|
2.5.2. Модели информационного невмешательства и информационной невыводимости
Теоретические основы подходов к решению проблемы скрытых каналов базируются на работах Д. Денинга, исследовавшего принципы анализа потоков данных в программном обеспечении и принципы контроля совместно используемых ресурсов. Отталкиваясь от идей Денинга Дж. Гогеном, Дж. Мезигером был предложен автоматный подход к исследованию вопросов скрытых каналов, относящийся к интерфейсу защищенных КС.
Другой подход к анализу скрытых каналов утечки информации базируется на теоретико-информационной интерпретации процессов функционирования КС в идеологии информационной невыводимости и информационного невмешательства.
Существо данного подхода заключается в отказе от рассмотрения процесса функционирования КС как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, БеллаЛаПадулы) предполагалось, что функция перехода в зависимости от запроса субъекта и текущего состояния системы однозначно определяет следующее состояние системы. Нетрудно заметить, что в системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы, обусловливаются большим количеством самых разнообразных, в том числе и случайных факторов, что делает процесс функционирования системы вероятностным.
При таком допущении политика мандатного доступа требует определенной модификации и, в частности, теоретико-вероятностной трактовки процессов функционирования КС и опасных информационных потоков. Приведем основные положения теоретико-информационных моделей.
КС рассматривается как совокупность двух непересекающихся множеств сущностей:
- множества высокоуровневых объектов H; - множества низкоуровневых объектов L.
Говоря иными словами, КС представляется мандатной системой с решеткой, состоящей всего из двух уровней безопасности – высокого и низкого, и, соответственно, с невозможностью обычных (read/write) информационных потоков "сверху вниз".
Состояние любого объекта h∈H или l∈L является случайным. Понятие информационной невыводимости основывается на следующем определении "опасных" потоков:
Определение 2.5.3. В системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта невозможно одновременно с определенными возможными значениями переменных состояний высокоуровневых объектов.
Нетрудно видеть, что данное определение на основе вероятностной трактовки расширяет понятие обычных опасных потоков "сверху вниз" и характеризует без конкретизации механизма каналы скрытой утечки информации. Низкоуровневые объекты, анализируя определенные параметры своих состояний, могут делать выводы об определенных параметрах состояний высокоуровневых объектов, получая от них тем самым высокоуровневую информацию.
Состояние, задаваемое определением 3.20, можно выразить следующим соотношением:
если p(h) >0, p(l) >0, то и p(h|l) >0 , (2.5.1)
где p(h), p(l) – безусловные вероятности состояний, соответственно, высокоуровневого и низкоуровневого объектов;
p(h|l) – условная вероятность состояния высокоуровневого объекта при определенных значениях состояния низкоуровневого объекта.
3. Формулируется следующий критерий информационной невыводимости:
Определение 2.5.4. Система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные потоки вида, задаваемого определением 2.5.3.
Анализ условий обеспечения критерия информационной не-
выводимости в виде соотношения (2.5.1) показывает, что его требования являются чрезвычайно жесткими и достижимы, в частности, при полной изоляции высокоуровневых объектов от низкоуровневых. Действительно, при p(h) > 0, p(l) > 0 справедливо следующее соотношение: p(l|h) = p(h, l)/p(h) = p(h|l)p(l)/p(h) , (2.5.2)
откуда с учетом того, что p(h|l) > 0, следует, что и p(l|h) > 0.
Неравенство нулю условной вероятности p(l|h) означает, что требование отсутствия выводимости высокоуровневой информации на основе анализа состояний низкоуровневых объектов, одновременно приводит и к обратному, т. е. отсутствию возможностей выводимости низкоуровневой информации из анализа состояний высокоуровневых объектов. Данное свойство является избыточным и противоречит основным положениям мандатной политики, а именно – неопасности и допустимости потоков "снизу вверх" от низкоуровневых сущностей к сущностям с более высокими уровнями безопасности.
Нетрудно видеть, что полная изоляция разноуровневых сущностей системы является тривиальным и далеко не всегда приемлемым решением
проблемы безопасности, так как существенно ограничивает функциональные возможности КС.
Другой подход, основывается на идеологии информационного невмешательства.
4. Понятие опасных потоков в идеологии информационного невмешательства трактуется в следующем смысле:
Определение 2.5.5. В системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если информация (состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов.
Условия определения 2.5.5 можно отразить следующим соотношением:
p(l|h) = p(l) . (2.5.3)
Отсюда, однако, нетрудно показать, что при p(h)>0, p(l)>0 данное соотношение равносильно соотношению
p(h|l) = p(h) . (2.5.4)
Включение в рассмотрение временнόго аспекта позволяет соотношения (2.5.3) и (2.5.4) представить в следующем виде:
Do'stlaringiz bilan baham: |
