Модель гарантированно защищенной системы обработки информации

В [6] определена модель å системы, которая оперирует с ценной информацией. Согласно модели, время дискретно и принимает значения из множества N ={l, 2,... }. Информация в системе å, включая описание самой системы, представима в форме слов некоторого гипотетического языка Я над некоторым конечным алфавитом А.

Объект в å — это конечное множество слов из Я, состояние объекта — выделенное слово из множества, определяющего этот объект. С понятием объекта связано агрегирование информации в å и о å.

Приведены следующие примеры объектов:

· объектом является принтер, который можно рассматривать как автомат с конечным множеством состояний, а эти состояния — суть слова языка Я;

· объект — файл; множество слов, которые могут быть записаны в файле, является конечным и определяет объект, а состояния объекта — это текущая запись в файле, которая тоже является словом в языке Я.

Вся информация о å в данный момент может быть представлена в виде состояний конечного множества объектов. Считается, что состояние системы å — это набор состояний ее объектов.

Объекты могут создаваться и уничтожаться, поэтому можно говорить о множестве объектов системы å в момент t, которое обозначается О_t, | O_t |<¥. Для каждого tÎ N в О_t выделено подмножество S_t субъектов: есть описание некоторого преобразования информации в системе å. Каждый субъект может находиться в двух состояниях: в форме описания, в котором субъект называется неактивизированным, и в форме (процесс), в которой субъект называется активизированным.

Активизировать субъект может только другой активизированный субъект. Для каждого tÎ N на множестве S_t определяется орграф Г _t, где S₁ и S₂ из S_t соединены дугой S₁ -> S₂ тогда и только тогда, когда в случае активизации S₁ возможна активизация S₂. Если субъект S — такой, что для каждого Г_t в вершину S не входят дуги, то такой субъект называется пользователем. Предполагается, что в системе S всего два пользователя: U₁ и U₂. Пользователи считаются активизированными по определению и могут активизировать другие субъекты. Если в любой момент t в графе Г_t в вершину S не входят дуги и не выходят дуги, то такие субъекты исключаются из рассмотрения. Введено обозначение: , процедуры активизации процессом S₁ субъекта S₂.

Далее в рамках модели делаются следующие предположения:

Предположение 1. Если субъект S активизирован в момент t, то существует единственный активизированный субъект S' в S_t, который активизировал S. В момент t =0 активизированы только пользователи.

Лемма 1. Если в данный момент t активизирован субъект S, то существует единственный пользователь U, от имени которого активизирован субъект S, тоесть существует цепочка

Предположение 1 требует единственности идентификации субъектов. Далее предполагается, что каждый объект в системе имеет уникальное имя.

Кроме активизации в системе å существуют и другие виды доступа активизированных субъектов к объектам.

Введено множество всех видов доступов R, | R | < ¥. Если р Í R,то множество доступов р активизированного субъекта S к объекту О обозначится через . Если в некоторый промежуток времени [ t, t+k ] реализована последовательность доступов , то считается, что произошел доступ от имени субъекта S к объекту O.

При этом не имеет значения, какую задачу решает система å, а лишь моделируется функционирование системы последовательностью доступов.

Предположение 2. Функционирование системы å описывается последовательностью доступов множеств субъектов к множествам объектов в каждый момент времени tÎ N.

Описанный выше орграф Г_t обобщается путем добавления дуг S -> O, обозначающих возможность любого доступа субъекта S к объекту O в момент t, в случае активизации S.

Введено обозначение: D_t (S) = {O | S -->* O в момент t}, где S->*O означает возможность осуществления цепочки доступов S->S₁->S₂->...S_k->O (возможность доступа к О от имени S). Тогда для любого tÎ N в системе определены D_t (U₁) и D_t (U₂).

Считается, что D = D_t (U₁)Ç D_t (U₂) фиксировано для всех t, O_t = D_t (U₁)È D_t (U₂), в начальный момент t = 0: O ₀={U1,U2}È D

Определение 1. Множество объектов D называется общими ресурсами системы.

Средствами из D пользователь может создавать объекты и уничтожать объекты, не принадлежащие D. Создание и уничтожение каких-либо объектов является доступом в R к некоторым объектам из O (и к уничтожаемым объектам).

Из объектов системы åпостроена некоторая подсистема, которая реализует доступы. Любое обращение субъекта S за доступом р к объекту О в эту подсистему начинается с запроса, который обозначается .

При порождении объекта субъект S обращается к соответствующей процедуре, в результате которой создается объект с уникальным именем. Тогда в силу леммы 1, существует единственный пользователь, от имени которого активизирован субъект, создавший этот объект, т. е. соответствующий пользователь породил данный объект.

Через О_t (U) обозначено множество объектов из О _t, которые породил пользователь U. При этом считается, что UÎ O _t(U).

В случае, если в R есть доступы read и write, рассматривается только опасность утечки информации через каналы по памяти, которые могут возникнуть при доступах к объектам. Таким каналом может быть следующая последовательность доступов при s<t:

в момент s и в момент t, .

При определенных условиях может оказаться опасным доступ от имени пользователя:

в момент s и в момент t, s<t, .

С некоторой избыточностью исчерпываются возможные каналы по памяти, если считать неблагоприятными какие-либо доступы p₁,p₂ Í R вида

, , , (1)

которые и считаются каналами утечки.

Предположение 3. Если OÎ D, то доступы в (1) при любых р₁ и р₂ не могут создать канал утечки.

Это значит, что предполагается невозможным отразить какую-либо ценную информацию в объектах общего доступа.

Тогда в (1)достаточно ограничиться объектами О, не лежащими в D. Это значит, что в одном из доступов в (1) имеется , где OÎ O_t (U_j), . Таким образом, в системе считаются неблагоприятными доступы вида:

,

, OÎ O_t (U_j), , (2)

то есть доступы от имени какого-либо пользователя к объекту, созданному другим пользователем. Такие доступы называются утечкой информации.

Предположение 4. Если некоторый субъект S, SÎ D, активизирован от имени пользователя U_i (т. e. S предоставлен в момент t доступ к объекту О, то либо OÎ D, либо OÎ O _t(U_i), либо система прекращает работу и выключается.

Определена следующая политика безопасности (ПБ):

Если , то при S,O Î O_t (U) доступ разрешается, если SÎ O_t (U_i), OÎ O_t (U_j), i¹j, то доступ невозможен.

Теорема 1. Пусть в построенной системе выполняются предположения 1—4. Если все доступы осуществляются в соответствии с ПБ, то утечка информации (2) невозможна.

Далее построено удобное для реализации множество «услуг» более низкого уровня, поддерживающих ПБ. То есть определено множество условий, реализованных в системе å, таких, что можно доказать теорему о достаточности выполнения этих условий для выполнения правил ПБ.

Условие 1. (Идентификация и аутентификация). Если для любых tÎ N, pÍ R, S, ОÎ О _t, S и О к множествам О_t (U₁), О_t (U₂), D.

Условие 2. (Разрешительная подсистема). Если SÎО_t(U_i), OÎО_t(U_j) и в момент t, то из i=j следует и из i ¹ j следует (не разрешается доступ).

Условие 3. (Отсутствие обходных путей политики безопасности). Для любых tÎ N, рÍ R, если субъект S, активизированный к моменту t, получил в момент t доступ t произошел запрос на доступ

Теорема 2. Если в построенной системе å выполняются предположения 1—4 и условия 1—3, то выполняется политика безопасности.

Комментарий. По сравнению с моделью Белла—Лападула сделан большой шаг вперед — фактически признана возможность одновременного существования информации (ЭлД) как в статической форме, так и в динамической. Более того, неявно и программные средства трактуются как информация — это концептуальный шаг вперед. Однако, словно испугавшись дальнейших выводов, авторы на этом и останавливаются. Более аккуратно и математическое описание модели, хотя уровень неряшливости все еще чрезмерен.

Как и ранее, не проводится четкого разграничения между пространством и временем, что могло бы существенно конкретизировать интерпретацию результатов модели. Модель в некотором смысле одномерна («в системе S всего два пользователя»), хотя среда существования документа в реальности много богаче, одновременно может происходить множество процессов в различных точках пространства. Модель априорно исходит из единственности траектории электронного документа. Крайне сильным является предположение о стерильности программной среды.

Субъектно-объектная модель (СО-модель). Изолированная программная среда

Дальнейшим шагом в развитии моделей стала субъектно-объектная модель, предложенная в [58, 59]. Модель произвольной АС рассматривается в виде конечного множества элементов. Указанное множество разделяется на два подмножества: множество объектов и множество субъектов . Разделение АС на субъекты и объекты предполагается априорным. Считается также, что существует априорный безошибочный критерий различения субъектов и объектов в АС (по свойству активности). Полагается, что в любой дискретный момент времени множество субъектов АС не пусто. Причем в противном случае соответствующие моменты времени исключаются из рассмотрения и рассматриваются отрезки с ненулевой мощностью множества субъектов.

Рассматривая вопросы безопасности информации в АС, говорится о защищенности системы как о состоянии, описанном в терминах модели АС. При этом понятие защищенности является для системы внешним, априорно заданным. Интегральной характеристикой, описывающей свойства защищаемой системы, является политика безопасности ¾ качественное (или качественно-количественное описание) свойств защищенности, выраженное в терминах, описывающих систему.

Описание политики безопасности включает:

1. Множество возможных операций над объектами;

2. Для каждой пары «субъект, объект» (S_i, O_j) — назначение множества разрешенных операций, являющееся подмножеством всего множества возможных операций.

Сформулированы аксиомы защищенных АС, имеющие фундаментальное значение для всей теории информационной безопасности.

Аксиома 1. В защищенной АС всегда присутствует активная компонента (субъект), выполняющая контроль операций субъектов над объектами. Данная компонента фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.

Аксиома 3. Все вопросы безопасности информации в АС описываются доступами субъектов к объектам.

Аксиома 4. Субъекты в АС могут быть порождены только активной компонентой (субъектами) из объектов.

Механизм порождения новых субъектов специфицируется следующим определением.

Определение 1. Объект O_i называется источником для субъекта S_m, если существует субъект S_j, в результате воздействия которого на объект O_i в АС возникает субъект S_m.

Вводится обозначение:

Create (S_j, O_i)® S_k ¾ из объекта O_i порожден субъект S_k при активизирующем воздействии субъекта S_j. Create назовем операцией порождения субъектов.

Операция Create задает отображение декартова произведения множеств субъектов и объектов на объединение множества субъектов с пустым множеством:

Считается, что если Create (S_j, O_i)®Æ, то порождение нового субъекта из объекта O_i при активизирующем воздействии S_j невозможно.

В рамках рассматриваемой модели в АС действует дискретное время и фактически новый субъект S_k порождается в момент времени t +1 относительно момента t, в который произошло воздействие порождающего субъекта на объект-источник.

С любым субъектом связан (или ассоциирован) некоторый объект (объекты), отображающий его состояние.

Определение 2. Объект O_i в момент времени t ассоциирован с субъектом S_m, если состояние объекта O_i повлияло на состояние субъекта в следующий момент времени (т.е. субъект S_m использует информацию, содержащуюся в объекте O_i).

Заметим также, что в рамках рассматриваемой модели в АС действует дискретное время и фактически новый субъект S_k порождается в момент времени t +1 относительно момента t, в который произошло воздействие порождающего субъекта на объект-источник.

Вводится обозначение «множество объектов { O_m }_t ассоциировано с субъектом S_i в момент времени t»: S_i ({ O_m }_t).

Свойство субъекта «быть активным» реализуется и в возможности выполнения действия над объектами. При этом необходимо отметить, что пассивный статус объекта необходимо требует существования потоков информации от объекта к объекту (в противном случае невозможно говорить об изменении объектов), причем данный поток инициируется субъектом.

В рамках модели на временной оси выделяются несколько точек, имеющих принципиальное значение, а именно:

· t= 0 — момент включения питания аппаратной части;

· t=i — момент времени, в который наступает стационарная фаза функционирования АС;

· t=m>i — момент времени, в который начинает действовать изолированная программная среда;

· t=L — момент времени, когда завершена активизация всех компонент АС, содержащихся в последовательности Z_L.

Отмечается, что субъект контроля неизменности объектов, входящих в процедуры активизации АС, и объектов, описывающих последовательность активизации компонент, должен быть активен уже на этапе работы субъектов аппаратно-программного уровня, но его объект-источник технически не может быть проверен на неизменность. В связи с этим формулируется

Аксиома 5. Генерация ИПС (изолированной программной среды) рассматривается в условиях неизменности конфигурации тех субъектов АС, которые активизируются до старта процедур контроля целостности объектов O_Z и последовательности Z_L. Неизменность данных субъектов обеспечивается внешними по отношению к самой АС методами и средствами. При анализе или синтезе защитных механизмов свойства указанных субъектов являются априорно заданными.

С учетом аксиомы 5 схематическое представление этапов функционирования АС принимает следующий вид:

Комментарий. В СО-модели сделан по сравнению с другими моделями значительный шаг вперед, так как рассмотрены механизмы и методы создания ИПС как безопасных начальных состояний. Действительно, в условия всех основных моделей входит некоторое безопасное начальное состояние, но в рамках моделей не рассматриваются конструктивные механизмы его достижения.

СО-модель отвечает на этот вопрос, дополняя, а не отвергая другие модели. Формируется иерархия моделей, где выделяются этапы генерации ИПС, поддержка ИПС и разграничение доступа как с помощью мандатных, так и дискреционных механизмов.

При этом СО-модели присущ и ряд серьезных недостатков. Так, например, очень сильным представляется требование аксиомы 5. Действительно, невыполнение требований не позволит создать изолированную программную среду (ИПС), а как их реализовать, и что вообще означает «внешние априорно заданные средства», какими они должны быть?

В ряде позиций ограниченность как СО-модели, так и других связана также и с некоторыми упрощениями, не всегда обоснованными. Так, в СО-модели отмечается, что «все вопросы безопасности в АС описываются доступами субъектов к объектам» (аксиома 3). Такая формулировка вызывает серьезные вопросы — например, разве не связаны с безопасностью состав и структура системы?

С общих позиций, разделение множества элементов АС на два подмножества, объектов и субъектов, выглядит искусственным, что влечет массу дополнительных определений и ограничений, в частности, порождение объекта из субъекта и наоборот, ассоциирование объекта и субъекта, и др. На наш взгляд, существенно упростило бы модель принятие постулата, что любой элемент АС может находиться в двух состояниях: пассивном, тогда это состояние называется «объектом», и активном — тогда называется «субъектом». Ведь все программные средства хранятся в памяти, инициализация переводит их в активную форму. С другой стороны, преобразование информации ЭлД есть процесс.

Это позволило бы унифицировать операции преобразования. Примерно также расширение множества целых чисел на все рациональные числа позволяет допустить все арифметические операции, включая деление.

Опубликованные в открытой печати законы и разрабатываемые законопроекты государственного уровня в сфере электронного взаимодействия разрабатываются квалифицированными коллективами, проходят многократные обсуждения и экспертизу. Совокупность таких документов является представительной выборкой для определения доминирующего представления об электронной информации и электронном документе. Выполненный анализ позволил установить значительное число неточностей и парадоксов в исходных понятиях и определениях этих документов с точки зрения электронного взаимодействия и, соответственно, вытекающих отсюда предписаний и нормативов. Статистическая значимость количества ошибок в столь важных позициях ответственных документов, разрабатываемых разными коллективами и в разных странах, исключает субъективные причины.

2. Причина ошибок в исследованных документах — игнорирование кардинального, системного, отличия электронной, цифровой среды информационного взаимодействия от традиционной, аналоговой.

В технологиях обмена информацией происходит системный сдвиг, переход на более высокую ступень абстрактного отображения — документ, который раньше был прерогативой человека, теряет субъективизм, становится безличным, в каком-то смысле не зависящим от воли и сознания субъектов. Аналогия между традиционной (текст на бумаге) и электронной технологией отображения документа оправдана, только если компьютер используется как «большая пишущая машинка». Но уже сейчас, тем более в перспективе, такое использование компьютера — скорее исключение, чем правило. Существующий подход, опирающийся на понятийную базу обмена информацией посредством традиционного (аналогового) документа, не соответствует требованиям современного, а тем более — следующих этапов развития электронного взаимодействия.

Необходимо исследование системных особенностей электронного документа, его отличий от традиционного, разработка новой вербальной модели электронного документа.

3. Анализ наиболее распространенных моделей защиты информации показывает, что в понятийной базе моделей наблюдается та же самая картина, что и в понятийной базе законов в сфере электронного взаимодействия. Если в законопроектах делается попытка описания на языке неквалифицированного пользователя, то при описании моделей используется профессиональный жаргон рядового программиста с неглубокими знаниями математики. Модели базируются на феноменологическом описании процессов и объектов электронной среды. Исходные понятия даются на эвристическом уровне: есть нечто, понимаемое по умолчанию как электронная информация, как электронный документ, как операция, как процесс в электронной среде и т. п. В формальную модель вводятся полуопределенные, расплывчатые понятия социальной среды: «сущность», «субъект», «объект», «доступ», «право», «полномочие» и т. п. Одновременно используются строгие понятия математики: множество, декартово произведение множеств, векторное пространство, граф, матрица, отображение, функция и т. д. Причем анализ показывает, что подразумеваемые свойства таких математических объектов зачастую не имеют ничего общего с их классическим пониманием.

4. При таком представлении моделей интерпретация результатов не абсолютна (однозначна), а относительна (многозначна) — допускает широкий диапазон толкований, зависящих от квалификации и подготовки пользователя. Для простых моделей подобное допустимо, интерпретация понятий возможна по умолчанию. Но с ростом сложности моделируемого явления адекватность теряется, возникает неоднозначность в интерпретации. Правильно истолковать результаты моделирования может только разработчик, вкладывающий в трактовку понятий свое индивидуальное видение, иногда противоположное написанному.

Тем не менее, модели следует оценить как весьма полезные на «ранних» этапах развития информационного обмена в электронной форме, когда все своеобразие взаимодействия описывается фразой «как обычно, только на экране монитора». В такой ситуации интерпретация «по умолчанию» оказывается эффективной. Существующие модели защиты информации имеют экстенсивный характер (обо всем понемножку), что в перспективе должно негативно сказаться на их применении. Необходима специализация моделей, учитывающая качественное различие свойств и требований к электронному документу при его переходе из одной среды существования в другую.

5. Любая формальная модель необходимо должна включать в свой состав эвристическую компоненту — выделение конечного подмножества характеристик моделируемого явления и их интерпретацию в аксиоматическом виде. Бесконечность качественных и количественных характеристик реальных явлений должна отображаться на входе модели в конечную аксиоматическую базу. Процесс перехода от бесконечности к конечности в общем случае эвристичен. Это положение очевидно, тем не менее, в рассмотренных моделях опускают интерпретацию, сочетая строгие понятия математики с неформальными бытовыми понятиями.

Отсутствие системного понимания электронного взаимодействия приводит к «выдергиванию» и абсолютизации отдельных состояний ЭлД на протяжении его жизненного цикла. Жизненный цикл документа проходит в трех средах — аналоговой, цифровой, социальной. Аксиоматика моделирования должна отображать на границах (интерфейсах) сред существования документа доминирующие характеристики столь качественно отличных явлений как социальная среда — общество, аналоговая среда — материальные объекты и предметы, электронная среда — логические процессы. Необходимо учитывать существование ЭлД в виде объекта (в памяти) и в виде процесса (обработка и передача).

6. Требуется формализовать наличие мыслящих субъектов: аутентификация, конфиденциальность документа обусловлены только присутствием человека, социальной средой, в среде неодушевленных объектов эти понятия бессмысленны. Необходима иерархия моделей, позволяющая обосновать преобразование требований, предъявляемых социальной средой к защите информационного взаимодействия, в требования к аналоговой среде существования документа и далее — к электронной среде.

Короткий срок развития защиты информации как отдельной дисциплины не позволяет говорить о сколько-нибудь завершенной системе. Даже на низких уровнях иерархии имеется множество различных, несовместимых подходов и направлений моделирования. Как и должно быть, теория не успевает за технологическими достижениями. Попытка сведения в единой модели всех аспектов защиты информации априорно должна вести к крайне схематичным результатам.

Можно наметить следующие уровни иерархической системы моделей: информация, документ, отдельные механизмы защиты информации, защита среды существования, защита электронного взаимодействия.

7. Модели цифровой информации должны базироваться на ставших уже классикой общеизвестных работах К. Шеннона, показавшего возможность количественного подхода к столь качественно многообразному явлению, как информация. Основная идея Шеннона заключается в объективизации понятия информации. Только тогда можно применять количественные оценки, только тогда можно говорить о цифровой информации, которая воспринимается неодушевленными объектами, инструментальными средствами вычислительной техники.

Удовлетворительные модели электронного документа, отражающие отмеченные аспекты, в доступной литературе найти не удалось. На современном этапе развития электронного взаимодействия разработка подобных комплексных моделей является крайне актуальной задачей.

8. Рассмотренные модели уточняют свойства и требования к отдельным механизмам защиты информации от несанкционированного доступа. Модели рассчитаны на применение специалистами с квалификацией, позволяющей им более-менее однозначно трактовать тот сленг, на котором описана модель, понять, что же именно модель уточняет. Указанные недостатки непринципиальны, и при грамотной обработке изложения могут быть устранены. Преимущество компактности описания здесь достигается за счет узости применения. До начала моделирования специалист уже представляет конечный результат, его цель — только конкретизация количественного измерения результата.

9. В субъектно-объектной модели сделан по сравнению с другими моделями значительный шаг вперед, так как рассмотрены механизмы и методы создания ИПС (изолированной программной среды) как приоритетной задачи защиты информации. Действительно, в условия всех основных моделей входит некоторое безопасное начальное состояние, но в рамках моделей не рассматриваются конструктивные механизмы его достижения. СО-модель отвечает на этот вопрос, дополняя, а не отвергая другие модели. Формируется иерархия моделей, где выделяются этапы генерации ИПС, поддержка ИПС и разграничение доступа как с помощью мандатных, так и дискреционных механизмов.

При этом СО-модели присущ и ряд серьезных недостатков. Очень сильным представляется требование аксиомы 5 об обеспечении внешними по отношению АС средствами условий неизменности конфигурации субъектов АС, активизируемых до старта процедур контроля целостности. Действительно, невыполнение требований не позволит создать изолированную программную среду (ИПС), а как их реализовать, и что вообще понимается под такими средствами, нуждается в уточнении.

10 Компьютерные вирусы.

Поиск по сайту: