Изолированная программная среда – сферический конь в вакууме или …?

[Log1nF]

Будто просто мои знания взяли, положили в миксер, размешали, и каким-то чудом получилась сложенная мозаика.

Залипательно однако все это представить) спасибо.

[Rutel_Nsk]

Мое личное мнение:
Чем проще принципы на которых построена безопасность, тем проще математически доказывать ее надежность.
Самый просто вариант:
Процессор содержит в себе устройство Шифратор и дешифратор.
Все что покидает секретную часть процессора должно быть зашифровано и обратное.
общение через неподконтрольную территорию, только в зашифрованном виде и только между процессорами имеющимися в списке организации.
Ну и сам процессор проектируетя так, что бы было нельзя вскрыть и модифицировать.

Вот для такой системы можно в цифрах доказать безопасность.

[CyberLympha]

А еще проще для системы, выключенной из розетки :)

Очень просто решаются вопросы безопасности, когда есть четкая граница между доверенными элементами системы и недоверенными – поставили забор/межсетевой экран/горизонт событий и отгородились от всего этого злого мира вокруг.

Но реальность сложнее – мы не можем гарантировать, что отправитель или получатель нашей сверхзащищенной информации все еще тот, за кого он себя выдает. Да и многопользовательская система предполагает, что отправителей и получателей информации сильно больше двух. И у них разные права доступа, соответственно, надо как-то гарантировать, что не будет способа обойти начальное ограничение и передать то, что нельзя было передавать, третьему лицу.

Собственно, возвращаясь к примеру с DoD, оригинальная ОС Multics была с какими-никакими механизмами безопасности, но DoD не устраивала полная беззащитность Multics перед программами-троянами. Именно это и был основной предмет исследований. 

И, например, модель HRU (тоже артефакт тех лет) показывает, что в системе с добровольным (дискреционным) управлением доступом в общем случае вообще нельзя гарантировать безопасность! Т.е. нет способа проверить, что доступные в системе команды не позволяет рано или поздно изменить матрицу доступа так, что к ней получит доступ тот, кто не должен был.