Контрольно-испытательные методы анализа безопасности по.

Контрольно-испытательные методы решают задачу анализа в пространстве отношений. Единственный способ решения задачи в этом случае —это проведение испытаний с целью получения рабочего пространства программыA_p* и проверка легитимности отношений, принадлежащих этому множеству. Однако, при этом возникают проблемы; неразрешимость множества нелегитимных отношенийL_pи невозможность получить все элементыA_p*.

В этом случае проблема разрешимости множества нелегитимных отношений преодолевается путем установления жестких ограничений на рабочее пространство отношений исследуемой программы в виде требований безопасности, ограничивающих рабочую область программы отношениями, легитимность которых для данной программы и ВС очевидна —т. е. множество нелегитимных отношенийL_pаппроксимируется объемлющим его разрешимым множеством запрещенных отношенийA_p^CsL_p.

Эта аппроксимация осуществляется исходя из назначения конкретной программы в конкретной ВС. Проблема порождения рабочего пространства программы может быть решена с помощью методов, которые применяются для определения полного множества испытаний при тестировании правильности программ.

При этом критерием безопасности программы служит факт регистрации в ходе тестирования нарушения требований по безопасности, предъявляемых в системе предполагаемого применения исследуемой программы.

Тестирование может проводиться с помощью тестовых запусков, исполнения в виртуальной программной среде, с помощью символического выполнения программы, ее интерпретации и другими способами. В зависимости от используемых средств контроля за выполнением (интерпретацией) программы контрольно-испытательные методы делятся на те, в которых контролируется процесс выполнения программы и те, в которых отслеживаются изменения в ВС, к которым приводит тестовый запуск. Рассмотрим формальную постановка задачи анализа

Пусть задана программа р и ВС S, в которой она будет функционировать. Пусть ВС Sсодержит множество критичных для ее безопасности объектовC_s. Тогда требования по безопасности, которым должна удовлетворять программа могут быть заданы в виде множества запрещенных отношений р с объектамиC_s —A_p^Cs. Элементы этого множества должны быть заданы либо в явном виде с помощью перечисления, либо в виде набора правил, позволяющего определить принадлежность отношения к этому множеству. МножествоC_sвключает в себя объекты всех типов —ресурсы, данные и программы —C_s=PS_cDS_cPS_c. Необходимо отметить, чтоQCJQBэтих множеств зависит от используемого в ВС аппаратного и программного обеспечения (в первую очередь от традиционной системы), решаемых в ней задач, назначения исследуемой программы, и определяется путем экспертных оценок.

В соответствии с предложенной объектно-концептуальной моделью РПС, множество A_p^Csсостоит из четырех подмножествA_p^Cs=U_p^CsR_p^CsW_p^CsE_p^Cs, где

U_p^Cs={u_p{x) |xRS_c} —ограничения на доступ к ресурсам. Элементы этого множества выражают запрет на использование данной программой ресурсов аппаратуры и операционной системы, например, оперативной памяти, процессорного времени, ресурсов ОС, возможностей интерфейса и др.

R_p^Cs={r_p(x) |xDS_c},W_p^Cs={w_p(x) |xDS_c}— ограничения на доступ к объектам, содержащим данные(информацию). Это множество запрещает доступ программе к определенным областям памяти, файлам, базам данных и т. д.

E_p^Cs={е_p(x) |xPS_c} —ограничения на запуск программ. Эти ограничения в основном имеют смысл для многозадачных, многопоточных, а также распределенных систем и принимают форму запретов на порождение процессов, установление сеансов связи и т.д.

Поскольку множество запрещенных отношений A_p^Csвключает в себя множество нелегитимных отношенийL_p, для доказательства того, что исследуемая программа удовлетворяет требованиям по безопасности, предъявляемым на предполагаемом объекте эксплуатации, достаточно доказать, что программа при работе в этой системе не устанавливает ни одно из отношений, входящих во множествоA_p^Cs.

Тогда задача анализа безопасности формализуется следующим образом:

Для того чтобы доказать, что программа р безопасна для применения в ВС Sдостаточно доказать, что рабочее пространство программы р в ВС Sне содержит запрещенных отношений, т.е. A_p* A_p^Cs=0.

Очевидно, что набор отношений, устанавливаемых программой с объектами ВС, зависит от входных данных программы, исходного состояния ВС и интерактивного взаимодействия программы с пользователем. Для решения этой проблемы привлекаются методы функционального тестирования, традиционно используемые при верификации (анализе правильности) программ.С их помощью можно создать представительный набор тестов, позволяющий получить рабочее пространство программы с помощью ограниченного числа тестов. Однако, с учетом ограниченного объема испытаний, контрольно-испытательные методы кроме тестовых запусков включают механизмы экстраполяции результатов испытаний, методы символического тестирования и другие средства, заимствованные из теории верификации программ.Проведение испытаний заканчивается при наступлении одного из трех условий:

— зафиксирована попытка установления запрещенного отношения, принадлежащего множеству A_p^Cs, —программа р не удовлетворяет требованиям по безопасности, предъявляемым для эксплуатации в ВСS;

— исчерпан лимит тестовых испытаний, отведенный для проведения исследований, —необходимо продолжить испытания, или применить для оценки безопасности программы р вероятностные методы;

— проведено множество испытаний, покрывающее рабочее пространство программы —программа р удовлетвоQ^QJтребованиям по безопасности, предъявляемых ВС S.