Безопасность информационных потоков

К:Википедия:Изолированные статьи (тип: не указан)

Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.

Содержание

1 Информационный поток
2 Решаемые проблемы
- 2.1 Деклассификация
- 2.2 Скрытый канал
3 Вероятностная модель безопасности информационных потоков
- 3.1 Информационная невыводимость
- 3.2 Информационное не влияние
4 Литература

Информационный поток

Информационным потоком от объекта <math> O\ </math> (источник) к объекту <math> O^\prime </math> (приёмник) называется преобразование информации в объекте <math> O^\prime </math> , зависящее от информации в объекте <math> O\ </math>. Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).

Решаемые проблемы

Рассмотрим основные проблемы мандатного управления доступа, решаемые использованием модели безопасности информационных потоков - проблему деклассификации и наличия скрытого канала.

Деклассификация

Проблема состоит в том, что в некоторых случаях, объект может понизить свой уровень доступа не нарушая формальных правил. Если перед этим данный объект возьмет под свой контроль некоторую информацию, то таким образом он переведет данную информацию на более низкий уровень секретности. Фактически произошло прямое нарушение свойства * ("запрет записи вниз"), но формально все правила были соблюдены. Если напрямую запретить возможность создания информационных потоков между соответствующими объектами, то после деклассификации объект с информацией не сможет никому передать полученные данные, несмотря на наличие разрешающего мандата.

Скрытый канал

При анализе возможных информационных потоков необходимо составить полный список всех возможных потоков в системе. Поскольку скрытый канал для передачи данных обрабатывает информацию, то соответствующий информационный поток будет в этом списке. Если все потоки, которые потенциально могут вести к утечке информации будут запрещены, то скрытый канал будет неработоспособен.

Вероятностная модель безопасности информационных потоков

Ниже представлена одна из возможных систем, демонстрирующая основные идеи модели безопасности информационных потоков. В рассматриваемой модели объекты системы принадлежат трем группам:

Объекты, обрабатывающие информацию высокого уровня конфиденциальности <math> H\ </math>
Объекты, обрабатывающие информацию низкого уровня конфиденциальности <math> L\ </math>
Объекты системы защиты <math> \Sigma\ </math>

Все объекты из <math> \Sigma\ </math> относятся к <math> H\ </math>, поскольку они обеспечивают защиту, то они должны иметь доступ к информации высокого уровня конфиденциальности.

Обозначим <math> h\ </math> мгновенное состояние всех объектов из <math> H\ </math> в данный конкретный момент. Поскольку возможное количество состояний конечно, то есть возможность пронумеровать их, после чего возможно оценить вероятность возникновения того или иного состояния объектов. Обозначим вероятность возникновения любого конкретного состояния <math> p(H)\ </math>. Аналогичную вероятность для объектов, обрабатывающих информацию низкого уровня конфиденциальности, обозначим <math> p(L)\ </math>.

Информационная невыводимость

Компьютерная система соответствует требованиям информационной невыводимости, если для <math> p(H)>0\ </math> и <math> p(L)>0\ </math>, справедливо неравенство <math> p(H|L)>0\ </math>.

Сформулировать данное требование можно так: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние <math> H\ </math>, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние <math> L\ </math>, то есть и вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в своё состояние.

Покажем справедливость данного требования. Пусть верно обратное, тогда при выполнении <math> p(H)>0\ </math> и <math> p(L)>0\ </math>, справедливо равенство <math> p(H|L)=0\ </math>. Это означает, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не могут перейти в состояние <math> H\ </math> после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в состояние <math> L\ </math>. Таким образом, зная, что текущее состояние объектов <math> L\ </math> можно сделать вывод о том, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не перейдут в состояние <math> H\ </math>, таким образом получив некоторую информацию о состоянии объектов, обрабатывающих информацию высокого уровня конфиденциальности, что недопустимо.

Информационное не влияние

Компьютерная система соответствует требованиям информационного невлияния (без учета времени), если для <math> p(H)>0\ </math> и <math> p(L)>0\ </math>, справедливо равенство <math> p(L|H)=p(L)\ </math>.

Данное требование можно сформулировать следующим образом: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние <math> H\ </math>, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние <math> L\ </math>, то вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние не зависит от того, перейдут ли объекты, обрабатывающие информацию низкого уровня конфиденциальности перейдут в своё состояние, или нет.

Данное требование более сильное, чем требование информационной невыводимости - выполнение требования информационного невлияния, автоматически влечет выполнения требования информационной невыводимости.

Требование информационного невлияния (с учетом времени), является более общим, и указывает на то, что некоторые влияние одной части системы на другую возможно. Например, если ведется журнал доступа (объект, обрабатывающий информацию высокого уровня конфиденциальности), то обращение к некоторому файлу будет зафиксировано в данном журнале, а следовательно будет изменено состояние <math> H\ </math>, путём изменения состояния <math> L\ </math>. Требование информационного невлияния (с учетом времени) позволяет не отказываться от использования журнала (и прочих средств защиты).

Напишите отзыв о статье "Безопасность информационных потоков"

Литература

Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Изд. центр «Академия», 2005. — С. 55—66. — ISBN 5-7695-2053-1.

Отрывок, характеризующий Безопасность информационных потоков

– Это брат Безуховой – Анатоль Курагин, – сказала она, указывая на красавца кавалергарда, который прошел мимо их, с высоты поднятой головы через дам глядя куда то. – Как хорош! неправда ли? Говорят, женят его на этой богатой. .И ваш то соusin, Друбецкой, тоже очень увивается. Говорят, миллионы. – Как же, это сам французский посланник, – отвечала она о Коленкуре на вопрос графини, кто это. – Посмотрите, как царь какой нибудь. А всё таки милы, очень милы французы. Нет милей для общества. А вот и она! Нет, всё лучше всех наша Марья то Антоновна! И как просто одета. Прелесть! – А этот то, толстый, в очках, фармазон всемирный, – сказала Перонская, указывая на Безухова. – С женою то его рядом поставьте: то то шут гороховый!
Пьер шел, переваливаясь своим толстым телом, раздвигая толпу, кивая направо и налево так же небрежно и добродушно, как бы он шел по толпе базара. Он продвигался через толпу, очевидно отыскивая кого то.
Наташа с радостью смотрела на знакомое лицо Пьера, этого шута горохового, как называла его Перонская, и знала, что Пьер их, и в особенности ее, отыскивал в толпе. Пьер обещал ей быть на бале и представить ей кавалеров.
Но, не дойдя до них, Безухой остановился подле невысокого, очень красивого брюнета в белом мундире, который, стоя у окна, разговаривал с каким то высоким мужчиной в звездах и ленте. Наташа тотчас же узнала невысокого молодого человека в белом мундире: это был Болконский, который показался ей очень помолодевшим, повеселевшим и похорошевшим.
– Вот еще знакомый, Болконский, видите, мама? – сказала Наташа, указывая на князя Андрея. – Помните, он у нас ночевал в Отрадном.
– А, вы его знаете? – сказала Перонская. – Терпеть не могу. Il fait a present la pluie et le beau temps. [От него теперь зависит дождливая или хорошая погода. (Франц. пословица, имеющая значение, что он имеет успех.)] И гордость такая, что границ нет! По папеньке пошел. И связался с Сперанским, какие то проекты пишут. Смотрите, как с дамами обращается! Она с ним говорит, а он отвернулся, – сказала она, указывая на него. – Я бы его отделала, если бы он со мной так поступил, как с этими дамами.

Вдруг всё зашевелилось, толпа заговорила, подвинулась, опять раздвинулась, и между двух расступившихся рядов, при звуках заигравшей музыки, вошел государь. За ним шли хозяин и хозяйка. Государь шел быстро, кланяясь направо и налево, как бы стараясь скорее избавиться от этой первой минуты встречи. Музыканты играли Польской, известный тогда по словам, сочиненным на него. Слова эти начинались: «Александр, Елизавета, восхищаете вы нас…» Государь прошел в гостиную, толпа хлынула к дверям; несколько лиц с изменившимися выражениями поспешно прошли туда и назад. Толпа опять отхлынула от дверей гостиной, в которой показался государь, разговаривая с хозяйкой. Какой то молодой человек с растерянным видом наступал на дам, прося их посторониться. Некоторые дамы с лицами, выражавшими совершенную забывчивость всех условий света, портя свои туалеты, теснились вперед. Мужчины стали подходить к дамам и строиться в пары Польского.
Всё расступилось, и государь, улыбаясь и не в такт ведя за руку хозяйку дома, вышел из дверей гостиной. За ним шли хозяин с М. А. Нарышкиной, потом посланники, министры, разные генералы, которых не умолкая называла Перонская. Больше половины дам имели кавалеров и шли или приготовлялись итти в Польской. Наташа чувствовала, что она оставалась с матерью и Соней в числе меньшей части дам, оттесненных к стене и не взятых в Польской. Она стояла, опустив свои тоненькие руки, и с мерно поднимающейся, чуть определенной грудью, сдерживая дыхание, блестящими, испуганными глазами глядела перед собой, с выражением готовности на величайшую радость и на величайшее горе. Ее не занимали ни государь, ни все важные лица, на которых указывала Перонская – у ней была одна мысль: «неужели так никто не подойдет ко мне, неужели я не буду танцовать между первыми, неужели меня не заметят все эти мужчины, которые теперь, кажется, и не видят меня, а ежели смотрят на меня, то смотрят с таким выражением, как будто говорят: А! это не она, так и нечего смотреть. Нет, это не может быть!» – думала она. – «Они должны же знать, как мне хочется танцовать, как я отлично танцую, и как им весело будет танцовать со мною».
Звуки Польского, продолжавшегося довольно долго, уже начинали звучать грустно, – воспоминанием в ушах Наташи. Ей хотелось плакать. Перонская отошла от них. Граф был на другом конце залы, графиня, Соня и она стояли одни как в лесу в этой чуждой толпе, никому неинтересные и ненужные. Князь Андрей прошел с какой то дамой мимо них, очевидно их не узнавая. Красавец Анатоль, улыбаясь, что то говорил даме, которую он вел, и взглянул на лицо Наташе тем взглядом, каким глядят на стены. Борис два раза прошел мимо них и всякий раз отворачивался. Берг с женою, не танцовавшие, подошли к ним.
Наташе показалось оскорбительно это семейное сближение здесь, на бале, как будто не было другого места для семейных разговоров, кроме как на бале. Она не слушала и не смотрела на Веру, что то говорившую ей про свое зеленое платье.
Наконец государь остановился подле своей последней дамы (он танцовал с тремя), музыка замолкла; озабоченный адъютант набежал на Ростовых, прося их еще куда то посторониться, хотя они стояли у стены, и с хор раздались отчетливые, осторожные и увлекательно мерные звуки вальса. Государь с улыбкой взглянул на залу. Прошла минута – никто еще не начинал. Адъютант распорядитель подошел к графине Безуховой и пригласил ее. Она улыбаясь подняла руку и положила ее, не глядя на него, на плечо адъютанта. Адъютант распорядитель, мастер своего дела, уверенно, неторопливо и мерно, крепко обняв свою даму, пустился с ней сначала глиссадом, по краю круга, на углу залы подхватил ее левую руку, повернул ее, и из за всё убыстряющихся звуков музыки слышны были только мерные щелчки шпор быстрых и ловких ног адъютанта, и через каждые три такта на повороте как бы вспыхивало развеваясь бархатное платье его дамы. Наташа смотрела на них и готова была плакать, что это не она танцует этот первый тур вальса.
Князь Андрей в своем полковничьем, белом (по кавалерии) мундире, в чулках и башмаках, оживленный и веселый, стоял в первых рядах круга, недалеко от Ростовых. Барон Фиргоф говорил с ним о завтрашнем, предполагаемом первом заседании государственного совета. Князь Андрей, как человек близкий Сперанскому и участвующий в работах законодательной комиссии, мог дать верные сведения о заседании завтрашнего дня, о котором ходили различные толки. Но он не слушал того, что ему говорил Фиргоф, и глядел то на государя, то на сбиравшихся танцовать кавалеров, не решавшихся вступить в круг.