Введение к работе
Актуальность темы исследования
Угрозы информационной безопасности, как указано в Стратегии национальной безопасности Российской Федерации до 2020 года, предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем. Также, на основании документа ФСТЭК России от 18.05.2007 г. «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» система управления железнодорожным транспортом определяется как ключевая система информационной инфраструктуры. Это, в свою очередь, определяет информационно-управляющие и автоматизированные системы, программные и программно-технические комплексы инфраструктуры железнодорожного транспорта и железнодорожного подвижного состава, в том числе и высокоскоростного, как системы управления критически важными объектами или технологическими процессами. Таким образом, для данных систем на железнодорожном транспорте выдвигаются усиленные требования к обеспечению информационной безопасности и защите информации.
Важную роль при обеспечении функциональной и информационной безопасности информационно-управляющих и автоматизированных систем играют верификация и подтверждение соответствия (сертификация и декларирование) программных средств (ПС) и программно-технических комплексов. Вопросам общей теории верификации, оценки подтверждения соответствия, выбору и оцениванию характеристик качества и безопасности ПС посвящены работы ряда отечественных и зарубежных специалистов: В. В. Липаева, А. А. Корниенко, М. А. Еремеева, А. Г. Ломако, И. Б. Шубинского, В. В. Кулямина, Д. В. Богданова, В. В. Фильчакова, Г. Майерса, Б. Боэма, Ч. Хоара, Э. Дейкстры и др. Вопросы построения и применения метрической теории программ к проблеме верификации ПС рассматривают в своих работах М. Холстед, У. Хансен, Дж. Майерс, Т. Мак-Кейб, 3. Чен и другие авторы. Оценивание трудоемкости проектирования и качества разработки программ с использованием метрик сложности проводится с помощью специализированных ПС, разрабатываемых компаниями Abraxas Software, IBM, М Squared Technologies, Math Works, McCabe Software, Microsoft, NDepend, OOO "PVS", Parasoft, Programming Research (PRQA), Rational Software, Scientific Toolworks, SonarSource и др.
Существующие процедуры и методы подтверждения соответствия ПС по требованиям безопасности информации обладают следующими недостатками:
значительная вычислительная сложность процедур статического и динамического анализа, что является особенно актуальным для архитектурно и
функционально сложных информационных систем, и, как следствие большая трудоемкость работы эксперта;
недостаточность предписанных нормативными документами проверок, непосредственно связанных с безопасностью ПС;
неопределенность действий экспертов и достоверности получаемых результатов при отсутствии точно декларированных способов проведения некоторых предписанных проверок;
сложность проведения испытаний в отсутствие исходных текстов программ.
Таким образом, выявлена проблемная ситуация, определяемая как противоречие между необходимостью обеспечения требуемого уровня качества и безопасности ПС и недостаточностью существующих методов и инструментальных средств подтверждения соответствия программ по требованиям безопасности информации, в частности, при контроле отсутствия недекларированных возможностей (НДВ). Задачи совершенствования процедур, методов и инструментальных средств контроля отсутствия НДВ для повышения полноты и сокращения времени выявления НДВ программ являются актуальными в области подтверждения и оценки соответствия ПС по требованиям безопасности информации.
Объект диссертационного исследования - программные средства при их верификации, подтверждении соответствия по требованиям безопасности информации и анализе защищенности.
Предмет диссертационного исследования - контроль наличия/отсутствия НДВ программных средств с использованием метрического анализа.
Цель диссертационного исследования - повышение полноты и сокращение временных затрат на проведение испытаний при контроле наличия/отсутствия НДВ программных средств.
Научная задача исследования состоит в разработке научно-методического обеспечения выявления НДВ программных средств на основе анализа семантик, структуризации моделей представления программ и оценивающих их метрик сложности.
Достижение поставленной цели и решение научной задачи требует решения следующих частных задач:
системный анализ проблемных вопросов верификации и подтверждения соответствия ПС по требованиям качества и безопасности информации на железнодорожном транспорте;
обоснование структурированных формальных моделей представления программных средств и оценивающих их метрик сложности;
разработка метода выявления НДВ программных средств на основе структурированных метрик сложности;
разработка и обоснование методики выявления НДВ программных средств на основе структурированных метрик топологической и информационной сложности и разработка практических рекомендаций по использованию метрического анализа при испытаниях на отсутствие НДВ.
Методы исследования: системный анализ, теория верификации ПС, формальная логика, аппарат алгебры Янова, методы программометрии.
Теоретическая основа и методологическая база исследования: труды отечественных и зарубежных ученых в области формальной верификации, оценки соответствия программных средств и программометрии, стандарты в области информационных технологий и информационной безопасности.
На защиту выносятся следующие научные результаты:
метод выявления дефектов, подобных НДВ, в программных средствах с использованием модели программы в виде схемы Янова и совокупности структурированных метрик сложности;
методика выявления НДВ программных средств в дизассемблированном коде с использованием структурированных метрик топологической и информационной сложности;
предложения по построению подсистемы метрического анализа и ее реализации в системе формальной верификации и выявления НДВ программных средств.
Научная новизна работы заключается в следующем:
предложен подход к выявлению НДВ, базирующийся на анализе формальных семантик, вычислительных структур и свойств программ, структуризации моделей представления программы и оценивающих их метрик сложности;
разработан метод выявления дефектов, подобных НДВ, основанный на формировании метрического базиса в виде структурированных метрик топологической и информационной сложности, приведении управляющего графа программы к каноническому представлению схемы Янова и продуктивной структуре, построении системы критериев метрического оценивания безопасности функциональных объектов (участков программного кода) на базе результатов экспериментальных исследований;
разработана методика выявления НДВ программ в дизассемблированном коде с использованием структурированных метрик топологической и информационной сложности и включением подсистем метрического анализа на этапах лексико-синтаксического и структурно-семантического статического анализа.
Достоверность полученных научных результатов определяется корректным применением методов исследования, внедрением результатов диссертационных исследований в организациях, испытательных лабораториях и их апробацией на научно-практических конференциях, выполненными экспериментальными исследованиями, сопоставлением результатов теоретических и экспериментальных исследований, выполненных автором диссертации и содержащихся в трудах других ученых, опубликованных в официальных источниках.
Практическая значимость результатов исследования состоит в возможности повышения полноты выявления НДВ и сокращении временных затрат при проведении испытаний при контроле отсутствия НДВ ПС за счет
использования разработанных метода и методики выявления НДВ программ в дизассемблированном коде с использованием структурированных метрик топологической и информационной сложности. В результате применения результатов исследования затраты времени на проведение статического анализа программного средства экспертом сократились в 1,5-2 раза.
Реализация результатов работы. Основные результаты диссертационных исследований внедрены в следующих организациях:
ФГБОУ ВПО ПГУПС;
ООО «ЦБИ»;
ФГУП «ЗащитаИнфоТранс».
Апробация работы. Основные результаты исследований излагались и обсуждались на научных семинарах кафедры «Информатика и информационная безопасность» ПГУПС, а также на международной научно-практической конференции «Инфотранс-2007, 2008» (Санкт-Петербург, ПГУПС), на VI международной научно-практической конференции «ТелекомТранс-2008» (Ростов-на-Дону, РГУПС), на III российской конференции с международным участием «Технические и программные средства систем управления, контроля и измерения» (Москва, Институт проблем управления имени В.А. Трапезникова РАН, 2012), на международной научно-практической конференции «Интеллектуальные системы на транспорте» (Санкт-Петербург, ПГУПС, 2011, 2012).
Публикации. По результатам исследования опубликовано 10 статей, 3 из которых - в журналах, рекомендуемых ВАК, 5 - в материалах общероссийских, межрегиональных и международных конференций, выпущено 1 учебное пособие, материалы исследования использованы в 2 научно-исследовательских работах, получено свидетельство о государственной регистрации программы для ЭВМ.
Структура диссертации. Диссертация включает введение, четыре главы, заключение, список использованных источников. Общий объем диссертации -161 с, из которых основного текста - 139 с. Библиографический список содержит 84 наименования. Основной текст диссертации включает 15 рисунков и 9 таблиц.
Похожие диссертации на Метод выявления недекларированных возможностей программ с использованием структурированных метрик сложности
