поиск по сайту
Иммунитет как результат эволюции ЭВМ

Иммунитет как результат эволюции ЭВМ

В. А. Конявский,

зав. кафедрой «Защита информации» ФРТК МФТИ, д. т. н.

Электронно-вычислительные машины (ЭВМ, компьютеры) предназначены для выполнения программ – различных алгоритмов, описанных на языках программирования. Здесь слово «различных» практически означает «любых». Компьютер выполняет любые программы. Но заранее определенные функции выполняют не только компьютеры – это делают также конечные автоматы, например. Отличие – именно в том, что компьютер исполняет «любые» программы. Компьютер несравнимо более гибок, универсален по сравнению с конечным автоматом.

Любой компьютер – это реализация (более или менее близкая) идеи «машины Тьюринга» [1].

Понятия «машина Тьюринга» и «алгоритм», вычислимость – неразрывно связаны, определяются одно через другое. Само существование абстрактного «исполнителя», такого, как машина Тьюринга, – вселяет уверенность во всемогуществе человека. Действительно, любая (точнее, рекурсивная, что и есть практически любая) задача может быть решена, если достаточно ресурсов (памяти и времени).

Возможно, завораживающая простота формулировок и спровоцировала разработку универсальных вычислительных машин (средств вычислительной техники, СВТ; персональных ЭВМ, ПЭВМ) которые частично (с конечной памятью) моделируют машину Тьюринга, давая нам псевдо неограниченные возможности и толкая на экстенсивный путь развития. Не хватает памяти – что за проблема, – добавим. Не хватает времени – увеличим тактовую частоту, количество ядер, виртуализируем ресурсы, наконец.

Эта позиция многие годы «паровозом» тащила за собой развитие информационных технологий. Емкость обычных локальных дисков, например, за два десятилетия выросла от десятков килобайт до сотен гигабайт и часто уже измеряется терабайтами, а памяти так и не хватает. Тактовые частоты от килогерц достигли гигагерц, а производительности не хватает. Зато индустрия ИТ стала едва ли не определяющей современный уровень экономического развития. Гигантские суммы инвестиций – плата за технический прогресс и универсальность решений.

На машине Тьюринга можно [1] моделировать любую другую вычислительную машину (любого «исполнителя») – поэтому говорят о полноте машины Тьюринга.

С указанными выше ограничениями (конечность памяти) на универсальной машине (УМ) можно, в свою очередь, моделировать машину Тьюринга. Такие УМ называют полными по Тьюрингу (Turing complete).

Полные по Тьюрингу УМ, таким образом, как минимум должны выполнять элементарные операции, свойственные машине Тьюринга, а именно: перемещать управляющее устройство (головка чтения-записи) влево и вправо по ленте, читать и записывать в ячейки символы некоторого конечного алфавита. Линейность памяти и последовательность выполнения операций – базовые характеристики машины Тьюринга.

Универсальная машина потенциально может самообучаться, достигая уровня, при котором человек, ведущий беседу, не сможет определить, кто его собеседник – человек или компьютер (тест Тьюринга). Конечно, это блестящие перспективы, само существование которых делает необычайно привлекательной сферу компьютерных технологий!

Но всегда ли возможность самообучения является плюсом? Серьезные опасения, например, может вызвать возможность бесконтрольного самообучения контроллеров АСУ ТП АЭС, железнодорожного транспорта, непрерывных производств и так далее. Вряд ли эти контроллеры должны блистать интеллектом, а не абсолютно точно выполнять свои функции. Видимо, поэтому для решения таких задач применяют обычно конечные автоматы. Конечные автоматы, контекстно-свободные грамматики, примитивно-рекурсивные функции являются примерами неполных по Тьюрингу формализмов.

Таким образом, есть много задач, которые можно решить и не на универсальном «исполнителе». Более того, есть много задач, которые нужно решать не на универсальном, а на специализированном «исполнителе». Так, неотчуждаемая возможность «читать и записывать», которая делает операцию копирования в компьютере имманентной, полностью противоречит, как минимум, задачам защиты информации. Необходимое для «универсальности» свойство становится неприемлемым в конкретных условиях.

Пытаясь защититься от вредоносных хакерских программ, человечество уже более 60-ти лет разрабатывает программы, традиционно относимые к области защиты информации – средства идентификации, аутентификации, авторизации, контроля целостности, антивирусные программы, криптографические средства и так далее. Использование этих средств отчасти приносит положительный эффект, но очень и очень отчасти. Действуя в рамках пусть универсальной, но одной формальной модели, мы неизбежно натолкнемся на ее неполноту – в полном соответствии с теоремой Геделя о неполноте.

Становится очевидным, что искать уязвимости только в программном обеспечении явно недостаточно.

Действительно, если УМ выполняет любые программы, то, очевидно, она выполнит и вредоносную программу. Это не зависит от ее программного обеспечения, а определяется ее архитектурой. Универсальность компьютера обеспечивается архитектурно, самой «конструкцией» машины Тьюринга, как мыслимой в абстракции, так и реализованной на практике. Способность выполнять вредоносные программы – это базовая, системная, архитектурная уязвимость всех компьютеров, построенных как машина Тьюринга. Уязвимость – оборотная сторона универсальности. Машина Тьюринга архитектурно уязвима. Архитектурно уязвимы и все виды компьютеров, которые мы используем, потому, что они разрабатывались так, чтобы быть максимально универсальными. Этой уязвимостью мы платим за универсальность наших компьютеров. Мы эксплуатируем компьютеры, а хакеры – эксплуатируют эту уязвимость.

Поскольку архитектуру нельзя изменить программным путем, то никакие программные средства не помогут нам защититься от хакеров надежно. Игра «кто кого» продолжается уже много лет, давая работу сотням тысяч специалистов по информационной безопасности, но не спасая нас от потерь.

Как же быть?

Если уязвимость в архитектуре – то и совершенствовать нужно архитектуру.

Классическими являются две архитектуры – архитектура фон-Неймана [2] и гарвардская архитектура [3]. Примером первой являются практически все настольные компьютеры, примером второй – практически все планшетные компьютеры и телефоны.

Компьютер, о котором пойдет речь ниже – это компьютер, архитектура которого отличается и от архитектуры фон-Неймана, и от гарвардской архитектуры. Однако, описываемый компьютер, вернее, новая, или измененная, или модифицированная архитектура – не первые отступления от классики. Рассмотрим некоторые из них.

Известны [4] принципы фон-Неймана организации вычислительного процесса, а именно:

П1. Использование двоичной системы счисления в вычислительных машинах.

П2. Программное управление ЭВМ. Работа ЭВМ контролируется программой, состоящей из набора команд. Команды выполняются последовательно.

П3. Память компьютера используется не только для хранения данных, но и программ. При этом и команды программы и данные кодируются в двоичной системе счисления, т.е. их способ записи одинаков. Поэтому в определенных ситуациях над командами можно выполнять те же действия, что и над данными.

П4. Ячейки памяти ЭВМ имеют адреса, которые последовательно пронумерованы. В любой момент можно обратиться к любой ячейке памяти по ее адресу.

П5. Возможность условного перехода в процессе выполнения программы. Несмотря на то, что команды выполняются последовательно, в программах можно реализовать возможность перехода к любому участку кода.

Анализ истории развития вычислительной техники показывает, что большинство из этих принципов неоднократно нарушались, что зачастую давало неожиданные положительные результаты. Рассмотрим некоторые исторические примеры.

В 1958 году под руководством Н.П. Брусенцова был разработан опытный образец ЭВМ «Сетунь» [5], а в 1961 году она была запущена в серию.

Особенностью вычислительной машины «Сетунь» было использование троичной системы счисления с коэффициентами (1, 0, -1). Главное преимущество троичного представления чисел перед фон Неймановским (двоичным) представлением состоит в том, что с тремя цифрами возможно естественное представление натурального ряда чисел со знаком.

В любой системе с нечетным числом цифр можно создать «симметричную» систему чисел со знаком. Троичная система самая простая для технической реализации из систем с нечетным числом цифр. При этом особенности вычислений дают ощутимое преимущество в скорости операций и их энергоемкости. Так, в троичном сумматоре перенос в следующий разряд возникает в 8 ситуациях из 27, а в двоичном - в 4 из 8. Кроме этого, упрощается операция умножения - умножение на -1 просто инвертирует множимое. Такое упрощение вычислений не исчерпало себя, и вполне можно ожидать новых решений, основанных на троичной системе счислений.

В ЭВМ «Сетунь» очевидным образом нарушен П1.

В 1967 году на выставке в Лондоне демонстрировалась ЭВМ МИР-1, которая тогда произвела фурор. Важной особенностью отличием ЭВМ был язык высокого уровня, непосредственно исполняемый машиной.

Язык «Аналитик» представлял собой набор конструкций для описания вычислительных схем, и развивался в направлении алгебраических спецификаций вычислительных схем. Разработчики [5] реализовали все стандартные рекурсивные функции, включая их в состав языка[1]. Настоящий, завершенный язык, пригодный для описания вычислений, функций и процедур не может состоять только из набора рекурсивных функций, и по совету академика А.А. Дородницына пришлось включить в язык оператор перехода, завершив создание языка, и заодно констатировав, что простое отрицание принципов фон-Неймана не обязательно приводит к успеху. В то же время нельзя эти принципы считать догмами – например, принцип последовательного исполнения команд целесообразно исполнять только в самых простых случаях. Мультикомандный принцип зачастую дает намного более эффективные решения.

В 1974 году на конгрессе IFIP В.М. Глушков высказал мнение [6] о том, что только разработка принципиально новой не-неймановской архитектуры вычислительных систем, позволит решить проблему построения супер-ЭВМ с неограниченным ростом производительности. Такие решения были найдены Глушковым и положены в основу оригинальной структуры высокопроизводительной ЭВМ, названной им макроконвейером.

Суть принципа макроконвейерной обработки данных заключается в том, что ЭВМ содержит не один, а много процессоров, и каждому процессору на очередном шаге вычислений дается такое задание, которое позволяет ему длительное время работать автономно без взаимодействия с другими процессорами.

Исполняемый язык высокого уровня, принцип макроконвейерной обработки нарушают принципы фон-Неймана (П2, П3), что не мешает решениям быть эффективными.

Эти идеи не пропали, и позднее были использованы в макроконвейерных многостековых сопроцессорах безопасности Аккорд-КПД и Аккорд-СБ [7].

Они использовались в организациях кредитно-финансовой системы страны для того, чтобы в огромном потоке финансовых документов каждый из них был «подписан» в процессе создания, и проверен на всех этапах обработки. Устанавливались они в большие быстродействующие ЭВМ, и основной задачей было добиться высокой производительности и линейного ее увеличения при установке нескольких сопроцессоров, при этом не занимая ресурсов основной ЭВМ, которая решала функциональные задачи. Шина при этом была довольно медленной. Вот здесь и пригодился принцип макроконвейера – вначале загружалась задача, перестраивалась архитектура вычислителя, потом отправлялась пачка данных, и пока они обрабатывались – в стек загружались следующие данные.

 

Рис.1 Аккорд-СБ

В 1961 году Burroughs Corporation [8] выпустила двухпроцессорный компьютер с виртуальной памятью B5000, уникальными для своего времени особенностями которого были, в частности, адресация на основе дескрипторов, а также использование языка высокого уровня (Алгол) как входного языка, как и ранее в ЭВМ «МИР».

При дескрипторной (теговой) организации памяти каждое слово содержит не только информационную, но и управляющую часть – тег элемента. Использование тегов позволяет резко снизить количество ошибок, выбирая (ограничивая) перед исполнением нужный вариант операции и контролируя операнды. При такой организации “лампольсины” никогда не произведутся, так как невозможно сложение “лампочек” и “апельсинов”. Нарушение принципов П2 и П3 дает положительный эффект.

Идеи, заложенные в ЭВМ В5000 и МИР – принципиально важны. Впервые был опробован механизм динамического изменения структуры ЭВМ в соответствии с исполняемой программой и показано, что при разработке ЭВМ необходимо понимать, какие программы будут на ней исполняться. И обратное – создавая программное обеспечение, необходимо понимать архитектуру компьютера.

Использование Алгола в качестве управляющего языка и теговая организация памяти впоследствии стали также отличительными признаками ЭВМ «Эльбрус», которая разрабатывалась коллективом академика В.С.Бурцева.

Вот что говорил по этому поводу Всеволод Сергеевич [9]: «При решении сложных задач возникает проблема быстрого перераспределения вычислительных ресурсов и коммутации информационных потоков. Из-за этого эффективность использования одного процессора снижается до уровня 5–10% и ниже. Все это происходит потому, что по-прежнему применяется фон-Неймановская схема вычислительного процесса.

Нам удалось уйти от фон-Неймановской структуры обработки информации – в нашей машине отдельные операции, даже скалярные на определенном интервале времени, могут выполняться независимо одна от другой. Вычислительные ресурсы распределяются аппаратно».

В 1972-1975 гг. в ИПУ РАН под руководством академика Прангишвили Ивери Варламовича была разработана многопроцессорная машина с одним потоком команд и многими потоками данных – ПС-2000 [10]. Управление состоянием ПС-2000 осуществлялось с помощью ЭВМ СМ-2М.

Уже в то время говорили, что аббревиатура ПС в названии комплекса означает «перестраиваемые структуры».

Дальнейшим развитием этих идей стала машина ПС-3000, в которой в полной мере были реализованы идеи динамической перестраиваемости структуры. Серийный выпуск этой машины был начат в 1979 году.

Основными архитектурными и структурными принципами организации МВК ПС-3000 [11] являются: динамическая перестраиваемость его структуры по текущим требованиям параллельных вычислительных процессов. Перераспределение ресурсов осуществлялось как программно, так и аппаратно, оптимизируя структуру комплекса под текущую задачу.

Эти, и многие другие примеры показывают, что принципы организации вычислительного процесса по фон-Нейману – не догмы, и они многократно ставились под сомнение ведущими мировыми разработчиками, и часто незашоренный подход давал положительные результаты, хотя эксперименты обходились недешево. Верно и обратное – ориентация на универсализм (организация вычислительного процесса по принципам фон Неймана) на предыдущем этапе развития техники дала мощный импульс информационным технологиям, но одновременно надолго остановила продуктивные исследования в области компьютерных архитектур.

В последние годы техника совершила огромный скачек вперед, Но это почти никак не отразилось на архитектурах компьютеров. Наиболее заметное здесь изменение – опережающий рост решений на базе гарвардской архитектуры. Если несколько лет назад объемы продаваемых процессоров типов x86  и ARM соотносились как 80:20, то уже сегодня 50:50, и эта тенденция усиливается[2]. Сложились условия для размышлений над усовершенствованием архитектуры.

При разработке компьютера главное – понять, какая часть функций должна быть реализована аппаратно, а какая – программно. Правильный выбор этого соотношения позволил ПЭВМ с архитектурой фон-Неймана многие годы занимать лидирующее положение. Однако сейчас практически достигнут предел эффективности данного технического решения, и для совершенствования компьютеров нужно устранить имеющиеся уязвимости. В аппаратную часть нужно включать то, что снижает стоимость, редко изменяется, расширяет возможности и используется постоянно. Кроме этого, сейчас совсем не выглядит экзотической мысль о том, что в процессе работы структура компьютера может динамически изменяться. Или, например, структура вначале может быть такой, как конечный автомат, а потом, на следующем этапе, стать «универсальным исполнителем» по Тьюрингу.

Отличительной особенностью архитектуры фон-Неймана является то, что команды и данные не разделяются, они передаются по единому общему каналу.

 

Рис. 2. Архитектура фон-Неймана

Гарвардская архитектура предполагает наличие разных каналов для команд и данных.

 

Рис. 3. Гарвардская архитектура

Такая схема взаимодействия требует более сложной организации процессора, но обеспечивает более высокое быстродействие, так как потоки команд и данных становятся не последовательными, а параллельными, независимыми.

Однако, и в случае компьютера фон-Неймановского типа, и компьютера с Гарвардской архитектурой организация потоков команд и данных таковы, что архитектурная уязвимость присуща каждому из них. Гибкость, универсальность и в одном, и в другом случае обеспечивается возможностью изменения последовательности команд и данных (двунаправленные стрелки от процессора к памяти) – независимо от того, в одной памяти они лежат, или разделены. В свою очередь, возможность изменения последовательности команд и данных создает и возможность для несанкционированного вмешательства вредоносного программного обеспечения – это и есть основная архитектурная уязвимость.

На использовании этой уязвимости основаны практически все современные хакерские атаки, которые, в основном, сводятся к атаке на «перехват управления».  Схема атаки обычно выглядит так:

s1) внедряется и размещается в оперативной памяти вредоносное ПО (ВрПО);

s2) внедряется и размещается в оперативной памяти вредоносный обработчик прерываний;

s3) записывается в долговременную память ВрПО и обработчик прерываний;

s4) с помощью любого доступного механизма вызывается прерывание –например, с помощью DDOS-атаки;

s5) внедренный ранее обработчик прерываний срабатывает, и передает управление ВрПО;

s6) ВрПО выполняет свою функцию, например, реализует разрушающее программное воздействие (РПВ).

Здесь s1 – s3 – это шаги по подготовке атаки, s4 – инициирование атаки, s5 и s6 – собственно использование архитектурной уязвимости.

Для того чтобы обезвредить шаги s1 и s2, обычно используются антивирусные программы. Иногда это бывает полезным, но только иногда – невозможно с помощью антивирусных программ выявить все ВрПО. Более того – специалистам известны конструкции ВрПО, которые точно нельзя обнаружить. Можно даже сказать, что компьютерные вирусы и в целом ВрПО удается обнаружить только в силу их несовершенства. В общем случае всегда можно разработать такое ВрПО, которое не может быть обнаружено с помощью антивирусных программ сигнатурного поиска, эвристических анализаторов и поведенческих блокираторов.

Блокирование последствий выполнения шага s3 выполняется при последующей загрузке с помощью механизмов контроля целостности – по сути, ревизоров, определяющих, есть ли изменения в составе данных; иногда эта проверка выполняется с помощью тех же наборов антивирусных программ – но это слабое решение, так как проверка должна выполняться до загрузки ОС, а программы, в том числе и антивирусные, работают под управлением ОС.

Генерация события на шаге s4 частично блокируется с помощью специальных средств анализа трафика, устанавливаемых как в сети, так и на клиентских компьютерах. Важно то, что пока нет средств, позволяющих гарантированно блокировать эту уязвимость.

Негативные последствия шагов s5 и s6 блокируются с помощью механизмов контроля запуска задач (процессов, потоков). Это очень эффективные механизмы, но реализующие их средства довольно дорогие и для их настройки нужно быть специалистом в компьютерных технологиях и информационной безопасности.

Поскольку некоторые из перечисленных функций безопасности должны выполняться до загрузки операционной системы, то реализовать их можно только с помощью сложного устройства, и нельзя реализовать программно.

Примером такого устройства является СЗИ НСД «Аккорд» [12].

Это аппаратный модуль доверенной загрузки с программным комплексом разграничения доступа. Он выполняет все необходимые контрольных функции, его программная часть контролирует, в частности, и запуск задач. «Аккорд» предназначен для работы на компьютерах с процессором x86. Напомним, что архитектура таких компьютеров очень близка к классической архитектуре фон-Неймановского типа.

 

Рис.4 СЗИ НСД Аккорд-GX, Аккорд-GXm.2

Эффективность СЗИ НСД «Аккорд» связана с тем, что он блокирует уязвимости, связанные с нарушением целостности, и создает доверенную среду для работы программных средств, обеспечивающих защиту компьютера на шагах s1 – s6.

Несмотря на большую распространенность, цена СЗИ НСД «Аккорд» довольно высока, и его настройка – дело для профессионалов. Конечно, он лучшее решение для корпоративных применений, но, видимо, слишком сложен для частного применения. Сложность его связана именно с фон-Неймановской архитектурой защищаемого компьютера – нужно добавить неизменяемую память, разделить потоки команд и данных, исполнить контрольные процедуры в доверенной среде до запуска ОС – и многое другое.

Однако, в компьютерах, использующих Гарвардскую архитектуру, потоки команд и данных уже разделены. Если это так, то нельзя ли это обстоятельство использовать для упрощения и удешевления защитных механизмов? Нужно только сделать память неизменяемой (тогда нет необходимости использовать сложные механизмы контроля целостности программ и данных до старта ОС), а контрольные процедуры в этом случае можно исполнять под управлением проверенной и неизменяемой ОС.

Эти функции легко реализовать, если обеспечить движение команд и данных только в одном направлении – из памяти в процессор.

 

Рис. 5. Гарвардская архитектура с памятью RO

Очевидно, что такая архитектура обеспечит неизменность ОС, программ и данных.

Если вернуться при этом к схеме атаки, описанной выше, то видно, что шаг s3 не может быть выполнен, поэтому и сама атака (шаги s5 и s6) тоже не исполнятся. Такой компьютер приобретет значительный «вирусный иммунитет», так как вредоносное ПО не будет фиксироваться на компьютере.

Недостатком при этом будет то, что придется дорабатывать практически все программное обеспечение, так как разработчики существующего ПО не ограничивают себя в использовании операций записи в память. Для работы практически всех программ необходима возможность записи.

Для того, чтобы можно было использовать без доработок все ранее разработанное ПО, необходимо предложенную архитектуру дополнить блоками сеансовой памяти – в которой и будут исполняться программы.

 

Рис. 6. Гарвардская архитектура с сеансовой памятью

Таким образом, архитектура компьютера будет отличаться на разных этапах – сначала она такая, как на рисунке 5, а потом такая, как на рисунке 6. Фактически, архитектура изменяется от этапа начальной загрузки к этапу функционирования. Совмещая рисунки, получаем изменяемую архитектуру гарвардского типа.

 

Рис. 7. Новая Гарвардская архитектура

Предложенная нами архитектура получила название «новая гарвардская» архитектура. Она отличается тем, что в ней используется память, для которой установлен режим «только чтение». При загрузке команды и данные размещаются в сеансовой памяти, в которой и исполняются. Начальная загрузка и копирование кодов в сеансовую память могут выполняться как последовательно, так и параллельно – суть разделения этапов от этого не меняется.

 

Рис. 8. Новая Гарвардская архитектура с общей сеансовой памятью

Конечно, эта схема описана условно, и в реальных компьютерах все немного сложнее. Однако можно уверенно сказать, что владельцы таких компьютеров чувствуют себя намного защищеннее от атак хакеров.

 

Рис. 9. Компьютер на базе Новой Гарвардской архитектуры MKT-card

Новая архитектура характеризуется динамической изменяемостью, что обеспечивает защищенность и эффективность, неизменность операционной системы, «вирусный иммунитет», и не мешает возможности применения адаптированных стандартных ОС и всего программного обеспечения, написанного для них.

В архитектуре этого компьютера мы нарушили несколько принципов фон-Неймана, и в первую очередь – П4 и П5. Действительно – П4 не выполняется, так как память команд и память данных не доступны на запись, да и нумерация ячеек этой памяти и сеансовой памяти нельзя считать «последовательной. Ну и, естественно, условный переход возможен в пределах сеансовой памяти, и невозможен в защищенной памяти – в этом нарушение принципа П5. И что же мы получили взамен?

Основных преимуществ два – высокий уровень «вирусного иммунитета» и возможность создания и поддержки доверенной среды, возможность использовать все ранее наработанное программное обеспечение.

Важно то, что на основе описанной архитектуры можно создавать компьютеры для всех видов информационного взаимодействия, при которых доверенность и защищенность взаимодействия важна – от дистанционного банковского обслуживания (ДБО) [13] и защищенных «облаков» [14,15] до «интернета вещей». Сейчас на основе описанной архитектуры разработаны и серийно выпускаются 7 типов компьютеров – МКТ, МКТ+, МКТrusТ, МКcard, МКcard-long, AQ-МК, TrusTPAD. Их особенности описаны в [16-22], а сами компьютеры – в [23]. Разработка новых видов компьютеров продолжается.

[1] Здесь уже проявилась ориентация авторов на «последовательный отказ от хорошо известных принципов фон Неймана», в частности, это касается принципа максимальной простоты системы команд. Естественно, аппаратная интерпретация языка высокого уровня требовала ощутимой динамической «перестройки» ЭВМ в процессе исполнения задач.

[2] Оценка дана акад. Б.А. Бабаяном (INTEL) в беседе с автором, июнь 2015 г.

Литература.

  1. https://ru.wikipedia.org/wiki/Машина_Тьюринга
  2. https://ru.wikipedia.org/wiki/Архитектура_фон_Неймана
  3. https://ru.wikipedia.org/wiki/Гарвардская_архитектура
  4. http://www.inf1.info/machineneumann
  5. Малиновский История вычислительной техники в лицах. – К.: «КИТ», ПТОО «А.С.К.», 1995. – 384 с., ил.
  6. M. Glushkov, M.B. Ignatyev, V.A. Myasnikov, V.A. Torgashev:
Recursive Machines and Computing Technology. IFIP Congress 1974: 65-70
  7. http://www.okbsapr.ru/dosug.html
  8. https://ru.wikipedia.org/wiki/Burroughs_Corporation
  9. http://www.electronics.ru/issue/2000/4/1/
  10. http://www.computer-museum.ru/histussr/11-1.htm
  11. http://housea.ru/index.php/computer/50255
  12. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». – М.: Радио и связь, 1999. – 325 c., ил.
  13. Конявский В. А. Защищенный микрокомпьютер МК-TRUST — новое решение для ДБО. Национальный банковский журнал. М., 2014. № 3 (март)
  14. Конявский В. А., Акаткин Ю. М. Мы не доверяем облаку или облако нам? Information Security/Информационная безопасность. М., 2014. № 1.
  15. Акаткин Ю. М., Конявский В. А. Безопасный доступ к корпоративным облачным приложениям. Information Security/Информационная безопасность. М., 2014. № 1.
  16. Конявский В.А., Степанов В.Б. Компьютер типа «тонкий клиент» с аппаратной защитой данных: Патент на полезную модель № 118773. 27.07.12, бюл. №21
  17. Конявский В.А. Компьютер с аппаратной защитой данных от несанкционированного изменения: Патент на полезную модель № 137626. 20.02.2014, Бюл. № 5
  18. Конявский В.А. Мобильный компьютер с аппаратной защитой доверенной операционной системы: Патент на полезную модель № 138562. 20.03.2014, Бюл. № 8
  19. Конявский В.А. Мобильный компьютер с аппаратной защитой доверенной операционной системы от несанкционированных изменений: Патент на полезную модель № 139532. 20.04.2014, Бюл. № 11
  20. Конявский В.А. Мобильный компьютер с аппаратной защитой доверенной операционной системы: Патент на полезную модель № 147527. 10.11.2014, Бюл. № 31
  21. Конявский В.А., Акаткин Ю.М. Мобильный компьютер с аппаратной защитой доверенной операционной системы от несанкционированных изменений:  Патент на полезную модель № 151264. 27.03.2015, Бюл. № 9
  22. Конявский В.А. Рабочая станция с аппаратной защитой данных для компьютерных сетей с клиент- серверной или терминальной архитектурой: Патент на полезную модель № 153044. 27.06.2015, Бюл. № 18
  23. Trusted Cloud Computers [Электронный ресурс]: http://www.trustedcloudcomputers.ru