- •Грушо а.А. Тимонина е.Е. Теоретические основы защиты информации
- •1996 Г. Издательство Агентства “Яхтсмен”
- •Введение
- •Глава 1 вспомогательные структуры (модели), используемые в защите информации
- •1.1. Язык, объекты, субъекты.
- •1.2. Иерархические модели и модель взаимодействия открытыхсистем (osi/iso).
- •Модель osi/iso.
- •1.3. Информационный поток.
- •1.4. Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •1.5. Реляционные базы данных
- •Функциональная зависимость (fd)
- •Целостность в рм.
- •Реляционные операторы (ро).
- •1.6. Многоуровневыереляционныебазы данных.
- •Классификационные ограничения.
- •Состоятельность.
- •Полнота классификационных ограничений.
- •Проблема полиинстантинации.
- •Декомпозиция mls r в стандартные базовые отношения реляционноймодели.
- •Глава 2 Угрозы информации
- •2.1. Угрозы секретности
- •2.2. Угрозы целостности
- •Глава 3 Политика безопасности
- •3.1. Определение политики безопасности
- •3.2. Дискреционная политика.
- •3.3. Политика mls.
- •Глава 4 Классификация систем защиты
- •4.1. Доказательный подход к системам защиты .
- •4.2. Пример гарантированно защищенной системы обработки информации.
- •4.3. "Оранжевая книга"(ок).
- •Политика.
- •Подотчетность.
- •Гарантии.
- •Итоговая информация по классам критериев оценки.
- •Политика обеспечения безопасности.
- •Идентификация и аутентификация.
- •4.4. 0 Выборе класса защиты.
- •Глава 5 математические методы анализа политики безопасности
- •5.1. Модель "take-grant" .
- •5.2. Модель белла-лападула (б-л).
- •5.3. Модель low-water-mark (lwm).
- •5.4. Модели j.Goguen, j.Meseguer (g-m).
- •5.5. Модель выявления нарушения безопасности.
- •Глава 6 гарантированно защищенныераспределенные системы
- •6.1. Синтез и декомпозиция защиты в распределенныхсистемах.
- •6.2. Анализ компонент распределенной системы.
- •Глава 7 проблема построения гарантированно защищенных баз данных
- •7.1. Иерархический метод построения защиты .
- •7.2. Гарантированно защищенные базы данных.
- •Литература
Решетка подмножеств X.
Для "A, ВÎХ. Определим А<ВÞАÍВ. Все условия частичного порядка 1), 2), 3) выполняются. Кроме того, AÅB - это АÈВ, АÄВ=АÇВ. Следовательно, это решетка.
Пример 4. Х={1, 2, 3}.
( 1 2 3 )
1 2 2 3 1 3
1 2 3
Æ
Пусть программа имеет Х={Х1,...,Хm} - входные,Y1...Yn - выходные элементы. Каждый выходной элемент зависит от некоторых входных элементов. Отношение вход-выход описывается решеткой рассматриваемого типа. Решетка подмножеств строится по подмножествам X следующим образом. Для каждой ХiXi={Хi}. Для каждой YjYj={Xi|XjàYj}.
Пример 5. X1, Х2, X3, Y1, Y2. Y1 зависит только от X1,Х2; Y2 зависит от X1 и Х3.
Y1={X1,X2} Y2={X1,X3}
H
Y1 Y2
X1
X2 X3
L
Mls решетка
Название происходит от аббревиатуры Multilevel Security и лежит в основе государственных стандартов оценки информации. Решетка строится какпрямое произведение линейной решетки L и решетки SC подмножеств множества X, т.е. (a,b), (a’,b’) -элементы произведения, b,b’ÎL - линейная решетка, a,a’ÎSC - решетка подмножеств некоторого множества X. Тогда
(a,b)<(a’,b’)ÛaÍa’,b<b’
Верхняя и нижняя границы определяются следующим образом:
(a,b)Å(a¢,b¢)Û(aÈa¢,max{b,b’}),
(a,b)Ä(a¢,b¢)Û(aÇa¢,min{b,b’}).
Вся информация {объекты системы} отображается в точки решетки {(а,b)}. Линейный порядок, как правило, указывает гриф секретности. Точки множества X обычно называются категориями.
Свойства решетки в оценке информации существенно используются при классификации новых объектов, полученных в результате вычислений. Пусть дана решетка ценностей SC, множество текущих объектов О, отображение С: 0àS, программа использует информацию объектов 01,..,0n , которые классифицированы точками решетки С(01),...,С(0n). В результате работы программы появился объект О, который необходимо классифицировать. Это можно сделать, положив С(0)= C(01)Å...ÅC(0n). Такой подход к классификации наиболее распространен в государственных структурах. Например, если в сборник включаются две статьи с грифом секретно и совершенно секретно соответственно, и по тематикам: первая - кадры, вторая - криптография, то сборник приобретает гриф совершенно секретно, а его тематика определяется совокупностью тематик статей (кадры,криптография).
1.5. Реляционные базы данных
Предположим, что мы хотим внести решетку ценностей (например, MLS) в конкретную информацию,которая хранится и обрабатывается на ЭВМ. Рассмотрим примеры механизмов такого внесения и проблемы, которые здесь возникают. Для определенности рассмотрим информацию, структурированную и обрабатываемую при помощи реляционной базы данных.Такая модель информации называется реляционноймоделью данных (РМ). Материалы следующих параграфов 1.5 и 1.6 базируются на работах D.Denning, T.Lunt и их коллег.
РМ состоит из отношений, которые представляют собой таблицы со многими входами, и алгебры отношений, которая позволяет строить новые отношения в терминах других отношений (в РМ входят также правила целостности хранимой информации и производной информации).
Каждое отношение R определяется схемой R (А1,...,Аn), которая характеризуется множеством атрибутовА1,..., Аn, т.е. переменных, описывающих входы таблицы.Отношение состоит из множества записей (векторов или строк), которые представляют собой значения данных в области определения атрибутов (то есть элементы таблицы - значения атрибутов).
Реляционная алгебра состоит из операторов для выбора всех или части записей, имеющих определенные значения из отношения (таблицы), и для добавления данных в различные отношения.
Для иллюстрации рассмотрим базу данных "Flight"("Полеты''). Эта база определена следующими схемами. Отношение ITEM с атрибутами: номера мест, имена, веса. Отношение Flight с атрибутами: номер рейса, дата вылета, назначение, общий вес груза. ОтношениеPAYLOAD, дающее количество использованных местна борту во время полета.
ITEM (ITEM #, ITEMNAME, Weight)
Flight (Flight #, Date, Dest, Weight)
PAYLOAD (Flight #, ITEM #, QTY, Weight)
Множество схем, определяющих отношения в базе данных, само представляется как отношение
Relation (Relname, Attmame),
которое содержит атрибуты всех отношений (иногда используется два отношения: одно для названий отношений, другое - для названий атрибутов).Например, в этой таблице запись
< Flight, Weight >
определяет, что отношение Flight содержит атрибутWeight.