Анализ защищенности программного обеспечения
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?, Aвтoмaтизирoвaнные cиcтемы. Зaщитa oт неcaнкциoнирoвaннoгo дocтупa к инфoрмaции. Клaccификaция aвтoмaтизирoвaнных cиcтем и требoвaния пo зaщите инфoрмaции, Временнoе пoлoжение пo oргaнизaции рaзрaбoтки, изгoтoвления и экcплуaтaции прoгрaммных и техничеcких cредcтв зaщиты инфoрмaции oт неcaнкциoнирoвaннoгo дocтупa в aвтoмaтизирoвaнных cиcтемaх и cредcтвaх вычиcлительнoй техники, Cредcтвa вычиcлительнoй техники. Межcетевые экрaны. Зaщитa oт неcaнкциoнирoвaннoгo дocтупa к инфoрмaции. Пoкaзaтели зaщищеннocти oт НCД к инфoрмaции, ГOCТ Р 50739-95 Cредcтвa вычиcлительнoй техники. Зaщитa oт неcaнкциoнирoвaннoгo дocтупa к инфoрмaции. Oбщие техничеcкие требoвaния.
Особенности защиты программ нашли свое отражение в следующих руководящих документах: РД Защита информации от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контролю отсутствия недекларированных возможностей и проект РД Антивирусные средства. Показатели защищенности и требования по защите от вирусов.
В первом документе устанавливается классификация программного обеспечения автоматизированных систем и средств вычислительной техники по уровню контролю отсутствия в нем недекларированных возможностей, где уровень гарантированности определяется набором требований, предъявляемых к составу, объему и содержанию документации представляемой заявителем для проведения испытаний программ и к содержанию испытаний.
Во втором документе устанавливается классификация средств антивирусной защиты по уровню обеспечения защиты от воздействия программ-вирусов на базе перечня показателей защищенности и совокупности описывающих их требований.
Кроме того, следующие нормативные документы, так или иначе косвенно регламентируют отдельные вопросы обеспечения безопасности ПО:
ГОСТ 28195-89. Оценка качества программных средств. Общие положения;
ГОСТ 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;
ГОСТ ВД 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;
ТУ на конкретный вид продукции (ПО).
.4 Оценка защищенности ПО
.4.1 Качества систем защиты программного обеспечения
Анализ методов оценки качества программного обеспечения и методов построения систем защиты ПО показал следующее:
1.Системы защиты существенно отличаются по характеру реализованных в них алгоритмов.
2.Системы защиты можно разбить на сходные по функциональному признаку подсистемы.
3.Некоторые показатели качества систем защиты имеют специфические особенности, не позволяющие их оценивать методами оценки качества программного обеспечения общего назначения.
4.Системы защиты имеют показатели качества, сходные по характеру с показателями качества ПО общего назначения, которые можно оценивать методами оценки качества программного обеспечения общего назначения.
5.При оценке качества защиты конкретного ПО необходимо рассматривать не просто примененную в ней систему защиты ПО, а систему защищаемое ПО - система защиты ПО в целом.
На основе определения качества ПО (см. стр. 28) введем определение качества системы защиты ПО.
Качеством системы защиты ПО называется совокупность потребительских свойств системы защиты ПО, характеризующих ее способность удовлетворять потребность пользователей в защите ПО.
Под пользователями здесь понимаются разработчики ПО, которое нужно защитить и пользователи ПО, защищенного данной системой защиты.
Рассмотрим функционирование системы защищаемое ПО - система защиты ПО. Для этого представим эту систему в виде модели.
Модель системы защищаемое ПО - система защиты ПО имеет два
блока:
защищаемое ПО;
система защиты ПО.
Эти блоки связаны функционально. Все связи подразделяются на следующие классы:
инициализация работы защищаемого ПО (I);
проверка среды функционирования защищаемого ПО (C);
функции, необходимые для работы защищаемого ПО (F);
деинициализация работы защищаемого ПО (D) Инициализация работы защищаемого ПО (I) - это выполнение системой защиты ПО действий, необходимых для начала работы защищаемого ПО. Это могут быть: начальная загрузка данных и исполняемого кода в память, их расшифровка, передача управления защищаемому ПО, начальная проверка среды функционирования защищаемого ПО.
Проверка среды функционирования защищаемого ПО (С) - вызовы защищаемым ПО системы защиты для выполнения текущих проверок среды его функционирования. При этом система защиты ПО выполняет эти проверки и сообщает об их результате защищаемому ПО. Возможен вариант, при котором система защиты ПО сама принимает решение о дальнейшем функционировании защищаемого ПО, основываясь на результатах проверок. При этом не выполняется никаких действий, необходимых для функционирования защищаемого ПО.
Функции, необходимые для работы защищаемого ПО (F) - вызовы защищаемым ПО системы защиты ПО для выполнения действий, необходимых для работы защищаемого ПО:
расшифровка участков данных или исполняемого кода необходимых по ходу работы ПО;
выполнение элементов алгоритма работы защищаемого ПО.
Во втором случае система защиты ПО содержит алгоритмы, прямо не относящиеся к защите, но реализующие часть функций защищаемого ПО.