и пройти спеціальну програму тестування. Такою програмою став стандарт В«Common Criteria for Information Technology Security EvaluationВ» - загальні критерії безпеки інформаційних технологій. p align="justify"> Розробка стандарту завершилася в 1993 році. Через шість років Common Criteria офіційно був визнаний міжнародним стандартом широкого профілю використання: крім державних установ керуватися ним при виборі інформаційних систем змогли і звичайні споживачі. Common Criteria включив тести для безлічі видів продуктів: міжмережевих екранів, антивірусних систем, систем виявлення вторгнення, операційних систем і т. д.
МЕТОДИ І ЗАСОБИ АНАЛІЗУ БЕЗПЕКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
Широко відомі різні засоби програмного забезпечення виявлення елементів РПС - від найпростіших антивірусних програм-сканерів до складних отладчиков і дизассемблеров - аналізаторів і саме на базі цих засобів і виробився набір методів, якими здійснюється аналіз безпеки ПЗ.
Автори робіт пропонують розділити методи, використовувані для аналізу та оцінки безпеки ПЗ, на дві категорії: контрольно-випробувальні та логіко-аналітичні В основу даного поділу покладені принципові відмінності в точці зору на досліджуваний об'єкт (програму). Контрольно-випробувальні методи аналізу розглядають РПС через призму фіксації факту порушення безпечного стану системи, а логіко-аналітичні - через призму докази наявності відносини еквівалентності між моделлю досліджуваної програми і моделлю РПС. p align="justify"> У такій класифікації тип використовуваних для аналізу коштів не приймається до уваги - у цьому її перевага в порівнянні, наприклад, з поділом на статичний і динамічний аналіз.
Комплексна система дослідження безпеки ПЗ повинна включати як контрольно-випробувальні, так і логіко-аналітичні методи аналізу, використовуючи переваги кожного з них. З методичної точки зору логіко-аналітичні методи виглядають більш кращими, тому що дозволяють оцінити надійність отриманих результатів і простежити послідовність (шляхом зворотних міркувань) їх отримання. Однак ці методи поки ще мало розвинені і, безсумнівно, більш трудомісткі, ніж контрольно-випробувальні. br/>
Контрольно-випробувальні методи аналізу безпеки програмного забезпечення
Контрольно-випробувальні методи - це методи, в яких критерієм безпеки програми служить факт реєстрації в ході тестування програми порушення вимог з безпеки, що пред'являються в системі передбачуваного застосування досліджуваної програми. Тестування може проводитися за допомогою тестових запусків, виконання у віртуальній програмному середовищі, за допомогою символічного виконання програми, її інтерпретації та іншими методами. p align="justify"> Контрольно-випробувальні методи діляться на ті, в яких контролюється процес виконання програми й ті, в яких відстежуються зміни в операційному середовищі, до яких ...
