ще недостатній.
Проте вже можна зробити деякі узагальнення. Похибки захисту можуть бути значною міру знижені, якщо при проектуванні враховувати наступні основні принципи побудови системи захисту.
1. Простота механізму захисту . Цей принцип загальновідомий, але не завжди глибоко усвідомлюється. Дійсно, деякі помилки, не виявлені в ході проектування та реалізації, дозволяють знайти невраховані шляхи доступу. Тому необхідно ретельне тестування програмного або схемного апарата захисту, але на практиці така перевірка можлива тільки для найпростіших і компактних схем. 2. У механізмі захисту дозволу повинні переважати над заборонами . А це означає, що в нормальних умовах доступ повинен бути відсутній і для роботи схеми захисту необхідні умови, при яких доступ стає можливим. Крім того вважається, що заборона доступу при відсутності особливих вказівок забезпечує високий ступінь надійності механізму захисту. Помилка в схемі захисту, заснованої на використанні дозволів, призводить до розширення сфери дії заборон. Цю помилку легше виявити, і вона не порушить загального статусу захисту. p> 3. Контроль повинен бути всеосяжним . Цей принцип передбачає необхідність перевірки повноваження будь-якого звернення до будь-якого об'єкту і є основою системи захисту. Завдання управління доступом з урахуванням цього принципу повинна вирішуватися на загальносистемному рівні і для таких режимів роботи, як запуск, відновлення після збою, виключення і профілактичне обслуговування. При цьому необхідно забезпечити надійне визначення джерела будь-якого звернення до даних.
4. Механізм захисту може не засекречуватися , тобто не має сенсу засекречувати деталі реалізації системи захисту, призначеної для широкого використання. Ефективність захисту не повинна залежати від того, наскільки досвідчені потенційні порушники, так як набагато простіше забезпечити захист списку паролів (ключів). Відсутність же зв'язку між механізмом захисту і паролями дозволяє зробити при необхідності схеми захисту предметом широкого обговорення серед фахівців, не зачіпаючи при цьому інтереси користувачів. p> 5. Поділ повноважень, тобто застосування декількох ключів захисту. У СОД наявність декількох ключів захисту зручно в тих випадках, коли право на доступ визначається виконанням низки умов. p> 6. Мінімальні повноваження . Для будь-якої програми і будь-якого користувача повинен бути визначений мінімальний коло повноважень, необхідних для виконання дорученої роботи. Завдяки цим діям значною мірою зменшується збиток, що заподіюється при збоях і випадкових порушеннях. Крім того, скорочення числа обмінів даними між привілейованими програмами до необхідної мінімуму зменшує вірогідність ненавмисного, небажаного або помилкового застосування повноважень. Таким чином, якщо схема захисту дозволяє розставити "бар'єри" в системі, то принцип мінімальних повноважень забезпечує найбільш раціональне розташування цих "бар'єрів". p> 7. Максимальна відособленість механізму захисту . З метою виключення обмінів інформацією між користувачами при проектуванні схеми захисту рекомендується зводити до мінімуму число загальних для кількох користувачів параметрів і характеристик механізму захисту. Незважаючи на те, що функції операційної системи вирішення доступу перекриваються, система дозволу доступу повинна конструюватися як ізольований програмний модуль, тобто захист має бути відділена від функцій управління даними. Виконання цього принципу дозволяє програмувати систему дозволу доступу як автономний пакет програм з подальшою незалежної налагодженням і перевіркою. Пакет програм повинен розміщуватися для роботи в захищеному поле пам'яті, щоб забезпечити системну локалізацію спроб проникнення ззовні. Навіть спроба проникнення з боку програм операційної системи повинна автоматично фіксуватися, документуватися і відхилятися, якщо виклик виконаний некоректно. Природно, що в результаті реалізації відособленого механізму захисту можуть зрости обсяги програми і терміни на її розробку, виникнути дублювання керуючих і допоміжних програм, а також необхідність у розробці самостійних викликаються функцій.
8. Психологічна привабливість. Схема захисту повинна бути в реалізації простий. Природно, чим точніше збігається уявлення користувача про схему захисту з її фактичними можливостями, тим менше помилок виникає в процесі застосування. Використання деяких штучних мов при зверненні до схеми захисту зазвичай служить джерелом додаткових помилок.
4. Аналіз збереження інформаційних систем.
Аналіз збереження інформаційних систем базується на постійному вивченні протоколів (як машинних, так і ручних), перевірці аварійних сигналізаторів та інших пристроїв. Важливим фактором є також і те, що такий огляд підтримує інтерес до пита...
