Читайте также:
|
|
Используем некоторые понятия математической логики. Пусть А конечный алфавит, А — множество слов конечной длины в алфавите А.
Из А при помощи некоторых правил выделено подмножество Я правильных слов, которое называется языком. Если Я1 — язык описания одной информации, Я2 — другой, то можно говорить об языке Я, объединяющем Я1 и Я2 описывающем ту и другую информацию. Тогда Я1. и Я2 подъязыки Я.
Будем считать, что любая информация представлена в виде слова в некотором языке Я. Кроме того, можно полагать, что состояние любого устройства в вычислительной системе достаточно полно описано словом в некотором языке. Тогда можно отождествлять слова и состояния устройств и механизмов вычислительной системы или произвольной электронной системы обработки данных (ЭСОД). Эти предположения позволяют весь анализ вести в терминах некоторого языка.
Определение. Объектом относительно языка Я (или просто объектом, когда из контекста однозначно определен язык) называется произвольное конечное множество языка Я.
Пример 1. Произвольный файл в компьютере есть объект. В любой момент в файл может быть записано одно из конечного множества слов языка Я, в некотором алфавите А, которое отражает содержимое информации, хранящейся в файле. Значит, файл можно рассматривать как конечное множество слов, которые в нем могут быть записаны (возможные содержания файла). То, что в данный момент в файле содержится только одно слово, не исключает потенциально существования других записей в данном файле, а в понятие файла как объекта входят все допустимое множество таких записей. Естественно выделяется слово, записанное в файле в данный момент, — это состояние объекта в данный момент.
Пример 2. Пусть текст в файле разбит на параграфы так, что любой параграф также является словом языка Я и, следовательно, тоже является объектом. Таким образом один объект может являться частью другого.
Пример 3. Принтер компьютера — объект. Существует некоторый (достаточно сложный) язык, описывающий принтер и его состояния в произвольный момент времени. Множество допустимых описаний состояний принтера является конечным подмножеством слов в этом языке. Именно это конечное множество и определяет принтер как объект.
В информации выделим особо описания преобразований данных.
Преобразование информации отображает слово, описывающее исходные данные, в другое слово. Описание преобразования данных также является словом. Примерами объектов, описывающих преобразования данных, являются программы для ЭВМ.
Каждое преобразование информации может:
а) храниться;
б) действовать.
В случае а) речь идет о хранении описания преобразования в некотором объекте (файле). В этом случае преобразование ничем не отличается от других данных. В случае б) описание программы взаимодействует с другими ресурсами вычислительной системы — памятью, процессором, коммуникациями и др.
Определение. Ресурсы системы, выделяемые для действия преобразования, называются доменом.
Однако для осуществления преобразования одних данных в другие кроме домена необходимо передать этому преобразованию особый статус в системе, при котором ресурсы системы осуществляют преобразование. Этот статус будем называть "управление".
Определение. Преобразование, которому передано управление, называется процессом.
При этом подразумевается, что преобразование осуществляется в некоторой системе, в которой ясно, что значит передать управление.
Определение. Объект, описывающий преобразование, которому выделен домен и передано управление, называется субъектом.
То есть субъект — это пара (домен, процесс). Субъект для реализации преобразования использует информацию, содержащуюся в объекте О, то есть осуществляет доступ к объекту О.
Рассмотрим некоторые основные примеры доступов.
1. Доступ субъекта S к объекту О на чтение (г) данных в объекте О.
При этом доступе данные считываются в объекте О и используются в качестве параметра в субъекте S.
2. Доступ субъекта S к объекту О на запись (w) данных в объекте О.
При этом доступе некоторые данные процесса S записываются в объект О. Здесь возможно стирание предыдущей информации.
3. Доступ субъекта S к объекту О на активизацию процесса, записанного в О как данные (ехе). При этом доступе формируется некоторый домен для преобразования, описанного в О, и передается управление соответствующей программе.
Существует множество других доступов, некоторые из них будут определены далее. Множество возможных доступов в системе будем обозначать R.
Будем обозначать множество объектов в системе обработки данных через О, а множество субъектов в этой системе S. Ясно, что каждый субъект является объектом относительно некоторого языка (который может в активной фазе сам менять свое состояние). Поэтому S Í O. Иногда, чтобы не было различных обозначений, связанных с одним преобразованием, описание преобразования, хранящееся в памяти, тоже называют субъектом, но не активизированным. Тогда активизация такого субъекта означает пару (домен, процесс).
В различных ситуациях мы будем уточнять описание вычислительной системы. Однако мы всегда будем подразумевать нечто общее во всех системах. Это общее состоит в том, что состояние системы характеризуется некоторым множеством объектов, которое будем предполагать конечным.
В любой момент времени на множестве субъектов введем бинарное отношение а активизации. S1 a S2„, если субъект S1, обладая управлением и ресурсами, может передать S2 часть ресурсов и управление (активизация). Тогда в графах, которые определяются введенным бинарным отношением на множестве объектов, для которых определено понятие активизации, возможны вершины, в которые никогда не входит ни одной дуги. Таких субъектов будем называть пользователями. Субъекты, в которые никогда не входят дуги и из которых никогда не выходят дуги, исключаются.
В рассмотрении вопросов защиты информации мы примем аксиому, которая положена в основу американского стандарта по защите ("Оранжевая книга") и будет обсуждаться далее. Здесь мы сформулируем ее в следующей форме.
Аксиома. Все вопросы безопасности информации описываются доступами субъектов к объектам .
Если включить в рассмотрение гипотетически такие процессы как пожар, наводнение, физическое уничтожение и изъятие, то эта аксиома охватывает практически все известные способы нарушения безопасности в самых различных вариантах понимания безопасности. Тогда для дальнейшего рассмотрения вопросов безопасности и защиты информации достаточно рассматривать множество объектов и последовательности доступов.
Пусть время дискретно, Оt — множество объектов в момент t, St — множество субъектов в момент t. На множестве объектов Ot как на вершинах определим ориентированный граф доступов Gt следующим образом: дуга S--àO с меткой rÍ R принадлежит Gt тогда и только тогда, когда в момент t субъект S имеет множество доступов к объекту О.
Согласно аксиоме, с точки зрения защиты информации, в процессе функционирования системы нас интересует только множество графов доступов {Gt}t=1. ..
Обозначим через Á ={G} множество возможных графов доступов. Тогда Á можно рассматривать как фазовое пространство системы, а траектория в фазовом пространстве Á соответствует функционированию вычислительной системы. В этих терминах удобно представлять себе задачу защиты информации в следующем общем виде. В фазовом пространстве Á определены возможные траектории `Á, в `Á выделено некоторое подмножество N неблагоприятных траекторий или участков таких траекторий, которых мы хотели бы избежать.
Задача защиты информации состоит в том, чтобы любая реальная траектория вычислительного процесса в фазовом пространстве Y не попала в множество N. Чем может управлять служба защиты информации, чтобы траектории вычислительного процесса не вышли в N? Практически такое управление возможно только ограничением на доступ в каждый момент времени. Разумеется, эти ограничения могут зависеть от всей предыстории процесса. Однако, в любом случае, службе защиты доступно только локальное воздействие. Основная сложность защиты информации состоит в том, что имея возможность использовать набор локальных ограничений на доступ в каждый момент времени, мы должны решить глобальную проблему недопущения выхода любой возможной траектории в неблагоприятное множество N. При этом траектории множества N не обязательно определяются ограничениями на доступы конкретных субъектов к конкретным объектам. Возможно, что если в различные моменты вычислительного процесса субъект S получил доступ к объектам О1, и O2, то запрещенный доступ к объектуO3 реально произошел, так как из знания содержания объектов О1, и O2 можно вывести запрещенную информацию, содержащуюся в объекте O3.
Пример 4. Пусть в системе имеются два пользователя U1, и U2, один процесс S чтения на экран файла и набор файлов О1,,...,O2. В каждый момент работает один пользователь, потом система выключается и другой пользователь включает ее заново. Возможны следующие графы доступов
Uj——R——>S—r —— > Oi, i = l,..., m, j= l, 2. (1)
Множество таких графов —Y. Траектории — последовательности графов вида (1). Неблагоприятными считаются траектории, содержащие для некоторого i=l,..., m состояния
U1— R —> S —r -— > Oi
U2 —— R —— > S—r —> Oi,
To есть неблагоприятная ситуация, когда оба пользователя могут прочитать один объект. Ясно, что механизм защиты должен строить ограничения на очередной доступ исходя из множества объектов, с которыми уже ознакомился другой пользователь. В этом случае, очевидно, можно доказать, что обеспечивается безопасность информации в указанном смысле.
Пример 5. В системе, описанной в примере 4, пусть неблагоприятной является любая траектория, содержащая граф вида
U1 ——R——> S ———r-—— >O1,
В этом случае очевидно доказывается, что система будет защищена ограничением доступа на чтение пользователя U1. к объектуО1,.
Дата добавления: 2014-12-15; просмотров: 29 | Поможем написать вашу работу | Нарушение авторских прав |