Теория и практика защиты программ
Для полного решения проблемы анализа
Для полного решения проблемы анализа безопасности программ необходимо осуществить следующие действия [ПБП].
Таблица 7.1
Методы | Контрольно-испытательные | Логико-аналитические |
Способ представления предметной области | Пространство отношений программы с объектами КС. | Пространство программ. |
Принцип поиска РПС | Фиксация установления программой нелегитимности отношения доступа к объектам КС. | Доказательство принадлежности программы к множеству РПС. |
Поиск проблемы неразрешимости легитимности отношений | С помощью аппроксимации пространства легитимных отношений для данной программы и КС. | С помощью сведения к проблеме разрешимости множества РПС и анализ безопасности относительно разрешимого подмножества РПС. |
Решение проблемы перечислимости рабочего пространства | Статистические и экстраполяционные методы теории верификации и функционального тестирования. | Не требуется. |
Продолжение таблицы 7.1
Ошибки первого рода | Весьма вероятны. Чем строже требования, предъявляемые в заданной КС, тем больше вероятность ошибки. | При строгом доказательстве разрешимости подмножества РПС и корректно определенной характеристической функции исключены. |
Ошибки второго рода | Маловероятны. Чем строже требования по безопасности, тем меньше вероятность ошибки. | Неизбежны. Определяются мощностью выбранного разрешимого подмножества РПС. |
Преимущества | Не требует теоретической подготовки. Допускает использование имеющихся стандартных программных средств. Устойчивость к ошибкам второго рода. Метод отражает требования конкретных КС. | Опирается на формальные методы. Не требует значительных затрат на этапе применения. Высокая надежность полученных результатов относительно выбранного подмножества РПС. Инвариантность метода по отношению к различным классам программ. Позволяет создавать автоматические простые и доступные средства проверки безопасности. |
Недостатки | Проведение испытаний требует существенных затрат времени и других ресурсов. Процесс тестирования требует выделения испытательной КС и должен проводится специалистами. | Подтверждены ошибками второго рода – проверяется лишь часть множества РПС. |
1. Создать теоретические основы анализа безопасности ПО, создать словарь предметной области и осуществить в рамках этого словаря формальную постановку задачи анализа безопасности ПО;
2. Создать методы анализа безопасности ПО, используя выбранные формальные определения, доказать их эффективность и реализуемость;
3. Создать конкретные программные средства, реализующие методы анализа безопасности программ в конкретных аппаратно-программных средах;
4. Создать методики применения этих средств и оценить их эффективность.
