Примитивность резидентного компонента безопасности

С одной стороны, РКБ должен входить в состав КС, безопасность которой он обеспечивает. С другой – быть автономным. На первый взгляд, приходим к противоречию, однако это кажущийся парадокс. Входить в состав КС и быть автономным относительно программной среды возможно: компьютерная система — это не только программные средства, это и аппаратная реализация, и интерфейсы, и стандарты взаимодействия, и др. Действительно, РКБ должен быть совместим с КС, иметь возможность физически входить в состав системы. Одновременно он должен быть независим от компьютерной системы, т. е. являться специализированным компьютером с собственной операционной средой, памятью и прочими атрибутами фон-неймановской машины.

Теоретически возможно в качестве РКБ применить просто еще один компьютер, если бы удалось обеспечить значительно более высокий уровень его защищенности, чем у защищаемого компьютера. РКБ как компьютерное устройство должен существенно отличаться от защищаемой среды, по крайней мере, иметь намного меньше уязвимостей. На практике почти всегда проще не предоставлять конкретных возможностей для атаки, чем надежно защититься от нее. В отличие от защищаемой универсальной электронной среды, компонент безопасности необходимо должен быть узко специализированным, примитивным компьютером.

Здесь выделяется только доминирующая характеристика компонента безопасности, логично вытекающая из его функциональной роли эталона, ведь эталон — это всегда неизменность, константа. И с указанных позиций аппаратная реализация РКБ выглядит более перспективной, нежели программная.

Итак, РКБ должен представлять собой вычислительную машину, причем надо стремиться, чтобы возможности его были максимально ограничены. Универсальная машина Тьюринга основана на четырех элементарных операциях: сдвинуть ячейку влево, сдвинуть ячейку вправо, заменить символ в ячейке, остановиться. Необходимый и достаточный набор элементарных операций для работы ЭВМ в любом случае должен состоять из четырех операций, таких, что ни одна из этих операций не может быть выражена через композицию остальных. Так как две сложные процедуры «читать; откуда (адрес)», и «писать; куда» базируются, по существу, на четырех независимых в совокупности процессах, то они исчерпывающе описывают основанное на их использовании вычислительное устройство.

Отметим одно важное обстоятельство, на которое обычно не обращается внимание. Машина Тьюринга принципиально является машиной последовательной, так что, теоретически, совсем не требуется, чтобы все четыре операции существовали одновременно. Если априорно известно, что некоторая операция будет выполняться n тактов подряд, то остальные операции в это время не нужны. Строго говоря, переключаемое устройство, которое в один период времени (в человеческом масштабе) «пишет», а в другой — «читает», вполне является полноценной машиной Тьюринга. А значит, и это принципиально, с этим устройством практически возможно сопряжение и взаимодействие стандартных компьютеров.

Ну а что может быть в рассматриваемом контексте ограниченнее, чем компьютер в долговременном смысле, который не является компьютером в любой краткосрочный период. Сколь эффективно сужаются возможности негативного воздействия на работу такого вычислительного устройства: чем меньше возможностей — тем лучше защита.

Принцип примитивности, ограниченности свойств РКБ как вычислительного устройства позволяет конкретизировать его сущность и статус в рамках компьютерной системы. Логично возложить подавляющее большинство вспомогательных функций сопряжения и взаимодействия РКБ с КС на устройства системы, оставив на долю РКБ только «руководство». В цифровой детерминированной среде взаимоотношения, права и обязанности «руководителя и подчиненных» задаются абсолютно точно, однозначно. Поэтому необходимо выполнение двух требований:

· РКБ как «руководитель» должен «знать» в процессе функционирования эталонный результат технологических процессов — хранить эталон и позволять его варьировать извне при изменении требований сектора действенности к технологии информационного взаимодействия;

· Устройства КС, «подчиненные РКБ», должны информироваться о требованиях РКБ в процессе выполнения соответствующих технологических процедур и операций.

Выполнение требования минимальной конфигурации РКБ как вычислительного устройства возможно в том случае, если интерпретировать его, пусть это очень схематично, как долговременное запоминающее устройство. Действительно, тем или иным способом в РКБ извне записывается эталон, а развитые исполнительные устройства защищаемой системы считывают необходимые инструкции из РКБ.

Другое дело, что реализация этого, вообще говоря, достаточно очевидного принципа на практике далеко не тривиальна. Как обеспечить предельно санкционированный доступ к записи в РКБ? Как оперативно корректировать РКБ, учитывая, что состав программной среды постоянно меняется? И при этом сохранять неизменность? Как исключить действия исполнительных устройств КС «в обход» РКБ, или, другими словами — какие магистральные направления функционирования электронной среды должны «перекрываться» компонентом безопасности? Как обеспечить отсутствие искажений между эталоном и результатом, который доходит до исполнительных устройств? И т.д.

Но все это – вопросы вторичные, они будут рассмотрены ниже. С теоретических позиций ситуация ясна: резидентный компонент безопасности по своей функциональной сущности может представляться специализированным запоминающим устройством.