касается информационных потоков, которых в системе огромное количество. Поэтому приведенное выше определение неконструктивно. Хотелось бы иметь конструктивное определение на языке доступов. Рассмотрим класс систем с двумя видами доступов r и w (хотя могут быть и другие доступы, но они либо не определяют информационных потоков, либо выражаются через w и r). Пусть процесс S в ходе решения своей задачи последовательно обращается к объектам О₁,О₂,...,О_n (некоторые из них могут возникнуть в ходе решения задачи). Пусть

(1)

Тогда следует, что при выполнении условий c(S)>c(Oi_t), t=l,....k, соответствующие потоки информации будут идти в разрешенном политикой MLS направлении, а при c(S)<c(Oj_t ), t=l,.., п-k, потоки, определяемые доступом w, будут идти в разрешенном направлении. Таким образом, в результате выполнения задачи процессом S, информационные потоки, с ним связанные, удовлетворяют политике MLS. Такого качественного анализа оказывается достаточно, чтобы классифицировать почти все процессы и принять решение о соблюдении или нет политики MLS. Если где-то политика MLS нарушается, то соответствующий доступ не разрешается. Причем разрешенность цепочки (1) вовсе не означает, что субъект S не может создать объект О такой, что c(S)>c(0). Однако он не может писать туда информацию. При передаче управления поток информации от процесса S или к нему прерывается (хотя в него другие процессы могут записывать или считывать информацию как в объект). При этом, если правила направления потока при r и w выполняются, то MLS соблюдается, если нет, то соответствующий процесс не получает доступ. Таким образом, мы приходим к управлению потоками через контроль доступов. В результате для определенного класса систем получим конструктивное описание политики MLS.

Определение. В системе с двумя доступами r и w политика MLS определяется следующими правилами доступа

Структура решетки очень помогает организации поддержки политики MLS. В самом деле, пусть имеется последовательная цепочка информационных потоков

Если каждый из потоков разрешен, то свойства решетки позволяют утверждать, что разрешен сквозной поток . Действительно, если информационный поток на каждом шаге разрешен, то , тогда по свойству транзитивности решетки , то есть сквозной поток разрешен.

MLS политика в современных системах защиты реализуется через мандатный контроль (или, также говорят, через мандатную политику). Мандатный контроль реализуется подсистемой защиты на самом низком аппаратно-программном уровне, что позволяет эффективно строить защищенную среду для механизма мандатного контроля. Устройство мандатного контроля, удовлетворяющее некоторым дополнительным, кроме перечисленных, требованиям, называется монитором обращений. Мандатный контроль еще называют обязательным, так как его проходит каждое обращение субъекта к объекту, если субъект и объект находятся под защитой системы безопасности. Организуется мандатный контроль следующим образом. Каждый объект О имеет метку с информацией о классе c(O). Каждый субъект также имеет метку, содержащую информацию о том, какой класс доступа c(S) он имеет. Мандатный контроль сравнивает метки и удовлетворяет запрос субъекта S к объекту О на чтение, если c(S)>c(0) и удовлетворяет запрос на запись, если c(S)<c(0). Тогда согласно изложенному выше мандатный контроль реализует политику MLS.

40. Классификация систем защиты. Доказательный подход к системам защиты

Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я₁, формулы которого определяются через услуги U₁,..., U_k.

Пример 1. Все субъекты S системы разбиты на два множества S₁ и S₂, S₁S₂=S, S₁S₂=. Все объекты, к которым может быть осуществлен доступ, разделены на два класса О₁ и О₂ O₁O₂= О, O₁O₂=. Политика безопасности Р -тривиальная: субъект S может иметь доступ R к объекту О тогда и только тогда, когда SS_i, О_i, i = 1, 2. Для каждого обращения субъекта S на доступ к объекту О система защиты вычисляет функции принадлежности

для субъекта и объекта: I_s( S₁), I_s( S₂), I₀( O₁), I₀( O₂). Затем вычисляется логическое выражение:

(I_s( S₁) I₀( O₁)) (I_s( S₂) I₀( O₂)).

Если полученное значение - 1 (истинно), то доступ разрешен. Если - 0 (ложно), то – не разрешен. Ясно, что язык Я₁, на котором мы выразили политику безопасности Р, опирается на услуги:

• вычисление функций принадлежности I_x(А);

• вычисление логического выражения;

• вычисление оператора "если x=l, то S ->0, если x=0, то S -+>О".

Для поддержки услуг языку Я₁, требуется свой язык Я₂, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я₂ необходимо реализовать опираясь на язык Я₃ более низкого уровня и т.д.

Пусть услуги, описанные на языке Я₂ мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U₁,...,U_k. Если модель Р - формальная, то есть язык Я₁, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения уверенности в поддержке политики со стороны более простых функций.

Одновременно, изложенный подход представляет метод анализа систем защиты, позволяющий выявлять слабости в проектируемых или уже существующих системах. При этом иерархия языков может быть неоднозначной, главное - удобство представления и анализа.

41. Классификация систем защиты. Системы гарантированной защиты.

Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я1, формулы которого определяются через услуги U1,..., Uk.

Для поддержки услуг языку Я1, требуется свой язык Я2, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я2 необходимо реализовать опираясь на язык Я3 более низкого уровня и т.д.

Пусть услуги, описанные на языке Я2 мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U1,...,Uk. Если модель Р - формальная, то есть язык Я1, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения.

42. Классификация систем защиты. Пример гарантированно защищенной системы обработки информации.

Система гарантированно защищена, если выполняются следующие условия:

1. Идентификация и аутентификация

2. Разрешительная подсистема

3. Отсутствие обходных путей политики безопасности

Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации.

Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый.

Аутентификация - это подтверждение того, что предъявленное имя соответствует объекту.

Условия 1 и 2 поддерживают:

* обеспечение работы только одного пользователя (охрана);

* отключение питания при смене пользователей;

* стойкость шифратора К и сохранность в тайне ключей каждого пользователя;

* недопустимость физического проникновения в аппаратную часть или подслушивание (охрана).

Что касается условия 3, то невозможность получить доступ минуя разрешительную систему определяется разнесенностью работы пользователей, отсутствием подслушивания, необходимостью расшифровывать информацию для получения доступа к ней.

43. Классификация систем защиты.

Классификация систем защиты изложена в Оранжевой Книге, принятой стандартом в 1985 г. Министерством обороны США.

Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

Класс (D): Минимальная защита

Данный уровень предназначен для систем, признанных неудовлетворительными - «заваливших экзамен».

Уровень C. Иначе - произвольное управление доступом.

Класс (C1): Защита, основанная на разграничении доступа (DAC)

Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:

1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

2. пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа;

3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий;

4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);

6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

Класс (С2): Защита, основанная на управляемом контроле доступом

(в дополнение к C1):

1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа.

2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования.

3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.

4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой.

5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Уровень B. Также именуется - принудительное управление доступом.

Класс B1 Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

(в дополнение к C2):

1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.

2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.

3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.

4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию.

5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

Класс (B2): Структурированная защита

(в дополнение к B1):

1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам.

2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации.

3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью.

4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули.

5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала.

6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения.

7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс.

8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации.

9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс (ВЗ): Домены безопасности

(в дополнение к B2):

1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов.

2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.

3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой.

4. процедура анализа должна быть выполнена для временных тайных каналов.

5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий.

6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.

7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Уровень A. Носит название - верифицируемая безопасность.

Класс (A1): Верифицированный проект

(в дополнение к B3):

1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.

2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.

3. механизм конфигурационного управления должен распространяться на весь жизненный цикл(Life Cycle) и все компоненты системы, имеющие отношение к обеспечению безопасности.

4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами..

44. Два типа оценки: без учета среды, в которой работает техника, в конкретной среде (эта процедура называется аттестованием).

Аттестование -  процедура оценки качеств среды, определение соответствия некоторым эталонным характеристикам.

45. Политика.Требование 1. Требование 2 – маркировка.

Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации.

Требование 1 - Политика обеспечения безопасности - Необходимо иметь явную и хорошо определенную политику обеспечения безопасности

Требование 2 - Маркировка - Метки, управляющие доступом, должны быть установлены и связаны с объектами.

46. Подотчетность. Требование 3 – идентификация. Требование 4 - подотчетность

Аудит или отслеживание, подотчетность - это регистрация событий, позволяющая восстановить и доказать факт происшествия этих событий.

Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый.

Требование 3 - Идентификация - Субъекты индивидуально должны быть идентифицированы

Требование 4 - Подотчетность - Аудиторская информация должна селективно храниться и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.

47. Гарантии. Требование 5 – гарантии. Требование 6 - постоянная защита

Требование 5 - Гарантии - Вычислительная система в своем составе обязана иметь аппаратно-программные механизмы, допускающие независимую оценку для получения достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требований с первого по четвертое

Требование 6 - Постоянная защита - Гарантированно защищенные механизмы, реализующие указанные базовые требования, должны быть постоянно защищены от "взламывания" и/или несанкционированного внесения изменений.

48. Итоговая информация по классам критериев оценки; идентификация и аутентификация гарантии на правильную работу системы

Классы систем представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

Класс (D): Минимальная защита. Этот класс зарезервирован для тех систем, которые были подвергнуты оцениванию, но в которых не удалось достигнуть выполнения требований более высоких классов оценок.

Класс (C1): Защита, основанная на разграничении доступа (DAC).

Гарантированно защищающая вычислительная база (ТСВ) систем класса (С1) обеспечивает разделение пользователей и данных. Она включает средства управления, способные реализовать ограничения по доступу, чтобы защитить проект или частную информацию и не дать другим пользователям случайно считывать или разрушать их данные.

ТСВ должна требовать от пользователей, чтобы те идентифицировали себя перед тем, как начинать выполнять какие-либо действия, в которых ТСВ предполагается быть посредником. Более того, ТСВ обязательно должна использовать один из механизмов защиты (например, пароли) для того, чтобы проверять подлинность идентификации пользователей (аутентификация). ТСВ должна защищать аутентификационные данные таким образом, чтобы доступ к ним со стороны пользователя, не имеющего на это полномочий, был невозможен.

49. Архитектура системы; целостность системы гарантии на жизненный цикл тестирование функции безопасности. Документация. Выбор класса защиты.

ТСВ должна содержать домен, который должен обеспечивать ее собственную работу и защищать ее от внешнего воздействия или от внесения в нее несанкционированных изменений (например, от модификаций ее кодов или структур данных). Ресурсы, контролируемые ТСВ, могут составлять подмножество объектов ЭСОД.

Должны быть предусмотрены аппаратные и/или программные средства, предназначенные для периодической проверки на правильность и корректность функционирования аппаратных и микропрограммных элементов ТСВ.

Механизм защиты должен соответствовать тем нормам, которые отражены в документации.

1. Руководство пользователя по использованию средств обеспечения безопасности.

2. Руководство администратору системы на гарантированные средства защиты.

3.Документация по теста

4.Дкументация по проекту

Класс (С2): Защита, основанная на управляемом контроле доступом.

Класс(BI): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ.

Класс (B2): Структурированная защита.

Класс (ВЗ): Домены безопасности.

Класс (AI): Верифицированный проект.

Выбор требуемого класса безопасности систем определяется следующими основными факторами, характеризующими условия работы системы.

1. Безопасность режима функционирования системы. Американцы различают 5 таких режимов:

2. Основой для выбора класса защиты является индекс риска. Он определяет минимальный требуемый класс.

50. Математические методы анализа политики безопасности. Модель "take-grant"

Будем считать, что множество доступов R={r, w, c} , где r - читать, w - писать, с - вызывать. Допускается,что субъект X может иметь права R на доступ к объекту Y, эти права записываются в матрице контроля доступов. Кроме этих прав мы введем еще два: право take (t) и право grant (g), которые также записываются в матрицу контроля доступов субъекта к объектам. Можно считать, что эти права определяют возможности преобразования одних графов состояний в другие. Преобразование состояний, то есть преобразование графов доступов, проводятся при помощи команд. Существует 4 вида команд, по которым один граф доступа преобразуется в другой.

1. Take. Пусть S - субъект, обладающий правом t к объекту X и R некоторое право доступа объекта X к объекту Y. Тогда возможна команда "S take  forY from X". В результате выполнения этой команды в множество прав доступа субъекта S к объекту Y добавляется право . Графически это означает, что, если в исходном графе доступов G был подграф

то в новом состоянии G', построенном по этой команде t, будет подграф

2. Grant. Пусть субъект S обладает правом g к объекту X и правом R к объекту Y. Тогда возможна команда "S grant  for Y to X". В результате выполнения этой команды граф доступов G преобразуется в новый граф G', который отличается от G добавленной дугой (Х Y). Графически это означает, что если в исходном графе G был подграф

то в новом состоянии G' будет подграф

3. Create. Пусть S - субъект, R. Команда "S create P for new object X" создает в графе новую вершину X и определяет Р как права доступов S к X. То есть по сравнению с графом G в новом состоянии G' добавляется подграф вида

4. Remove. Пусть S - субъект и X - объект, R. Команда "S remove Р for X" исключает права доступа Р из прав субъекта S к объекту X. Графически преобразования графа доступа G в новое состояние G' в результате этой команды можно изобразить следующим образом:

в G в G’

51.  МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом Дискреционное (произвольное, матричное, разграничительное)

Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа.

Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам :

• физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.);

•  временной – субъекты получают доступ к объекту в различные промежутки времени;

• логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа;

• криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта.

  На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности).

Дискреционное УД (Discretionary Access Control – DAC) – разграничение доступа между поименованными субъектами и поименованными объектами. Оно основанное на задании владельцем объекта или другим полномочным лицом прав доступа других субъектов (пользователей) к этому объекту.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей – субъектов (множество S – пользователи, процессы и т. д.), которые осуществляют доступ к информации, пассивных сущностей – объектов (множество О – файлы, каталоги, процессы и т. д.), содержащих защищаемую информацию, и конечного множества прав доступа R = {r₁, ..., r_n}, означающих полномочия на выполнение соответствующих действий (например, чтение (Read – R), запись (Write – W), выполнение (Execute – E), удаление (Delete – D), владение (Ownership – O) и т. д.).

52. МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом. Мандатное (принудительное) УД

Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа.

Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам :

• физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.);

•  временной – субъекты получают доступ к объекту в различные промежутки времени;

• логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа;

• криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта.

  На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности).

Мандатное УД (Mandatory Access Control – MAC) – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Оно основано на сопоставлении атрибутов безопасности субъекта (уровня допуска пользователя) и объекта (грифа секретности информации).

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением данной ПБ, взятым из реальной жизни, является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки, получившей название уровень безопасности (метка безопасности). Метка субъекта описывает его благонадежность, а метка объекта – степень закрытости содержащейся в нем информации. Уровни секретности, поддерживаемые системой, образуют множество, упорядоченное с помощью отношения доминирования. Такое множество может выглядеть следующим образом: сов. секретно, секретно, конфиденциально, несекретно и т. д.

53. МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом. Ролевое УД

Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа.

Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам :

• физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.);

•  временной – субъекты получают доступ к объекту в различные промежутки времени;

• логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа;

• криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта.

  На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности).

Ролевое УД (Role-Based Access Control – RAC) – универсальная надстройка (каркас), применяемая с дискреционным и мандатным УД и предназначенная для упрощения функций администрирования систем с большим количеством субъектов и объектов.

Суть ролевого УД состоит в том, что между пользователями и их правами доступа к объектам появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права доступа к объекту и, наоборот, несколько пользователей может выступать в одной роли по отношению к одному объекту. Между ролями могут быть установлены связи, аналогичные отношению наследования в ООП. Таким образом может быть построена иерархия ролей, используя которую можно существенно сократить количество контролируемых (администрируемых) связей.

54. Модель политики безопасности адепт – 50

Модель АДЕПТ относится к одной из первых дискреционных моделей политики безопасности МБО.

 В модели рассматриваются:

• множество объектов компьютерной системы O=[o_j], j = 1,…n

• множество субъектов компьютерной системы S=[s_j], i=1,…m

• множество прав доступа субъектов к объектам  R=[r_g], k = 1, …k

• множество, содержащее перечень предметных областей, к которым относятся выполняемые в компьютерной системе процессы E=[e_l],  l = 1,…q.

• множество, содержащее категории безопасности субъектов и объектов D=[d_x],  x = 1,…v.

Субъекты в компьютерной системе характеризуются:

• предметной областью, к которой они принадлежат

• правами, которыми они наделяются

• категорией безопасности, которая им назначается.

 Объекты компьютерной системы характеризуются:

• предметной областью, к которой они принадлежат

• категорией безопасности, которая им назначается.

Критерий безопасности

Субъект наследует категорию безопасности объекта, с которым он связан (ассоциирован).

Описание политики безопасности

Если в компьютерной системе инициализируется поток Stream (s_j, o_j) → o_i, то

1)    субъект s_j  должен принадлежать множеству S: s_{j  S;}

2)  объект o_i  должен принадлежать множеству O: o_{i  O;}

3)    субъект s_j получает право  доступа r_sj к объекту o_i, если право доступа субъекта s_j (r_sj )принадлежит множеству его прав доступа к объекту o_i

r_{sj  Roi;}

4)    предметная область субъекта sj принадлежит предметной области объекта oi

e_sj  e_oi;

5) категория безопасности субъекта sj  больше или равна категории безопасности объекта o_i

 d_oi    d_sj.

55. Управление доступом. Дискреционная модель харрисона-руззо-ульмана

Формальная модель Xappисона- Руззо-Ульмана – это классическая дискреционная модель, которая реализует произвольное управление доступом субъектов к объектам и осуществляет контроль за распределением прав доступа.

В модели рассматриваются:

• конечное множество объектов компьютерной системы O=[o_j], 1,…n;

• конечное множество субъектов компьютерной системы S=[s_j], 1,…m.

Считается, что все субъекты системы одновременно являются и ее объектами.

Конечное множество прав доступа R=[r_g], 1, …k.

Матрица прав доступа, содержащая права доступа субъектов к объектам A=[a_ij], i=1, …m, j=1,…n+m, причем элемент матрицы a_ij рассматривается как подмножество множества R.

Каждый элемент матрицы a_ij содержит права доступа субъекта s_i к объекту o_j.

Конечное множество команд С=[ c_z (аргументы)], z=1, l, аргументами команд служат идентификаторы объектов и субъектов.

Каждая команда включает условия выполнения команды и элементарные операции, которые могут быть выполнены над субъектами и объектами компьютерной системы и имеют следующую структуру:

Command c_z (аргументы)

Условия выполнения команды

Элементарные операции

End.

Поведение системы моделируется с помощью понятия состояние. Состояние системы определяется:

• конечным множеством субъектов (S);

• конечным множеством объектов (O), считается, что все субъекты системы одновременно являются и ее объектами (S O);

• матрицей прав доступа (A).

Если система находится в состоянии Q, то выполнение элементарной операции переводит ее в некоторое другое состояние Q' ,которое отличается от предыдущего состояния хотя бы одним компонентом.

56. Управление доступом. Типизированная матрица доступа

Дискреционная модель Type Access Matrix (TAM) – типизированная матрица доступа – является развитием модели Xappисона- Руззо-Ульмана. Модель ТАМ дополняет модель Xappисона- Руззо-Ульмана концепцией типов, что позволяет смягчить те условия, для которых возможно доказательство безопасности системы.

В модели ТАМ рассматриваются:

• конечное множество объектов компьютерной системы O = [o_j], 1,…n;

• конечное множество субъектов компьютерной системы S = [s_i], 1, …m.

Считается, что все субъекты системы одновременно являются и ее объектами.

• конечное множество прав доступа R = [rg], 1, …k.

Матрица прав доступа, содержащая права доступа субъектов к объектам A = [a_ij], i = 1, …m, j = 1,…n+m, причем элемент матрицы a_ij рассматривается как подмножество множества R.

Каждый элемент матрицы a_ij содержит права доступа субъекта s_i к объекту o_j.

Множество типов, которые могут быть поставлены в соответствие объектам и субъектам системы T = [ t_b ], b = 1,…w.

Конечное множество команд С=[ c_z (аргументы с указанием типов )], z=1,...I, включающих условия выполнения команд и их интерпретацию в терминах элементарных операций. Элементарные операции ТАМ отличаются от элементарных операций дискреционной модели Xappисона- Руззо-Ульмана использованием типизированных аргументов.

Структура команды

Command c_z (аргументы и их типы)

Условия выполнения команды

Элементарные операции

End .

57. Управление доступом. Мандатная модель Белла-Лападулы

Модель Белла-Лападулы была предложена в 1975 году. Возможность ее использования в качестве формальной модели отмечена в критерии TCSES ("Оранжевая книга").  

Мандатная модель Белла – Лападулы основана на правилах секретного документооборота, которые приняты в государственных и правительственных учреждениях большинства стран. Согласно этим правилам всем участникам процесса обработки критичной информации и документам, в которых она содержится, присваивается специальная метка, которая называется уровнем безопасности.

Мандатное управление доступом подразумевает, что:

• задан линейно упорядоченный набор меток секретности (например, секретно, совершенно секретно и т. д.);

• каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации, т. е. его уровень секретности в КС;

• каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в КС или, иначе, его уровень доступа.

В формальной модели Белла – Лападулы рассматриваются:

• конечное множество объектов компьютерной системы O=[o_j], 1,…n;

• конечное множество субъектов компьютерной системы S=[s_i], 1, …m, считается, что все субъекты системы одновременно являются и ее объектами (S  O).;

• права доступа read и write.

58.Управление доступом. Безопасная функция перехода. Теорема безопасности Мак – Лина.

 Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.

Однако система может быть безопасной по определению Белла-Лападулы, но не иметь безопасной функции перехода.

Такая формулировка основной теоремы безопасности предоставляет в распоряжение разработчиков защищенных систем базовый принцип их построения, в соответствии с которым для обеспечения безопасности системы, как в любом состоянии, так и в процессе перехода между ними, необходимо реализовать для нее такую функцию перехода, которая соответствует указанным условиям.

 Выводы: классическая модель Белла-Лападулы построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа.

59.  Управление доступом. Ролевая политика безопасности. Иерархическая организация ролей

Ролевая политика безопасности представляет собой существенно усовершенствованную модель Харрисона–Руззо–Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандатным моделям.

В ролевой политике безопасности классическое понятие субъекта заменяется понятиями пользователь и роль. 

Пользователь – это человек, работающий с системой и выполняющий определенные служебные обязанности, а с понятием роли связывается набор полномочий, необходимых для выполнения этих служебных обязанностей.

При использовании ролевой политики безопасности управление доступом осуществляется в две стадии:

• каждому пользователю назначается список доступных эму ролей;

• для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам.

Причем полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей роли набором полномочий.

В модели ролевой политики безопасности используются следующие множества:

U – множество пользователей;

R – множество ролей;

Р – множество полномочий на доступ к объектам компьютерной системы, представленное, например, в виде матрицы доступа;

S – множество сеансов работы пользователей с системой.

Иерархическая организация ролей представляет собой наиболее распространенный тип ролевой модели, поскольку она очень точно отражает установившиеся реальном мире отношения подчиненности между участниками процесса обработки информации и разделение между ними сфер ответственности

При иерархической организации ролей роли упорядочиваются по уровню предоставляемых полномочий. Чем выше роль пользователя в иерархии, тем больше с ней связано полномочий, поскольку считается, что если пользователю присвоена некоторая роль, то ему автоматически назначаются и все подчиненные ей по иерархии роли. Иерархия ролей допускает множественное наследование

60. Модель политики безопасности распределенной компьютерной системы

Распределенная компьютерная система состоит из двух сегментов:

• локального, который включает в себя один компьютер или сегмент локальной вычислительной сети;

• внешнего, который представляет собой компьютеры либо сегменты локальной вычислительной сети, не включенные в локальный сегмент.

Удаленным субъектом называется субъект, принадлежащий множеству субъектов внешнего сегмента компьютерной сети.

Удаленным объектом  называется объект, принадлежащий множеству объектов внешнего сегмента компьютерной сети.

В распределенной компьютерной системе существует четыре вида потоков:

• потоки между локальными субъектами и локальными объектами;

• потоки между локальными субъектами и удалёнными субъектами;

• потоки между удаленными субъектами и локальными объектами;

• потоки между удаленными субъектами и удаленными объектами.

Примечание: Поток между субъектом и объектом означает поток между ассоциированным объектом субъекта и объектом.

61.  Метод межсетевого экранирования

Недостатки классической модели политики безопасности с полным проецированием прав пользователя на всё множество субъектов привели к появлению методов защиты, связанных с "экранированием" локального сегмента компьютерной системы от внешнего сегмента компьютерной системы.

Суть экранирования состоит в том, что поток между удаленным субъектом s_уд и телекоммуникационным субъектом s_ком осуществляется через дополнительный объект o_f, ассоциированный с субъектом-анализатором s_f.

В этой системе существуют следующие потоки:

Stream(s_уд, о_уд)  o_f

Stream(s_f, о_f)  o_ком

Stream(s_ком, о_ком)  o_лок

и потоки обратного направления

Stream(s_ком, о_лок)  o_ком

Stream(s_ком, о_ком)  o_f

Stream(s_f, о_f)  o_уд.

В этой модели субъект s_f рассматривается как некоторый фильтр, который может определить факт доступа субъекта s_уд к объекту о_лок, или зафиксировать поток между о_уд и о_ком. Допускается, что поток может рассматриваться на различном уровне относительно объекта о_лок.

Рассмотрим случай передачи объекта o_j удаленному субъекту s_уд. При использовании режима пакетной передачи данных объект o_j разбивается на подобъекты: o_{j =} o_j^t1, o_j^t2,… o_j^ti,… o_j^tk (осуществляется декомпозиция объект на последовательность подобъектов)

Тогда телекоммуникационный субъект s_ком должен инициализировать поток:

Stream(s_ком, o_j^ti₎  o_f^ti,

где t_i  T = t_1, t_2,…, t_i,… t_k , t_i – промежуток времени.

При чем объекты o_j^ti и o_j^ti должны быть тождественными, а за период времени Т через субъект s_ком должен пройти весь объект o_j.

При пакетной передаче данных объект o_j^ti представляется в виде:

o_j^ti = o_j^ti(адр) || o_j^ti(инф),

где o_j^ti(адр) – называется адресной частью подобъекта o_j^ti ; o_j^ti(инф) – информационной частью подобъекта o_j^ti

Тогда объект o_j можно представить в вид:

o_j = (o_j^t1(адр), o_j^t2(адр),…, o_j^ti(адр),…, o_j^t1(инф), o_j^t2(инф),…, o_j^ti,…)

(как последовательность слов, определяющих адресные и информационные составляющие подобъектов).

Очевидно, что только последовательность подобъектов

o_j^t1(инф), t_{i  T}

представляет объект o_j, а дополнительные подобъекты

o_j^ti(адр), t_{i  T}

необходимы для передачи информационной части подобъекта по соответствующему адресу.

63. Математические методы анализа политики безопасности. Модели J.Goguen, J.Meseguer (G-M).

Модели G-M - автоматные модели безопасных систем. Начнем с простейшего случая системы с "фиксированной" защитой. Пусть V - множество состояний системы (V - конечное и определяется программами, данными, сообщениями и пр.), С - множество команд, которые могут вызвать изменения состояния (также конечное множество), S - множество пользователей (конечное множество). Смена состояний определяется функцией:

do:V  S  СV.

Некоторые действия пользователей могут не разрешаться системой. Вся информация о том, что разрешено ("возможности" пользователей) пользователям сведена в с-таблицу t. В рассматриваемом случае "возможности" в с-таблице t совпадают с матрицей доступа. Если пользователь не может осуществить некоторую команду с, то

do (v, S, c) = v.

Предположим, что для каждого пользователя S и состояния v определено, что "выдается" этому пользователю (т.е., что он видит) на выходе системы. Выход определяется функцией

out: V SOut,

где Out - множество всех возможных выходов (экранов, листингов и т.д.).

Мы говорим о выходе для пользователя S, игнорируя возможности S подсмотреть другие выходы.

Таким образом получили определение некоторого класса автоматов, которые будут встречаться далее.

Определение. Автомат М состоит из множеств:

S - называемых пользователями;

V - называемых состояниями;

С - называемых командами;

Out - называемых выходами;

и функций:

• выходной функции out: V S  Out, которая "говорит, что данный пользователь видит, когда автомат находится в данном состоянии ";

• функции переходов do: VSСV, которая "говорит, как изменяется состояние автомата под действием команд";

и начального состояния v₀.

Системы с изменяющимися "возможностями" защиты определяют следующими образами.

Пусть Capt - множество всех таблиц "возможностей", СС - множество с-команд (команд управления "возможностями"). Их эффект описывается функцией:

cdo: Capt S  CCCapt.

При отсутствии у пользователя S права на с-команду положим cdo(t, S, c)=t. Пусть VC - множество команд, изменяющих состояние. Теперь можем определить С-автомат, который лежит в основе дальнейшего.

Определение. С-автомат М определяется множествами:

S - "пользователи";

V - "состояния";

VC - "команды состояния";

Out - "выходы";

Capt - "с-таблицы";

СС - "с-команды",

и функциями:

• выхода out: VCaptSOut, которая "говорит, что данный пользователь видит, когда автомат находится в данном состоянии v, а допуски определяются с-таблицей";

• переходов do: VCaptSVCV, которая "говорит, как меняются состояния под действием команд";

• изменения с-таблиц cdo: CaptSССCapt, которая "говорит, как меняется с - таблица под действием с", и начального состояния, которое определяется с-таблицей t и состоянием v.

Будем считать

C=CCVC.

То, что мы определили на языке теории автоматов, называется последовательным соединением автоматов .

Определение. Подмножества множества команд С называются возможностями

Ab=2^c.

Если дан С-автомат М, мы можем построить функцию переходов всей системы в множестве состояний VCapt:

cvdo: V CaptSСVCapt,

где

cvdo(v, t, S, с) = (do(v, t, S, с), t), если cVC,

cvdo(v, t, S, с) = (v, cdo(t, S, c)), если cCC.

Стандартно доопределяется функция cvdo на конечных последовательностях входов

cvdo: VCapt(SС)*VCapt

следующим образом:

cvdo(v, t, Nil) = (v, t),

если входная последовательность пустая;

cvdo(v, t, W(S, c))=cvdo(cvdo(v, t, W), S, c)),

где W(S, С) - входное слово, кончающееся на (S,С) и начинающееся подсловом W.

Определение. Если W входное слово, то[[W]] = (..., (v_i t_i),...), где последовательность состоянии вычисляется в соответствии с определенной выше функцией переходов под воздействием входной последовательности W.

Введем понятие информационного влияния одной группы на другую, смысл которого состоит в том, что используя некоторые возможности одна группа пользователей не влияет на то, что видит каждый пользователь другой группы. Для этого определим [[W]]_s - выход для S при выполнении входного слова W С -автомата М:

[[W]]_s=out([[W]], S),

где

out([[W]]_s, S) = (... out(v, t, S)...),

[[W]] = (..., (v_i, t_i),...).

Пусть GS, AC, W(SC)*.

Определение. Pg(W) - подпоследовательность W, получающаяся выбрасыванием всех пар (S, с) при SG, P_a(W) - подпоследовательность W, получающаяся выбрасыванием из W всех пар (S, с) при cA, P_GA(W) -подпоследовательность W, получающаяся выбрасыванием пар (S, с), SG и сА.

62. Математические методы анализа политики безопасности. Модель Low-water-mark (Lwm)

Данная модель является конкретизацией модели Б-Л, а также дает пример того, что происходит, когда изменения уровня секретности объекта возможны. Политика безопасности прежняя: все объекты системы классифицированы по узлам решетки ценностей (MLS) и поток информации разрешен только "снизу вверх".

В рассматриваемой системе один объект (неактивный), три операции с объектом, включающие запросы на доступ:

• read,

• write,

• reset.

Эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности. Напомним формальное требование политики о том, что информация может двигаться только "снизу вверх". Поток информации возможен тогда и только тогда, когда реализуется доступ субъекта к объекту вида w или r. При помощи r поток считается разрешенным, если f_s(S)>f_o(0).

При команде w поток считается разрешенным, если субъект S не может прочитать информацию в объекте уровня f_s(S)<f₀(0) и записать в объект, для которого f_s(S)>f₀(O), причем хотя бы в одном из этих соотношений неравенство строгое (напомним, что по условию текущие уровни субъектов fc(S)=f_s(S) для любого S). Из этих свойств следует, что в системе должны выполняться условия ss и *. Условие ds автоматически выполняется, так как нет ограничений на доступ, кроме перечисленных.

Таким образом, условия ss в данной системе выглядят стандартно: если X=w или r, то могут быть разрешены доступы (S, 0, X) при выполнении f_s(S)>f₀(0).

Условие *:

если X=w, то f_s(S)=f₀(0),

если X=r, то f_s(S)>f_o(0).

64. Математические методы анализа политики безопасности. Модель выявления нарушения безопасности.

Один из путей реализации сложной политики безопасности, в которой решения о доступах принимаются с учетом предыстории функционирования системы, - анализ данных аудита. Если такой анализ возможно проводить в реальном масштабе времени, то аудиторская информация (АИ) совместно с системой принятия решений превращаются в мощное средство поддержки политики безопасности. Такой подход представляется перспективным с точки зрения использования вычислительных средств общего назначения, которые не могут гарантировано поддерживать основные защитные механизмы. Но, даже не в реальном масштабе времени, АИ и экспертная система, позволяющая вести анализ АИ, являются важным механизмом выявления нарушений или попыток нарушения политики безопасности, так как реализуют механизм ответственности пользователей за свои действия в системе.

По сути анализ АИ имеет единственную цель выявлять нарушения безопасности (даже в случаях, которые не учитываются политикой безопасности). Далее мы изложим пример организации такого анализа, который известен из литературы под названием "Модель выявления нарушения безопасности". Эта модель, опубликованная D.Denning в 1987 г., явилась базисом создания экспертной системы IDES для решения задач выявления нарушений безопасности. Модель включает 6 основных компонент:

• субъекты, которые инициируют деятельность в системе, обычно - это пользователи;

• объекты, которые составляют ресурсы системы - файлы, команды, аппаратная часть;

• АИ - записи, порожденные действиями или нарушениями доступов субъектов к объектам;

• профили - это структуры, которые характеризуют поведение субъектов в отношении объектов в терминах статистических и поведенческих моделей;

• аномальные данные, которые характеризуют выявленные случаи ненормального поведения;

• правила функционирования экспертной системы при обработке информации, управление.

Основная идея модели - определить нормальное поведение системы с тем, чтобы на его фоне выявлять ненормальные факты и тенденции.

АИ - это совокупность записей, каждая из которых в модели представляет 6-мерный вектор, компоненты которого несут следующую информацию:

<субъект; действие; объект; условия для предоставления исключения; лист использования ресурсов; время>,

Так как АИ связана с субъектами и объектами, то данные АИ подобны по организации матрице доступа, где указаны права доступа каждого субъекта к любому объекту. В матрице АИ в клетках описана активность субъекта по отношению к объекту.