1.3.3. Функции, процедуры и средства защиты ВС Определив понятия объектов и ресурсов, установим множество операций и функций, которые могут быть выполнены над нами. Первая группа операций - это операции инициализации объектов при входе в ВС. К ним относятся: идентификация, подтверждение подлинности и установление сферы действия объекта. После этого объекту разрешается выполнение других операций с включением других объектов: обмен сообщениями, использование услуг электронной почты, проведение телеконференций и т.п. При реализации этих операций и функций выявляются различные аспекты проблем защиты и обеспечения целостности данных. Функции и средства защиты, относящиеся к активным элементам ВС, целесообразно определить как функции и средства защиты объектов /MUFT86/. Вторая группа операций - это операции передачи данных и управляющих сообщений по линиям связи. Они также требуют защиты, поскольку линии связи - уязвлимый комплект ВС. Соответствующие функции и средства защиты целесообразно определить как функции и средства защиты каналов передачи данных (линий связи) /VOYD83/. Третья группа операций - это операции над данными. Они связаны с использованием данных, их содержанием, способом организации, обеспечением доступа к ним и их применением. При анализе проблем защиты эта группа операций выявляет уязвимость информации, которую генерируют объекты ВС, используя данные из различных сетевых БД, доступ к которым ограничен. Соответствующие функции и средства защиты обеспечивают контроль данных и их защиту, организацию хранения и использования информации, и их целесообразно определить как функции и средства защиты баз данных ВС /DENN79, DENN87/. Четвертая группа операций - это операции управления процессами, выполняемыми в ВС. Соответствующие средства защиты осуществляют координацию, синхронизацию,обеспечивают целостность и защиту процессов в ВС. Они могут быть объединены в подсистему управления ВС. Таким образом, все операции: требования к защите, функции, средства и механизмы защиты - могут быть отнесены к одной из следующих четырех групп: - защита объектов ВС; - защита линий связи; - защита баз данных; - защита подсистемы управления ВС. Такая структура операций, функций, процедур, средств и подсистем защиты была предложена первоначально в работе /MUFT83/, нашла признание и вошла в международный стандарт /ISO87/. ЗАЩИТА ОБЪЕКТОВ ВС С каждым объектом ВС связана некоторая информация, однозначно идентифицирующая его. Это могут быть число, строка символов, алгоритм, подтверждающие подлинность объекта. Определим такую информацию как идентификатор объекта. Процесс верификации этого идентификатора назовем идентификацией объекта. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется легальным объектом; остальные объекты относятся к нелегальным. Идентификация защищенного объекта - одна из функций подсистемы защиты, которая выполняется в первую очередь, когда объект делает попытку войти в сеть. Если процедура завершается успешно, объект является легальным для данной сети. Следующий шаг - верификация идентификатора объекта и устанавливает, что предполагаемый легальным объект действительно является таким, каким себя объявляет. После того как объект идентифицирован и верифицирован, должны быть установлены сфера его и доступные ресурсы ВС. Такая процедура называется предоставлением полномочий. Перечисленные три процедуры инициализации относятся к единственному объекту ВС, и поэтому их следует отнести к средствам защиты самого объекта. В контексте защиты каналов передачи данных (линий связи) подтверждение подлинности означает установление подлинности объектов, связывающихся между собой по линиям связи, реализуемым с помощью сетевых механизмов защиты. Таким образом, следующая совокупность функций защиты - подтверждение подлинности соединения абонентов по линиям связи /VOYD83/. Эти функции называются взаимоподтверждениемподлинности (peer-to-peer authentication) соудинений объектов/ISO85/. Термин соединение используется для того, чтобы определить логическую связь (потенциально сторонюю) между двумя взаимосвязанными объектами сети. Процедура подтверждения подлинности выполняется обычно в самом начале сеанса в процессе установления соединения. Цель - обеспечить высокую степень уверенности, что соединение установлено с равноправным объектом и вся информация , предназначенная для обмена, верифицирована и подтверждена. После того как соединение установлено, необходимы следующие четыре процедуры, чтобы обеспечить защиту об обмене сообщениями /ISO85/: а) получатель должен быть уверен в истиннности источника данных (подтверждение подлинности идентификатора и самого отправителя); б) получатель должен быть уверен в истинности передаваемых данных; в) отправитель должен быть уверен в истинности доставленных данных (расписка в получении). Некоторые авторы рассматривают только процедуры а) и б), в которых средствами защиты являются соответственно цифровая сигнатура и цифровая печать /АКL83, DAVI83/. Если реализованы лишь эти процедуры, то только получатель имеет уверенность, что защита при передаче была обеспечена. Для того чтобы гарантировать такую же степень уверенности для отправителя, должны быть выполнены процедуры в) и г), а отправитель должен также получить расписку в получении (уведомление о вручении в принятой почтовой терминологии). Такая процедура называется почтовым отправлением с уведомлением о вручении или удостоверяющей почтой (certified mail)/BLUM83/. Поэтому средством защиты такой процедуры является цифровая сигнатура подтверждающего ответного сообщения, которое, в свою очередь, является доказательством пересылки исходного сообщения. Для того чтобы обеспечить отправителя доказательством истинности переданного сообщения, ответное сообщение (подтверждение) должно включать некоторую модификацию цифровой (почтовой) печати исходного сообщения и таким образом подтверждать уведомление в получении исходного сообщения. Если все четыре процедуры реализованы в ВС, они гарантируют защищенность данных при передаче по линии связи и определяют функцию защиты, которую можно было бы назвать функцией подтверждения передачи (nonrepudiation service)/ISO85/. В этом случае отправитель не может отрицать ни факта посылки сообщения, ни его содержания, а получатель не может отрицать ни факта получения сообщения, ни истинности его содержания. Особое место в подтверждении подлинности передачи сообщения занимает проблема защиты отправлений по каналам электронной почты, когда отправитель посылает сообщение получателю, который не является активным в момент пересылками сообщений. Это означает, что: -взаимоподтверждение подлинности невозможно; -цифровые печать и сигнатура проверяются в более позднее время, когда получатель войдет в ВС; -верификация уведомления о вручении сообщения со стороны отправителя также откладывается. Поэтому процедура защиты электронной почты использует функцию, аналогичную функции подтверждения передачи, однако ее реализация требует специальных протоколов для надежного управления ключами, обеспечения целостности ресурсови верификации отсроченных процедур. Иные проблемы, связанные с подтверждением передачи сообщений, возникают при организации телеконференций связана с тем, что группа пользователей сети получает некоторый секретный ключ на период времени проведения телеконференции с целью обеспечить взаимодействие участников. Если эта процедура реализована с использованием некоторого ассиметричного криптографического метода, то требуется специальный протокол защиты, чтобы сгенерировать общий открытый криптографический ключ /INGE82,BOUD86/. Для всех перечисленных процедур, функций и средств защиты неявно предполагалось, что два взаимодействующих друг другу объекта взаимодействуют в недружественном сетевом окружении. Это означало бы, что источник угроз по отношению к соединению, находился вне этого соединения. Более сложно гарантировать защиту при передаче сообщений между недружественными объектами, когда никто никому не доверяет. В этом случае следует проследить, чтобы передаваемая объектами информация была равнозначной по своей важности. Используемая в этих целях процедура защиты в случае двух участников называется подписанием контракта (contrakt signing) /BLUM83/ и может быть распространена на случай многостороннего соединения нескольких объектов /BAUE83, DENN83/. Тогда такие функции защиты могут быть определены как подписание двустороннего или многостороннего контракта соответственно. Для недружественных объектов в литературе предложены некоторые другие процедуры защиты. Электронные устройства жеребьевки позволяют двум не доверяющим друг другу объектам провести жеребьевку в условиях ВС абсолютно случайно и беспристрастно, так что никто из участников не может повлиять на исход /BLUM81, EVEN85/. Такая процедура жеребьевки может быть использована, чтобы реализовать некоторые другие функции и протоколы в защищенном режиме(например, при игре в покер, распределенные вычисления, вычисления с зашифрованными данными, нераспознаваемые интерактивные протоколы и т.п.) /BRAS87/. Другой пример объединения недружественных объектов - n пользователей создают замкнутую группу, но хотят устанавливать связь, только еслии по крайней мере k из них активны однавременно. Такая защита называется (k,n)- пороговой схемой, и ее используют, чтобы установить категории (уровни) участвующих объектов /SHAM79/. Функции, процедуры и средства защиты объектов ВС даны в табл.1.1. Таблица 1.1. Функции, процедуры и средства защиты объектов ВС Защита объекта * Идентификация зашишенного объекта * Подтверждение подлинности * Предоставление полномочий Защита группы объектов * Взаимное подтверждение подлинности * Цифровая сигнатура * Цифровая печать * Уведомление о вручении * Средства подтверждения передачи * Защита отправлений по каналам электронной почты * Защита при проведении телеконференций Взаимодействие недружественных объектов * Подписание контракта * Жеребьевка * (k,n) -пороговые схемы защиты Защита линий связи ВС /VOYD83/ Линии связи - один из наиболее уязвимых компонентов ВС. В их составе можно указать большое число потенциально опасных мест, через которые злоумышленники могут проникнуть в ВС. Действия злоумышленников квалифицируются как пассивные и активные вторжения. В случае пассивного вторжения злоумышленник только наблюдает за сообщениями, передаваемыми по линиям связи, не нарушая их передачу. Такое вторжение называют наблюдением за сообщениями (release of messeg contents). Даже если непонятны сами данные, злоумышленник может наблюдать за управляющей информацией, которая сопровождает сообщения, и таким образом выявить размещение и идентификаторы объектов ВС. Наконец, он может проверить длину сообщений, время отправления, частоту сеансов связи. Последние два вида пассивных вторжений связывают либо с анализом трафика /PURS86/, либо с нарушением защиты сеансов связи. Специальной формой защиты каналов передачи является двухуровневая защита линий связи, при которой реализуютсяследующие уровни защиты: защита процесса передачи сообщения и шифрование текста самого сообщения. Тогда, даже если шифрованный текст будет выделен из передаваемого сообщения, для получения исходного текста потребуются дополнительные действия. Это позволяет двум объектам обмениваться секретными сообщениями, а злоумышленник, осуществляющий тайное наблюдение, остается одураченным, полагая, что он в состоянии читать передаваемые сообщения. Такой механизм называется чистым каналом /SIMM84/. Другое, более жестокое требование, используемое для защиты передаваемых сообщений, состоит в том, что истинные идентификаторы объектов сети (зарегистрированные и используемые в процессе верификации защищенных объектов) должны быть скрыты не только от пассивных вторжений со стороны незарегистрированных пользователей, но также и друг от друга. Такое средство защиты называется цифровым псевдонимом /CHAU81/. В этом случае пользователь получает разные идентификаторы для разных соединений, тем самым скрывая истинные идентификаторы не только от злоумышленников, но также и от равноправных партнеров. Соответствующие средства защиты ВС, необходимые для противодействия пассивным вторжениям в подсистемах связи состоят в следующем: - защита содержания сообщения; - предотвращение возможности анализа трафика; - чистый канал; - цифровой псевдоним. Злоумышленник может организовать активные вторжения, осуществляя различные манипуляции над сообщениями во время соединения. Сообщения могут быть неявно модифицированы, уничтожены, задержаны, скопированы, изменен порядок их следования, введены в сеть через линию связи в более позднее время. Могут быть также синтезированы ложные сообщения и введены в сеть через канал передачи данных. В то время как активные вторжения представляют собой комбинации способов, описанных в разд. 1.2, соответствующие механизмы защиты существенно зависят от способа вторжения. Поэтому целесообразно выделить следующие категории активных вторжений: - воздействие на поток сообщений: модификация, удаление, задержка, переупорядочение, дублирование регулярных и посылка ложных сообщений; - воспрепятствие передаче сообщений; - осуществление ложных соединений. Воздействие на поток сообщений включает угрозы процедурам подтверждения подлинности, целостности и порядку следования сообщений во время соединения. В контексте коммуникационных функций ВС подтверждение подлинности сообщения означает, что источник сообщения можно надежно определить, т.у. указать, что полученное сообщение передано данному объекту некоторым другим объектом в течение времени соединения. Целостность сообщения означает, что сообщение не модифицировалось в процессе передачи, а понятие "порядок следования" означает, что местоположение сообщения в потоке сообщений может быть проверено. Вторжение в процедуры установления подлинности может быть осуществленно путем модификации управляющей информации, сопровождающей сообщения, и таким образом сообщения будут отосланы в неправильном направлении или включать фиктивные сообщения (специально сформированные или сохраненные из предшествующих соединений). Нарушение целостности может быть вызвано модификацией части данных в сообщении, а нарушение порядка следования - удалением сообщений или изменением информации, управляющей передачей сообщения. Хотя защита от воздействия на поток сообщений поддерживается коммуникационными протоколами, в данном контексте защита направлена на то, чтобы пресечь умышленные вторжения, а не просто защищаться от случайных непреднамеренных ошибок элементов сети. Поэтому процедура защиты, обеспечивающая противодействие угрозам целостности, порядку следования и подлинностим отдельных сообщений, может быть определена как обеспечение целостности потока сообщений. Воспрепятствие передаче сообщения - вторая категория активных вторжений в подсистемах связи. Она объединяет вторжения, в которых злоумышленник либо удаляет все сообщения во время соединения, либо действует в более мягкой манере, задерживая все сообщения, идущие в одном или обоих направлениях. Такое вторжение может быть организовано нелегальным пользователем, который, генерируя интенсивный трафик фиктивных и подставных сообщений, не дает возможности регулярным сообщениям циркулировать по линиям связи. Трудноуловимое различие между атаками на поток сообщений и воспрепятствием их передаче зависит от интенсивности атак и состояния соединения. Например, механизмы защиты, обеспечивающие целостность потока сообщений, могут выявить некоторые вторжения, препятствующие передаче сообщений. Но если соединение пассивно, т.е. все сообщения разрешаются в любом направлении, то протокол функционирования объекта на одном из концов соединения может оказаться не в состоянии определить, когда следующее сообщение должно поступить от соответствующего объекта. В такой ситуации невозможно определить угрозу с целью воспрепятствовать передаче сообщения, которая полностью прерывала бы поток поступающих сообщений. Чтобы защититься от таких вторжений, необходимы другие механизмы защиты. Cоответствующая процедура защиты сети могла бы быть названа процедурой поддержки непрерывности процесса передачи. Она гарантирует взаимодействующим в ВС объектам невозможность нелегального удаления всех сообщений в процессе соединения без разрушения самого соединения. Осуществление ложных соединений - третья категория активных вторжений в линии связи. Она объединяет вторжения, в которых злоумышленник либо повторяет записи предшествующих законных соединений, либо делает попытки установить соединение под неправильным идентификатором. Чтобы предупредить такие вторжения, процедура инициализации соединения должна включать некоторые защищенные механизмы, которые верифицируют целостность соединения (т.е. определяют, что попытка соединения была выполнена в разрешенное время). Таблица 1.2. Функции, процедуры и средства защиты линий связи ВС Функции, процедуры и средства защиты от пассивных вторжений * Конфиденциальность содержания сообщения * Предотвращениевозможного анализа трафика * Чистый канал * Цифровые псевдонимы Функции, процедуры и средства защиты от активных вторжений * Поддержание целостности потока сообщений * Поддержание непрерывности процесса передачи * Поддержание подлинности соединения Чтобы устранить возможность входа в ВС с неправильным идентификатором, соединение должно поддерживать защищенную проверку протоколов объектов на каждом конце соединения (взаимоподтверждение). Хотя верификация идентификатора объекта - сложная проблема, которая может потребовать подтверждения подлинности и контроля защищенности вне ВС, часть проблемы идентификации должна быть решена в рамках ВС. Хотя эта категория вторжений аналогична атакам на поток сообщений, процедура инициализации соединения требует привлечения дополнительных механизмов защиты. Такая процедура защиты может быть названа подтверждением подлинности соединения. В табл. 1.2. представлены функции, процедуры и средства защиты линий связи. Защита баз данных ВС Защита БД означает защиту самих данных и их контролируемое использование на рабочих ЭВМ сети, а также защиту любой сопутствующей информации, которая может быть извлечена или сгенерирована из этих данных. Управление данными при организации защиты информационных баз /ISO87/, применяющие различные механизмы защиты и криптографические ключи в качестве данных, не входит в рассматриваемую группу средств защиты. такие процедуры неявно вошли в процедуры защиты объектов ВС. Защита данных в процессе передачи между узлами сети поддержана процедурами защиты линий связи. Когда рассматриваются процедуры защиты сетевых баз данных, то данные и их логические структуры представляются двумя различными способами. Отдельные объекты данных могут быть сами объектами защиты, но могут быть организованы в структуры БД (сегменты, отношения, каталоги и т.п.). Защита таких структур рассматривается в основном при анализе механизмов контроля доступа. Подобный подход известен как внешняя защита данных. Когда такие механизмы защиты относятся к защите отдельных объектов данных, содержащихся в сетевой БД, подход к защите данных определяется как внутренняя защита данных /DENN79/. Ниже дана оценка текущего состояния разработки функций, процедур и средств внутренней защиты данных, их возможностям и ограничениям. Функции, процедуры и средства защиты, которые обеспечивают защиту данных на рабочих ЭВМ, могут быть описаны следующим образом: 1. Защита содержания данных (data content protection) объединяет функции, процедуры и средства защиты, которые предупреждают несанкционированное раскрытие конфиденциальных данных и информации из БД /DENN79/. 2. Средства контроля доступа (acces control security service) разрешают доступ к данным только полномочных объектов в соответствии со строго определенными правилами и условиями /BUSS81/. 3. Управление потоком защищенных данных (security-consistent flow of data) при передаче из одного сегмента БД в другой обеспечивает перемещение данных вместе с механизмами защиты, присущими исходным данным /DENN79/. 4. Предотвращение возможности выявления (prevention of inference) конфиденциальных значений из данных, содержащихся в регулярных или схоластических БД /DENN79/, в результате выявления статистически достоверной информации. 5. Контроль согласованности (consistency control) при использовании БД предполагает процедуры защиты, которые обеспечивают защиту и целостность отдельных элементов данных, в частности их значений (зависимость от значений). Успешная реализация таких процедур в ВС означает, что данные в БД всегда логически связаны и значения критических данных передаются от узла к узлу только при наличии специальных полномочий /CONN72/. 6. Контексная защита (contect protection) данных, характерная для схем защиты динамических БД, также должна быть включена в состав процедур защиты БД. В этом случае защита отдельного элемента БД в каждый данный момент времени зависит от проведения всей системы защиты, а также предшествующих операций, выполненных над этим элементом (зависимость от предыстории) /HART76/. 7. Предотвращение создания несанкционированной информации (presentation of unauthorized information generation) предполагает наличие средств, которые предупреждают, что объект получает (генерирует) информацию, превышающую уровень прав доступа, и осуществляет это, используя логическую связь между данными в БД /MUFT77/. В таблице 1.3 приведен перечень функций, процедур и средств защиты сетевых БД. Таблица 1.3. Функции, процедуры и средства защиты БД в ВС Защита содержания данных Средства контроля доступа Управление потоком защищенных данных Предотвращение возможности выявления конфиденциальных значений Контроль согласованности данных (зависимость от значения) Контекстная защита данных (зависимость от предыстории) Предотвращение создания несанкционированной информации Защита подсистемы управления ВС Четвертая группа средств защиты - защита процессов, циркулирующих в ВС. Здесь используются два понятия - объект и среда. Объект - любой активный компонент ВС (как это определено выше), а среда - операционное окружение этого объекта в тот интервал времени, когда объект активен и представляет собой некоторое расширительное толкование понятия субъекта /GRAH72/. Некоторые функции управления процессами уже упоминались при описании функций, процедур и средств защиты объектов и баз данных ВС. Поскольку пользователи являются активными объектами ВС, то их идентификация и подтверждение подлинности ничем не отличается от соответствующих процедур для любых других компонентов сети. Аналогично когда обсуждаются средства защиты управления доступом к сегментам БД, то можно воспользоваться теми же процедурами для пресечения нелегального доступа к ресурсам сети. Среди большого числа различных процедур управления процессами следует выделить следующие шесть: - обеспечение защиты ресурсов сети от воздействия неразрешенных процессов и несанкционированных запросов от разрешенных процессов; - обеспечение целостности ресурсов при нарушении расписания и синхронизации процессов в сети, ошибочных операций; - обеспечение целостности ресурсов при нарушении расписания и синхронизации процессов в сети, ошибочных операций; - обеспечение защиты ресурсов сети от несанкционированного контроля, копирования или использования (защита программного обеспечения); - обеспечение защиты при взаимодействии недружественных программных систем (процессов); - реализация программных систем, не обладающих памятью; - защиты распределения вычислений. Первые три процедуры связаны с защитой и обеспечением целостности ресурсов ВС (включая процессы), в то время как последние три относятся к организации вычислительных процессов в сети и реализации сетевого окружения. Механизмы защиты ресурсов ВС должны контролировать доступ к объектам ВС, особенно информационным. Диапазон требований к этим механизмам защиты включает, с одной стороны, полную изоляцию выполняемой программы от других программ, а сдругой - разрешение их взаимодействия и совместного использования. Внутри этого диапозона можно выделить еще 4 подуровня, причем реализация каждого последующего более сложна по сравнению с преддущим /GRAH72/: - запрещение совместного использования ресурсов (полная изоляция процессов); - совместное использование копий ресурсов (программ и сегментов баз данных); - совместное использование самих ресурсов (программ и сегментов баз данных); - совместное использование программных систем или подсистем. Эти четыре подуровня обусловленны особенностями реализации вычислительных функций при условии обеспечения защиты и целостности сетевых ресурсов. Это означает, что процессы в ВС должны поддерживаться подсистемами, корректность функционирования которых проверена и гарантирована. Целостность ресурсов ВС может быть разрушена , хотя каждый из взаимодействующих процессов функционирует правильно. Несовместимость некоторого ресурса может проявиться из-за возможного нарушения расписания событий в сети, т.е. при нарушении последовательности выполняемых процессов. Вместо понятия правильного расписания можно воспользоваться другим понятием, которое позволяет дать полезные для практики способы управления процесами в сети, - понятием конфликтности /PAPA83/. Говорят, что два события конфликтуют, если либо оба связаны с выполнением операций записи для одного и того же объекта, либо над одним и тем же объектом делается попытка выполнить одновременно операции записи и чтения. Поэтому для полноты списка процедур обеспечения защиты при управлении процессами необходимо добавить условие соблюдения порядка следования сообщений, что гарантирует поддержку целостности ресурсов сети. Защита процессов как сетевых ресурсов имеет два аспекта: защита от нелегального просмотра (защита содержания) и защита от несанкционированного копирования и распространения. Наиболее подходящий механизм для защиты содержания сообщений - криптография, хотя для реализации защиты програмного обеспечения никаких практически значимых криптографических схем до сих пор не предложено. Но некоторые идеи и решения уже можно найти в литературе /HERZ86/. Защита от несанкционированного копирования и распространения может быть обеспечена механизмами защиты, используемыми для обеспечения контроля доступа. Другая процедура, связанная с защитой процессов в ВС, - взаимодействие недружественных подсистем. Эта защита должна обеспечивать процессы некоторыми сетевыми ресурсами с гарантией, что их активность санкционирована. Одна из хорошо известных угроз такой защите - так называемая атака троянского коня. Сетевой процесс рассматривается как некоторая машина с конечным числом состояний, память которой может быть источником нелегального доступа к несанкционированной информации, процессам или подсистемам. Такая память может быть представлена как память, аккумулирующая отдельные значения, некоторую информацию или последовательности состояний процесса. Для того чтобы предотвратить эти угрозы, реализация сетевых подсистем с забыванием должна быть одной из функций защиты ВС. Применение таких средств означает, что никакие процессы не могут порождать защищенную информацию ни путем сохранения данных и информации, ни путем выполнения каких-либо специальных последовательностей операций. В процедурах защиты распределенных вычислений, например, когда требуется вычисление значения некоторой функции f(x1, x2,....xn) n аргументов, эти аргументы должны удовлетворять следующим условиям: - не должны быть доступны ни порознь, ни в целом группой /YAO82/; - должны быть зашифрованы /FEIG86/. В табл. 1.4 представлены процедуры и средства защиты процессов в ВС. Таблица 1.4 Функции, процедуры и средства защиты подсистемы управления ВС Защита и обеспечение целостности сетевых ресурсов * Выявление процессов и посистем * Контроль конфликтности процессов * Защита программного обеспечения Принципы организации сетевых вычислений * Взаимодействие недружественных подсистем * Реализация процессов, не обладающих памятью * Защита распределенных вычислений Концепция защищенной ВС может быть сформулирована, исходя из перечня функций, процедур и средств защиты, перечисленных в табл. 1.1 - 1.4, следующим образом: Определение 1.5. Защищенная ВС - это сеть, в которой все операции выполняются только при соблюдении строго определенных правил и условий или, другими словами, если все функции, процедуры и средства защиты, перечисленные в табл. 1.1 - 1.4, реализованы в ВС. Авторы осазнают, что ,возможно, существует более строгое формальное определение защищенной ВС, но считают, что в настоящее время изложенная концепция достаточна для формулировки определения.