Информационные модели определяют ограничения на предоставление ввода/вывода системы, которые достаточны для реализации системы.
Они накладывают ограничения на интерфейс программных модулей системы с целью достижения безопасной реализации. При этом подробности реализации определяются разработчиком системы. Данные модели являются результатом применения теории информации к проблеме безопасности систем.
Рассмотрим две информационные модели:
■ Модель невмешательства.
■ Модель невыводимости.
Достоинством данных моделей является:
1) Отсутствие скрытых каналов утечки.
2) Естественность их использования для реализации сетевых защищенных ABC.
6.3.1. Модель невмешательства
Невмешательство - это ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя. Модель невмешательства рассматривает систему, состоящую из 4-х объектов:
• Высокий ввод (High In).
• Низкий ввод (Low In).
• Высокий вывод (High Out).
|
|
• Низкий вывод (Low Out).
Рассмотрим систему, вывод которой пользователю и определён функцией out:
out (и, hist.read (и)),
где hist.read (и) - это история ввода системы (traces), чей последний ввод был read (и), т.е. команда чтения, исполненная пользователем и.
Введем понятие - очищение (purge) истории ввода. Purge удаляет команды, исполненные пользователем, чей уровень безопасности не доминирует над уровнем безопасности и.
Используется также функция clearance (и), которая определяет степень доверия к пользователю.
Система удовлетворяет требованиям невмешательства, если, и только если для всех пользователей и, всех историй Т и всех команд вывода с выполняется следующее равенство:
out (и, Т. с (и)) = out (и, purge (и, Т).с(и))
С целью проверки системы на соответствие требованиям невмешательства разрабатывалось большое количество различных условий, выполнение которых было бы достаточно для поддержки невмешательства. Верификация модели невмешательства более сложная, чем верификация модели БЛМ. Достоинство в том, что при применении данной модели не остаётся скрытых каналов утечки информации, она более интуитивно понятна по сравнению с БЛМ.
Сравнение модели БЛМ и модели невмешательства:
1. БЛМ слабее, чем модель невмешательства, за счёт того, что последняя запрещает многие скрытые каналы, которые остаются при реализации БЛМ.
2. Модель невмешательства слабее, чем БЛМ, так как она разрешает низкоуровневым пользователям копировать один высокоуровневый файл в другой высокоуровневый файл, что запрещается в последней из-за нарушения безопасности по чтению.
6.3.2. Модель невыводимости
|
|
Так же как и предыдущая модель, модель невыводимости базируется на рассмотрении информационных потоков, выражается в терминах пользователей и информации, связанных с одним из двух возможных уровней секретности:
• Высокий.
• Низкий.
Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности.
Или другими словами: каждый пользователь связан с определенным взглядом на систему и может получить информацию, интерпретируя видимое ему поведение. Если система является невыводимо безопасной, то низкоуровневые пользователи не должны получить новой информации, если на вводе системы есть дополнительные высокоуровневые пользователи. Кроме этого, если низкоуровневые пользователи могут получить определенную информацию, основываясь на видимом ими поведении, то удаление высокоуровневых пользователей не должно изменить получаемой низкоуровневыми пользователями информации.