Безопасность информационных потоков

Безопасность информационных потоков

Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.

Содержание

Информационный поток

Информационным потоком от объекта  O\ (источник) к объекту  O^\prime (приёмник) называется преобразование информации в объекте  O^\prime , зависящее от информации в объекте  O\ . Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).

Решаемые проблемы

Рассмотрим основные проблемы мандатного управления доступа, решаемые использованием модели безопасности информационных потоков - проблему деклассификации и наличия скрытого канала.

Деклассификация

Проблема состоит в том, что в некоторых случаях, объект может понизить свой уровень доступа не нарушая формальных правил. Если перед этим данный объект возьмет под свой контроль некоторую информацию, то таким образом он переведет данную информацию на более низкий уровень секретности. Фактически произошло прямое нарушение свойства * ("запрет записи вниз"), но формально все правила были соблюдены. Если напрямую запретить возможность создания информационных потоков между соответствующими объектами, то после деклассификации объект с информацией не сможет никому передать полученные данные, несмотря на наличие разрешающего мандата.

Скрытый канал

При анализе возможных информационных потоков необходимо составить полный список всех возможных потоков в системе. Поскольку скрытый канал для передачи данных обрабатывает информацию, то соответствующий информационный поток будет в этом списке. Если все потоки, которые потенциально могут вести к утечке информации будут запрещены, то скрытый канал будет неработоспособен.

Вероятностная модель безопасности информационных потоков

Ниже представлена одна из возможных систем, демонстрирующая основные идеи модели безопасности информационных потоков. В рассматриваемой модели объекты системы принадлежат трем группам:

  • Объекты, обрабатывающие информацию высокого уровня конфиденциальности  H\
  • Объекты, обрабатывающие информацию низкого уровня конфиденциальности  L\
  • Объекты системы защиты  \Sigma\

Все объекты из  \Sigma\ относятся к  H\ , поскольку они обеспечивают защиту, то они должны иметь доступ к информации высокого уровня конфиденциальности.

Обозначим  h\ мгновенное состояние всех объектов из  H\ в данный конкретный момент. Поскольку возможное количество состояний конечно, то есть возможность пронумеровать их, после чего возможно оценить вероятность возникновения того или иного состояния объектов. Обозначим вероятность возникновения любого конкретного состояния  p(H)\ . Аналогичную вероятность для объектов, обрабатывающих информацию низкого уровня конфиденциальности, обозначим  p(L)\ .

Информационная невыводимость

Компьютерная система соответствует требованиям информационной невыводимости, если для  p(H)>0\ и  p(L)>0\ , справедливо неравенство  p(H|L)>0\ .

Сформулировать данное требование можно так: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние  H\ , и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние  L\ , то есть и вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в свое состояние.

Покажем справедливость данного требования. Пусть верно обратное, тогда при выполнении  p(H)>0\ и  p(L)>0\ , справедливо равенство  p(H|L)=0\ . Это означает, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не могут перейти в состояние  H\ после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в состояние  L\ . Таким образом, зная, что текущее состояние объектов  L\ можно сделать вывод о том, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не перейдут в состояние  H\ , таким образом получив некоторую информацию о состоянии объектов, обрабатывающих информацию высокого уровня конфиденциальности, что недопустимо.

Информационное невлияние

Компьютерная система соответствует требованиям информационного невлияния (без учета времени), если для  p(H)>0\ и  p(L)>0\ , справедливо равенство  p(L|H)=p(L)\ .

Данное требование можно сформулировать следующим образом: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние  H\ , и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние  L\ , то вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние не зависит от того, перейдут ли объекты, обрабатывающие информацию низкого уровня конфиденциальности перейдут в свое состояние, или нет.

Данное требование более сильное, чем требование информационной невыводимости - выполнение требования информационного невлияния, автоматически влечет выполнения требования информационной невыводимости.

Требование информационного невлияния (с учетом времени), является более общим, и указывает на то, что некоторые влияние одной части системы на другую возможно. Например, если ведется журнал доступа (объект, обрабатывающий информацию высокого уровня конфиденциальности), то обращение к некоторому файлу будет зафиксировано в данном журнале, а следовательно будет изменено состояние  H\ , путем изменения состояния  L\ . Требование информационного невлияния (с учетом времени) позволяет не отказываться от использования журнала (и прочих средств защиты).

Литература

  • Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Изд. центр «Академия», 2005. — С. 55—66. — ISBN 5-7695-2053-1



Wikimedia Foundation. 2010.

Нужна курсовая?

Полезное


Смотреть что такое "Безопасность информационных потоков" в других словарях:

  • ГОСТ Р ИСО/МЭК 18028-1-2008: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности — Терминология ГОСТ Р ИСО/МЭК 18028 1 2008: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности оригинал документа: 3.3 аудит (audit):… …   Словарь-справочник терминов нормативно-технической документации

  • Информационная безопасность — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей …   Википедия

  • Компьютерная безопасность — Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение …   Википедия

  • Информационно-психологическая безопасность — Эта статья предлагается к удалению. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/1 октября 2012. Пока процесс обсуждения не завершён, статью можно попытаться улучшить, однако следует… …   Википедия

  • Психофизическая безопасность — Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности Российской Федерации в сфере обороны, являются[1]: ... диверсионно подрывная деятельность специальных служб иностранных государств,… …   Википедия

  • ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции — Терминология ГОСТ Р ИСО/МЭК 27033 1 2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции оригинал документа: 3.2 архитектура (architecture): Базовая организация системы,… …   Словарь-справочник терминов нормативно-технической документации

  • Инфраструктура — (Infrastructure) Инфраструктура это комплекс взаимосвязанных обслуживающих структур или объектов Транспортная, социальная, дорожная, рыночная, инновационная инфраструктуры, их развитие и элементы Содержание >>>>>>>> …   Энциклопедия инвестора

  • анализ — 3.8.7 анализ (review): Деятельность, предпринимаемая для установления пригодности, адекватности и результативности (3.2.14) рассматриваемого объекта для достижения установленных целей. Примечание Анализ может также включать определение… …   Словарь-справочник терминов нормативно-технической документации

  • система — 4.48 система (system): Комбинация взаимодействующих элементов, организованных для достижения одной или нескольких поставленных целей. Примечание 1 Система может рассматриваться как продукт или предоставляемые им услуги. Примечание 2 На практике… …   Словарь-справочник терминов нормативно-технической документации

  • Защита компьютерной сети — Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение …   Википедия


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»