В статье сделана
попытка определить абсолютную
систему защиты, относительно
которой могут быть оценены любые
другие, в том числе и программные
системы защиты АИС.
Прежде чем
синтезировать абсолютную систему
защиты попробуем кратко
охарактеризовать основные способы
защиты, реализуемые в живой
природе. Результаты анализа
известных в природе способов
защиты схематично могут быть
представлены в виде рис. 1.
Рис.
1. Способы защиты.
Способ 1.
Средства
пассивной защиты полностью
перекрывают все возможные каналы
воздействия угроз извне. Это
главное требование способа N 1.
Обратная сторона данного способа
защиты — накладные расходы на
поддержание "брони". Так как
"броня" является частью всей
системы, то её крепость уже
оказывает значительное влияние на
вес системы и на ее
жизнедеятельность.
Способ 2.
Второй способ
предполагает отказ от крепкой
"брони", отдавая предпочтение
изменению расположения в
пространстве и во времени.
Размножение
(создание собственной копии) также
относится ко второму способу
защиты с ориентацией на временную
координату, представляя собой
своего рода передачу эстафетной
палочки во времени.
Способ 3.
Девизом этого
способа является утверждение, что
лучшая защита — это нападение.
Способ 4.
В основе этого
способа лежит возможность
изменения самого себя. Это приемы
типа; слиться с ландшафтом, стать
похожим на лист дерева и т.п. Данный
способ позволяет стать другим,
неинтересным для нападающего
объектом.
Важно и то, что,
собственное изменение неизбежно
отражается на окружающей среде, тем
самым изменяя и ее. Можно не
пользоваться способом N 3, если
хватит ума изменить агрессора так,
чтобы он превратился в раба или
занялся самоуничтожением. Именно
на этом пути в качестве главного
оружия выступают инфекции,
аналогом которых в кибернетическом
пространстве являются, на мой
взгляд, компьютерные вирусы.
Подробнее данная тема рассмотрена
в работе [2], где показана
алгоритмическая общность
биологических, социальных,
психических и компьютерных
инфекций.
Все перечисленные
способы прошли тысячелетнюю
опытную эксплуатацию и реально
существуют в живой природе. Заяц
поняв, что убежать от лисы ему не
удалось (изменить
месторасположение в пространстве
относительно нападающего объекта)
пытается уничтожить нападающего.
Ящерица замирает в неподвижности
сливаясь с ландшафтом (изменение
самого себя) и т.п..
Все то же самое мы
видим и в социальном мире.
Бронежилеты и бункеры, выступающие
в качестве брони, реализуют первый
способ защиты. Быстрые ноги и
мощные двигатели — второй.
Огнестрельное оружие — третий.
Наложение грима или изменение
мировоззрения — четвертый.
Безусловно, в
идеале, хотелось бы определить
влияние каждого из способов на
уровень защищенности или на
качество функционирования
защитного механизма. Понятно, что
для каждого набора входных данных
существует своя оптимальная
стратегия защиты. Проблема в том,
чтобы узнать — каким именно будет
этот входной набор данных.
Поэтому,
защищающемуся субъекту для того,
чтобы уцелеть недостаточно владеть
всеми четырьмя способами. Ему надо
уметь грамотно сочетать все
названные способы с теми входными
событиями, которые на него
обрушиваются или способны
обрушиться. Таким образом, мы
выходим на постановку задачи по
организации защиты со следующими
входными данными:
1) способы защиты,
2) методы
прогнозирования;
3) механизм
принятия решения, использующий
результаты прогнозирования и
имеющиеся способы защиты.
Определив для себя
исходные данные можно дать
определение абсолютной системе
защиты.
Абсолютной
системой защиты назовем систему,
обладающую всеми возможными
способами защиты и способную в
любой момент своего существования
спрогнозировать наступление
угрожающего события за время,
достаточное для приведения в
действие адекватных способов
защиты.
Вернемся к
определению системы защиты и
попробуем его формализовать,
определив систему защиты в виде
тройки
(Z,P,F)…………………..
(1)
где Z = (Z1.Z2.Z3.Z4)
— способы защиты, Р — прогнозный
механизм. Результат работы
механизма прогнозирования —
представляющее опасность событие,
которое должно произойти в момент
времени t1 (t1>t), и
оценка вероятности, что оно
произойдет, т.е.
Р = (Sob, t1),
t — текущее время. F —
функция от Z и Р, принимающая
значение больше 0, если за время t1
система способна применить
адекватный угрозе имеющийся у нее
способ защиты.
Тогда, если
F(Z,P)>0 для любого t. система защиты (Z,P,F)
является абсолютной системой
защиты.
Абсолютная
система защиты лежит на
пересечении методов
прогнозирования и способов защиты;
чем хуже работает механизм
прогнозирования, тем более
развитыми должны быть способы
защиты и наоборот.
Схематично
алгоритм функционирования
абсолютной системы защиты можно
попытаться представить в виде рис.
2.
По алгоритму схемы
рис. 2 защищается любая система:
отдельно взятый человек,
государство, мафиозная структура,
банк и т.п.. При этом, безусловно, что
полнота реализации блоков и
наполненность баз данных для
каждой системы свои.
Рис.
2. Алгоритм работы абсолютной
системы защиты.
Спроецировать
приведенную схему в практические
системы защиты
государства и/или человека не
сложно, аналогии напрашиваются
сами собой. В частности, для
государства:
прогнозирование
внешних событий — разведка:прогнозирование
внутренних событий —
министерство внутренних дел;
способы
защиты:
первый
способ (броня) — граница
(пограничные войска);второй
способ (изменение места) — исход
народа на другую землю;третий
способ (уничтожение) — армия;четвертый
(внесение изменений) — пропаганда,
диверсии, террор (МИД, СМО и т.п.);
блок принятия
решений — правительство;блок занесения
информации в БД — аналитические
службы.
Более интересно,
так как никто этого еще не пробовал,
попытаться перенести основные
принципы построения абсолютной
системы защиты в область защиты
программного обеспечения и
предложить функциональную
структуру для программных систем
защиты АИС.
В приложение к
проектированию программных
системы защиты АИС сказанное
означает, что данная система должна
состоять из следующих блоков:
1) контроля
окружающей среды и самой системы
защиты. При этом контроль должен
быть направлен не на
контролирование текущего
состояния системы, типа просчета
контрольных сумм и т.п.
Контролироваться должны команды,
выполнение которых предполагается
в ближайшем будущем (контроль
должен осуществляться в режиме
эмуляции команд, на которые
предполагается передать
управление) [1];
2) парольной защиты
всей системы и отдельных ее
элементов, криптографические
способы защиты (способ 1), в том
числе контроль целостности;
3) периодического
изменения месторасположения
элементов защитного механизма в
АИС (способ 2). Предполагается, что
основные исполняемые файлы,
ответственные за реализацию
механизма прогнозирования и всех
способов защиты, должны
самостоятельно мигрировать в
вычислительной среде (менять диски,
директории, компьютеры) и изменять
свои имена;
4) уничтожения
"незнакомых" программных
объектов. Тем самым осуществляется
восстановление заданной среды
(способ 3 — "убить незнакомца").
Вырожденный вариант этого способа
-всем хорошо известные механизмы
принудительного восстановления
целостности среды;
5) самомодификации
исполняемого алгоритма и кода
(подробнее см. [1]). В данном блоке
реализуется периодическая смена
алгоритма путем выбора алгоритма
из множества равносильных
алгоритмов (способ 4). Кроме того,
данный способ предполагает
использование программных
закладок и вирусов для влияния на
"недружественную" внешнюю
среду. Распространяемые (может быть
и умышленно) программные закладки и
вирусы постепенно подготавливают
вычислительную среду для новых
программно-аппаратных платформ.
В качестве примера
можно остановиться на программной
закладке Микрософт в WINDOWS 3.1,
подробно описанной Э.Шулманом в
журнале д-ра Добба ("Исследуя
AARD-код системы Windows", N 3-4, 1994), цель
которой заключается в
дискредитации программных
продуктов конкурирующих фирм. При
этом в "жучке" использованы
все возможные средства его
собственной защиты: XOR-кодирование,
динамическая самомодификация,
специальные приемы защиты от
отладчиков. Надо признать, что
появление данной закладки столь же
неизбежно, как и появление
биологических вирусов в живой
природе. Было бы удивительно, если
бы нечто подобное не возникло
именно в тот момент, когда
"сражение программных продуктов
за свое место под процессором" в
самом разгаре.
Определив таким
образом структуру защитного
механизма можно перейти к его
количественной оценке согласно (1) и
определению места конкретной
системы защиты относительно
абсолютной. На мой взгляд,
предложенный подход, позволяет
осуществлять какое-то сравнение
систем защиты друг с другом через
сопоставление их абсолютной
защитной системе, являющейся в
данном случае недостижимым
идеалом. Но это уже другая тема.