8.1. Проблеми теорії захисту інформації
Незважаючи на те що технологія захисту інформаційних систем почала розвиватися відносно недавно, сьогодні вже існує досить багато теоретичних моделей, за допомогою яких можна описати практично всі аспекти безпеки і забезпечувати засоби захисту формально підтвердженою алгоритмічною базою [58].
Побудова моделей захисту й аналіз їхніх властивостей становлять предмет теорії ІБ, що тільки оформлюється як самостійний науково практичний напрямок. Як природнича дисципліна теорія інформаційної безпеки поступово еволюціонує в напрямку формалізації і математизації своїх положень, вироблення єдиних комплексних підходів до розв'язання задач ЗІ. Однак на даний момент можна констатувати, що цей процес дуже далекий від завершення. Деякі підходи мають скоріше характер опису застосовуваних методів і механізмів захисту і являють собою їхнє механічне об'єднання. Крім того, у зв'язку з розвитком інформаційних технологій виникають нові завдання щодо забезпечення безпеки інформації, підходи до вирішення яких на початковому етапі майже завжди мають описовий характер.
Найхарактернішими особливостями теорії ІБ є:
• чітка практична спрямованість більшість положень, принаймні поки що, спочатку реалізуються у вигляді конкретних схем
і рекомендацій і тільки потім узагальнюються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій; сильна залежність теоретичних розробок від конкретних способів реалізації АС, що визначаються проектними програмними чи апаратними рішеннями конкретна реалізація тієї чи іншої АС визначає можливі види атак, а отже, ті чи інші захисні заходи;
багатоаспектність, тобто дослідження із широкого кола напрямків;
відсутність системонезалежних теоретичних положень, на ос нові яких можлива реалізація різних проектів АС.
У даний час виділяються два основні підходи до розгляду питань теорії ІБ: неформальний (або описовий) і чисто формальний.
Формальний підхід до розв'язання задач оцінки захищеності через труднощі, пов'язані з формалізацією, широкого практичного поширення поки що не набув. Справа в тому, що на практиці далеко не завжди вдається скористатися результатами цих досліджень, оскільки часто теорія захисту не узгоджується з реальним життям. Теоретичні дослідження у сфері захисту інформаційних систем мають поки що розрізнений характер і не утворюють загальної теорії безпеки. Всі існуючі теоретичні розробки грунтуються на різних підходах до проблеми, внаслідок чого запропоновані ними постановки задачі забезпечення безпеки і методи її розв'язання істотно відрізняються.
Найбільшого розвитку набули два формальні напрямки, кожний з яких ґрунтується на своєму баченні проблеми безпеки і націлений на вирішення певних завдань це формальне моделювання політики безпеки і криптографія. Причому ці різні за походженням і розв'язуваними задачами напрямки доповнюють один одного: криптографія може запропонувати конкретні методи захисту інформації у вигляді алгоритмів ідентифікації, автентифікацї, шифрування і контролю цілісності, а формальні моделі безпеки надають розробникам захищених систем основні принципи, що лежать в основі архітектури захищеної АС і визначають концепцію її побудови.
Нагадаємо [17], що під політикою безпеки розуміється сукупність норм і правил, які регламентують процес обробки інформації, виконання яких забезпечує захист від певної множини загроз і становить необхідну (а іноді й достатню) умову безпеки системи. Формальне вираження політики безпеки називають моделлю політики безпеки.
Складання формальних моделей потребує істотних витрат і залучення висококваліфікованих фахівців, вони важкі для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Проте вони необхідні й використовуються досить широко, тому що тільки за їх допомогою можна довести безпеку системи, спираючись при цьому на об'єктивні і незаперечні постулати математичної теорії. За своїм призначенням вони аналогічні аеродинамічним моделям літаків чи моделям плавучості кораблів: і ті й інші дозволяють обґрунтувати життєздатність системи і визначають базові принципи її архітектури та використовувані при її побудові технологічні рішення. Основна мета створення політики безпеки інформаційної системи й опису її у вигляді формальної моделі це визначення умов, яким повинне підкорятися поводження системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при дотриманні встановлених правил і обмежень. На практиці це означає, що тільки відповідним чином уповноважені користувачі повинні одержувати доступ до інформації і здійснювати з нею тільки санкціоновані дії.
Формальні моделі безпеки дозволяють вирішити також цілий ряд інших завдань, що виникають у ході проектування, розробки і сертифікації захищених систем, тому їх використовують не тільки теоретики ІБ, а й інші категорії фахівців, що беруть участь у процесі створення й експлуатації захищених інформаційних систем (виробники, споживачі, експерти - кваліфікатори). Так, виробники захищенихінформаційних систем використовують моделі безпеки при складанні формальної специфікації політики безпеки розроблюваної системи, при виборі й обґрунтуванні базових принципів архітектури захищеної системи, які визначають механізми реалізації засобів захисту, у процесі аналізу безпеки системи як еталонної моделі, а також при підтвердженні властивостей розроблюваної системи шляхом формального доведення дотримання вимог політики безпеки. Споживачі шляхом складання формальних моделей безпеки одержують можливість довести до відома виробників свої вимоги в чіткій і несуперечливій формі, а такожоцінити відповідність захищених систем своїм потребам. Експерти- кваліфікатори в ході аналізу адекватності реалізації політики безпекив захищених системах використовують моделі безпеки як еталони.Однак слід зазначити, що зараз дуже поширені ілюзії з приводутого, що якісний захист визначається тільки надійністю і кількістю;механізмів захисту, а формальний підхід мало що дає. Звичайно ж, цене так, але значною мірою це пояснюється тим, що при формальномупідході виникає ряд принципових труднощів: як правило, математична модель політики безпеки розглядає систему захисту в деякому стаціонарному стані, коли діють захисні механізми, а опис дозволених чи недозволених дій не змінюється. Насправді ж АС проходить шлях від повної відсутності захисту до повного оснащення її захисними механізмами; при цьому система ще й керується, тобто дозволені і недозволені дії в ній динамічно змінюються;
відомі зараз методики оцінки захищеності являють собою в основному тільки необхідні умови захищеності;
схеми інформаційних потоків і правила керування ними звичайно неповні чи використовують концепції, що важко формалізуються. Це ускладнює створення моделей безпеки або унеможливлює доведення їхньої безпеки;
як правило, схеми інформаційних потоків мають статичний характер і визначають поділ інформаційних потоків тільки в штатному режимі роботи. Такі аспекти, як додавання компонентів у систему чи їхнє видалення, зазвичай залишаються за рамками цих схем і правил, тому що ці операції складно формалізувати. Відповідно, вони залишаються за рамками моделей безпеки, і порядок їхнього здійснення визначається розробниками конкретних систем у приватному порядку, що призводить до втрати доказовості й неадекватної реалізації моделі безпеки;
у результаті автоматизації в АС можуть з'являтися нові об'єкти, що не відповідають ніяким сутностям реального світу. Відповідно, вони не присутні в схемах інформаційних потоків і не враховуються правилами керування цими потоками. Тим часом очевидно, що контроль доступу до подібних об'єктів може мати ключове значення для безпеки всієї системи в цілому;
у ході реалізації моделі безпеки можуть з'явитися неконтрольовані потоки інформації, оскільки в АС користувачі не можуть маніпулювати інформацією безпосередньо і використовують програмні засоби, що можуть незалежно від їхньої волі створювати небажані неконтрольовані інформаційні потоки;
існуюча методологія проектування захищених систем є ітеративним процесом усунення виявлених недоліків, некоректностей і несправностей. Причому ряд злочинних дій не блокується принципово: протидія даним загрозам просто виводиться в область організаційно-технічних заходів, що фактично означає ігнорування цілих класів загроз;
має місце виняткове різноманіття систем, для яких необхідно вирішувати завдання захисту інформації (ОС, СУБД, локальні чи корпоративні мережі і т. п.).
Сьогодні майже всі моделі безпеки базуються на представленнях об'єктно-суб'єктної моделі [5]. Існують також інші напрямки формального моделювання, пов'язані з описом рівня захищеності [1], процесів захисту [3], системи захисту [68] та ін.
Значно дієвішим і поширенішим поки що є використання неформальних описових і класифікаційних підходів. Замість формальних викладок тут використовується категорування: порушників (за цілями, кваліфікацією і доступними обчислювальними ресурсами); інформації (за рівнями критичності і конфіденційності); загроз (за способами реалізації, місцями реалізації і т. ін.), засобів захисту (за функціональністю і гарантованістю реалізованих можливостей і т. ін.) та ін. Природно, що такий підхід не дає точних числових значень показників захищеності, однак усе таки дозволяє класифікувати АС за рівнем захищеності і порівнювати їх між собою. Прикладами класифікаційних методик, що набули значного поширення, можуть служити різні критерії оцінки безпеки інформаційних технологій і продуктів, прийняті в багатьох країнах як національні стандарти, що встановлюють класи і рівні захищеності. Зокрема, результатом розвитку національних стандартів у цій сфері є міжнародний стандарт ISO 15408, який узагальнює світовий досвід. В Україні також є ряд офційних нормативних документів, що регламентують усі основні аспекти, пов'язані з безпекою КС і захистом інформації в них від НСД [1720]. Однак документів, що регламентують процеси побудови моделей безпеки, немає, що ще раз підкреслює актуальність і необхідність проведення теоретичних розробок у сфері інформаційної безпеки.
8.2. Допоміжні поняття
Більшість моделей безпеки базуються на таких положеннях:
1. Система є сукупністю взаємодіючих сутностей суб'єктів та об'єктів. Об'єкти можна інтуїтивно уявляти у вигляді контейнерів, що містять інформацію, а суб'єктами вважати виконувані програми, що взаємодіють з об'єктами різними способами. При такому уявленні системи її безпека забезпечується шляхом вирішення завдання управління доступом суб'єктів до об'єктів відповідно до заданих правил та обмежень, які є змістом політики безпеки. Вважається, що система єбезпечною тоді, якщо суб'єкти не мають можливості порушити правила політики безпеки. Саме поділ усіх сутностей на суб'єкти та об'єкти є основною проблемою моделювання, оскільки самі визначення понять суб'єкт та об'єкт в різних моделях можуть суттєво відрізнятися. Всі взаємодії в системі моделюються встановленням відношень певного типу між суб'єктами та об'єктами. Множина типів відношень визначається у вигляді наборів операцій, які суб'єкти можуть здійснювати над об'єктами.
Всі операції контролюються монітором взаємодій і забороняються чи дозволяються відповідно до правил політики безпеки.
Політика безпеки задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між суб'єктами та об'єктами. Взаємо дії, що призводять до порушень цих правил, припиняються засобами контролю доступу і не можуть здійснюватися.
Сукупність множин суб'єктів, об'єктів та відношень між ними (встановлених взаємодій) визначають стан системи. Кожний стан системи є або безпечним, або небезпечним відповідно до обраного в моделі критерію безпеки.
Основний елемент безпеки це доведення твердження (теореми) про те, що система, яка знаходиться в безпечному стані, не може перейти в небезпечний стан при виконанні певних правил та обмежень.
Крім наведених положень, для подальшого розгляду зручно ввести такі структури, що вносяться в невизначуваний об'єкт «інформація»:
структура мови, що дозволяє говорити про інформацію як про дискретну систему об'єктів;
ієрархічна модель обчислювальних систем і модель OSI/ISO, що дозволяє апаратну, програмну, прикладну компоненти обчислювальних систем і мереж зв'язку представляти у вигляді об'єктів деяких мов;
структура інформаційного потоку, що дає змогу описувати й аналізувати загрози інформації;
структура цінності інформації, що допомагає зрозуміти, що треба і що не треба захищати.
Отже, опис буде здійснюватися з використанням понять математичної логіки. Нехай А скінчений алфавіт, А множина слів і скінченої довжини в алфавіті А.
З А за допомогою деяких правил виділено підмножину М слів, які називають правильними, і вона називається мовою. Якщо М1 мова опису однієї інформації, М2 іншої, то можна говорити про мову М, що поєднує М1і М2, яка описує ту чи іншу інформацію. Тоді М1 і М2 є підмовами М.
Вважаємо далі, що будь яка інформація може бути представлена у вигляді слова в деякій мові М. Крім того, можна вважати, що стан будь якого пристрою в автоматизованій системі обробки даних (АСОД) може бути описаний словом у певній мові.
Це дозволяє ототожнювати слова і стани пристроїв і механізмів обчислювальної системи чи довільної АСОД і подальший аналіз вести в термінах певної мови. Питання побудови власне мови М та її властивостей тут не розглядаються.
Означення. Об'єктом щодо мови М (чи просто об'єктом, коли з контексту однозначно визначена мова) називається довільна кінцева множина слів мови М.
Приклад 8.1. Довільний файл у комп'ютері є об'єктом. У будь який момент у файл може бути записане одне слово зі скінченої множини слів мови М, у деякому алфавіті А, що відбиває вміст інформації, яка зберігається у файлі.
Приклад 8.2. Принтер комп'ютера об'єкт. Існує якась (можливо, досить складна) мова, що описує принтер і його стани в довільний момент часу. Множина допустимих описів станів принтера є кінцевою підмножиною слів у цій мові. Саме ця кінцева множина і визначає принтер як об'єкт.
При розгляді такого важливого поняття, як інформація (чи дані), особливо важливою є можливість опису перетворень інформації. Перетворення інформації має місце, якщо існує відповідність між словом, яке описують вихідні дані, і деяким іншим словом. Ясно, що опис перетворення даних також є словом. Прикладами об'єктів, що описують перетворення даних, є програми для ЕОМ.
Неважко помітити, що кожне перетворення інформації має:
а) зберігатися;
б) діяти.
У випадку а) мова йде про збереження опису перетворення в деякому об'єкті (файлі). У цьому випадку саме перетворення нічим не відрізняється від інших даних. У випадку ж б) опис програми повинен взаємодіяти з іншими ресурсами АСОД пам'яттю, процесором, комунікаціями та ін., що також описуються деякими словами.
Означення. Ресурси АСОД, виділені для дії перетворення, називаються доменом.
Однак для здійснення перетворення одних даних в інші крім домену необхідно передати цьому перетворенню особливий статус у системі, при якому ресурси АСОД почнуть здійснювати перетворення. Цей статус називатимемо «керування». Тут будемо мати на увазі, що з контексту при розгляді будь якої АСОД повинно бути ясно, що значить передати керування перетворенню.
Означення. Перетворення, якому передане керування, називається процесом.
Означення. Об'єкт, що описує перетворення, якому виділено домен і передано керування, називається суб'єктом.
Інакше кажучи, суб'єкт це пара (домен, процес). Суб'єкт S для реалізації перетворення використовує інформацію, що міститься в об'єкті О, тобто в такий спосіб здійснює доступ до об'єкта О.
Розглянемо деякі основні приклади доступів.
Приклад 8.3. Доступ суб'єкта S до об'єкта О на читання (г) даних в об'єкті О. При цьому доступі деякі дані зчитуються в об'єкті О і використовуються як параметри в суб'єкті S.
Приклад 8.4. Доступ суб'єкта S до об'єкта О на запис (w) даних в об'єкті О. При цьому доступі деякі дані процесу S записуються в об'єкт О. Тут можливе стирання попередньої інформації.
Приклад 8.5. Доступ суб'єкта S до об'єкта О на активізацію процесу, записаного в О як дані (ехе). При цьому доступі формується деякий домен для перетворення, описаного в О, і передається керування відповідній програмі.
Існує множина інших доступів, деякі з них будуть визначені далі. Множину можливих доступів у системі позначимо R.
Будемо надалі позначати множину об'єктів у системі обробки даних через О, а множину суб'єктів у цій системі через S. Ясно, що кожен суб'єкт є й об'єктом щодо певної мови (який, загалом кажучи, може в активній фазі сам змінювати свій стан). Тому S в О. Крім того, іноді, щоб не вводити нових позначень, пов'язаних з одним перетворенням, опис перетворення, що зберігається в пам'яті, теж будемо називати суб'єктом, але не активізованим. Тоді активізація такого суб'єкта означає пару (домен, процес).
У різних ситуаціях буде уточнюватися опис АСОД. Однак завжди існуватиме деяка загальна для всіх АСОД властивість. Ця загальна властивість полягає в тому, що стан кожної АСОД характеризується деякою множиною об'єктів, що передбачається скінченою.
Для подальшого розгляду питань ЗІ приймемо таку аксіому.
Усі питання безпеки інформації описуються доступами суб'єктів до об'єктів.
Ця аксіома охоплює практично всі відомі способи порушення безпеки у різноманітних варіантах розуміння безпеки, навіть якщо включити в розгляд такі процеси, як пожежа, повінь, фізичне знищення і т. п. Однак з неї випливає, що для подальшого розгляду питань безпеки та ЗІ досить розглядати множину об'єктів і послідовності доступів.
Нехай час дискретний, Оi множина об'єктів у момент t,0<t<T, St множина суб'єктів у момент t. На множині об'єктів Ot як на вершинах визначимо орієнтований граф доступів G, у такий спосіб:
дуга EMBED Equation.3 з міткою р ? R належить G, тоді і тільки тоді, коли в момент t суб'єкт S має множину доступів р до об'єкта О.
Відповідно до аксіоми, з погляду ЗІ, у процесі функціонування системи нас цікавить тільки множина графів доступів {Gi}Tt=1
Позначимо через ? = {G} множину можливих графів доступів. Тоді ? можна розглядати як фазовий простір системи, а траєкторія у фазовому просторі ?і відповідає функціонуванню АСОД. У цих термінах зручно представляти задачу ЗІ в такому загальному вигляді. У фазовому просторі ? визначено можливі траєкторії Ф, у Ф виділено деяку підмножину N несприятливих траєкторій чи ділянок таких траєкторій, яких ми хотіли б уникнути. Задача ЗІ полягає в тому, щоб будь яка реальна траєкторія обчислювального процесу у фазовому просторі Ф не потрапила в множину N. Як правило, у будь якій конкретній АСОД можна наділити реальним змістом компоненти моделі ?, Ф, N.
Чим може керувати служба ЗІ, щоб траєкторії обчислювального процесу не вийшли в N? Практично таке керування можливе тільки обмеженням на доступ у кожен момент часу. Зрозуміло, ці обмеження можуть залежати від усієї передісторії процесу. Однак, у будь якому випадку, службі захисту доступний тільки локальний вплив. Основна складність ЗІ полягає в тому, що, маючи можливість використовувати набір локальних обмежень на доступ у кожен момент часу, необхідно вирішити глобальну проблему недопущення виходу будь-якої можливої траєкторії в несприятливу множину N. При цьому траєкторії множини N не обов'язково визначаються обмеженнями на доступи конкретних суб'єктів до конкретних об'єктів. Можливо, що якщо в різні моменти обчислювального процесу суб'єкт S одержав доступ до об'єктів О1 і О2, то заборонений доступ до об'єкта О3, реально відбувся, тому що зі знання змісту об'єктів О1 і О2 можна вивести заборонену інформацію, що міститься в об'єкті О3,.
У будь-який момент часу на множині суб'єктів S введемо бінарне відношення а активізації. Якщо суб'єкт S1, володіючи керуванням і ресурсами, може передати S2 частину ресурсів і керування (активізація), тоді в графах, що визначаються введеним бінарним відношенням на множині об'єктів, для яких визначене поняття активізації, можливі вершини, у які ніколи не входить жодна дуга. Таких суб'єктів будемо називати користувачами. Суб'єкти, в яких ніколи не входять дуги і з яких ніколи не виходять дуги, виключаються з розгляду.
Приклад 8.6. Нехай у системі є два користувачі U1 і U2, один процес S читання на екран файлу і набір файлів О1,…,Оm. У кожен момент працює один користувач, потім система виключається й інший користувач вмикає її заново. На графі використано позначення R, тому що обидва користувачі можуть, загалом кажучи, порізному запускати процес S (тобто використовувати різні види доступів). Можливі такі графи доступів
Множина таких графівТраєкторії послідовності графів виду (8.1). Несприятливими вважаються траєкторії, що для деякого i = 1, ..., т містять стани
Тобто несприятливою виявляється ситуація, коли обидва користувачі можуть прочитати той самий об'єкт. Ясно, що механізм захисту повинен будувати обмеження на черговий доступ, виходячи з множини об'єктів, з якими вже ознайомився інший користувач.
Приклад 8.7. Нехай у системі, описаній у попередньому прикладі, несприятливою є будь-яка траєкторія, що містить, наприклад, граф виду
У цьому випадку видно, що система буде захищена обмеженням доступу на читання користувача U1 до об'єкта О1.
8.3. Ієрархічний метод
Зрозуміло, що реалізація АСОД вимагає великого програмно-апаратного комплексу, який треба спроектувати, створити, підтримувати в працездатному стані. Ці системи є такими складними, що потрібна розробка спеціальної технології проектування і створення таких систем. У даний час основним інструментом розв'язання задач аналізу, проектування, створення і підтримки в робочому стані складних систем є ієрархічний метод.
В основі методу лежить розбивка системи на ряд рівнів, що пов'язані односпрямованою функціональною залежністю. Відомі різні варіанти формального і напівформального опису такої залежності. Однак повної формалізації тут досягти не вдається через значну узагальненість поняття «складна система» і неоднозначності розбивки на рівні. Проте з метою розуміння цього в декомпозиціях різної природи складних систем можна домовитися про універсальні принципи опису ієрархічного методу.
Припустимо, що складна система ??, яка нас цікавить, адекватно описана мовою М. Припустимо, що проводиться декомпозиція (розкладання) мови М на сімейство мов D1, D2,..., Dn. Якщо мова Di, i = 2, ..., n, синтаксично залежить тільки від словоформ мови Di-1, то будемо говорити, що вони утворять два сусідні рівні. Тоді система ? може бути описана наборами слів В1, ..., Вп у мовах D1, D2,..., Dn, причому так, що опис Bi, синтаксично може залежати тільки від набору Bi-1. У цьому випадку будемо говорити про ієрархічну декомпозицію системи ? і рівні декомпозиції В1, ..., Вп, де рівень Bi безпосередньо залежить від Bi-1. Розглянемо найпростіші приклади ієрархічної побудови складних систем.
Приклад 8.8. Нехай уся інформація в системі розбита на два класи Secret і Top Secret, що у цифровій формі можна позначати 0 i 1. Нехай усі користувачі розбиті у своїх можливостях допуску до інформації на два класи, що також будемо позначати 0 i 1. Правило допуску до інформації X при запиті користувача Y визначається умовою: якщо х – клас запитуваної інформації X, а клас у – користувача Y, то допуск до інформації дозволений тоді і тільки тоді, коли х = у. Цю умову формально можна описати такою формулою деякої мови D2 (набором слів В2):
Для обчислення цього виразу необхідно здійснити такі операції, що описуються в термінах іншої мови D1 (набором слів B1)
де U1(X) – оператор визначення по імені об'єкта X номера класу доступу х; U2(Y) – оператор визначення по імені користувача Y номера класу допуску у, ? – додавання за mod 2, U(X, Y, z) оператор, що реалізує доступ У до X, якщо z = 0, і блокує систему, якщо z = 1.
Таким чином, рівень В2 залежить від В1, а вся система представлена ієрархічною дворівневою декомпозицією з мовами D1 і D2, причому М= (D1 , D2).
Приклад 8.9. Значно частіше використовується неформальний ієрархічний опис систем. Наприклад, часто використовується ієрархічна декомпозиція обчислювальної системи у вигляді трьох рівнів:
апаратна частина;
операційна система;
користувацькі програми.
Приклад 8.10. Одним з поширених прикладів ієрархічної структури мов для опису складних систем є розроблена організацією міжнародних стандартів (ISO) Еталонна модель взаємодії відкритих систем (OSI), що прийнята ISO у 1983 р.
ISO створена, щоб вирішити два завдання:
• вчасно і правильно передавати дані через мережу зв'язку (тобто користувачами повинні бути обговорені види сигналів, правила прийому і перезапуску, маршрути і т. п.);
• доставити дані користувачу в прийнятній для нього розпізнаваній формі.
Модель складається із семи рівнів. Вибір числа рівнів і їх функцій визначається інженерними міркуваннями.
Між користувацьким середовищем та фізичним є такі рівні: прикладний, представницький, сеансовий, транспортний, мережевий, канальний, фізичний.
Верхні рівні вирішують завдання представлення даних користувачу в такій формі, що він може розпізнати їх і використовувати. Нижні рівні служать для організації передачі даних. Ієрархія полягає в такому.
Всю інформацію в процесі передачі повідомлень від одного користувача до іншого можна розбити на рівні; кожен рівень є виразом деякої мови, що описує інформацію свого рівня. У термінах мови даного рівня виражається перетворення інформації і «послуги», що на цьому рівні надаються наступному рівню. При цьому сама мова спирається на основні елементи, що є «послугами» мови більш низького рівня. У моделі OSI мова кожного рівня разом з порядком її використання називається протоколом цього рівня.
Яке призначення кожного рівня і що є мовою кожного рівня?
Прикладний рівень (ПР). ПР має відношення до семантики обмінюваної інформації (тобто змісту). Мова ПР забезпечує взаєморозуміння двох прикладних процесів у різних точках, що сприяють здійсненню бажаної обробки інформації. Мова ПР описує два види ситуацій:
спільні елементи для всіх прикладних процесів, що взаємодіють на прикладному рівні;
специфічні нестандартизовані, елементи додатків.
Мова ПР складається і постійно розширюється за рахунок функціональних підмов. Наприклад, розроблені протоколи (мови ПР):
віртуальний термінал (надання доступу до термінала процесу користувача у віддаленій системі);
файл (дистанційний доступ, керування і передача інформації, накопиченої у формі файлу);
протоколи передачі завдань і маніпуляції (розподілена обробка інформації);
менеджерські протоколи;
одним з важливих протоколів прикладного рівня є «електронна пошта» (протокол Х.400), тобто транспортування повідомлень між незалежними системами з різними технологіями передачі і доставки повідомлень.
Рівень представлення (РП). РП вирішує ті проблеми взаємодії прикладних процесів, що пов'язані з розмаїтістю представлень цих процесів. РП надає послуги для двох користувачів, які бажають зв'язатися на прикладному рівні, забезпечуючи обмін інформацією щодо синтаксису даних, переданих між ними. Це можна зробити або у формі імен, якщо обом системам, що зв'язуються, відомий синтаксис, який буде використовуватися, або у формі опису синтаксису, який буде використовуватися, якщо він невідомий. Коли синтаксис переданої інформації відрізняється від синтаксису, використовуваного приймаючою системою, то РП повинен забезпечити відповідне перетворення.
Крім того, РП забезпечує відкриття і закриття зв'язку, керування станами РП і контролем помилок.
Рівень сеансу (PQ. PC забезпечує керування діалогом між процесами, що обслуговуються, на рівні представлення. Сеансове з'єднання спочатку повинно бути встановлене, а параметри з'єднання обговорені шляхом обміну керуючою інформацією. PC надає послугу синхронізації для подолання будь-яких виявлених помилок. Це робиться в такий спосіб: мітки синхронізації вставляються в потік даних користувачами послуги сеансу.
Якщо виявлена помилка, сеансове з'єднання має бути повернуто у певний стан, користувачі послуги повинні повернутися у встановлену точку діалогового потоку інформації, скинути частину переданих даних і потім відновити передачу, починаючи з цієї точки.
Транспортний рівень (ТР). ТР надає сеансовому рівню послугу у вигляді надійного і прозорого механізму передачі даних (поза залежністю від виду реальної мережі) між вершинами мережі.
Мережний рівень (MP). MP надає ТР послуги зв'язку. MP визначає маршрут у мережі. Організує мережний обмін (протокол IP) і керує потоками в мережі.
Канальний рівень (КР). Надає MP послуги каналу. Ця послуга полягає в безпомилковості послідовної передачі блоків даних по каналу в мережі. На цьому рівні реалізується синхронізація, порядок блоків, виявлення і виправлення помилок, лінійне шифрування.
Фізичний рівень (ФР). Фізичний рівень забезпечує те, щоб символи, які надходять у фізичне середовище передачі на одному кінці, досягали іншого кінця.
Яким чином реалізуються функції обміну інформацією на кожному рівні? Для цього на кожному рівні до вихідного блоку даних додається інформація у вигляді виразу мови відповідного рівня (як правило, у вигляді додаткового заголовка).
Рівні функціонально взаємодіють, поперше, як однакові рівні у різних абонентів, подруге, як суміжні рівні в одній ієрархії. Блок даних, що проходить через усі рівні, зазнає таких змін:
ПР Блок прикладних даних ДДД
РП Заголовок послуги представлення ПІШДДД
PC Заголовок послуги сеансу СССППЦДДД
ТР Заголовок транспортної послуги ТТТСССПГШДДД
MP Заголовок мережної послуги МММТТТСССПППДДДКР Заголовок каналу передачі КККМММТТТСССПППДВДФР
Зв'язок будь-яких однакових рівнів у різних абонентів при передачі, що використовує з'єднання, складається з трьох фаз:
а) встановлення з'єднання;
б) передача даних;
в) роз'єднання.
У фазі а) відбуваються переговори про набір параметрів передачі. У фазі б) виявлення і виправлення помилок, підтримка з'єднання.
На кожному рівні реалізовані свої способи виявлення і виправлення помилок:
• канал виправлення бітів;
мережа роз'єднання і втрата пакетів;
відповідно виправлення цих помилок;
сеанс, транспортування виправлення адресації.
Важливі інформаційні елементи кожного рівня будемо називати об'єктами, таким чином, зв'язок (N-1)-гo, N-гo і (N + l)-гo рівнів виглядає так: кожен рівень містить набір об'єктів, що взаємодіють між собою в різних системах на одному рівні. На різних рівнях об'єкти взаємодіють через ключі доступу послуг.
У моделі OSI стандартизовано види взаємодії постачальника послуги на рівні N та споживача на рівні N + l. Ці види називаються примітивами послуг. їх чотири: запити, ознака, відповідь, підтвердження.
Запит подається користувачем послуги на (N+ 1)-му рівні системи А для того, щоб звернутися до послуги протоколу-постачальника послуги на N-му рівні. Це приводить до надсилання повідомлення N-го рівня в систему В. У системі В запит на рівні N викликає появу примітива «ознака», що випускається постачальником послуги на рівні N в В на (N+ 1)-й рівень.
Примітив «відповідь» випускається користувачем послуги на рівні N+1 в В у відповідь на ознаку, що з'явилася в точці доступу до послуги між рівнями N і N+1 системи В. Примітив «відповідь» є директивою протоколу рівня N завершити процедуру звертання примітива «ознака». Протокол на рівні N в системі В генерує повідомлення, що передається в мережу і повторюється на рівні N системи А. Це викликає надсилання примітива «підтвердження», що випускається постачальником послуги в системі А на рівні N у точку доступу до послуги між рівнями N і N+ 1. На цьому процедура, розпочата запитом у точці доступу до послуги між рівнями N і N + 1 у системі А, завершується.
8.4. Потоки і цінність інформації
Структури інформаційних потоків є основою аналізу каналів витоку і забезпечення конфіденційності інформації. Ці структури спираються на теорію інформації і математичну теорію зв'язку. Розглянемо найпростіші потоки.
Нехай суб'єкт S здійснює доступ на читання (г) до об'єкта О. У цьому випадку говорять про інформаційний потік від О до S. Тут об'єкт О є джерелом, a S – одержувачем інформації.
Нехай суб'єкт S здійснює доступ на запис (w) до об'єкта О. У цьому випадку говорять про інформаційний потік від S до О. Тут об'єкт О є одержувачем, a S джерелом інформації.
З найпростіших потоків можна побудувати складні. Наприклад, інформаційний потік від суб'єкта S2 до суб'єкта S1 відбувається за такою схемою
Тобто суб'єкт S2 записує дані в об'єкт О, а потім S1 зчитує їх. Тут S2 джерело, a S1 одержувач інформації. Можна говорити про передачу інформації, що дозволяє реалізувати інформаційний потік.
З точки зору ЗІ, канали й інформаційні потоки можуть бути законними або незаконними. Останні створюють витік інформації і тим самим порушують конфіденційність даних.
Розглядаючи канали передачі інформаційних потоків, можна залучити теорію інформації для обчислення кількості інформації в потоці і пропускної здатності каналу. Якщо незаконний канал не можна цілком перекрити, то частка кількості інформації в об'єкті, що витікає по цьому каналу, служить мірою небезпечності цього каналу. В оцінках якості ЗІ іноді використовується граничне значення для припустимої пропускної здатності незаконних каналів.
У загальному вигляді для об'єктів Х в одному стані і Y в іншому визначимо інформаційний потік, що дозволяє за спостереженням Y довідатися про зміст X.
Припустимо, що стан X і стан Y – випадкові величини зі спільним розподілом Р(х, у) = Р(Х=х, Y=у), де під X=х розуміється подія; що стан об'єкта X дорівнює значенню х (аналогічно в інших випадках). Тоді можна визначити: Р(х), Р(у/х), Р(х/у), ентропію Н(Х), умовну ентропію H(X/Y) і середню взаємну інформацію
Означення. При переході з одного стану в інший виникає інформаційний потік від X до У, якщо І(Х, Y) > 0. Величина І(Х, Y) називається величиною потоку інформації від Х до Y.
Оцінка максимального інформаційного потоку визначається пропускною здатністю каналу зв'язку Х—> Y і дорівнює за величиною
Щоб захистити інформацію, треба затратити сили і кошти, а для цього треба знати, яких втрат ми могли б зазнати. Зрозуміло, що в грошовому вираженні витрати на захист не повинні перевищувати можливі втрати. Для розв'язання цих задач в інформацію вводиться допоміжна структура цінність інформації. Розглянемо приклади.
Нехай інформація представлена у вигляді кінцевої множини елементів і необхідно оцінити сумарну вартість у грошових одиницях з оцінок компонент. Оцінка може будуватися на основі експертних оцінок компонент, і, якщо грошові оцінки об'єктивні, то сума дає досить точну величину. Однак кількісна оцінка компонент не завжди об'єктивна навіть при кваліфікованій експертизі. Це пов'язано з неоднорідністю компонент у цілому. Тому роблять єдину ієрархічну відносну шкалу (лінійний порядок, що дає можливість порівнювати цінність окремих компонент відносно одна одної). Єдина шкала означає рівність ціни всіх компонент, що мають одну і ту ж порядкову оцінку. Така модель називається адитивною.
Приклад 8.12. Нехай Oi ...,0n об'єкти, і визначена шкала 1 < ...< 5. У результаті експертних оцінок отримано такий вектор відносних цінностей об'єктів ? = (?и ?2,..., ?n) = (2, 1, 3, ..., 4). Якщо відома ціна хоча б одного об'єкта, наприклад, c1 = 100 у. о., то обчислюється оцінка одного бала с1=С1/? = 50 у. о., де ? – число балів оцінки першого об'єкта, і далі обчислюється ціна кожного наступного об'єкта за формулою Сi = с1?1, тобто С2 = 50 у. о., С3 = 150 у. о. і т. п. Тоді сума визначає вартість всієї інформації. І навпаки, якщо апріорно відома загальна ціна інформації, то завдяки відносним оцінкам в порядковій шкалі можна обчислити ціни компонентів.
Нехай у рамках адитивної моделі проведено облік вартості інформації в системі. Оцінка можливих втрат будується на основі отриманих вартостей компонент, виходячи з прогнозу можливих загроз цим компонентам. Можливості загроз оцінюються ймовірностями відповідних подій, а втрати підраховуються як сума математичних очікувань втрат для компонент по розподілу можливих загроз.
Приклад 8.13. Нехай O1,..., Оп об'єкти, цінності яких С1,..., Сn.
Припустимо, що збиток одному об'єкту не знижує ціни інших, і нехай імовірність завдання збитку об'єкту Oi, дорівнює pi функція втрат збитку для об'єкта Oi дорівнює
Оцінка втрат від реалізації загроз об'єкту і дорівнює EWі =pCi. Виходячи зі зроблених припущень, втрати в системі рівні W = W1 + ... + Wn. Тоді очікувані втрати (середній ризик) дорівнюють: Далеко не завжди можливо і потрібно давати грошову оцінку інформації. Наприклад, оцінка особистої інформації, політичної інформації чи військової інформації не завжди розумна і можлива в грошовому численні. Однак підхід, пов'язаний з порівнянням цінності окремих інформаційних елементів між собою, як і раніше, має сенс.
Приклад 8.14. При оцінці інформації в державних структурах використовується порядкова шкала цінностей. Всі об'єкти (документи) державної установи розбиваються за грифами таємності. Самі грифи таємності утворюють порядкову шкалу: несекретно < для службового користування < таємно < цілком таємно (НС < ДСК < Т < ЦТ) або в закордонних системах: unclassified < confidential < secret < top secret (U < Conf < S < TS). Відразу видно, що більш високий клас має більш високу цінність, і тому вимоги щодо його захисту від НСД вищі.
Узагальненням порядкової шкали є модель решітки цінностей. Нехай дане SC – скінченна частково упорядкована множина щодо бінарного відношення <, тобто лля кожних А.В.С виконується
називається найменшою верхньою границею (верхньою гранню), якщо
Елемент А ? В, загалом кажучи, може не існувати. Якщо найменша верхня границя існує, то з антисиметричності випливає одиничність.
Означення. Для А, В ? SC елемент Е = А?В ?SC називається найбільшою нижньою границею (нижньою гранню), якщо
Ця границя також може не існувати. Якщо вона існує, то з антисиметричності випливає одиничність.
Означення. (SC. <) називається решіткою. якшо лля будь-яких А,
Для всіх елементів SC у скінченних решітках існує верхній елемент High = ?SC, аналогічно існує нижній елемент Low = ?SС.
Означення. Скінченна лінійна решітка – це лінійно упорядкована множина, отже, можна завжди вважати {0, 1,..., n} = SC.
Для більшості решіток, що зустрічаються в теорії захисту інформації, існує представлення решіток у вигляді графа. Розглянемо кореневе дерево на вершинах зі скінченної множини Х = {Х1, Х2, ..., Хn} з коренем у Xi. Нехай на єдиному шляху, що з'єднує вершину Хi з коренем, є вершина Xj. Покладемо за визначенням, що Xi < Xj. Очевидно, що в такий спосіб на дереві визначено частковий порядок. Крім того, для будь-якої пари вершин Xi і Xj існує елемент Xt ? Xj, що визначається точкою злиття шляхів з Xi і Xj у корінь. Однак така структура не є решіткою, тому що тут немає нижньої грані. Виявляється, що від умови одиничності шляху в корінь можна відмовитися, зберігаючи при цьому властивості часткового порядку й існування верхньої грані. Наприклад, додамо до побудованого дерева вершину L, з'єднавши з нею всі кінцеві вершини. Покладемо і = 1, ..., п, L < Xj. Для інших вершин порядок визначається, як раніше. Побудована структура є решіткою.
Приклад 8.15. Для ?А,В?Х, де А,В– підмножини X. Визначимо А<В =>A?B. Всі умови часткового порядку 1), 2), 3) виконуються. Крім того, A?B – це A?B, A?B = A?B. Отже, це решітка.
Приклад 8.16. Розглянемо MLS-решітку. Назва походить від абревіатури Multilevel Security і лежить в основі державних стандартів оцінки інформації. Решітка будується як прямий добуток лінійної решітки L і решітки SC підмножин множини X, тобто (????), (?', ?') елементи добутку, ?, ?' ? L лінійна решітка, ?, ?' ? SC решітка підмножин деякої множини X. Тоді (?, ?)<(?`, ?`)????`, ?<?` Верхня і нижня границі визначаються в такий спосіб:
Вся інформація {об'єкти системи} відображається в точки решітки {(?, ?)}. Лінійний порядок, як правило, вказує гриф таємності. Точки множини X звичайно називаються категоріями.
Властивості решітки в оцінці інформації широко використовуються при класифікації нових об'єктів, отриманих у результаті обчислень. Нехай дано решітку цінностей SC, множину поточних об'єктів О, відображення С: О —> S, програма використовує інформацію об'єктів O1,..., Оп, що класифіковані точками решітки С(O1), ..., С(Оп). В результаті роботи програми з'явився об'єкт О, який необхідно класифікувати. Це можна зробити, поклавши С(O) = С(O1)?, ..., ? С(Оп). Такий підхід до класифікації найбільш поширений у державних структурах. Наприклад, якщо в збірник включаються дві статті з грифом таємно й цілком таємно відповідно, і за тематиками: перша кадри, друга криптографія, то збірник отримує гриф цілком таємно, а його тематика визначається сукупністю тематик статей (кадри, криптографія).
8.5. Доказовий підхід
Нехай задано політику безпеки Р. Тоді система захисту добра, якщо вона надійно підтримує Р, та погана, якщо вона ненадійно підтримує Р. Однак надійність підтримки теж треба точно визначити. Тут знову звернемося до ієрархічної схеми. Нехай політика Р виражена мовою М1 формули якої визначаються через послуги U1, ..., Uk.
Приклад 8.17. Нехай усі суб'єкти S системи розбиті на дві множини S1 і S2, причому S1?S2=S, S1?S2=?. Всі об'єкти, до яких може бути здійснений доступ, розділені на два класи O1 і О2, причому O1?O2=O, O1?O2=?. Політика безпеки Р тривіальна: суб'єкт S може мати доступ ? ? R до об'єкта О тоді і тільки тоді, коли S?Si, O?Oi, і = 1,2. Для кожного звертання суб'єкта S на доступ до об'єкта О система захисту обчислює функції належності
для всіх суб'єктів та об'єктів:Is(S1), Is(S2), Io(O1), Io(O2),. Потім обчислюється логічний вираз: (Is(S1)? Io(O1))?( Is(S2)? Io(O2))
Якщо отримано значення – 1 (істина), то доступ дозволений. Якщо 0 (хибно), то недозволений. Зрозуміло, що мова М1, на якій виражено політику безпеки Р, спирається на послуги:
обчислення функцій належності Іx(А);
обчислення логічного виразу;
обчислення оператора «якщо х = 1, то S ? О, якщо х = 0, то S ? О.
Для підтримки послуг мові М1 потрібна своя мова М2, на якій визначені основні вирази для надання послуг мові верхнього рівня. Можливо, що функції М2 необхідно реалізовувати, спираючись на мову М3 більш низького рівня і т. ін.
Нехай послуги, описані мовою М2, ми вміємо гарантувати. Тоді надійність виконання політики Р визначається повнотою її опису в термінах послуг U1, ..., Uk. Якщо модель Р – формальна, тобто мова М1 формально визначає правила політики Р, то можна довести або спростувати твердження, що множина наданих послуг цілком і однозначно визначає політику Р. Гарантії виконання цих послуг рівносильні гарантіям дотримання політики. Тоді більш складне завдання зводиться до більш простого і до доведення того факту, що цих послуг досить для виконання політики. Усе це забезпечує доведеність захисту з погляду математики або гарантованість з погляду впевненості в підтримці політики з боку більш простих функцій.
Одночасно викладений підхід представляє метод аналізу систем захисту, що дає змогу виявляти недоліки в проектованих чи вже існуючих системах. При цьому ієрархія мов може бути неоднозначною, головне зручність представлення й аналізу.
8.6. Приклад гарантовано захищеної АС
Нехай ? модель системи, що оперує цінною інформацією. Будемо вважати, що інформація в системі може бути подана у вигляді слів певної мови М над деяким скінченним алфавітом А. Визначимо об'єкт O в ? як скінченну множину слів мови М, а стан об'єкта як слово з множини, що визначає об'єкт. Наприклад, як об'єкти можна розглядати файли, принтери тощо. В процесі роботи системи об'єкти як видозмінюються, так і створюються та знищуються, тому слід вести мову про множину об'єктів ? в момент часу t, яку позначимо Оt | Оt | < ? (t ? N). Далі будемо використовувати те, що стани скінченної множини об'єктів системи визначають інформацію про цю систему. Таким чином, стан системи ? – це набір станів об'єктів ?.
Визначимо суб'єкт S в ? як опис деякого перетворення інформації в системі ?. Під перетворенням інформації будемо розуміти відображення слова, що описує вихідні дані, в інше слово (наприклад, програма для ЕОМ). Очевидно, для здійснення даного перетворення в системі необхідно виділити ресурси та забезпечити певну їх взаємодію, яку надалі називатимемо процесом. Доцільно розрізняти два стани суб'єкта: активований і неактивований. Перший стан передбачає, що в даний момент часу виділені ресурси взаємодіють між собою, що спричиняє перетворення інформації в системі.
Зауважимо, що S ? St, де St – множина суб'єктів в момент часу t. Оскільки опис можна подати у вигляді скінченного набору слів, то St ? Оt для ? ? N. У зв'язку з цим будемо вважати, що всі події в системі відбуваються у певні моменти часу, яким поставимо у відповідність ряд натуральних чисел. Таким чином, зміни у множині St визначають дискретність часу, тобто S1 —> 1, S2 ,—> 2, ..., St —> t.
Для кожного моменту часу t ? N у системі ? можна визначити множину активізованих суб'єктів. Користувачами Ui, i=1, ..., n, n < ? будемо називати суб'єкти, які є активізованими в момент t = 0 і мають змогу активізувати інші суб'єкти. Процедуру активізації суб'єктом S1
суб'єкта S2 позначимо S1 EMBED Equation.3 S,2, S1 S2 ? St.
Припущення 1. Якщо суб'єкт S активізований в момент t, то існує єдиний активізований суб'єкт S' ?St, який активізував S.
Згідно з цим припущенням, щоб в момент t активізувати суб'єкт S, суб'єкт S`має бути активізованим ще в момент часу t - 1. Причому він знаходиться в цьому стані і в момент t. Зауважимо також, що єдиність вимагає наявності у кожного суб'єкта системи унікального імені. Отже, з цього випливає, що якщо в кожний момент часу активізовано хоча б один суб'єкт, то в системі має існувати принаймні один користувач.
Лема 8.1. Якщо суб'єкт S активізований в момент t, то існує єдиний користувач U, що породив ланцюжок активізації
U EMBED Equation.3 S1 EMBED Equation.3 S2 EMBED Equation.3 K EMBED Equation.3 Sk EMBED Equation.3 S.
Доведення. Згідно з припущенням 1, існує єдиний суб'єкт Sk, що активізував S. Якщо Sk = Ui, то лему доведено. Якщо ж Sk ? Ui, і = 1, ..., п, то існує єдиний суб'єкт Sk-1, що активізував Sk і т. п. Оскільки в початковий момент часу активізованими є лише користувачі, а їх кількість є скінченною, як і час роботи системи, то на початку ланцюжка активізації отримаємо одного з них. На цьому ланцюжок обривається, що і треба було довести.
У системі ? існують різні види доступу до об'єктів. Зокрема, активізація є одним із видів доступу активізованих суб'єктів до інших. Позначимо множину всіх доступів через R (|R| < ?). Також через S EMBED Equation.3 0 будемо позначати множину доступів р суб'єкта S до об'єкта О, а неможливість доступу через S EMBED Equation.3 0. Якщо для певного проміжку часу [t; t + k] існує ланцюжок
U EMBED Equation.3 S1 EMBED Equation.3 S2 EMBED Equation.3 K EMBED Equation.3 Sk EMBED Equation.3 S,
то це означає, що мав місце доступ р суб'єкта S до об'єкта О. Далі будемо позначати такий ланцюжок S EMBED Equation.3 *O. Тоді на множині об'єктів О, можна запровадити орієнтований граф доступів Gt таким чином: дуга S EMBED Equation.3 O з міткою p належить Gt тоді і тільки тоді, коли в момент часу t у суб'єкта S є множина доступів р до об'єкта О. У такому сенсі множину всіх можливих графів доступу можна розглядати як фазовий простір, причому траєкторія в цьому фазовому просторі відповідатиме функціонуванню системи. Якщо в множині можливих траєкторій виділити підмножину несприятливих, то задача захисту інформації у загальному вигляді зведеться до того, щоб реальна траєкторія обчислюваного процесу не потрапила до множини несприятливих.
Припущення 2. Функціонування системи EMBED Equation.3 ? визначається послідовністю доступів множин суб'єктів до множин об'єктів у кожний момент часу
Для кожного суб'єкта в кожний момент часу виділимо множину об'єктів, до яких є можливим доступ:
Це означає, що для довільного t ? N в системі ? визначено множинуМножину об'єктів, до яких мають доступ всі користувачі, позначимоВважаємо, що вона є фіксованою для всіх t.
Спільними ресурсами системи будемо називати множину об'єктів Зрозуміло, що в момент часу
Зауважимо також, що внаслідок фіксованості D користувач може створювати і знищувати об'єкти, що не належать D. Таким чином, створення і знищення будь-яких об'єктів є доступом в R до деяких об'єктів з Оt. Для спрощення доцільно розглядати таку систему, в якій усі користувачі мають однакові повноваження.
Опишемо тепер процедуру доступу до об'єктів в системі ? Будемо вважати, що існує певна підсистема з об'єктів системи, що реалізує доступи, а будь-яке звернення суб'єкта S за доступом р до об'єкта О
починається із запиту:Сам запит на звернення суб'єкта S за доступом р до об'єкта О можна вважати одним з видів доступу.
Нехай процедура породження суб'єктом об'єкта є такою, що створений об'єкт отримує унікальне ім'я. Оскільки з огляду на лему 8.1 існує єдиний користувач, що активізував суб'єкт, будемо вважати, що він і породив даний об'єкт. Позначимо черезмножину об'єктів, породжених користувачем U до моменту t, причому
Лема 8.2. Для кожного О ? Оt, такого, що O?D , для кожного існує єдиний користувач U такий, що
Доведення. Умоваозначає, що
Оскільки був створений в певний
моментпевним активізованим до того часу суб'єктом.
У свою чергу, існує єдиний користувач U, що породив О. Лему доведено.
Каналами витоку будемо вважати всі несприятливі доступи виду:
Припущення 3. Якщото доступи в (8.3) не мо
жуть створити канал витоку.
Отже, в подальшому будемо звертатися лише до об'єктів оскільки для інших об'єктів проблем немає. Несприятливими будемо вважати доступи виду:
За допомогою саме таких доступів деякого користувача до деякого об'єкта, створеного іншим користувачем, можна здійснювати опис витоків інформації. Зазначимо, що в даному випадку йдеться про таку найбільш важливу загрозу інформації, як порушення її конфіденційності.
Згідно з існуючими стандартами захисту можна визначити такі основні шляхи порушення конфіденційності:
втрата контролю над системою захисту інформації (СЗІ);
канали витоку інформації.
Всі інші шляхи порушення конфіденційності так чи інакше зводяться до них.
Якщо СЗІ перестає адекватно функціонувати, то, звичайно, може реалізуватися НСД до інформації. Це може бути також причиною виникнення прихованих каналів витоку інформації. Канали витоку характеризують ситуацію, коли або проектувальники не змогли попередити НСД, або СЗІ не в змозі розглядати такий доступ як заборонений.
Крім загрози порушення конфщенційності інформації існують і інші загрози, зокрема загрози цілісності, тобто можливості несанкціоновано модифікувати інформацію. Мова опису загроз цілісності інформації є цілком аналогічною мові опису загроз конфіденційності. Однак між загрозами цим властивостям є принципова різниця. Так, загроза для порушення конфіденційності це незаконне ознайомлення з інформацією, тобто на саму інформацію активної дії немає. Виявилося, що для опису
такої загрози достатньо поняття каналу витоку. Для цілісності ж основна загроза це незаконна модифікація інформації, тобто повинна бути активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність [6].
У введених позначеннях вираз для визначення каналу дії на цілісність набуде вигляду:
де R' підмножина доступів, за якими можлива модифікація інформації (write, delete, modify тощо).
Загрози доступності інформації проявляються у тому, що в деякий момент часу користувач не може отримати доступ до об'єктів, на який
(8.6)
Зауважимо, що в даному випадку саме відсутність каналів доступу вважається небезпечною.
На відміну від конфіденційності або цілісності, де наявність каналів витоку є негативною обставиною, спостереженість повинна мати канали спостереження. Тобто канали, за допомогою яких можна отримати доступ на читання до певної множини процесів та об'єктів, якщо вважати, що доступ на читання з об'єкта забезпечує можливість його спостерігати. Графічно це можна зобразити так:
тобто користувач U\ активізує процес S, який може отримати доступ на читання (г) до певної множини процесів та об'єктів {Sc,Oc}. Термін «певна множина» означає обраний і фіксований перелік подій, які мають відношення до безпеки інформації в АС. Слід також звернути увагу на те, що доступ на читання (r) є досить сильною вимогою, оскільки для спостереженості достатньо більш слабкого доступу (який, наприклад, дозволяв би тільки визначати була подія чи ні).
Дія будь-якої загрози спостереженості зводиться до неможливості її реалізувати або до відсутності будь-яких каналів доступу, що формально виражається таким чином:
де R" підмножина доступів, за якими можливо спостерігати за процесами або об'єктами.
Проаналізувавши визначені вище несприятливі доступи, їх можна розділити на дві групи: канали дії на конфіденційність та цілісність і канали дії на доступність і спостереженість.
Розглянемо процес обробки інформації, який, як було сказано раніше, регламентується ПБ. До наведених вище припущень щодо властивостей системи додамо ще одне, яке конкретизує порядок надання доступу суб'єкта до об'єктів.
Припущення 4. Якщо деякий суб'єкт S ? D активізований користувачем Ut (тобто існує ланцюжок активізації а суб'єкту S в момент часу t наданий доступ до об'єкта О, то існує альтернатива: або або система припиняє роботу.
Далі для розглянутої системи сформулюємо ПБ, користуючись введеними позначеннями.
Політика безпеки: Нехай Якщо, то за умови доступ дозволений, а при заборонений.
Теорема 8.1. Нехай у системі виконуються припущення 1–4. Якщо всі доступи здійснюються відповідно до політики безпеки, то витік інформації неможливий.
Доведення. Доведемо від супротивного. Припустимо, що є витік інформації (1.2). Нехай S1, ..., Sl всі активізовані суб'єкти, що мають в момент часу t доступи до об'єкта О. За лемою 2,
множина цих суб'єктів розбивається на три неперетинні множини:
Лема 1 стверджує, що для будь-якого суб'єкта Sk, k ? 1,..., l існує єдиний користувач, що породив ланцюжок його активізації.
Якщото згідно з припущенням 4 і умовою теореми, що доступ дозволений, отримуємо, що Sk активізований від імені Uj. Це суперечить нашому припущенню.
Якщо то відповідно до політики безпеки доступ
неможливий. Тоді якщото існує ланцюжок доступів Довжина цього ланцюжка п + 1, причому суб'єктТоді існує ланцюжок довжини п такий, що
Повторюючицю процедуру, через п кроків, отримаємо:
Очевидно, що в разі виконання ПБ останній доступ неможливий. Отже, припущення є неправильним, що і доводить теорему.
Аналогічний результат можна отримати і для загроз цілісності. Треба лише змінити канал витоку на відповідний канал дії на цілісність.
Теорема 8.1. Нехай у системі виконуються припущення 1-4. Якщо всі доступи здійснюються відповідно до ПБ, то канал дії на цілісність (8.5) є неможливим.
Доведення. Дана теорема доводиться аналогічно до попередньої. Потрібно лише враховувати те, що в цьому випадку доступи дають можливість модифікації інформації, тобто р ? R'.
Тепер сформулюємо ряд послуг більш «низького» рівня, зручних для реалізації, за допомогою яких можна підтримувати обрану ПБ. Саме набір цих послуг (при їх реалізації в системі) має бути достатньою умовою для гарантованого виконання правил ПБ. Аналіз показує, що мінімальний набір таких умов може бути таким.
Умова 1. (Ідентифікація і автентифікація.)
Якщо то обчислені функції належності S і О до множин
Умова 2. (Дозвільна підсистема.) Якщота в момент t, то з і =j випливає випливає
Умова 3. (Відсутність обхідних шляхів ПБ.) якщо суб'єкт S, активізований до моменту t-1, отримав в момент t доступ то в момент t - 1 відбувся запит на доступ
Виявляється, що наведених припущень та умов достатньо для доведення наступного важливого твердження.
Теорема 8.2. Якщо в системі ? виконуються припущення 14 і умови 13, то виконуються правила політики безпеки.
Доведення. Для доведення теореми достатньо довести такі твердження:
(1)Якщото доступ дозволений.
(2) Якщото будь-який доступ у момент t суб'єкта S до об'єкта О неможливий.
Твердження (1) безпосередньо випливає з наведених нами умов. Справді, якщого за умовою 1 обчислено функції належності та визначено, що. Якщо і =j, то згідно з умовою 2 доступдозволений. Аналогічно і в другому випадку, якщодоступ буде неможливим.
Якщо ж доступ став можливим, обминаючи запит і S активізований до моменту t 1, це суперечить умові 3. Зауважимо, що якщо суб'єкт не є активізованим, то доступ не може відбутися згідно з визначенням. Теорему доведено.
Наведена теорема показує, що для виконання правил ПБ достатньо виконати умови 1- 3. Таким чином, отримано конкретні рекомендації щодо побудови гарантовано захищеної системи обробки інформації. Залишається тепер дослідити цілісність, доступність і спостереженість.
Для цілісності має місце аналогічний результат. Необхідно лише розглядати множину доступів, за якими можлива модифікація інформації.
Сформулюємо тепер умови збереження доступності. Нехай має місце (8.6). Толі
якщо згідно із сформульованою раніше політикою безпеки;
якщотобто за допомогою каналу дії на цілісність інший користувач перекрив доступ до об'єкта. Але це неможливо відповідно до правил ПБ.
В останньому випадку канал дії на доступність може реалізуватися внаслідок помилок, відмов, збоїв апаратної частини. Нейтралізувати такий канал можна шляхом резервного копіювання, використання апаратури з підвищеною стійкістю до відмов, здатністю до відновлення після збоїв тощо.
Зауважимо, щооскільки це суперечить самому визначенню каналу дії на доступність. Проте можна проаналізувати і такий випадок. Раніше відзначалося, що множина D є фіксованою, тому користувачі не можуть створювати або знищувати об'єкти з D. Втім доцільно було б запровадити таке припущення.
Припущення 5. Доступи виду є неможливими. Фактично це означає, що жоден користувач не може заборонити іншим доступ до об'єктів з D.
Оскільки дія загрози спостереженості також зводиться до відсутності каналів доступу, то все вищезгадане справедливе і для каналів дії на спостереженість. Необхідно лише розглядати множину тих видів доступу, за якими можна спостерігати за процесами чи об'єктами.
Таким чином, розглянуто умови захисту системи обробки інформації від каналів дії на конфіденційність, цілісність, доступність і спостереженість. Припущення 1–5, теореми 8.1–8.2 та умови 1–3 гарантують захист від порушень усіх ФВЗІ. Крім того, встановлено, що незважаючи на те, що всі ФВЗІ є незалежними, оперуючи поняттям доступу, в рамках даного формалізму можна звести цілісність до конфіденційності, а спостереженість до доступності.
Однак залишається питання про реальну можливість створення системи, у якій з достатнім ступенем упевненості можна підтримувати послуги 1–3. Отже, чи існують такі системи? Для цього розглянемо таку архітектуру АСОД:
У кожен момент тільки один користувач АСОД може працювати з системою. Фізична присутність іншого виключена.
При зміні користувачів системи один одним той, що залишає систему:
записує в зовнішню пам'ять всі об'єкти, які він хоче зберегти для подальших сеансів;
виключає живлення системи, після чого весь вміст оперативної пам'яті стирається, залишаються лише записи на зовнішній пам'яті, де зберігаються об'єкти загального доступу.
Новий користувач організує свою роботу з включення системи і викликає свої об'єкти із зовнішньої пам'яті, користуючись об'єктами загального користування.
На шлюзі зовнішньої пам'яті встановлено шифратор К, що зашифровує за допомогою поточного ключа k всю інформацію, яка записується на зовнішню пам'ять, включаючи назви файлів. Навпаки, вся інформація, що надходить із зовнішньої пам'яті, розшифровується за допомогою поточного ключа k Зовнішня пам'ять не має опції «перегляд директорії», а будь-який запит на звертання до файлу функціонує так, що назва запитуваного файлу шифрується за допомогою поточного ключа к. При зміні користувачів поточний ключ к автоматично стирається (разом із вмістом оперативної пам'яті), а новий користувач як поточний установлює свій ключ.
Покажемо, що функціонування системи даної архітектури дозволяє реалізувати всі описані вище властивості і, зокрема, виконати умови теорем 8.1 і 8.2.
Припущення 1 та інші припущення в описі системи цілком прийнятні для розглянутої архітектури. Оскільки несприятливі стани системи і політики безпеки виражені в термінах доступів, то для прийнятності припущення 2 досить, щоб можливі обчислювані процеси однозначно відбивалися в термінах послідовностей доступів і значень функцій належності об'єктів до множин Ot(U1), Ot(U2), D. Якщо об'єкт тільки що створений і знаходиться в оперативній пам'яті, то доступ до нього з боку процесів від імені користувача-творця автоматично дозволений за визначенням і можна вважати, що функція належності обчислена. Якщо об'єкт викликаний із зовнішньої пам'яті, то сам виклик і доступ до інформації в об'єкті можливі, якщо встановлено правильний ключ, що знову ж еквівалентно обчисленню функції належності до Оt(U). Припущення 3 і 4 виконуються, тому що знову підключений користувач працює один і викликає із зовнішньої пам'яті функції й об'єкти D. У системі немає суб'єкта, що реалізує дозвільну систему, вона природно реалізована за рахунок того, що розшифрована інформація читається тоді і тільки тоді, коли в шифраторі К встановлено потрібний ключ. Якщо користувач чи процес від його імені звертається за доступом до об'єкта на зовнішній пам'яті, то будь-який доступ дозволений, якщо ключ зашифрування об'єкта (ключ творця об'єкта) збігається з ключем поточного користувача. Навпаки, при розбіжності ключів допуск автоматично не дозволяється, тому що ім'я об'єкта і його зміст не розшифровуються правильно.
Таким чином, автоматично обчислюються функції належності процесу й об'єкта при звертанні через зовнішню пам'ять, що забезпечує виконання умови 1. Також автоматично виконується умова 2 про роботу дозвільної системи. Умови 1 і 2 не стосуються звертань процесів з D і до D. Тому питання ідентифікації тут вирішуються за рахунок поділу сеансів користувачів і зазначені умови виконуються.
Доступ до об'єкта можливий лише при звертанні до зовнішньої пам'яті через шифратор чи у випадку, коли об'єкт створений протягом поточного сеансу. Якщо вважати, що доступ до об'єктів в оперативній пам'яті автоматично спирається на даний користувачу дозвіл на доступ до них, а активізованими можуть бути суб'єкти від його ж імені, то можна вважати, що будь-який доступ у цьому випадку виконується відповідно до умов 1 і 2.
Що стосується умови 3, то неможливість одержати доступ, минаючи дозвільну систему, визначається разнесеністю роботи користувачів, відсутністю підслуховування, необхідністю розшифровувати інформацію для одержання доступу до неї. Це не стосується об'єктів з D або тільки створених, де немає проблем через рознесеність сеансів. Також вважається, що відсутнє фізичне проникнення в систему і можливість модифікації системи.
У результаті виявляється, що дана архітектура цілком реалізує умови теорем 8.1 і 8.2 і підтримує політику безпеки.
Підсумовуємо те, що забезпечує гарантії в побудованій системі (тобто що підтримує умови теорем 8.1 і 8.2):
забезпечення роботи тільки одного користувача (охорона);
відключення живлення при зміні користувачів;
стійкість шифратора К і збереження у таємниці ключів кожного користувача;
неприпустимість фізичного проникнення в апаратну частину чи підслуховування (охорона).
Відомо, як забезпечувати ці вимоги, а гарантії їх забезпечення є гарантією захищеності системи відповідно до обраної політики безпеки.
8.7. Моделі безпеки систем
Одною з перших спроб використати модель для опису механізму захисту була система АДЕПТ50. Вона включає чотири типи об'єктів, що мають відношення до безпеки: користувачі (u), завдання (j), термінали (t) і файли (f), причому кожний з об'єктів описується чотиривимірним кортежем (А, С, F, М), який містить параметри безпеки.
Компетенція (А) – скаляр елемент з набору ієрархічно впорядкованих положень про безпеку, таких як: НЕСЕКРЕТНО, КОНФІДЕНЦІЙНО, ТАЄМНО, ЦІЛКОМ ТАЄМНО.
Категорія (C) – дискретний набір рубрик. Категорії не залежать від рівня компетенції. Як приклад можна навести такий набір: ОБМЕЖЕНО, ТІЛЬКИ ДЛЯ ПЕРЕГЛЯДУ, ЯДЕРНИЙ, ПОЛІТИЧНИЙ.
Повноваження (F) – множина користувачів, які мають право на доступ до певного об'єкта.
Режим (М) – набір видів доступів, дозволених до певного об'єкта або які можуть здійснюватися самим об'єктом. Наприклад: ЧИТАТИ, ЗАЛУЧИТИ ДАНІ, ВИКОНАТИ ПРОГРАМУ.
Позначимо: U={u}– набір усіх відомих системі користувачів, F(i) – набір користувачів, що мають право використовувати об'єкт і (або, інакше кажучи, набір користувачів, яким «дозволено» знати об'єкт і). Тепер можна сформулювати такі прості правила, за якими функціонує система:
Користувач и отримує доступ до системи тоді і тільки тоді, коли и ? U, де U– набір усіх відомих системі користувачів, що мають на це право.
Користувач и отримує доступ до термінала t тоді і тільки тоді, коли t ? F(t), тобто тоді і тільки тоді, коли користувач и має право використовувати термінал t.
Користувач и отримує доступ до файлу f тоді і тільки тоді, коли
тобто тоді тільки тоді, коли:
привілеї виконуваного завдання більші, ніж привілеї файлу, або дорівнюють їм;
користувач є членом F(f), тобто належить до множини тих користувачів, які мають право використовувати файл f
Задаючи параметри безпеки певним чином, можна отримати таку матрицю визначення параметрів безпеки.
Як бачимо, новий створений в системі файл отримує найвищі параметри безпеки серед параметрів даних ( f1, f2 ), що його складають.
Крім того, звернемо увагу на зв'язок між параметрами в стовпчиках для С i М. Для об'єкта «Завдання j» результуючі параметри С і М беруться як перетини відповідних множин. В той же час для нового файлу параметр С береться як об'єднання множин. Це легко зрозуміти, зважаючи на те, що новий файл має належати до категорій, до яких належали старі файли, а привілеї завдання повинні бути не більшими, ніж найменший привілей з пари користувач термінал.
Чотиривимірний кортеж безпеки, отриманий на основі прав завдання, а не прав користувача, використовується в моделі для управління доступом. Така «парасолька завдань» забезпечує однорідний контроль прав на доступ над неоднорідною множиною програм і даних, файлів, користувачів і терміналів. Наприклад, найвищим повноваженням доступу до файлу для користувача «ЦІЛКОМ ТЄМНО», який виконує завдання з терміналу «КОНФІДЕНЦІЙНО», буде «КОНФІДЕНЦІЙНО».
Розглянемо модель матриці доступів. Вона використовується для аналізу систем захисту, де реалізується дискреційна політика безпеки.
Означення. Система захисту складається з таких частин:
Скінченний набір загальних прав R = {r1,..., rп} .
Скінченний набір вихідних суб'єктів S0 і скінченний набір вихідних об'єктів О0, де
Скінченний набір команд С форми ?(х1;..., хk), де ? – ім'я, х1,..., хk – формальні параметри, що вказують на об'єкти.
Інтерпретація J для команд така, що J відображає С в послідовність елементарних операцій. Елементарними операціями вважаються операції:
ввести r в (s, о);
видалити r з (s, о);
створити об'єкт о;
знищити об'єкт о;
створити суб'єкт s;
знищити суб'єкт 5,
де r – загальне право, s – ім'я суб'єкта, о – ім'я об'єкта.
Умови для команд. Умова С відображення елементів набору команд у набір прав. Право – це тріада (s, о, r), де r ? R, a s і о – формальні параметри, які є суб'єктами відповідно. Відзначимо різницю між «правом» і «загальним правом». «Право» – це привілей, що надається суб'єкту s, щоб застосувати загальне право r до об'єкта о.
Матриця доступів Р з рядком для кожного суб'єкта в s і стовпчиком для кожного об'єкта в о.
Харісон зі співробітниками визначили «безпеку» і «відсутність витоку» таким чином.
Означення. Для даної системи захисту команда ?(х1;..., хk) може призвести до витоку загального права r, якщо її інтерпретація містить деяку елементарну операцію у формі «ввести r в (s, о) для деяких с і о ».
Означення. Для даної системи захисту і права r початкова конфігурація (s0, о0, р0) є безпечною для r у цій системі, якщо не існує конфігурації (s, о, р) такої, що (s0,o0,p0) приведе до (s, о, р), та існує команда ?(x1,..., хk), умови якої задовольняються в (s, о, р) і яка для деяких реальних параметрів дає витік через команду «ввести r в (s, о) для суб'єкта s і об'єкта о», існуючих під час виконання команди «ввести» і для яких r не належить p[s, о].
На основі цих означень можна отримати результат, який може навіть збентежити.
Теорема 8.3. Не існує алгоритму, який для довільної системи захисту і загального права r може вирішити, безпечною чи ні є вихідна конфігурація.
Цей результат подіяв як холодний душ на тих, хто хотів би забезпечити наперед достовірну безпеку довільної системи захисту. Однак не все так погано, як здається. Зокрема, з цієї теореми випливають принаймні два шляхи вибору моделей систем захисту. По-перше, загальна модель хоча і не дає можливості формально довести їх безпеку, зате дає багато різноманітних політик дискреційного розмежування доступу. А по-друге, можна використовувати більш обмежені (у сенсі визначення і наявності певних операцій у моделі) системи, для яких можна довести безпеку, тобто розглядати специфічні моделі системи. Наприклад, показано, що для моделей систем з кінцевою множиною суб'єктів (специфічна модель системи) задача безпеки розв'язувана, але обчислювально складна.
Далі розглянемо приклад моделі поширення прав на основі моделі дискреційної політики безпеки, яка відома під назвою TakeGrant.
У цій моделі, як і раніше, функціонування системи описується за допомогою графів доступів G, і траєкторій у фазовому просторі {G}. Єдине доповнення правила перетворення графів. Будемо розглядати таку множину доступів: R = {r, w, с}, де r – читати, w – писати, с – викликати. Допускається, що суб'єкт X може мати права ??R доступ до об'єкта Y, причому ці права записуються в матриці контролю доступів. Крім цих прав введемо ще два: право take(f) і право grant(g), що також записуються в матрицю контролю доступів суб'єкта до об'єктів. Перетворення станів, тобто перетворення графів доступів, проводяться за допомогою певних команд. У моделі встановлено 4 види команд, за якими один граф доступу перетворюється в інший.
1. Таkе. Нехай S – суб'єкт, що має право t до об'єкта X, і ? ? R – деяке право доступу об'єкта X до об'єкта Y. Тоді можлива команда «S take ? for Y m from X». В результаті виконання цієї команди в множину прав доступу суб'єкта S до об'єкта У додається право ?. Графічно це означає, що якщо у вихідному графі доступів G був підграф
то в новому стані G', побудованому за цією командою t, буде підграф
2. Grant. Нехай суб'єкт S має право g до об'єкта X і право до
об'єкта Y. Тоді можлива команда «5 grant ? for Y to X». У результаті виконання цієї команди граф доступів G перетвориться в новий граф G', що відрізняється від G доданою дугою (X Y). Графічно це означає, що якщо у вихідному графі G був підграф то в новому стані G' буде підграф
то в новому стані G' буде підграф
3. Create. Нехай S – суб'єкт, Команда «S create P far new object X» створює в графі нову вершину X і визначає Р як права доступів S до X. Тобто порівняно з графом G у новому стані G' додається підграф виду
4. Remove. Нехай S – суб'єкт та X - об'єкт, Команда «S remove P for X» виключає права доступу Р із прав суб'єкта S до об'єкта X. Графічно перетворення графа доступу G у новий стан G' у результаті цієї команди можна зобразити в такий спосіб:
Будемо розуміти під безпекою можливість чи неможливість довільній фіксованій вершині Р одержати доступ ? ? R до довільної фіксованої вершини X шляхом перетворення поточного графа G деякою послідовністю команд у граф G', де зазначений доступ дозволений.
Означення. У графі доступів G вершини P і S називаються tg-зв’язними, якщо існує шлях G, що з’єднує P і S, безвідносно до орієнтації дуг, але такий, що кожне ребро цього шляху має мітку, що включає t або g.
Теорема 8.4. Суб’єкт P може одержати доступ до об’єкта X, якщо існує суб’єкт S, що має доступ ? до вершини X, такий, що суб’єкти P та S зв’язані довільно орієнтованою дугою, що містить хоча б одне з прав t чи g.
Доведення. Можливі 4 випадки.
1. У G є підграф Тоді маємо право застосувати команду «P take ? for X to P» і одержимо в G` підграф
2. У G є підграф
Тоді маємо право застосувати команду «P take ? for X to P» і одержимо в G` підграф
3. У графі G є підграф Тоді застосуємо таку послідовність дозволених команд для перетворення графа G`:
4. У графі G є підграф Тоді застосовуємо таку
послідовність дозволених команд для перетворення графа G у граф G' з дугою (РX).
Далі будемо записувати перетворення графів коротко
Теорему доведено.
Зауважимо, що мітка з правом а на дузі в розглянутих графах не означає, що не може бути інших прав. Це зроблено для зручності.
Теорема 8.5. Нехай у системі всі об'єкти є суб'єктами. Тоді суб'єкт Р може одержати доступ ? до суб'єкта X тоді і тільки тоді, коли виконуються умови:
Існує суб'єкт S такий, що в поточному графі є дуга
S tg-зв'язна з Р.
Доведення.
Достатність. Доведення будемо вести індукцією по довжині п tg-шляху, що з'єднує S і Р. При п = 1 твердження доведене в теоремі 1. Нехай довжина tg-шляху в G, що з'єднує S і Р, дорівнює п > 1. Нехай також є вершина Q на цьому tg-шляху, що суміжна з S. Тоді за теоремою 1 можна перейти до графа G', у якому Ясно, що проведені при цьому команди не знищують tg-шляху, що веде з При цьому довжина шляху з дорівнює (п-1), що дозволяє застосувати припущення індукції. Тоді можливий перехід від G' до G", у якому є дуга
Наскрізний перехід від G до G' доводить достатність.
Необхідність. Нехай для пари вершин Р і X у графі G немає дуги а після виконання деякої послідовності команд у графі G' є дуга. Якщо в G немає жодної вершини S, для якої існує дуга то для будь-якої команди з перетворення графа G у графі G', отриманому за допомогою команди с, також немає жодної вершини S, з якої виходить дуга Це випливає з перегляду всіх чотирьох припустимих команд. Тоді для будь-якої послідовності команд у графі G', отриманому з G застосуванням цієї послідовності команд, також немає якої-небудь вершини S з дугою
Тоді такої вершини немає в графі G', що суперечить умові. Отже, у графі G є S така, що
Нехай G' такий граф, коли вперше з'являється дуга Нехай G' такий граф, з якого за деякою командою вийшов G'. Тоді перегляд команд дає підставу зробити висновок, що дуга виникла застосуванням до якогоськоманди take чи grant.
Це значить, що в графі G' від Р до S існує tg-шлях довжини l.
Нехай у графі G вершини Р і S не зв'язані tg-шляхом. Тоді при будь-якій команді у графі G', отриманому з G командою с, також немає tg-шляху з Справді, візьмемо take
Якщо в р не було take чи grant, то нова дуга не збільшує кількості дуг із правом take чи grant у новому графі, тому новий tg-шлях виникнути не може.
Якщо в р є take чи grant, то між V і Z існував tg-шлях і нова дуга не збільшила числа tg-зв'язних вершин і тому не могла зв'язати Р і S. Аналогічно доводиться для випадку, коли Y і Z були зв'язані дугою grant. Команда create також не може зв'язати існуючі вершини Р і S tg-шляхом.
Значить, при будь-якій послідовності команд с1, .... сn, якщо в G немає tg-шляху з Р в S, то їх немає в G', отриманому з G за допомогою с1, .... сn. Але це суперечить зробленому вище висновку про наявність такого шляху довжини l у графі G'. Теорему доведено.
Таким чином, тут наведено приклад дискреційного доступу суб'єктів до об'єктів.
Далі розглянемо більш складну модель системи безпеки Белла-Лападула (БЛ).
Модель БЛ побудована для обґрунтування безпеки систем, що використовують політику MLS. У викладі моделі БЛ будемо користуватися роботою J. McLean (1987), у якій класи об'єктів передбачаються незмінними. Однак навіть у такому вигляді модель є досить складною, тому для ілюстрації її складності наведемо тільки її основні поняття й означення та сформулюємо основні теореми (без доведення).
Для опису моделі нам буде потрібний дещо інший опис самої обчислювальної системи. Нехай визначено кінцеві множини S, О, R, L:
S – множина суб'єктів системи;
О – множина об'єктів, що не є суб'єктами;
R – множина прав доступу; R = {read(r), write (w), execute (e), append(a)};
L – рівні таємності.
Множина V станів системи визначається добутком множин: V = B ? M ? F ? H,
де співмножники визначаються в такий спосіб. В множина поточних доступів і є підмножина множини підмножин добутку S ? О ? R. Множину підмножин будемо позначати P(S ? O ? R), елементи множини В будемо позначати b, і вони представляють у сучасний момент t графи поточного доступу (у кожен момент суб'єкт може мати тільки один вид доступу до даного об'єкта).
М – матриця дозволених доступів, підмножина множини
де кожен елементf = (fs,fo,fc),f ?.F, складається з трьох компонент, кожна з яких є теж вектором (чи відображенням):
fs – рівень допуску суб'єктів (це деяке відображення f0 – рівень таємності об'єктів (це деяке відображення fc – поточний рівень таємності суб'єктів (це теж деяке відображення fc: S —> L).
Елементи підмножини F, що допущені для визначення стану, повинні задовольняти співвідношення:
Н– поточний рівень ієрархії об'єктів, у роботі McLean цей рівень не змінюється, збігається з f0 та далі не розглядається.
Елементи множини V станів будуть позначатися через v. Нехай визначені множина Q запитів у систему і множина D рішень з приводу цих запитів (D = {yes, no, error}).Визначимо множину W дій системи як
Кожна дія системи (q, d, v2, v1) має такий сенс: якщо система знаходилася в даний момент у стані v1 надійшов запит q, то прийнято рішення d і система перейшла у стан v2.
Нехай Т множина значень часу (для зручності будемо вважати, що T=N – множина натуральних чисел). Визначимо набір із трьох функцій (х, у, z)
і позначимо множини таких функцій X, Y, Z відповідно.
Розглянемо X ? Y ? Z і визначимо поняття системи в моделі БЛ.
Означення. Системою називається підмножина
X ? Y ? Z така, що (х, у, z) ?для
кожного значення t ? Т, де z0 початковий стан системи.
Означення. Кожен набір (х, у, z) ? ?(Q, D, W, z0) називається реалізацією системи.
Означення. Якщо (х, у, z) реалізація системи, то кожна четвірка (хt уt zt, zt-1) називається дією системи.
Неважко побачити, що за відсутності обмежень на запити в такий спосіб визначено деякий автомат, у якого вхідний алфавіт Q, а вихідний D, а множина внутрішніх станів V. Автомат задається множиною своїх реалізацій. Перейдемо до визначення понять, пов'язаних з безпекою системи.
Означення. Трійка задовольняє властивості простої таємності (ss-властивість) відносно f, якщо X— execute, чи Х= append, чи якщо Х= read та fs(S) >f0(0), чи X= write та fs(S) >f0(S).
Означення. Стан v = (b, M,f, h) має *- властивість, якщо для кожного елемента (S, О, X) ? В цей елемент має *-властивість відносно f.
Означення. Стан v = (b, M, f, h) має *-властивість, якщо для кожного (S, 0,Х) ? В при Х= write поточний рівень суб'єкта fc(S) дорівнює рівню об'єкта f0(0), чи при X = read fc(S) > f0(O), чи при X = append fО(O) >fc(S).
Означення. Стан має *- властивість щодо множини суб'єктів S`, S` ? S, якщо вона виконується для всіх трійок (S, О, X), таких що S'? S.
Означення. Суб'єкти з множини S \ S' називаються довіреними.
Лема 8.3. З *- властивості для стану v = (b, M, f, h) випливає ss-властивість відносно f для усіх (S, 0, Х) ? В.
Доведення. Твердження випливає з умови fs(S) >fc(S).
Означення. Стан v = (b, M, f, h) має ds-властивість, якщо ?(S, O, X) ? b? mso, де М = ||mso|| – матриця доступу стану v.
Означення. Стан v = (b, M, f, h) називається безпечним, якщо він має одночасно ss-властивість, *-властивість відносно S" і ds-властивість.
Нагадаємо формулювання політики MLS, зв'язаної з решіткою цінностей SC (L, де L – лінійний порядок, SC– решітка підмножин в інформації: інформаційний потік між двома об'єктами називається дозволеним, якщо клас об'єкта джерела домінується класом об'єкта одержувача. З визначення ss-властивості випливає, що в безпечному стані можливе читання вниз, що узгоджується з еквівалентним визначенням MLSполітики. Крім того, ss-властивість визначає обмеження на можливість модифікації, що зв'язане з write:
Пояснимо *-властивість. Якщо суб'єкт може понизити свій поточний допуск до fc(S) =fo(0), то, згідно з *-властивістю, він може писати в об'єкт. При цьому він не може читати об'єкти на більш високих рівнях, хоча допуск fc(S) йому це може дозволити. Тим самим виключається можливий канал витоку:
Таким чином, при записуванні інформаційний потік знову не може бути спрямований униз. Виняток можливий тільки для довірених суб'єктів, яким дозволено будувати інформаційний потік униз. При цьому доручення суб'єкта означає безпеку такого потоку вниз (тому ці потоки вважаються дозволеними). Сказане вище означає, що безпечний стан моделі БЛ підтримує політику MLS. Виходить, для того, щоб довести, що будь-який потік на траєкторії обчислювальної системи дозволений, досить показати, що, виходячи з безпечного стану і відповідаючи припустимим діям, ми знову приходимо в безпечний стан, тим самим будь-яка реалізація процесу буде безпечною.
Означення. Реалізація (х, у, z) системи ?(Q, D, W, z) має ss-властивість (*-властивість, ds-властивість), якщо в послідовності (z0, z1.„) кожен стан z„ має ss-властивість (*-властивість, ds-властивість).
Означення. Система має ss-властивість (відповідно, *-властивість, ds-властивість), якщо кожна її реалізація має ss-властивість (відповідно, *-властивість, ds-властивість).
Означення. Система називається безпечною, якщо вона має одночасно ss-властивість ,*-властивість, ds-властивість.
Теорема 8.5. ?(Q, D W, z0) має ss-властивість для будь-якого початкового zo, що має ss-властивість, тоді і тільки тоді, коли W задовольняє такі умови для кожної дії (q, d(b*, M*, і* h*), (b, M, f, h)):
?(S, О, X) ? b* | b має ss-властивість відносно/*.
якщо (S, О, X) є b і не має 55властивості відносно f*, то (S, O, X) ? b*.
Теорема 8.6. Система ?.(R, D W, z0) має *-властивість відносно S` для будь-якого початкового стану z0, що має *-властивість відносно S`, тоді і тільки тоді, коли W задовольняє такі умови для кожної дії (q, d, (b*, M* ,f*, h*), (b, M, f, h)):
?S ? S`, ?(S, O, X) ? b* |b має *-властивість відносно f*;
?S ? S`, ?(S, О, X) ? b і (S, О, X) має *властивість відносно f*, то (S, О, X) ? b*.
Теорема A3. Система ?(Q, D, W, z0) має ds-властивість тоді і тільки тоді, коли для будь-якого початкового стану, що має ds-властивість, W задовольняє такі умови для будь-якої дії (q, d(b*, M*, f*, h*), (b, M, f, h)):
(S, 0, X) ? b* | b, то Х ? mso*,
(S, 0, X) ? b* | b,X ? mso*, то (S, O, X) ? b*.
Доведення проводиться аналогічно.
Теорема 8.7. (Basic Security Theorem BST.) Система ?(Q, D, W, z0) – безпечна тоді і тільки тоді, коли z0 безпечний стан і W задовольняє умови теорем 8.5, 8.6, 8.7 для кожної дії.
8.8. Загальні моделі
Одним з можливих методів вартісної оцінки різних заходів із забезпечення безпеки може бути такий.
Нехай І(Х, Y) очікуваний обсяг інформації, який може отримати ЗЛ, витративши X коштів для подолання захисту, на який захисником витрачено Y коштів. Нехай f(N) вартість N одиниць інформації з точки зору ЗЛ, a g(N) її вартість з точки зору захисника. Тоді чистий прибуток ЗЛ U(X, Y) становитиме
U(X,Y)=f(I(X,Y)) - X, (8.8)
а чисті збитки для захисника і власника інформації V(X, Y) становитимуть
V(X,Y) = g(I(X,Y))+Y. (8.9)
Зрозуміло, що ЗЛ може змінювати свої витрати для максимізації значення виразу (8.8). Захиснику ж слід оцінювати вартість інформації, яка захищається, технічні можливості реалізації загроз та ймовірні ресурси ЗЛ з метою мінімізації виразу (8.9). Якщо функції f, g, І диференційовані, то шукані значення X та Y мають задовольняти умови
Для дослідження цієї моделі необхідно мати аналітичні або емпіричні вирази для величин:
вартість інформації з точки зору ЗЛ (тобто функцію f(N));
вартість інформації з точки зору захисника (тобто функції g(N));
величину очікуваного обсягу інформації (тобто функції І(Х, Y));
вартості реалізації різних рівнів захисту;
вартості можливих співвідношень між ступенями забезпеченості ЗЛ (витрати ЗЛ) і витратами захисника.
Як бачимо, їх дуже важко визначити і часто вони сильно залежать від конкретних деталей системи забезпечення безпеки і властивостей інформації, яка захищається. Тому, незважаючи на привабливість та простоту такої схеми, реалізувати її дуже важко.
У моделі з повним перекриттям розглядається взаємодія «області загроз», «області, що захищається» і «системи захисту». Таким чином, маємо три множини:
T= {ti} – множина загроз безпеки;
О = {оj}– множина об'єктів (ресурсів) захищеної системи;
М= {тk}– множина механізмів безпеки АС.
Елементи цих множин перебувають між собою у певних відношеннях, власне і захисту, що описують систему. Для опису системи захисту звичайно використовується графова модель. Множина відношень об'єкт-загроза-об'єкт утворить дводольний граф {?Т, O?}. Ціль захисту полягає в тому, щоб перекрити всі можливі ребра в графі (рис. 5).
Це досягається введенням третього набору М; у результаті виходить тридольний граф {?T,М,O?} (рис. 6).
Вводиться ще дві множини:
V— набір вразливих місць, обумовлений підмножиною декартового добутку ТО: vi = ?ti, oj?. Під вразливістю системи захисту розуміють можливість здійснення загрози t щодо об'єкта о. На практиці під вразливістю системи захисту звичайно розуміють не саму можливість здійснення загрози безпеки, а ті властивості системи, що або сприяють успішному здійсненню загрози, або можуть бути використані ЗЛ для здійснення загрози.
В набір бар'єрів, обумовлений декартовим добутком V? М: bj = ?tj,Oj, mk?, що являють собою шляхи здійснення загроз безпеки, перекриті засобами захисту.
У результаті виходить система, що складається з п'яти елементів: (Т,0,M,V,B), яка описує систему захисту з урахуванням наявності в ній вразливостей.
Для системи з повним перекриттям для будь-якої вразливості існує бар'єр, що її усуває. Іншими словами, в такій системі захисту для всіх можливих загроз присутні механізми захисту, які протидіють реалізації цих загроз. Ця умова є першим фактором, який визначає захищеність АС. Іншим фактором є міцність механізмів захисту. Ідеальною слід вважати ситуацію, коли кожний механізм захисту усуває відповідний шлях реалізації загрози. Реально ж механізми захисту забезпечують лише певний рівень протидії загрозам. Отже, як характеристика елемента набору бар'єрів bi=?ti,Oj, mk? може розглядатися набір ?Pi, Li, Ri?, де Рi – ймовірність появи загрози, Li – величина збитків при реалізації загрози (рівень серйозності загрози), Ri – ступінь опірності механізму захисту (ймовірність його подолання).
Іншим прикладом застосування загальних моделей захисту може бути модель процесу захисту [3]. У найзагальнішому вигляді вона може бути представлена так.
Відповідно до цієї моделі обробка інформації на об'єкті здійснюється в умовах дії на інформацію загроз (дестабілізуючих факторів ДФ). Для протидії загрозам інформації можуть використовуватися спеціальні засоби захисту, які здійснюють нейтралізуючу дію на ДФ. Нехай Оi – об'єкт захисту, стан якого змінюється з часом, Tj – дестабілізуючий фактор, Сl – засіб захисту. Якщо Рік є ймовірністю захищеності i-го об'єкта в k-тому стані, то
де аk частка k-того стану (режиму роботи) АС за період часу, що аналізується. Цю частку найбільш об'єктивно можна оцінити, вважаючи представлення аk у вигляді частки інтервалу часу АС в k-му стані (?tk) в загальній тривалості часу, який оцінюється ?T, тобто
Для загального випадку звичайно будемо вважати, що СЗІ може бути неповною в тому сенсі, що в ній можуть бути відсутні засоби попередження деяких ДФ. Тоді
де ймовірність захищеності інформації на i-му об'єкті в k-му його стані (режимі роботи) від сукупної дії тих ДФ, для протидії яким у системі захисту не передбачено засобів захисту; Р"k - те ж для ДФ, протидія яким можлива на основі засобів захисту, що присутні в системі захисту (рис. 7).
У свою чергу,
де j набуває значення номерів тих ДФ, проти яких відсутні засоби захисту, Pikj,—ймовірність реалізації цих ДФ, а
де j набуває значення номерів ДФ, для протидії яким у системі захисту передбачено засоби захисту; l – значення номерів тих засобів захисту інформації, які діють на ДФ з номером j; Рikjl – ймовірність їх подолання. Ймовірність надійного захисту інформації в групі об'єктів визначається за формулою
Неважко врахувати також фактор часу. Справді, показники захищеності, що мають вигляд отриманих раніше залежностей, будуть справедливими для деякого невеликого інтервалу часу ?t. Якщо ж інтервал часу ?T, на якому оцінюється захищеність інформації, набагато більший, ніж ?t, то
де(квадратні дужки означають цілу частину від частки),
P(?t) – показник захищеності інформації на zму проміжку часу
завдовжки ?t.
Розглянута модель привертає увагу своєю простотою: для визначення показників захищеності інформації досить знати ймовірнісні характеристики дестабілізуючої дії на інформацію та ефективності функціонування засобів захисту. Однак до недоліків моделі слід віднести те, що в ній цілком ігнорується взаємовплив ДФ і засобів захисту, а також неможливість стримати оцінки витрат від дії різних ДФ. Отже, таку модель можна використовувати лише для загальних приблизних оцінок рівня захищеності.
Узагальнена модель функціонування системи захисту АС є наступним ступенем у розвитку попередньої моделі. Головним її призначенням є вибір основних орієнтирів (прийняття стратегічних рішень) при розробці перспективних планів побудови систем захисту після того, як її побудову признано доцільною. Відповідно до цього в такій моделі мають бути відображені ті події і заходи, які повинні здійснюватися в системі захисту. Основою для її побудови є загальні цілі (задачі) ЗІ і умови, в яких здійснюється ЗІ.
Умови, в яких здійснюється ЗІ, можуть бути представлені таким чином. Захищеність інформації визначається показниками, які, в свою чергу, визначаються відповідними параметрами системи і зовнішнього середовища. Всю сукупність параметрів, що визначають значення показників захищеності інформації, в найзагальнішому вигляді можна розділити на три види:
1) параметри, якими можна керувати і значення яких цілком формується системою захисту;
параметри, які недоступні для однозначного і безпосереднього керування, але на які система може діяти;
параметри зовнішнього середовища, на які СЗІ аж ніяк не може діяти.
Тоді модель СЗІ в найзагальнішому вигляді може бути представлена з допомогою рисунка (рис. 8), де прийняті такі позначення:
К– множина показників захищеності (вразливості) інформації;
Рс – множина показників параметрів зовнішнього середовища, що здійснює вплив на функціонування АС;
Rc – множина ресурсів АС, що беруть участь в обробці інформації, яка захищається;
Рn – множина внутрішніх параметрів АС і СЗІ, якими можна керувати безпосередньо в процесі обробки інформації, що захищається;
Рд – множина внутрішніх параметрів АС, що не піддаються безпосередньому керуванню, але піддаються дії системи захисту (наприклад, в процесі реорганізації або удосконалення компонент системи);
Sn – множина засобів поточного керування;
Sд – множина засобів дії;
Rп – множина ресурсів поточного керування;
Rд – множина ресурсів дії;
Rрп – множина ресурсів поточного керування щодо розподілу;
Rрд – множина ресурсів дії щодо розподілу;
Rз – множина загальних ресурсів на захист.
Тоді для розв'язання задач аналізу, тобто для визначення показників захищеності (вразливості) інформації можна написати узагальнений вираз
Задачі синтезу в загальному вигляді можуть бути представлені таким чином:
1) визначити такі Рп і Рл, щоб за даними Rс. і Рс виконувалася умова
2) вибрати такі Рп і Рл, щоб за даними Rс. і Рс нерівність виконувалася за умови
Задачі керування зводяться до оптимізації розподілу Rп, Sп , Rд і Sд .
Неважко побачити, що можливі такі модифікації загальної моделі:
блоки 1, 2 і 3 модель функціонування АС за відсутності керування захистом інформації; така модель дає змогу лише визначати значення показників захищеності інформації, тобто ров’язувати задачі аналізу;
блоки 1, 2, 3, 4а і 5а модель поточного керування захистом інформації, основу якого становить оптимізація використання засобів захисту, що включені до складу АС. Таке керування може бути оперативно-диспетчерським і календарно-плановим;
блоки 1, 2, 3, 4а, 5а і 6а модель керування ресурсами, що виділені на ЗІ. На додаток до попередніх задач така модель допомагає оптимізувати процес формування витрат для поточного керування системою ЗІ;
блоки 1, 2, 3, 4б і 5б модель керування засобами дії на параметри, що не дозволяють поточного керування, але піддаються дії системи захисту;
блоки 1, 2, 3, 4б, 56 і 6б модель керування ресурсами, що виділяються на розвиток АС;
усі блоки – повна модель захисту. На додаток до всіх можливостей, розглянутих вище, дозволяє оптимізувати використання всіх ресурсів, що виділяються на ЗІ.
Таким чином, наведена структура комплексу моделей дає можливість розв'язати практично увесь клас задач моделювання систем і процесів ЗІ.
Розглянемо задачу про вибір найбільш придатного функціонального профілю [20], яка може бути корисною при проектуванні захищених АС.
Згідно з [20] стандартний функціональний профіль захисту (далі просто профіль) це мінімально необхідний перелік послуг, які може забезпечити СЗІ, щоб задовольнити певні вимоги до рівня захищеності інформації. Визначено кілька десятків (точніше 90) профілів і перелічені всі вимоги до механізмів і засобів захисту, що необхідні для їх реалізації.
Формальний опис профілю можна здійснити в такий спосіб. Профіль повинен включати ідентифікатор і перелік рівнів послуг. Цей перелік являє собою набір множин, до складу кожної з яких входить ряд послуг певних рівнів. Приміром, для конфіденційності визначено п'ять видів послуг і кожна з них має кілька рівнів, тому множина послуг по конфіденційності може містити до п'яти видів послуг різних рівнів. Таким чином, вираз для позначення профілю буде виглядати так:
(8.10)
де СІА – ідентифікатор профілю, С – позначає конфіденційність, I – цілісність, А – доступність, S – спостереженість, і, j – індекси послуг і рівнів відповідно конфіденційності, цілісності, доступності і спостереженості, причому для кожного з ФВЗІ визначено свої множини індексів. Зауважимо, що в лівій і правій частинах (8.10) можуть бути присутніми не всі види послуг ФВЗІ. Наприклад, можливий такий функціональний профіль
що змістовно означає: даний функціональний профіль повинен реалізуватися в АС, призначеній для обробки інформації, основною вимогою щодо захисту якої є забезпечення тільки цілісності. Звернемо також увагу на те, що в правій частині скрізь обов'язково повинна бути присутньою ФВЗІ S (спостереженість). Це означає, що підтримка кожної послуги на кожному рівні вимагає забезпечення спостереженості в усіх профілях без винятку, що змістовно означає необхідність контролю більшою чи меншою мірою всіх дій, що відбуваються в КС.
Можливі також і інші ідентифікатори функціональних профілів захисту, наприклад СІ, ІА та ін. Таким чином, стає ясно, що не скрізь і не завжди є необхідність підтримувати відразу всі ФВЗІ – іноді досить підтримувати лише деякі з них залежно від конкретної мети і завдань ЗІ, а також очікуваних загроз інформації. Наприклад, у деяких випадках досить підтримувати властивість конфіденційності, що може реалізуватися таким механізмом, як криптографія. Іноді, особливо в мережних конфігураціях, важливою може бути підтримка властивості доступності.
Вивчення множини профілів показує, що найбільш складним профілем є профіль СІA, у який включено 22 послуги, причому це взагалі максимально можлива для профілів кількість послуг. Це дає змогу для всіх профілів ввести єдине позначення, інтерпретуючи формулу (8.10) як вектор р, що має 22 компоненти, тобто р = (Р1,…, Р22). Числове ж значення компонент можна прирівняти до номера рівня послуги. Якщо певна послуга відсутня, то відповідна компонента вектора р просто приймається рівною нулю.
Наявність великої кількості різних профілів передбачає й істотне розходження в характеристиках АС. Для полегшення процесу встановлення відповідності між характеристиками АС та профілями в [20] подано класифікацію АС.
За сукупністю характеристик серед АС виділяється три ієрархічні класи, вимоги до складу засобів захисту яких істотно відрізняються. Клас «1» одномашинний однокористувацький комплекс, на якому обробляється інформація однієї чи кількох категорій конфіденційності. Приклад автономна ПЕОМ. Клас «2» локалізований багатомашинний багатокористувацький комплекс, на якому обробляється інформація різних категорій конфіденційності. Приклад локальна обчислювальна мережа. Клас «З» розподілений багатомашинний багатокористувацький комплекс, на якому обробляється інформація різних категорій конфіденційності. Приклад глобальна мережа. Всередині кожного класу АС класифікуються на підставі вимог до забезпечення ФВЗІ. Наприклад, головною вимогою може бути забезпечення тільки конфіденційності оброблюваної інформації. Існує також класифікація АС залежно від їх призначення (для діяльності державних органів, для банківської діяльності і т. д.). АС можуть також розрізнятися за типами конфіденційності оброблюваної інформації (для службового користування, таємна, цілком таємна). Інакше кажучи, завжди можна сформулювати певну кількість ознак АС і, надавши їм певні числові значення, ідентифікувати певний тип АС.
Хоча класифікація АС істотно полегшує процес вибору придатного профілю, усе таки цей процес поки що залишається дуже складним і вимагає високої кваліфікації і точності. Розробники документів [1720] експертним шляхом визначили список профілів у довіднику [20]. Однак ясно, що може існувати деяка формальна (можливо, не взаємнооднозначна) відповідність між характеристиками АС і відповідним їй профілем, що могло б бути теоретичним обґрунтуванням існування зазначеного довідника.
Справді, кожному профілю з деякої множини Р поставимо у відповідність вектор р = (Р1,…, Рn) з евклідового простору Еn, тобто У такий же спосіб уведемо вектор характеристик АС що відповідає деякому набору характеристик АС з множини D. Будемо вважати, що між кожною парою векторів р і d існує деяка формальна відповідність (відображення), що позначимо в такий спосіб:
(8.11)
де F деяка функція (оператор), що відображає множину D у множину Р. Якби вид оператора (8.11) був відомий, то для споживача завдання вибору придатного профілю звелося б до визначення вектора d (набору характеристик АС) і застосування (8.11), тобто безпосереднього визначення профілю р. Оскільки вид F(d) невідомий, то виникає завдання його ідентифікації чи, що те ж саме, ідентифікації моделі (8.11). Як відомо, для розв'язання задачі ідентифікації моделі необхідні додаткові («експериментальні») дані про об'єкт, що моделюється, на підставі яких можна було б встановити конкретний вид (8.11). Однак у такому загальному вигляді цю задачу розв'язати дуже складно, оскільки:
неясно, які дані про об'єкт, що моделюється, необхідні і як їх одержати;
неясно, як формулювати гіпотези щодо конкретного виду (8.11);
дуже складно сформувати набір конкретних характерних ознак АС.
Остання обставина є особливо важливою, оскільки при вивченні довідника профілів [20] виявляється певна неоднозначність у виборі профілю. Справді, відповідно до [20] тільки для одного класу АС пропонується цілий список профілів. Однак ця неоднозначність лише уявна і виникає внаслідок того, що поки що не існує докладної й однозначної класифікації АС. Очевидно, що якщо набір характеристик АС буде досить повним і докладним, неоднозначність автоматично зникне кожній АС буде відповідати єдиний профіль.
Однак той факт, що розробники документів [17-20] усе-таки надають у розпорядження споживачів деякий список найбільш поширених профілів, означає, що дуже складна частина цієї задачі хоча і неформально (експертним шляхом), але уже розв'язана, а саме: встановлена деяка множина наборів характеристик АС і множина відповідних їм профілів (множина Ре є довідником профілів). У даному випадку як множину наборів характеристик АС De, можна взяти їх класифікацію з [20], а множину профілів Ре можна сформувати, взявши для кожного класу АС лише один профіль із пропонованого списку (наприклад, перший). Це дає можливість скористатися довідником [20] для формулювання наступного варіанта задачі ідентифікації (8.11).
Розглянемо (8.11) як найбільш просте лінійне відображення, тобто
де А – матриця розмірності т ? п.
Задача ідентифікації полягає у визначенні матриці А і вектора b. Однак вектор b прирівнюємо до нуля, оскільки вважаємо, що при відсутності характеристик немає і профілю. Оскільки кількість профілів в Ре і наборів характеристик АС, то згідно з (8.12) маємо
Задача ідентифікації матриці А тепер полягає в безумовній мінімізації функції f(А) по елементах матриці А (усього п? т невідомих)
де через ||…|| позначена звичайна евклідова норма вектора. Матриця
А, що надає мінімум функції (8.14), може надалі використовуватися для вибору профілю.
Замість (8.13) можна розглядати і більш складні відображення (наприклад, квадратичне). При цьому вся схема задачі ідентифікації залишається незмінною, зміниться лише кількість і вид шуканих змінних, а також вид функцій (8.13) і (8.14).