Распространение объектно-ориентированного подхода на информационную безопасность

1. О необходимости объектно-ориентированного подхода к информационной безопасности

1.1. В настоящее время информационная безопасность является относительно замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях информационных технологий.

1.2. Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем.

1.3. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло.

2. Основные понятия объектно-ориентированного подхода

2.1. Класс - это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения.

2.2. Объект - это элемент класса, то есть абстракция определенной сущности.

2.3. Инкапсуляция - сокрытие реализации объектов (их внутренней структуры и деталей реализации методов ) с предоставлением во вне только строго определенных интерфейсов.

2.4. Компонентные объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу:

2.4.1. инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс;

2.4.2. наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки;

2.4.3. полиморфизм по сути дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными.

3. Применение объектно-ориентированного подхода к рассмотрению защищаемых систем

3.1. Проблема обеспечения информационной безопасности - комплексная, защищать приходится сложные системы, и сами защитные средства тоже сложны, поэтому нам понадобятся все введенные понятия.

3.2. Три грани : это доступность, целостность и конфиденциальность.

3.3. Введем следующие грани:

3.3.1. законодательные меры обеспечения информационной безопасности;

3.3.2. административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

3.3.3. процедурные меры (меры безопасности, ориентированные на людей);

3.3.4. программно-технические меры.

4. Недостатки традиционного подхода к информационной безопасности с объектной точки зрения

4.1. В дообъектной ИБ одним из важнейших требований является безопасность повторного использования пассивных сущностей (таких, например, как динамически выделяемые области памяти). Очевидно, подобное требование вступает в конфликт с таким фундаментальным принципом, как инкапсуляция. Объект нельзя очистить внешним образом (заполнить нулями или случайной последовательностью бит), если только он сам не предоставляет соответствующий метод.

4.2. Одним из самых прочных стереотипов среди специалистов по ИБ является трактовка операционной системы как доминирующего средства безопасности. На разработку защищенных ОС выделяются значительные средства, зачастую в ущерб остальным направлениям защиты и, следовательно, в ущерб реальной безопасности.

4.3. В современных ИС, выстроенных в многоуровневой архитектуре клиент/сервер, ОС не контролирует объекты, с которыми работают пользователи, равно как и действия самих пользователей, которые регистрируются и учитываются прикладными средствами. Основной функцией безопасности ОС становится защита возможностей, предоставляемых привилегированным пользователям, от атак пользователей обычных.