лекции ОИБ / Zashchita_informacii_Lekcii_1-6_lektor_M.M._Kucherov_
.pdf3 Источники сложности Сложность быстро увеличивается при добавлении новых задач, новой
функциональности или при стремлении увеличить производительность системы. Рассмотрим, например, одноколейный железнодорожный путь через каньон. Примем время в оба конца за 10 часов, и поставим своей целью увеличение дуплексного трафика. Простое решение, направленное на повышение эффективности, должно снести каньон, но это дорого, непомерно тяжело по человеческим ресурсам и разрушительно по отношению к окружающей среде. Следующее наилучшее решение: удвоить размер поезда, что должно увеличить производительность, но задержка останется прежней. Хорошая альтернатива: пробить туннель посередине, сделав запасной путь, и пустить поезда навстречу друг другу. Последняя схема работает, но сложность возрастает:
1.Нужно иметь точное расписание, чтобы гарантировать, что поезда встретятся посередине в одно и то же время.
2.Увеличивается вероятность неудачи, т.к. имеются два поезда, и если какойнибудь из
них потерпит неудачу, то путь окажется заблокированным.
3.Возрастает риск столкновения поездов; нужны семафоры.
4.Вводятся дополнительные ограничения: размер поезда ограничивается, поскольку поезд должен поместиться на запасном пути.
Пример. Борис Гигабитов написал программу, в которой 16 основных модулей, каждый из которых содержит несколько процедур. В первой реализации своей программы он увидел, что любой модуль включает по одному вызову всех остальных модулей. Модуль представляет 100 строк кода.
а. Сколько строк в программе Бориса?
16 модулей * 100 строк/модуль = 1600 строк.
б. Сколько связей между модулями в этой реализации? (Каждый вызов одного модуля из другого представляет связь.)
Если А вызывает Б и Б вызывает А, то мы можем считать это за две связи. Каждый из 16 модулей содержит, по меньшей мере, 15 межмодульных вызовов (по одному для каждого из других 15 модулей), поэтому число вызо-
вов, по меньшей мере, 16*15 = 240.
Борис решил изменить реализацию. Теперь 4 главных модуля, и каждый содержит 4 подмодуля в одноуровневой иерархии. 4 главных модуля каждый вызывают все другие главные модули, а внутри каждого главного модуля 4 подмодуля вызывают друг друга (каждый все остальные). На каждый подмодуль по прежнему 100 строк кода, но каждый главный модуль имеет 100 строк управляющего кода.
в. Сколько теперь строк в программе? 16*100 = 1600 (строк)
51
+ 4 *100 = 400 (строк)
итого: 2000 строк.
г. Сколько теперь связей? К связям между модулями добавьте связи между подмодулями.
4 * 3 =12
4 гл.модуля * 4 подмодуля/гл.модуль * 3 вызова/подмодуль = 48 Из главного модуля в его подмодули должны быть 4 связи для каждого
модуля. Но мы их не добавляем. Итого: 12+ 48 = 60 (связей).
д. Была ли иерархия хорошим решением? Почему была или почему не была?
Борис сократил минимальное количество связей в четыре раза, при цене возрастания размера программы на 25%.
Против: Больший код содержит на 25% большее число ошибок. Если приложение не подходит для новой иерархической организации, потоки информации и управления могут быть более сложными, чем требуется (и фактическое число связей может пропорционально увеличиться выше минимума, который был до этого). Наконец, новые команды поглощают циклы работы процессора, следовательно, уменьшается производительность.
За: С другой стороны, резкое уменьшение минимального числа связей, вероятно, уменьшит сложность, и если вызовы процедур являются ресурсоемкими, то меньшее число вызовов значительно увеличит производительность. Из-за уменьшения сложности упрощается сопровождение, т.к. изменения подмодуля повлияют только на 3 другие, которые его вызывают. Аналогично, ошибка в подмодуле, вероятно, произведет разрушения только в трех подмодулях, которые его вызывают, поэтому отслеживание дефектов может быть более легким.
Компьютерные системы имеют интересную особенность, поскольку грубые решения часто оказываются правильными. Рассмотрим программу с доступной ограниченной памятью. Неправильное решение: структуры данных, сжатые так, что программа становится непонятной. Легкое решение: покупка памяти. Грубые решения в компьютерных системах лучше работают, поскольку компьютерная технология быстро развивается.
4 Особенности компьютерных систем
Все системы похожи, компьютерные системы (КС), на первый взгляд, не отличаются от экосистем, небоскребов и т.п. Они разделяют с ними одни и те же проблемы (эмерджентность, распространение возмущений, несоразмерное масштабирование и компромиссы) и решения (модульность, абстракция, иерархия и определение уровней).
52
В то же время КС имеют существенные особенности. Сложность КС не ограничена физическими законами. Компьютерные системы, в основном, цифровые, и они управляются программным обеспечением. Эти два свойства (каждое в отдельности) приводят к ослаблению ограничений на сложность, которая в других системах была бы ограничена вследствие физических законов. Рассмотрим подробнее различие между аналоговыми и цифровыми системами. Все аналоговые системы имеют помехи. Помехи могут поступать из окружающей среды в виде, например, вибрации или электромагнитного излучения. Когда системы состоят из аналоговых компонент, помехи накапливаются. По мере увеличения числа компонентов в какой-то момент помехи начинают определять поведение системы. Это относится к анализу инженерных систем. Естественные биологические, термодинамические и макроэкономические системы состоят из миллиардов аналоговых компонент, использующих иерархии и т.д. для работы, несмотря на помехи, но они настолько сложные, что мы не можем достаточно хорошо их понять. Если сигнал, когда он проходит через ряд устройств, принципиально не накапливает шум, то шум не ограничивает количество устройств, которые можно соединять. Другими словами, шум не ограничивает максимальную глубину композиции для цифровых систем. В отличие от аналоговых систем цифровые системы могут расти в сложности, пока они не превышают способность разработчиков понять их. Современные цифровые микросхемы процессоров содержат свыше 40 миллионов транзисторов, гораздо больше, чем любой аналоговый чип. Никакой авиалайнер и близко не использует столько компонентов, за исключением его бортовых компьютеров.
Вторая причина, почему композиция компьютеров не имеет достижимых границ по сложности, заключается в том, что КС управляются программным обеспечением. Насколько опасно влияние на ограничение по сложности т.н. принципа устойчивости, но вклад от программного обеспечения оказывается еще хуже. Оборудование, по крайней мере, подвержено физическим ограничениям скорость света, скорость установления сигналов в реальном полупроводнике, нежелательная электрическая связь между соседними компонентами, скорость теплоотдачи, пространство, которое оно занимает. Программное обеспечение не имеет никаких достижимых пределов, кроме доступной памяти для его хранения и процессора для выполнения. В результате, композиция программного обеспечения может развиваться с той скоростью, с которой его могут создавать. Таким образом, мы регулярно слышим об операционных системах, базах данных и даже текстовых процессорах, состоящих более чем из десяти миллионов операторов.
В принципе, абстракция может помочь в ограничении композиции программного обеспечения, скрывая реализацию под интерфейсами модулей. Проблема в том, что большинство абстракций, на самом деле, имеют дефект, который состоит в том, что они не до конца скрывают свою внутреннюю ре-
53
ализацию. Простым примером такой непоследовательности является сложение целых чисел: в большинстве реализаций операция сложения идеально соответствует математической спецификации только до тех пор, пока результат укладывается в доступную длину слова, но если результат становится больше, то переполнение осложняет работу программиста. Непоследовательности, как помехи в аналоговых системах, накапливаются с ростом числа программных модулей. В отличие от шумов, именно они создают сложность. Отсутствие физических ограничений на программное обеспечение продолжает оставаться фундаментальной проблемой. Поэтому формально легко создавать системы со сложностью, которая находится далеко за пределами способностей проектировщиков к ее оценке. А что легко, то и часто происходит, иногда с катастрофическими результатами.
Находясь между отсутствием влияния помех на ограничение по сложности цифровых аппаратных средств и нелепо далеким ограничением на композицию программного обеспечения, для неосторожных проектировщиков слишком легко злоупотребить инструментами модульности, абстракции, разделения на уровни и иерархии, чтобы в результате достигнуть еще большей сложности. В отличие от других систем, компьютерные системы позволяют проектировать системы до такой глубины, первый достижимый предел которой состоит в способности проектировщиков к их пониманию. К сожалению, это отсутствие близлежащих природных, физических ограничений на глубину композиции приводит к созданию все более сложных систем. Поскольку может быть трудным, сказать «нет» разумно звучащей функции, то новые функции продолжают добавляться. В этом заключается печальная судьба слишком многих проектов компьютерных систем.
6 Выводы Отсутствие достижимых ограничений ведет к тому, что компьютерная
технология улучшается быстрее, чем технология в любой другой сфере (d технология / dt – значительно больше). Этот быстрый темп имеет многие следствия:
1.Меняются основные правила. Например, цель большинства книг по КС: обсудить как действовать, если не хватает ресурсов. Мы, в основном, будем игнорировать эти вопросы.
2.Настройка - менее интересна, чем в других областях; покупка новой технологии более эффективна, чем тонкое решение.
3.Качество пользовательских интерфейсов всегда запаздывает (например, многооконный интерфейс, по существу, не изменился с момента своего изобретения почти 25 лет назад).
54
4.Законотворчество и юридические процессы работают медленно, что означает, что они всегда запаздывают (например, законы об информации).
5.Имеются многие общественно значимые проявления, т.к. компьютер стал быстро использоваться в новых областях (самолеты, корабли, автомобили, школы и т.п.).
Особенно интересно для студентов и профессоров - каково влияние компьютерных технологий на образование. В этом контексте можно привести цитату из Томаса Эдисона (1847-1931): «Через десять лет, учебники, как основная среда преподавания, станут такими же устаревшими, как лошадь и коляска».
Таким образом, исследование защищенных компьютерных систем включает в себя рассмотрение обычных процессов планирования, изучения требований, компоновки, а также интеграции с пользователями и обществом. Этот анализ приводит к поставкам систем, которые из-за хронического недостатка времени на проектирование имеют «неприглядный вид» и остаются не продуманными до конца. Инженерам, которые строят самолеты и мосты, не приходится задумываться над подобными проблемами. В зависимости от точки зрения, такое положение вещей можно рассматривать как большое разочарование или как интересную задачу.
Приложение 2
•Организационные меры безопасности
•Управление информационными ресурсами
1.Организационные меры безопасности
Отправным пунктом для выполнения политики информационной безопасности должна быть поддержка со стороны руководства предприятия требований по информационной безопасности. Позитивный подход руководства может быть очень полезным администратору безопасности или системному инженеру, работающему в области безопасности сетей по следующим причинам:
Развитие политики предприятия в области информационной безопасности требует компетентного охвата всей проблемы в целом.
55
Подтверждение ресурсов, направляемых на защиту сети, перед руководством предприятия требует тщательного обоснования. Здесь могут быть полезны формальные модели безопасности.
Вот действия, которые совместно образуют элементы качества информации:
Управление информацией, как важнейшим ресурсом; в т.ч. развитие концепции обладателей информации, которая является важнейшей для успешного проведения мер по управлению и защите информации. Обладатель информации, например, руководитель соответствующего отдела предприятия, устанавливает права доступа к своей информации для каждого авторизованного пользователя.
Качественное проектирование системы для обеспечения эффективных информационных процессов.
Эффективное руководство и контроль над обработкой и передачей информации.
Защита информации в сети и на рабочих местах.
Управление информационными ресурсами включает следующие действия:
1)определение информационной базы предприятия через элементы данных, существенные для производственного процесса;
2)оценку производственных данных для того, чтобы позволить предпринять соответствующие меры защиты.
Большое значение имеет удобная организационная структура и определение ответственности на разных уровнях с помощью хорошо разработанных
иопубликованных стандартов. Руководство информацией устанавливает структуру для защиты производства с помощью введения соответствующего уровня качества информации. Однократно разработанный список элементов информационной базы предприятия создает основу для принятия решений по информационной безопасности. Элементы, имеющие высокую степень защиты, будут требовать интенсивных усилий со стороны руководства. Другие потребуют средних усилий; иные могут не затрагиваться вообще. Для них достаточно ограничиться периодическим напоминанием о том, что информация предприятия должна оставаться в стенах предприятия.
На практике программы безопасности обычно начинают с небольших усилий. Части программы управления информацией могут быть приспособлены к конкретной производственной ситуации. Можно рассмотреть двумерную матрицу, представляющую требования по безопасности. По одной стороне отложены основные типы работ, которые могут включать работу секретарей, исследовательский и инженерный персонал, администрацию, бухгалтерию, плановый отдел и т.д. По другой стороне перечислены типы связи и сетевых услуг, предназначенные для каждого вида работ. Они включают: со-
56
здание файлов и документов, отправку, пересылку и получение сообщений, хранение файлов и документов и т.д. Пункты матрицы будут отличаться для разных предприятий, но сама матрица имеет большое значение, поскольку позволяет видеть меры защиты, которые должны быть включены в план реализации, чтобы быть уверенными в его полноте. В него могут входить файрволы, различные программы, системы шифрования и прочие механизмы безопасности. Для повышения эффективности защиты информации рекомендуется организовать несколько доменов безопасности, в которых будут объединены часто используемые функции, например, офис, производство, инженерный центр, поставщики.
Проектирование системы должно включать в себя как электронные, так и ручные процессы. Обладатель информации должен определить ценность обрабатываемой информации. Затем системный аналитик должен обеспечить контроль, соответствующий ценности данных и прикладной задаче (т.е. когда, где и каким образом должна использоваться информация). Средства контроля должны обеспечивать эффективную целостность и точность при переходе от процесса к процессу, контрольные проверки и средства оперативного наблюдения и управления. Проектирование системы, как в автоматизированном, так и в ручном режиме, должно давать уверенность, что характеристики качества информации поддерживаются по всему циклу обработки. Проектировщики систем должны знать модель ценности информации и вытекающие из нее требования для предприятия, конкретного приложения, сети и конечных пользователей.
Руководство и контроль над обработкой и передачей информации в корпоративной сети существенно отличаются от того, как они реализованы в больших сетях, таких как широко распространенные сети документальной электросвязи, которые опираются на требования законодательства и планируются экспертами. Эти сети обычно арендуют высококачественные линии связи. Требования защиты удовлетворяются добавлением специальных аппаратных средств и программного обеспечения (сетевые системы управления, модемы, средства шифрования, контроллеры интерфейса и т.д.) к оборудованию сети.
Хотя администраторы корпоративной сети могут устанавливать сетевое управление и центры контроля и обеспечивать определенный сервис безопасности, применение средств безопасности является обязанностью пользователя сети. Администраторы сети заботятся о поддержке уровня услуг, но обычно не принимают на себя обязательств по защите информации.
Информационная безопасность корпоративных сетей в отличие от типичных средств физического и логического контроля в больших сетях документальной электросвязи требует следующих условий:
57
1.Контроль доступа ко всем информационным файлам, доступным по внутренней сети и по связанным внешним сетям.
2.Контроль работы аутентифицированного сотрудника с файлом, с которым ему разрешено работать.
3.Контроль доступа к сетевому трафику.
4.Установление эффективных средств идентификации и аутентификации для каждого участника, будь то физическое лицо или логический объект,
атакже для каждой компоненты сети.
5.Физический и логический контроль доступа к сетевым ресурсам (включая центры регистрации и учета, контроллеры связи, входные устройства и различные серверы), как из центральных доменов, так и по телефону или через межсетевые соединения.
6.Контроль распространения информации с целью предотвращения несанкционированного распределения или утечки к неавторизованным сетевым станциям или пользователям.
Далее эти условия обсуждаются более подробно.
2.Управление информационными ресурсами
2.1Составляющие информационной базы предприятия
Трудно детально перечислить информационные объекты, составляющие информационную базу предприятия, но можно назвать основные элементы информации, необходимые для производственных операций. Элемент информации представляет собой основную часть информации. Он может появляться в разных местах в ментальной, письменной или электронной форме.
Основной элемент информации имеет следующие свойства:
он является существенным для производства;
создается первичной производственной функцией;
может находиться в разнообразных сочетаниях с другой информаци-
ей.
Примерами основных элементов информации являются:
имя сотрудника (функция работы с персоналом);
имя поставщика (функция маркетинга);
название продукта (функция проектирования и разработки, спецификации на продукцию);
полученные счета (функция учета).
Список основных элементов информации, существенных для производства, указывает на элементы информации, которые являются объектами управления и контроля. Решение о том, желает ли предприятие управлять соответствующим элементом информации, зависит от его важности. Конечно, в случае создания новых элементов информации или использования уже существующих в отчетах и служебных записках, руководитель, посылающий документ, должен предпринять необходимые действия, для того, чтобы эти
58
элементы информации имели соответствующее значение, что позволило бы, при необходимости, контролировать их надлежащим образом.
В этой связи вводится понятие документа в электронной форме отображения (электронного документа). Для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица, может быть использована электронная цифровая подпись.
Организованная информационная база позволяет получать важные преимущества для информационных систем. Запросы на информацию постоянно возрастают с увеличением количества людей, желающих получать информацию с помощью персональных компьютеров и сетей. Невозможно предвидеть требования доступа к централизованным базам данных, а также приложения, с помощью которых будет обработана полученная информация. Следовательно, важно, чтобы элементы информации были отделены от производственных приложений и находились в форме, позволяющей легко их использовать для разных приложений и целей. В большинстве производственных операций необходимо также следить за удалением устаревшей информации.
59