Розширення логіко-графової моделі інформаційними компонентами
Збережено в:
| Дата: | 2009 |
|---|---|
| Автор: | |
| Формат: | Стаття |
| Мова: | Ukrainian |
| Опубліковано: |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
2009
|
| Назва видання: | Моделювання та інформаційні технології |
| Онлайн доступ: | http://dspace.nbuv.gov.ua/handle/123456789/21175 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Розширення логіко-графової моделі інформаційними компонентами / О.В. Шевченко // Моделювання та інформаційні технології: Зб. наук. пр. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 51. — С. 151-159. — Бібліогр.: 2 назв. — укр. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
irk-123456789-21175 |
|---|---|
| record_format |
dspace |
| spelling |
irk-123456789-211752013-02-13T03:08:16Z Розширення логіко-графової моделі інформаційними компонентами Шевченко, О.В. 2009 Article Розширення логіко-графової моделі інформаційними компонентами / О.В. Шевченко // Моделювання та інформаційні технології: Зб. наук. пр. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 51. — С. 151-159. — Бібліогр.: 2 назв. — укр. XXXX-0068 http://dspace.nbuv.gov.ua/handle/123456789/21175 683.05 uk Моделювання та інформаційні технології Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Ukrainian |
| format |
Article |
| author |
Шевченко, О.В. |
| spellingShingle |
Шевченко, О.В. Розширення логіко-графової моделі інформаційними компонентами Моделювання та інформаційні технології |
| author_facet |
Шевченко, О.В. |
| author_sort |
Шевченко, О.В. |
| title |
Розширення логіко-графової моделі інформаційними компонентами |
| title_short |
Розширення логіко-графової моделі інформаційними компонентами |
| title_full |
Розширення логіко-графової моделі інформаційними компонентами |
| title_fullStr |
Розширення логіко-графової моделі інформаційними компонентами |
| title_full_unstemmed |
Розширення логіко-графової моделі інформаційними компонентами |
| title_sort |
розширення логіко-графової моделі інформаційними компонентами |
| publisher |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| publishDate |
2009 |
| url |
http://dspace.nbuv.gov.ua/handle/123456789/21175 |
| citation_txt |
Розширення логіко-графової моделі інформаційними компонентами / О.В. Шевченко // Моделювання та інформаційні технології: Зб. наук. пр. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 51. — С. 151-159. — Бібліогр.: 2 назв. — укр. |
| series |
Моделювання та інформаційні технології |
| work_keys_str_mv |
AT ševčenkoov rozširennâlogíkografovoímodelíínformacíjnimikomponentami |
| first_indexed |
2025-07-02T21:42:40Z |
| last_indexed |
2025-07-02T21:42:40Z |
| _version_ |
1836573064206221312 |
| fulltext |
151© О.В. Шевченко
УДК 683.05
О.В. Шевченко
РОШИРЕННЯ ЛОГІКО-ГРАФОВОЇ МОДЕЛІ
ІНФОРМАЦІЙНИМИ КОМПОНЕНТАМИ
Розширенням логіко-графової моделі Η
LG
являється опис залежностей
виникнення тих, чи інших подій xij від різних причин { }iki ξξ ,,1 K .
Відповідні причини виникнення окремої події являються наслідком
існування загроз { }kζζ ,,1 K . Оскільки загроза являється властивістю
об’єкта захисту, то вона сама по собі не може бути причиною виникнення ix .
Це можливо тільки у тому випадку, коли загроза являється критичною
( ) ( )ii
k
ii ζξζζ =→= . Прикладом критичної загрози являється ситуація,
коли відповідна загроза безпосередньо впливає на процес функціонування
об`єкту. У випадку, коли загроза характеризує апаратну частину реалізації
об`єкту, то загрозою може бути використання електронного елементу у схемі
параметр потужності якого недостатньо великий. Через це час,
функціонування елемента є значно меншим від величини часу нормального
функціонування, що визначений у документації. Коли відповідний елемент
відмовляє, то це приводить до порушення у роботі об`єкту. У даному
випадку, причини виникнення тих, чи інших подій xi обумовлюються
загрозою, або рядом загроз, використання яких деяким чинником, у ролі
якого виступає атака, приводить до можливості виникнення певної події.
Формально, це записується у вигляді наступного співвідношення:
( )mix ζζψ ,,1 K= (1)
Прикладом, що ілюструє таку можливість, по відношенню до апаратних
засобів деякого об`єкту, може бути наступне. Нехай, атака на об`єкт
представляє собою послідовність дій, що полягають у реалізації перепадів
напруги живлення деякої компоненти апаратної частини об`єкту. Тоді, якщо
у відповідній частині апаратних засобів використовуються елементи, які
можуть витримати тільки обмежену кількість таких перепадів напруги
кожний з яких визначається зміною величини напруги, або струму не більше
ніж на деяку задану величину, то такий елемент представляє собою загрозу,
яка характеризується у рамках даного прикладу, двома параметрами -
інтервалом часу дії таких сачків 1ζ , та величиною зміни значення напруги у
момент такого її перепаду напруги 2ζ . Очевидно, що така загроза iζ сама по
собі, без дії зовнішніх чинників (атаки), якщо об`єкт працює у штатному
режимі, з заданою величиною стабільності напруги живлення, не приведе до
152
виникнення деякої події ix . Таким чином, можна написати наступне
співвідношення:
( )mi ζζϕζ ,,1 K= (2)
Слід зауважити, що описана ситуація стосовно загроз iζ , може мати
місце і по відношенню до програмних засобів реалізації компонент об`єкту,
що захищається. Необхідність розподілу фактору події на два класи: самої
події та причини виникнення певної події, що можна описати залежністю у
вигляді:
( ) ijiki x→ξξ ,,1 K (3)
обумовлюється тим, що атаки наряду з іншими подіями, які можуть
виникнути в об`єкті, мають свою визначену послідовність. Ці події
обумовлюються, а також мають інтерпретаційні описи у предметній області
iW , або
[ ]inikimii xx βββ KKK ∗∗= ||1 , (4)
де ijβ - слова природної мови, які описують відповідні події, серед яких є
окремі події, що визначаються як ціль атаки, яка позначається як с
ijx . Така
подія може бути однією з цілого ряду можливих подій, що мають, або
можуть мати місце в об`єкті.
Другою причиною такого поділу є те, що одні і ті ж самі причини
imi ξξ ,,1 K , але в іншій комбінації можуть спричиняти іншу подію ikx .
Суміщення множини подій mxx ,,1 K , з причинами їх виникнення привело б
не тільки до необґрунтованого ускладнення описів, але й до того, що причина
деякої події, як певний фактор відповідних подій ix , інтерпретувалась би як
сама подія. Якщо звернутися до приведеного вище прикладу з електронним
елементом, на якій діють перепади напруги, то при певних структурних, або
схемних розв`язаннях у проекті апаратних засобів, вихід з ладу такого
елементу може не привести до події, яка полягає у відмові об`єкту у виконати
деякі функції, або у її виконанні способом, що непередбачений технічними
умовами. Також це може мати місце, якщо відповідний фрагмент схеми є
резервований у вигляді гарячого резерву, або його функціонування не має
відношення до реалізації поточного алгоритму функціонування. Це може
мати місце завдяки тому, що живлення на цей фрагмент подається незалежно
від того, чи він приймає участь у реалізації поточного алгоритму
функціонування, чи ні, наприклад, якщо цей елемент пов`язаний з
реалізацією виводу на друкування деякої поточної інформації, але ця функція
не використовується для виконання процесів встановлення з`єднання між
абонентами і т.д. Тому, можна говорити про певну ієрархію, яка існує у
рамках загальної моделі забезпечення безпечного функціонування об`єкту,
між різними компонентами такої логіко-ймовірнісної моделі. Таку ієрархію
153
можна записати у вигляді деякого списку, в якому спочатку описуються
параметри, або фактори, що мають найвищій рівень в ієрархічний структурі.
Такий список можна представити наступним чином:
- фактори { }mkiji xxx ,,,,1 KK , що описують події, які впливають на
штатні режими роботи об`єкту;
- фактори { }nξξ ,,1 K , що описують причини виникнення подій ijx і
зв`язані з подіями, у рамках даної роботи логічними залежностями;
( )imiij Lx ξξ ,,1 K= (5)
- фактори, що можуть викликати виникнення інших факторів iξ , які
обумовлюються загрозами iζ ;
- фактори ijζ , які представляють собою параметри, що описують, або
визначають загрози iζ .
Формально, така ієрархічна структура може бути у загальному вигляді,
записана у вигляді наступного виразу:
( )[ ] ( )[ ]
( )[ ] ( )[ ]C
ikigiini
iimiiiki
xxxx →⇒→⇒
⇒→⇒→
,,,
,,,,
,11
11
KK
KK
ξξ
ξζζζξξ
(6)
На рисунку 3.2. приведено фрагменти ієрархічної системи зв`язків між
основними факторами, за допомогою яких реалізуються атаки.
Рис. 1. Схема фрагментів та поділи цих фрагментів загальної системи LGΗ на рівні
ієрархії
Загрози ijζ , що являються характеристиками об`єкту, визначається
параметрами ijζ , які існують в об`єкті захисту, як результат того чи іншого
способу проектування системи. Крім того, загрози в об`єкті захисту можуть
формуватися або зароджуватися у процесі функціонування об`єкту під дією
фізичних процесів, що є природними для елементів даного об`єкту, чи
компонент об`єкту у цілому. Прикладом таких процесів можуть бути процеси
II I
ζ1 ζ3 ζ5
ζ2
ζ7
ζ4
ζ6
Z3
Z1
Z2 Z4
Z5
Z6
Z7 ξ1 ξ3
ξ4
ξ6
ξ2
ξ5
ξ7
x23
x21
x22
x12 x23
x32
xc
41
IV III
x42
154
фізичних змін, які у діагностиці прийнято називати процесами старіння. У
програмних компонентах, незалежно від того, що останні являються описом
алгоритмів функціонування фізичних елементів і компонент, також можуть
відбуватися зміни, які обумовлюються основними причинами процесів змін,
що називаються старінням. До таких причин відносяться наступні.
- час функціонування системи;
- режими роботи системи, що можуть змінюватися непередбачуваними
способами;
- зовнішні фактори, що не приводять до явно виражених наслідків свого
впливу на процес функціонування об`єкту, який охороняється.
Прикладом процесів зміни у програмних компонентах можуть служити
наступні фактори, які можна вважати залежними від приведених вище
причин. Наприклад, у результаті зміни режимів роботи ініціювалась
програма алгоритм дії якої привів до зміни деякої константи, чи даних, що
використовуються у інших випадках функціонування об`єкту. Такий випадок
настає лише через досить великі інтервали часу. Тоді, цю зміну можна
розглядати як таку, що залежна від часу функціонування об`єкту, що
відповідає першій з наведених причин. Оскільки відповідна зміна може
привести до впливу на процес функціонування у майбутньому, то вона може
бути віднесена до класу загроз, що виникають у процесі функціонування ТКС
і відносяться до програмних компонент. Зрозуміло, що більшість загроз у
програмній компоненті виникає на етапах проектування програмних частин
системи ТКС і тоді під дією причин, що приведені вище можуть мінятися
параметри відповідних загроз.
Розглянемо приклад взаємодії всіх процесів і факторів, що реалізуються
у випадку, коли ціль є визначеною у відповідної атаки. Наприклад, деяка
подія, яка є ціллю с
ix полягає у заміні адреси абонента, при реалізації
процесу надання послуги зв`язку. Причиною, що спричинила підміну адреси
може бути деяка програма, якщо розглядати цю процедуру у межах
програмних засобів, яка приводить до модифікації відповідної адреси.
Можливість такої несанкціонованої модифікації може мати наступну
природу:
- програма яка здійснює цільову модифікацію адреси, може бути
впроваджена несанкціонована, у склад програмних засобів, і тоді процес
такого впровадження відповідає стадії розвитку атаки;
- програмне забезпечення, може мати фрагменти або один фрагмент
алгоритму, який таку заміну реалізує у силу неоднозначності функціонування
програмної компоненти, яка займається формуванням адрес у системі ТКС.
У першому випадку існує зовнішня небезпека, яка ініціює завантаження,
необхідного фрагменту в систему програмного забезпечення,
використовуючи комп’ютерну мережу, або інші канали зв`язку системи з
зовнішнім середовищем. У рамках програмної компоненти, що орієнтована
на формування адрес абонентів, існує можливість докомпонувати її
155
додатковими фрагментами, які допускають активну взаємодію з
оригінальною частиною програмних засобів. Така взаємодія може
активізуватися на основі аналізу адрес, які необхідно модифікувати, якщо
такий аналіз проводить несанкціонована програма. У даному прикладі,
стадією зародження атаки являється процес завантаження необхідної
програми у програмну складову ТКС. У цьому випадку, загрозою для
відповідної програмної компоненти є відсутність у рамках її алгоритму
функції аналізу, або контролю відповідності всіх активних компонент
програми, що передбачені технічними вимогами. Наявність такого контролю
дозволила би виявити завантажений фрагмент програми, яка перед процесом
формування адреси абонента здійснює її контроль. Параметром такого типу
загрози може бути кількість умов, при яких такий контроль передбачено,
наприклад, контроль того чи здійснюється перевірка на вихід її частини за
допустимі границі окремі складові адресного поля пам’яті, в якій
розміщається відповідна складова. Якщо, при цьому виконується умова
перевірки того, чи не порівнюється поточний адрес, що формується, з
конкретним значенням цієї адреси, то нештатний фрагмент може виконати
свою функцію підміни окремого номера. Другою компонентою відповідної
загрози, являється відсутність блокування можливості довантаження до
комплекту функціонально визначених програм нових фрагментів у процесі
роботи системи ТКС. Стандартним засобом захисту проти таких довантажень
являється реалізація основних програм у постійній пам`яті, в якій деяка
програма записується на основі реалізації незворотних процесів.
При визначенні параметрів загрози, виходячи з графової структури, що
зображена на рис. 1, може мати місце ситуація, коли деяка загроза, наприклад
3ζ , характеризується одночасно параметрами 3ζ і 41ζ , які у залежності від
використання у вузлі графа 5ζ операції & чи V характеризують 3ζ . У
випадку використання & два параметри одночасно характеризують 3ζ , а
при використанні V , 3ζ може характеризуватись параметром 3ζ або 41ζ ,
або одночасно обома параметрами. У відповідності з прикладом структури
LGΗ на ІV рівні ієрархії, параметр 3ζ виникає з параметру 1ζ , а параметр
4ζ виникає на основі більш складної залежності між 7ζ і 2ζ , яку можна
описати у вигляді 472 ζζζ →→ . Хоча параметри 1ζ і 3ζ та параметри 2ζ ,
7ζ і 4ζ безпосередньо не визначають несправність 3ζ , ми все одно їх
відносимо до параметрів, що характеризують загрозу 3ζ . Це дозволяє
розширити можливості засобів захисту, що орієнтовані на усунення загроз.
Наприклад, якщо усунути або певним чином змінити значення параметру 2ζ ,
то це може привести до елімінації параметрів 4ζ і 6ζ , які згідно з
приведеним фрагментом структури моделі, являються безпосередніми
156
параметрами окремих загроз на третьому рівні LGΗ . Прикладів таких
залежностей можна приводити досить багато на основі аналізу предметної
області iW , що описує ТКС.
Важливою задачею для системи забезпечення безпечного
функціонування ТКС являється задача визначення, чи не приведе
використання деякого засобу захисту у довільному місці довільного
фрагменту моделі LGΗ до появи нових параметрів загроз і відповідно, до
виникнення нових загроз у рамках LGΗ . Ця проблема, або задача
безпосередньо зв`язана з задачею суперечності моделі LGΗ .
Суперечність у рамках даної моделі, має дещо ширше значення ніж
суперечність у математичній логіці. Якщо у математичній логіці уявлення
про суперечність означає можливість виводу двох суперечних співвідношень
з деякої логічної системи, причому під суперечністю розуміються такі
значення результатів обрахунку цих двох співвідношень, які допускають їх
суперечну інтерпретацію. Наприклад, для математичної логіки така
інтерпретація визначається на множині 0,1. У рамках моделі LGΗ існує
декілька типів суперечностей, які описуються наступними визначеннями.
Визначення 3.2. Локальна суперечність Lη має місце у тому випадку,
коли у системі захисту реалізується такий засіб захисту iλ , який елімінує
загрозу iζ , але приводить до появи загрози jζ , якої у LGΗ не було.
Формально це записується наступним співвідношенням:
( )[ ]{ }jiiji
LGL ζζλζζη →¬→∃¬∃Η∀= (7)
Визначення 3.3. Розширена суперечність Rη має місце у тому випадку,
коли один, або кілька засобів захисту kλλ ,,1 K приводять до елімінації
загроз imi ζζ ,,1 K , але спричиняють до появи нових загроз ini ζζ ,,1 K , і при
цьому має місце нерівність m<η .
Формально така суперечність описується наступним співвідношенням:
( ) ( ) ( ) ( )[{
( )] ( ) ( )[ ]}mkjmjikk
iijmjiki
LGR
<→¬→
¬→∃¬∃Η∀=
&,,&
&&,,,,
1
2211,,11
ζζζλ
ζλζλζζζζη
KK
KKK K (8)
Визначення 3.4. Допустима суперечність Dη має місце у тому випадку,
коли один, або кілька засобів захисту kλλ K1 приводить до елімінації не всіх
існуючих у системі HGΗ загроз.
Формально, це можна описати наступним співвідношенням у вигляді:
157
( ) [ ] ( )[ ]{ }mkn
LGD <¬→∃Η∀= &,, 111 ζλζζη K (9)
Розглянемо наступне твердження.
Твердження 3.1. Довільна система захисту λS є неповною, або не
забезпечує захисту від всіх можливих атак на систему, що захищається TLS .
Перш ніж доводити це твердження, розглянемо наступне визначення
стратегії протидії атакам системи захисту λS .
Визначення 3.5. Стратегія протидії ΡΩ атакам iΑ є допустимою, якщо
процес збільшення у λS засобів захисту iλ у системі захисту є збіжним, або
якщо кожний крок розширення λS хоча би одним iλ приводить до того, що
виконується співвідношення:
( ) ( ) ( )[ ]mkkni <→ &,,,, 11 ζζζζλ KK (10)
Приведене вище твердження означає, що для λλλ n,,1 K= у λS
завжди існує така ζζ ∈i і для якої у λS не існує засобу iλ який протидіяв
би атаці, що використовує загрозу iζ , або має місце співвідношення:
( ) ( ) ( )[ ]ii
LG
ii S ζλζλ λ ¬→¬Η∈∃∈∀ (11)
Система захисту λS деякого об`єкту TLS є повною, якщо виконуються
наступні умови:
- якщо у TLS і відповідно у LGΗ системи TLS не існує такої загрози,
для якої б у λS , що входить у склад TLS не існувало би відповідного засобу
захисту, щоб формально записується у вигляді співвідношення:
( ) ( )[ ] ( )[ ][ ]jiji
LG
i S ζλζλζ λ ¬→¬∃¬→∈∃Η∈∀ (12)
Система захисту λS об`єкту TLS є достатньою, якщо при виникненні
довільної атаки Α∈iα на TLS система LGΗ виявить загрозу iζ , якою
скористалась атака, і формує такий засіб iλ , який елімінує загрозу iζ і
зупинить розвиток відповідної атаки iα .
Твердження 3.1. можна довести спираючись на приведенні уявлення про
повноту та достатність TLSS ⊂λ .
Припустимо, що існує деяка система захисту λS , яка є повна. У цьому
випадку, це означало би, що у системі TLS у рамках LGΗ не існує загроз iζ
по визначенню, або для всіх існуючих загроз у TLSS ⊂λ існують такі iλ , що
158
має місце ( )[ ]iiii ζλλζ ¬→∀∀ . Оскільки небезпека, яку будемо позначати, як
деяку зовнішню системи NS по відношенню до TLS , по визначенню не має
у TLS повної інтерпретації, то це означає, що у NS має місце
( ) i
NS α→∈Α така, що ( ) ( )[ ]iiii ζλζα →¬
∗ & . У протилежному випадку у
TLS існувала б повна інтерпретація NS , або ( ) ( )TLN SJSJ ∈ . По
визначенню, така ситуація не можлива, по крайній мірі, на момент t0 , який
визначає початок функціонування TLS . З другого боку, якщо у ( )NSJ не
існує с
Jx , такої яка б співпадала з C
Jx і з LGΗ , то у NS не появиться iα , для
якої мало б місце ( )C
i
C
jkii xxx =→→= K1α . У цьому випадку iα не буде
виведена у NS . Більш того, має місце, співвідношення:
( ) ( ) ( )[ ] ( )TLNC
ji
C
ij
TLC
ji
NC
ij SSxxSxSx →¬→=∃¬∈∀∈∀ , (13)
де співвідношення TLN SS → означає, що NS може бути небезпекою для
TLS . Але по визначенню для TLS існує хоча би одна небезпека N
iS , тому
останнє співвідношення не можливе, що і доводить твердження.
Розглянемо твердження, про несуперечність системи захисту λS , яке
ґрунтується на використанні моделі LGΗ , що описує загрози iζ , їх
параметри iζ , та умови виникнення відповідних загроз, а також описує події,
що можуть мати місце у системі TLS і пов`язані з виникненням
недопустимих, або несанкціонованих ситуацій у системі, що охороняється.
Відмітимо, що всі події, що описуються у LGΗ відносяться до таких подій,
які можуть представляти собою ціль атаки, або можуть представляти собою
події, які сприяють досягненню або переходу до подій, що являються ціллю.
Обмежимося твердженням про локальну несуперечність моделі LGΗ .
Твердження 3.2. Система LGΗ локально не суперечна.
Приведене твердження означає, що має місце наступне:
( ) ( ) ( ) ( )[ ]
( ) ( ) )ii
HL
ii
ii
HL
i
HL
i
S
SSSS
ζλζλ
λλζζ λλ
¬→¬→
→→∉∉∈
&&
&&&
(14)
Кожен iλ являється деякою функцією iζ і тоді можна записати, що
( ) ( )[ ]miiii ζζψλλζ ,,1 K=→→ , оскільки ijζ визначають, або описують iζ ,
у відповідності з ( )mI ζζϕζ ,,11 K= . Тоді достатньо показати, що
( )[ ]ji
HL xS →¬ λ& . Розглянемо випадок коли i
k
ii ζζ 1& == . Тоді достатньо,
159
щоб ( )[ ] iii ζζψλ ¬→= ∗ . Поява нового iζ може мати місце тільки у тому
випадку, коли у NS і існує C
i
C
i xx = і ∗
ix є виводимим у HLS . Оскільки у
TLS немає повної інтерпретації NS , то припустимо, що у NS існує
∗= C
i
C
i xx . Тоді, досить показати, що HLS не виводиме з ( )HL
i S&λ . Якби
( ) ∗→ C
i
HL
i xS&λ , то мало би місце співвідношення
( ) ( ) ( )[ ]imiii
C
i JJxJ ζζϕζζ ,,1 K=→→∗ ∗∗ . Але iλ виводимо з λS і HLS
завдяки тому, що у HLS існує вивід ( ) ( )ii JxJ ζ→ . Це означає, що
( )[ ]ni ζζϕξ ,,1 K∈∀ існує хоча би один iζ такий, що ( )ii ζψλ ∗= . Вивід у
HLS jζ був би можливим, якщо б існувала залежність
( ) ( ) ( )∗→→¬ ∗ C
jji xjjJ ζζ . Але, по визначенню, має місце співвідношення:
( ) ( )HLN SJSJ ≠ (15)
Тому приведена залежність не можлива і ( ) ji
HLS ζλ →& не
виведення.
Як видно з доведення відсутності локальної суперечності Lη , останнє
ґрунтується на тому, що інтерпретація всіх цілей, які можуть існувати у NS
не може бути повністю відображена у HLS , оскільки у цьому випадку,
система TLS буде повною, що суперечить твердженню 3.1. Якщо твердження
3.1 було би невірне , то це означало би, що система TLS реалізована таким
чином, що всі можливі цілі NS враховані у λS , а у HLS описані всі можливі
загрози та події, що відвідають несанкціонованим ситуаціям. Це, у свою
чергу, означало би, що система TLS є повністю безпечна. Якщо б така
можливість існувала би по відношенню до однієї системи ТКС то можна було
би стверджувати, що можна створити повністю безпечні системи ТКС при
інших варіантах їх реалізації. Це суперечить тезі про те, що повністю
безпечних систем типу ТКС не існує. Додатковим аргументом справедливості
такої тези є те, що технічна система на протязі свого часу функціонування, як
і кожна фізична система попадає під дію цілого ряду чинників, які незалежно
від їх початкового стану призводять до змін в її компонентах, серед яких
можуть мати місце зміни негативного характеру.
1. Биргер И.А. Техническая диагностика. М.: Машиностроение, 1978.
2. Непомнящий В.А., Рякин О.М. Прикладные методы верификации программ. - М.:
Радио и связь, 1988.
Поступила 2.02.2009р.
|