Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
51
21
SOS
wr
!!←!→!
Тобто суб'єкт S
2
записує дані в об'єкт О, а потім S
1
зчитує їх. Тут S
2
–
джерело, а S
1
– одержувач інформації. М ожна говорити про передачу
інформації, що до зв о л яє ре ал ізу в а ти ін фо р м ац ій н и й по т ік.
Звернемо увагу на те, що напрям доступу зовсім не повинен співпадати з
напрямом інформаційного пртоку.
Тепер можна сформулювати наступне означення.
Означення. Потоком інформації між об’єктами О
i
і О
j
назвемо довільну
операцію над об’єктом О
j
, щ о реа ліз у єть ся суб’єктом S
k
, яки й має доступ до
об’єктів О
i
та О
j
.
В цьому досить загальному означенні підкреслюється як необхідна участь
трьох суттєвостей при реалізації потоку, так і їх повна незалежність – об’єкт-
передавач, об’єкт-приймач і активна суттєвість – суб’єкт, що ініціював цю
операцію. Звичайно, таке означення не враховує ще одну необхідну складову
процесу передачі інформації – середовище.
З точки зору ЗІ, канали та інформаційні потоки можуть бути законними
або незаконними. Останні створюють витік інформації і, ти м самим,
порушують конфіденційність та цілісність даних.
Таким чином, враховуючи наведені вище властивості захищеної
інформації, можна говорити про нез ако н н и й (несанкціонов а ни й ) канал
ознайомлення (пор уш е ння конфіденційно сті) з інформацією, незаконний
(несанкціонований) к ана л модифікації (порушення цілісності) інформації,
незаконний (несанкціонований) канал спостереження за процесами обробки
інформації, зако нн и й аб о ле га ль н и й к ан ал доступу.
Розглядаючи канали передачі інформаційних потоків, можна залучити
теорію інформації для обчислення кількості інформації в потоці і пропускної
здатності каналу. Якщо незаконний канал не можна цілком п ерекри ти, то
частка кількості інформації в об'єкті, що витікає по цьому каналі, служи ть
мірою небезпеки цього каналу. В оцінках якості ЗІ іноді використовується
граничне значення для припустимої пропускної здатності незаконних каналів.
52
У загальному виді для об'єктів X в одному стані і Y в іншому можна
визначити інформаційний потік, щ о дозволяє за спостереженням Y довідатися
дещо про зміст X.
Іншим підходом до характеристики інформативності кан алу витоку є
наступний. Якщо Х = (Х
1
,..., Х
n
) – вхідні (цінні) змінні системи, а Y = (Y
1
,..., Y
m
) –
вихідні, то I(X
i
,Y) – кількість інформації про X
i
в потоці Х → Y, який фор м у єть ся
і ініц ію єт ься систе мо ю. То д і в якості показ н ик а «ви то ку » інфо р м ац ії (цінн о ї)
про X
i
, за допомогою та ко го п о то к у м о ж е в ис ту п ат и від н о ш ен н я I(X
i
,Y)/H(X
i
),
тобто та доля інформац ії, що характеризу є саме X
i
. Якщо таку вел ич и ну
«витоку» характеризувати певним порогом λ > 0 для кожного і = 1,...,n, то зі
співвідношення I(X
i
,Y)/H(X
i
) > λ виникає необхідність організації захисту, тобто
заходів щодо «перекриття» такого каналу «витоку».
Серед каналів витоку звернемо увагу на так звані приховані канали.
Прихований канал витоку інформації або просто канал витоку – це спосіб
отримання інформації за рахунок використання шляхів передачі інформації, які
присутні в ІТС, але не керуються або не спостерігаються СЗІ. Приховані канали
витоку характеризують ситуацію, коли або проектувальники не змогли
попередити НСД, або СЗІ не в змозі розглядати такий доступ як заборонений.
Канали витоку інформації вважаються неприятливими, якщо вон и
виникають внаслідок реалізації легального або нелегального доступу
користувачів і/або процесів до об’єктів ІТС з захищеною інф ормацією. Канали
такого типу можуть виникнути, якщо доступ реалізується суб’єктами, які не
мають на це повноважень. Як правило, приховані канали є несприятливими.
Найбільш розповсюдженими каналами витоку слід вважати канали за
пам’яттю і часові канали.
Канал за пам’яттю реалізується шляхом прямого або непрямого запису
інформації в певн у область пам’яті о дн и м процесом і пр ям и м або н еп р я ми м
читанням даної області іншим процесом. Графічно канал за пам’яттю можна
зобразити наступним чином
53
2
),(
1
UOSU
wrexer
!!←!→!!! →!
,
тобто користувач U
1
активізує процес S, який мож е о тр и м ат и д о ст уп н а
читання (r) до спільного з користувачем U
2
ресурсу О , пр и чо м у U
2
має доступ
на запис (w) в О, а U
1
може читати (r) від S.
Приклад. Від U
2
в каталог О записано імена файлів. Навіть якщо U
1
,
активізуючи проц ес S, не має доступ у до самих файлів, він має ін ф ор м ац ію про
файлову систему користувача U
2
, а це уже витік інформац ії. Отже , маємо канал
витоку інформації: або конкретний файл є або його немає – 1 біт. Захист проти
витоку інформації за таким каналом може базуватися на виборі правильної
політики безпеки, а також на можливостях контролю інформаційних потоків та
виводу інформації.
Іншим каналом за пам’яттю є канал типу «збир ання сміття», тобто коли
виток інформації здійснюється ш ляхом з’йому залишків інформації в об’єктах
після роботи користувача або процесу. Захист забезпечується очищенням
об'єкта після роботи або перед її початком, а також за допомо гою ши фру ванн я
інформації, що міс ти ть ся в об 'єк тах [41].
Часовий канал витоку – це канал, що дозволяє передавати інформацію від
одного процесу до іншого шляхом модуляції першим процесом деяких часових
характеристик ІТС, які можуть спостерігатися іншим процесом. Графічно
часовий канал можна зобразити наступною схемою
2
),(
1
USSSU
w
ц
w
m
rexer
!!←!!←!→!!! →!
,
де U
1
– зловмисник;
U
2
– користувач, що працює з конфіденційною інформацією;
S
ц
– суб’єкт, з яким оперує користувач U
2
, отже, інформа ція п ро н ь ог о є
цікавою для зловмисника U
1
;
S
m
– суб’єкт, процес якого модулюється інформацією проц есу S
ц
;
S – процес від імені користувача U
1
, що дозвол яє спосте ріг ат и за процесом
S
m
.
54
Пропускна здатність часового каналу визначається тією долею цінної
інформації п ро процес S
ц
, яку можна отримати шляхом модуляції процесу S
m
.
Неважко помітити, що часові канали витоку є набагато менш інформативними
порівняно з іншими каналами витоку.
Приклад. Перехоплення інформації в каналі зв’язку є прикладом часового
каналу витоку. Т ут реалізується безпосередній (н авіть без модуляції) доступ до
процесу обробки (передачі) цінної інформації. Захистом від таких каналів є
криптографічні засоби.
Побічні канали витоку по випромінюванню, живленню або акустиці є
також часовими каналами витоку. Тут захист досягається за допомогою
екранування, зашумлення, фільтрації.
Крім застосованих раніше схем графічного зображення каналів витоку, за
допомогою апарату математичної логіки можливе їх більш складне формальне
моделювання. Однак слід зазначити те, що будь-які канали витоку вимагають
відповідного і конкретного захисту.
2.6. Цінність інформації
Іншою важливою властивістю інформ ац ії є її цінн ість. Цінність інформ ації
можна оцінювати ступенем корисності її для користувача (власника,
отримувача і т.д.). Корисність інформації завжди конкретна – немає цінної
інформації взагалі – інформація корисна або ні для конкретн о го її корис ту в ач а,
тому при захисті інформації, перш за все, визначається коло суб’єктів (держав,
фірм, груп осіб, людей), що зацікавлені в інформації, яка захищається, оскільки
ймовірно, що серед них може бути ЗЛ.
Оскільки інформація має певний термін свого життя, то цінність її
змінюється з ч асом. Розповсюдження інформації та її в икор истання призводять
до змін її цінності, причому характер зміни з часом залежить від виду
інформації. Про те сл ід вв а ж ат и спр а ве дл и в и м загальне твердження: «З часом
цінність інформації зменшується».
Відоме, наприклад, наступне розділення інформації за рівнем важливості:
55
1. Ж иттєво важлива незамінна інформація, наявність якої необхідна для
функціонування організації, тобто без неї організація функціонувати не може;
2. Важлива інформація – інфо р м ац ія, яка може бути замінена аб о
відновлена, але процес відновлення дуже важкий і пов'язаний з великими
витратами;
3. Корисна інформація – інформація, яку важко відновити, проте
організація може ефективно функціонувати і без неї;
4. Неістотна інформація – інформація, яка більш е н е п о т ріб н а о р га ніз ац ії.
На практиці віднесення інформації до однієї з цих категорій може бути
дуже важкою задачею, оскільки одна і та ж інформація може бути
використаною багатьма підрозділами організації, кожний з яких може віднести
цю інформацію до різних категорій важливості.
Категорія важливості, як і цінність інформації, звичайно змінюється з
часом і залежить від ступеня відношення до неї різних груп споживачів і
потенційних порушників.
Наведені категорії важливості заслуговують уваги і можуть бути
застосовані до будь-якої інформації. Це також узгоджується з існуючим
принципом розподілу інформації за рівнями таємності [3].
Рівень таємності – це адміністративний або законодавчий захід, що
відповідає мірі відповідальності особи за витік або втрату конкретної таємної
інформації, що регламен ту єт ься спеціал ь ни м докум ен т ом , з урахува нн я м
державних, військово-стратегічних, комерційних, службових або приватних
інтересів. Такою інформацією може бути дер ж ав н а, військова, комер ц ій на ,
службова або особиста таємниця.
Проте практика показала, що захищати необхідно не тільки таємну
інформацію. Н ет ає мн а ін фо р м ац ія , під да на н ес ан кц іо н о ва ним змінам
(наприклад, мод иф ікац ії команд упра влінн я), може при вес ти до виток у або
втрати пов'язаної з нею таємної інформації, а також до невиконання КС заданих
функцій унаслідок отримання помилкових даних, які можуть не бути
знайденими користувачем системи. Як о ц ін ит и ін фо р м ац ію в т аки х в и п адк ах ?
56
Нехай інформація представлена у виді кінцевої множини елементів і
необхідно оцінити сумарну вартість у грошових одиницях з оцінок
компонентів. Оцінка може будуватися на основі експертних оцінок компонент,
і, якщо грошові оцінки об'єктивні, то сума дає досить точну величину. Однак,
кількісна оцінка компонентів не завжди є об'єктивною навіть при
кваліфікованій експертизі. Це пов'язано з неодн орідністю компонентів
інформації у цілому. Тому роблять єдину ієрархічну відносну шкалу (лінійний
порядок, що дозволяє порівнювати окремі компоненти за цінністю відносно
один одного). Єдина шкала означає рівність ціни всіх компонентів, що мають
одну і ту ж порядкову оцінку. Така модель називається адитивною.
Приклад. Нехай О
1
,...,О
n
– об'єкти, і визначена шкала 1<....<5. У результаті
експертних оцінок отримано наступний вектор відносних цінностей об'єктів
),...,,(
21 n
λλλ=λ
= (2, 1, 3,...., 4). Якщо більш менш точно відома ціна хоча б
одного з об'єктів в деяких умовних одиницях (уо), наприклад, C
1
=100 уо, то
обчислюється оцінка одного бала с
1
= С
1
/λ
1
= 50 уо, де λ
1
– число балів оцінки
першого об'єкта, і далі обчислюється ціна кожного наступного об'єкта за
формулою
ii
cС λ=
1
, тобто C
2
= 50 уо, C
3
= 150 уо і т.д. Тоді сума ви значає
вартість всієї інформації. І навпаки, якщо апріорно відома загальна ціна
інформації, то відносні оцінк и в порядк о вій шкал і дозв ол я ю ть обчис ли т и ціни
компонентів.
Проте далеко не завжди можливо і потрібно надавати грошову оцінку
інформації. Наприклад, оцінка особистої, політичної чи військової інформації
не завжди навіть є розумною і можливою в грошовому численні. Однак підхід,
пов'язаний з порівнянням цінності окремих інформаційних елементів між
собою, як і раніше, має сенс.
Приклад. При оцінці інформації в державних структурах широко
використовується порядкова шкала цінностей. Всі об'єкти (документи)
державної установи розбиваються за грифами таєм ності. Самі грифи таємності
автоматично утворюю ть лінійну порядкову ш калу: несекретно<для службового
57
користування<таємно<цілком таємно (НС<ДСК<Т<ЦТ), або в закордонних
системах: unclassified<confidential<secret<top secret (U<Conf<S<TS). Відразу
видно, що об’єкти з більш високим грифом мають більш високу цінність і тому
вимоги по їх захисту більш високі. В якості кр и те р ію для виз на че н ня грифа
таємності інформації можуть слугувати результати прогнозу наслідків
попадання інформації до конкурента або зловмисника:
• величина економічних і моральних витрат, які може отримати
організація;
• реальність створення передумов для катастрофічних наслідків в
діяльності організації (банкрутства і т.д.).
Узагальненням порядкової шкали є модель решітки цінностей, яка являє
собою формальну алгебру
),,,( ⊗⊕≤L
, де L – множина рівнів (множина
елементів) решітки,
≤
– бінарне відношення порядку для елементів цієї
множини,
⊕
,
⊗
– оператори, що визначають найменшу верхню та найбільшу
нижню границі множини L.
При цьому на L бінарне відношення
≤
має наступні властивості:
1) рефлексивність, тобто для
aaLa ≤∈∀ :
;
2) антисимметричність, тобто для
21122121
)(:, aaaaaaLaa =⇒≤∧≤∈∀
;
3) транзитивність, тобто для
313221321
)(:,, aaaaaaLaaa ≤⇒≤∧≤∈∀
.
Для будь-якої пари елементів
1
a
і
2
a
множини L завж ди можна вказати
единий елемент найменшої верхньої границі і един и й елемент найбільшої
нижньої границі . Ці елементи також належать (узагалі кажучи , можуть і не
належати) множині L і позначаються за допомогою операторів
⊕
і
⊗
відповідно:
)()(:,
212121
aaaaaaLaaaaaaa ≤
"
∨≤
"
⇒≤
"
∈
"
∀∧≤⇔=⊕
,
)()(:,
212121
aaaaaaLaaaaaaa ≤
"
⇒≤
"
∧≤
"
∈
"
∀∧≤⇔=⊗
.
Смисл цих означень полягає в тому, що для кожної пари елементів завж ди
можна вказати єдиний елемент, що обмежує її зверху або знизу таким чином,
58
що між ними і цим елементом не буде інших елементів.
В кінцевих решітках для всі х елементів L завжди існує верхній та нижній
елементи.
Означення. Кінцева лінійна решітка – це лінійно впорядкована множина,
внаслідок чого можна завжди вважати, що {0, 1,..., n} = L.
Або інакше можн а с ка за ти , що кінц ев а лінійна решітка є ізом о рф н о ю
кінцевій множині натуральних чисел.
Для більшості решіток, що зустрічаються в теорії захисту інформації, існує
представлення решіток у виді графа.
Приклад. Розглянемо кореневе дерево на вершинах з кінцевої множини
Х={Х
1
,Х
2
,…,Х
n
} з коренем у X
i
. Нехай на єдино м у ш л ях у , щ о з'є дн у є в е ршину X
i
з коренем, є в ерши на X
j
. Покл а дем о за визначен ня м , що Х
i
<Х
j
. Очев и дн о , що в
такий спосіб на дереві визначено частковий порядок. Крім того, для будь-якої
пари вершин X
i
і X
j
існує елемент Х
i
⊕Х
j
, що визначаєтьс я точкою злиття шляхів
з X
i
і X
j
у корінь. Проте така структура ще не є решіткою, тому що тут немає
нижньої грані. Виявляється, що від умови единості шляху в корінь можна
відмовитися, зберігаючи при цьому властивості часткового порядку та
існування в ер х н ьо ї грані. Напри кл ад , можна додати до побудован о го дерева
вершину L, з'єднав ш и з нею в сі кінцеві ве ршини. Покл а дем о i = l,...,n, L<X
j
. Для
інших вершин порядок визначається як раніше. Побудо ва н а структура вже є
решіткою.
Існують також різні узагальнення решітки цінностей. Одним з них є
решітка підмножин.
Приклад. Розглянемо довільну множ ину Х і будь-які її підмножини А і В,
тобто ∀A,В⊆Х . В и зн а чи м о час тк о ви й п о ря до к як А<В⇒А⊆В. Легко впевн и ти ся ,
що всі умови часткового порядку 1), 2), 3) виконуються. Кр ім того, оп ератори
⊕
і
⊗
визначимо так: A⊕B=А∪ В, А⊗В=А∩В. Отже, це решітка підмножин
множини X.
Приклад. Іншим узагальненням решітки цінностей є MLS решітка. Назва
походить від абревіатури MultiLevel Security і лежить в основі дер жав них
59
стандартів оцінки інформації. Решітка будується як прямий добу ток лінійної
решітки L і решітки підмножин множи ни X, тобто (
α
,
β
), (
α
',
β
') – елементи
добутку,
β
,
β
'∈L – лінійна решітка,
α
,
α
'⊆X – решітка підмножин деякої
множини X. Тоді (
α
,
β
)<(
α
',
β
')⇔
α
⊆
α
',
β
<
β
'.
Верхня і нижня границі визначаються в такий спосіб:
}),,max {,(),(),(
ββααβαβα
##
∪⇔
##
⊕
}).,mi n{,(),(),(
ββααβαβα
##
∩⇔
##
⊗
Вся інформація {об'єкти системи} відображається в точки решітки {(
α
,
β
)}.
Лінійний порядок, як прав и л о , указ у є гр иф тає мн о с ті. То чк и мн о ж и н и X
звичайно називають категоріями.
Властивості решітки в оцінці інформації істотно використовуються при
класифікації нових об'єктів, отриманих у результаті обчислень.
2.7. Використання поняття ризику
Інший підхід до оцінки цінності інформації використовує поняття ризику.
Виправданий ризик – необхідний атрибут у стратегії і тактиці захисту
інформації.
Однак у кожній ситуації, що пов’язана з ризи ком, постають зап итання: що
означає виправданий (допустимий) ризик? Де проходить межа, яка відділяє
допустимий ризик від нерозумного? Отже, якісний аналіз ризику є необхідним,
але не достатнім етапом. Важливо виявити йо го ступінь, причому слід оцінити
ймовірність того, що певна (несприятлива) подія має шанси відбутися, а тоді –
як це вплине на ситуацію (рішення).
Можна зробити наступний висновок: якщо малоймовірно, що відбудуться
несприятливі наслідки, то ризик малий; малий він і в тому разі, коли
ймовірність збитків велика, а самі по собі збитки малі.
Постає питання визначення ймовірності певної події. Вона може бути
визначена об’єктивним та суб’єктивним методом.
Об’єктивний метод визначення ймовірності ґрунтується на обчисленні
частоти, з якою в минулому відбувалась певна подія.
60
Суб’єктивний метод спирається на використання суб’єктивних оцінок та
критеріїв, які ґрунтуються н а різних припущеннях. До таких припущ ень
можуть бути віднесені міркування керівника (мене дж ера ), його власний досвід,
оцінка експерта, думка консультанта тощо.
Оцінюючи ризик, на практиці нерідко обмежуються спрощеними
підходами, спираються на один чи кілька головних показників (критеріїв)
параметрів, які являють собою найважливіші узагальнені характеристики у
даній конкретній ситуації.
У ряді випадків величину (ступінь) ризику визначають як ймовірність
настання небажаних наслідків, тобто просто W = р
н
, де р
н
– ймовірність
настання небажаних наслідків.
Такий підхід дозволяє використовувати поняття ймовірності перевищення
заданого рівня збитків, яка обчислюється за формулою W(x) = P(X ≥ x). Тоді
можна ввести три такі найважливіші базові показники ризику.
Показник допустимого ризику: W
др
= W(x
др
) = P(X ≥ x
др
), тобто W
др
– це
ймовірність того, що збитки виявляться більшими, ніж їх гранично допустимий
рівень х
др
.
Показник критичного ризику: W
кр
= W(x
кр
) = Р(Х ≥ х
кр
), тобто W
кр
– це
ймовірність того, що збитки виявляться більшими, ніж їх гранично допустимий
критичний рівень х
кр
.
Показник катастрофічного ризику: W
кт
= W(x
кт
) = Р(Х ≥ х
кт
), тобто W
кт
–
це ймовірність того, що збитки виявляться більшими, ніж їх гранично
допустимий катастрофічний рівень х
кт
.
Знання цих показників дає змогу виробити м іркування щодо м о жливості
прийняти рішення відносно здійснення певної інфо р ма ц ій но ї діяльності,
зокрема, захисту інформації.
В абсолютному вираженні ризик може визначатися спо діваною вели чино ю
можливих збитків, якщо збитки піддаються такому виміру.
Нехай у рамках адитивної моделі проведено облік вартості інформації в
системі. Оцінка можливих втрат мо же будуватися на осн ові отриманих