Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
41
Об’єкт-користувач активізується в процесі входження в систему або
інакше, фізичному корис ту в аче в і в КС відповідає деякий активн и й об’єкт , що
діє від його імені та володіє його повноваженнями. Фізичний користувач
сприймає об’єкти та отримує інформацію через інші об’єкти, якими він керує
і/або які відображують ін ф о рм а ц ію у зручному для нього вигляді. В мом ен т
проходження процедур ідентифікації, автентифікації та реєстрації об’єкт-
користувач активізує певну компоненту, що містить дані про ім’я, пароль і
повноваження фізичного користувача. Таким чином, користувач дійсно може
існувати лише в активно м у стані. Фактично він ств о рюється п ід час активізації
цієї компоненти (зазвичай, цілого ряду процесів), тобто початку сеансу, а
наприкінці сеансу знищується. З цього виникає, що в початковий момент часу в
КС має існувати принаймні один користувач, який повинен мати можливість
активізувати принаймні один процес. Реально він відповідає фізичній особі, яка
автентифікується певною інфор мацією, ініціює певні процеси та керує
об’єктами та процесами КС через її органи управління.
Таким чином, структуру множини об’єктів можна визначити так [11,41].
Вся множина об’єктів є об’єднанням трьох множин
0
, NtOPUO
ptttt
∈∀∪∪=
,
де U
t
– множина об’єктів-користувачів, P
t
– множина об’єктів-процесів,
O
pt
– множина пасивних об’єктів. Окремі об’єкти будуть позначатися
відповідними буквами з індексами або, коли це з контексту зрозуміло, без них.
Як раніше було сказано, часто [41] використовують розподіл за
властивістю активності множини об’єктів на дві підмножини – об’єкти (пасивні
суттєвості) та суб’єкти (активні суттєвості). Згідно до наведених вище
означень, суб’єкт – це суперпозиція об’єктів користувач та процес. Надалі для
скорочення та зручності часто бу де використовуватися поняття саме суб’єкту.
Тобто, якщо позначити множину суб’єктів S
t
, то
ttt
PUS ∪=
і S
t
⊆O
t
.
Властивість суб’єкту бути активним реалізується в можливості виконання
певних операцій одних об’єктів над іншими.
42
Суб'єкт S (або пара користувач, процес) для р еал ізації перетворення
використовує інформацію, що міститься в об'єкті О, тобто в та ки й спосіб
здійснює до ступ до об'єкта О. Це озна чає , що вон и мож у т ь обмін юватися
інформацією, тобто між ни м и виникає потік ін ф о р м ац ії. Більш детальн ий
розгляд властивостей потоку буде подано в наступному розділі.
Означення. Доступом суб’єкта S
i
до об’єкта О
j
називається процес
породження потоку інформації між ними.
Таке означення підкреслює те, що потік – це лише результат доступу.
Множину можливих доступів у системі позначатимемо R. Для зоб р аж е н ня
доступу використовується дводольний граф
j
p
k
OS !→!
, де р – підмножина
можливих доступів, р⊆R, тобто в даному випадку суб’єкт S
k
має р доступів до
об’єкта О
j
.
Розглянемо деякі приклади доступів.
Приклад. Доступ суб'єкта S
i
до об'єкта О
j
на читання (r) даних в об'єкті О
j
:
j
r
k
OS !→!
. При цьому дост уп і деякі дані зчитуються в об'єкті О
j
и
використовуються як параметри в суб'єкті S
i
.
Приклад. Доступ суб'єкта S
i
до об'єкта О
j
на запис (w) дани х в об'єкті О
j
:
j
w
k
OS !→!
. При ц ьо м у доступі деяк і дані процесу S
i
записуються в об'єкт О
j
.
Тут можливе стирання попередньої інформації.
Існує множина інших дос туп ів, деякі з них бу дуть визначені далі.
Користуючись теорією графів згідно до [41], а також згідно до попередніх
означень, розглянемо наступну цікаву інтерпретацію основної задачі захисту
інформації.
Нехай О
t
– множина об'єктів в момент t, t∈N
0
, 0
≤
t
≤
T, Т – проміжок часу
функціонування КС, S
t
– множина суб'єктів у момент t. На множині об'єктів О
t
як на вершинах, можна визначити орієнтований граф доступів G
t
у такий
43
спосіб: дуга
OS !→!
ρ
з міткою p⊆R належить G
t
тоді і тільки тоді, коли в
момент t суб'єкт S має множину доступів р до об'єкта О.
Примемо наступне важливе припущення, яке в подальшому буде
сформульоване у в игляді аксіоми. Вважатимемо, що безпека системи може
бути цілком забезпечена шляхом управління доступом суб’єктів до об’єктів.
Тоді з погляду ЗІ у процесі функціонування системи нас може цікавити
тільки множина графів доступів {G
t
}
t=1
T
. Поз на чи м о через
Ψ
={G} множину усіх
можливих графів доступів. Тоді
Ψ
можна розглядати як фазовий простір
системи, а будь-яка траєкторія у фазовому просторі
Ψ
відповідає
функціонуванню КС. У цих термінах зручно уявляти собі задачу ЗІ в
наступному загальному виді.
У фазовому просторі
Ψ
визначається множина можливих траєкторій Ф, щ о
відповідає множині графів доступів {G
t
}
t=1
T
. У свою чергу у Ф виділена деяка
підмножина Н несприятливих траєкторій чи ділянок таких траєкторій, яких
необхідно уникнути. Тобто підмножина Н характеризує можливість реалізації
доступів, щ о не належать {G
t
}
t=1
T
. Тоді задача ЗІ п ол я га є в т ом у , щоб будь-яка
реальна траєкторія обчислювального процесу у фазовому просторі з множини
Ф не потрапила в множину Н. Як правило, у будь-якій конкретній КС завжди
можна наділити реальним змістом компоненти множин
Ψ
, Ф і Н.
Чим може керувати служба ЗІ, щоб траєкторії обчислювального процесу не
вийшли в Н? Практи чн о таке керування можливо т ільки обмеженням на д ост уп
у кожен момент часу. Зрозуміло, що ці обмеження можуть залежати від усієї
передісторії процесу. Однак, у будь-якому випадку, службі захисту доступні
тільки локальні впливи. Тобто основна складність ЗІ полягатиме якраз в тому,
що, маючи можливість використовувати набір локальних обмежень на доступ у
кожен момент часу, необхідно ви рішити глобальну проблему недопущення
попадання будь-якої можливої траєкторії в несприятливу множину Н. При
цьому траєкторії множини Н навіть не обов'язково повинні визначатися
обмеженнями на доступи конкретних суб'єктів до конкретних об'єктів. Т ак,
44
можливо, що якщо в різні моменти обчислювального процесу суб'єкт S одержав
доступ до об'єктів О
1
і О
2
, то забор он е ни й доступ до об'єкта О
3
реально може
відбутися, тому що зі знання змісту об'єктів О
1
і O
2
можна вивести заборонену
інформацію, що м істи т ьс я в об'є кті O
3
, хоча прямої з або р о н и доступу до ньо го
не було. Очевидно, що наявність таких ситуацій суттєво ускладню є проблему
ЗІ.
Як правило виділення множини об’єктів та її підмножини суб’єктів
базується на властивості елемента «бути активн им» або «отри мати управління»
(застосовуються також терміни «викор ист ати ресурс и» або «кор ист ува тис я
обчислювальною потужністю»). Такий погляд історично склався на основі
моделі обчислювальної системи, що належить Дж. Нейману, відповідно до якої
послідовність виконуваних інструкцій (програма, що відповідає поняттю
«суб’єкт») знаходиться в єдино му середовищі з даним и (що відповідає поняттю
«об’єкт»). Може виникнути питання – завдяки чому саме об’єктно-суб’єктна
модель є такою розповсюдженою та популярною? Можна сформулювати деякі
чинники, які пояснюють та ілюструють великі можливості цієї моделі.
По-перше, кінцева множина об’єктів фактично відображує реальну
дискретну природу будь-яких інформаційних систем.
По-друге, завдяки можливості введення різноманітних механізмів
взаємодії між об’єктами вдається змістовно визначити такі основні поняття
захисту інформації як загроза, порушник, а також властивості захищеної
інформації і т.д.
По-третє, завдяки можливості визначення різноманітних правил взаємодії
між об’єктами виникає можливість створювати різноманітні системи безпеки і
досліджувати їх.
Виділимо основні положення об’єктно-суб’єктної моделі, на яких
базується більшість моделей безпеки:
1. Система є сукупністю взаємодіючих суттєвостей – суб’єктів та об’єктів.
Об’єкти можна інтуїтивно представляти у вигляді контейнерів, що містять
інформацію, а суб’єктами в в аж а ти програми (або користувачі), що виконуються
45
і взаєм о дію т ь з об’єктами різними способ ам и . Саме розподіл всіх суттєвостей
на суб’єкти та об’єкти є основною проблемою моделювання., оскільки самі
визначення понять суб’єкт та об’єкт в різних моделях можуть суттєво
розрізнятися.
2. Всі взаємодії в системі моделюються встановленням відношень певного
типу між суб’єктами та об’єктами. Множина типів відношень визначається у
вигляді наборів операцій, які суб’єкти можуть здійснювати над об’єктами. Для
виконання в захищеній системі операцій над об’єктами необхідна додаткова
інформація (і наявність об’єкта, щ о її містить) про дозв ол е ні і заборонені
операції суб’єктів над об’єктами.
3. Безпека системи забезпечується шляхом вирішення задачі управління
доступом суб’єктів до об’єктів відповідно до заданих правил та обмежень, які є
змістом політики безпеки. Тобто вважається, що система є безпечною, якщо
суб’єкти не мають можливості порушити прав ила пол ітики безпеки.
4. Задача управління доступом суб’єктів до об’єктів вирішується особою
компонентою системи – монітором взаємодій. Тобто всі операції
контролюються монітором взаєм одій і забороняються чи дозволяються
відповідно до заданих правил політики безпеки.
5. Політика безпеки задається у вигляді правил, відповідно до яких мають
виконуватися всі взаєм одії між суб’єктами та об’єктами. Взаємодії, що
призводять до порушень цих правил, припиню ються засобами контролю
доступу і не можуть здійснюватися.
6. Сукупність множин суб’єктів, об’єктів та відношень між ними
(встановлених взаємодій) визначають стан системи. Кожний стан системи є або
безпечним або небезпечним відповідно до обраного в моделі критерія безпеки.
7. О сновний елемент безпеки – це доказ твердження (теореми) про те, що
система, яка знаходиться в безпечному стані, не може перейти в небезп ечний
стан при виконанні певних правил та обмежен ь.
Будемо в подальшому вважати розподіл КС на суб’єкти і об’єкти
апріорним, причому в будь-якій КС множина суб’єктів не порожня. Вважаємо
46
також, що існує апріорний безпомилковий кри терій відмінності суб’єктів і
об’єктів в КС (за властивістю активності).
2.4. Ієрархічний метод
Ясно, що реалізація КС вимагає великого програмно-апаратного
комплексу, який треба спроектувати, створити, підтримувати в працездатному
стані. Складність цих систем така, що потрібна розробка спеціальної технології
проектування і створення таких систем. В даний час одним з основних
інструментів розв’яз ку задач аналізу, проектув ан н я , створен н я і підтримки в
робочому стані складних систем є ієрархічний метод.
В основі методу лежить розбивка системи на ряд рівнів, що пов'язані
односпрямованою функціональною залежністю. Відомі різні варіанти
формального і напівформального опису такої залежності. Однак повна
формалізація тут не вдається через широку загальність поняття «складна
система» і не однозначності розбивки на рівні. Проте, з метою розуміння цього
в декомпозиціях різної природи складних систем можна домовитися про певні
універсальні принципи опису ієрархічного методу.
Результатом застосування ієрархічного методу є ієрархічна модель, яка, з
точки зору теорії графів, представляє собою деревоподібну структуру, що
складається з множи н вузлів (сегментів) і дуг (гілок). Кож ний вузол – це набір
логічно взаємопов’язаних елементів даних, що описують конкретні об’єкти
предметної області. На найвищому рівні ієрархії є вузол, що не
підпорядковується жодному іншому – корінь дерева або корінний вузол.
Кожний вузол певного рівня залежить від попереднього і сам є породженим,
водночас він є первинним для породженого ним вузла.
Звичайно, ієрархічні структури мають як певні переваги, так і недоліки.
До переваг слід віднести
простішу форму представлення і велику
прозорість для ефективного відображення проблем. Крім того,
введення
ієрархії суттє во сп рощу є пр оцеси створення та функціонування системи.
Недарма той чи інший ступінь ієрархії спостер ігаєтьс я прак тичн о у всіх
складних природних системах.
47
Серед недоліків ієрархічних структур слід відзначити
жорстку
централізацію. Крім того, б
удь-яка ієрархія суттєво звужує можливості та
гнучкість системи. Елементи нижнього рівня обмежуються домінуванням
верхнього рівня, вони здатні впливати на це домінування лише частково та,
зазвичай, з певною затримкою.
Негативні наслідки ієрархії багато в чому долаються шляхом зменшення
жорсткості підпорядкування, можливістю самостійно реагувати на деякі дії
без жорсткої реглам ентації згори. П роте слід спец іально підкреслити, що всі
зазначені властивості ієрархічних структур притаманн і саме си стемам
захисту і саме для них використання ієрархічних структур стає
універсальним методом.
Певні загальні міркування щодо декомпозиції складних систем все ж
можна зробити. Дійсно, припустимо, що складна система
Σ
, яка ц іка в ит ь нас,
адекватно описана мовою М. Припустимо, що проводиться декомпозиція
(розкладання) мови М на сімейство мов D
1
, D
2
,...,D
n
, М =
n
i
i
D
1=
. Якщо мова
i
D
i=2,..,n синтаксично залежить тільки від словоф орм мо ви D
i-1
(це символічно
позначимо
)D(FD
ii 1−
=
), то будемо говорити, що вони утворять два сусідніх
рівні. Тоді система
Σ
може бути описана наборами слів B
1
,...,B
n
у мовах D
1
,
D
2
,...,D
n
(
ii
DB ∈
), причому так, що опис В
i
синтаксичн о залежатиме тільки від
набору В
i-1
. У цьому випадку будемо говорити про ієрархічну декомпозицію
системи
Σ
і рівнях декомпози ції B
1
,...,B
n
, де рівень В
i
безпосередньо залежить
від B
i-1
, щ о позначимо
)B(GB
ii 1−
=
. Такий загальний, і в багатьох випадках
досить умовний, розподіл, звичайно, за певни х обмеж ень, мож на зроби ти
практично для усіх сучасних складних систем.
Розглянемо найпростіші приклади ієрархічної побудови складних систем.
Приклад. Нехай вся інформація в системі розбита на два класи S (таємно –
secret) і TS (цілк ом таємно – top secret), що у цифровій формі можна позначати
0 і 1. Нехай усі користувачі розбиті у своїх можливостях допуску до інформації
48
на два класи, які також будемо позначати 0 і 1. Правило допуску до об’єкта
інформації X при запиті користувача Y визначається умовою : якщ о x клас
запитуваного об’єкта інформації X, а клас y користувача Y, то допуск до об’єкт а
інформації до зв о л ен и й тоді і тільки тоді, коли x=y. Ц ю умову фор м ал ь но можна
описати наступною формулою деякої мови (у даному випа дку – мови
програмуванняя) D
2
(набором слів B
2
– операторами деякої мови
програмування,
22
DB ∈
)
B
2
: if x=y then «допуск Y до X дозволено».
Для обчислення цього виразу необхідно здійснити наступні операції, що
описуються уже в термінах іншої мови (множин и формул) D
1
(набором слів B
1
– формул,
11
DB ∈
)
B
1
: x:=U
1
(X), y:=U
2
(Y), z:=x ⊕ y, U(X,Y,z),
де U
1
(X) – оператор визначення за іменем об'єкта інформації X номера
класу доступу х; U
2
(Y) – оператор визначення за іменем користувача Y номера
класу допуску у, ⊕ – додавання по mod 2, U(X,Y,z) – оператор, що реалізує
доступ Y до X якщо z=0, і блокує систему, якщо z=l.
Таким чином отримано, що рівень B
2
залежить від B
1
, тобто
)B(GB
12
=
, а
вся система представлена ієрархічною дворівневою декомпозицією з мовами D
1
і D
2
, причому
)D(FD
12
=
,"М=
21
DD
.
Приклад. Значно частіш е використов ується неформал ьний ієрархічний
опис систем. Наприклад, часто використовується ієрархічна декомпозиція
обчислювальної системи у виді трьох рівнів:
1) апаратна частина;
2) операційна система;
3) користувацькі програми.
Тут знову можна кожний рівень формально описати тільки своїми трьома
підмовами, кожна з яких синтаксично залежитиме від попередньої.
Приклад. Застосувати ієрархічну декомпозицію можна і для аналізу
систем захисту інформації. Дійсно, верхн ім рівнем ієрархії можн а вважати
49
політику безпеки (ПБ) зі своїми специфічними методами її аналізу. Н аступний
рівень – основні системи підтримки ПБ (мандатний контроль, аудит і т.д.).
Потім слідує рівень механізмів захисту (криптографічні протоколи,
криптографічні алгоритми, си стеми створення захищеного середовища,
системи оновлення ресурсів і т.д.), які дозволяють реалізувати системи
підтримки ПБ. Нарешті найнижчий рівень – реалізація механізмів захисту
(віртуальна пам'ять, захищ ені реж им и пр оце сор а і т.д.).
Механізми захисту достатньо повно описані в літературі, щ о аж ніяк не
можна сказати про верхні рівні. Проте використання саме верхніх рівнів
ієрархії дозволяє ввести основні поняття і моде лі ЗІ, визначення, що таке
«хороша» або «погана» системи захисту, описати доказовий підхід в побудові
систем захисту, що дозволяє говорити про гарантован о захищ ені ІТС.
2.5. Інформаційні потоки
При розгляді будь-яких систем необхідно ураховувати зв'язки (потоки)
між елементами та зовнішнім середовищем і елементами системи. Саме через
наявність потоків енергії, людей, речовини та інф ормації реалізуються
функції системи. Структуру будь-якої системи можна розглядати також як
множину обмежень на потоки в просторі та часі. З іншого боку, структура
системи ініціює потоки , спрямовую чи їх вздовж певних шляхів (каналів),
перетворює їх з певною затримкою в часі (час перетворення), в певних випадках
припускає регулювання та оберне ний з в'я зок.
Потік в ієрархічній системі може бути закріплений жорстко за певними
«каналами», межі яких в багатьох випадках важко визначити в чітких фізичних
термінах, однак вплив цих «каналів» може бути дуже реальним. Так, традиції
організації, норми поведінки та неписані правила утворюють такі «канали»,
тобто організаційна структура накладає обмеження на потоки та сприяє
ефективній роботі системи. В кожній структурі існує певна ієрархія потоків
(потоки між елементами, підсистемами, системою та зовнішнім середовищем).
Інформаційні по токи у складних ш тучних системах маю ть особливе
значення: по-перше, інформаційні потоки та інформаційні зв'язки в багатьох
50
випадках є домінуючими, визначальними в системі; по-друге, вони, зазвичай,
супроводжують і інші – матеріальні, енергетичні та людські – фактично ді ї цих
потоків фіксуються і у вигляді інформації.
Інформаційним потокам ставлять у відповідність п евного виду структурні
схеми (наприклад, діаграми по токів дан их та ін.), які мають певні спільні риси:
вказані джерела та споживачі інформації, об'єм, форми представлення,
напрямок передачі, місця і вид зберігання та ін. Ці структурні схеми (або
інформаційні моделі системи) використовуються для аналізу і мінімізації
потоків даних та зменшення їх об'єму, виявлення як дублювання інформації,
так і дублювання шляхів її передавання та ін.
Потужність речовинних і енергетичних зв'язків оцінюється порівняно
просто за інтенсивністю потоку речовини або енергії. Для інформаційних
зв'язків оцінкою потенційної потужності може служити її пропускна
спроможність, а реальної потужності – дійсна величина потоку інформації. Проте
в загальному випадку при оцінці потужнос ті інформаційних зв'язків необхідно
враховувати якісні характеристики переданої інформац ії (цінність, корисн ість,
точність і т.д.).
Структури інформаційних потоків є основою аналізу каналів витоку і
забезпечення конфіденційності, цілісності та доступнос ті інформації. Ці
структури спираються на теорію інформації і математичну теорію зв'язку.
Розглянемо найпростіші потоки.
Приклад. Нехай суб'єкт S здійснює до ступ на читання (r) до об'єкта О . У
цьому випадку говорять про інформаційний потік від О до S. Тут об'є кт О є
джерелом, а S – одержувачем інформації.
Приклад. Нехай суб'єкт S здійснює доступ на запис (w) д о об'єкта О. У
цьому випадку говорять про інформаційний потік від S до О . Тут об'єкт О є
одержувачем, а S – джерелом інформації.
З найпростіших потоків можна побудувати складні. Наприклад,
інформаційни й потік від суб'єкта S
2
до суб'єкта S
1
відбувається за наступною
схемою