Антонюк А.О. Теоретичні основи захисту інформації

Подождите немного. Документ загружается.

цих обставин необхідно розглядати просторово-часове представлення

інформації. Проте постійні зміни матеріально-енергетичної форми інформації і

її просторо в о-часового представлення спричиняють за собою і зміну системи

відліку в будь-якій ІТС, що і дає можливість сформулювати цей наслідок.

Як відбувається обмін інформацією? На об'єктах прийому, обробки і

видачі інформації відбувається її перенесення в просторі і в часі. Таким чином,

інформація прояв ля єт ься у взаємод ії двох об'єктів : джер ел а і прийма ча

інформації. Проте дуальна схема «джерел о-приймач» мовчки виключає

важливу складову реального світу – реальний простір існування, без якого

неможливе існування ні процесу обміну, ні джерела, ні приймача. Тому для їх

опису необхідно використовувати схему у вигляді тріади «джерело –

середовище обміну інформацією – приймач інформації».

Якщо мати на увазі процеси обробки інформації з обмеженим доступом на

об'єктах ІТС, то можна виділити три взаємозв'язані середовища: протидія

технічним розвідкам, несанкціонований доступ і організаційно-технічні заходи.

Розглядаючи ці середовища з погляду безпеки інформації, неважко

помітити, що в будь-якому з них їй може бути завдано збитку.

Розглянемо простий процес обміну інформацією, записаною на деякому

носії.

Означення. Якщо інформація, не змінюючись, переноситься на інший

носій, додаючись до інформації, що є там, і не модиф ікуючи її, то говорять, що

має місце узагальнена операція читання (R

уо

Означення. Якщо інформація, не змінюючись, переноситься на інший

носій, модифікуючи інформацію, що є там, то говорять, що має місце

узагальнена операція запису (W

уо

Чому використовується слово узагальнена операція? Оскільки процес ЗІ

відбувається в трьох різних середовищах, то цілком природно, що операції

обміну можуть бути різними для кожного з середовищ. Тому таке узагальнення

зручно визначити за допомогою пон ять узагальнених операцій R

уо

і W

уо

Проте тут автоматично передбачалася наявність якогось способу передачі

інформації з одного носія на іншій, тобт о наявність канал у обміну інфор ма ц ією .

Очевидно, що в кожному з описаних середовищ є свої КО інформацією.

Означення. КО – це сукупність будь-яких засобів та заходів будь-якої

природи, які здатні забезпечити процес передачі інформації.

Як бачимо, в такому означенні не конкретизуються ни середовище

передачі інформації, ні способи забезпечення процесу її передачі.

Конкретизація КО призводить до визначення понять інформаційного потоку та

каналу витоку інформації.

Поняття КО настільки важливе, що за його допомогою доцільно

сформулювати наступну аксіому.

Аксіома 2. Обмін інформацією можливий тільки за наявності КО.

Ясно, якщо немає КО, то не немає ніякої можливості здійснити обмін

інформацією, а значит ь і немає мож л ив о с ті завда ти збитк у . Том у, зви ча йн о , в

реальному житті завжди вважається, що КО існують і саме внаслідок цього

виникають проблеми із захистом інформації, що перед ається КО. Тоді з аксіоми

витікає такий наслідок.

Наслідок 1. Обмін інфор м ац ії між об'єктам и ІТС за наявнос ті КО

можливий тільки при виконанні узагальнених операцій R

уо

і W

уо

Спираючись на наведені аксіоми та їх наслідки стає можливим більш

конкретно визначити ті властивості інформації, щ о підлягає захисту, які

характеризують її саме як предмет захисту. Тут слід згадати, що протягом

тривалого часу (60-80-ті роки) захисту ф актично підлягала не сама інформація,

а лише засоби її обробки. Це не було р езультатом відсутності розуміння

проблеми, а визначалося рівнем розвитку інформаційних технологій. Дійсно, на

тодішньому рівні розвитку обчислювальної техніки практично всі питання

безпеки інформації м ожна було вирішити за допомогою розмежуванн я доступу

до інформаційних об ’є кт ів, причому конкретні в л аст и в ос ті інформації, яку вони

містили, не були важливими. В подальшому стало зрозумілим, щ о захист

інформації полягає не лише в захисті з ас о бів обробки інформації, а в о рг ан іза ц ії

засобів захисту для підтримки певних властивостей інформації. Виявилося

також, що таки ми властивостями є конфіденційність, цілісність та доступність.

Отже, надамо, згідно з [1-4], означення цих властивосте й.

Означення. Конфіденційність (confidentiality) інформації – це

властивість інформації, яка полягає в том у, що вона не може бути доступною

для ознайомлення користувачам і/або процесам, які не мають на це

відповідних повноважень.

Означення. Цілісність (integrity) інф ор м ац ії – це властивість, яка полягає

в тому, що вона не може бути доступною для модифікації користувачам і/або

процесам, які не мають на це відповідних повноважень.

Цілісність інформації може бути фізичною і/або логічною.

По-перше, звернемо увагу на те, що два наданих означення відрізняються

лише одним терміном – «ознайомлення» і «модифікація». Це означає, що кож не

з означень «відповідає» за свій аспект поводження з інформацією – одне за

можливості якімось чином ознайомлення з інформацією, а др у ге – за

модифікацію або будь-які інші зміни інформації. Неважко наве сти при кл ад и ,

коли з інформацією лише знайомляться без її зміни (модифікації), і, навпаки,

коли інформацію модифікують, не цікавлячись її змістом (без ознайомлення).

По-друге, в даних означеннях констатується, що інфо р м ац ія може бут и

доступною для ознайомлен ня та модифікації як користувачам, так і процесам.

Дійсно, в сучасних інформаційних засобах є можливості поводження з

інформацією за допомого ю лише проц ес ів навіть без посередньої участі

користувачів.

Поняття цілісності застосовується не тільки для інформації, а і для

характеристики інших об’єктів, наприклад, може бути цілісність засобів

захисту інформації.

Означення. Доступність (availability) інформації – це властивість, яка

полягає в можливості її використання за вимогами користувача і/або процесу,

що мають відповідні повноваження.

Знову звертаємо увагу на незалежність даної властивості від попередніх – є

багато прикладів, коли можливість отримати інформацію є винятково

важливою, іноді навіть більш важливою, ніж забезпечення її конфіденційності

і/або ціл існ о ст і. З д ан о го означення також виникає, що викор истанн я

інформації за вимогам и користувача може реалізу в ат и ся , коли дост у п до неї

здійснюється в потрібний час, в потрібному місці і в потрібній формі.

Поняття доступності може використовуватися у більш широкому сенсі, а

саме, доступ ність – це властивість ресурсів си стеми (КС, послуги, об’єкта КС),

яка полягає в тому, щ о користувач і/або процес, який володіє відповідними

повноваженнями, може використовувати ресурси відповідно до встановлених

правил, не очікуючи довше заданого (малого) проміжку часу, причому вони

повинні знаходитися у необхідному вигляді, місці, і в той час, коли вони

необхідні.

Крім того, виявилося, що і самі процеси обробки інформації в захищених

ІТС повинні здійснюватися не випадково і хаотично, а під певним наглядом.

Отже, отримуємо ще одну властивість інформації – спостереженість.

Означення. Спостереженість (accountability) – це властивість КС, що

дозволяє фіксувати діяльність користувачів і процесів, використан ня об’єктів, а

також однозн ачно установлювати ідентиф ікатори причетни х до певних подій

користувачів і/або процесів.

Простіше кажучі, це властивість, яка полягає в тому, що процес обробки

інформації має безперерв н о знаходитися під контроле м органу, щ о керує

захистом.

Як бачимо, всі надані властивості є цілком незалежни м и , тобто жодну з

них не можна замінити якоюсь іншою або комбінацією інших. Це в багатьох

випадках при побудові деяких моделей надає можливість розглядати їх як базис

чотирьохвимірного простору.

В подальшому наведені властивості будемо називати фундаментальними

властивостями захищеної інформації.

Тепер, користуючись цими означеннями, аксіомами та їх наслідками,

неважко сформулювати основні завдання ЗІ: блокувати і контролювати всі

середовища з їх всілякими видами обміну інформацією, тобто R

уо

і W

уо

, що

можуть призвести до порушень наведених властивостей інформації.

Розглянемо цілі, які переслідують ЗЛ і СЗІ при обробці інформації з

обмеженим доступом на об'єкті ІТС. ЗЛ переслідує мету одержати деяку вигоду

за рахунок інформації ІТС, тобто зав дати їй збитку . Тому з п огляду ЗІ,

головними цілями діяльності ІТС є:

• виключення можливості ознайомлення ЗЛ з інформацією ІТС

обмеженого доступу, тобто збереження її конфіденційності;

• отримання правильного результату передачі або обробки своєї

інформації обмеженого доступу, тобто збереження її цілісності;

• отримання інформації в потрібний час, в потрібному місці і в потрібній

формі, тобто забезпечення її доступності.

Відзначимо, що в двох останніх випадках ЗЛ може завдати збитку ІТС

навіть якщо її інформація не буде мати обмеженого доступу.

ЗЛ має повністю протилежні цілі:

• ознайомитися з інформацією ІТС обмеженого доступу, тобто порушити

її конфіденційніс ть;

• порушити отримання правильного результату передачі або обробки

інформації ІТС об м еж е н ог о до ст у пу , т об то порушити її цілісність;

• не дати можливості одержати ІТС інформацію в потрібний час в

потрібному місці або формі, тобто порушити її доступність.

Для досягнення своєї мети ЗЛ може ініціювати несанкціоновані операції

уо

, W

уо

або порушити КО інформації. За результатом цього може відбутися

перенесення інформації від носія інформації ІТС до носія інформації ЗЛ і,

відповідно, навпаки, а також немож ливість отримання ІТС інформації в

потрібний час, в потрібному місці і в потрібній формі. Вищесказані міркування

дозволяють сформулювати наступну аксіому.

Аксіома 3. ЗЛ може завдати збитку ІТС або в результаті обміну

інформацією а бо в ре зу л ьт ат і по р у ш е нн я К О ін фо р м ац іє ю .

Означення. КО, за допомогою якого реалізовано будь-який збиток ІТС

і\або порушення хоча б одної із основних властивостей інформації ІТС,

називається каналом витоку інформації.

Наведені аксіоми, означення та їх наслідки явно або неявно

використовуються у подальшому в теоретичних дослідженнях різноманітних

питань безпеки інформації.

Проте, виявляється, що їх недоста тн ьо для бе зп о се ре дн ь ог о застосуван ня в

теоретичних дослідженнях, оскільки сфера п итань теорії інформаційної безпеки

дуже широка. Внаслідок ц ього доцільно скористати ся додатковими загальними

моделями, як це запропоновано в [41,68]. От же , нижче вводиться і в

подальшому досліджується декілька моделей, які розглядають питання теорії

безпеки інформації в КС від загальних положень до конкретних аспектів.

1. П ерш за все, зручно застосувати універсальний підхід, який являє собою

мовну модель, що дозволяє описувати всі поняття та терміни взагалі і говорити

про інформацію як про дискретну систему об'єктів.

2. Наступною також універсальною структурою слід вважати ієрархічну

модель, яка активно використовується при дослідженні будь-яких систем.

Зокрема, вона дозволяє виділити зі всієї множини систем певну підмножину

систем (зокрема, КС), для яких характерною є можливість здійснювати

декомпозицію на взаємозалежні частини або рівні. Тобто має місце певна

конкретизація предмету дослідження, оскільки, як виявляється, сам е системи

захисту інформації відрізняються такою характеристикою.

3. Д алі, рухаючись шляхом конкретизації предмету дослідження, виділимо

підмножину систем, для яких можна застосувати об’єктно-суб’єктні уявлення.

Це уявлення, на яких базується більшість сучасних моделей комп’ютерної

безпеки, тобто практично завжди розглядається модель будь-якої КС у вигляді

кінцевої множ ини елементів, які зазвичай називають об’єктами, і яка містить

підмножину більш активних об’єктів – суб’єктів.

4. Нарешті, безпосередньо звертаючись до питань безпеки інформації,

визначимо та дослідимо цілу низку понять, моделі яких, з одного боку, є

предметом окремого дослідження, а з іншого, дозволяють визначити основні

аспекти інформаційної безпеки. Серед таких моделей виділимо наступні:

• моделі інформаційного потоку, які дозволяють описувати та

аналізувати найважливіші властивості захищеної інформації, а також визначити

таке важливе поняття як загрози інформації;

• моделі цінності інформації, які дозволяють вирішувати основне

питання, що треба і що не треба захищати;

• моделі ризику, на основі яких вирішується питання – як захищати

інформацію аб о ширше – будувати систему захисту інформації чи ні;

• процеси доступу суб’єктів до об’єктів, моделі яких дозволяють

фактично описувати процеси функціонування системи захи с ту ін ф ор м а ції К С ;

• політика безпеки, що фіксує правила та обмеження, за якими

функціонує захищена КС.

Розглянемо більш детально кожну з наведених моделей.

2.3. Мова, об’єкти, суб’єкти

Комп’ютерна безпека охоплює надзвичай велику сферу діяльності людини.

Це означає, що усю сферу слід певним чином структурувати для полегшення її

дослідження.

Першим кроком в цьому напрямку вважатимемо застосування наступного

універсального і розповсюдженого підходу. Йдеться про мовну модель, що

дозволяє описувати всі поняття та говорити про інформацію як про певну

дискретну систему об'єктів.

Отже, нехай кінцева множина різних (неоднакових) використовуваних

символів А – алфавіт, А – множина слів кінцевої довжини в алфавіті А. Слово –

це будь-яка множина символів з алфавіту А. З А за допомогою певних правил

виділяється підмножина М слів, що називається правил ьним и, котра і

називається мовою, М⊆А. Питання побудови власне мови М та його

властивостей не є суттєвими для даного розгляду і тут не розглядаються.

Проте неважко визначити наступну очевидну універсальну властивість

мови. Дійсно, якщо М

– мова опису однієї інформації, М

– іншої, то можна

говорити про мову М, що поєднує М

і М

, яка опису є ту чи іншу інформ ац ію .

Тоді М

і М

є підмовами М, М

,М

⊆М і М=М

∪М

Вважаємо далі, що будь-яка інформація може бути представлена у вигляді

слова в деякій мові М. Крім того , мо ж н а вва ж ат и , що стан буд ь-якого пристрою

в КС також може бути описаний словом з деякої мови. Ці важливі припущення

дозволяють зробити наступн ий висновок – можна ототожнювати слова і стани

пристроїв і механізмів обчислювальної системи чи довільної КС і подальший

аналіз вести в термінах деякої мови. Скориставшись цими припущеннями,

введемо ряд означень, необхідних для подальшого розгляду формальної теорії

комп’ютерних систем.

Означення. Об'єктом відносно мови М (чи просто об'єк том , коли з

контексту однозначн о визначена мова) називається довільна кінц ева множина

слів мови М.

Приклад. Довільний файл у комп'ютері є об'єктом. У будь-який момент у

файл може бути записане одне слово з кінцевої множини слів мови М , у

деякому алфавіті А, що відбиває вміст інформації, що зберігається у файлі.

Приклад. Принтер комп'ютера – об'єкт. Існує якась (можливо, досить

складна) мова, що описує прин тер і його стани в до вільний момент часу.

Множина припустимих описів станів принтера є кінцевою підмножиною слів у

цій мові. Саме ця кінцева множина і визначає принтер як об'єкт.

Поняття об’єкта для різних КС може відрізнятися. Наприклад, для СКБД в

якості об’єкта мож на розглядати запи си БД, а для операційної системи –

процеси, файли, сектори дисків, сегменти і т.і. Об’єкти відрізняються одне від

одного логічним представленням (зміст, семантика, значення) та фізичним

(форма, синтакси с). Для кожного об ’єкт а визначимо множин у слів, що його

описують. Під станом об’єкта будемо розуміти виділене слово з цієї множини.

Стан характеризується атрибутами та поведінкою, що визначає способі зміни

стану.

Вважаємо, що КС являє собою сукупність об’єктів.

Означення. Функціонально узгоджена група об’єктів називаться

компонентою КС.

У різних ситуаціях буде уточнюватися опис КС. Однак завжди буде

існувати певна зага л ьн а дл я всіх К С в л ас ти в ість . Ц я за гал ь на вл а сти в іст ь

полягає в тому, що стан кожної КС характеризується деякою множиною

об'єктів, яка передбачається кінцевою.

Далі для опису динаміки поведінки КС введемо час наступним чином.

Оскільки зміна станів об’єктів та всієї КС відбувається дискретно, то

зручно ввести дискретний час та вести мову про відповідність множини стан ів

системи ряду натуральних чисел (для зручності починаємо відлік з нульового

моменту часу), тобто вважатимемо, що дискретний час t приймає значення з

множини N

={0,1,2,…}, t∈N

. Очевидно, що в сен сі реального часу проміжки

між подіями в КС можуть бути різної протяжності.

Нехай далі всю інформацію про КС в будь-який момент часу можна

представити у вигляді набору станів скінченої множини об’єктів, тобто стан К С

– це набір станів об’єктів. Під час роботи системи об’єкти як видозмінюються,

так і створюються та зни щую ться, тому слід розглядати множину об’єктів в

конкретний момент часу t. Позначимо її О

, причому, як вище відзначалося,

∞<

, ∀t∈N

При розгляді такого фундаментального поняття як інформація (чи дані)

особливо важливою є можливість опису перетворень інформації.

Означення. Перетворення інформації має місце, якщо існує відповідність

між множиною слів М

, що опис ують вхідні да н і, і деякою іншою множ и но ю

слів М

(вихідні дані), М

,М

⊆М, тобто існує відпо від н ість (не обов’яз ко в о

взаємно однозначна) М

↔М

Ясно, що сам опис перетворення даних також є мно ж и н о ю слів.

Прикладами об'єктів, що описують перетворення даних, є програми для ЕОМ.

Неважко помітити, що кожне перетворення інформації повинно:

а) зберігатися;

б) діяти.

У випадку а) мова йде про збереження опису перетворення в деякому

об'єкті (наприклад, у файлі). У цьому випадку саме перетворення нічим не

відрізняється від інших даних. У випадку ж б) опис програми повинен

взаємодіяти з іншими ресурсами КС – пам'яттю, процесором, комунікаціями та

ін., що також описуються деякими словами.

Означення. Ресурси КС, що виділені для дії перетворення, називаються

доменом.

Однак для здійснення перетворення одних даних в інші, крім домену,

необхідно передати цьому перетворенню особливий статус у системі, при

якому ресурси КС почнуть здійснювати перетворення. Цей статус будемо

називати «керування». Тут будемо мати на увазі, щ о з контексту при розгляді

будь-якої КС завжди повинно бути ясно, що значить передати керування

перетворенню.

Означення. Перетворення, якому передане керування, називається

процесом.

З наданих означень виникає, що процес може знаходитися в двох станах:

пасивному (у формі опису перетворення інформації) і активному (у формі пари

(домен, процес)). В якості прикладу м ож на навести виконуван ий файл: в

пасивному стані це лише набір символів (кодів), а в активному – здійснює

перетворення інформації.

Під пасивним об’єктом або просто об’єктом, в загальному випадку будемо

розуміти певні дані. Такий об’єкт може знаходитися лише в пасивному стані.

Як було відзначено раніше, активність означає можливість виконання

певних операцій одних об’єктів над іншими. Досі було визначено, що такою

можливістю (можливістю активізації) володіють лише об’єкти типу процеси.

Визначимо ще один тип активних об’єктів – користувачів.

Означення. Користувач – це об’єкт, який є активізованим в будь -який

момент часу (за означенням).