Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Информационный поток

Структуры информационных потоков являются ос­новой анализа каналов утечки и обеспечения секрет­ности информации. Эти структуры опираются на тео­рию информации и математическую теорию связи. Рассмотрим простейшие потоки.

1. Пусть субъект S осуществляет доступ на чтение (г) к объекту О. В этом случае говорят об информа­ционном потоке от О к S. Здесь объект О является источником, а S — получателем информации.

2. Пусть субъект S осуществляет доступ на запись (w) к объекту О. В этом случае говорят об информа­ционном потоке от S к О. Здесь объект О является получателем, а S — источником информации.

Из простейших потоков можно построить слож­ные. Например, информационный поток от субъектаS2 к субъекту S1, по следующей схеме:

Субъект S2 записывает данные в объект О, а затем S1 считывает их. Здесь S2 — источник, a S1 — получа­тель информации. Можно говорить о передаче ин­формации, позволяющей реализовать поток. Каналы типа (1), которые используют общие ресурсы памяти, называются каналами по памяти.

С точки зрения защиты информации, каналы и ин­формационные потоки бывают законными или неза­конными. Незаконные информационные потоки соз­дают утечку информации и, тем самым, могут нару­шать секретность данных.

Рассматривая каналы передачи информационных потоков, можно привлечь теорию информации для вы­числения количества информации в потоке и пропу­скной способности канала. Если незаконный канал нельзя полностью перекрыть, то доля количества ин­формации в объекте, утекающая по этому каналу, слу­жит мерой опасности этого канала. В оценках каче­ства защиты информации американцы используют пороговое значение для допустимой пропускной спо­собности незаконных каналов.

С помощью теоретико-информационных понятий информационные потоки определяются следующим об­разом.

Будем считать, что всю информацию о вычисли­тельной системе можно описать конечным множест­вом объектов (каждый объект — это конечное мно­жество слов в некотором языке Я). В каждом объ­екте выделено состояние, а совокупность состояний объектов назовем состоянием системы. Функция сис­темы — это последовательное преобразование ин­формации в системе под действием команд. В ре­зультате, из состояния s мы под действием команды a перейдем в состояние s', обозначается: s|— aS'. Ес­ли а последовательность команд, то композиция пре­образований информации обозначается также, т.е.

s | — aS' означает переход из состояния s в s' под дей­ствием последовательности команд a (автоматная мо­дель вычислительной системы).

В общем виде для объектов Х в s и Y в s' опреде­лим информационный поток, позволяющий по наблю­дению Y узнать содержание X.

Предположим, что состояние Х и состояние Y — случайные величины с совместным распределением Р(х, у) = Р(Х=х, Y=y), где под {Х=х} понимается собы­тие, что состояние объекта Х равно значению х (ана­логично в других случаях). Тогда можно определить:

Р(х), Р(у/х), Р(х/у), энтропию Н(Х), условную энтро­пию H(X/Y) и среднюю взаимную информацию

I(Х, Y) = Н(Х) - H(X/Y).

Определение. Выполнение команды а в состоя­нии s, переводящей состояние s в s', вызывает инфор­мационный поток от Х к Y (обозначение

Х—> aY), если I(X, Y)>0. Величина I(X, Y) называется величи­ной потока информации от Х к Y.

Определение. Для объектов Х и Y существует ин­формационный поток величины С (бит), если сущест­вуют состояния s и s' и последовательность команд а такие, что s | — a s', X—> aY.

Оценка максимального информационного потока оп­ределяется пропускной способностью канала связи Х— > aY и равна по величине

С(a, X, Y) = max I(X, Y).

Р(х)

Если X1,Х2,...,Хn — исходные (ценные) перемен­ные системы (программы), a `Y = (Y1,,...,Ym) — выход­ные, то I(Xi, `Y) — количество информации о Х в`Y в потоке, который индуцируется системой. Тогда отно­шение I(Xi,Ý)/H(Xi) — показатель "утечки" инфор­мации о Хi. Если установить порог l > 0 для "утечки", то из условия при каждом i= l,...,n,

I (X, `Y)/H(Xi)< l `,

следуют требования к защите `Ý.

8.2.4 Модель решетки ценностей.

Модель решетки ценностей, является обобщением по­рядковой шкалы ценностей рассмотренной ранее (несекретно, секретно, сов.секретно и т.д).

Пусть да­но SC — конечное частично упорядоченное множе­ство относительно бинарного отношения£, т.е. для каждых А, В, С выполняется

1) рефлексивность: А£А,

2) транзитивность: А£В, В£С=>А£С,

3) антисимметричность: А£В, В£А=>А=В.

Определение. Для A, BÎSC элемент C=A+BÎSC называется наименьшей верхней границей (верхней гранью),если

1)А £ С, В £ С;

2) A £ D, B £ D=>C £ D для всех DÎSC.

Элемент АÅВ, вообще говоря, может не сущест­вовать. Если наименьшая верхняя граница сущест­вует, то из антисимметричности следует единствен­ность.

Упражнение. Доказать это.

Определение. Для A,BÎSC элемент E=AÄBÎSC называется наибольшей нижней границей (нижней гра­нью), если

1)Е<А,Е<В;

2)D<A,D<B==>D<E.

Эта граница также может не существовать. Если она существует, то из антисимметричности следует единственность.

Упражнение. Доказать этот факт.

Определение. (SC,£ ) называется решеткой, если для любых A, BÎSC существует AÅBÎ SC и A Ä BÎ SC.

Лемма. Для любого набора S={A 1 ,..., An } элемен­тов из решетки SC существуют единственные эле­менты:

ÅS=A1 …+ An — наименьшая верхняя граница S;

Ä S=A1 Ä….Ä An— наибольшая нижняя граница S.

Для всех элементов SC в конечных решетках су­ществует верхний элемент Higt = Å SC, аналогично су­ществует нижний элемент Low= Ä SC.

Определение. Конечная линейная решетка — это линейно упорядоченное множество, можно всегда счи­тать {0,1..., n}=SC.

Для большинства встречающихся в теории защи­ты информации решеток существует представление решетки в виде графа.