Лекция № 5. Построение систем защиты от угрозы нарушения целостности информации

Организационно-технологические меры защиты целостности информации. Целостность данных в АС Защита от угрозы нарушения целостности информации на уровне содержания

1. Организационно-технологические меры защиты целостности информации на машинных носителях

Организационно-технологические меры защиты целостности инфор­мации на машинных носителях можно разделить на две основные группы:

•  организационные меры по поддержке целостности информации, хра­нящейся на МНИ;

•  технологические меры контроля целостности битовых последователь­ностей, хранящихся на МНИ. В свою очередь, организационные меры разделяются на две группы:

•  создание резервных копий информации, хранимой на МНИ;

•  обеспечение правильных условий хранения и эксплуатации МНИ.

Создание резервных копий информации, хранимой на МНИ, должно быть обязательной регулярной процедурой, периодичность которой зави­сит от технологии обработки информации, в частности от объема вводи­мых данных, важности информации, возможности повторного ввода и т. д. Для создания резервных копий могут использоваться как стандартные утилиты, которые сохраняют выбранные файлы или каталоги, так и спе­циализированные системы резервного копирования, адаптированные к конкретной АС. В последнем случае можно применять собственные мето­ды архивирования, например, так называемое "разностное" архивирова­ние, когда на вспомогательный носитель записывается не весь объем базы данных, а только та часть, которая была введена с момента послед­него сохранения.

НЕ нашли? Не то? Что вы ищете?

В качестве вспомогательных носителей, на которые производится архивирование информации, традиционно рассматривались магнитные ленты. В настоящее время благодаря развитию технологий хранения ин­формации число возможных типов носителей увеличилось, поэтому для хранения архивных данных выбирают, как правило, те, которые при заданном объеме копируемой информации (в случае накопления информа­ции и с учетом определенной перспективы) и предполагаемом сроке хра­нения оптимальны по цене единицы хранимой информации. Так, в ряде случаев оптимальным устройством резервирования может быть дополни­тельный жесткий диск или CD-ROM. При ведении резервных копий необ­ходимо регулярно проверять их сохранность и целостность находящейся информации. Обеспечение правильных условий хранения и эксплуатации определяется конкретным типом машинного носителя.

Рассмотрим теперь технологические меры контроля целостности би­товых последовательностей, хранящихся на машинных носителях. Цело­стность информации в областях данных на машинных носителях контро­лируется с помощью циклического контрольного кода, контрольные числа которого записываются после соответствующих областей, причем в кон­тролируемую область включаются соответствующие маркеры.

Для стандартного сектора дискеты размер контролируемой области составит 516 байт: 512 байт данных плюс 4 байта маркера данных. При чтении с дискеты данные проверяются на соответствие записанному коду и в случае несовпадения выставляется соответствующий флаг ошибки.

Для обеспечения контроля целостности информации чаще всего применяют циклический контрольный код. В основе данного подхода ле­жит понятие полинома или, как его еще называют, многочлена. Как из­вестно, полином-это формально заданный степенной ряд, т. е. сумма множества степенных выражений независимых переменных.

В общем случае любой блок информации х в памяти вычислитель­ной машины представляет последовательность битов, которую можно считать двоичным полиномом и в дальнейшем будем обозначать через А(х). Для вычисления контрольного кода понадобится еще один полином, называемый порождающим полиномом. Этот полином обозначим G(x). Порождающий полином является в некотором роде ключом циклического кода.

Контрольный код, представляемый полиномом R(x), вычисляется как остаток от деления полинома А(х) на G(x):

R(x) = (A(x)хr)modG(x),

где r –  степень порождающего полинома.

Из теории циклических кодов следует, что чем больше г, тем больше обнаруживающая способность контрольного кода. При реализации метода подсчета контрольного кода значение г в общем случае ограничено только параметрами МНИ. Например, для контроллеров гибких магнитных дисков г = 16 и порождающий полином G(x) имеет следующий вид:

G(x)=x16+x12+x5 + 1.

В книге Д. Правикова "Ключевые дискеты. Разработка элементов за­щиты от несанкционированного копирования" (М.: Радио и связь, 1997 г.) приводится программа на языке С, иллюстрирующая схему вычисления циклического контрольного кода. Основная сложность программной реа­лизации заключается в том, что для получения 16-разрядного остатка ин­формационный полином необходимо делить на 17-разрядный порождаю­щий полином. Это ограничение обходится с помощью специальной реа­лизации алгоритма. При сложении по модулю 2 как старший разряд остатка информационного полинома, так и старший разряд порождающе­го полинома всегда равны единице и, следовательно, известен результат их сложения, который всегда равен нулю. Поэтому складывать с остатком уже можно только младшие 16 разрядов порождающего полинома. По­скольку цель вычислений состоит в получении контрольного числа - ос­татка отделения, частное не вычисляется. В данной реализации алгорит­ма, во-первых, циклический контрольный код вычисляют, взяв в качестве первоначального значения FFFF (16-ричная запись), и, во-вторых, данные считаются поступающими, начиная со старших битов.

2. Целостность данных в АС

Понятие целостности данных в научной литературе определяется несколькими способами, описанию и сравнению которых посвящены от­дельные научные статьи. Одна из наиболее распространенных трактовок, используемая далее в пособии, под целостностью данных подразумевает отсутствие ненадлежащих изменений. Смысл понятия "ненадлежащее изменение" раскрывается Д. Кларком и Д. Вилсоном в [25]: ни одному поль­зователю АС, в том числе и авторизованному, не должны быть разре­шены такие изменения данных, которые повлекут за собой их разруше­ние или потерю.

При рассмотрении вопроса целостности данных мы используем ин­тегрированный подход (в определенном выше смысле), основанный на ряде работ Кларка и Вилсона, а также их последователей и оппонентов, и включающий в себя девять абстрактных теоретических принципов, каж­дый из которых раскрывается ниже: « корректность транзакций;

•  аутентификация пользователей;

•  минимизация привилегий;

•  разграничение функциональных обязанностей;

•  аудит произошедших событий;

•  объективный контроль;

·  управление передачей привилегий;

•  обеспечение непрерывной работоспособности;

•  простота использования защитных механизмов.

Понятие корректности транзакций определяется в [25] следующим образом. Пользователь не должен модифицировать данные произвольно, а только определенными способами, так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем коррект­ных транзакций и нельзя - произвольными средствами. Кроме того, пред­полагается, что "корректность" (в обычном смысле) каждой из таких транзакций может быть некоторым способом доказана. Принцип корректных транзакций по своей сути отражает основную идею определения целост­ности данных сформулированную выше.

Второй принцип гласит, что изменение данных может осуществляться только специально аутентифицированными для этой цели пользователями. Этот принцип работает совместно с последующими четырьмя, с вторыми тесно связана его роль в общей схеме обеспечения целостности.

Идея минимизации привилегий появилась еще на ранних этапах раз-вития направления компьютерной безопасности в форме ограничения, накладываемого на возможности процессов, выполняющихся в АС, и под­разумевающего, что процессы должны быть наделены теми и только теми привилегиями, которые естественно и минимально необходимы для вы­полнения процессов. Практикам администрирования ОС UNIX это поло­жение хорошо знакомо на примере правил использования учетной записи root, обладающей неограниченными полномочиями. Принцип, согласно которому следует минимизировать назначаемые привилегии в строгом соответствии с содержанием выполняемой задачи, распространяется в равной мере как на процессы (работающие в системе программы), так и на пользователей системы.

Разграничение функциональных обязанностей подразумевает орга­низацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важный с точки зрения целост­ности процесс, необходимо участие различных пользователей. Этим га­рантируется, что один пользователь не может выполнить весь процесс целиком (или даже две его стадии) с тем, чтобы нарушить целостность данных. В обычной жизни примером воплощения данного принципа слу­жит передача одной половины пароля для доступа к программе управле­ния ядерным реактором первому системному администратору, а другой – второму.

Как отмечено выше, принцип минимизации привилегий распростра­няется и на программы, и на пользователей. Последним, однако, на прак­тике трудно назначить "теоретически достижимый" минимальный уровень привилегий по двум причинам. Во-первых, пользователи выполняют раз­нообразные задачи, требующие различных привилегий. Во-вторых, если строгое соблюдение принципа минимизации в отношении процессов свя­зано с соображениями стоимости и производительности, то в отношении пользователей оно, скорее, затрагивает вопросы этики и морали, а также удобства и эффективности работы – это факторы, которые не поддаются точной количественной оценке. Поэтому пользователи будут, как правило, иметь несколько больше привилегий, чем им необходимо для выполнения конкретного действия в данный момент времени. А это открывает воз­можности для злоупотреблений. Аудит произошедших событий (включая возможность восстановления полной картины происшедшего) является превентивной мерой в отношении потенциальных нарушителей.

Принцип объективного контроля, согласно [25], также является од­ним из краеугольных камней политики контроля целостности. Суть данно­го принципа заключается в том, что контроль целостности данных имеет смысл лишь тогда, когда эти данные отражают реальное положение ве­щей. Очевидно, что нет смысла заботиться о целостности данных, свя­занных с размещением боевого арсенала, который уже отправлен на пе­реплавку. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, целью которых является выявление возможных несоответствий между защищаемыми данными и объективной реально­стью, которую они отражают.

Управление передачей привилегий необходимо для эффективной работы всей политики безопасности (данное понятие рассматривается в гл. З). Если схема назначения привилегий неадекватно отражает органи­зационную структуру предприятия или не позволяет администраторам безопасности гибко манипулировать ею для обеспечения эффективности производственной деятельности, защита становится тяжким бременем и провоцирует попытки обойти ее там, где она мешает "нормальной" работе.

С некоторыми оговорками иногда в зарубежной научной литературе в основу контроля целостности закладывается и принцип обеспечения не­прерывной работы (включая защиту от сбоев, стихийных бедствий и дру­гих форс-мажорных обстоятельств), который в классической теории ком­пьютерной безопасности относится, скорее, к проблеме доступности данных.

В основу последнего девятого принципа контроля целостности – про­стота использования защитных механизмов – заложен ряд идей, при­званных обеспечить эффективное применение имеющихся механизмов обеспечения безопасности. На практике зачастую оказывается, что пре­дусмотренные в системе механизмы безопасности некорректно использу­ются или полностью игнорируются системными администраторами по следующим причинам:

•  неправильно  выбранные  производителем  конфигурационные пара­метры по умолчанию обеспечивают слабую защиту;

•  плохо  разработанные  интерфейсы управления  защитой усложняют использование даже простых средств безопасности;

•  имеющиеся средства безопасности не обеспечивают адекватный уро­вень контроля за системой;

•  реализация механизмов безопасности плохо соответствует сложив­шемуся у администраторов интуитивному их пониманию;

•  отдельные средства защиты плохо интегрированы в общую схему безопасности;

•  администраторы недостаточно осведомлены о важности применения конкретных механизмов защиты и их особенностях.

Простота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет также наиболее про­стым, и наоборот, самый простой - наиболее защищенным.

Модель контроля целостности Кларка-Вилсона

После того, как сформулировано определение понятия целостности данных и обсуждены основные принципы построения системы контроля целостности, в качестве примера политики контроля целостности рас­смотрим модель, предложенную Кларком и Вилсоном [25]. Другая извест­ная модель политики контроля целостности – модель Биба, которую с не­которой степенью условности можно охарактеризовать как интерпретацию модели Белла-Лападулы для случая контроля целостности (подробнее см. в гл. 3).

Модель Кларка-Вилсона появилась в результате проведенного ав­торами анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. В отличие от моделей Биба и Белла-Лападулы, она изначально ориентирована на нужды коммерче­ских заказчиков, и, по мнению авторов, более адекватна их требованиям, чем предложенная ранее коммерческая интерпретация модели целостно­сти на основе решеток. Основные понятия рассматриваемой модели - это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и оп­ределяет две категории объектов данных и два класса операций над ними.

Все содержащиеся в системе данные подразделяются на контроли­руемые и неконтролируемые элементы данных (constrained data items-GDI и unconstrained data items-UDI соответственно). Целостность первых обеспечивается моделью Кларка-Вилсона. Последние содержат инфор­мацию, целостность которой в рамках данной модели не контролируется (этим и объясняется выбор терминологии).

Далее, модель вводит два класса операций над элементами данных: процедуры контроля целостности (integrity verification procedures - IVP) и процедуры преобразования (transformation procedures - TP). Первые из них обеспечивают проверку целостности контролируемых элементов данных (CDI), вторые изменяют состав множества всех CDI (например, преобра­зуя элементы UDI в GDI).

Наконец, модель содержит девять правил, определяющих взаимоот­ношения элементов данных и процедур в процессе функционирования системы.

Правило С1. Множество всех процедур контроля целостности (IVP) должно содержать процедуры контроля целостности любого элемента данных из множества всех GDI.

Правило С2. Все процедуры преобразования (ТР) должны быть реа­лизованы корректно в том смысле, что не должны нарушать целостность обрабатываемых ими GDI. Кроме того, с каждой процедурой преобразо­вания должен быть связан список элементов GDI, которые допустимо об­рабатывать данной процедурой. Такая связь устанавливается админист­ратором безопасности.

Правило Е1. Система должна контролировать допустимость приме­нения ТР к элементам GDI в соответствии со списками, указанными в пра­виле С2.

Правило Е2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования с указанием допус­тимого для каждой ТР и данного пользователя набора обрабатываемых элементов GDI.

Правило СЗ. Список, определенный правилом С2, должен отвечать требованию разграничения функциональных обязанностей.

Правило ЕЗ. Система должна аутентифицировать всех пользовате­лей, пытающихся выполнить какую-либо процедуру преобразования.

Правило С4. Каждая ТР должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой ТР. Журнал регистрации - это специальный элемент GDI, предназначенный только для добавления в него информации.

Правило С5. Любая ТР, которая обрабатывает элемент UDI, должна выполнять только корректные преобразования этого элемента, в резуль­тате которых UDI превращается в GDI.

Правило Е4. Только специально уполномоченное лицо может изме­нять списки, определенные в правилах С2 и Е2. Это лицо не имеет права выполнять какие-либо действия, если оно уполномочено изменять регла­ментирующие эти действия списки.

Роль каждого из девяти правил модели Кларка-Вилсона в обеспече­нии целостности информации можно пояснить, показав, каким из теорети­ческих принципов политики контроля целостности отвечает данное правило. Напомним, что первые шесть из сформулированных выше принци­пов это:

1) корректность транзакций;

2) аутентификация пользователей;

3) минимизация привилегий;

4) разграничение функциональных обязанностей;

5) аудит произошедших событий;

6) объективный контроль.

Соответствие правил модели Кларка-Вилсона перечисленным прин­ципам показано в табл. 2.4. Как видно из табл. 2.4, принципы 1 (коррект­ность транзакций) и 4 (разграничение функциональных обязанностей) реализуются большинством правил, что соответствует основной идее модели.

Таблица 2.4

Правило модели Кларка-Вилсона

Принципы политики контроля целостности, реализуемые правилом

С1

1,6

С2

1

Е1

3,4

Е2

1, 2, 3,4

СЗ

4

ЕЗ

2

С4

5

С5

1

Е5

4

Публикация описания модели Кларка-Вилсона вызвала широкий от­клик среди исследователей, занимающихся проблемой контроля целост­ности. В ряде научных статей рассматриваются практические аспекты применения модели, предложены некоторые ее расширения и способы интеграции с другими моделями безопасности.

За пределами рассмотрения проблемы обеспечения целостности информации остались различные формальные описание свойства цело­стности, основанные на математических аппаратах теории множеств и процессов. Среди них и "Основная теорема целостности", для изложения которой в рамках данного пособия потребовалось бы привести в большом объеме вводные формальные рассуждения, не связанные с проблемой напрямую. Интересующимся следует обратиться к первоисточникам.

Защита памяти

В АС, в частности в любой ОС, память разделена (по меньшей мере логически) на области, которые используют ее компоненты, а также про­граммы пользователей. При этом необходимо обеспечить защиту облас­тей памяти от вмешательства в них посторонних компонентов, т. е. разгра­ничить доступ приложений к областям памяти, а в многозадачной среде – и к областям памяти друг друга. Кроме того, необходимо решить пробле­му организации совместного доступа различных приложений к некоторым областям памяти. Обычно для этого используется один из трех подходов:

• совместный доступ полностью исключен, возможно только монополь­ное использование области памяти;

• допустимы только строго оговоренные типы доступа к содержимому данной области памяти, например согласно таблице вида


Чтение

Запись

Исполнение

Приложение 1

Да

Да

Да

Приложение 2

Да

Да

Нет

Приложение 3

Да

Нет

Нет

•  совместный доступ разрешен и ничем не ограничен.

Совместный доступ может быть организован или к оригиналу облас­ти памяти, или предоставлением каждой программе индивидуальной ко­пии области. В последнем случае потребуется осуществлять синхрониза­цию обновлений области различными приложениями, а в первом - исклю­чение одновременного изменения ее несколькими программами. Следует также учесть, что в совместное пользование могут быть предоставлены не только данные, но и исполняемый код. Таким образом, в задачи АС по предоставлению областей памяти в совместное пользование входят:

•  организация  последовательного,  взаимоисключающего доступа  не­скольких программ к совместно используемым объектам;

•  ограничение возможностей совместно используемых программ по ма­нипулированию информацией различной ценности. Кратко рассмотрим основные способы защиты памяти.

Барьерные адреса

Барьерный адрес указывает на начало пользовательской области памяти, отделяя ее от области памяти, в которой размещается програм­мы АС и ее данные (как правило, это области младших адресов). Это на­поминает забор, построенный дачником, чтобы отгородиться от назойли­вого соседа.

В предположении, что АС размещена в области младших адресов, можно определить функционирование механизма барьерного адреса сле­дующим образом. При каждом обращении пользовательской программы к памяти адрес запрашиваемой ячейки сравнивается с барьерным. Допус­тимыми считаются обращения к ячейкам памяти с адресами, большими барьерного адреса. Программа, которая пытается обратиться к памяти АС (т. е. к ячейке с адресом, меньшим барьерного) аварийно завершается выдачей пользователю сообщения об ошибке.

Значение барьерного адреса может быть представлено константой, записанной в поддерживающей АС аппаратуре, что накладывает ограни­чения на максимальный размер самой АС или может привести к неэф­фективному использованию ресурсов памяти, если размер АС достаточно мал и она оставляет неиспользованной часть отведенного ей адресного пространства. Другой, более гибкий способ задания барьерного адреса – его хранение в специальном регистре, значение которого устанавливается привилегированной командой в начале работы АС и может динамически изменяться в соответствии с ее потребностями. Последний подход накладывает ограничение на механизмы адресации, используемые исполняе­мыми в данной АС программами.

Физические адреса данных загруженной в память программы опре­деляются сложением логических адресов со значением барьерного адре­са. Т. е. предполагается, что логическое адресное пространство програм­мы начинается с нулевого адреса, соответствующего ячейке, начиная с которой программа размещается в памяти.

Если определение физических адресов на основе заданных в про­грамме логических адресов происходит на этапе компиляции, то для кор­ректной работы программы необходимо, чтобы известный на этапе ком­пиляции барьерный адрес оставался неизменным на протяжении всей работы программы и при каждом повторном ее запуске. Другими словами, использование программ возможно только, если барьерный адрес задан в качестве константы (в АС или поддерживающей ее аппаратной платфор­ме), и программа загружается в фрагмент памяти, адрес которого строго задан. В противном случае изменение барьерного адреса потребовало бы перекомпиляции всех написанных для данной АС программ.

В том случае, когда определение физических адресов происходит в момент загрузки программы в память, подобного строгого ограничения нет. Однако сохраняется требование неизменности барьерного адреса в процессе выполнения программы. При изменении барьерного адреса про­грамму нужно загрузить в память повторно.

В обоих рассмотренных случаях на этапе выполнения программы адреса ее данных задавались в абсолютном формате (загруженная про­грамма содержала реальные значения физических адресов), что накла­дывало ограничения на способ изменения барьерного адреса АС. Более гибкий способ перераспределения памяти между АС и приложениями обеспечивает механизм динамических областей памяти.

Динамические области памяти

Физические адреса программных данных могут вычисляться не толь­ко, как описывалось выше, в момент компиляции или загрузки программы, но и непосредственно в процессе ее выполнения. При этом логические адреса данных, как и раньше, начинаются с нулевого, а при обращении к ячейке памяти ее физический адрес вычисляется сложением логического со значением барьерного адреса. Таким образом обеспечивается воз­можность изменения последнего в ходе выполнения программы, а программы АС и приложение занимают динамические области памяти.

Рассмотренные выше способы защиты реализуют только разграничение доступа к памяти АС и приложений. Однако в многозадачной системе необходимо также отдельно защитить данные каждого приложения. Такие механизмы рассматриваются ниже.

Адресные регистры

Доступная пользовательской программе область памяти может быть ограничена парой хранящихся в регистрах значений: начальным и конечным адресом области. При этом каждой программе отводится отдельная область памяти и отдельная пара адресных регистров.

Один из вариантов использования адресных регистров - это хране­ние в них начального и конечного физических адресов области памяти приложения. В этом случае при каждом обращении программы к памяти проверяется принадлежность адреса заданному содержимым этих реги­стров промежутку.

Другой способ применения адресных регистров - задание в них базо­вого и предельного адресов области памяти приложения, причем первый является физическим, а второй – логическим. Адрес, по которому проис­ходит обращение к памяти, сначала сравнивается с содержимым регист­ра, задающего предельно допустимый логический адрес (напоминание: адресация в логическом пространстве начинается с нуля). Если указан­ный в программе адрес меньше предельного, для получения физического адреса к нему прибавляется значение базового. В противном случае про­грамма аварийно завершается. Такой способ в отличие от предыдущего допускает динамическое перемещение программы в памяти.

Более надежные способы защиты памяти на основе адресных реги­стров предполагают использование двух пар регистров для каждой про­граммы: отдельно для фрагмента кода и данных. При этом запись в пер­вый фрагмент может быть запрещена для защиты кода от изменения (как предполагается, непреднамеренного).

Все уже рассмотренные способы защиты памяти обладают одной общей особенностью, а именно, обеспечивают защиту выделенной об­ласти памяти, состоящей из последовательно расположенных ячеек. Од­нако нередко возникает необходимость более тонко разграничивать дос­туп к памяти, что можно реализовать с помощью ключей доступа. Ключ доступа - это устанавливаемый операционной системой атрибут отдель­ной ячейки памяти, на основе которого затем осуществляется проверка допустимости каждого обращения, например:


Адрес ячейки

Чтение

Запись

Исполнение

000000315

Да

Да

Нет

000000316

Да

Нет

Нет

000000317

Да

Нет

Да

Другая особенность механизма защиты с применением адресных ре­гистров связана с организацией совместного использования областей памяти. Две пары регистров (для кода и данных, как говорилось выше) позволяют эффективно организовать совместное использование только фрагментов кода (запись в которые запрещена). Для защиты фрагмента данных от непреднамеренного искажения в результате операций записи необходимы дополнительные средства (адресные регистры позволяют контролировать только сам факт доступа к области памяти, но не кон­кретный способ осуществления доступа: чтение или запись).

Более совершенные средства защиты памяти обеспечиваются меха­низмами страничной организации памяти и сегментации.

Страницы и сегменты памяти

При страничной организации памяти все адресное пространство разделяется на блоки фиксированного размера (страницы). Проверка до­пустимости адресов и преобразование логических адресов в физические при обращениях к памяти осуществляется с помощью таблицы страниц, каждая запись которой содержит начальный адрес расположения страни­цы в памяти. Логический адрес имеет формат <номер страницы, смеще­нием По номеру страницы определяется физический адрес ее первой ячейки, к которому затем прибавляется смещение. С каждой страницей ассоциирован ключ доступа, определяющий набор допустимых операций (чтение, запись, исполнение).

Такая схема организации памяти поддерживает совместное исполь­зование страниц: в таблицах страниц отдельных приложений могут быть описаны одни и те же страницы физической памяти. Однако более изо­щренное управление доступом в страничной модели затруднено из-за того, что на одной странице могут находиться различные по своей приро­де объекты (например, код и данные некоторой программы).

Смысл сегментной организации памяти заключается в том, чтобы предоставить индивидуальные (возможно, неодинаковые по размеру) об­ласти памяти логически различным частям программы. Например, в от­дельные сегменты могут быть помещены данные с различным типом дос­тупа или код основной части программы и вызываемых ею подпрограмм. Преобразование логических адресов в физические происходит на основе содержимого таблицы сегментов, куда заносятся базовый и предельный адреса каждого сегмента (они обсуждались при описании функциониро­вания адресных регистров). Логический адрес имеет формат <номер сег­мента, смещение>, похожий на формат, применяемый в страничной адре­сации. Однако теперь каждый сегмент содержит однородные объекты, которым необходим одинаковый уровень защиты, так же как и выше, обеспечиваемый ключом доступа. Возможно совместное использование сегментов данных и кода, отдельные участки которого (например, проце­дуры и функции) могут быть предоставлены в совместное использование независимо от основной программы.

3. Защита от угрозы нарушения целостности информации на уровне содержания

Защита от угрозы нарушения целостности информации на уровне содержания в обычной практике рассматривается как защита от дезин­формации. Пусть у злоумышленника нет возможности воздействовать на отдельные компоненты АС, находящиеся в пределах контролируемой зо­ны, но если источники поступающей в нее информации находятся вовне системы, всегда остается возможность взять их под контроль противобор­ствующей стороной. В соответствии с [18] при намеренной дезинформа­ции применяют как заведомую ложь, так и полуправду, исподволь подтал­кивающую воспринимающих ее к ложным суждениям. Наиболее распро­страненными приемами здесь являются:

•  прямое сокрытие фактов;

•  тенденциозный подбор данных;

•  нарушение логических и временных связей между событиями;

•  подача правды в таком контексте (добавлением ложного факта или намека), чтобы она воспринималась как ложь;

•  изложение важнейших данных на ярком фоне отвлекающих внимание сведений;

•  смешивание разнородных мнений и фактов;

•  изложение  данных  словами,  которые  можно  истолковывать  по-разному;

•  отсутствие упоминания ключевых деталей факта.

Кроме того, в процессе сбора и получения информации возникают искажения, которые чаще всего происходят из-за:

•  передачи только части сообщения;

•  интерпретации услышанного в соответствии со своими знаниями и представлениями;

•  пропуска фактуры через призму субъективно-личностных отношений. Для успешности борьбы с вероятной дезинформацией следует:

•  различать факты и мнения;

•  применять дублирующие каналы информации;

•  исключать все лишние промежуточные звенья и т. п.

Проблема защиты информации в АС от угрозы нарушения целостно­сти на уровне содержания информации до сих пор не ставилась, по-видимому, в силу того, что в качестве автоматизированных систем рас­сматривались, как правило, системы типа складского и бухгалтерского учета, в которых изменение содержания одной записи практически не вы­зывало противоречий в содержаниях остальных записей. По мере усложнения алгоритмов обработки информации, расширения применения в по­вседневной практике экспертных и самообучающихся систем и т. п. каче­ство вводимой информации начинает играть все более важную роль. Простейшим примером здесь может служить программирование на язы­ках типа Пролог, когда задание неверного правила, т. е. информации, це­лостность которой нарушена, может привести к неверному результату (в том числе зацикливанию и зависанию) программы.

Вместе с тем, даже в обычных учетных АС необходимо предусмат­ривать наличие подсистем, проводящих первичный смысловой анализ и в определенной степени контролирующих работу оператора. Примером простейшей легко реализуемой смысловой проверки является контроль соблюдения диапазона дат. Так, персональный компьютер, хранящийся на складе, не может быть выпущен раньше 1980 г. Более сложные алго­ритмы контроля связаны со спецификой обрабатываемой информации и технологии ее обработки. Наличие подобных подсистем позволяет защи­тить информацию в АС не только от случайных, но и преднамеренных ошибок.