ПУТИ СОЗДАНИЯ КСЗИ 3 страница
.
Субъект 
записывает данные в объект 
, а затем считывает их. Здесь – источник, а 
– получатель информации. Можно говорить о передаче информации, позволяющей реализовать поток. Каналы типа , которые используют общие ресурсы памяти, называются каналами по памяти.
С точки зрения защиты информации, каналы и информационные потоки бывают законными или незаконными. Незаконные информационные потоки создают утечку информации и, тем самым, могут нарушать секретность данных.
Рассматривая каналы передачи информационных потоков, можно привлечь теорию информации для вычисления количества информации в потоке и пропускной способности канала. Если незаконный канал нельзя полностью перекрыть, то доля количества информации в объекте, утекающая по этому каналу, служит мерой опасности этого канала. В оценках качества защиты информации американцы используют пороговое значение для допустимой пропускной способности незаконных каналов.
Будем считать, что всю информацию о вычислительной системе можно описать конечным множеством объектов (каждый объект – это конечное множество слов в некотором языке Я). В каждом объекте выделено состояние, а совокупность состояний объектов назовем состоянием системы. Функция системы – это последовательное преобразование информации в системе под действием команд. В результате, из состояния 
мы под действием команды 
перейдем в состояние 
, обозначается: 
. Если последовательность команд, то композиция преобразований информации обозначается также, т.е. означает переход из состояния в под действием последовательности команд (автоматная модель вычислительной системы).
В общем виде для объектов 
в и 
в определим информационный поток, позволяющий по наблюдению узнать содержание .
Предположим, что состояние и состояние – случайные величины с совместным распределением 
, где под 
понимается событие, что состояние объекта равно значению 
(аналогично в других случаях). Тогда можно определить: 
, 
, 
, энтропию 
, условную энтропию 
и среднюю взаимную информацию 
.
Определение. Выполнение команды в состоянии , переводящей состояние в , вызывает информационный поток от к (обозначается 
),если 
. Величина 
называется величиной потока информации от к .
Определение. Для объектов и существует информационный поток величины 
, если существуют состояния и , а также последовательность команд такие, что , .
Оценка максимального информационного потока определяется пропускной способностью канала связи и равна по величине
.
Рассмотрим дальнейшие примеры информационных потоков в вычислительных системах.
1. Рассмотрим операцию присвоения значения переменных 
.
Пусть - целочисленная случайная величина со значениями 
и – равновероятная мера на значениях . Тогда 
. После выполнения операции присвоения по полученной в состоянии величине однозначно восстанавливается , следовательно 
, т.к. рассмотренный канал – симметричный.
2. 
.
Выполнение этих команд вызывает непрямой (косвенный) поток информации 
, такой же величины как прямой поток 
.
Если 
– исходные (ценные) переменные системы (программы), а 
– выходные, то 
– количество информации о 
, в потоке, который индуцируется системой. Тогда отношение 
есть показатель "утечки" информации о . Если установить порог 
для "утечки", то из условия при каждом 
, следуют требования к защите .
ЦЕННОСТЬ ИНФОРМАЦИИ.
Чтобы защитить информацию, надо затратить силы и средства, а для этого надо знать какие потери мы могли бы понести. Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери. Для решения этих задач в информацию вводятся вспомогательные структуры – ценность информации. Рассмотрим примеры.
1 . Аддитивная модель. Пусть информация представлена в виде конечного множества элементов и необходимо оценить суммарную стоимость в денежных единицах из оценок компонент. Оценка строится на основе экспертных оценок компонент, и, если денежные оценки объективны, то сумма дает искомую величину. Однако, количественная оценка компонент не всегда объективна даже при квалифицированной экспертизе. Это связано с неоднородностью компонент в целом. Поэтому делают единую иерархическую относительную шкалу (линейный порядок, который позволяет сравнивать отдельные компоненты по ценности относительно друг друга). Единая шкала означает равенство цены всех компонент, имеющих одну и туже порядковую оценку.
Пример 1. Пусть 
– объекты, шкала представлена линейным порядком 
. Из оценок экспертов получен вектор относительных ценностей объектов 
. Если есть цена хотя бы одного объекта, например первого, 
, то вычисляется оценка одного балла 
, где 
– число баллов оценки первого объекта, и вычисляется цена каждого следующего объекта: 
, 
и т.д. Сумма дает стоимость всей информации. Если априорно известна цена информации, то относительные оценки в порядковой шкале позволяют вычислить цены компонент.
2. Анализ риска. Пусть в рамках аддитивной модели проведен учет стоимости информации в системе. Оценка возможных потерь строится на основе полученных стоимостей компонент, исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий, а потери подсчитываются как сумма математических ожиданий потерь для компонент по распределению возможных угроз.
Пример 2. Пусть – объекты, ценности которых 
. Предположим, что ущерб одному объекту не снижает цены других, и пусть вероятность нанесения ущерба объекту 
равна 
, функция потерь ущерба для объекта равна
Оценка потерь от реализации угроз объекту 
равна 
.
Исходя из сделанных предположений, потери в системе равны 
. Тогда ожидаемые потери(средний риск) равны: 
.
3. Порядковая шкала ценностей. Далеко не всегда возможно и нужно давать денежную оценку информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. Однако подход, связанный со сравнением ценности отдельных информационных элементов между собой, по-прежнему имеет смысл.
Пример 3. При оценке информации в государственных структурах используется порядковая шкала ценностей. Все объекты (документы) государственного учреждения разбиваются по грифам секретности. Сами грифы секретности образуют порядковую шкалу: «несекретно» < «для служебного пользования» < «секретно» < «совершенно секретно» (НС<ДСП<С<СС) или у американцев : «unclassified» < «confidential» < «secret» < «top secret» (U<Conf<S<TS). Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.
4. Модель решетки ценностей. Обобщением порядковой шкалы является модель решетки. Пусть дано 
– конечное частично упорядоченное множество относительно бинарного отношения 
, т.е. для каждых 
выполняются следующие условия
1) рефлексивность: 
;
2) транзитивность: 
;
3) антисимметричность: 
.
Определение. Для 
элемент 
называется наименьшей верхней границей (верхней гранью), если
1) 
;
2) 
для всех 
.
Элемент 
, вообще говоря, может не существовать. Если наименьшая верхняя граница существует, то из антисимметричности следует единственность.
Определение. Для элемент 
называется наибольшей нижней границей (нижней гранью), если
1) 
;
2) 
.
Эта граница также может не существовать. Если она существует, то из антисимметричности следует единственность.
Определение. Пара 
называется решеткой, если для любых существует 
и 
.
Определение. Конечная линейная решетка – это линейно упорядоченное множество.
Можно всегда считать конечной линейной решеткой множество 
.
Для большинства встречающихся в теории защиты информации решеток существует представление решетки в виде графа.
УГРОЗЫ ИНФОРМАЦИИ
Если информация представляет ценность, то необходимо понять, в каком смысле эту ценность необходимо оберегать.
Если ценность информации теряется при ее раскрытии, то говорят, что имеется опасность нарушения секретности информации.
Если ценность информации теряется при изменении или уничтожении информации, то говорят, что имеется опасность для целостности информации.
Если ценность информации в ее оперативном использовании, то говорят, что имеется опасность нарушения доступности информации.
Если ценность информации теряется при сбоях в системе, то говорят, что есть опасность потери устойчивости к ошибкам.
Как правило, рассматривают три опасности, которые надо предотвратить путем защиты: секретность, целостность, доступность. Хотя, как показывают примеры действий в боевых условиях, развитие сложных систем Hewlett-Packard, Tandem, практически добавляется четвертое направление: устойчивость к ошибкам.
Под угрозами подразумеваются пути реализации воздействий, которые считаются опасными. Например, угроза съема информации и перехвата излучения с дисплея ведет к потере секретности, угроза пожара ведет к нарушению целостности информации, угроза разрыва канала может реализовать опасность потерять доступность. Угроза сбоя электроэнергии может реализовать опасность неправильной оценки ситуации в системе управления и т.д.
Связь между видом опасности и возможной угрозой состоит в месте, времени и типе атаки, реализующей угрозу. Анализ опасности должен показать, где и когда появляется ценная информация, в каком месте системы эта информация может потерять ценность. Угроза характеризует способ нападения в. определенном месте и в определенный момент. Угроза реализуется через атаку в определенном месте и в определенное время.
УГРОЗЫ СЕКРЕТНОСТИ
Считается, что существует только два пути нарушения секретности:
· утрата контроля над системой защиты;
· каналы утечки информации.
Если система обеспечения защиты перестает адекватно функционировать, то, естественно, траектории вычислительного процесса могут пройти через состояние, когда осуществляется запрещенный доступ. Каналы утечки характеризуют ту ситуацию, когда либо проектировщики не смогли предупредить, либо система не в состоянии рассматривать такой доступ как запрещенный. Утрата управления системой защиты может быть реализована оперативными мерами и здесь играют существенную роль административные и кадровые методы защиты. Утрата контроля за защитой может возникнуть в критической ситуации, которая может быть создана стихийно или искусственно. Поэтому одной из главных опасностей для системы защиты является отсутствие устойчивости к ошибкам.
Утрата контроля может возникнуть за счет взлома защиты самой системы защиты. Противопоставить этому можно только создание защищенного домена для системы защиты.
Разумеется, в реальной жизни используются комбинации этих атак.
Большой спектр возможностей дают каналы утечки. Основной класс каналов утечки в электронных системах обмена данными – каналы по памяти (т.е. каналы, которые образуются за счет использования доступа к общим объектам системы). Графически канал по памяти можно изобразить следующим образом: 
.
Пример. В директорию внесены имена файлов. Хотя доступ к самим файлам для субъекта закрыт, доступ к директории возможен. Если субъект создал закрытые файлы, то информация о файловой структуре стала доступной . Произошла утечка части информации. В частности, существование или нет одного конкретного файла – 1 бит. Значит, в этом случае создан канал утечки одного бита из той информации, которая принадлежит .
Защитные механизмы основаны на правильном выборе политики безопасности.
Пример. Очень важным примером канала утечки по памяти является возможность статистического вывода в базах данных. Обычно в базах данных с ограниченным доступом функции вычисления статистик по закрытым данным являются общедоступными. Это создает ситуацию совместного использования закрытых ресурсов допущенными и незаконными пользователями. Как было показано ранее, канал связи от закрытой информации к незаконному пользователю может быть сильно зашумлен. Однако использование различных статистик и модификация запросов могут позволить отфильтровать информацию.
Защитные механизмы основаны на контроле возможностей вывода и контроле информационных потоков.
Следующий основной класс каналов утечки называется каналами по времени. Канал по времени является каналом, передающим противнику информацию о процессе, промодулированном ценной закрытой информацией. Графически канал по времени можно изобразить следующей схемой
где 
- злоумышленник; 
- пользователь, оперирующий ценной информацией; 
- субъект, информация о котором представляет интерес; 
- субъект, процесс которого модулируется информацией процесса ; 
- процесс от имени пользователя , позволяющий наблюдать процесс .
Функционирование канала утечки определяется той долей ценной информации о процессе , которая передается путем модуляции процессу .
Пример. Пусть процесс использует принтер для печатания результатов очередного цикла обработки информации. Процесс определяется работой принтера, который является общим ресурсом и с приоритетом у . Тогда процесс регулярно с заданной частотой посылает запрос на использование принтера и получает отказ, когда распечатывает очередную порцию информации. Тогда в единицах частоты запроса пользователь получает информацию о периодах обработки процессом ценной информации, то есть получаем канал утечки.
Защитные механизмы от таких каналов основаны на контроле информационных потоков в системе.
Пример. Перехват информации в канале связи является примером канала утечки по времени. Здесь реализуется непосредственный доступ к процессу обработки (передачи) ценной информации. Съем информации об этом процессе и накопление ее во времени восстанавливают переданную ценную информацию. Защита от этих каналов основана на использовании методов криптографии.
Пример . Побочные каналы утечки по излучению, питанию или акустике являются типичными каналами утечки по времени. Защитные механизмы основаны на экранировании, фильтрах и зашумлении.
УГРОЗЫ ЦЕЛОСТНОСТИ
Нарушения целостности информации – это незаконные уничтожение или модификация информации.
Традиционно защита целостности относится к категории организационных мер. Основным источником угроз целостности являются пожары и стихийные бедствия. К уничтожению и модификации могут привести также случайные и преднамеренные критические ситуации в системе, вирусы, «троянские кони» и т.д.
Язык описания угроз целостности в целом аналогичен языку угроз секретности. Однако в данном случаев место каналов утечки удобнее говорить о каналах воздействия на целостность (или о каналах разрушающего воздействия). По сути они аналогичны каналам утечки, если заменить доступ 
доступом 
.
Основой защиты целостности является своевременное регулярное копирование ценной информации.
Другой класс механизмов защиты целостности основан на идее помехозащищенного кодирования информации (введение избыточности в информацию) и составляет основу контроля целостности. Он основан на аутентификации, т.е. подтверждении подлинности, целостности информации. Подтверждение подлинности охраняет целостность интерфейса, а использование кодов аутентификации позволяют контролировать целостность файлов и сообщений. Введение избыточности в языки и формальное задание спецификации позволяет контролировать целостность программ.
Наконец, к механизмам контроля и защиты целостности информации следует отнести создание системной избыточности. Использование таких механизмов позволяет также решать задачи устойчивости к ошибкам и задачи защиты от нарушений доступности.
ПОЛИТИКА БЕЗОПАСНОСТИ
Иногда удается достичь общепринятого понимания оптимальности принимаемого решения и доказать его существование. Например, в математической статистике для проверки простой гипотезы против простой альтернативы всеми признано понятие оптимального решения, которое минимизирует ошибку второго рода, а также доказано существование такого критерия (лемма Неймана-Пирсона). Однако, когда решение многоальтернативное, то общепринятого понимания оптимальности не получается, а в тех случаях, когда рассматривается вопрос об оптимальном в каком-то смысле решении, то его существование, чаще всего, удается доказать лишь в частных задачах.
Подобная ситуация существует в задачах защиты информации, поскольку неоднозначно решение о том, что информация защищена. Кроме того, система защиты - не самоцель и должна нести подчиненную функцию по сравнению с главной целью вычислительного процесса. Приведем примеры, поясняющие эти утверждения.
Пример 1. Пусть два инженера ведут разработки двух приборов, которые требуют решения задач 
– первым и задач 
– вторым инженером. Предположим, что информация о решении каждой задачи собирается в отдельном файле 
и 
соответственно. Предположим, что среди множеств задач первого и второго инженеров есть одинаковые. К сожалению, обычный сотрудник службы безопасности, разрешающий или запрещающий доступ к файлам, не в состоянии решить, что в двух файлах накапливается информация по решению одной задачи. Рассмотрим различные варианты решения.
1. Если он разрешит доступ инженеров к файлам друг друга, то один из них, взяв информацию другого или свою, анонимно и поэтому безнаказанно, продаст эту информацию, так как нет персональной ответственности (невозможно установить, кто продал информацию из данного файла). При этом безнаказанность может стимулировать преступление.
2. Если он не разрешит доступ инженеров к файлам друг друга, то возникает опасность ущерба из-за недоступности информации (один нашел, а второй не нашел решение одной задачи; тогда вся задача второго инженера оказалась нерешенной, из-за чего возможен большой ущерб для фирмы, т.к. соответствующий прибор сделали конкуренты).
Очевидно, что в обоих случаях достигается снижение одной опасности за счет возрастания другой.
Результатом решения в приведенных примерах и других аналогичных задачах является выбор правил распределения и хранения информации, а также обращения с информацией, что и называется политикой безопасности. Соблюдение политики безопасности должно обеспечить выполнение того компромисса между альтернативами, который выбрали владельцы ценной информации для ее защиты. Ясно, что, являясь результатом компромисса, политика безопасности никогда не удовлетворит все стороны, участвующие во взаимодействии с защищаемой информацией. В тоже время выбор политики безопасности – это окончательное решение проблемы: что – хорошо и что – плохо в обращении с ценной информацией. После принятия такого решения можно строить защиту, то есть систему поддержки выполнения правил политики безопасности. Таким образом, построенная система защиты информации хорошая, если она надежно поддерживает выполнение правил политики безопасности. Наоборот, система защиты информации – плохая, если она ненадежно поддерживает политику безопасности.