|
2.5.3. Нейтрализация скрытых каналов утечки информации на основе технологий "представлений" и "разрешенных процедур"
Идеи информационной невыводимости и информационного невмешательства послужили теоретической основой широко применяемых для разграничения доступа в современных КС технологий "представлений" (views) и "разрешенных процедур". Эти технологии исторически возникли как программно-технологические решения разграничения доступа в СУБД и впоследствии получили распространение на другие разновидности программного обеспечения компьютерных систем.
Введем следующее определение.
Определение 2.5.8. "Представлением" информации КС называется процедура формирования и предоставления именованному пользователю после его входа в систему и аутентификации необходимого ему подмножества информационных объектов КС, в том числе, с возможным их количественным и структурным видоизменением исходя из задач разграничения доступа к информации.
Таким образом, в технологиях "представления" пользователи, входя и работая в системе, "видят" и оперируют не с реальной, "настоящей", а с виртуальной системой, формируемой индивидуально для каждого пользователя. В результате задача разграничения доступа решается автоматически и, можно сказать, в буквальном смысле. Проблемы безопасности при этом сводятся исключительно к скрытым каналам утечки информации, рассмотрение и нейтрализация которых осуществляется на основе анализа условий и процедур, обеспечивающих выполнение критериев безопасности по определениям 2.5.4 и 2.5.7.
Нетрудно видеть, что техника "представлений" автоматически решает проблему скрытых каналов утечки информации первого вида. В частности, если пользователю предоставлено право read к каталогу, в котором физически расположены файлы, к части которых пользователь не имеет никаких прав доступа, то, открывая свое "представление" каталога, пользователь "увидит" в нем только те объекты (файлы), к которым у него есть право доступа. Следовательно, получить какую-либо не предназначенную данному пользователю информацию посредством "наблюдения" за наличием, объемом и количеством недоступных объектов невозможно.
Техника "представлений" особенно развита и широко применяется в реляционных СУБД, где "представления" реализуются естественным образом на основе авторизованных с пользователями запросов на выборку данных, автоматически запускаемых при входе пользователя в систему и формирующих для него "свое" представление базы данных. Основные проблемы разграничения доступа при этом заключаются в том, чтобы пользователи не "почувствовали" и не получили каким-либо образом не предназначенную им и "невидимую" ими информацию, в том числе и не вывели информацию о наличии в системе недоступной им информации! Решение данных непростых вопросов и доказательство нейтрализации скрытых каналов в этих случаях основывается на использовании положений моделей информационной невыводимости и информационного невмешательства.
Вместе с тем, техника "представлений", хотя и является эффективным средством решения проблемы скрытых каналов утечки информации, тем не менее, не может перекрыть весь их спектр, в особенности, скрытые каналы второго и третьего вида, основывающиеся на анализе временных и статистических параметров процессов КС.
Часть из подобных проблем разграничения доступа связана с интерфейсом КС, а их разрешение основывается на технике "разрешенных процедур".
Определение 2.5.9. "Системой разрешенных процедур" назовем разновидность интерфейса КС, когда при входе в систему аутентифицированным пользователям предоставляется только лишь возможность запуска и исполнения конечного набора логикотехнологических процедур обработки информации без возможности применения элементарных методов доступа (read, write, append, create, delete и т. п.) к информационным объектам системы.
Таким образом, в системах с интерфейсом "разрешенных процедур" идеология разграничения доступа доведена, если так можно выразиться, до крайности, т. е. пользователи не "видят" информационные объекты системы вовсе, а имеют возможность только лишь "нажимать кнопки" и выполнять операции на уровне логико-технологических процедур предметной области КС.
Нетрудно заметить, что компьютерная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдающий обработанную информацию на выходе.
Впервые подобный подход к представлению КС был рассмотрен Гогеном (J. Goguen) и Мезигером (J. Meseguer), предложившими автоматную модель информационного невлияния (невмешательства), подробное изложение которой приведено в работе – GM-модель.
В GM-модели компьютерная система рассматривается как детерминированный автомат, на вход которого поступает последовательность команд пользователей, разделяемых по мандатному принципу на два непересекающихся множества - группу высокоуровневых пользователей и группу низкоуровневых пользователей. В зависимости от команды пользователя на входе КС-автомат формирует реакцию – вывод системы, который "видит" пользователь на выходе. Критерием безопасности в системе является требование "несмешивания" ввода высокоуровневого пользователя с выводом низкоуровневого пользователя.
Для реализации критерия безопасности в модели GM вводится функция вывода (out), задающая вывод системы, в зависимости от команды пользователя, его уровня безопасности и предыстории (traces) команд ввода в системе. Если при формировании вывода для низкоуровневого пользователя в предыстории команд наблюдается смешивание, т. е. присутствуют вводы высокоуровневых пользователей, то посредством применения специальной процедуры очищения (purge) строится подправленная трассировка (предыстория) поведения системы, по которой функция out формирует вывод низкоуровневому пользователю.
В результате при проектировании систем с подобной идеологией интерфейса, в том числе систем "разрешенных процедур", необходимо рассмотреть все множество условий и спецификаций, имеющих отношение к возможному смешиванию вводов/выводов пользователей, и верифицировать на этой основе безопасность системы.
Do'stlaringiz bilan baham: |
