Абсолютная система защиты. Попытка определения.С.П.Расторгуев Абсолютная система защиты. Попытка определения. В статье сделана попытка определить абсолютную систему защиты, относительно которой могут быть оценены любые другие, в том числе и программные системы защиты АИС. Прежде чем синтезировать абсолютную систему защиты попробуем кратко охарактеризовать основные способы защиты, реализуемые в живой природе. Результаты анализа известных в природе способов защиты схематично могут быть представлены в виде рис. 1. Рис. 1. Способы защиты. Способ 1. Средства пассивной защиты полностью перекрывают все возможные каналы воздействия угроз извне. Это главное требование способа N 1. Обратная сторона данного способа защиты - накладные расходы на поддержание "брони". Так как "броня" является частью всей системы, то её крепость уже оказывает значительное влияние на вес системы и на ее жизнедеятельность. Способ 2. Второй способ предполагает отказ от крепкой "брони", отдавая предпочтение изменению расположения в пространстве и во времени. Размножение (создание собственной копии) также относится ко второму способу защиты с ориентацией на временную координату, представляя собой своего рода передачу эстафетной палочки во времени. Способ 3. Девизом этого способа является утверждение, что лучшая защита - это нападение. Способ 4. В основе этого способа лежит возможность изменения самого себя. Это приемы типа; слиться с ландшафтом, стать похожим на лист дерева и т.п. Данный способ позволяет стать другим, неинтересным для нападающего объектом. Важно и то, что, собственное изменение неизбежно отражается на окружающей среде, тем самым изменяя и ее. Можно не пользоваться способом N 3, если хватит ума изменить агрессора так, чтобы он превратился в раба или занялся самоуничтожением. Именно на этом пути в качестве главного оружия выступают инфекции, аналогом которых в кибернетическом пространстве являются, на мой взгляд, компьютерные вирусы. Подробнее данная тема рассмотрена в работе [2], где показана алгоритмическая общность биологических, социальных, психических и компьютерных инфекций. Все перечисленные способы прошли тысячелетнюю опытную эксплуатацию и реально существуют в живой природе. Заяц поняв, что убежать от лисы ему не удалось (изменить месторасположение в пространстве относительно нападающего объекта) пытается уничтожить нападающего. Ящерица замирает в неподвижности сливаясь с ландшафтом (изменение самого себя) и т.п.. Все то же самое мы видим и в социальном мире. Бронежилеты и бункеры, выступающие в качестве брони, реализуют первый способ защиты. Быстрые ноги и мощные двигатели - второй. Огнестрельное оружие - третий. Наложение грима или изменение мировоззрения - четвертый. Безусловно, в идеале, хотелось бы определить влияние каждого из способов на уровень защищенности или на качество функционирования защитного механизма. Понятно, что для каждого набора входных данных существует своя оптимальная стратегия защиты. Проблема в том, чтобы узнать - каким именно будет этот входной набор данных. Поэтому, защищающемуся субъекту для того, чтобы уцелеть недостаточно владеть всеми четырьмя способами. Ему надо уметь грамотно сочетать все названные способы с теми входными событиями, которые на него обрушиваются или способны обрушиться. Таким образом, мы выходим на постановку задачи по организации защиты со следующими входными данными: 1) способы защиты, 2) методы прогнозирования; 3) механизм принятия решения, использующий результаты прогнозирования и имеющиеся способы защиты. Определив для себя исходные данные можно дать определение абсолютной системе защиты. Абсолютной системой защиты назовем систему, обладающую всеми возможными способами защиты и способную в любой момент своего существования спрогнозировать наступление угрожающего события за время, достаточное для приведения в действие адекватных способов защиты. Вернемся к определению системы защиты и попробуем его формализовать, определив систему защиты в виде тройки (Z,P,F)....................... (1) где Z = (Z1.Z2.Z3.Z4) - способы защиты, Р - прогнозный механизм. Результат работы механизма прогнозирования - представляющее опасность событие, которое должно произойти в момент времени t1 (t1>t), и оценка вероятности, что оно произойдет, т.е. Р = (Sob, t1), t - текущее время. F - функция от Z и Р, принимающая значение больше 0, если за время t1 система способна применить адекватный угрозе имеющийся у нее способ защиты. Тогда, если F(Z,P)>0 для любого t. система защиты (Z,P,F) является абсолютной системой защиты. Абсолютная система защиты лежит на пересечении методов прогнозирования и способов защиты; чем хуже работает механизм прогнозирования, тем более развитыми должны быть способы защиты и наоборот. Схематично алгоритм функционирования абсолютной системы защиты можно попытаться представить в виде рис. 2. По алгоритму схемы рис. 2 защищается любая система: отдельно взятый человек, государство, мафиозная структура, банк и т.п.. При этом, безусловно, что полнота реализации блоков и наполненность баз данных для каждой системы свои. Рис. 2. Алгоритм работы абсолютной системы защиты. Спроецировать приведенную схему в практические системы защиты государства и/или человека не сложно, аналогии напрашиваются сами собой. В частности, для государства:
способы защиты:
Более интересно, так как никто этого еще не пробовал, попытаться перенести основные принципы построения абсолютной системы защиты в область защиты программного обеспечения и предложить функциональную структуру для программных систем защиты АИС. В приложение к проектированию программных системы защиты АИС сказанное означает, что данная система должна состоять из следующих блоков: 1) контроля окружающей среды и самой системы защиты. При этом контроль должен быть направлен не на контролирование текущего состояния системы, типа просчета контрольных сумм и т.п. Контролироваться должны команды, выполнение которых предполагается в ближайшем будущем (контроль должен осуществляться в режиме эмуляции команд, на которые предполагается передать управление) [1]; 2) парольной защиты всей системы и отдельных ее элементов, криптографические способы защиты (способ 1), в том числе контроль целостности; 3) периодического изменения месторасположения элементов защитного механизма в АИС (способ 2). Предполагается, что основные исполняемые файлы, ответственные за реализацию механизма прогнозирования и всех способов защиты, должны самостоятельно мигрировать в вычислительной среде (менять диски, директории, компьютеры) и изменять свои имена; 4) уничтожения "незнакомых" программных объектов. Тем самым осуществляется восстановление заданной среды (способ 3 - "убить незнакомца"). Вырожденный вариант этого способа -всем хорошо известные механизмы принудительного восстановления целостности среды; 5) самомодификации исполняемого алгоритма и кода (подробнее см. [1]). В данном блоке реализуется периодическая смена алгоритма путем выбора алгоритма из множества равносильных алгоритмов (способ 4). Кроме того, данный способ предполагает использование программных закладок и вирусов для влияния на "недружественную" внешнюю среду. Распространяемые (может быть и умышленно) программные закладки и вирусы постепенно подготавливают вычислительную среду для новых программно-аппаратных платформ. В качестве примера можно остановиться на программной закладке Микрософт в WINDOWS 3.1, подробно описанной Э.Шулманом в журнале д-ра Добба ("Исследуя AARD-код системы Windows", N 3-4, 1994), цель которой заключается в дискредитации программных продуктов конкурирующих фирм. При этом в "жучке" использованы все возможные средства его собственной защиты: XOR-кодирование, динамическая самомодификация, специальные приемы защиты от отладчиков. Надо признать, что появление данной закладки столь же неизбежно, как и появление биологических вирусов в живой природе. Было бы удивительно, если бы нечто подобное не возникло именно в тот момент, когда "сражение программных продуктов за свое место под процессором" в самом разгаре. Определив таким образом структуру защитного механизма можно перейти к его количественной оценке согласно (1) и определению места конкретной системы защиты относительно абсолютной. На мой взгляд, предложенный подход, позволяет осуществлять какое-то сравнение систем защиты друг с другом через сопоставление их абсолютной защитной системе, являющейся в данном случае недостижимым идеалом. Но это уже другая тема. Литература 1. С.П.Расторгуев. "Программные методы защиты информации в компьютерах и сетях". М.: Агентство "Яхтсмен". 1993 г. 2. С.П.Расторгуев. "Инфицирование как способ защиты жизни". М.: Агентство "Яхтсмен". 1996 г. (Тел.:150-09-72). |