Информационные модели

Информационные модели определяют ограничения на предоставле­ние ввода/вывода системы, которые достаточны для реализации системы.

Они накладывают ограничения на интерфейс программных модулей системы с целью достижения безопасной реализации. При этом подробно­сти реализации определяются разработчиком системы. Данные модели яв­ляются результатом применения теории информации к проблеме безопас­ности систем.

Рассмотрим две информационные модели:

■ Модель невмешательства.

■ Модель невыводимости.

Достоинством данных моделей является:

1) Отсутствие скрытых каналов утечки.

2) Естественность их использования для реализации сетевых защи­щенных ABC.

6.3.1. Модель невмешательства

Невмешательство - это ограничение, при котором ввод высоко­уровневого пользователя не может смешиваться с выводом низкоуровне­вого пользователя. Модель невмешательства рассматривает систему, со­стоящую из 4-х объектов:

• Высокий ввод (High In).

• Низкий ввод (Low In).

• Высокий вывод (High Out).

• Низкий вывод (Low Out).

Рассмотрим систему, вывод которой пользователю и определён функцией out:

out (и, hist.read (и)),

где hist.read (и) - это история ввода системы (traces), чей последний ввод был read (и), т.е. команда чтения, исполненная пользователем и.

Введем понятие - очищение (purge) истории ввода. Purge удаляет команды, исполненные пользователем, чей уровень безопасности не до­минирует над уровнем безопасности и.

Используется также функция clearance (и), которая определяет сте­пень доверия к пользователю.

Система удовлетворяет требованиям невмешательства, если, и толь­ко если для всех пользователей и, всех историй Т и всех команд вывода с выполняется следующее равенство:

out (и, Т. с (и)) = out (и, purge (и, Т).с(и))

С целью проверки системы на соответствие требованиям невмеша­тельства разрабатывалось большое количество различных условий, вы­полнение которых было бы достаточно для поддержки невмешательства. Верификация модели невмешательства более сложная, чем верификация модели БЛМ. Достоинство в том, что при применении данной модели не остаётся скрытых каналов утечки информации, она более интуитивно по­нятна по сравнению с БЛМ.

Сравнение модели БЛМ и модели невмешательства:

1. БЛМ слабее, чем модель невмешательства, за счёт того, что по­следняя запрещает многие скрытые каналы, которые остаются при реализации БЛМ.

2. Модель невмешательства слабее, чем БЛМ, так как она разрешает низкоуровневым пользователям копировать один высокоуровне­вый файл в другой высокоуровневый файл, что запрещается в по­следней из-за нарушения безопасности по чтению.

6.3.2. Модель невыводимости

Так же как и предыдущая модель, модель невыводимости базируется на рассмотрении информационных потоков, выражается в терминах поль­зователей и информации, связанных с одним из двух возможных уровней секретности:

• Высокий.

• Низкий.

Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с вы­соким уровнем безопасности.

Или другими словами: каждый пользователь связан с определенным взглядом на систему и может получить информацию, интерпретируя ви­димое ему поведение. Если система является невыводимо безопасной, то низкоуровневые пользователи не должны получить новой информации, если на вводе системы есть дополнительные высокоуровневые пользова­тели. Кроме этого, если низкоуровневые пользователи могут получить оп­ределенную информацию, основываясь на видимом ими поведении, то удаление высокоуровневых пользователей не должно изменить получае­мой низкоуровневыми пользователями информации.