Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Посмотреть оригинал

Структурно-функциональная схема инструментальных средств поддержки создания безопасного программного обеспечения

на основе предложенных методик (рис. 6.3) включает следующие основные элементы:

  • 1) средства экспертизы и организации тестирования ПО;
  • 2) средства проведения тестирования ПО;
  • 3) средства ликвидации дефектов;
  • 4) средства обеспечения тестирования.

Средства экспертизы и организации тестирования ПО состоят из следующих компонентов:

  • • экспертного анализатора контроля безопасности;
  • • блока прогнозирования участков воздействия дефектов;
  • • моделей угроз безопасности ПО;
  • • планировщика тестов контроля технологической безопасности.

Экспертный анализатор контроля безопасности предназначен для

структурной декомпозиции тестируемого ПО ИС с целью выделения элементов ОПО, формирования библиотек СПО и определения состава и характеристик инструментальных средств, с использованием которых разрабатывалось это программное обеспечение. Функционирование экспертного анализатора осуществляется в интерактивном режиме взаимодействия эксперта-оператора с программными средствами путем последовательного прохождения технологических этапов проверки.

Результатом работы этого элемента инструментальных средств поддержки создания безопасного ПО являются файлы с данными о компонентах разработанных программ и оценками их показателей качества.

Средства организации тестирования программ в целях проверки их безопасности позволяют спрогнозировать вероятностным образом те участки программ, которые могут быть потенциально подвержены воздействию дефектов. Прогноз предполагаемых «узких мест» воздействия дефектов осуществляется на основе знания существующих моделей угроз безопасности и полученной статистики о выявленных дефектах. Базируясь на информации, собранной об объекте контроля, планировщик тестов контроля технологической безопасности производит формирование перечня тестов, необходимых для проверки соответствующего вида программ, и автоматизированный расчет числа экспериментов для получения достоверных вероятностных показателей безопасности ПО.

200

Структурно-функциональная схема инструментального комплекса поддержки создания безопасного ПО

Рис. 6.3. Структурно-функциональная схема инструментального комплекса поддержки создания безопасного ПО

NJ

О

Средства проведения тестирования ПО включают следующие элементы:

  • • средства обнаружения дефектов в ПО;
  • • средства локализации дефектов;
  • • систему генерации тестов;
  • • базу данных тестирования.

Средства обнаружения дефектов представляют собой совокупность программных блоков, реализующих методики контроля технологической безопасности ПО и их расширения. В зависимости от вида тестируемых программ осуществляется динамическое или статическое тестирование. Динамическое тестирование заключается в проведении автодиагностики и натурных экспериментов по определению соответствия между параметрами и алгоритмами управления функционированием программ и предъявленными к ним требованиями. Статическое тестирование представляет собой процесс аналитического моделирования, основанного на автоматизированных вычислениях вероятностей наличия дефектов в программных средствах.

В зависимости от назначения ПО обнаружение дефектов производится следующим образом:

  • а) в целях контроля безопасности ОПО осуществляется:
    • • выявление критических путей в алгоритмах управления и администрирования;
    • • регистрация фактов неверной обработки прерываний и несанкционированной передачи межмодульных сообщений;
    • • определение наличия сбоев в управлении информационно-вычислительным процессом;
    • • обнаружение случаев изменения приоритетов обработки заявок и нарушения штатной дисциплины их обслуживания;
    • • контроль нарушения управления прикладными программами;
    • • выявление недокументированных передач сообщений и изменения характера сообщений;
    • • обнаружение нарушений целостности структур данных;
    • • выявление возможностей упрощения алгоритмов программ;
  • б) в целях контроля безопасности СПО выполняется:
    • • сравнение характеристик разработанных программ с параметрами эталона;
    • • тестирование программных средств в расширенных интервалах входных данных;
    • • подготовка спецификаций на программы;
    • • расчет вероятностных характеристик наличия дефектов по выходным данным;
    • • анализ устойчивости значений вероятностных характеристик;
    • • выявление случаев искажения параметров программ и результатов их выполнения;
    • • обнаружение попыток несанкционированного доступа прикладных программ к закрытой для них информации;
  • в) в целях контроля безопасности инструментальных средств разработки программ предусмотрено:
    • • выявление случаев генерации избыточного кода для прикладных программ;
    • • составление спецификаций с учетом целевого применения применяемых инструментальных средств;
    • • построение функциональных диаграмм и таблиц решений;
    • • определение дефектных участков в структуре программных средств;
    • • выявление отклонений от документированных штатных функций;
    • • дублирование и сверка объектного кода путем итерационных трансляций программ;
    • • сравнительный анализ с другими инструментальными средствами по возможностям отладки.

Средства локализации дефектов осуществляют их идентификацию в соответствии с классификацией дефектов, принятой на момент тестирования, и определение характеристик программных дефектов, к которым относятся:

  • • одноразовость и многоразовость (саморепродуцирование) применения;
  • • самоликвидируемость;
  • • базируемость (на любых программах, только на прикладных программах, использование комбинаций системных команд);
  • • изменяемость (неизменяемость) объема программ;
  • • модифицируемость информационных структур;
  • • самомодифицируемость.

Рассматриваемые средства имеют возможность выявления факта внесения дефекта на основе детального анализа характеристик программ и сверки их со спецификацией. Кроме того, на этапе локализации дефектов предусматривается, в случае необходимости, дешифрование элементов ПО и информационных структур. При выявлении аппаратных дефектов или аппаратной реализации ВП формируются рекомендации по рекламации технических средств автоматизации.

Система генерации тестов и база данных тестирования обеспечивают целенаправленный выбор и компоновку набора тестов с учетом вида ПО и прогнозируемого дефекта.

Средства ликвидации дефектов обеспечивают устранение самих дефектов, удаление искаженных программ и испорченной информации и включают в свой состав:

  • • блок ликвидации модулей формирования дефектов;
  • • блок удаления искаженных программ и избыточных модулей;
  • • блок удаления нарушенных информационных связей и восстановления их целостности.

По завершении работы этих средств проводится дополнительная отладка и восстановление программ, корректировка их эталонов, анализ целостности информации и формирование предложений по совершенствованию системы защиты.

Средства обеспечения тестирования включают следующие компоненты:

  • • блок сбора статистики о дефектах и их каталогизации;
  • • блок оценки уровня безопасности ПО;
  • • генератор отчетов контроля безопасности ПО.

Блок сбора статистики о дефектах и их каталогизации обеспечивает упорядоченные процедуры накопления данных в целях уточнения структур тестов и моделей угроз.

Блок оценки уровня безопасности ПО обеспечивает контроль значений вероятностных характеристик наличия в программах дефектов путем их сверки с требуемыми значениями.

Генератор отчетов контроля безопасности ПО предназначен для формирования и выдачи на средства отображения (мониторы) выходных документов по результатам контроля технологической безопасности ПО.

Приведенная выше структура и состав инструментальных средств поддержки создания безопасного ПО являются комплексной автоматизированной системой тестирования, средства которой с достаточной полнотой позволяют выявлять, каталогизировать и ликвидировать преднамеренные дефекты. Предложенные средства позволяют гибко сочетать экспертные, натурные и расчетные методы определения вероятностных характеристик наличия дефектов в программном обеспечении ИС.

 
Посмотреть оригинал
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы