CC BY
25
- Как видно из определения аспектов методы readMethods, addMethods, controlledRead, controlledAdd и controlledDelete не содержат ссылок на определённые классы, следовательно, авторизация будет автоматически распространяться на все новые классы модели помещённые в пакет model и реализующие интерфейс Controllable.
- Выбрасывание исключения и его обработка реализована в пределах одного аспекта, что упрощает дальнейшую эволюцию и сопровождение системы.
- Все вызовы методов классов модели (созданные согласно правилам) будут объектами для применения системы авторизации.
- Слой отображения не зависит от системы авторизации.
- Система полностью работоспособна без применения аспекта авторизации, что говорит об отсутствии связи между системой в целом и аспектом авторизации (в свою очередь аспект авторизации зависит от системы, но эта связь не существенна так как носит декларативный характер и происходит лишь на уровне определения pointcut).
Аудит
Аудит, пожалуй, является самым наглядным примером применения АОП, так как его реализация обычным способом обычно обязывает разработчиков добавлять один и тот же код занесения в журнал во все части системы. Например, для ведения журнала действий каждого пользователя нам необходимо включить в каждый контроллер вызов метода ответственного за занесение данных в журнал событий, опять же гарантии, что такие вызовы включены в каждый контроллер, обеспечить трудно. Гибкость АОП решения состоит в том, что сквозная функциональность аудита изолирована в пределах аспекта. Все изменения в типе и детализации событий могут быть с лёгкостью проведены не затрагивая основную функциональность.
Для примера рассмотрим простейший аспект, который будет перехватывать все вызовы контроллеров, определяя пользователя, и записывать информацию в журнал.
Создадим новый аспект, с pointcut перехватывающий все выполнения контроллеров, и захватывающий объект запроса. На основе созданного
ЛИТЕРАТУРА
1. Programming Community Index - TIOBE Index. URL: http://www.tiobe.com/tiobe index?page=index
2. Laddad R. AspectJ in Action: Enterprise AOP with Spring Applications / Laddad R., Johnson R., Manning Publ., 2009, 568 p
3. Блинов И.Н. Java. Методы программирования /Блинов И.Н., Романчик В.С. Минск: Четыре четверти, 2013, 896 с.
4. Петрянин Д.Л. Архивация как способ защиты информации. / Петрянин Д.Л., Юрков Н.К., Разживина Г.П. / Труды Международного симпозиума Надежность и качество. -2015. - Т .1 - С.251-252.
5. Надейкина Л.А. Использование архитектурных паттернов и функциональной декомпозиции для повышения качества и надежности программного обеспечения/ Надейкина Л.А., Черкасова Н.И./ Труды Международного симпозиума Надежность и качество. -2016. - Т. 1 - С.148-151.
pointcut, напишем before advice выводящий сообщение на System.out.
Приведем код аспекта в связи с его небольшим размером:
package aop.example;
import org.aspectj.lang.*; import ja-vax.servlet.http.*;
public aspect AuditAspect {
public pointcut controllerMethods (HttpS-ervletRequest request):
execution(* javax.servlet.http.HttpS-
ervlet+.*(HttpServletRequest,
HttpServletResponse)) && args(request, HttpServletResponse);
before(HttpServletRequest request): control-lerMethods(request) {
Signature sig = thisJoinPointStat-
icPart.getSignature();
System.out.println("User " + re-
quest.getSession().getAttribute
(EntranceFilter.USER_KEY).toString() + " executing " + sig.getDeclaringType().getName() + "." + sig.getName());}}
В теле advice используется статическая информация о точке вплетения, для того, что бы отобразить имя класса объекта и название метода. Вывод будет отображать строки вида:
User Anonymous ple.LoginServlet.doGet User user1
executing executing
aop.exam-aop.exam-
ple.ViewServlet.doGet
Заключение.
В данной работе показаны достоинства АОП на примере реализации системы защиты ИЕВ-приложе-ния, продемонстрировано как надо внедрять ас-пектный код в целевую программу и как применять AspectJ на практике.
Основные достоинства аспектно-ориентирован-ного подхода - улучшение модульности программной
системы,
"сквозной
упрощение
появление
кода.
снижение ее сложности, отделение функциональности" от основного кода, сопровождения и внесения изменений, возможностей повторного использования
УДК 004.413.5
Бецков1 А.В., Осташкевич2 В.А., Ранюк2 М.А.
1ФГКОУ ВПО «Академия управления МВД России», Москва, Россия
2ФГБУ «НИИ Центр подготовки космонавтов им. Ю.А. Гагарина», Московская область, Звёздный городок, Россия
МЕТОДОЛОГИЧЕСКИЕ ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТИ СОЦИАЛЬНО ВАЖНЫХ ОБЪЕКТОВ ТЕРРОРИСТИЧЕСКИМ УГРОЗАМ
В статье рассматриваются некоторые аспекты воздействия и обеспечения безопасности социально важных систем Ключевые слова:
математическая формализация, уязвимость системы в течение задаваемого периода времени, потенциальные размеры нанесенного ущерба, вероятность
Анализ развития множества свершившихся террористических актов позволяет выявить следующие общие тенденции, осознание которых необходимо для осуществляемой математической формализации: 1) в силу скрытности подготовки акты терроризма зачастую носят для системы внезапный характер и, выражаясь языком теории вероятностей, проявление каких-либо событий террористической деятельности может быть описано в терминах случайных величин и процессов;
2) применяемые способы противодействия, включающие целенаправленный сбор и анализ оперативной информации для выявления подозрительных событий и действий, выработку и реализацию контрмер, направлены на всестороннее и всемерное снижение уровня скрытности подготовки, ухудшение условий деятельности террористов. Как следствие, это может привести к смене объекта террористической атаки, отказу от террористического акта или переносу сроков его осуществления, к непод-
готовленности террористов к некоторым из возможных сценариев развития террористической атаки и в итоге - к повышению требуемой безопасности системы;
3) технологии защиты систем с формальной точки зрения представляют собой последовательность преград от несанкционированных доступа и действий, преодоление которых при совершении террористической атаки требует определенного
времени террористов. В итоге, чем преград больше и они сложнее, тем больше времени требуется на их преодоление. Необходимость преодоления этих преград при дефиците времени снижает шансы террористов на выполнение террористических угроз в задуманном объеме.
Анализ выявленных тенденций позволил сформулировать цепочку логических зависимостей для оценки риска уязвимости системы (см. рис. 1)
Рисунок 1 - Цепь логических зависимостей для оценки уязвимости системы
В качестве основных интегральных показателей предлагаются:
1) интегральная уязвимость системы в течение задаваемого периода времени Тзад (количественно оцениваемая как вероятность Руязв(Т3ад) ), зависящая от:
риска для системы оказаться объектом террора
(Робъект) ;
риска формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов (Рподозр);
риска ошибочных аналитических выводов из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия (Рнеадекв)';
риска скрытного внедрения источника террористической опасности в систему (Рвнедр) и преодоления всех технологических преград защиты, препятствующих реализации террористических угроз в задуманном объеме (Рдреод)-
2) соответствующие риску потенциальные размеры нанесенного ущерба (С). При этом ущерб может быть как материальный, так и нематериальный и оцениваться в различных единицах измерения (в количестве пострадавших взрослых и детей, в стоимости разрушенного имущества, в упущенной потенциальной выгоде и др.).
Для количественной оценки этих показателей используется множество математических моделей [2, 3] и соответствующих исходных данных для расчетов. Все обозначения исходных данных привязаны к обозначениям моделирующих комплексов для оценки уязвимости системы в условиях террористических угроз (программный комплекс «Уязвимость») и качества функционирования информационных систем (КОК) [3].
Для оценки риска оказаться объектом террора (Робъект) применима «Модель процессов сбора информации от источников» [3]. Исходными данными при этом выступают:
среднее время между значимыми изменениями состояния системы с точки зрения притяжения внимания террористов (£±);
среднее время выявления террористами интересующей их информации (Ф±);
среднее время доведения интересующей информации до аналитического центра террористов (5±),
каковым теоретически может оказаться даже террорист-одиночка;
среднее время принятия решения о привлекательности (приоритетности) системы с точки зрения возможного выбора ее в качестве объекта террора (р±);
дисциплина обновления информации в аналитическом центре террористов (В±):
Б± = Д. означает, что сбор информации в аналитическом центре происходит «сразу по происшествии значимого изменения» состояния системы (например, через штатного информатора террористов или через средства массовой информации);
Б± = Ю2 означает, что сбор информации происходит вне явной зависимости от изменения состояний системы (например, случайная утечка информации);
среднее время (д±) между обновлениями информации в аналитическом центре террористов (только для дисциплины
Для количественной оценки риска формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов (Рподозр) применима «Модель процессов анализа информации» [3]. Исходными данными при этом являются:
объем анализируемой оперативной информации (V);
относительная часть информации о потенциально подозрительных событиях и действиях (ц); скорость анализа информации (у); частота ошибок анализа 1-го рода, когда безопасные события и действия воспринимаются как подозрительные (п);
среднее время наработки на аналитическую ошибку, когда подозрительные события и действия ошибочно игнорируются (Тнар);
период непрерывной работы оператора (Ттпр); задаваемое допустимое время обработки выделенного объема информации (Тзад);
Для количественной оценки риска ошибочных аналитических выводов из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия (Рнеадекв) применима «Модель процессов анализа информации» [3]. Исходными данными для расчетов выступают:
объем выявленной информации о подозрительных событиях и действиях (V);
относительная часть принципиальной информации, объективно имеющей отношение к подготовке террористических актов (Ц);
скорость формирования аналитических выводов и выработки соответствующих мер противодействия ( V);
частота ошибок анализа 1-го рода, когда безопасные события и действия воспринимаются как имеющие отношение к подготовке террористических актов и требующие применение контрмер (п);
среднее время наработки на аналитическую ошибку, когда ошибочно пропускаются события и действия, имеющие объективное отношение к подготовке террористических актов (Тнар);
период непрерывной работы аналитика (Тнепр); задаваемое допустимое время анализа выделенного объема информации (Тзад).
Для оценки риска скрытного внедрения источника террористической опасности в систему (Рвнедр)
и преодоления всех технологических преград защиты, препятствующих реализации террористических угроз в задуманном объеме (Рпреод) предлагаются «Комплекс моделей опасных воздействий на защищаемую систему» и «Комплекс моделей процессов несанкционированного доступа к ресурсам системы» [3]. В рамках одной преграды рассматриваются три технологии обеспечения защищённости от опасных воздействий (подробные описания см. в [1]):
профилактическая диагностика целостности системы (технология 1);
многосменный мониторинг безопасности (технология 2);
мониторинг безопасности с диагностикой целостности системы при каждой смене операторов (технология 3).
В общем случае исходными данными для расчетов выступают:
частота воздействия на систему, осуществляемого с целью внедрения источника террористической опасности (с±);
среднее время активизации проникшего в систему источника опасности (@);
время между окончанием предыдущей и началом очередной диагностики целостности системы (Те);
длительности диагностики, включая приемлемое время восстановления целостности системы (Тдиаг);
среднее время наработку оператора службы мониторинга безопасности системы на ошибку (Тнар);
доверительные уровни защиты по количеству (т = ) и типам технологических барьеров (в зависимости от возможных сценариев реализации террористических угроз) и соответствующие каждому уровню защиты потенциальные ущербы (См);
среднее возможное время преодоления каждого из технологических барьеров (Ц);
среднее время между сменой значений регулируемых параметров каждого из технологических барьеров (преград) защиты, подлежащих преодолению (£.);
среднее время наработки на отказ или замену защитных средств каждого из технологических барьеров (для преград с нерегулируемыми параметрами - Тнар.т);
объективная максимально допустимая длительность террористической атаки (Ь), по истечении которой реализация планов террористов становится невозможной.
В соответствии с предложенной методологией [2, 3] в [4] проводятся отдельные оценки уязвимости морских нефтегазодобывающих систем (НГС), позволяющие количественно представить себе масштабы возможного ущерба в результате реализации некоторых из террористических угроз.
Главный вопрос в борьбе с терроризмом заключается в следующем: возможно ли принципиальное
решение проблемы своевременного выявления подозрительных событий и действий террористов и безошибочных аналитических выводов из собранной оперативной информации? Попытаемся ответить на этот вопрос в приложении к важным системам и объектам. За основу формирования исходных данных для моделирования возьмем данные, характеризующие работу спецслужб США по борьбе с террористами.
В наши дни каждый час только в США совершается 2 млн. телефонных разговоров. В сутки вместе с электронной почтой и факсовыми передачами это десятки миллионов сообщений. Многочисленные сайты в Интернете идеально подходят для передачи условной и зашифрованной информации в любой форме представления. Исходя из этого, положим для расчетов объем информации, подлежащей первоначальному анализу для выявления подозрительных событий и действий террористов, равным 2 и 8 млн. условных объектов. Далее, положим, что относительная часть информации о потенциально подозрительных событиях и действиях составляет лишь 0,001%, и вся рутинная работа при этом осуществляется экспертными системами в автоматическом режиме со скоростью анализа от 2 до 100 млн. объектов в сутки. Тем не менее, время наработки на ошибку такой системы соизмеримо с возможностями человека, обучающего эти системы, и равно 1 суткам (т.е. 1 ошибка в сутки) как для ошибок 1-го, так и 2-го рода. Результаты расчетов показывают, что при скорости обработки от 2 до 8 млн. объектов в сутки риск формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов в течение суток составит от 0,38 до 0,86, и лишь при увеличении скорости обработки до 100 млн. объектов в сутки за счет уменьшения вероятности ошибок 1-го и 2-го рода этот риск снижается до 0,04-0,15.
Сегодня ФБР создало специальный отдел по работе с общественностью для оперативной реакции на предупреждения о возможных атаках или преступлениях. За шесть месяцев центр получил 4 00 тыс. сообщений по электронной почте, примерно 85 тыс. были признаны серьезными, и информация была передана другим американским спецслужбам для осуществления адекватных контрмер. Для проведения расчетов это означает, что объем анализируемой за сутки информации может быть оценен от 2000 до 10000 сообщений, а относительная часть принципиальной информации, объективно имеющей отношение к подготовке террористических актов, составляет 0,2125 (85 тыс. / 400 тыс.). Перехват сообщений террористов затруднен нерегулярностью связи, краткостью сеансов, неполнотой и иносказательностью сообщений. Так, по признанию американских аналитиков терроризма в администрации США, из 9 тыс. террористических угроз (полученной информации о заговорах, подозрительных действиях, слухах и т.д.) оказалась понятной логика лишь 2,1% угроз. В остальных случаях спецслужбы терялись в догадках: что же в самом деле затевают террористы? Для расчетов это означает, что при средней скорости анализа 2000 сообщений в сутки среднее суммарное время наработки на ошибку 1-го и 2-го рода будет равно времени анализа 42 сообщений, т.е. около 0,5 часа, аналогичный результат и для скорости 10000 сообщений в сутки. Как подтверждение этому, примечателен такой факт - до 11 сентября агенты ФБР из г. Феникса сообщили о подозрительных арабах, обучающихся в летной школе. Однако эти данные не дошли до сотрудников ФБР в штате Минесотта, которые арестовали Захариуса Муссауи, также обучавшегося в летной школе. Иными словами, не удалось своевременно выявить всех взаимосвязанных подозрительных событий и действий террористов и сделать безошибочные аналитические выводы из собранной оперативной информации.
Анализ результатов расчетов, проведенный на основе вышеприведенных фактических данных, показал, что риск ошибочных аналитических выводов
из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия в течение лишь нескольких часов работы составит выше 0,998 (!), а при увеличении оцениваемого периода до суток и более этот риск практически равен 1. Даже если предположить ошибки в исходных данных на сотни и тысячи процентов, все равно результаты претерпят лишь незначительные изменения. Слишком уж велики объем перерабатываемой информации и частота ошибок 1-го и 2-го рода. Об этом можно было догадываться раньше, но количественные оценки говорят о тщетности надежд на оперативное выявление и предотвращение терактов на самой современной технологической базе. Такое возможно лишь в отдельных случаях удачного стечения обстоятельств.
Результаты расчетов подтверждают, что на нынешнем первоначальном этапе глобального противоборства с терроризмом при несовершенстве механизмов оперативного выявления опасных угроз практически вся тяжесть по снижению уязвимости систем ложится на плечи самих систем. Воистину «спасение утопающих - дело рук самих утопающих». Это на сегодня и ближайшее время - исчерпывающий ответ на поставленный выше вопрос в приложении к важным системам и объектам, чему доказательством служат различные террористические акты, свершаемые террористами в самых неожиданных местах по всему миру.
Таким образом, предупредить превентивно реализацию террористических актов в приложении к любого рода системам и объектам сегодня практически невозможно. Необходима глубоко продуманная целенаправленная работа по коренному снижению рисков.
Анализ показывает, что основным превентивным механизмом снижения рисков является мониторинг обеспечения безопасности в различных вариациях его приложения. Оценим достаточно часто встречающиеся на практике технологии обеспечения безопасности систем, реализующих указанные меры: технологию 1 (профилактическую диагностику целостности системы), 2 (многосменный мониторинг безопасности), 3 (мониторинг безопасности с диагностикой целостности системы при каждой смене операторов).
Технология 1 основана на профилактической диагностике целостности системы. Диагностика осуществляется периодически. Предполагается, что существуют не только средства диагностики, но и способы восстановления необходимой целостности системы при выявлении проникновения источников опасности в систему или следов негативного воздействия. Выявление проникших источников опасности и нарушений целостности возможно лишь в результате диагностики, после чего сразу осуществляется ее восстановление. Опасные воздействия на систему осуществляются поэтапно: сначала источник опасности проникает (внедряется) в систему, а по прошествии свойственного ему периода активизации начинает воздействовать. До активизации проникшего источника опасности функциональная целостность системы не нарушается. Опасность считается реализованной лишь после реального воздействия проникшего источника опасности. Именно с начала такого воздействия целостность системы полагается нарушенной. Таким образом, если сравнивать защищаемую систему с человеком, технология 1 напоминает периодическую диагностику состояния здоровья человека. Если результаты диагностики свидетельствуют о симптомах нарушения здоровья, человека начинают лечить (ликвидировать источник опасности). Между диагностиками проникшая в организм инфекция при
ЛИТЕРАТУРА
1. Бецков А.В. Модели оценок и снижений рисков на воздушном транспорте. М.: ТЕИС, 2004. 248 с.
2. Бецков А.В. Теоретические и организационные основы формирования аэромобильных комплексов МВД России. М.: ТЕИС, 2009. - 198 с.
3. Бецков А.В. Формирование и функционирование аэромобильных комплексов МВД России. М.: ТЕИС, 2009. - 238 с.
4. Северцев Н.А., Бецков А.В. Введение в безопасность. М.: ТЕИС, 2008. - 176 с.
активизации до очередной диагностики переводит человека в болезненное состояние (т.е. в результате опасного воздействия целостность нарушается).
В отличие от предыдущей технология 2 подразумевает, что целостность системы в период между диагностиками отслеживают сменяющие друг друга операторы. При обнаружении проникновения источника опасности полагается, что оператор ликвидирует его, восстанавливая целостность системы (способы для этого полагаются существующими аналогично технологии 1). Проникновение источника опасности в систему возможно только в случае ошибки оператора. Безошибочные действия оператора предусматривают нейтрализацию источника опасности при попытке его внедриться в систему (при моделировании морских НГС в рамках рассматриваемых примеров временем нейтрализации будем пренебрегать, хотя в реальности в некоторых случаях такое пренебрежение может оказаться недопустимым). Проверка целостности системы осуществляется лишь при проведении диагностики. При смене операторов такой проверки не делается. То есть источник опасности, проникший в одну смену, может активизироваться в последующие смены вплоть до очередной диагностики. Таким образом, по аналогии с человеком технология 2 напоминает непрерывное пребывание человека на сохранении в госпитале, когда между редкими комплексными диагностиками он непрерывно находится под наблюдением посменно работающих врачей. Между диагностиками сменяемый врач передает пациента сменяющему врачу под «честное слово», т.е. без гарантированного подтверждения реального состояния его «целостности». Такую гарантию, согласно нашим предположениям, может дать лишь комплексная диагностика. Опасная инфекция может проникнуть лишь по вине одного из врачей, а обнаружена существенно позже - либо в результате обострения скрытого заболевания при дежурстве этого или другого врача, либо в результате очередной диагностики состояния здоровья. То есть при многосменной работе врачей реального виновника, пропустившего инфекцию, в общем случае объективно определить невозможно. Это явный практический недостаток технологии 2.
Технология 3 является частным случаем технологии 2, когда при каждой смене операторов осуществляется комплексная диагностика. Тем самым каждый заступающий на смену оператор уверен в требуемой целостности системы, сохраненной от проникновения источников опасности либо восстановленной по результатам диагностики. Проникновение источника опасности возможно лишь в результате случайной ошибки оператора, причем опасное воздействие происходит только в случае активизации до следующей диагностики. Иначе не-активизировавшийся источник будет обнаружен при диагностике и обезврежен. То есть технология 3 лишена недостатка технологии 2.
При моделировании для всех трех технологий важным является предположение о полном выявлении источников опасности и существовании применимых способов восстановления нарушенной целостности системы.
На фоне оправдавших себя мер противодействия источникам аварийной опасности ситуация в борьбе с террористическими угрозами оказывается кардинально отличной в худшую сторону, поскольку проблема эффективной борьбы с терроризмом еще находится в самой начальной стадии.
