Рассматривая вопросы безопасности информации в АС, можно говорить о наличии некоторых "желательных" состояний данных систем. Эти желательные состояния ( представленные в терминах модели собственно АС, например в терминах субъектно-объектной модели, которая будет рассмотрена ниже) описывают "защищенность" системы. Понятие "защищенности" принципиально не отличается от любых других свойств технической системы, например "надежной работы", и является для системы внешним, априорно заданным. Особенностью понятия "защищенность" является его тесная связь с понятиями "злоумышленник" ( как обозначение внешней причины для вывода системы из состояния "защищенности" ) или "угроза" ( понятие, обезличивающее причину вывода системы из защищенного состояния действиями злоумышленника ), которое было рассмотрено в "Структуре теории компьютерной безопасности".

При рассмотрении понятия "злоумышленник" практически всегда выделяется объект его воздействия - часть системы, на которую направлены те или иные его действия ( "объект атаки" ). Следовательно, можно выделить три компонента, связанные с нарушением безопасности системы:

• "злоумышленник" - внешний по отношению к системе источник нарушения свойства "безопасность"
• "объект атаки" - часть, принадлежащая системе, на которую злоумышленник производит воздействие
• "канал воздействия" - среда переноса злоумышленного воздействия

Интегральной характеристикой защищаемой системы является политика безопасности - качественное ( или качественно - количественное ) выражение свойств защищенности в терминах, представляющих систему. Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки. Приведем пример. Наиболее часто рассматриваются политики безопасности, связанные с понятием "доступ". Доступ - категория субъектно - объектной модели, описывающая процесс выполнения операций субъектов над объектами.

Политика безопасности включает:

• множество возможных операций над объектами
• для каждой пары "субъект, объект" ( S_i , O_j) множество разрешенных операций, являющееся подмножеством всего множества возможных операций

Операции связаны обычно с целевой функцией защищаемой системы ( т.е. с назначением системы и решаемыми задачами ). Например, операции "создание объекта", "удаление объекта", "перенос информации от произвольмого объекта к предопределенному объекту" ( операция "чтения" ) и т.д.

Можно сформулировать аксиомы защищенных АС.

Аксиома 1. В защищенной АС всегда присутствует активный компонент ( субъект ), выполняющий контроль операций субъектов над объектами.

Этот компонент фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объектами необходима дополнительная информация ( и наличие содержащего ее объекта ) о разрешенных и запрещенных операциях субъектов с объектами.

Аксиома 3. Все вопросы безопасности информации в АС описываются доступами субъектов к объектам.

Важно заметить, что политика безопасности выражает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами ( субъектами, объектами, операциями субъектов над объектами ). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процесс изучения свойства защищаемой системы должны быть определены процедуры управления безопасностью.

С другой стороны, нестационарность защищаемой АС, а также вопросы реализации политики безопасности в конкретных конструкциях защищаемой системы ( например, программирование контролирующего субъекта в командах конкретного процессора ) предопределяют необходимость рассмотрения задачи гарантирования заданной политики безопасности.

Итак, можно сказать, что при рассмотрении политики безопасности необходимо решить четыре класса взаимосвязанных задач:

• формулирование и изучение политик безопасности
• реализация политик безопасности
• гарантирование заданной политики безопасности
• управление безопасностью