 |
7.7. теоретико-информационные модели
|
|
|
|
Одной из самых труднорешаемых проблем безопасности в информационных системах, в том числе и основанных на мо- делях мандатного доступа, является проблема скрытых каналов утечки информации.
Скрытым каналом утечки информации называется механизм, посредством которого в системе может осуществляться инфор- мационный поток (передача информации) между сущностями в обход политики разграничения доступа.
Например, к скрытым каналам утечки информации относят- ся рассмотренные ранее потоки, возникающие за счет «троян- ских» программ, и неявные информационные потоки в систе- мах на основе дискреционных моделей.
Скрытым каналом утечки информации в системах мандат- ного доступа является механизм, посредством которого может осуществляться передача информации от сущностей с высо- ким уровнем безопасности к сущностям с низким уровнем без- опасности без нарушения правил NRU и NWD. В определен- ных случаях информацию можно получить или передать и без непосредственного осуществления операций read/write к объ- ектам, в частности на основе анализа определенных процес- сов и параметров системы. Например, если по правилу NRU нельзя читать секретный файл, но можно «видеть» его объем, то высокоуровневый субъект, меняя по определенному правилу объем секретного файла, может таким кодированным образом передавать секретную информацию низкоуровневому объекту. От высокоуровневых субъектов может передаваться информа- ция о количестве создаваемых или удаляемых секретных фай- лов, получить доступ по чтению к которым низкоуровневые субъекты не могут, но «видеть» их наличие и соответственно определять их количество могут.
Другие возможности «тайной» передачи информации мо- гут основываться на анализе временных параметров протека- ния процессов.
|
|
|
Скрытые каналы утечки информации можно разделить на три вида:
· скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы);
· скрытые каналы по времени (на основе анализа времен- ных параметров протекания процессов системы);
· скрытые статистические каналы (на основе анализа ста- тистических параметров процессов системы).
Требования по перекрытию и исключению скрытых каналов впервые были включены вспецификацию уровней защиты автома- тизированных систем, предназначенных для обработки сведений, составляющих государственную тайну в США (Оранжевая книга). Теоретические основы подходов к решению проблемы скры- тых каналов разработаны Д. Денингом, исследовавшим принци- пы анализа потоков данных в программном обеспечении и прин- ципы контроля совместно используемых ресурсов. Основываясь на идеях Денинга, Дж. Гоген и Дж. Мезигер предложили теоре- тико-информационный подход на основе понятий информаци-
онной невыводимости и информационного невмешательства.
Сущность данного подхода [7, 8] заключается в отказе от рас- смотрения процесса функционирования информационной си- стемы как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, Белла — ЛаПадулы) предполагалось, что функция перехода в зависимо- сти от запроса субъекта и текущего состояния системы одно- значно определяет следующее состояние системы. В системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы обусловлива- ются большим количеством самых разнообразных, в том числе и случайных, факторов, что предполагает использование аппа- рата теории вероятностей для описания системы.
При таком подходе политика безопасности требует опреде- ленной модификации и, в частности, теоретико-вероятност- ной трактовки процессов функционирования систем и опас- ных информационных потоков:
|
|
|
1. Информационная система рассматривается как совокуп- ность двух непересекающихся множеств сущностей:
· множества высокоуровневых объектов Н;
· множества низкоуровневых объектов L. Информационная система представляется мандатной си-
стемой с решеткой, состоящей всего из двух уровней безопас- ности — высокого и низкого и соответственно определяющей невозможность обычных (read/write) информационных пото- ков «сверху вниз».
2. Состояние любого объекта является случайным. Понятие информационной невыводимости основывается на определе- нии «опасных» потоков: в системе присутствует информацион- ный поток от высокоуровневых объектов к низкоуровневым, если некое возможное значение переменной в некотором со- стоянии низкоуровневого объекта невозможно одновременно с определенными возможными значениями переменных состо- яний высокоуровневых объектов.
3. Формулируется следующий критерий информационной невыводимости: система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные по- токи вида, задаваемого в п. 2.
Анализ критерия информационной невыводимости пока- зывает, что его требования являются чрезвычайно жесткими и достижимы, в частности, при полной изоляции высокоуров- невых объектов от низкоуровневых.
Требование отсутствия выводимости высокоуровневой информации на основе анализа состояний низкоуровневых объектов одновременно приводит и к обратному, т. е. отсут- ствию возможностей выводимости низкоуровневой информа- ции из анализа состояний высокоуровневых объектов. Данное
свойство является избыточным и противоречит основным по- ложениям мандатной политики, а именно — неопасности и до- пустимости потоков «снизу вверх» от низкоуровневых сущно- стей к сущностям с более высокими уровнями безопасности. Другой подход основывается на идее информационного невме- шательства. Понятие опасных потоков имеет здесь следующий смысл: в системе присутствует информационный поток от вы- сокоуровневых объектов к низкоуровневым, если информация (состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов. Это значит, что на состояние вы- сокоуровневых объектов в текущий момент времени не влия- ет состояние низкоуровневых объектов в предшествующий мо- мент времени и наоборот. Разноуровневые объекты не имеют возможности влиять на последующие состояния объектов дру- гого уровня. Анализ процессов функционирования информа- ционной системы показывает, что такие требования являются чрезвычайно жесткими, фактически совпадающими с требова-
|
|
|
ниями полной изоляции разноуровневых сущностей.
Несмотря на то, что понятия информационной невыводи- мости и информационного невмешательства непосредствен- но не применимы для разграничения доступа, они послужили основой широко применяемых в современных информацион- ных системах технологий представлений и разрешенных проце- дур. Эти технологии исторически возникли как политика раз- граничения доступа в СУБД.
Представлением информации в информационной системе называется процедура формирования и представления пользо- вателю (после его входа в систему и аутентификации) необхо- димого подмножества информационных объектов, в том числе с возможным их количественным и структурным видоизмене- нием исходя из задач разграничения доступа к информации.
В технологиях представлений пользователи, входя и работая в системе, оперируют не с реальной, а с виртуальной системой, формируемой индивидуально для каждого. В результате зада-
7. 8. Политика и модели тематического разграничения доступа
ча разграничения доступа решается автоматически. Проблемы безопасности при этом сводятся к скрытым каналам утечки ин- формации, рассмотрение и нейтрализация которых осущест- вляется на основе анализа условий и процедур, обеспечиваю- щих выполнение критериев безопасности.
Технология представлений решает проблему скрытых каналов утечки первого вида. Часть каналов второго и третьего вида пере- крывается техникой разрешенных процедур. Системой разрешен- ных процедур называется разновидность интерфейса системы, когда при входе в систему аутентифицированным пользователям предоставляется только возможность запуска и исполнения ко- нечного набора логико-технологических процедур обработки ин- формации без возможности применения элементарных методов доступа (read, write, create и т. п. ) к информационным объектам системы. Следовательно, в системах с интерфейсом разрешен- ных процедур пользователи не видят информационные объекты, а выполняют операции на уровне логических процедур. Автома- тизированная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдаю- щий обработанную информацию на выходе.
|
|
|
Впервые подобный подход к представлению информацион- ной системы был рассмотрен Гогеном (J. Goguen) и Мезигером (J. Meseguer), предложившими автоматную модель информаци- онного невлияния (невмешательства) — GM-модель.
|
|
|
