Безопасность информационных потоков

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями. (апрель 2016)

Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.

Информационный поток[править | править код]

Информационным потоком от объекта ${\displaystyle O\ }$ (источник) к объекту ${\displaystyle O^{\prime }}$ (приёмник) называется преобразование информации в объекте ${\displaystyle O^{\prime }}$ , зависящее от информации в объекте ${\displaystyle O\ }$. Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).

Решаемые проблемы[править | править код]

Рассмотрим основные проблемы мандатного управления доступа, решаемые использованием модели безопасности информационных потоков - проблему деклассификации и наличия скрытого канала.

Деклассификация[править | править код]

Проблема состоит в том, что в некоторых случаях, объект может понизить свой уровень доступа не нарушая формальных правил. Если перед этим данный объект возьмет под свой контроль некоторую информацию, то таким образом он переведет данную информацию на более низкий уровень секретности. Фактически произошло прямое нарушение свойства * ("запрет записи вниз"), но формально все правила были соблюдены. Если напрямую запретить возможность создания информационных потоков между соответствующими объектами, то после деклассификации объект с информацией не сможет никому передать полученные данные, несмотря на наличие разрешающего мандата.

Скрытый канал[править | править код]

При анализе возможных информационных потоков необходимо составить полный список всех возможных потоков в системе. Поскольку скрытый канал для передачи данных обрабатывает информацию, то соответствующий информационный поток будет в этом списке. Если все потоки, которые потенциально могут вести к утечке информации будут запрещены, то скрытый канал будет неработоспособен.

Вероятностная модель безопасности информационных потоков[править | править код]

Ниже представлена одна из возможных систем, демонстрирующая основные идеи модели безопасности информационных потоков. В рассматриваемой модели объекты системы принадлежат трем группам:

• Объекты, обрабатывающие информацию высокого уровня конфиденциальности ${\displaystyle H\ }$
• Объекты, обрабатывающие информацию низкого уровня конфиденциальности ${\displaystyle L\ }$
• Объекты системы защиты ${\displaystyle \Sigma \ }$

Все объекты из ${\displaystyle \Sigma \ }$ относятся к ${\displaystyle H\ }$, поскольку они обеспечивают защиту, то они должны иметь доступ к информации высокого уровня конфиденциальности.

Обозначим ${\displaystyle h\ }$ мгновенное состояние всех объектов из ${\displaystyle H\ }$ в данный конкретный момент. Поскольку возможное количество состояний конечно, то есть возможность пронумеровать их, после чего возможно оценить вероятность возникновения того или иного состояния объектов. Обозначим вероятность возникновения любого конкретного состояния ${\displaystyle p(H)\ }$. Аналогичную вероятность для объектов, обрабатывающих информацию низкого уровня конфиденциальности, обозначим ${\displaystyle p(L)\ }$.

Информационная невыводимость[править | править код]

Компьютерная система соответствует требованиям информационной невыводимости, если для ${\displaystyle p(H)>0\ }$ и ${\displaystyle p(L)>0\ }$, справедливо неравенство ${\displaystyle p(H|L)>0\ }$.

Сформулировать данное требование можно так: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние ${\displaystyle H\ }$, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние ${\displaystyle L\ }$, то есть и вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в своё состояние.

Покажем справедливость данного требования. Пусть верно обратное, тогда при выполнении ${\displaystyle p(H)>0\ }$ и ${\displaystyle p(L)>0\ }$, справедливо равенство ${\displaystyle p(H|L)=0\ }$. Это означает, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не могут перейти в состояние ${\displaystyle H\ }$ после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в состояние ${\displaystyle L\ }$. Таким образом, зная, что текущее состояние объектов ${\displaystyle L\ }$ можно сделать вывод о том, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не перейдут в состояние ${\displaystyle H\ }$, таким образом получив некоторую информацию о состоянии объектов, обрабатывающих информацию высокого уровня конфиденциальности, что недопустимо.

Информационное не влияние[править | править код]

Компьютерная система соответствует требованиям информационного невлияния (без учета времени), если для ${\displaystyle p(H)>0\ }$ и ${\displaystyle p(L)>0\ }$, справедливо равенство ${\displaystyle p(L|H)=p(L)\ }$.

Данное требование можно сформулировать следующим образом: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние ${\displaystyle H\ }$, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние ${\displaystyle L\ }$, то вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние не зависит от того, перейдут ли объекты, обрабатывающие информацию низкого уровня конфиденциальности перейдут в своё состояние, или нет.

Данное требование более сильное, чем требование информационной невыводимости - выполнение требования информационного невлияния, автоматически влечет выполнения требования информационной невыводимости.

Требование информационного невлияния (с учетом времени), является более общим, и указывает на то, что некоторые влияние одной части системы на другую возможно. Например, если ведется журнал доступа (объект, обрабатывающий информацию высокого уровня конфиденциальности), то обращение к некоторому файлу будет зафиксировано в данном журнале, а следовательно будет изменено состояние ${\displaystyle H\ }$, путём изменения состояния ${\displaystyle L\ }$. Требование информационного невлияния (с учетом времени) позволяет не отказываться от использования журнала (и прочих средств защиты).

Литература[править | править код]

• Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Изд. центр «Академия», 2005. — С. 55—66. — ISBN 5-7695-2053-1.

Для улучшения этой статьи желательно: Оформить статью по правилам. Проставить сноски, внести более точные указания на источники. Установить ссылки из других статей Википедии. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.