Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Теоретико-информационные модели

  • Печать
Обновлено 14.02.2024 06:17

 

Одной из самых труднорешаемых проблем безопасности в информационных системах, в том числе и основанных на моделях мандатного доступа, является проблема скрытых каналов утечки информации.

Скрытым каналом утечки информации называется механизм, посредством которого в системе может осуществляться информационный поток (передача информации) между сущностями в обход политики разграничения доступа.

Например, к скрытым каналам утечки информации относятся рассмотренные ранее потоки, возникающие за счет «троянских» программ, и неявные информационные потоки в системах на основе дискреционных моделей.

Скрытым каналом утечки информации в системах мандатного доступа является механизм, посредством которого может осуществляться передача информации от сущностей с высоким уровнем безопасности к сущностям с низким уровнем безопасности без нарушения правил NRU и NWD. В определенных случаях информацию можно получить или передать и без непосредственного осуществления операций read/write к объектам, в частности на основе анализа определенных процессов и параметров системы. Например, если по правилу NRU нельзя читать секретный файл, но можно «видеть» его объем, то высокоуровневый субъект, меняя по определенному правилу объем секретного файла, может таким кодированным образом передавать секретную информацию низкоуровневому объекту.

От высокоуровневых субъектов может передаваться информация о количестве создаваемых или удаляемых секретных файлов, получить доступ по чтению к которым низкоуровневые субъекты не могут, но «видеть» их наличие и соответственно определять их количество могут.

Другие возможности «тайной» передачи информации могут основываться на анализе временных параметров протекания процессов.

Скрытые каналы утечки информации можно разделить на три вида:

скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы);

скрытые каналы по времени (на основе анализа временных параметров протекания процессов системы);

скрытые статистические каналы (на основе анализа статистических параметров процессов системы).

Требования по перекрытию и исключению скрытых каналов впервые были включены в спецификацию уровней защиты автоматизированных систем, предназначенных для обработки сведений, составляющих государственную тайну в США (Оранжевая книга).

Теоретические основы подходов к решению проблемы скрытых каналов разработаны Д. Денингом, исследовавшим принципы анализа потоков данных в программном обеспечении и принципы контроля совместно используемых ресурсов. Основываясь на идеях Денинга, Дж. Гоген и Дж. Мезигер предложили теоретико-информационный подход на основе понятий информационной невыводимости и информационного невмешательства.

Сущность данного подхода заключается в отказе от рассмотрения процесса функционирования информационной системы как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, Белла - ЛаПадулы) предполагалось, что функция перехода в зависимости от запроса субъекта и текущего состояния системы однозначно определяет следующее состояние системы. В системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы обусловливаются большим количеством самых разнообразных, в том числе и случайных, факторов, что предполагает использование аппарата теории вероятностей для описания системы.

При таком подходе политика безопасности требует определенной модификации и, в частности, теоретико-вероятностной трактовки процессов функционирования систем и опасных информационных потоков:

1. Информационная система рассматривается как совокупность двух непересекающихся множеств сущностей:

множества высокоуровневых объектов Н;

множества низкоуровневых объектов L.

Информационная система представляется мандатной системой с решеткой, состоящей всего из двух уровней безопасности - высокого и низкого и соответственно определяющей невозможность обычных (read/write) информационных потоков «сверху вниз».

2. Состояние любого объекта является случайным. Понятие информационной невыводимости основывается на определении «опасных» потоков: в системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта невозможно одновременно с определенными возможными значениями переменных состояний высокоуровневых объектов.

3. Формулируется следующий критерий информационной невыводимости: система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные потоки вида, задаваемого в п. 2.

Анализ критерия информационной невыводимости показывает, что его требования являются чрезвычайно жесткими и достижимы, в частности, при полной изоляции высокоуровневых объектов от низкоуровневых.

Требование отсутствия выводимости высокоуровневой информации на основе анализа состояний низкоуровневых объектов одновременно приводит и к обратному, т. е. отсутствию возможностей выводимости низкоуровневой информации из анализа состояний высокоуровневых объектов. Данное свойство является избыточным и противоречит основным положениям мандатной политики, а именно - неопасности и допустимости потоков «снизу вверх» от низкоуровневых сущностей к сущностям с более высокими уровнями безопасности.

Другой подход основывается на идее информационного невмешательства. Понятие опасных потоков имеет здесь следующий смысл: в системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если информация (состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов. Это значит, что на состояние высокоуровневых объектов в текущий момент времени не влияет состояние низкоуровневых объектов в предшествующий момент времени и наоборот. Разноуровневые объекты не имеют возможности влиять на последующие состояния объектов другого уровня. Анализ процессов функционирования информационной системы показывает, что такие требования являются чрезвычайно жесткими, фактически совпадающими с требованиями полной изоляции разноуровневых сущностей.

Несмотря на то, что понятия информационной невыводимости и информационного невмешательства непосредственно не применимы для разграничения доступа, они послужили основой широко применяемых в современных информационных системах технологий представлений и разрешенных процедур. Эти технологии исторически возникли как политика разграничения доступа в СУБД.

Представлением информации в информационной системе называется процедура формирования и представления пользователю (после его входа в систему и аутентификации) необходимого подмножества информационных объектов, в том числе с возможным их количественным и структурным видоизменением исходя из задач разграничения доступа к информации.

В технологиях представлений пользователи, входя и работая в системе, оперируют не с реальной, а с виртуальной системой, формируемой индивидуально для каждого. В результате задача разграничения доступа решается автоматически. Проблемы безопасности при этом сводятся к скрытым каналам утечки информации, рассмотрение и нейтрализация которых осуществляется на основе анализа условий и процедур, обеспечивающих выполнение критериев безопасности.

Технология представлений решает проблему скрытых каналов утечки первого вида. Часть каналов второго и третьего вида перекрывается техникой разрешенных процедур. Системой разрешен- ных процедур называется разновидность интерфейса системы, когда при входе в систему аутентифицированным пользователям предоставляется только возможность запуска и исполнения конечного набора логико-технологических процедур обработки информации без возможности применения элементарных методов доступа (read, write, create и т. п.) к информационным объектам системы. Следовательно, в системах с интерфейсом разрешенных процедур пользователи не видят информационные объекты, а выполняют операции на уровне логических процедур. Автоматизированная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдающий обработанную информацию на выходе.

Впервые подобный подход к представлению информационной системы был рассмотрен Гогеном (J. Goguen) и Мезигером (J. Meseguer), предложившими автоматную модель информационного невлияния (невмешательства) - GM-модель.

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.