Содержание к диссертации
Введение
1. Теоретические и методологические основы информационной безопасности компьютерных систем общего назначения 10
1.1. Методы и технологии защиты компьютерных систем 10
1.2. Формализация модели компьютерных систем общего назначения и постановка задачи исследования 27
1.3. Выводы главы 1 38
2. Разработка теоретической модели защищенной компьютерной системы 41
2.1. Построение формального критерия защищенности компьютерной системы 41
2.2. Функционально-параметрическое определение адекватной модели защищенной компьютерной системы общего назначения на основе формального критерия оценки защищенности 47
2.3. Модель целостности компьютерной системы 56
2.4. Модель конфиденциальности ресурсов компьютерной системы 69
2.5. Методические аспекты преобразования компьютерной системы к защищенной модели 80
2.6. Выводы главы 2 84
3. Практические подходы реализации модели защищенной компьютерной системы 86
3.1. Оценка методов реализации на основе инфраструктуры операционных систем общего назначения 86
3.2. Реализация разработанной модели на базе операционной системы Windows NT 95
3.2.1. Модуль перехвата действий 98
3.2.2. Модуль атрибутов объектов и субъектов 105
3.2.3. Оценка соответствия реализации защищенной модели приоритетным требованиям 114
3.3. Выводы главы 3 121
Заключение 122
Литература 125
Приложения 134
- Формализация модели компьютерных систем общего назначения и постановка задачи исследования
- Функционально-параметрическое определение адекватной модели защищенной компьютерной системы общего назначения на основе формального критерия оценки защищенности
- Методические аспекты преобразования компьютерной системы к защищенной модели
- Реализация разработанной модели на базе операционной системы Windows NT
Введение к работе
Актуальность темы. Важную часть процесса внедрения новых
информационных технологий во все сферы жизни общества является
обеспечение защищенности информации. Широкомасштабное
использование вычислительной техники и телекоммуникационных систем, переход на этой основе к безбумажным технологиям, увеличение объемов обрабатываемой информации и расширение круга пользователей приводят к качественно новым возможностям несанкционированного доступа к ресурсам и данным информационной системы, к их высокой уязвимости.
Большинство традиционных механизмов и средств защиты связано с разграничением доступа, межсетевыми экранами, аутентификацией, криптографическими системами и так далее. Вместе с тем существуют и другие механизмы адаптивной безопасности сети, к которым относятся механизмы анализа защищенности и обнаружения атак. Предлагаемые на отечественном рынке отдельные средства защиты не в состоянии решить проблему в целом. Основной проблемой, с которой сталкиваются пользователи и собственники информационных систем является ограниченность, а зачастую и полная невозможность обеспечения необходимого уровня доверия к технологии и, как следствие, к уровню защищенности в целом.
Стремление повысить степень защищенности компьютерных систем от различного рода внешних угроз приводит к необходимости разработки комплексных моделей их защищенности. Практическое использование осложняется рядом серьезных трудностей.
Большинство методов могут быть отнесены к множеству компьютерных систем специального назначения, то есть систем, отвечающих специальным требованиям безопасности. Отмеченная специфика
предполагает существование особых подходов к построению и практической реализации защищенных систем общего назначения.
Существующие механизмы и методы не позволяют сделать вывод о корректности и степени защищенности компьютерной системы. Более того, такие системы накладывают целый ряд ограничений на администрирование и функциональность. Другим недостатком существующих систем является локальный характер их действия, целость и конфиденциальность ресурсов при этом доказать невозможно.
Появление и использование новых, все более и универсальных операционных и сетевых платформ, различных универсальных общесистемных продуктов, делает невозможным использование традиционных подходов к реализации политики безопасности в компьютерной системе (КС). Они становятся трудно выполнимыми, либо вообще не могут быть реализованы.
Ситуация еще больше усугубляется тем обстоятельством, что в подавляющем большинстве случаев атаки злоумышленников реализуются через легальных клиентов или персонал системы, для которых барьерные механизмы защиты прозрачны. Вследствие указанных причин, рациональная и полная реализация политики безопасности классическими методами защиты от несанкционированного доступа приводит к очень сложным, динамически управляемым системам с существенным дефицитом доказательности:
Выявленные недостатки концептуального и технологического характера убедительно свидетельствуют о необходимости и актуальности разработки защищенных компьютерных систем нового типа для класса систем общего назначения. В задачу такой системы должно входить построение защищенной модели, целостности системы и конфиденциальности ее ресурсов. При этом должны быть получены
количественные показатели в виде значения, принимаемого формальным критерием защищенности компьютерной системы общего назначения.
Изложенные обстоятельства определяют актуальность исследований, направленных на разработку научно-методической базы, прикладных методов и программных средств их реализации.
Степень разработанности темы. Научные основы обеспечения безопасности информационных систем разрабатывались в трудах российских ученых: В.А.Герасименко, А.А.Грушо, П.Д.Зегжды, В.В.Кульбы, В.В.Платонова, Н.Д.Подуфалов, А.Г.Ростовцева и других, а также зарубежных ученых: Р.Андерсон, К.Д.Биба, Д.Гольман, Д.Е.Деннинг, Д.Д.Кларк, М.Д.ЛаПадула, Д.А.Мак-Лина, Б.Шнайер. Значительный вклад в разработку прикладных аспектов безопасности внесли В.Ю.Гайкович, В.В.Домарев, Д.П.Зегжда, А.В.Лукацкий, И.Медведовский, Д.Леонов, А.Першин, Ю.Самохин, С.Е.Сталенков и другие.
По отдельным направлениям безопасности отечественные разработки или отсутствуют или являются закрытыми. Большинство работ посвящено криптографическим методам, узким специализированным механизмам и средствам защиты, не позволяющим ответить на вопрос: как обеспечить защищенность компьютерных систем общего назначения в соответствии с современными требованиями.
Восполнить в определенной мере данный пробел призвано данное исследование.
Цель работы состоит в разработке системы научно-методологических положений, моделей и методических рекомендаций, позволяющих осуществить анализ, выявить приоритеты и построить модель безопасности компьютерных систем общего назначения.
Достижение этой цели ведет к повышению степени защищенности и обеспечивает разработку долгосрочной стратегии политики безопасности на основе учета информационных потребностей пользователей.
Основные задачи работы:
анализ методов и технологий защиты с целью выявления и систематизации основных проблем современного состояния в области безопасности компьютерных систем общего назначения;
формулировка приоритетных требований по безопасности компьютерных систем общего назначения;
формализация модели компьютерной системы общего назначения;
построение формального критерия защищенности компьютерной системы общего назначения, основанного на степени уязвимости компонентов системы и их связей;
исследование возможности построения модели защищенной компьютерной системы, адекватной с точки зрения сформулированного критерия безопасности;
разработка и исследование моделей целостности компьютерной системы общего назначения и конфиденциальности ее ресурсов;
методическое и практическое обеспечение преобразования компьютерной системы к защищенной модели.
Объектом исследования является компьютерная система общего назначения.
Предметом исследования являются методология, модели и методы защищенной компьютерной системы общего назначения.
Теоретической и методической основой исследования являются системно-концептуальный подход к безопасности, методы теории вероятности, теории множеств, математической логики, матричной алгебры, информационного моделирования, математической статистики.
Научная новизна исследования состоит в следующем:
выявлены основные недостатки существующих методов безопасности и сформулированы приоритетные требования по защищенности компьютерных систем общего назначения;
формализована модель компьютерной системы общего назначения;
разработан формальный критерий защищенности компьютерной системы, основанный на степени уязвимости компонентов системы и их связей;
разработана мандатная модель целостности компьютерной системы;
разработана модель конфиденциальности ресурсов компьютерной системы в рамках подхода контролирования потоков информации;
произведена оценка методов реализации защищенной компьютерной системы на основе инфраструктуры операционных систем общего назначения.
Практическая значимость работы состоит в создании научно-
обоснованной технологии концептуального проектирования КС,
обеспечивающей проектировщиков и специалистов предметной области
следующим инструментарием: формализованной моделью КС, критерием
защищенности, позволяющем сравнивать степени безопасности КС,
методическими рекомендациями по преобразованию КС к защищенной
модели.
Реализация результатов работы. Результаты диссертационного исследования нашли практическое применение в ЦНИИ НИИ «Буревестник», компании Secure Wave и учебном процессе Нижегородского государственного технического университета на кафедре Вычислительная техника.
Результаты работы отражены в четырех статьях в журнале «Конфидент» и сборнике научных работ Нижегородского государственного технического университета, а так же в докладах Всесоюзной научно-
практической конференции «Информационные системы и технологии» (Н.Новгород, 2000-2003), Международной научно-практической конференции «Фундаментальные и прикладные вопросы информатики и экономики» (Москва-Сочи, 2000), Международной научной конференции «Информационные технологии и проблемы безопасности» (С-Петебург, 2001) и на научных семинарах кафедры Вычислительная техника НГТУ.
Формализация модели компьютерных систем общего назначения и постановка задачи исследования
Для исследования защищенности КСОН необходима формализация ее модели с позиций безопасности. На сегодняшний день такая модель отсутствует. Аппаратные средства не входят в предмет исследования, поэтому основным компонентом модели является ОС, которая предоставляет определенный уровень абстракции аппаратных средств компьютера. В результате данной абстракции все ресурсы системы представляются в виде пассивных сущностей КС, называемых объектами. Также выделяется понятие активных сущностей - субъектов. Субъекты могут создавать, удалять объекты, и взаимодействовать с ними. К субъектам относятся пользователи и исполняемый код.
Исполняемый код (С) это набор инструкций, внешних вызовов и данных, который транслируется и исполняется соответствующим процессором, например: машинный код транслируется и исполняется посредством центральных процессоров, Java байт код транслируется виртуальной машиной Java и так далее. При этом набор инструкций определяется текущим состоянием виртуальной памяти -Mv ={mvl,...,mvG}, где G определяется в зависимости от размера блока виртуальной для заданного процессора. Так для машинного уровня G = 2Nb, Nb - число бит блока памяти.
Таким образом, исполняемый код определяется функцией (PROC) от начального состояния блока виртуальной памяти
Исполняемый код вне ядра ОС осуществляет взаимодействие с объектами посредством вызовов множества сервисных функций ядра ОС I = {ilf...iN}, где N - число сервисных вызовов ядра.
Пользователь представляет собой физическое лицо, взаимодействующее с компьютерной системой. Каждый пользователь имеет свой уникальный идентификатор (ID), который устанавливается функцией аутентификации где U = {щ,...,иР} - множество пользователей системы, ID={id],...,idJ] -множество идентификаторов пользователей, IDczU.
Как субъект, пользователь не взаимодействует непосредственно с объектами, но инициирует исполнение кода, ассоциируя себя с ним. Объекты, генерируемые ОС, подразделяются на объекты с контролируемым доступом (именованные) и неконтролируемым (неименованные). Каждому объекту присваивается множество значений атрибутов. Атрибуты доступа могут храниться в объектах с памятью либо в виртуальной памяти. Контролируемые объекты имеют, как минимум, один атрибут - атрибут доступа (Аа), . который ассоциируются со всеми контролируемыми объектами и определяет права доступа к этим объектам для различных субъектов. В КСОН в качестве атрибута доступа применяется список доступа (Access Control List, ACL).
В рамках разрабатываемой модели выделим следующие виды объектов. 1. Объекты с внутренним состоянием (Ostate). Каждый объект хранит значение некоторого внутреннего состояния, которое можно считывать и изменять. При этом информация состояния зависит от интерпретации, а не от фактического значения. К такого рода объектам можно отнести различные примитивы синхронизации. 2. Объекты с памятью (Ostor). Данные объекты представляют хранилища структур данных любого уровня абстракции. Нижним уровнем абстракции являются периферийные устройства, предназначенные для хранения данных (накопители на жестких, гибких, CD/DVD дисках, модули памяти, FLASH и другие). Абстракцией уровнем выше идут файлы, базы данных и так далее. 3. Объекты ввода-вывода (Ою). Сюда относятся объекты, которые создаются ОС для отображения различных периферийных устройств ПК, не предназначенных для постоянного хранения данных: клавиатура, монитор, сетевой интерфейс и другие. 4. Объекты процессов (Р). Процессы характеризуются наличием следующих особых атрибутов: ассоциированный субъект — исполняемый код (Ср ); идентификатор пользователя (ID), с которым ассоциирован процесс; ресурсы выделенные ОС для процесса: диапазон виртуальной памяти, объем виртуальной памяти, время и приоритет ЦП и так далее; параметры исполнительной подсистемы ОС: переменные окружения, текущие значения параметров процесса и другие.
Для процесса множество начальных состояний исполняемого кода определяется ассоциированным объектом с памятью
Функционально-параметрическое определение адекватной модели защищенной компьютерной системы общего назначения на основе формального критерия оценки защищенности
Для определения адекватной модели защищенной КСОН будем использовать формализованную модель (рис. 1.3) и разработанный критерий (2.6). При этом адекватная система должна соответствовать приоритетным требованиям.
С этой целью рассмотрим возможные способы минимизации основного критерия. Согласно выражению критерия (2.6), его минимизация предполагает минимизацию его составляющих, каждый из которых есть вероятность возникновения угрозы целостности подсистем КС. Рассмотрим каждую составляющую.
Подсистема аппаратного обеспечения и соответствующая ей вероятность/ , выходит за рамки данного исследования, поэтому не может рассматриваться на предмет минимизации. Вместе с тем, данную подсистему нельзя исключить, так как она составной элемент КС.
Исполнительный код ядра, которому соответствует вероятность/ , также выходит за рамки рассмотрения. Причина этого заключается в том, что единственным способом минимизации данного компонента является устранение уязвимостей, что не представляется возможным по определению, так как уязвимости - неотъемлемая часть КС. Также исполнительный код ядра необходимый элемент КС.
Вероятность подсистемы аутентификации Рщ , также не может быть минимизирована по причине не соответствия приоритетным требованиям недопустимости ограничения функциональности и минимального уровня технической подготовки пользователя. Действительно, применение более устойчивой к атакам аутентификации неизбежно приводит к ограничению функциональности и усложнению работы пользователя. Однако, в данном случае есть возможность полностью исключить влияние подсистемы аутентификации. Тем более, что это существенно уменьшит вероятность возникновения угрозы, так как вклад данного элемента, как правило, наиболее весом и согласно выражению (2.6) удваивается.
Как описано в предыдущем параграфе, причиной присутствия функции аутентификации в выражении критерия (2.6) вытекает из применяемой дискреционной модели доступа. Выделяют два основных класса моделей доступа: мандатные и дискреционные. Нередко термин «мандатные» трактуется как синоним модели Белла-ЛаПадулы. Такое определение можно найти в «Критериях безопасности компьютерных систем» министерства обороны США [102]. В рамках данной работы эти два класса моделей используются в другом смысле, аналогично определению в отчете Secure Computing Corporation [57].
В рамках мандатных моделей объектам и субъектам присваиваются атрибуты безопасности. На основе указанных атрибутов система контролирует доступ субъектов к объектам, а также регулирует другие положения безопасности. При этом правила присвоения атрибутов и другие регулирующие правила безопасности жестко определены в системе и не могут изменяться пользователями. Дискреционные модели отличаются от мандатных тем, что правила присвоения атрибутов, сами атрибуты и регулирующие правила определяются пользователями и администраторами системы.
Наличие субъекта-пользователя требует наличие механизма аутентификации, так как правила задаются пользователями, то сбой функции аутентификации приводит к подмене сущностей и установке некорректных правил и, как следствие, нарушению целостности КС.
Для решения проблемы предлагается использовать мандатную модель доступа. В мандатной модели правила безопасности жестко заданы самой КС и не могут меняться пользователями. Поэтому из критерия защищенности можно полностью исключить влияние уязвимостей функции аутентификации. Однако, использование мандатной модели может привести к конфликту со следующими приоритетными требованиями: недопустимость ограничения функциональности, минимальный уровень технической подготовки пользователя и минимальные изменения в процесс администрирования системы.
Для компромиссного решения предлагается использовать комбинацию дискреционной и мандатной моделей. В рассматриваемом случае мандатная модель является более приоритетной. Поэтому область действия и принципы дискреционной модели доступа будут распространяться на все функции не связанные с целостностью системы. Функции, критичные с точки зрения обеспечения целостности КС, будут контролироваться мандатной моделью доступа. В этом случае, запрос доступа будет разрешен только при условии удовлетворения всем правилам доступа как дискреционным, так и мандатным (рис.2.1).
Методические аспекты преобразования компьютерной системы к защищенной модели
Реализация разработанных мандатных моделей целостности и конфиденциальности на базе существующих КСОН привносит определенные аспекты, связанные с трансформацией существующих моделей безопасности.
Модель КСОН преобразуется к защищенной путем включения дополнительных мандатных моделей (рис.2.1). При этом определяются следующие приоритеты, в порядке убывания: 1. модель целостности, 2. модель конфиденциальности, 3. существующая дискреционная модель.
С этой целью все действия субъектов последовательно сопоставляются с правилами указанных трех моделей. Действие субъекта, не удовлетворяющее условиям любой из моделей, отклоняется. Все объекты поделены на типы, в свою очередь, каждому типу соответствует определенное множество разрешенных действий, что отражено выражениями (2.42), (2.43). Тогда результат функционирования исходной и защищенной модели доступа можно выразить следующими предикатными отношениями: где MD, MI, МС - предикатные отношения соответственно существующей дискреционной модели, модели целостности и модели конфиденциальности; Лг, Яс - функции отображения действий над субъектами в элементарные запрашиваемые права доступа на чтение и модификацию: ОР — А.
Дополнительные правила накладывают больше ограничений на действия субъектов. Обозначим множества действий, отклоняемых моделями МА и МА соответственно OPDczOPD . Получаем увеличение числа отклоняемых действий равное мощности множества AOPD:
В идеальном случае все действия множества AOPD соответствуют атакам на уязвимости КС. Однако в действительности часть отклоненных действий связана с тем, что они не укладываются в рамках модели доступа и содержат в себе атаку, а, следовательно, отклоняются ошибочно: где OPDA и OPDM- подмножества отклоненных действий атаки и по ошибке. Ненулевая мощность множества OPDM отражает противоречие с приоритетными требованиями недопустимости ограничения функциональности и прозрачности механизмов защиты. Разработанные модели содержат ряд ограничений, которые могут приводить к ошибочным блокированиям действий, а именно: модель целостности не учитывает возможность авторизованной модификации кода, связанной с обновлением исполнительного кода ОС; модель конфиденциальности блокирует передачу конфиденциальных объектов по сети.
Реализация моделей должна ослаблять и устранять данные ограничения. При этом методы будут зависеть от конкретной КСОН. Например, для обновления ОС можно определить специальный режим работы, в котором модель целостности смягчает свои требования и разрешает модификацию ТСВ-объектов источников кода. Кроме того, необходимо предусмотреть, чтобы перевод КС в данный режим мог осуществляться с определенными ограничениями, исключающими нарушение целостности. Как уже указано в п.2.4, в качестве решения указанного ограничения модели конфиденциальности предлагается использование прозрачного шифрования.
Другой задачей, связанной с реализацией моделей, является определение ТСВ-объектов источников кода и объектов с памятью, которые хранят конфиденциальные данные. Данное решение не может быть унифицировано и должно базироваться на особенностях реализации ОС КСОН.
Еще одна задача реализация связана с определением функций: Л,, Яс, которые отвечают за отображение действий в элементарные права доступа.
Для моделей целостности и конфиденциальности эти функции различны. Это связано с тем, что реализация конфиденциальности дополнительно учитывает устранение скрытых каналов, а модель целостности должна контролировать только непосредственную модификацию содержимого объектов.
Кроме указанных проблем, корректность функционирования моделей требует, чтобы действия чтения и модификации объектов происходили в различные дискретные отсчеты времени. Операционные системы КСОН не обеспечивают указанное условие, то есть действия могут выполняться одновременно. Поэтому в модуле контроля доступа предлагается использовать глобальную синхронизацию, которая будет преобразовывать действия субъектов в последовательную очередь (FIFO) запросов для модуля, реализующего проверку правил моделей, как предствалено на рис.2.4.
Реализация разработанной модели на базе операционной системы Windows NT
Среди всех ОС КСОН наиболее распространенными на сегодняшний день являются Windows NT и Linux. С точки зрения реализации разработанных моделей защиты обе указанные ОС имеют преимущества и недостатки. Windows NT является наиболее распространенной ОС, имеет развитую структурированную объектно-базированную архитектуру, поддерживает совместимость подгружаемых модулей ядра между различными версиями, предоставляет документированный интерфейс для перехвата действий над всеми объектами ввода-вывода. Единственным недостатком является недоступность исходного кода ОС для получения информации о необходимых недокументированных возможностях. ОС Linux имеет доступный исходный код, однако, не поддерживает совместимость подгружаемых модулей ядра между различными версиями. Преодолеть этот недостаток можно при помощи использования интерфейса LSM. Благодаря открытости исходного кода для Linux реализовано множество систем защиты, таких как: LIDS, LOMAC, Secmod, SubDomain, PitBull, VXE, RSBAC, DTE, OWL, Medusa DS9, Systrace, SeLinux, LSM, Beattie MAC. В свою очередь, число систем защиты для Windows NT несмотря на ее большую распространенность заметно уступает. По этой причине в качестве прототипа реализации была выбрана КСОН на базе ОС Windows NT.
Ни одна из систем, предоставляющих инфраструктуру для реализации защиты КС (Kernel Hypervisors, Generic Software Wrappers), не поддерживает Windows NT. Поэтому необходимо рассмотреть модульную структуру реализации всех средств обобщенной инфраструктуры контроля доступа. Согласно требованиям, выведенным в п.3.1, структура модулей выглядит, как отражено рис.3.5.
СКД и СПРД реализуются в рамках подгружаемого модуля ядра. СКД представлен модулями, которые обеспечивают перехват действий субъектов над различными типами объектов: объекты с памятью, объекты ввода-вывода, объекты с внутренним состоянием, объекты процессов. В СКД входит также модуль атрибутов объектов, который обеспечивает присваивание и определение уровней объектов и субъектов в рамках формальных моделей, то есть фактически функции ИКД. СПРД реализует вычисление предиката (2.52) и представлено модулем сопряжения, вычисляющем функции Я7, Лс, и модулем реализации основных функций моделей целостности и конфиденциальности Ml и МС. Реализация модуля сопряжения зависит от типов объектов конкретной ОС, в данном случае Windows NT. В свою очередь внутренняя логика модуля основных функций моделей определяется только выведенными формальными правилами, что позволяет использовать его в реализациях для других ОС КСОН.
Результатом функционирования Ml и МС является множество результатов, состоящее из упорядоченных элементов RS = {rs1,rs2,rs3}, где rsl rs2 rs2, rsx - заблокировать субъект, rs2 - заблокировать действие субъекта, rs3 - разрешить действие субъекта.
Рассмотрим интерфейс каждого из модулей, приведенного на рис.3.5. Данный интерфейс удобно представить в виде функций. Модули перехвата для каждого из перехваченных действий реализуют следующую функцию: Mmercet.Act(o,t,c,a) - выполнить действие а є А субъекта сєСнад объектом о є О типа t є Т, Модуль атрибутов объектов и субъектов предоставляет 2 функции: Mattr .GetAttribute , с) - получить атрибуты объекта та є МА и субъекта тс є Мс, где М = МА и Мс; MattrSetAttribute(o,т0,с,тс) - установить атрибуты объекта и субъекта. Модули моделей Ml и МС основаны на функциях: MMJ.GetAccess(o,t,m0,c mc,XI(a)) - получить результат модели целостности в виде (rSjfOfm c m eR, где rsj - результат модели на действие аєА субъекта сєС над объектом оеО, т 0,т!с - новые атрибуты объекта о и субъекта с; MMc.GetAccess(o,t,moic,mc,Ac(a)) - получить результат модели конфиденциальности в виде (rsc,o,m0 ,с,тс )GR, где rsc - результат модели, т0 ,Шс - новые атрибуты объекта о и субъекта с; Mn(rsl,rsc) = mm(rs],rsc).
Тогда алгоритм функционирования защищенной модели при каждом вызове Mmercet.Act{o,t,c,a) выглядит следующим образом:
Прежде чем приступить к описанию реализации модулей системы защиты, рассмотрим подсистемы ядра Windows NT и типы объектов, поддерживаемые ими, а также то, как они соотносятся с типами объектов формальной модели. Здесь следует отметить, что ядро ОС представляет собой так называемую Исполнительную систему (рис.3.6), которая предоставляет интерфейс и объекты для реализации дополнительных подсистем в рамках процессов пользовательского режима [96].
Таким образом, на базе исполнительной подсистемы функционирует три дополнительных подсистемы, работающие в отдельных процессах: подсистема Win32, подсистема POSIX и подсистема OS/2. Подсистема POSIX не поддерживает понятия объекта как такового. OS/2 практически не используется, что позволяет полностью исключить ее из рассмотрения с учетом того, что эта подсистема будет полностью блокирована механизмами моделей.
