Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Вступ до теорії захисту інформації.
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2024
Тип роботи:
Посібник
Предмет:
Засоби захисту інформації
Частина тексту файла (без зображень, графіків і формул):
8.1. Проблеми теорії захисту інформації
Незважаючи на те що технологія захисту інформаційних систем почала розвиватися відносно недавно, сьогодні вже існує досить багато теоретичних моделей, за допомогою яких можна описати практично всі аспекти безпеки і забезпечувати засоби захисту формально підтвердженою алгоритмічною базою [58].
Побудова моделей захисту й аналіз їхніх властивостей становлять предмет теорії ІБ, що тільки оформлюється як самостійний науково практичний напрямок. Як природнича дисципліна теорія інформаційної безпеки поступово еволюціонує в напрямку формалізації і математизації своїх положень, вироблення єдиних комплексних підходів до розв'язання задач ЗІ. Однак на даний момент можна констатувати, що цей процес дуже далекий від завершення. Деякі підходи мають скоріше характер опису застосовуваних методів і механізмів захисту і являють собою їхнє механічне об'єднання. Крім того, у зв'язку з розвитком інформаційних технологій виникають нові завдання щодо забезпечення безпеки інформації, підходи до вирішення яких на початковому етапі майже завжди мають описовий характер.
Найхарактернішими особливостями теорії ІБ є:
• чітка практична спрямованість більшість положень, принаймні поки що, спочатку реалізуються у вигляді конкретних схем
і рекомендацій і тільки потім узагальнюються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій; сильна залежність теоретичних розробок від конкретних способів реалізації АС, що визначаються проектними програмними чи апаратними рішеннями конкретна реалізація тієї чи іншої АС визначає можливі види атак, а отже, ті чи інші захисні заходи;
багатоаспектність, тобто дослідження із широкого кола напрямків;
відсутність системонезалежних теоретичних положень, на ос нові яких можлива реалізація різних проектів АС.
У даний час виділяються два основні підходи до розгляду питань теорії ІБ: неформальний (або описовий) і чисто формальний.
Формальний підхід до розв'язання задач оцінки захищеності через труднощі, пов'язані з формалізацією, широкого практичного поширення поки що не набув. Справа в тому, що на практиці далеко не завжди вдається скористатися результатами цих досліджень, оскільки часто теорія захисту не узгоджується з реальним життям. Теоретичні дослідження у сфері захисту інформаційних систем мають поки що розрізнений характер і не утворюють загальної теорії безпеки. Всі існуючі теоретичні розробки ґрунтуються на різних підходах до проблеми, внаслідок чого запропоновані ними постановки задачі забезпечення безпеки і методи її розв'язання істотно відрізняються.
Найбільшого розвитку набули два формальні напрямки, кожний з яких ґрунтується на своєму баченні проблеми безпеки і націлений на вирішення певних завдань це формальне моделювання політики безпеки і криптографія. Причому ці різні за походженням і розв'язуваними задачами напрямки доповнюють один одного: криптографія може запропонувати конкретні методи захисту інформації у вигляді алгоритмів ідентифікації, автентифікації, шифрування і контролю цілісності, а формальні моделі безпеки надають розробникам захищених систем основні принципи, що лежать в основі архітектури захищеної АС і визначають концепцію її побудови.
Нагадаємо [17], що під політикою безпеки розуміється сукупність норм і правил, які регламентують процес обробки інформації, виконання яких забезпечує захист від певної множини загроз і становить необхідну (а іноді й достатню) умову безпеки системи. Формальне вираження політики безпеки називають моделлю політики безпеки.
Складання формальних моделей потребує істотних витрат і залучення висококваліфікованих фахівців, вони важкі для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Проте вони необхідні й використовуються досить широко, тому що тільки за їх допомогою можна довести безпеку системи, спираючись при цьому на об'єктивні і незаперечні постулати математичної теорії. За своїм призначенням вони аналогічні аеродинамічним моделям літаків чи моделям плавучості кораблів: і ті й інші дозволяють обґрунтувати життєздатність системи і визначають базові принципи її архітектури та використовувані при її побудові технологічні рішення. Основна мета створення політики безпеки інформаційної системи й опису її у вигляді формальної моделі це визначення умов, яким повинне підкорятися поводження системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при дотриманні встановлених правил і обмежень. На практиці це означає, що тільки відповідним чином уповноважені користувачі повинні одержувати доступ до інформації і здійснювати з нею тільки санкціоновані дії.
Формальні моделі безпеки дозволяють вирішити також цілий ряд інших завдань, що виникають у ході проектування, розробки і сертифікації захищених систем, тому їх використовують не тільки теоретики ІБ, а й інші категорії фахівців, що беруть участь у процесі створення й експлуатації захищених інформаційних систем (виробники, споживачі, експерти - кваліфікатори). Так, виробники захищених
інформаційних систем використовують моделі безпеки при складанні формальної специфікації політики безпеки розроблюваної системи, при виборі й обґрунтуванні базових принципів архітектури захищеної системи, які визначають механізми реалізації засобів захисту, у процесі аналізу безпеки системи як еталонної моделі, а також при підтвердженні властивостей розроблюваної системи шляхом формального доведення дотримання вимог політики безпеки. Споживачі шляхом складання формальних моделей безпеки одержують можливість довести до відома виробників свої вимоги в чіткій і несуперечливій формі, а також
оцінити відповідність захищених систем своїм потребам. Експерти-
кваліфікатори в ході аналізу адекватності реалізації політики безпеки
в захищених системах використовують моделі безпеки як еталони.
Однак слід зазначити, що зараз дуже поширені ілюзії з приводу
того, що якісний захист визначається тільки надійністю і кількістю;
механізмів захисту, а формальний підхід мало що дає. Звичайно ж, це
не так, але значною мірою це пояснюється тим, що при формальному
підході виникає ряд принципових труднощів: як правило, математична модель політики безпеки розглядає систему захисту в деякому стаціонарному стані, коли діють захисні механізми, а опис дозволених чи недозволених дій не змінюється. Насправді ж АС проходить шлях від повної відсутності захисту до повного оснащення її захисними механізмами; при цьому система ще й керується, тобто дозволені і недозволені дії в ній динамічно змінюються;
відомі зараз методики оцінки захищеності являють собою в основному тільки необхідні умови захищеності;
схеми інформаційних потоків і правила керування ними звичайно неповні чи використовують концепції, що важко формалізуються. Це ускладнює створення моделей безпеки або унеможливлює доведення їхньої безпеки;
як правило, схеми інформаційних потоків мають статичний характер і визначають поділ інформаційних потоків тільки в штатному режимі роботи. Такі аспекти, як додавання компонентів у систему чи їхнє видалення, зазвичай залишаються за рамками цих схем і правил, тому що ці операції складно формалізувати. Відповідно, вони залишаються за рамками моделей безпеки, і порядок їхнього здійснення визначається розробниками конкретних систем у приватному порядку, що призводить до втрати доказовості й неадекватної реалізації моделі безпеки;
у результаті автоматизації в АС можуть з'являтися нові об'єкти, що не відповідають ніяким сутностям реального світу. Відповідно, вони не присутні в схемах інформаційних потоків і не враховуються правилами керування цими потоками. Тим часом очевидно, що контроль доступу до подібних об'єктів може мати ключове значення для безпеки всієї системи в цілому;
у ході реалізації моделі безпеки можуть з'явитися неконтрольовані потоки інформації, оскільки в АС користувачі не можуть маніпулювати інформацією безпосередньо і використовують програмні засоби, що можуть незалежно від їхньої волі створювати небажані неконтрольовані інформаційні потоки;
існуюча методологія проектування захищених систем є ітеративним процесом усунення виявлених недоліків, некоректностей і несправностей. Причому ряд злочинних дій не блокується принципово: протидія даним загрозам просто виводиться в область організаційно-технічних заходів, що фактично означає ігнорування цілих класів загроз;
має місце виняткове різноманіття систем, для яких необхідно вирішувати завдання захисту інформації (ОС, СУБД, локальні чи корпоративні мережі і т. п.).
Сьогодні майже всі моделі безпеки базуються на представленнях об'єктно-суб'єктної моделі [5]. Існують також інші напрямки формального моделювання, пов'язані з описом рівня захищеності [1], процесів захисту [3], системи захисту [68] та ін.
Значно дієвішим і поширенішим поки що є використання неформальних описових і класифікаційних підходів. Замість формальних викладок тут використовується категорування: порушників (за цілями, кваліфікацією і доступними обчислювальними ресурсами); інформації (за рівнями критичності і конфіденційності); загроз (за способами реалізації, місцями реалізації і т. ін.), засобів захисту (за функціональністю і гарантованістю реалізованих можливостей і т. ін.) та ін. Природно, що такий підхід не дає точних числових значень показників захищеності, однак усе таки дозволяє класифікувати АС за рівнем захищеності і порівнювати їх між собою. Прикладами класифікаційних методик, що набули значного поширення, можуть служити різні критерії оцінки безпеки інформаційних технологій і продуктів, прийняті в багатьох країнах як національні стандарти, що встановлюють класи і рівні захищеності. Зокрема, результатом розвитку національних стандартів у цій сфері є міжнародний стандарт ISO 15408, який узагальнює світовий досвід. В Україні також є ряд офційних нормативних документів, що регламентують усі основні аспекти, пов'язані з безпекою КС і захистом інформації в них від НСД [1720]. Однак документів, що регламентують процеси побудови моделей безпеки, немає, що ще раз підкреслює актуальність і необхідність проведення теоретичних розробок у сфері інформаційної безпеки.
8.2. Допоміжні поняття
Більшість моделей безпеки базуються на таких положеннях:
1. Система є сукупністю взаємодіючих сутностей суб'єктів та об'єктів. Об'єкти можна інтуїтивно уявляти у вигляді контейнерів, що містять інформацію, а суб'єктами вважати виконувані програми, що взаємодіють з об'єктами різними способами. При такому уявленні системи її безпека забезпечується шляхом вирішення завдання управління доступом суб'єктів до об'єктів відповідно до заданих правил та обмежень, які є змістом політики безпеки. Вважається, що система є
безпечною тоді, якщо суб'єкти не мають можливості порушити правила політики безпеки. Саме поділ усіх сутностей на суб'єкти та об'єкти є основною проблемою моделювання, оскільки самі визначення понять суб'єкт та об'єкт в різних моделях можуть суттєво відрізнятися. Всі взаємодії в системі моделюються встановленням відношень певного типу між суб'єктами та об'єктами. Множина типів відношень визначається у вигляді наборів операцій, які суб'єкти можуть здійснювати над об'єктами.
Всі операції контролюються монітором взаємодій і забороняються чи дозволяються відповідно до правил політики безпеки.
Політика безпеки задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між суб'єктами та об'єктами. Взаємо дії, що призводять до порушень цих правил, припиняються засобами контролю доступу і не можуть здійснюватися.
Сукупність множин суб'єктів, об'єктів та відношень між ними (встановлених взаємодій) визначають стан системи. Кожний стан системи є або безпечним, або небезпечним відповідно до обраного в моделі критерію безпеки.
Основний елемент безпеки це доведення твердження (теореми) про те, що система, яка знаходиться в безпечному стані, не може перейти в небезпечний стан при виконанні певних правил та обмежень.
Крім наведених положень, для подальшого розгляду зручно ввести такі структури, що вносяться в невизначуваний об'єкт «інформація»:
структура мови, що дозволяє говорити про інформацію як про дискретну систему об'єктів;
ієрархічна модель обчислювальних систем і модель OSI/ISO, що дозволяє апаратну, програмну, прикладну компоненти обчислювальних систем і мереж зв'язку представляти у вигляді об'єктів деяких мов;
структура інформаційного потоку, що дає змогу описувати й аналізувати загрози інформації;
структура цінності інформації, що допомагає зрозуміти, що треба і що не треба захищати.
Отже, опис буде здійснюватися з використанням понять математичної логіки. Нехай А скінчений алфавіт, А множина слів і скінченої довжини в алфавіті А.
З А за допомогою деяких правил виділено підмножину М слів, які називають правильними, і вона називається мовою. Якщо М1 мова опису однієї інформації, М2 іншої, то можна говорити про мову М, що поєднує М1і М2, яка описує ту чи іншу інформацію. Тоді М1 і М2 є підмовами М.
Вважаємо далі, що будь яка інформація може бути представлена у вигляді слова в деякій мові М. Крім того, можна вважати, що стан будь якого пристрою в автоматизованій системі обробки даних (АСОД) може бути описаний словом у певній мові.
Це дозволяє ототожнювати слова і стани пристроїв і механізмів обчислювальної системи чи довільної АСОД і подальший аналіз вести в термінах певної мови. Питання побудови власне мови М та її властивостей тут не розглядаються.
Означення. Об'єктом щодо мови М (чи просто об'єктом, коли з контексту однозначно визначена мова) називається довільна кінцева множина слів мови М.
Приклад 8.1. Довільний файл у комп'ютері є об'єктом. У будь який момент у файл може бути записане одне слово зі скінченої множини слів мови М, у деякому алфавіті А, що відбиває вміст інформації, яка зберігається у файлі.
Приклад 8.2. Принтер комп'ютера об'єкт. Існує якась (можливо, досить складна) мова, що описує принтер і його стани в довільний момент часу. Множина допустимих описів станів принтера є кінцевою підмножиною слів у цій мові. Саме ця кінцева множина і визначає принтер як об'єкт.
При розгляді такого важливого поняття, як інформація (чи дані), особливо важливою є можливість опису перетворень інформації. Перетворення інформації має місце, якщо існує відповідність між словом, яке описують вихідні дані, і деяким іншим словом. Ясно, що опис перетворення даних також є словом. Прикладами об'єктів, що описують перетворення даних, є програми для ЕОМ.
Неважко помітити, що кожне перетворення інформації має:
а) зберігатися;
б) діяти.
У випадку а) мова йде про збереження опису перетворення в деякому об'єкті (файлі). У цьому випадку саме перетворення нічим не відрізняється від інших даних. У випадку ж б) опис програми повинен взаємодіяти з іншими ресурсами АСОД пам'яттю, процесором, комунікаціями та ін., що також описуються деякими словами.
Означення. Ресурси АСОД, виділені для дії перетворення, називаються доменом.
Однак для здійснення перетворення одних даних в інші крім домену необхідно передати цьому перетворенню особливий статус у системі, при якому ресурси АСОД почнуть здійснювати перетворення. Цей статус називатимемо «керування». Тут будемо мати на увазі, що з контексту при розгляді будь якої АСОД повинно бути ясно, що значить передати керування перетворенню.
Означення. Перетворення, якому передане керування, називається процесом.
Означення. Об'єкт, що описує перетворення, якому виділено домен і передано керування, називається суб'єктом.
Інакше кажучи, суб'єкт це пара (домен, процес). Суб'єкт S для реалізації перетворення використовує інформацію, що міститься в об'єкті О, тобто в такий спосіб здійснює доступ до об'єкта О.
Розглянемо деякі основні приклади доступів.
Приклад 8.3. Доступ суб'єкта S до об'єкта О на читання (г) даних в об'єкті О. При цьому доступі деякі дані зчитуються в об'єкті О і використовуються як параметри в суб'єкті S.
Приклад 8.4. Доступ суб'єкта S до об'єкта О на запис (w) даних в об'єкті О. При цьому доступі деякі дані процесу S записуються в об'єкт О. Тут можливе стирання попередньої інформації.
Приклад 8.5. Доступ суб'єкта S до об'єкта О на активізацію процесу, записаного в О як дані (ехе). При цьому доступі формується деякий домен для перетворення, описаного в О, і передається керування відповідній програмі.
Існує множина інших доступів, деякі з них будуть визначені далі. Множину можливих доступів у системі позначимо R.
Будемо надалі позначати множину об'єктів у системі обробки даних через О, а множину суб'єктів у цій системі через S. Ясно, що кожен суб'єкт є й об'єктом щодо певної мови (який, загалом кажучи, може в активній фазі сам змінювати свій стан). Тому S в О. Крім того, іноді, щоб не вводити нових позначень, пов'язаних з одним перетворенням, опис перетворення, що зберігається в пам'яті, теж будемо називати суб'єктом, але не активізованим. Тоді активізація такого суб'єкта означає пару (домен, процес).
У різних ситуаціях буде уточнюватися опис АСОД. Однак завжди існуватиме деяка загальна для всіх АСОД властивість. Ця загальна властивість полягає в тому, що стан кожної АСОД характеризується деякою множиною об'єктів, що передбачається скінченою.
Для подальшого розгляду питань ЗІ приймемо таку аксіому.
Усі питання безпеки інформації описуються доступами суб'єктів до об'єктів.
Ця аксіома охоплює практично всі відомі способи порушення безпеки у різноманітних варіантах розуміння безпеки, навіть якщо включити в розгляд такі процеси, як пожежа, повінь, фізичне знищення і т. п. Однак з неї випливає, що для подальшого розгляду питань безпеки та ЗІ досить розглядати множину об'єктів і послідовності доступів.
Нехай час дискретний, Оi множина об'єктів у момент t,0<t<T, St множина суб'єктів у момент t. На множині об'єктів Ot як на вершинах визначимо орієнтований граф доступів G, у такий спосіб:
дуга EMBED Equation.3 з міткою р R належить G, тоді і тільки тоді, коли в момент t суб'єкт S має множину доступів р до об'єкта О.
Відповідно до аксіоми, з погляду ЗІ, у процесі функціонування системи нас цікавить тільки множина графів доступів {Gi}Tt=1
Позначимо через = {G} множину можливих графів доступів. Тоді можна розглядати як фазовий простір системи, а траєкторія у фазовому просторі і відповідає функціонуванню АСОД. У цих термінах зручно представляти задачу ЗІ в такому загальному вигляді. У фазовому просторі визначено можливі траєкторії Ф, у Ф виділено деяку підмножину N несприятливих траєкторій чи ділянок таких траєкторій, яких ми хотіли б уникнути. Задача ЗІ полягає в тому, щоб будь яка реальна траєкторія обчислювального процесу у фазовому просторі Ф не потрапила в множину N. Як правило, у будь якій конкретній АСОД можна наділити реальним змістом компоненти моделі , Ф, N.
Чим може керувати служба ЗІ, щоб траєкторії обчислювального процесу не вийшли в N? Практично таке керування можливе тільки обмеженням на доступ у кожен момент часу. Зрозуміло, ці обмеження можуть залежати від усієї передісторії процесу. Однак, у будь якому випадку, службі захисту доступний тільки локальний вплив. Основна складність ЗІ полягає в тому, що, маючи можливість використовувати набір локальних обмежень на доступ у кожен момент часу, необхідно вирішити глобальну проблему недопущення виходу будь-якої можливої траєкторії в несприятливу множину N. При цьому траєкторії множини N не обов'язково визначаються обмеженнями на доступи конкретних суб'єктів до конкретних об'єктів. Можливо, що якщо в різні моменти обчислювального процесу суб'єкт S одержав доступ до об'єктів О1 і О2, то заборонений доступ до об'єкта О3, реально відбувся, тому що зі знання змісту об'єктів О1 і О2 можна вивести заборонену інформацію, що міститься в об'єкті О3,.
У будь-який момент часу на множині суб'єктів S введемо бінарне відношення а активізації. Якщо суб'єкт S1, володіючи керуванням і ресурсами, може передати S2 частину ресурсів і керування (активізація), тоді в графах, що визначаються введеним бінарним відношенням на множині об'єктів, для яких визначене поняття активізації, можливі вершини, у які ніколи не входить жодна дуга. Таких суб'єктів будемо називати користувачами. Суб'єкти, в яких ніколи не входять дуги і з яких ніколи не виходять дуги, виключаються з розгляду.
Приклад 8.6. Нехай у системі є два користувачі U1 і U2, один процес S читання на екран файлу і набір файлів О1,…,Оm. У кожен момент працює один користувач, потім система виключається й інший користувач вмикає її заново. На графі використано позначення R, тому що обидва користувачі можуть, загалом кажучи, порізному запускати процес S (тобто використовувати різні види доступів). Можливі такі графи доступів
Множина таких графівТраєкторії послідовності графів виду (8.1). Несприятливими вважаються траєкторії, що для деякого i = 1, ..., т містять стани
Тобто несприятливою виявляється ситуація, коли обидва користувачі можуть прочитати той самий об'єкт. Ясно, що механізм захисту повинен будувати обмеження на черговий доступ, виходячи з множини об'єктів, з якими вже ознайомився інший користувач.
Приклад 8.7. Нехай у системі, описаній у попередньому прикладі, несприятливою є будь-яка траєкторія, що містить, наприклад, граф виду
У цьому випадку видно, що система буде захищена обмеженням доступу на читання користувача U1 до об'єкта О1.
8.3. Ієрархічний метод
Зрозуміло, що реалізація АСОД вимагає великого програмно-апаратного комплексу, який треба спроектувати, створити, підтримувати в працездатному стані. Ці системи є такими складними, що потрібна розробка спеціальної технології проектування і створення таких систем. У даний час основним інструментом розв'язання задач аналізу, проектування, створення і підтримки в робочому стані складних систем є ієрархічний метод.
В основі методу лежить розбивка системи на ряд рівнів, що пов'язані односпрямованою функціональною залежністю. Відомі різні варіанти формального і напівформального опису такої залежності. Однак повної формалізації тут досягти не вдається через значну узагальненість поняття «складна система» і неоднозначності розбивки на рівні. Проте з метою розуміння цього в декомпозиціях різної природи складних систем можна домовитися про універсальні принципи опису ієрархічного методу.
Припустимо, що складна система , яка нас цікавить, адекватно описана мовою М. Припустимо, що проводиться декомпозиція (розкладання) мови М на сімейство мов D1, D2,..., Dn. Якщо мова Di, i = 2, ..., n, синтаксично залежить тільки від словоформ мови Di-1, то будемо говорити, що вони утворять два сусідні рівні. Тоді система може бути описана наборами слів В1, ..., Вп у мовах D1, D2,..., Dn, причому так, що опис Bi, синтаксично може залежати тільки від набору Bi-1. У цьому випадку будемо говорити про ієрархічну декомпозицію системи і рівні декомпозиції
В1, ..., Вп, де рівень Bi безпосередньо залежить від Bi-1. Розглянемо найпростіші приклади ієрархічної побудови складних систем.
Приклад 8.8. Нехай уся інформація в системі розбита на два класи Secret і Top Secret, що у цифровій формі можна позначати 0 i 1. Нехай усі користувачі розбиті у своїх можливостях допуску до інформації на два класи, що також будемо позначати 0 i 1. Правило допуску до інформації X при запиті користувача Y визначається умовою: якщо х – клас запитуваної інформації X, а клас у – користувача Y, то допуск до інформації дозволений тоді і тільки тоді, коли х = у. Цю умову формально можна описати такою формулою деякої мови D2 (набором слів В2):
Для обчислення цього виразу необхідно здійснити такі операції, що описуються в термінах іншої мови D1 (набором слів B1)
де U1(X) – оператор визначення по імені об'єкта X номера класу доступу х;
U2(Y) – оператор визначення по імені користувача Y номера класу допуску у,
– додавання за mod 2, U(X, Y, z) оператор, що реалізує доступ У до X, якщо z = 0, і блокує систему, якщо z = 1.
Таким чином, рівень В2 залежить від В1, а вся система представлена ієрархічною дворівневою декомпозицією з мовами D1 і D2, причому М= (D1 , D2).
Приклад 8.9. Значно частіше використовується неформальний ієрархічний опис систем. Наприклад, часто використовується ієрархічна декомпозиція обчислювальної системи у вигляді трьох рівнів:
апаратна частина;
операційна система;
користувацькі програми.
Приклад 8.10. Одним з поширених прикладів ієрархічної структури мов для опису складних систем є розроблена організацією міжнародних стандартів (ISO) Еталонна модель взаємодії відкритих систем (OSI), що прийнята ISO у 1983 р.
ISO створена, щоб вирішити два завдання:
• вчасно і правильно передавати дані через мережу зв'язку (тобто користувачами повинні бути обговорені види сигналів, правила прийому і перезапуску, маршрути і т. п.);
• доставити дані користувачу в прийнятній для нього розпізнаваній формі.
Модель складається із семи рівнів. Вибір числа рівнів і їх функцій визначається інженерними міркуваннями.
Між користувацьким середовищем та фізичним є такі рівні: прикладний, представницький, сеансовий, транспортний, мережевий, канальний, фізичний.
Верхні рівні вирішують завдання представлення даних користувачу в такій формі, що він може розпізнати їх і використовувати. Нижні рівні служать для організації передачі даних. Ієрархія полягає в такому.
Всю інформацію в процесі передачі повідомлень від одного користувача до іншого можна розбити на рівні; кожен рівень є виразом деякої мови, що описує інформацію свого рівня. У термінах мови даного рівня виражається перетворення інформації і «послуги», що на цьому рівні надаються наступному рівню. При цьому сама мова спирається на основні елементи, що є «послугами» мови більш низького рівня. У моделі OSI мова кожного рівня разом з порядком її використання називається протоколом цього рівня.
Яке призначення кожного рівня і що є мовою кожного рівня?
Прикладний рівень (ПР). ПР має відношення до семантики обмінюваної інформації (тобто змісту). Мова ПР забезпечує взаєморозуміння двох прикладних процесів у різних точках, що сприяють здійсненню бажаної обробки інформації. Мова ПР описує два види ситуацій:
спільні елементи для всіх прикладних процесів, що взаємодіють на прикладному рівні;
специфічні нестандартизовані, елементи додатків.
Мова ПР складається і постійно розширюється за рахунок функціональних підмов. Наприклад, розроблені протоколи (мови ПР):
віртуальний термінал (надання доступу до термінала процесу користувача у віддаленій системі);
файл (дистанційний доступ, керування і передача інформації, накопиченої у формі файлу);
протоколи передачі завдань і маніпуляції (розподілена обробка інформації);
менеджерські протоколи;
одним з важливих протоколів прикладного рівня є «електронна пошта» (протокол Х.400), тобто транспортування повідомлень між незалежними системами з різними технологіями передачі і доставки повідомлень.
Рівень представлення (РП). РП вирішує ті проблеми взаємодії прикладних процесів, що пов'язані з розмаїтістю представлень цих процесів. РП надає послуги для двох користувачів, які бажають зв'язатися на прикладному рівні, забезпечуючи обмін інформацією щодо синтаксису даних, переданих між ними. Це можна зробити або у формі імен, якщо обом системам, що зв'язуються, відомий синтаксис, який буде використовуватися, або у формі опису синтаксису, який буде використовуватися, якщо він невідомий. Коли синтаксис переданої інформації відрізняється від синтаксису, використовуваного приймаючою системою, то РП повинен забезпечити відповідне перетворення.
Крім того, РП забезпечує відкриття і закриття зв'язку, керування станами РП і контролем помилок.
Рівень сеансу (PQ. PC забезпечує керування діалогом між процесами, що обслуговуються, на рівні представлення. Сеансове з'єднання спочатку повинно бути встановлене, а параметри з'єднання обговорені шляхом обміну керуючою інформацією. PC надає послугу синхронізації для подолання будь-яких виявлених помилок. Це робиться в такий спосіб: мітки синхронізації вставляються в потік даних користувачами послуги сеансу.
Якщо виявлена помилка, сеансове з'єднання має бути повернуто у певний стан, користувачі послуги повинні повернутися у встановлену точку діалогового потоку інформації, скинути частину переданих даних і потім відновити передачу, починаючи з цієї точки.
Транспортний рівень (ТР). ТР надає сеансовому рівню послугу у вигляді надійного і прозорого механізму передачі даних (поза залежністю від виду реальної мережі) між вершинами мережі.
Мережний рівень (MP). MP надає ТР послуги зв'язку. MP визначає маршрут у мережі. Організує мережний обмін (протокол IP) і керує потоками в мережі.
Канальний рівень (КР). Надає MP послуги каналу. Ця послуга полягає в безпомилковості послідовної передачі блоків даних по каналу в мережі. На цьому рівні реалізується синхронізація, порядок блоків, виявлення і виправлення помилок, лінійне шифрування.
Фізичний рівень (ФР). Фізичний рівень забезпечує те, щоб символи, які надходять у фізичне середовище передачі на одному кінці, досягали іншого кінця.
Яким чином реалізуються функції обміну інформацією на кожному рівні? Для цього на кожному рівні до вихідного блоку даних додається інформація у вигляді виразу мови відповідного рівня (як правило, у вигляді додаткового заголовка).
Рівні функціонально взаємодіють, поперше, як однакові рівні у різних абонентів, подруге, як суміжні рівні в одній ієрархії. Блок даних, що проходить через усі рівні, зазнає таких змін:
ПР Блок прикладних даних ДДД
РП Заголовок послуги представлення ПІШДДД
PC Заголовок послуги сеансу СССППЦДДД
ТР Заголовок транспортної послуги ТТТСССПГШДДД
MP Заголовок мережної послуги МММТТТСССПППДДД
КР Заголовок каналу передачі КККМММТТТСССПППДВД
ФР
Зв'язок будь-яких однакових рівнів у різних абонентів при передачі, що використовує з'єднання, складається з трьох фаз:
а) встановлення з'єднання;
б) передача даних;
в) роз'єднання.
У фазі а) відбуваються переговори про набір параметрів передачі. У фазі б) виявлення і виправлення помилок, підтримка з'єднання.
На кожному рівні реалізовані свої способи виявлення і виправлення помилок:
• канал виправлення бітів;
мережа роз'єднання і втрата пакетів;
відповідно виправлення цих помилок;
сеанс, транспортування виправлення адресації.
Важливі інформаційні елементи кожного рівня будемо називати об'єктами, таким чином, зв'язок (N-1)-гo, N-гo і (N + l)-гo рівнів виглядає так: кожен рівень містить набір об'єктів, що взаємодіють між собою в різних системах на одному рівні. На різних рівнях об'єкти взаємодіють через ключі доступу послуг.
У моделі OSI стандартизовано види взаємодії постачальника послуги на рівні N та споживача на рівні N + l. Ці види називаються примітивами послуг. їх чотири: запити, ознака, відповідь, підтвердження.
Запит подається користувачем послуги на (N+ 1)-му рівні системи А для того, щоб звернутися до послуги протоколу-постачальника послуги на N-му рівні. Це приводить до надсилання повідомлення N-го рівня в систему В. У системі В запит на рівні N викликає появу примітива «ознака», що випускається постачальником послуги на рівні N в В на (N+ 1)-й рівень.
Примітив «відповідь» випускається користувачем послуги на рівні N+1 в В у відповідь на ознаку, що з'явилася в точці доступу до послуги між рівнями N і N+1 системи В. Примітив «відповідь» є директивою протоколу рівня N завершити процедуру звертання примітива «ознака». Протокол на рівні N в системі В генерує повідомлення, що передається в мережу і повторюється на рівні N системи А. Це викликає надсилання примітива «підтвердження», що випускається постачальником послуги в системі А на рівні N у точку доступу до послуги між рівнями N і N+ 1. На цьому процедура, розпочата запитом у точці доступу до послуги між рівнями N і
N + 1 у системі А, завершується.
8.4. Потоки і цінність інформації
Структури інформаційних потоків є основою аналізу каналів витоку і забезпечення конфіденційності інформації. Ці структури спираються на теорію інформації і математичну теорію зв'язку. Розглянемо найпростіші потоки.
Нехай суб'єкт S здійснює доступ на читання (г) до об'єкта О. У цьому випадку говорять про інформаційний потік від О до S. Тут об'єкт О є джерелом, a
S – одержувачем інформації.
Нехай суб'єкт S здійснює доступ на запис (w) до об'єкта О. У цьому випадку говорять про інформаційний потік від S до О. Тут об'єкт О є одержувачем, a S джерелом інформації.
З найпростіших потоків можна побудувати складні. Наприклад, інформаційний потік від суб'єкта S2 до суб'єкта S1 відбувається за такою схемою
Тобто суб'єкт S2 записує дані в об'єкт О, а потім S1 зчитує їх. Тут S2 джерело, a S1 одержувач інформації. Можна говорити про передачу інформації, що дозволяє реалізувати інформаційний потік.
З точки зору ЗІ, канали й інформаційні потоки можуть бути законними або незаконними. Останні створюють витік інформації і тим самим порушують конфіденційність даних.
Розглядаючи канали передачі інформаційних потоків, можна залучити теорію інформації для обчислення кількості інформації в потоці і пропускної здатності каналу. Якщо незаконний канал не можна цілком перекрити, то частка кількості інформації в об'єкті, що витікає по цьому каналу, служить мірою небезпечності цього каналу. В оцінках якості ЗІ іноді використовується граничне значення для припустимої пропускної здатності незаконних каналів.
У загальному вигляді для об'єктів Х в одному стані і Y в іншому визначимо інформаційний потік, що дозволяє за спостереженням Y довідатися про зміст X.
Припустимо, що стан X і стан Y – випадкові величини зі спільним розподілом
Р(х, у) = Р(Х=х, Y=у), де під X=х розуміється подія; що стан об'єкта X дорівнює значенню х (аналогічно в інших випадках). Тоді можна визначити: Р(х), Р(у/х), Р(х/у), ентропію Н(Х), умовну ентропію H(X/Y) і середню взаємну інформацію
Означення. При переході з одного стану в інший виникає інформаційний потік від X до У, якщо І(Х, Y) > 0. Величина І(Х, Y) називається величиною потоку інформації від Х до Y.
Оцінка максимального інформаційного потоку визначається пропускною здатністю каналу зв'язку Х—> Y і дорівнює за величиною
Щоб захистити інформацію, треба затратити сили і кошти, а для цього треба знати, яких втрат ми могли б зазнати. Зрозуміло, що в грошовому вираженні витрати на захист не повинні перевищувати можливі втрати. Для розв'язання цих задач в інформацію вводиться допоміжна структура цінність інформації. Розглянемо приклади.
Нехай інформація представлена у вигляді кінцевої множини елементів і необхідно оцінити сумарну вартість у грошових одиницях з оцінок компонент. Оцінка може будуватися на основі експертних оцінок компонент, і, якщо грошові оцінки об'єктивні, то сума дає досить точну величину. Однак кількісна оцінка компонент не завжди об'єктивна навіть при кваліфікованій експертизі. Це пов'язано з неоднорідністю компонент у цілому. Тому роблять єдину ієрархічну відносну шкалу (лінійний порядок, що дає можливість порівнювати цінність окремих компонент відносно одна одної). Єдина шкала означає рівність ціни всіх компонент, що мають одну і ту ж порядкову оцінку. Така модель називається адитивною.
Приклад 8.12. Нехай Oi ...,0n об'єкти, і визначена шкала 1 < ...< 5. У результаті експертних оцінок отримано такий вектор відносних цінностей об'єктів
= (и 2,..., n) = (2, 1, 3, ..., 4). Якщо відома ціна хоча б одного об'єкта, наприклад,
c1 = 100 у. о., то обчислюється оцінка одного бала с1=С1/ = 50 у. о., де – число балів оцінки першого об'єкта, і далі обчислюється ціна кожного наступного об'єкта за формулою Сi = с11, тобто С2 = 50 у. о., С3 = 150 у. о. і т. п. Тоді сума визначає вартість всієї інформації. І навпаки, якщо апріорно відома загальна ціна інформації, то завдяки відносним оцінкам в порядковій шкалі можна обчислити ціни компонентів.
Нехай у рамках адитивної моделі проведено облік вартості інформації в системі. Оцінка можливих втрат будується на основі отриманих вартостей компонент, виходячи з прогнозу можливих загроз цим компонентам. Можливості загроз оцінюються ймовірностями відповідних подій, а втрати підраховуються як сума математичних очікувань втрат для компонент по розподілу можливих загроз.
Приклад 8.13. Нехай O1,..., Оп об'єкти, цінності яких С1,..., Сn.
Припустимо, що збиток одному об'єкту не знижує ціни інших, і нехай імовірність завдання збитку об'єкту Oi, дорівнює pi функція втрат збитку для об'єкта Oi дорівнює
Оцінка втрат від реалізації загроз об'єкту і дорівнює EWі =pCi. Виходячи зі зроблених припущень, втрати в системі рівні W = W1 + ... + Wn. Тоді очікувані втрати (середній ризик) дорівнюють:
Далеко не завжди можливо і потрібно давати грошову оцінку інформації. Наприклад, оцінка особистої інформації, політичної інформації чи військової інформації не завжди розумна і можлива в грошовому численні. Однак підхід, пов'язаний з порівнянням цінності окремих інформаційних елементів між собою, як і раніше, має сенс.
Приклад 8.14. При оцінці інформації в державних структурах використовується порядкова шкала цінностей. Всі об'єкти (документи) державної установи розбиваються за грифами таємності. Самі грифи таємності утворюють порядкову шкалу: несекретно < для службового користування < таємно < цілком таємно (НС < ДСК < Т < ЦТ) або в закордонних системах: unclassified < confidential < secret < top secret (U < Conf < S < TS). Відразу видно, що більш високий клас має більш високу цінність, і тому вимоги щодо його захисту від НСД вищі.
Узагальненням порядкової шкали є модель решітки цінностей. Нехай дане
SC – скінченна частково упорядкована множина щодо бінарного відношення <, тобто лля кожних А.В.С виконується
називається найменшою верхньою границею (верхньою гранню), якщо
Елемент А В, загалом кажучи, може не існувати. Якщо найменша верхня границя існує, то з антисиметричності випливає одиничність.
Означення. Для А, В SC елемент Е = АВ SC називається найбільшою нижньою границею (нижньою гранню), якщо
Ця границя також може не існувати. Якщо вона існує, то з антисиметричності випливає одиничність.
Означення. (SC. <) називається решіткою. якшо лля будь-яких А,
Для всіх елементів SC у скінченних решітках існує верхній елемент High = SC, аналогічно існує нижній елемент Low = SС.
Означення. Скінченна лінійна решітка – це лінійно упорядкована множина, отже, можна завжди вважати {0, 1,..., n} = SC.
Для більшості решіток, що зустрічаються в теорії захисту інформації, існує представлення решіток у вигляді графа. Розглянемо кореневе дерево на вершинах зі скінченної множини Х = {Х1, Х2, ..., Хn} з коренем у Xi. Нехай на єдиному шляху, що з'єднує вершину Хi з коренем, є вершина Xj. Покладемо за визначенням, що
Xi < Xj. Очевидно, що в такий спосіб на дереві визначено частковий порядок. Крім того, для будь-якої пари вершин Xi і Xj існує елемент Xt Xj, що визначається точкою злиття шляхів з Xi і Xj у корінь. Однак така структура не є решіткою, тому що тут немає нижньої грані. Виявляється, що від умови одиничності шляху в корінь можна відмовитися, зберігаючи при цьому властивості часткового порядку й існування верхньої грані. Наприклад, додамо до побудованого дерева вершину L, з'єднавши з нею всі кінцеві вершини. Покладемо і = 1, ..., п, L < Xj. Для інших вершин порядок визначається, як раніше. Побудована структура є решіткою.
Приклад 8.15. Для А,ВХ, де А,В– підмножини X. Визначимо А<В =>AB. Всі умови часткового порядку 1), 2), 3) виконуються. Крім того, AB – це AB, AB = AB. Отже, це решітка.
Приклад 8.16. Розглянемо MLS-решітку. Назва походить від абревіатури Multilevel Security і лежить в основі державних стандартів оцінки інформації. Решітка будується як прямий добуток лінійної решітки L і решітки SC
підмножин множини X, тобто (), (', ') елементи добутку, , ' L
лінійна решітка, , ' SC решітка підмножин деякої множини X. Тоді
(, )<(`, `)`, <` Верхня і нижня границі визначаються в такий спосіб:
Вся інформація {об'єкти системи} відображається в точки решітки {(, )}. Лінійний порядок, як правило, вказує гриф таємності. Точки множини X звичайно називаються категоріями.
Властивості решітки в оцінці інформації широко використовуються при класифікації нових об'єктів, от...
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора