Модели безопасности информационных потоков

Модели безопасности
информационных потоков
Автоматная модель безопасности
информационных потоков
Основные элементы
•
•
•
•
•
•
•
•
•
V – множество состояний системы;
U – множество пользователей;
M – множество
CC – множество команд пользователей, изменяющих матрицу
доступов;
VC – множество команд пользователей, изменяющих состояние;
𝐶 = 𝐶𝐶 ∪ 𝑉𝐶 – множество всех команд пользователей;
Out – множество выходных значений;
cvdo: 𝑈 × 𝐶 × 𝑉 × M → 𝑉 × 𝑀- функция переходов системы;
out: 𝑈 × 𝑉 → 𝑂𝑢𝑡 – функция выходов системы.
Основные элементы
• 𝑉 × 𝑀 – множество внутренних состояний автомата;
• 𝑈 × 𝐶 – входной алфавит;
• [ 𝑤 ] – последовательность состояний, полученная из начального состояния в
результате выполнения последовательности команд пользователей 𝑤;
• 𝑤 𝑠 – последовательность выходов, наблюдаемых пользователем s при
реализации последовательности состояний 𝑤 ;
• 𝑃𝐺 𝑤 - подпоследовательность последовательности 𝑤 , полученная из нее
удалением всех пар (s, c), где 𝑠 ∈ 𝐺;
• 𝑃𝐴 𝑤 - подпоследовательность последовательности 𝑤 , полученная из нее
удалением всех пар (s, c), где с ∈ 𝐴;
• 𝑃𝐺𝐴 (𝑤) - подпоследовательность последовательности 𝑤 , полученная из нее
удалением всех пар (s, c), где 𝑠 ∈ 𝐺, с ∈ 𝐴.
Где 𝐺 ⊂ 𝑈, 𝐴 ⊂ 𝐶
Программная модель контроля информационных
потоков
Основные элементы
• Q: 𝐷1 × ⋯ × 𝐷𝑛 → 𝐸 – программа, отображающая множество входных параметров в
множество выходных значений;
• M: 𝐷1 × ⋯ × 𝐷𝑛 → 𝐸 ∪ {𝑎𝑐𝑐𝑒𝑠𝑠_𝑑𝑒𝑛𝑖𝑒𝑑} – механизм защиты, где access_denied –
сообщение о нарушении защиты.
• I: 𝐷1 × ⋯ × 𝐷𝑛 → Ω – политика безопасности, где Ω – множество разрешений.
Для любого 𝑑1 , … , 𝑑𝑛 ∈ 𝐷1 × ⋯ × 𝐷𝑛 выполняется одно из условий:
• 𝑀 𝑑1 , … , 𝑑𝑛 = 𝑄 𝑑1 , … , 𝑑𝑛 ;
• 𝑀 = access_denied.
Контролирующий механизм защиты
Определение
Пусть каждая программа Q: 𝐷1 × ⋯ × 𝐷𝑛 → 𝐸 может быть представлена
схемой из четырех видов элементов:
• 𝑠𝑡𝑎𝑟𝑡 - начальный элемент;
• [𝑟 ← 𝑓(𝑤1 , … , 𝑤𝑛 )] – элемент присваивания;
• 𝑖𝑓 𝑔 𝑤1 , … , 𝑤𝑏 = 𝑡𝑟𝑢𝑒 𝑡ℎ𝑒𝑛 … 𝑒𝑙𝑠𝑒 … - элемент условия;
• 𝑠𝑡𝑜𝑝 - конечный элемент;
Пусть также:
• 𝑥1 , … , 𝑥𝑛 - входные параметры программы;
• 𝑦1 , … , 𝑦𝑛 - внутренние переменные программы;
∗
• 𝑣1∗ , … , 𝑣𝑛+𝑚
, 𝑧 ∗ , 𝑐 ∗ - множества символьных переменных.
Определение
Контролирующий механизм защиты для программы Q по отношению к политике
«допустить» 𝑖1 , … , 𝑖𝑘 - механизм защиты, полученный заменой (в зависимости от
вида) каждого элемента программы Q на следующие последовательности элементов:
• Начальный элемент
𝑠𝑡𝑎𝑟𝑡 ;
[𝑣1∗ ← {′ 𝑥1 ′}]; … [𝑣1∗ ← {′ 𝑥𝑛 ′}];
∗
∗
[𝑣𝑛+1
← ∅}]; … [𝑣𝑛+𝑚
← ∅}];
[𝑧 ∗
с∗
← ∅];
←∅;
• Элемент присваивания
∗
∗
∗
𝑣𝑗0
← 𝑣𝑗1
∪ ⋯ ∪ 𝑣𝑗𝑎
;
∗
∗
∗
𝑣𝑗0
← 𝑓(𝑣𝑗1
, … , 𝑣𝑗𝑎
);
• Элемент условия
∗
∗
𝑐 ∗ ← 𝑐 ∗ ∪ 𝑣𝑗1
∪ ⋯ ∪ 𝑣𝑗𝑏
;
𝑖𝑓 𝑔 𝑣𝑗1 , … , 𝑣𝑗𝑏 = 𝑡𝑟𝑢𝑒 𝑡ℎ𝑒𝑛 … 𝑒𝑙𝑠𝑒 …
• Конечный элемент
𝑐∗ ← 𝑐∗ ∪ 𝑧∗ ;
[𝑖𝑓 (𝑐 ∗
;
Теорема
Контролирующий механизм защиты программы Q: 𝐷1 × ⋯ × 𝐷𝑛 →
𝐸 по отношению к политике «допустить» 𝑖1 , … , 𝑖𝑘 является
эффективным.
Вероятностная модель безопасности
информационных потоков
Основная идея
В рассматриваемой вероятностной модели анализируются КС, в которых
реализована мандатная политика безопасности. В модели предполагается, что все
объекты (в том числе и субъекты) КС объединены по трем группам: объекты ∑,
реализующие систему защиты; объекты 𝐻 , обрабатывающие информацию
высокого уровня конфиденциальности; объекты 𝐿, обрабатывающие информацию
низкого уровня конфиденциальности. Все информационные потоки между 𝐻 и 𝐿
проходят через систему защиты ∑.
Пусть на множестве значений объектов системы задано вероятностное
распределение, т.е. 𝐻 и 𝐿 – случайные величины.
Согласно требованиям мандатной политики безопасности любые
информационные потоки от 𝐻 к 𝐿 запрещены. Однако в большинстве реальных
систем реализовать данное требование невозможно. В модели рассматриваются
ряд подходов к определению возможных информационных потоков между 𝐻 и 𝐿,
основанных на понятиях информационной невыводимости и информационного
невлияния.
Информационная невыводимость
Информационное невлияние
• КС соответствует требования информационного невлияния (без
учета времени) , когда для 𝑝 𝐻 > 0, 𝑝 𝐿 > 0 справедливо
равенство 𝑝 𝐿 𝐻 = 𝑝 𝐿 . При 𝑝 𝐻 > 0, 𝑝 𝐿 > 0
условие
определения равносильно условию 𝑝 𝐻 𝐿 = 𝑝 𝐻 .
• КС соответствует требованиям информационного невляиния (с
учетом времени), когда для 𝑝 𝐿𝑠 > 0, 𝑝 𝐿𝑡 > 0, 𝑝 𝐻𝑠 > 0 ,
выполняется условие
𝑝 𝐿𝑡 𝐻𝑠 , 𝐿𝑠 = 𝑝 𝐿𝑡 𝐿𝑠 ), 𝑠, 𝑡 = 0,1,2, … ; 𝑠 < 𝑡
Информационное невлияние
• Пусть
система
автоматной
модели
безопасности
информационных потоков представляется совокупностью
четырех собыстий с вероятностью {0, 1}: ℎ𝑖𝑔ℎ − 𝑖𝑛𝑡 , ℎ𝑖𝑔ℎ −
𝑜𝑢𝑡𝑡 , 𝑙𝑜𝑤 − 𝑖𝑛𝑡 , 𝑙𝑜𝑤 − 𝑜𝑢𝑡𝑡 для t = 0,1,2,…. Тогда система
автоматной
модели
соответствует
требованиям
информационного невлияния, когда выполняется условие
𝑝 𝑙𝑜𝑤 − 𝑜𝑢𝑡𝑡 ℎ𝑖𝑔ℎ − 𝑖𝑛𝑠 , 𝑙𝑜𝑤 − 𝑖𝑛𝑠 = 𝑝 𝑙𝑜𝑤 − 𝑜𝑢𝑡𝑡 𝑙𝑜𝑤 − 𝑖𝑛𝑠 ,
𝑠, 𝑡 = 0,1,2, … ; 𝑠 < 𝑡