4.4Модель безопасности информационных потоков
Рассмотренные модели HRU, Take-Grant, БЛ могут быть использованы при построении и анализе детерминированных систем защиты, т.е. систем, которые не включают элементов, имеющих вероятностную природу. При исследовании систем, закономерности функционирования которых сложны или практически не поддаются описанию, целесообразно использовать элементы теории вероятностей. К числу таких систем можно отнести глобальные вычислительные сети, например Internet, или современные многозадачные, многопользовательские сетевые операционные системы.
Рассмотрим систему защиты Σ, реализующую мандатное (полномочное) разграничение доступа. Без ограничения общности можно считать, что:
• в системе используются только два уровня секретности: высокий и низкий;
144
• все объекты системы делятся на две непересекающиеся группы: высокоуровневые объекты (H), имеющие право обрабатывать информацию высокого уровня секретности, и низкоуровневые (L);
• все взаимодействие между H и L осуществляется через систему защиты Σ. Таким образом, систему можно представить схемой
Задача системы защиты – не допустить возникновение информационного потока от высокоуровневых объектов к низкоуровневым.
Пусть на множестве значений объектов системы задано вероятностное распределение, т.е. Н и L являются случайными величинами. Для описания и анализа информационных потоков между ними воспользуемся понятиями теории вероятностей: независимости и условного распределения. С их помощью по [11] рассмотрим два подхода к определению безопасности информационных потоков, основанных на понятиях:
• информационной невыводимости;
• информационного невмешательства.
Определение 1. В системе присутствует информационный поток от высокоуровневых объектов Н к низкоуровневым L, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта невозможно одновременно с возможными значениями переменных состояний высокоуровневых объектов.
Определение 2. Система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные потоки вида, описанного в определении 1.
Более формально это определение можно дать следующим образом: нет информационного потока oт Н к L тогда и только тогда, когда выполняется условие: если p(H)>0, p(L)>0, то p (Н | L)>0.
Так как при p (Н)>0, p (L)>0 выполняется
p (L | Н) =p (Н, L)/p (Н) = p (Н | L) p (L)/p (Н),
то в условиях определения 1 из истинности неравенства p(H | L)>0 следует истинность p (L | H)>0, что предполагает отсутствие информационных потоков от низкоуровневых объектов к высокоуровневым. Таким образом, требования информационной невыводимости являются более строгими, чем требования безопасности классической модели БЛ, и фактически предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы.
В традиционной модели информационного невмешательства требуется, чтобы низкоуровневая информация была независима от высокоуровневой, т.е. выполнялось равенство
p (L | H)=p (L),
что при p (H)>0, p (.L)>0 равносильно равенству
p (H | L)=p (H).
145
Однако если ввести параметр времени, то ограничение, данное выше, слишком строгое. Если Li описывает состояния всех низкоуровневых объектов, a Hi всех высокоуровневых объектов в момент времени t = 0,1,2,…, то нет необходимости требовать выполнения
p (Ht | Lt-1) = p (Ht),
т.е. текущее значение низкоуровневых объектов может содержать информацию о последующих значениях высокоуровневых объектов.
Например, если низкоуровневым является некий несекретный файл, обрабатываемый пользователем с низким допуском, а высокоуровневым объектом является журнал аудита, то значение файла и операции, совершаемые над ним пользователем на шаге t, могут отображаться в журнале аудита на шаге t+1.
Казалось бы, необходимо потребовать, чтобы текущие значения низкоуровневых объектов не зависели бы от значений высокоуровневых объектов на предыдущих тактах работы системы, т.е. выполнялось для t = 1,2,...
p (Lt | Ht-1) = p (Lt) или, что равносильно, p (Ht-1 | Lt) = p (Нt-1).
Здесь учитывается тот факт, что состояние системы влияет на последующие только через информацию, хранимую в объектах системы.
Следует отметить, что данный вариант определения соотношения Lt и Нt-1 является слишком строгим, так как предполагает независимость Lt и Нt-1. Однако значения высокоуровневых объектов на текущем шаге часто оказывает влияние на значения низкоуровневых объектов на последующих шагах работы системы. Рассмотрим два примера.
Пример 1. Система резервного копирования.
Для защиты низкоуровневых пользователей от сбоев системы все данные, записываемые ими в низкоуровневые файлы, предварительно копируются системой в высокоуровневый аудиторский файл. В результате, если в момент времени t значение низкоуровневого файла было X, то это означает, что в момент времени t-1 высокоуровневый файл аудита содержал значение X. Налицо зависимость значений Lt и Нt-1. Однако, никакой угрозой безопасности это не является.
Пример 2. Монитор ссылок.
Монитор ссылок в реальных системах защиты является высокоуровневым субъектом, принимающим решения по запросам на доступ к объектам, полученным от других субъектов системы. Очевидно, что такое решение, полученное низкоуровневым субъектом на шаге t работы системы, содержит информацию о значении высокоуровневого монитора ссылок на предыдущем шаге.
Более целесообразным представляется подход, обеспечивающий невозможность накопления низкоуровневыми объектами новой информации о значениях высокоуровневых объектов. Более формально, необходимо потребовать, чтобы знание значений Lt-1 и Lt, не давало бы новой информации о Ht-1, т.е. должно выполняться равенство
p (Lt | Ht-1, Lt-1) = p (Lt | Lt-1) для t = 1,2, …
Данное равенство равносильно равенству
p (Ht | Lt-1, Lt-1) = p (Ht | Lt-1) ,
т.е. тем самым запрещается обратный информационный поток из Lt в Нt-1, но не запрещается поток из Lt и Нt+1. Кроме этого, следует отметить, что, 146
решая проблемы, обозначенные в рассмотренных выше примерах, последнее правило запрещает временные каналы утечки информации.
С учетом того, что состояние системы влияет на последующие состояния только через информацию, хранимую в объектах системы, дадим определение модели безопасности информационных потоков.
Определение 3. Система безопасна в смысле информационного невмешательства, если выполняется равенство
p (Lt | Hs, Ls) = p (Lt | Ls), где t, s = 1,2, … и s < t
Модель безопасности информационных потоков служит практическим примером подхода к построению системы защиты, которая разрешает корреляцию значений высокоуровневых и низкоуровневых объектов, но при этом остается безопасной.