<<

стр. 2
(всего 8)

СОДЕРЖАНИЕ

>>

45
существования электронного документа: электронной, аналоговой,
социальной. Можно наметить следующие уровни системы моделей:
информация, документ, отдельные механизмы защиты информации,
защита среды существования, защита электронного взаимодействия.
Модели информации должны базироваться на возможности
количественного подхода к столь многообразному явлению как
информация. Только тогда можно применять количественные оценки,
только тогда можно говорить о цифровой информации, которая
воспринимается неодушевленными объектами, инструментальными
средствами вычислительной техники.
Модели документа основаны на признании его социальным
явлением, существующим только в рамках общественной среды
жизнедеятельности человека. Безразлично, традиционный или
электронный документ, необходимыми условиями использования его в
качестве информационного факта являются предусмотренные основания
для возникновения, изменения, прекращения конкретных правоотношений
между участниками информационного взаимодействия.
Только определив ЭлД, можно переходить к моделям отдельных
механизмов защиты информации. В пассивном состоянии (хранение) ЭлД
— это элемент пространства — объект, предмет. И с этой точки зрения
подобен традиционному документу, «написанному» на поверхности
«бумаги», ферромагнитной поверхности диска, невидимыми «чернилами»,
биполярной ориентацией магнитных доменов. В активном состоянии
(обработка и передача) ЭлД — это процесс, развивающийся во времени.


1.2.2. Модели электронной информации

Модели цифровой информации опираются на ставшие уже
классикой общеизвестные работы К. Шеннона [2, 40], показавшего
возможность количественного подхода к информации. К каким парадоксам

46
в электронной среде приводит определение информации как сведения или
знания показано выше. Сведение, знание это сугубо

индивидуализированные понятия, неотрывные от воспринимающего
субъекта: для кого сведение, а для кого — пустой набор слов. Основная
идея Шеннона заключается в объективизации понятия информации.
Шеннон обезличил информацию, назвал информацией последовательность
сигналов, бит и т. п. с заданной на ней вероятностной мерой.
Если вспомнить, что специализацией К. Шеннона была
криптография (доклад «Математическая теория криптографии» был им
сделан 01.09.45 г.), то подобный подход очевиден. Ведь зашифрованная
информация, с позиций обычного человека, есть бессмысленный набор
знаков, но никак не сведение или факт. Естественно, что
множества в таком случае оказывается
«индивидуальность»
несущественным фактором, имеют место только абстрактные
характеристики. Любая последовательность есть упорядоченное
множество, тогда неизменность информации означает, что любые
преобразования множества сохраняют отношение порядка, являются
изоморфными.
Далее, используя чисто формальные математические
преобразования, Шеннон приходит к понятиям энтропии, количества
информации, совершенной секретности и прочим характеристикам,
интерпретация которых имеет прикладное значение. Как правило, именно
это ставят ему в заслугу, но исходные постулаты несопоставимо глубже.
Электронное взаимодействие вышло на массовый уровень, и подавляющее
большинство участников не способно адекватно воспринимать постулаты
цифрового отображения информации, противоречащие всему их
предыдущему жизненному опыту. В свою очередь, это ведет к
поверхностному анализу процессов обеспечения информационной
безопасности, не затрагивающему их глубинных основ.

47
1.2.3. Модели электронного документа

Федеральный закон «Об обязательном экземпляре документов» [24]
гласит: «ДОКУМЕНТ — материальный объект с зафиксированной на нем
информацией в виде текста, звукозаписи или изображения,
предназначенный для передачи во времени и пространстве в целях
хранения и общественного использования».
Приведенное определение традиционного (аналогового) документа
связывает в единое целое его пространственные (материальный объект),
временные (передача, хранение во времени) и социальные (общественное
использование) характеристики. Аналоговый документ практически
постоянен во времени, поэтому можно говорить о фиксированности АнД.
Документ индицируется как сосредоточенный в конечном объеме
пространства и бесконечно малом интервале времени. Используемые
способы отображения информации в АнД характеризуются жесткой
связью с носителем (бумагой), так что допустимо интерпретировать АнД в
течение всего жизненного цикла только как материальный объект.
Для электронного документа подобная абсолютизация неприемлема.
В пассивном состоянии (хранение) ЭлД есть элемент пространства —
объект, и с этой точки зрения подобен традиционному документу.
В активном состоянии (обработка и передача) ЭлД — процесс, здесь
понятие фиксированности документа бессмысленно, процесс
принципиально развивается во времени. Процесс в бесконечно малом
интервале времени наблюдения не индицируется. В отличие от АнД, для
индикации электронного документа как процесса необходим конечный
период наблюдения, но достаточен бесконечно малый объема
пространства: достаточен физический контакт с источником сигнала, а
объем любого контакта практически равен нулю.



48
Но это не означает, что на практике используется единственный
контакт, точка индикации ЭлД. Обычно требуется конечное число
контактов, как-то распределенных в пространстве, разумеется, их
суммарный объем все равно будет практически нулевым. Так как
координаты возможных контактов известны лишь приближенно, в лучшем
случае, с точностью до технического устройства, то нельзя ограничиться
только временной составляющей ЭлД как процесса. Необходимо
рассматривать и пространственный аспект ЭлД, ограничивающий зону
возможных контактов. При защите информации, в частности, это приводит
к задаче защиты электронной среды как совокупности инструментальных
средств, хотя последние инвариантны, не зависят от собственно
информации.
И, наконец, социальный аспект электронного документа,
обусловленный его использованием для регулирования общественных
отношений между участниками информационного взаимодействия.
Документ, в отличие от сообщения, представляет собой социальное
явление, существующее только в рамках общественной среды
жизнедеятельности человека. Применение ЭлД в документообороте
означает его использование в качестве сообщения о возникновении
юридического факта — предусмотренного в законе основания для
возникновения, изменения, прекращения конкретных правоотношений
между участниками взаимодействия.
Социальная среда предъявляет требования, отсутствующие в
электронной среде, важнейшие из которых: аутентификация участников
взаимодействия, доступность пользователю, конфиденциальность
сообщения. Причем выполнение этих требований должно не только
обеспечиваться «по умолчанию», но и подтверждаться наличием тех или
иных, индицируемых в явном виде, статусных атрибутов электронного
документа. Аналогично, показания свидетелей некоторого события

49
становятся юридическим фактом и могут быть использованы в судебной
практике только при явном подтверждении предписанной законами
технологии и процедур сбора, регистрации, верификации, оглашения и т.
д.
В настоящее время обмен информацией в электронном виде
технически и технологически не представляет принципиальных
трудностей. На рынке предлагается множество сопоставимых по качеству
инструментальных и программных средств, позволяющих реализовать
электронное взаимодействие между удаленными пользователями как в
режиме «on-line», так и в режиме «off-line». Однако ситуация кардинально
меняется, как только выдвигается требование документированности
электронного взаимодействия. Необходимо придать юридический статус
некоторому виртуальному объекту, не индицируемому органами чувств
человека в пассивной фазе жизненного цикла, не
(хранение)
фиксированному в активной фазе (обработка и передача), меняющемуся в
любой из моментов наблюдения.
Удовлетворительные модели электронного документа, отражающие
отмеченные аспекты, в доступной литературе найти не удалось. На
современном этапе развития электронного взаимодействия разработка
подобных комплексных моделей является крайне актуальной задачей.


1.2.4. Модели механизмов защиты информации

Приведем аннотационное описание наиболее часто цитируемых
моделей, в том числе: дискреционного, мандатного, дискретного доступа;
синхронных и асинхронных распределенных систем; трансформации прав
доступа; элементарной защиты; гарантированно защищенной системы;
модель изолированной программной среды; субъектно-объектная модель;
и др.



50
1. Модель дискреционного доступа [42]. В рамках модели контролируется
доступ субъектов к объектам. Для каждой пары субъект-объект
устанавливаются операции доступа (READ, WRITE и др.). Контроль
доступа осуществляется посредством механизма, который
предусматривает возможность санкционированного изменения правил
разграничения доступа. Право изменять правила предоставляется
выделенным субъектам. В моделях дискретного доступа [43–45]
рассматриваются отдельные механизмы распространения доступа
субъектов к объектам.
2. Модель мандатного управления доступом Белла—Лападула [43, 46, 47].
Формально записана в терминах теории отношений. Описывает
механизм доступа к ресурсам системы, при этом для управления
доступом используется матрица контроля доступа. В рамках модели
рассматриваются простейшие операции доступа субъектов к объектам
READ и WRITE, на которые накладываются ограничения. Множества
субъектов и объектов упорядочены в соответствии с их уровнем
безопасности. Состояние системы изменяется согласно правилам
трансформации состояний. Во множестве субъектов могут
присутствовать доверенные субъекты, которые не подчиняются
ограничениям на операции READ и WRITE. В таком случае модель
носит название модели доверенных субъектов [43].
3. Модели распределенных систем (синхронные и асинхронные) [43]. В
рамках модели субъекты выполняются на нескольких устройствах
обработки. В рамках модели рассматриваются операции доступа
субъектов к объектам READ и WRITE, которые могут быть
удаленными, что может вызвать противоречия в модели Белла—
Лападула.
В рамках асинхронной модели в один момент времени несколько
субъектов могут получить доступ к нескольким объектам. Переход

51
системы из одного состояния в состояние в один момент времени
может осуществляться под воздействием более, чем одного субъекта.
4. Модель безопасности военной системы передачи данных (MMS-
модель) [43, 46, 48]. Формально записана в терминах теории множеств.
Субъекты могут выполнять специализированные операции над
объектами сложной структуры. В модели присутствует администратор
безопасности для управления доступом к данным и устройством
глобальной сети передачи данных. При этом для управления доступом
используются матрицы контроля доступа. В рамках модели
используются операции доступа субъектов к объектам READ, WRITE,
CREATE, DELETE, операции над объектами специфической структуры,
а также могут появляться операции, направленные на специфическую
обработку информации. Состояние системы изменяется с помощью
функции трансформации.
5. Модель трансформации прав доступа [46]. Формально записана в
терминах теории множеств. В рамках модели субъекту в данный
момент времени предоставляется только одно право доступа. Для
управления доступом применяются функции трансформации прав
доступа. Механизм изменения состояния системы основывается на
применении функций трансформации состояний.
6. Схематическая модель [46, 50]. Формально записана в терминах теории
множеств и теории предикатов. Для управления доступом используется
матрица доступа со строгой типизацией ресурсов. Для изменения прав
доступа применяется аппарат копирования меток доступа.
7. Иерархическая модель [46, 51]. Формально записана в терминах теории
предикатов. Описывает управление доступом для параллельных
вычислений, при этом управление доступом основывается на
вычислении предикатов.



52
8. Модель безопасных спецификаций [46, 52]. Формально описана в
аксиоматике Хоара. Определяет количество информации, необходимое
для раскрытия системы защиты в целом. Управление доступом
осуществляется на основе классификации пользователей. Понятие
механизма изменения состояния не применяется.
9. Модель информационных потоков [46, 53]. Формально записана в
терминах теории множеств. В модели присутствуют объекты и
атрибуты, что позволяет определить информационные потоки.
Управление доступом осуществляется на основе атрибутов объекта.
Изменением состояния является изменение соотношения между
объектами и атрибутами.
10. Вероятностные модели [43]. В модели присутствуют субъекты,
объекты и их вероятностные характеристики. В рамках модели
рассматриваются операции доступа субъектов к объектам READ и
Операции доступа также имеют вероятностные
WRITE.
характеристики.
11. Модель элементарной защиты [54]. Предмет защиты помещен в
замкнутую и однородную защищенную оболочку, называемую
преградой. Информация со временем начинает устаревать, т.е. цена ее
уменьшается. За условие достаточности защиты принимается
превышение затрат времени на преодоление преграды нарушителем над
временем жизни информации. Вводятся вероятность непреодоления
преграды нарушителем Pсзи, вероятность обхода преграды нарушителем
Pобх и вероятность преодоления преграды нарушителем за время,
меньшее времени жизни информации Pхр. Для введенной модели
нарушителя показано, что Pсзи = min [(1 – Pобх), (1 – Pхр)], что является
иллюстрацией принципа слабейшего звена. Развитие модели учитывает
вероятность отказа системы и вероятность обнаружения и блокировки
действий нарушителя.

53
12. Модель системы безопасности с полным перекрытием [44, 55].
Отмечается, что система безопасности должна иметь по крайней мере
одно средство для обеспечения безопасности на каждом возможном
пути проникновения в систему. Модель описана в терминах теории
графов. Степень обеспечения безопасности системы можно измерить,
используя лингвистические переменные [56, 57]. В базовой системе
рассматривается набор защищаемых объектов, набор угроз, набор
средств безопасности, набор уязвимых мест, набор барьеров.
13. Модель гарантированно защищенной системы обработки информации
[6]. В рамках модели функционирование системы описывается
последовательностью доступов субъектов к объектам. Множество
субъектов является подмножеством множества объектов. Из множества
объектов выделено множество общих ресурсов системы, доступы к
которым не могут привести к утечке информации. Все остальные
объекты системы являются порожденными пользователями, каждый
пользователь принадлежит множеству порожденных им объектов. При
условии, что в системе существует механизм, который для каждого
объекта устанавливает породившего его пользователя; что субъекты
имеют доступ только общим ресурсам системы и к объектам,
порожденным ими, и при отсутствии обходных путей политики
безопасности, модель гарантирует невозможность утечки информации и
выполнение политики безопасности.
14. Субъектно-объектная модель [58, 59]. В рамках модели все вопросы
безопасности описываются доступами субъектов к объектам. Выделено
множество объектов и множество субъектов. Субъекты порождаются
только активными компонентами (субъектами) из объектов. С каждым
субъектом связан (ассоциирован) некоторый объект (объекты), т.е.
состояние объекта влияет на состояние субъекта. В модели
присутствует специализированный субъект — монитор безопасности

54
субъектов (МБС), который контролирует порождение субъектов.
Показана необходимость создания и поддержки изолированной
программной среды.
Из упомянутых моделей наибольший интерес представляют
дискреционные и мандатные механизмы разграничения доступа (как
наиболее распространенные), модель гарантированно защищенной
системы (в силу гарантированности) и субъектно-объектная модель
(рассматривающая не только доступы, но и среду, в которой они
совершаются). В [43] предлагаются следующие исходные понятия для
моделирования защиты информации.
Сущность, под которой понимается любая составляющая
компьютерной системы.
Субъект — активная сущность, которая может инициировать
запросы ресурсов и использовать их для выполнения каких-либо
вычислительных заданий.
Объект — пассивная сущность, используемая для хранения и
получения информации.
Доступ — взаимодействие между объектом и субъектом, в
результате которого происходит перенос информации между ними.
Взаимодействие происходит при исполнении субъектами операций.
Существуют две фундаментальные операции:
• чтение — перенос информации от объекта к субъекту;
• запись — перенос информации от субъекта к объекту.
Утверждается, что данные операции являются минимально
необходимым базисом для описания моделей, описывающих защищенные
системы.
Уровень безопасности определяется как иерархический атрибут.
Каждый составляющий компонент системы ассоциирован с уровнем
безопасности.

55
Для представления уровней безопасности введено:
• L — множество уровней безопасности;
• символы « < », « ? », « > », « ? » — описывающие иерархические
отношения между элементами множества L.
Комментарий. Даже из столь краткого представления моделей
очевидным становится, что они базируются на феноменологическом
описании процессов и объектов электронной среды. Исходные понятия
даются на эвристическом уровне: есть нечто, понимаемое по умолчанию
как электронная информация, или как электронный документ, или как
операция, или как процесс в электронной среде и т. д. В формальную
модель вводятся полуопределенные, расплывчатые понятия социальной
среды: «сущность», «субъект», «объект», «доступ», «право»,
«полномочие», и т. п. При таком представлении интерпретация моделей и
результатов не абсолютна (однозначна), а относительна (многозначна) —
допускает широкий диапазон толкований, зависящий от квалификации и
подготовки пользователя.
Например, утверждение «2?2 = 4» — абсолютно, не зависит от
квалификации воспринимающего субъекта. А теперь рассмотрим понятие
доступ НСД» с позиций математика,
«несанкционированный —
программиста и юриста. Для математика несанкционированный доступ
непонятен в принципе: либо путь (доступ) из одной вершины графа в
другую существует, либо нет, и никаких санкций для этого не требуется.
Для программиста НСД означает существование алгоритма инициализации
протокола доступа, отличающегося от приведенного в руководстве или
инструкции пользователю. Для юриста НСД означает запуск
предусмотренного стандартного протокола доступа лицом, не имеющим
на то административных полномочий.
По существу наблюдается та же самая картина, с которой мы
столкнулись в разделе 1.1 при анализе понятийной базы законов в сфере

56
электронного взаимодействия. Только в законах применяется бытовой
сленг, а при описании моделей профессиональный жаргон

разработчиков инструментальных средств, разбавленный поверхностными
знаниями математики. Для простых моделей подобное допустимо,
конкретная интерпретация понятий возможна по умолчанию. Но с ростом
сложности моделируемого явления адекватность теряется, и правильно
истолковать результаты моделирования может только разработчик,
зачастую вкладывающий в трактовку понятий свое индивидуальное
видение, в корне отличающееся от канонического определения.
Аннотированные модели априорно рассчитаны на применение
специалистами с квалификацией, позволяющей им более-менее
однозначно трактовать тот сленг, на котором описана модель, понять, что
же именно модель уточняет. Преимущество компактности описания
достигается за счет узости применения, фактически уточняются свойства и
требования к отдельным механизмам защиты информации от
несанкционированного доступа основному виду угроз
(НСД) —
информационной безопасности. До начала моделирования специалист уже
представляет конечный результат, его цель — только конкретизация
количественного измерения результата. Это эффективно на начальных
этапах электронного взаимодействия, когда средства защиты и нападения
достаточно очевидны.
С качественным ростом сложности вычислительных систем,
появлением все более и более изощренных методов и способов атак,
эффективность подобных моделей падает. «Смешивание» в единой модели
качественно отличающихся сторон электронного взаимодействия —
требований аналоговой, цифровой и социальной среды существования
документа, — допустимо только на примитивном уровне описания. Мы
приходим к тому же самому положению, что и в приведенном анализе
понятийной базы вербальных моделей ЭлД.

57
Существующие модели защиты информации имеют экстенсивный
характер (обо всем понемножку), что в перспективе должно негативно
сказаться на эффективности их применения. Необходима специализация
моделей, учитывающая качественное различие свойств и требований к
электронному документу при его переходе на этапах жизненного цикла из
одной среды существования в другую.
Чтобы не быть голословными, рассмотрим далее более детально
модели информационной безопасности, получившие наибольшее
распространение в настоящее время.


1.2.5. Модели разграниченного доступа

Известные модели разграничения доступа, построенные по
принципу предоставления прав, делятся на два основных типа: модели
дискреционного и мандатного доступа. Предлагаются [60–62] различные
отечественные реализации дискреционного механизма, отличающиеся, в
первую очередь, составом набора общих прав.
В СЗИ НСД «Dallas Lock» [60] неявно используются атрибуты
RD = {Y , N } , где Y — право полного доступа субъекта к объекту (на

чтение, запись, модификацию и т. д.); N — отсутствие такого права. В
соответствии с этим каждому субъекту-пользователю ставится в
соответствие либо список разрешенных объектов, либо список
запрещенных объектов.
В СЗИ НСД «Secret Net» [61] набор применяемых атрибутов шире, а
именно RS = { R, W , X } , где R — право (разрешение) на чтение; W —

право на модификацию; X — право на запуск задачи.
Наиболее полный набор общих прав используется в СЗИ НСД
«Аккорд» [62] и включает RA = {R, W , C , D, N , V , O, M , E, G, X } , где:

• R — разрешение на открытие файлов только для чтения;

58
• W — разрешение на открытие файлов только для записи;
• C — разрешение на создание файлов на диске;
• D — разрешение на удаление файлов;
• N — разрешение на переименование файлов;
• V — видимость файлов;
• O — эмуляция разрешения на запись информации в файл;
• M — разрешение на создание каталогов на диске;
• E — разрешение на удаление каталогов на диске;
• G — разрешение перехода в этот каталог;
• X — разрешение на запуск программ.
Заметим, что наборы атрибутов RS и RA близки к атрибутам,
применяемым в ОС UNIX и NetWare соответственно.
Опуская особенности реализации, рассмотрим некоторые
возможности применения различных наборов атрибутов для описания
политик информационной безопасности.
Пусть набор атрибутов — RD = {Y , N } . Предположим, что в системе

действуют два пользователя U1 и U2. Каждый пользователь имеет право
полного доступа Y к некоторому множеству объектов, иными словами, для
пользователя определен список разрешенных объектов
U1

{ }
O11,K , O1n1 = {O1i }i=1 ,
n
обозначим его О1. Для пользователя
1
U2

соответственно определен список разрешенных объектов

{ }
O21,K , O2n2 = {O2i }i =1 , обозначим его О2.
n
2




В случае, когда O1 I O2 ? ? , т. е. когда существует хотя бы один
объект, который содержится в списке разрешенных объектов как для
пользователя U1, так и для пользователя U2, возможна утечка
информации.




59
Покажем это. Пусть существует: O ?O1 и O ?O2 , т. е. O1 I O2 = O .

Представим список разрешенных объектов пользователя U1 следующим

образом: O1 = O UO1 . Предположим, что пользователя U2 интересуют
'


' '
данные, хранящиеся в объекте O ? О1 . При этом пользователь U1 помещает

в объект О данные из объекта O' , а пользователь U2 , в свою очередь,

может прочитать эти данные, так как O ?O2 . Таким образом, пользователь

U2 получает доступ к информации, хранящейся в объекте O' ?O'1, к
которому U2 не имеет права доступа, т. е. происходит утечка информации.
Для описанного состава атрибутов утечка информации возможна в

любом случае, когда O1 IO2 ? ?, т. е. существует только одна выполнимая
политика безопасности, а именно: списки разрешенных пользователям
объектов не имеют общих элементов. Ясно, что это очень сильное
ограничение, тем более что и его недостаточно. Действительно, если право
полного доступа подразумевает возможность переименования объекта, то
возможны и другие каналы утечки, аналогичные описанным.
Комментарий. С субъективной точки зрения результат понятен
специалисту, соответствует реальности, но, в определенном смысле, он не
вытекает из модели и даже ей противоречит. Причина — некорректное
описание модели: смешение чисто формальной терминологии математики
с бытовым и профессиональным сленгом. Из определений «вдруг»
оказывается, что общее право — это не одно право (например, чтения), а
несколько прав (в том числе, право копирования, право изменения текста).
Да и само понятие «утечка информации» не определено. На таком поле
понятий можно сконструировать любое предложение, в том числе, и
противоположное. Например,
В случае, когда O1 I O2 = ?, т. е. когда не существует ни одного
объекта, который содержался бы в списке разрешенных объектов как для

60
пользователя U1 так и для пользователя U2, возможна утечка
информации.
Для обоснования достаточно подразумевать (но умолчать в
утверждении!), что существует третий пользователь U3, для которого
определен список разрешенных объектов, имеющий непустое пересечение
со списками для пользователя U1 и для пользователя U2. Как и раньше,
здесь кое-что (наличие третьего пользователя) недоговорено. Но если
умолчание разрешено для первого положения, то почему недопустимо для
второго?
Понятия: или, еще более
«определен», «право», «доступ»
расплывчатого — «полный доступ», в модели определены некорректно.
«Право» есть характеристика субъекта, «доступ» есть операция на
множестве из субъектов и объектов, это абсолютно разные математические
характеристики. Для существования права не нужны объекты, а вот
операция доступа без наличия объектов немыслима. Что отличает «полный
доступ» от просто «доступа»? Существует ли «неполный доступ», и что
это такое? Разумеется, из контекста понятно, о чем на самом деле идет
речь, но в модели подобное недопустимо.
«Здравый смысл» — это не доказательство, а только предпосылка
существования доказательства. Разумеется, на начальных этапах развития
проблематики защиты информации подобные неформальные модели
допустимы, а зачастую — и необходимы. Только на основе таких моделей
можно перейти к обобщению частных результатов и их формализации.
Перейдем к дальнейшему обзору. Рассмотрим теперь набор
атрибутов RS = { R, W , X } . Этот набор шире RD . Действительно, атрибуты

из RD могут быть описаны атрибутами из RS , а именно: Y ={R, W, X} ;

N ={?, ?, ?} . Обратное — невозможно.



61
Предположим, что в системе действуют два пользователя U1 и U2 :

пользователь U1 имеет права доступа {R, W} к объекту O1 ; пользователь U2
имеет право доступа {R}к объекту O2. Предположим, что пользователя U2
интересуют данные, хранящиеся в объекте O1. При этом пользователь U1,
пользуясь имеющимся у него правом W на модификацию объекта O1,
может переименовать его в O2. Пользователь U2, в свою очередь, пользуясь
имеющимися у него правами {R} на объект O2, получает доступ к данным,
которые содержались в объекте O1, т. е. происходит утечка информации.
При этом ни пользователь U1, ни пользователь U2 не нарушают политики
безопасности. Таким образом, для данного состава атрибутов утечка
информации возможна в том случае, если хотя бы один из пользователей
имеет право доступа {W} к защищаемому объекту.
Это также очень сильное ограничение, и в этой связи возможности
разграничения доступа, предоставляемые данным набором атрибутов,
обычно усиливаются дополнительными механизмами.
Атрибуты из RS, в свою очередь, могут быть описаны атрибутами из

RA, а именно: {R}RS ={R}RA ; {W}RS ={R, W, C, D, N}RA ; { X}RS = { X}RA . Обратное

невозможно.
Комментарий принципиально не отличается от приведенного при
RD ={Y, N} . Просто здесь выше размерность, шире
анализе атрибутов
набор прав, более громоздкие взаимосвязи, вводится некая иерархия прав и
доступов. Но, как и ранее, основополагающие для моделей понятия
«право», «доступ», «утечка», «модификация» и др. не формализуются, о
содержательной сущности приходится только догадываться, опираясь на
сопровождающий контекст и семантику обозначения терминов.



1.2.6. Модели дискреционного доступа


62
Для каждой из реализаций моделей дискреционного доступа
фундаментальным является вопрос, является ли безопасной та или иная
начальная конфигурация, т. е. возможна или нет утечка некоторого права.
Другими словами, может ли пользователь при некоторых условиях
получить доступ к объекту, если в начальном состоянии возможность
такого доступа не предусмотрена (не установлено соответствующее
право). В общем случае ответ на этот вопрос дается в модели
дискреционного доступа с позиций распространения прав доступа.
Рассмотрим дискретную модель разграничения доступа,
приведенную в [43], как модель распространения прав доступа. Система
защиты представляется в виде некоторого декартова произведения
множеств, составными частями которых являются составные части
системы защиты: субъекты, объекты, уровни доступа, операции и т. д. В
качестве математического аппарата выбран аппарат теории множеств.
Типичная модель системы защиты состоит из следующих частей:

1. R ={r ,K rn } — конечный набор общих прав;
,
1


2. S0 — конечный набор исходных субъектов, O0 — конечный набор

исходных объектов, где S0 ?O0 ;

3. С — конечный набор команд формы ?( X1 ,KX n ) , где ? — имя,

X1,KXn — формальные параметры, указывающие на объекты;
4. J — интерпретация для команд, такая, что J отображает С в
последовательность элементарных операций.
Элементарными операциями являются (r — общее право; s — имя
субъекта; o — имя объекта):
• ввести право r в (s, o);
• удалить право r из (s, o);
• создать субъект s;


63
• создать объект о;
• разрушить субъект s;
• разрушить объект о.
5. Условия для команд. Условие С — отображение элементов набора
команд в конечный набор прав.
Право — это тройка (r, s, o), где r?R, а s и o — формальные
параметры.
6. Р — матрица доступов со строкой для каждого субъекта из S и
столбцом для каждого объекта из О.
Комментарий. Итак, по п. 2 «типичной модели системы защиты»
субъект непременно есть объект, но объект не обязательно является
субъектом. Возникает естественный вопрос, а чем отличаются «объект-
субъект» от «объект-несубъект», ведь это исходные понятия модели?
Какой из объектов понимается в паре (s, o), который «несубъект», или
который «субъект»? Если по определению право есть тройка (r, s, o), то,
даже формально, как можно «удалить право из двойки (s, o)? Конечно,
можно догадаться, что именно подразумевается. Но только догадаться!
Кстати, а чем отличается «общее право» от просто «право»? Определено,
что общее право есть r (одиночка, но не тройка!), а просто право есть
тройка (r, s, o). Что такое «команда»? Если ? — имя, то не являются ли
«формальные параметры Xi, указывающие на объекты» также именами?
Что такое «разрушить объект», «разрушить субъект»? И поскольку
S0 ?O0 », то означает ли
«субъекты есть подмножество объектов,
разрушение субъекта, что одновременно разрушается объект?
Далее. Если слова в п. 4 действительно означают элементарные
операции (на множестве O0, на множестве S 0, на множестве O0 \ S0), то эти
операции должны быть определены и, в силу элементарности, взаимно
независимы. Опять-таки можно только догадываться, о чем идет речь.


64
Нечеткость и ошибочность исходных положений неминуемо должны
отражаться и на следствиях.
Далее приводятся определения из модели дискреционного доступа.

Определение 1. Для заданной системы защиты команда ?( X1 ,KXn )
может привести к утечке общего права r, если ее интерпретация содержит
некоторую операцию вида «ввести r в (s, o) для некоторых o?O и s?S ».
Определение 2. Для заданной системы защиты и права r начальная
конфигурация (s0 o0 p0 ) является безопасной для r в этой системе, если не

существует конфигурации (s o p) , такой что (s0 o0 p0 ) ведет к (s o p) , и

существует команда ?( X1 ,KXn ) , условия которой удовлетворяются в

(s o p) , и которая для некоторых реальных параметров дает утечку права r
через команду «ввести r в (s,o) для некоторых o?O и s?S », причем s и o
существуют во время команды «ввести» и для них r не находится в p[s,o],
где p[s,o] — элемент матрицы доступа Р.
Для моделей, построенных на основе дискретной защиты, доказана
следующая
Теорема. Не существует алгоритма, который может решить для
произвольной дискретной защиты и общего права r, является или нет
заданная исходная конфигурация безопасной.
Комментарий. Что такое «заданная система защиты»? Хотя бы, как
можно задать «систему защиты»? Учитывая, что к тому же и понятия
не определены, говорить о
«конфигурация», «интерпретация»
справедливости теоремы бессмысленно. Тем более что попутно возникла
еще одна тройка (s, o, р), отличная от тройки (r, s, o).


1.2.7. Модели мандатного доступа



65
Классической моделью, лежащей в основе построения многих
систем мандатного доступа является модель Белла и Лападула (БЛМ),
описание которой приводится далее по [6] на основе [63].
Классы объектов предполагаются неизменными. Определены
конечные множества S, О, R, L.
S — множество субъектов системы;
О — множество объектов, не являющихся субъектами;
R — множество прав доступа; R = {read (r), write(w), execute (е),
append (а)};
L — уровни секретности.
(Скорее всего, как и в предыдущей модели, субъекты обязательно
являются объектами, но обратное не всегда справедливо. Если — да, то
зачем выделять как множество S некоторое подмножество O? Если субъект
не является объектом, то зачем описывать множество O?)
Множество V состояний системы определяется произведением
множеств: V = B? M ? F ? H , где сомножители определяются следующим
образом:
В — множество текущих доступов и есть подмножество множества
S ?O? R.
подмножеств произведения Множество подмножеств
обозначается P(S ?O ? R) ; элементы множества В обозначаются b, и они
представляют в текущий момент t графы текущего доступа (в каждый
момент субъект может иметь только один вид доступа к данному объекту).
(Если В есть подмножество, то чем это подмножество отличается от
других подмножеств S ?O? R, и причем здесь графы, а, например, не
матрицы? Кстати, матрица разрешенных доступов далее вводится. Откуда
появляется «граф текущего доступа», и что такое «доступ» в терминологии
теории графов, или теории матриц?).
М — матрица разрешенных доступов, M=|Mij|, Mij?R.



66
F — подмножество множества L ?L ?L , где каждый элемент
s s o


f = ( fs , f0, fc ), f ?F , - вектор, который состоит из трех компонентов, каждый
из которых тоже вектор (или отображение):
fs — уровень допуска субъектов (это некоторое отображение f: S-
>L);
fo — уровень секретности объектов (это некоторое отображение f:

O->L);
fc — текущий уровень секретности субъектов (это тоже некоторое
отображение f: S->L).
Элементы подмножества F, которые допущены для определения
состояния, должны удовлетворять соотношению:
?S ?S fs (S) ? fc (S)
Н — текущий уровень иерархии объектов, в [63] этот уровень не
изменяется, совпадает с f o и далее не рассматривается.
Элементы множества V состояний обозначаются через v.
Определены множества: Q — запросов в систему; D — решений по
поводу запросов (D = {yes, nо, error}).
Множество действий системы определено как
W
W ? Q ? D?V ?V ={(q, d, v2, v1)}.
Каждое действие системы (q, d, v2, v1) имеет следующий смысл: если
система находилась в данный момент в состоянии v1 , поступил запрос q,
то принято решение d и система перешла в состояние v2 .
Пусть Т — множество значений времени (T=N — множество
натуральных чисел).
Определен набор из трех функций (х, у, z). x: T->Q, у: T->D, z: T->V,
и обозначены множества таких функций X, Y, Z соответственно.
Рассмотрим X ? Y ? Z и определим понятие системы в БЛМ.

67
Определение 1. Системой ?(Q, D, W, z0 ) называется подмножество

( xt , yt , zt , zt?1) ? W для каждого
X ? Y ? Z такое, что (x, y, z)??(Q, D, W, z0 )?

значения t?T, где z0 — начальное состояние системы.

Определение 2. Каждый набор (х, у, z)??(Q, D, W, z0 ) называется
реализацией системы.
Определение 3. Если (х, у, z) — реализация системы, то каждая

четверка ( xt , yt , zt , zt?1 ) называется действием системы.

Определение 4. Тройка (S, О, X)?S?O?R удовлетворяет свойству
простой секретности (ss-свойство) относительно f, если X=execute, или
X=append, или, если X=read и fs(S) ? fo(O), или X=write и fs(S) ? f0(О).
Определение 5. Состояние v=(b, М, f, h) обладает ss-свойством, если
для каждого элемента (S,О,Х)?B этот элемент обладает ss-свойством
относительно f.
Определение 6. Состояние v=(b, М, f, h) обладает *-свойством, если
для каждого (S, О, X)?B при X=write текущий уровень субъекта fc(S) равен
уровню объекта f0(O), или при X=read fc(S) ? f0(O), или при X=append
fo(O) ? fc(S).
Определение 7. Состояние обладает *-свойством относительно
множества субъектов S', S'?S, если оно выполняется для всех троек (S, О,
X) таких, что S?S'
Определение Субъекты из множества называются
8. S\S'
доверенными.
Определение 9. Состояние v=(b, М, f, h) обладает ds -свойством, если
?(S, О, X)?b=>X?mso, где M=||mso||- матрица доступа состояния v, т. е. ?
доступы из множества текущих доступов для S?S и O?O находятся в
матрице разрешенных доступов.



68
Определение 10. Состояние v = (b, М, f, h) называется безопасным,
если оно обладает одновременно ss-свойством, *- свойством относительно
S' и ds-свойством.
Из определения ss-свойства следует, что в безопасном состоянии
возможно чтение вниз, кроме того, ss-свойство определяет ограничение на
возможность модификации, которое связано с write: fs(S) ? fo(O).
Объясним *-свойство. Если субъект может понизить свой текущий
допуск до fc(S)=f0(O), то, согласно *-свойству, он может писать в объект.
При этом он не может читать объекты на более высоких уровнях, хотя
допуск fs(S) ему это может позволить. Тем самым исключается возможный
канал утечки:


High f s(S)
O1

r


Low f c(S)
S w O2




Таким образом, при записи информационный поток опять не может
быть направлен вниз. Исключение возможно только для доверенных
субъектов, которым разрешено строить информационный поток вниз. При
этом доверенность субъекта означает безопасность такого потока вниз
(поэтому эти потоки считаются разрешенными).
Для того чтобы доказать, что любой поток на траектории
вычислительной системы разрешен, достаточно показать, что, выходя из
безопасного состояния и следуя допустимым действиям, мы опять
приходим в безопасное состояние, тем самым любая реализация процесса
будет безопасной.



69
Определение 11. Реализация (х, у, z) системы ?(Q, D, W, z ) обладает
ss-свойством (*-свойством, ds- свойством), если в последовательности (z0,
z1,.....) каждое состояние zn обладает ss-свойством (*-свойством, ds-
свойством).
Определение 12. Система обладает ss-свойством (соответственно, *-
свойством, ds-свойством), если каждая ее реализация обладает ss-
свойством (соответственно, *-свойством, ds-свойством).
Определение 13. Система называется безопасной, если она обладает
одновременно ss-свойством, *-cвойством и ds - свойством.
Теорема A1. ?(Q, D, W, z0 ) обладает ss -свойством для любого
начального z0, которое обладает ss-свойством тогда и только тогда, когда
W удовлетворяет следующим условиям для каждого действия (q, d, (b*,
М*, f*, h*), (b, М, f, h)):
(1) ?(S, 0, X)?b*| b обладает ss-свойством относительно f*;
(2) если (S, О, X)?b и не обладает ss-свойством относительно f*, то
(S, О, X)?b*.
Теорема A2. Система ?(Q, D, W, z0 ) обладает *- свойством
относительно S' для любого начального состояния z0 , обладающего *-
свойством относительно S' тогда и только тогда, когда W удовлетворяет
следующим условиям для каждого действия (q, d, (b*, М*,f*, h*), (b, М, f,
h)):
?S?S’, ?(S, O, X)?b*\ b обладает *-свойством относительно f*;
(I)

(II) ?S?S’, ?(S, O, X)?b и (S, O, X) не обладает *-свойством
относительно f*, то (S, O, X)?b*.
Теорема АЗ. Система ?(Q, D, W, z0 ) обладает ds-свойством тогда и
только тогда, когда для любого начального состояния, обладающего ds-
свойством, W удовлетворяет следующим условиям для любого действия
(q, d, (b*, М*,f*, h*), (b, М, f, h)):

70
(S, О, X)?b*| b, то Х?mso*,
(I)

O, X)?b*| b, X?mso*, то (S, 0, X)?b*.
(II) (S,

Теорема (Basic Security Theorem). Система ?(Q, D, W, z0 ) —

безопасная тогда и только тогда, когда z0 — безопасное состояние и W
удовлетворяет условиям теорем A1, А2, АЗ для каждого действия.
Таким образом, построенная модель является безопасной, но при
этом на рассматриваемую систему накладывается ряд достаточно жестких
ограничений.
Как отмечено выше, *-свойство позволяет субъекту понижать его
текущий допуск до уровня секретности объекта и при этом не дает
возможности читать из объекта с более высоким уровнем секретности.

Предположим, что субъект S получил доступ read к объекту O ,
1

считал интересующую его информацию, затем понизил свой текущий
уровень допуска и, получив доступ write к объекту O2 , произвел в него

запись данных, прочитанных из O1 .
Приведенный пример демонстрирует возможный канал утечки, при
том, что не происходит нарушения политики безопасности, т. е. все
действия субъекта являются правомерными.
Исключить ситуацию, подобную данной, возможно только лишь при
условии, что система не обладает памятью. Данное ограничение, очевидно,
является неприменимым к наиболее часто используемым системам.
Рассмотренное конечное множество прав доступа R={read, write,
execute, append} обеспечивает работу системы, а именно, доступ субъектов
к интересующим их объектам, только на прикладном уровне.
Комментарий. Трудно сказать что-либо определенное о модели
БЛМ, кроме того, что она базируется на огромном количестве плохо
определенных и/или заданных множеств. Достаточно только перечислить
часть из них: S, O, R, L, B, M, F, H, V = B?M?F?H, B = S?O?R, X, Y, Z,

71
X?Y?Z, Ls, Lc, Lo, F = Ls?Lc?Lo, Q, D, T, N, W = Q?D?V?V, (Q, D, W, z) и
др. А ведь сюда еще надо добавить векторные пространства с
неопределенными свойствами, матрицы с незаданными операциями,
функции, которые не функции, права и доступы с неясной математической
интерпретацией.
Коль скоро в рассмотрении вводятся вектора, то, по крайней мере,
должно быть задано начало координат, определены характеризующие
векторное пространство F операции умножения вектора на скаляр и
векторного сложения. Кроме того, множество F должно быть кольцом
(замкнутым относительно операций пересечения и симметрической
разности). Создается впечатление, что указанные положения авторам
модели незнакомы. Во всяком случае, их выполнение крайне неочевидно.
Огромная загадка, что же такое множество матриц разрешенных доступов
M=|Mij|, Mij ? R? Судя по тексту, это множество не только состоит всего из
одной матрицы, но одновременно является подмножеством множества
«прав доступа» R = {read (r), write(w), execute (е), append (а)}. Всякая
функция есть отображение, но далеко не всякое отображение есть
функция, для этого отображение должно быть определено на множестве
чисел, но не на множестве элементов произвольной природы, в частности,
множестве операций.
В модели надо определить математически, а что же именно
защищается, выделить участников доступа, математическую сущность
права, операции и т. п. Возможны две формы отображения электронной
информации: статическое в аналоговом виде — в устройствах памяти,
динамическое в цифровом виде — как процесс преобразования. Модель
сводит динамику к статике, рассматривая «объекты-субъекты» и «объекты-
несубъекты». Наверное, как можно догадаться, это активизированный
файл и файл в памяти. Отсюда автоматически вытекает, что
рассматриваемая модель априорно слишком схематична. Это все равно,

72
как изучать поведение функции только по ее значениям, отбрасывая
понятия производных, интеграла и т. д. Можно, но не эффективно.
Жизненный цикл электронного документа протекает в трех средах:
социальной аналоговой электронной
(права), (память), (процесс).
Существуют, по меньшей мере, два класса требований к защите
документа: технологические — например, обеспечение доступности и
целостности ЭлД; и социальные — конфиденциальность, секретность,
обеспечение аутентификации ЭлД. Если при анализе первых достаточно
рассматривать только электронную среду, то для исследования последних
необходимо кардинально изменить модель, вводя мыслящего субъекта, т.
е. качественно изменяя среду моделирования. Вместо этого в модели БЛМ
вводится неопределенное «право доступа», маскируемое совместным
использованием несовместимых языков описания: с одной стороны —
«читать», «писать», «добавить», «уничтожить»; с другой стороны, язык
математики — «декартово произведение множеств», «множество всех
подмножеств», «векторное пространство», «граф текущего доступа»,
«функция».
Известно, что из шума» можно выделить любую
«белого
последовательность. Точно так же, из белого шума терминологии модели
можно получить любое правильное заключение. Но можно — и
неправильное, если заранее ответ неизвестен. Скорее всего, цитированная
базовая теорема безопасности правильно определяет достаточные
условия безопасности, но являются ли эти условия необходимыми — уже
не очевидно.


1.2.8. Модель гарантированно защищенной системы обработки
информации




73
В [6] определена модель ? системы, которая оперирует с ценной
информацией. Согласно модели, время дискретно и принимает значения
из множества N={l, 2, ... }. Информация в системе ?, включая описание
самой системы, представима в форме слов некоторого гипотетического
языка Я над некоторым конечным алфавитом А.
Объект в ? — это конечное множество слов из Я, состояние объекта
— выделенное слово из множества, определяющего этот объект. С
понятием объекта связано агрегирование информации в ? и о ?.
Приведены следующие примеры объектов:
• объектом является принтер, который можно рассматривать как
автомат с конечным множеством состояний, а эти состояния — суть
слова языка Я;
• объект — файл; множество слов, которые могут быть записаны в
файле, является конечным и определяет объект, а состояния объекта
— это текущая запись в файле, которая тоже является словом в языке
Я.
Вся информация о ? в данный момент может быть представлена в
виде состояний конечного множества объектов. Считается, что состояние
системы ? — это набор состояний ее объектов.
Объекты могут создаваться и уничтожаться, поэтому можно
говорить о множестве объектов системы ? в момент t, которое
обозначается Оt, |Ot|<?. Для каждого t?N в Оt выделено подмножество St
субъектов: St ?Ot . Любой субъект S?St есть описание некоторого

преобразования информации в системе ?. Каждый субъект может
находиться в двух состояниях: в форме описания, в котором субъект
называется неактивизированным, и в форме (процесс), в которой субъект
называется активизированным.



74
Активизировать субъект может только другой активизированный
субъект. Для каждого t?N на множестве St определяется орграф Гt, где S1 и
S2 из St соединены дугой S1->S2 тогда и только тогда, когда в случае
активизации S1 возможна активизация S2. Если субъект S — такой, что для
каждого Гt в вершину S не входят дуги, то такой субъект называется
пользователем. Предполагается, что в системе S всего два пользователя: U1
и U2. Пользователи считаются активизированными по определению и
могут активизировать другие субъекты. Если в любой момент t в графе Гt в
вершину S не входят дуги и не выходят дуги, то такие субъекты

исключаются из рассмотрения. Введено обозначение: S1 ?>S2 S1, S2 ?St ,
?
a


процедуры активизации процессом S1 субъекта S2.
Далее в рамках модели делаются следующие предположения:
Предположение 1. Если субъект S активизирован в момент t, то
существует единственный активизированный субъект S' в St, который
активизировал S. В момент t=0 активизированы только пользователи.
Лемма 1. Если в данный момент t активизирован субъект S, то
существует единственный пользователь от имени которого
U,
активизирован субъект то есть существует цепочка
S,
U ?? S1 ?? S2 ?? L?? Sk ?? S .
> a> > a> >
a a a



Предположение требует единственности идентификации
1
субъектов. Далее предполагается, что каждый объект в системе имеет
уникальное имя.
Кроме активизации в системе ? существуют и другие виды доступа
активизированных субъектов к объектам.
Введено множество всех видов доступов R, |R| < ?. Если р ? R, то
множество доступов р активизированного субъекта S к объекту О

обозначится через S ? >O. Если в некоторый промежуток времени [t, t+k]
?p


реализована последовательность доступов

75
U ?>S1 ?>S2 ?> ?>Sk ? >S , то считается, что произошел доступ
? ? ?L a
? ?
a a a p



S ?p>*O от имени субъекта S к объекту O.
?
При этом не имеет значения, какую задачу решает система ?, а лишь
моделируется функционирование системы последовательностью доступов.
Предположение 2. Функционирование системы ? описывается
последовательностью доступов множеств субъектов к множествам
объектов в каждый момент времени t?N.
Описанный выше орграф Гt обобщается путем добавления дуг S->O,
обозначающих возможность любого доступа субъекта S к объекту O в
момент t, в случае активизации S.
Введено обозначение: Dt(S) = {O | S -->*O в момент t}, где S->*O
означает возможность осуществления цепочки доступов S->S1->S2->...Sk-
>O (возможность доступа к О от имени S). Тогда для любого t?N в
системе определены Dt(U1) и Dt(U2) .
Считается, что D= Dt(U1)?Dt(U2) фиксировано для всех t, Ot=
Dt(U1)?Dt(U2), в начальный момент t = 0: O0={U1,U2}?D
Определение 1. Множество объектов D называется общими
ресурсами системы.
Средствами из D пользователь может создавать объекты и
уничтожать объекты, не принадлежащие D. Создание и уничтожение
каких-либо объектов является доступом в R к некоторым объектам из O (и
к уничтожаемым объектам).
Из объектов системы ? построена некоторая подсистема, которая
реализует доступы. Любое обращение субъекта S за доступом р к объекту
О в эту подсистему начинается с запроса, который обозначается S ??> O .
p?



При порождении объекта субъект S обращается к соответствующей
процедуре, в результате которой создается объект с уникальным именем.
Тогда в силу леммы 1, существует единственный пользователь, от имени

76
которого активизирован субъект, создавший этот объект, т. е.
соответствующий пользователь породил данный объект.
Через Оt(U) обозначено множество объектов из Оt, которые породил
пользователь U. При этом считается, что U?Ot(U).
В случае, если в R есть доступы read и write, рассматривается только
опасность утечки информации через каналы по памяти, которые могут
возникнуть при доступах к объектам. Таким каналом может быть
следующая последовательность доступов при s<t:
Ui ?w O в момент s и U j ?r O в момент t, i ? j .
?>
?>

При определенных условиях может оказаться опасным доступ от
имени пользователя:
Ui ?w>*O в момент s и U j ?r >*Oв момент t, s<t, i ? j .
?
?

С некоторой избыточностью исчерпываются возможные каналы по
памяти, если считать неблагоприятными какие-либо доступы p1,p2?R вида

Ui ?p1>*O, U j ??? *O , i ? j ,
? >
p2
(1)

которые и считаются каналами утечки.
Предположение 3. Если O?D, то доступы в (1) при любых р1 и р2 не
могут создать канал утечки.
Это значит, что предполагается невозможным отразить какую-либо
ценную информацию в объектах общего доступа.
Тогда в (1) достаточно ограничиться объектами О, не лежащими в D.

Это значит, что в одном из доступов в (1) имеется Ui ? >*O, где
?
pk



O?Ot(Uj), i ? j . Таким образом, в системе считаются неблагоприятными
доступы вида:
?t,?p ? R, p ???Ui ,?O?Ot ,
,
Ui ?p>*O, O?Ot(Uj), i ? j ,
? (2)



77
то есть доступы от имени какого-либо пользователя к объекту,
созданному другим пользователем. Такие доступы называются утечкой
информации.
Предположение 4. Если некоторый субъект S, S?D, активизирован

от имени пользователя Ui (т. e. Ui ? >*S ), в свою очередь, субъекту S
?a



предоставлен в момент t доступ к объекту О, то либо O?D, либо O?Ot(Ui),
либо система прекращает работу и выключается.
Определена следующая политика безопасности (ПБ):

Если S ? >O, то при S,O?Ot(U) доступ S ? >O разрешается, если
? ?
p? p



S?Ot(Ui), O?Ot(Uj), i?j, то доступ S ? >Oневозможен.
?p


Теорема Пусть в построенной системе выполняются
1.
предположения 1—4. Если все доступы осуществляются в соответствии с
ПБ, то утечка информации (2) невозможна.
Далее построено удобное для реализации множество «услуг» более
низкого уровня, поддерживающих ПБ. То есть определено множество
условий, реализованных в системе ?, таких, что можно доказать теорему о
достаточности выполнения этих условий для выполнения правил ПБ.
Условие 1. (Идентификация и аутентификация). Если для любых
t?N, p?R, S, О?Оt, S ? >O , то вычислены функции принадлежности S и
?
p?


О к множествам Оt(U1), Оt(U2), D.
Условие 2. (Разрешительная подсистема). Если S?Оt(Ui), O?Оt(Uj) и

S ?p?>O в момент t, то из i=j следует S ? >O и из i?j следует S ?p>O
? ?
?
p


(не разрешается доступ).
Условие 3. (Отсутствие обходных путей политики безопасности). Для
любых t?N, р?R, если субъект S, активизированный к моменту t, получил

в момент t доступ S ? >O, то в момент t произошел запрос на доступ
? p


S ?p?>O .
?


78
?
Теорема Если в построенной системе выполняются
2.
предположения и условия то выполняется политика
1—4 1—3,
безопасности.
Комментарий. По сравнению с моделью Белла—Лападула сделан
большой шаг вперед — фактически признана возможность одновременного
существования информации (ЭлД) как в статической форме, так и в
динамической. Более того, неявно и программные средства трактуются как
информация — это концептуальный шаг вперед. Однако, словно
испугавшись дальнейших выводов, авторы на этом и останавливаются.
Более аккуратно и математическое описание модели, хотя уровень
неряшливости все еще чрезмерен.
Как и ранее, не проводится четкого разграничения между
пространством и временем, что могло бы существенно конкретизировать
интерпретацию результатов модели. Модель в некотором смысле
одномерна («в системе ? всего два пользователя»), хотя среда
существования документа в реальности много богаче, одновременно
может происходить множество процессов в различных точках
пространства. Модель априорно исходит из единственности траектории
электронного документа. Крайне сильным является предположение о
стерильности программной среды.


1.2.9. Субъектно-объектная модель (СО-модель). Изолированная
программная среда

Дальнейшим шагом в развитии моделей стала субъектно-объектная
модель, предложенная в Модель произвольной АС
[58, 59].
рассматривается в виде конечного множества элементов. Указанное
множество разделяется на два подмножества: множество объектов
O ={Oi} и множество субъектов S ={Si } . Разделение АС на субъекты и

79
объекты предполагается априорным. Считается также, что существует
априорный безошибочный критерий различения субъектов и объектов в
АС (по свойству активности). Полагается, что в любой дискретный момент
времени множество субъектов АС не пусто. Причем в противном случае
соответствующие моменты времени исключаются из рассмотрения и
рассматриваются отрезки с ненулевой мощностью множества субъектов.
Рассматривая вопросы безопасности информации в АС, говорится о
защищенности системы как о состоянии, описанном в терминах модели
АС. При этом понятие защищенности является для системы внешним,
априорно заданным. Интегральной характеристикой, описывающей
свойства защищаемой системы, является политика безопасности ?
качественное качественно-количественное описание) свойств
(или
защищенности, выраженное в терминах, описывающих систему.
Описание политики безопасности включает:
1. Множество возможных операций над объектами;
2. Для каждой пары «субъект, объект» (Si, Oj) — назначение
множества разрешенных операций, являющееся подмножеством всего
множества возможных операций.
Сформулированы аксиомы защищенных АС, имеющие
фундаментальное значение для всей теории информационной
безопасности.
Аксиома 1. В защищенной АС всегда присутствует активный
компонент (субъект), выполняющий контроль операций субъектов над
объектами. Данный компонент фактически отвечает за реализацию
некоторой политики безопасности.
Аксиома 2. Для выполнения в защищенной АС операций над
объектами необходима дополнительная информация наличие

содержащего ее объекта) о разрешенных и запрещенных операциях
субъектов с объектами.

80
Аксиома Все вопросы безопасности информации в АС
3.
описываются доступами субъектов к объектам.
Аксиома 4. Субъекты в АС могут быть порождены только активным
компонентом (субъектами) из объектов.
Механизм порождения новых субъектов специфицируется
следующим определением.
Определение 1. Объект Oi называется источником для субъекта Sm,
если существует субъект Sj, в результате воздействия которого на объект
Oi в АС возникает субъект Sm.
Вводится обозначение:
Create(Sj, Oi) > Sk ? из объекта Oi порожден субъект Sk при
активизирующем воздействии субъекта Sj. Create назовем операцией
порождения субъектов.
Операция Create задает отображение декартова произведения
множеств субъектов и объектов на объединение множества субъектов с
пустым множеством: CreateS? O >S U{?}
:
Считается, что если Create(Sj, Oi) > ?, то порождение нового
субъекта из объекта Oi при активизирующем воздействии Sj невозможно.
В рамках рассматриваемой модели в АС действует дискретное время
и фактически новый субъект Sk порождается в момент времени t+1
относительно момента t, в который произошло воздействие порождающего
субъекта на объект-источник.
С любым субъектом связан (или ассоциирован) некоторый объект
(объекты), отображающий его состояние.
Определение 2. Объект Oi в момент времени t ассоциирован с
субъектом Sm, если состояние объекта Oi повлияло на состояние субъекта в
следующий момент времени (т.е. субъект Sm использует информацию,
содержащуюся в объекте Oi).



81
Заметим также, что в рамках рассматриваемой модели в АС
действует дискретное время и фактически новый субъект Sk порождается в
момент времени t+1 относительно момента t, в который произошло
воздействие порождающего субъекта на объект-источник.
Вводится обозначение «множество объектов {Om}t ассоциировано с
субъектом Si в момент времени t»: Si ({Om}t).
Свойство субъекта «быть активным» реализуется и в возможности
выполнения действия над объектами. При этом необходимо отметить, что
пассивный статус объекта необходимо требует существования потоков
информации от объекта к объекту (в противном случае невозможно
говорить об изменении объектов), причем данный поток инициируется
субъектом.
В рамках модели на временной оси выделяются несколько точек,
имеющих принципиальное значение, а именно:
• t=0 — момент включения питания аппаратной части;
• t=i — момент времени, в который наступает стационарная фаза
функционирования АС;
• t=m>i — момент времени, в который начинает действовать
изолированная программная среда;
• t=L — момент времени, когда завершена активизация всех
компонентов АС, содержащихся в последовательности ZL.
Отмечается, что субъект контроля неизменности объектов, входящих
в процедуры активизации АС, и объектов, описывающих
последовательность активизации компонентов, должен быть активен уже
на этапе работы субъектов аппаратно-программного уровня, но его объект-
источник технически не может быть проверен на неизменность. В связи с
этим формулируется
Аксиома 5. Генерация ИПС (изолированной программной среды)
рассматривается в условиях неизменности конфигурации тех субъектов

82
АС, которые активизируются до старта процедур контроля целостности
объектов OZ и последовательности ZL. Неизменность данных субъектов
обеспечивается внешними по отношению к самой АС методами и
средствами. При анализе или синтезе защитных механизмов свойства
указанных субъектов являются априорно заданными.
С учетом аксиомы схематическое представление этапов
5
функционирования АС принимает следующий вид:




Комментарий. В СО-модели сделан по сравнению с другими
моделями значительный шаг вперед, так как рассмотрены механизмы и
методы создания ИПС как безопасных начальных состояний.
Действительно, в условия всех основных моделей входит некоторое
безопасное начальное состояние, но в рамках моделей не рассматриваются
конструктивные механизмы его достижения.
СО-модель отвечает на этот вопрос, дополняя, а не отвергая другие
модели. Формируется иерархия моделей, где выделяются этапы генерации
ИПС, поддержка ИПС и разграничение доступа как с помощью
мандатных, так и дискреционных механизмов.
При этом СО-модели присущ и ряд серьезных недостатков. Так,
например, очень сильным представляется требование аксиомы 5.


83
Действительно, невыполнение требований не позволит создать
изолированную программную среду (ИПС), а как их реализовать, и что
вообще означает «внешние априорно заданные средства», какими они
должны быть?
В ряде позиций ограниченность как СО-модели, так и других связана
также и с некоторыми упрощениями, не всегда обоснованными. Так, в СО-
модели отмечается, что «все вопросы безопасности в АС описываются
доступами субъектов к объектам» (аксиома 3). Такая формулировка
вызывает серьезные вопросы например, разве не связаны с

безопасностью состав и структура системы?
С общих позиций, разделение множества элементов АС на два
подмножества, объектов и субъектов, выглядит искусственным, что влечет
массу дополнительных определений и ограничений, в частности,
порождение объекта из субъекта и наоборот, ассоциирование объекта и
субъекта, и др. На наш взгляд, существенно упростило бы модель
принятие постулата, что любой элемент АС может находиться в двух
состояниях: пассивном, тогда это состояние называется «объектом», и
активном — тогда называется «субъектом». Ведь все программные
средства хранятся в памяти, инициализация переводит их в активную
форму. С другой стороны, преобразование информации ЭлД есть процесс.
Это позволило бы унифицировать операции преобразования.
Примерно также расширение множества целых чисел на все рациональные
числа позволяет допустить все арифметические операции, включая
деление.



1.3. ВЫВОДЫ

1. Опубликованные в открытой печати законы и разрабатываемые
законопроекты государственного уровня в сфере электронного

84
взаимодействия разрабатываются квалифицированными коллективами,
проходят многократные обсуждения и экспертизу. Совокупность таких
документов является представительной выборкой для определения
доминирующего представления об электронной информации и
электронном документе. Выполненный анализ позволил установить
значительное число неточностей и парадоксов в исходных понятиях и
определениях этих документов с точки зрения электронного
взаимодействия и, соответственно, вытекающих отсюда предписаний и
нормативов. Статистическая значимость количества ошибок в столь
важных позициях ответственных документов, разрабатываемых разными
коллективами и в разных странах, исключает субъективные причины.
2. Причина ошибок в исследованных документах — игнорирование
кардинального, системного, отличия электронной, цифровой среды
информационного взаимодействия от традиционной, аналоговой.
В технологиях обмена информацией происходит системный сдвиг,
переход на более высокую ступень абстрактного отображения —
документ, который раньше был прерогативой человека, теряет
субъективизм, становится безличным, в каком-то смысле не зависящим от
воли и сознания субъектов. Аналогия между традиционной (текст на
бумаге) и электронной технологией отображения документа оправдана,
только если компьютер используется как «большая пишущая машинка».
Но уже сейчас, тем более в перспективе, такое использование компьютера
скорее исключение, чем правило. Существующий подход,

опирающийся на понятийную базу обмена информацией посредством
традиционного (аналогового) документа, не соответствует требованиям
современного, а тем более — следующих этапов развития электронного
взаимодействия.




85
Необходимо исследование системных особенностей электронного
документа, его отличий от традиционного, разработка новой вербальной
модели электронного документа.
3. Анализ наиболее распространенных моделей защиты информации
показывает, что в понятийной базе моделей наблюдается та же самая
картина, что и в понятийной базе законов в сфере электронного
взаимодействия. Если в законопроектах делается попытка описания на
языке неквалифицированного пользователя, то при описании моделей
используется профессиональный жаргон рядового программиста с
неглубокими знаниями математики. Модели базируются на
феноменологическом описании процессов и объектов электронной среды.
Исходные понятия даются на эвристическом уровне: есть нечто,
понимаемое по умолчанию как электронная информация, как электронный
документ, как операция, как процесс в электронной среде и т. п. В
формальную модель вводятся полуопределенные, расплывчатые понятия
социальной среды: «сущность», «субъект», «объект», «доступ», «право»,
«полномочие» и т. п. Одновременно используются строгие понятия
математики: множество, декартово произведение множеств, векторное
пространство, граф, матрица, отображение, функция и т. д. Причем анализ
показывает, что подразумеваемые свойства таких математических
объектов зачастую не имеют ничего общего с их классическим
пониманием.
4. При таком представлении моделей интерпретация результатов не
абсолютна (однозначна), а относительна (многозначна) — допускает
широкий диапазон толкований, зависящих от квалификации и подготовки
пользователя. Для простых моделей подобное допустимо, интерпретация
понятий возможна по умолчанию. Но с ростом сложности моделируемого
явления адекватность теряется, возникает неоднозначность в
интерпретации. Правильно истолковать результаты моделирования может

86
только разработчик, вкладывающий в трактовку понятий свое
индивидуальное видение, иногда противоположное написанному.
Тем не менее, модели следует оценить как весьма полезные на
«ранних» этапах развития информационного обмена в электронной форме,
когда все своеобразие взаимодействия описывается фразой «как обычно,
только на экране монитора». В такой ситуации интерпретация «по
умолчанию» оказывается эффективной. Существующие модели защиты
информации имеют экстенсивный характер (обо всем понемножку), что в
перспективе должно негативно сказаться на их применении. Необходима
специализация моделей, учитывающая качественное различие свойств и
требований к электронному документу при его переходе из одной среды
существования в другую.
5. Любая формальная модель необходимо должна включать в свой
состав эвристический компонент — выделение конечного подмножества
характеристик моделируемого явления и их интерпретацию в
аксиоматическом виде. Бесконечность качественных и количественных
характеристик реальных явлений должна отображаться на входе модели в
конечную аксиоматическую базу. Процесс перехода от бесконечности к
конечности в общем случае эвристичен. Это положение очевидно, тем не
менее, в рассмотренных моделях опускают интерпретацию, сочетая
строгие понятия математики с неформальными бытовыми понятиями.
Отсутствие системного понимания электронного взаимодействия
приводит к «выдергиванию» и абсолютизации отдельных состояний ЭлД
на протяжении его жизненного цикла. Жизненный цикл документа
проходит в трех средах аналоговой, цифровой, социальной.

Аксиоматика моделирования должна отображать на границах
сред существования документа доминирующие
(интерфейсах)
характеристики столь качественно отличных явлений как социальная среда
— общество, аналоговая среда — материальные объекты и предметы,

87
электронная среда — логические процессы. Необходимо учитывать
существование ЭлД в виде объекта (в памяти) и в виде процесса
(обработка и передача).
6. Требуется формализовать наличие мыслящих субъектов:
аутентификация, конфиденциальность документа обусловлены только
присутствием человека, социальной средой, в среде неодушевленных
объектов эти понятия бессмысленны. Необходима иерархия моделей,
позволяющая обосновать преобразование требований, предъявляемых
социальной средой к защите информационного взаимодействия, в
требования к аналоговой среде существования документа и далее — к
электронной среде.
Короткий срок развития защиты информации как отдельной
дисциплины не позволяет говорить о сколько-нибудь завершенной
системе. Даже на низких уровнях иерархии имеется множество различных,

<<

стр. 2
(всего 8)

СОДЕРЖАНИЕ

>>