Моделирование угроз информационной безопасности бортовых вычислительных средств самолета
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. 2016. № 6
89
Таким образом, показатель наработки на отказ при допущении о независи-
мости каждого отказа для времени полета
25 ч
t
будет равен
сист
129100
t
T
Q
ч.
Приведенный оптимистичный пример не учитывает последствий воздей-
ствия побочного электромагнитного излучения на КБО в случаях возникнове-
ния сбоев, так как методика, используемая разработчиками, не учитывает зави-
симых сбоев и отказов.
Модели лавинных угроз ИБ КБО.
Как отмечалось, существенным факто-
ром ИБ КБО является возникновение аппаратно-программных сбоев, каждый
из которых не в полной мере определяет безопасное функционирование вычис-
лительной системы в целом, но последствия атаки на один из модулей могут
стать атаками на другие модули. Отметим, что это явление может стать харак-
терным для постоянно усложняющегося КБО. Для построения таких моделей
применим аппарат сетей Петри.
Модель на основе сети Петри.
Существует несколько формальных опреде-
лений сети Петри, отличающихся способами задания элементов и связей в сети.
Поэтому далее отражаются основные положения [10], принятые в настоящей
работе. Одно из важнейших свойств сети Петри, которая должна моделировать
реальное устройство, — это безопасность. Сеть Петри безопасна, если безопас-
ны все позиции сети. Принимается, что сеть Петри
С
= (
Р
,
Т
,
I
,
О
),
где
P
—
непустое множество элементов сети, называемых местами;
T
— непу-
стое множество элементов сети, называемых переходам;
I
— функция инци-
дентности, задающая связи между элементами множеств
P
и
T
;
О
—
функция
выходов. Принимается, что позиция
,
i
p
принадлежащая
P
, с начальной марки-
ровкой
m
является безопасной, если
1
i
m p
для любой
m',
принадлежащей
R
(
C, m
). Сеть Петри безопасна, если безопасна каждая ее позиция. Если интер-
претировать сети как условия и события, то маркировка каждой позиции долж-
на быть безопасной. В безопасной сети любой переход, удаляющий фишку из
,
i
p
должен помещать фишку в
,
i
p
а всякий переход, удаляющий фишку из
,
i
p
должен помещать фишку в
.
i
p
Начальная маркировка также должна быть мо-
дифицирована для обеспечения того, чтобы только одна фишка была либо в
p
i
,
либо в
.
i
p
Такая принудительная безопасность возможна лишь для позиций,
которые в начальной маркировке являются безопасными, и входная, и выход-
ная кратность которых равна нулю или единице для всех переходов. Позиция,
имеющая для некоторого перехода выходную кратность два, будет получать при
его запуске две фишки и, следовательно, не может быть безопасной. На рис. 3
простая сеть Петри (
а
) преобразована в безопасную (
б
).
Установлено, что сети Петри можно использовать для моделирования как си-
стем распределения ресурсов (в частности, вычислительных), так и ресурсов
надежности. Для их сохранности фишки, представляющие ресурсы, не должны