УДК 681.3
АВТОМАТИЗАЦИЯ АНАЛИЗА ФУНКЦИОНАЛЬНОЙ
СТАБИЛЬНОСТИ КРИТИЧНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
Сундеев П.В. – к. т. н.
Краснодарский военный институт
При создании и реконфигурации информационных систем,
используемых в критичных приложениях, трудноразрешимой проблемой
является доказательство функциональной стабильности (ФС) информационной
архитектуры. В работе рассматривается подход к формализации описания
процессов и состояний информационной системы с целью автоматизации
логического поиска траекторий информационного процесса, приводящих
систему в функционально нестабильные состояния.
Формальная постановка задачи анализа функциональной стабильности
критичных информационных систем
Целью анализа ФС критичной информационной системы (КИС) является
выявление некоторых свойств объектов, определяющих безопасность
состояния системы. Под объектами здесь понимаются элементы информационной
архитектуры: функциональные модули, носители информации, файлы
и другие материальные или абстрактные информационные объекты,
состояния которых характеризуют состояния системы и ход информационного
процесса.
Пусть заданы множество Q объектов и некоторое свойство
этого множества. Свойство v для некоторого объекта x может
быть задано предикатом Pv (x),
определенным как функция на множестве Q со значениями
«истинно» (И) и «ложно» (Л) Pv : Q?{И,
Л}.
Если Q – множество модификаций объекта, qo –
модификация безопасного объекта, qi – модификация
небезопасного объекта, v – свойство «быть безопасным»,
то Pv (qo ) = И, Pv (qi ) = Л
для всех . Множество Q разбивается
предикатом Pv на два подмножества: Qv = {qo} –
безопасный объект и –
небезопасные объекты.
При этом справедливо
. (1)
Таким образом, вычислением значения истинности предиката Pv (х) решается
задача анализа безопасности некоторого объекта х.
Если свойство v рассматривать как некоторое сочетание
других свойств объекта х, выраженных предикатами ,
то значение предиката Pv (х) может быть
найдено вычислением значения предикатов и
затем определением истинности путем приложения операции следования вида
.
(2)
Каждое свойство vi также может быть представлено
через совокупность других свойств объекта. Применение некоторых
операций логики к начальному множеству предложений, составляющему
модель объекта х, и получение некоторого предложения этого
же языка, являющегося формальным выражением свойства v,
составляет процесс вычисления предиката .
Задача анализа решается путем вычисления значения предиката , который принимает истинное значение, если
объект х является i-й модификацией qi, и
значение «ложно» – в противном случае.
Таким образом, представление логического компонента алгоритма
анализа безопасности в виде формальных операций логического следования
на множестве предложений языка задания объекта анализа позволяет
рассматривать процесс анализа ФС как многоуровневый управляемый
логический вывод некоторого выражения этого языка, который находится
в ходе построения эксперимента.
Решение задачи анализа функциональной стабильности КИС
Решение прямой задачи анализа ФС КИС состоит в определении отсутствия
траекторий, проводящих систему в опасные состояния, при установлении
конкретных типов информационных отношений между информационными
объектами.
Общая последовательность описания ситуации и доказательства
ФС КИС в указанном смысле содержит несколько этапов.
1. Классификация, определение и описание свойств типовых информационных
объектов предметной области и информационных отношений между
ними на содержательном уровне.
2. Описание информационных объектов и отношений в виде аксиом
и теорем на языке стандартной логики исчисления предикатов первого
порядка.
3. Исключение кванторов общности и существования и преобразование
аксиом на расширенный язык клауз Хорна, содержащих не более одного
заключения.
4. Поиск минимального конечного подмножества дизъюнктов для
Эрбрановского универсума методом резолюций с целью уменьшения
размерности области поиска доказательств.
5. Описание предложений на языке логического программирования.
6. Автоматизированный поиск решения с использованием нисходящего
вывода и семантического метода, демонстрирующих несовместимость
множества клауз при помощи того, что ни одна интерпретация не
делает все клаузы истинными.
Модель состояний модулей
Выбранный уровень рассмотрения системы предполагает определение
и формализацию отношений между функциональными модулями, возникающих
в ходе решения задач по обработке информации. Внутренний механизм
функционирования модулей, связанный с прохождением и обработкой
информационных сигналов, на данном уровне рассмотрения системы
значения не имеет. Для конкретного модуля не важно, в интересах
какой задачи выполняется некоторая информационная процедура из
числа допустимых операций. С позиции управления информационным
процессом важным является вопрос о способности модуля взаимодействовать
с другими модулями при данном состоянии системы. Способность
модуля к взаимодействию полностью зависит от его состояния, определяемого
рядом факторов, которые в данном случае будут иметь качественный
смысл.
Анализ особенностей использования и функционирования базовых
типов модулей информационных систем позволяет ввести в рассмотрение
совокупность формальных высказываний
, |
(3) |
которые определяются как элементарные формальные высказывания
(ЭФВ). Каждое ЭФВ описывает либо одно из нескольких специфических
условий нахождения модуля в состоянии , либо полное условие нахождения модуля в этом состоянии.
Все ЭФВ являются функциями времени в смысле истинности на момент наступления некоторого
события .
В рамках предлагаемого подхода ЭФВ описывают состав интерфейсов
конкретных модулей и могут быть получены из результатов объектно-ориентированного
анализа системы. Описание состояний модулей является статическим
представлением системы, которое необходимо дополнить описанием
правил переходов состояний, отражающих перемещения модулей по
зонам доступа и изменения в составе модулей и их свойств.
Формальное описание процессов функционирования
Сущность любой информационной системы заключается в обеспечении
информационного взаимодействия объектов на физическом, синтаксическом
и семантическом уровнях [1, 2]. Функции безопасности могут осуществляться
на одном и более уровнях и заключаются в регулировании доступа
к объектам со стороны внешней среды и активных объектов системы.
Для проведения формального анализа состояний и оценки ФС информационной
архитектуры необходимо:
сформулировать формальные признаки опасных состояний системы
из множества , при которых возможна дестабилизация системы;
сформулировать формальные признаки безопасных состояний системы
из множества , при которых система считается функционально
стабильной;
задать начальное, безопасное состояние системы из множества ;
сформулировать формальные правила переходов системы из одного
состояния в другое в ходе информационного процесса ;
доказать методом относительно полного перебора состояний, что
траектория информационного процесса не приводит систему к опасным
состояниям, или необходимо найти эти состояния, что докажет функциональную
нестабильность архитектуры системы.
Начальное состояние системы считается
безопасным, если все объекты OW системы W находятся
в разрешенных для них информационной политикой зонах доступа ZcC, ZlL, ZfF, определенных
на соответствующих трех уровнях информационного взаимодействия.
Объекты контроля ФС ОФСÎ ОW,
реализующие функции контроля доступа и изоляции зон, имеют статус
«активный» ОФСÎО а,
и в системе отсутствуют информационные объекты ОН с
недекларированными информационными функциями. Это состояние описывается
формулой
, |
(4) |
где – множество начальных состояний системы W;
– множество безопасных состояний системы W;
– множество контролируемых информационных
объектов системы W;
– подмножества физических, синтаксических
и семантических зон доступа;
– подмножество объектов системы W,
реализующих функции контроля ФС;
– подмножество активных объектов системы на
момент времени t;
– множество объектов с недекларированными
информационными функциями, .
Переход в другие состояния определяется возможностями активных
объектов физически или логически перемещать себя и/или других
объектов в другие зоны доступа. Способность активных объектов
перемещать себя или другие объекты объясняется их взаимодействием В (Оx , Oy),
что, в свою очередь, определяется тремя подмножествами пар (кортежами)
открытых интерфейсов объекта и смежных объектов.
|
(5) |
Каждое подмножество пар открытых интерфейсов соответствует уровню
информационного взаимодействия.
Возможность физического взаимодействия устанавливается по схеме
соединения объектов (наличием между ними каналов связи), совпадением
используемых информационных параметров физических сигналов и
наличием физических трансляторов, которые могут согласовать параметры
взаимодействия (перемещать в пространстве носители информации,
синхронизировать время и т. п.).
Возможность синтаксического взаимодействия объектов определяется
наличием физического взаимодействия, совпадением алфавитов, лексики
и синтаксиса языков или наличием трансляторов для приведения
их в соответствие.
Возможность семантического взаимодействия объектов объясняется
наличием физического и синтаксического взаимодействия, способностью
объекта выполнять функции по управлению другими информационными
объектами. Для анализа ФС интерес представляют семантические
возможности объектов по обработке информации, т. е. способность
объектов системы активизировать, копировать, перемещать, транслировать
и т. д.
Устойчивый (возможно стандартный) набор способностей по физическому,
синтаксическому или семантическому взаимодействию, существующих
у объекта, называется соответственно физическим F, синтаксическим L или
семантическим С открытым интерфейсом информационного объекта.
Открытость интерфейса заключается в свободном доступе к нему
соответствующих открытых интерфейсов других объектов при соблюдении
необходимых условий. Все интерфейсы объектов системы могут быть
сведены в перечне типовых интерфейсов системы отдельно по каждому
уровню взаимодействия.
Правила описания переходных состояний
Подход к моделированию процессов обработки информации в сложных
информационных системах на основе применения взаимосвязанного
трехуровневого представления процессов позволяет выделить объективно
существующие между ними взаимосвязи при анализе ФС информационной
архитектуры КИС. Основными положениями такого подхода являются:
для адекватного моделирования процессов обработки информации
необходимо одновременно и совместно рассматривать процессы изменения
физических, синтаксических и семантических состояний информационных
объектов, происходящих в системе функции обработки информации;
для описания процесса изменения состояния каждого из рассматриваемых
объектов применяются адаптированные методы объектно-ориентированного
анализа сложных систем, теории входящих потоков задач и теории
состояний КИС;
для установления взаимосвязи между процессами вводятся логические
условия пребывания каждого объекта в одном из его состояний в
зависимости от состояний других объектов;
логические условия взаимосвязи процессов реализуются следующим
образом: объект может находиться в заданном состоянии или изменять
свое состояние в зависимости от заданных условий пребывания в
соответствующем состоянии и от взаимодействия с другими взаимосвязанными
объектами при нахождении их в заданном состоянии или при изменении
этого состояния;
модель взаимосвязанного трехуровневого процесса обработки информации
представляет собой множество взаимосвязанных логическими условиями
информационного взаимодействия процессов, имеющих физическую,
синтаксическую или семантическую природу;
модель представляется в виде трех взаимосвязанных, ориентированных
графов, вершинами которых являются состояния физических, синтаксических
или семантических процессов, а дуги – направленные переходы из
одного состояния в другое.
Формальное состояние системы в
момент времени t определяется как отражение множества
физических и абстрактных модулей системы W на
множество контролируемых и смежных с ними неконтролируемых зон доступа всех
уровней взаимодействия, а также множеством возможных отношений
между активными абстрактными модулями и
остальными модулями системы, которые определяются кортежами парных
интерфейсов модулей, находящихся в одной зоне в момент времени t:
, |
(6) |
где – состояние системы W в момент времени t,
состоящей из множества модулей ;
– множество физических и абстрактных модулей,
идентифицированных в системе, ;
– множество контролируемых зон системы;
– множество смежных зон, неконтролируемых
системой;
– подмножество активных абстрактных модулей
системы W на момент времени t, ;
– кортежи парных интерфейсов модулей, находящихся
в одной зоне.
В процессе функционирования система под воздействием разных
событий может сохранять или изменять свое состояние. Для отображения
динамики процесса функционирования кроме множества формул состояний
системы необходимо иметь множество формул, описывающих переходы
системы из одного состояния в другое.
В общем виде все возможные изменения или сохранения состояний
системы определяются отображением
. |
(7) |
Для каждого состояния можно указать правила , позволяющие находить его образ во
множестве .
Упорядоченная последовательность правил будет называться кортежем переходов. Кортеж переходов
для определяется
как упорядоченная совокупность списков , содержащих информацию о причинах перехода, номерах
состояний, к которым выполняются переходы, и условия каждого
перехода.
Под сменой состояния системы здесь понимаются изменения в распределении
или составе модулей относительно существующих зон доступа, а
также информационных свойств модулей в результате потери или
приобретения способности взаимодействовать через определенные
открытые интерфейсы. Поэтому правила перехода состояний должны
характеризовать условия и причины, при которых возможны указанные
события.
Модель системы представляется в виде ориентированного графа,
вершинами которого являются состояния процессов, а дуги – направленные
переходы из одного состояния в другое, т. е. ее поведение, определяемое
архитектурой системы и технологией обработки данных.
Точность отражения состояний КИС в модели определяется размерами
множеств состояний системы и полнотой регистрируемых
событий. Состояние системы будет воспроизводиться в модели
приближенно из-за потери части информации. Однако и при этом
условии размерность графа будет велика, а его вид заранее неизвестен
(см. рисунок).
Граф возможных состояний модели КИС
Проблема, связанная со сложностью построения полного графа,
может решаться с использованием принципа обучения и дообучения
системы моделирования [3] или формализованных методик синтеза
модели с последующим автоматизированным поиском траекторий, приводящих
систему в опасные состояния [1, 2]. Наиболее эффективный способ
моделирования и анализа функциональной стабильности КИС может
заключаться в совместном использовании обоих принципов.
Правила формализованного описания моделей состояний состоят
из правил описания условий взаимодействия информационных объектов
(модулей) и правил переходов.
Аксиома 1. Если два модуля и находятся в одной физической зоне ,
и у них имеются парные физические интерфейсы , то возможно их физическое взаимодействие типа k:
, |
(8) |
где – порядковый номер физического интерфейса в перечне
типовых физических интерфейсов системы.
Аксиома 2. Если два модуля и одновременно находятся в одной физической и
одной синтаксической зонах,
и у них имеются парные физические и синтаксические интерфейсы , то возможно их синтаксическое
взаимодействие типа h при условии выполнения k:
, |
(9) |
где – порядковый номер синтаксического интерфейса в перечне
типовых синтаксических интерфейсов системы.
Аксиома 3. Если два модуля и одновременно находятся в одной физической ,
одной синтаксической и
одной семантической зонах,
и у них имеются парные физические, синтаксические и семантические
интерфейсы , и , то возможно их семантическое взаимодействие при
условии выполнения k и h:
,
(10)
где – порядковый номер семантического
интерфейса в перечне типовых семантических интерфейсов системы.
Правила формализованного описания переходов состояний системы
заключаются в описании семантики возможных типов k, h и g информационных
взаимодействий модулей на трех уровнях при выполнении аксиом
1, 2 и 3.
Аксиома 4. Семантика информационного взаимодействия на физическом
уровне заключается в перемещении (трансляции) из физической зоны
в смежную физическую зону физического (носитель информации) или абстрактного
(алгоритм или данные) модуля под воздействием активного модуля при выполнении условий аксиомы 1.
Существует два типа физического взаимодействия:
- перемещение m-move (),
при котором модуль оказывается
в другой физической зоне :
;
(11)
- копирование c‑copy, т. е. размножение модуля на
2, …, n таких же модулей и их перемещение в f.i, …, f.j зоны, при котором копии модуля оказываются
в других зонах ,…,. Эта операция обычно применяется
к программным модулям
.
(12)
Аксиома 5. Семантика информационного взаимодействия на синтаксическом
уровне заключается в переводе синтаксиса t-translation
абстрактного модуля на другой язык, т. е. в перемещении его
из одной синтаксической зоны в другую под воздействием активного синтаксического модуля-транслятора при
выполнении условий аксиомы
2.
.
(13)
Аксиома 6. Информационное взаимодействие на семантическом уровне
заключается в активизации a-action активным модулем-алгоритмом другого абстрактного модуля-алгоритма, т. е. в передаче
управления в
виде ресурсов и параметров модулям-алгоритмам, способным совершать
операции , , , , и при выполнении условий аксиомы 3.
.
(14)
Указанные операции определяют семантику возможностей модулей
по исполнению следующих функций обработки информации на трех
уровнях:
– создание модуля, т. е. выделение носителя
информации или его части под логическую структуру модуля и идентификация
в системе новой структуры, соответственно, в качестве физического
или абстрактного модуля;
– уничтожение модуля, т. е. исключение носителя
информации или логической структуры из системы;
– активизация модуля, т. е. передача ему
управления;
– физическое перемещение модуля, т. е. перемещение
носителя информации как физического объекта или логической структуры
как абстрактного объекта из одного носителя информации в другой;
– физическое копирование модулей, т. е. выделение
носителя информации под копию модуля, идентификация этого носителя
и перемещение структуры модуля на выделенный носитель (создание
и перемещение);
– синтаксическая трансляция абстрактных модулей,
т. е. изменение синтаксиса или алфавита модуля без изменения
семантики.
Для интерпретации на ЭВМ формальную модель удобно представить
в виде логической программы, например, Пролог-программы. Главным
компонентом языка Пролог является универсальный механизм решения
задач, принцип действия которого основан на правиле резолюции.
Правило резолюции оказывается особенно привлекательным при использовании
для вычислений на ЭВМ, так как само по себе оно является полным
множеством правил вывода для фразовой формы логики предикатов,
т. е. применяя только одно это правило, можно вывести любое следствие
из множества аксиом, представленных во фразовой форме. Для того
чтобы воспользоваться этим механизмом, необходимо описать задачу
при помощи фраз Хорна, выраженных на языке Пролог.
Генерация теорем и аксиом в виде формальных высказываний математической
логики исчисления предикатов может осуществляться автоматически
из объектных диаграмм и диаграмм классов на основе исходных данных
о структуре ориентированного графа, свойствах его вершин и дуг,
полученных на этапе объектно-ориентированного анализа КИС, при
наличии совместимого с CASE-средством (например, Rational Rose)
компилятора для языка типа Пролог или Лисп.
Создание научно-методического аппарата, объединяющего в рамках
единой методологии основные положения теории ФС КИС, методы формализации
состояний, автоматизации моделирования и поиска функционально
нестабильных состояний с формальным доказательством отсутствия
запрещенных траекторий, приводящих систему в опасные состояния,
позволит проводить объективную оценку и гарантировать функциональную
надежность информационных систем, используемых в критичных приложениях.
Список литературы
1. Симанков В.С., Сундеев П.В. Системный анализ функциональной
стабильности критичных информационных систем: Монография / Под
ред. В.С. Симанкова. Краснодар: Институт современных технологий
и экономики, 2003. 132 с.
2. Сундеев П.В. Построение информационной модели функционирования
обобщенной системы управления и обоснование фундаментальных принципов
информационного взаимодействия сложных систем // Межвузовский
сборник научных трудов. Краснодар: Краснодарский военный институт,
2000.
3. Пучков Н.В. Адекватность моделирования информационной среды
при проектировании системы безопасности // Специальная техника
средств связи. Системы, сети и технические средства конфиденциальной
связи. 1999. Вып. 1.
|