ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ПРОБЛЕМЫ ИБ ЭВМ

ОСНОВНЫЕ ПОЛОЖЕНИЯ

В основе проектирования подсистем И Б автоматизированных систем лежит разработка модели угроз. Рассмотрим формализованный подход к ее построению.

В соответствии с блочно-иерархическим подходом в большинстве АС введено описание структуры модели объектов проектирования и собственно структуры АС, включающее пять уровней: архитектурный, функционально-логический, системотехнический, схемотехнический и физический.

Для каждого из данных уровней характерна своя степень детализации обекта проектирования и, соответственно, методов и средств проектирования. Функционал архитектурного уровня соответствует самой низкой степени детализации объекта проектирования. На данном уровне иерархической структуры рассматриваются модели топологий, правила и условия их построения.

Модели функционально-логического уровня строятся для решения задач согласования подсистем, входящих в состав объекта проектирования.

Системотехнический уровень соответствует степени детализации в приближении моделей «черный ящик» или «серый ящик». На схемотехническом уровне в модельном представлении объекта проектирования не учитывается физическая природа компонентов объекта проектирования.

На схемотехническом уровне проводятся проектные работы, направленные на разработку документации, частично учитывающей физическую природу подсистем и компонентов объекта проектирования.

На физическом уровне выполняются работы, определяемые ГОСТами, как рабочее проектирование (по существу конструкторские работы).

Полезно структурировать обобщенную модель угроз И Б САПР, используя теоретико-групповой подход к задаче. В целом модель угроз можно описывать абелевой группой — множеством угроз, замкнутым по операции композиции. Это позволяет применить алгебраическую теорию автоматов. Автомат формально моделирует объект защиты и рассматривается как комбинационная схема с памятью. Вектор X {Х[, х₂, ... х,_;} представляет собой набор исходных данных и ТЗ на компоненту объекта проектирования. Вектор У{у_1? у₂,... у,„} — набор проектных решений.

Комбинационная схема моделирует методику и пошаговые действия проектанта, а также средства проектирования на том или ином уровне. Память автомата моделирует итерации, неизбежно возникающие в процессе проектирования в соответствии с методикой. Реализация внешней угрозы — атака, моделируется как воздействие, меняющее структуру комбинационной схемы. Действия инсайдеров моделируются ложными значениями Х_ло и У либо непредусмотренными значениями размерности функции выходов (координат У ) (рис. 12).

Z-атаки

Y

_у — вектор утечек

Рис. 12. Структура абстрактного автомата — элемента группы автоматов, моделирующей объект защиты:

D — элемент задержки на такт автоматного времени;

COMB (Z) — логическая функция, моделирующая комбинационную схему

На каждом иерархическом уровне содержательные части X, У,

_ж ^ СОМЭ

а также логическая функция X, У-У может иметь свое

формальное описание. При этом автомат рассматривается двояко:

• • как макромодель угроз ИБ;
• • как модель подсистемы или компоненты АС.

В первом случае формализованное полное построение модели угроз И Б реализуется декомпозицией автомата — макромодели, а во втором композицией частных моделей. В любом случае применимы положения теоремы Крона и Роудза [3] или ее следствий.

Множество проектных решений {/?}, найденных по конкретным ТТЗ, можно рассматривать как подможество множества {Н} продуктов проектной организации. Существует бинарная операция х, такая, что:

{/?/:} х {/?(/: +1)} е {Я}.

Следовательно, на множестве {/?} определены полугруппа С/г и автомат полугруппы А_к, реализующий либо алгоритм разработки объекта проектирования, либо метод обеспечения защиты проектного решения от НСД.

Рассмотрим пример процедуры проектирования канала передачи сообщений в виде сигналов Е. При выполнении процедуры продуцируется множество проектных решений {/?} на разных уровнях. Очевидно, что существует множество способов факторизации полугруппы СИ, среди которых можно выделить такие, которые имеют отношения типа гомоморфизма к сигнальным группам СЕ и СЕ. Например, в зависимости оттипа сигнала по классификации: когерентный, частично когерентный, некогерентный — строится несколько отличающихся друг от друга модельных представлений как объекта проектирования, так и его отдельных компонент. Параллельно можно рассматривать гомоморфные полугруппы угроз процессу и средствам проектирования.

Соответствующая факторизация полугруппы СЕ и полугруппы СЕ приводит к гомоморфизму фактора группы А_к, причем неприводимым автоматом в этом случае является автомат, описывающий реализацию преобразования сигнала. Факторизация СЕ и СЕ по классам сигналов определенной размерности: одномерные (временное), двумерные (пространственные), трехмерные (пространственно-временные) — также приводит в конце концов к неприводимому автомату, описывающему реализацию базовой операции (например, преобразования Фурье).

Таким образом, ядром проблемного обеспечения компоненты анализа САП Р для данной предметной области может стать программно-или аппаратно-реализованный алгоритм быстрого преобразования Фурье. Существует конечное множество процедур, построенных на основе операции быстрого преобразования Фурье, которое обеспечивает модельное представление оптико-электронных или радиоэлектронных систем, если их модельное представление сводится к обобщенной, достаточно абстрактной, чтобы претендовать на полноту, модели объекта проектирования. Поскольку процесс факторизации модельного представления — один из важнейших компонентов методики проектирования, то защита от НСД собственно методики («ноу-хау») и проектных решений в виде проектной документации составляет своего рода подзадачу на множестве задач И Б САПР в целом.

Декомпозиция автомата, реализующего обобщенную модель объекта проектирования, может привести к получению каскадного автомата, причем возможна такая декомпозиция, при которой множество подавтоматов, реализующих каскады, позволяет образовать базис. В этом случае представляет интерес процедура, обратная декомпозиции, поскольку понимание прямого и обратного процессов облегчает формулировку как задач и методов проектирования программных комплексов для моделирования в САПР, так и методов защиты проектных решений (проектной документации) от НСД. Рассмотрим пример.

Говорят, что если заданы два автомата

^2 {02’ Х₂, ^2> $2» ^“2}’

то их параллельным соединением является автомат

ЛЕ = Л, + Л₂; ЛЕ {0Е, ХЕ, УП, 6Е, ХЕ},

такой, что:

• • имеется общий входной алфавит ХЕ;
• • имеется устройство: У₁ х У₂ 0Е = 0[ х 0₂, т.е. 0Е образуется объединением множества пар состояний автоматов А₁ и А₂;
• • функция переходов определяется правилом:

д(д/,х1)=Щ(д/+ 1 ,х1+ 1), 52(?/+2,х/+2)}.

В случае последовательного соединения автоматов вход автомата А₂ является выходом первого Л,, и автомат Л = Л, хЛ₂ (мультипликативный автомат) — такой, что

• * = У= У₂ ;
• 0 = 01 X 0₂;
• 6(0 х Х)= 6{ 61 (0, х X), 6(0₂ х Х(0, х X)};

Х(0 х X) = ₂{02 ^х М01 х X).

Конкретными приложениями понятий композиции конечных автоматов могут служить и принципы организации подсистемы ИБ САПР с экспертной компонентой.

Рассмотрим пример формализации эвристики в виде экспертной оценки угрозы рассматриваемому процессу (объекту).

Автомат, описывающий программную реализацию алгоритма преобразования сигнала в объекте, рассматриваемом в данном примере, может быть описан в виде

ъ: Е?=> Е

где Е и Е — соответственно входное и выходное воздействия, которые описываются над алфавитами воздействий; 0 — модель процесса проектирования.

Таким образом, создается возможность построения автоматной модели конкретной САПР, над которой путем имитационного моделирования, в свою очередь, можно строить формализованную модель угроз.

При построении экспертной компоненты подсистемы И Б САПР вводятся множество правил вида:

Правило № ш

ЕСЛИ: сигналы преобразуются методом 0 и подсистемой к

И: применяются обеспечения... И:...

ТО: правило № п ИНАЧЕ: правило № 1

Для многих подсистем моделирования в САПР невозможно построить базис в строгом смысле этого слова, они должны быть расширяемыми, причем расширяемыми за счет сопровождения подсистем проектантами. Условия и способы привнесения соответствующих экспертных оценок целиком определяются нечеткими условиями сохранения адекватности и полноты, которые требуют отдельного рассмотрения.