Опубликован: 01.04.2003 | Уровень: для всех | Доступ: свободно
Лекция 2:

Распространение объектно-ориентированного подхода на информационную безопасность

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Аннотация: В этой лекции закладываются методические основы курса. Кратко формулируются необходимые понятия объектно-ориентированного подхода, в соответствии с ним выделяются уровни мер в области ИБ с небольшим числом сущностей на каждом из них.
Ключевые слова: информационная безопасность, объектно-ориентированный подход, структурированное программирование, место, ПО, принцип "разделяй и властвуй", сложная система, компонент, минимизация, декомпозиция, уровень детализации, структурный подход, функциональный элемент, предметной области, объект, класс, метод объекта, пользователь, инкапсуляция, наследование, полиморфизм, ролевое управление доступом, грань объекта, компонентная объектная среда, JavaBeans, контейнер, периметр безопасности, целостность, конфиденциальность, неприемлемый ущерб, субъект информационных отношений, область действия, программное обеспечение, ортогональные совокупности граней, выход, Internet, конкретизация, очередь, деление, доступ, интерфейс, внешнее соединение, межсетевой экран, сеть, информация, разграничение доступа, конфликт, бит, надежность, ущерб, сервер, безопасность

О необходимости объектно-ориентированного подхода к информационной безопасности

В настоящее время информационная безопасность является относительно замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях информационных технологий. В частности, в ИБ пока не нашли отражения основные положения объектно-ориентированного подхода, ставшего основой при построении современных информационных систем. Не учитываются в ИБ и достижения в технологии программирования, основанные на накоплении и многократном использовании программистских знаний. На наш взгляд, это очень серьезная проблема, затрудняющая прогресс в области ИБ.

Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход.

Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.

Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты отдельных категорий средств защиты информации. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.

Любой разумный метод борьбы со сложностью опирается на принцип "divide et impera" - "разделяй и властвуй". В данном контексте этот принцип означает, что сложная система (информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.

Важнейший вопрос, возникающий при реализации принципа "разделяй и властвуй", - как, собственно говоря, разделять? Упоминавшийся выше структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло. Нужен подход "широкого спектра", не имеющий такого концептуального разрыва с анализируемыми системами и применимый на всех этапах разработки и реализации сложных систем. Мы постараемся показать, что объектно-ориентированный подход удовлетворяет таким требованиям.

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Никита Гурьев
Никита Гурьев
Радомир Белоусов
Радомир Белоусов
Сергей Смоляр
Сергей Смоляр
Россия, Ялта