Лекція 4 План лекції


НазваЛекція 4 План лекції
Дата конвертації10.02.2013
Розмір445 b.
ТипЛекція


Теоретичні основи захисту інформації

  • Лекція 4


План лекції

  • Ієрархічний метод

  • Інформаційні потоки

  • Цінність інформації



Ієрархічний метод

  • Реалізація КС вимагає великого програмно-апаратного комплексу, який треба спроектувати, створити, підтримувати в працездатному стані

    • Складність цих систем така, що потрібна розробка спеціальної технології проектування і створення таких систем
    • Одним з основних інструментів рішення задач аналізу, проектування, створення і підтримки в робочому стані складних систем є ієрархічний метод
  • В основі методу лежить розбивка системи на ряд рівнів, що пов'язані односпрямованою функціональною залежністю

    • Відомі різні варіанти формального і напівформального опису такої залежності
    • Повна формалізація тут не вдається через широку загальність поняття «складна система» і неоднозначності розбивки на рівні
    • У декомпозиціях різної природи складних систем можна домовитися про універсальні принципи опису ієрархічного методу


Ієрархічна модель

  • Результатом застосування ієрархічного методу є ієрархічна модель

    • З поглядів теорії графів вона являє собою деревоподібну структуру
    • Кожний вузол – це набір логічно пов’язаних елементів даних, що описують конкретні об’єкти предметної області
    • Кожний вузол на певному рівні підпорядковується певному вузлу вищого рівня, і сам є первинним для вузла (вузлів) нижчого рівня
    • На найвищому рівні ієрархії є вузол, що не підпорядковується жодному іншому – корінь дерева або корінний вузол


Недоліки ієрархічних структур

  • Жорстка централізація

  • Будь-яка ієрархія суттєво звужує можливості і гнучкість системи

    • Елементи нижнього рівня обмежуються домінуванням вищого рівня
  • Негативні наслідки ієрархії багато в чому долаються зменшенням жорсткості підпорядкування



Переваги ієрархічних структур

  • Простіша форма подання

  • Прозорість для ефективного відображення проблем

  • Введення ієрархії суттєво спрощує процеси створення та функціонування системи

  • Той чи інший ступінь ієрархії спостерігається практично в усіх складних природних системах

  • І переваги, і недоліки ієрархічних структур у повній мірі властиві саме системам захисту інформації



Ієрархічна декомпозиція

  • Припустимо, що складна система , яка нас цікавить, адекватно описана мовою М

  • Припустимо, що проводиться декомпозиція (розкладання) мови М на сімейство мов D1, D2, ..., Dn; .

  • Якщо мова Di i=2,..,n, синтаксично залежить тільки від словоформ мови Di-1 – символічно позначимо це як Di = F(Di-1), то будемо говорити, що вони утворюють два сусідніх рівні

  • Тоді система може бути описана наборами слів B1,...,Bn у мовах D1, D2,...,Dn (Вi Di) причому так, що опис Вi синтаксично може залежати тільки від набору Вi-1

  • У цьому випадку будемо говорити про ієрархічну декомпозицію системи  і рівні декомпозиції B1,...,Bn, де рівень Вi безпосередньо залежить від Bi-1 – символічно позначимо це як Bi = G(Bi-1)



Приклад 8

  • Нехай вся інформація в системі розбита на два класи – Secret і Тор Secret, що у цифровій формі можна позначати 0 і 1

  • Нехай усі користувачі розбиті у своїх можливостях допуску до інформації на два класи, що також будемо позначати 0 і 1

  • Правило допуску до інформації X при запиті користувача Y визначається умовою: якщо x – клас запитуваної інформації X, а y – клас користувача Y, то доступ до інформації дозволений тоді і тільки тоді, коли x=y

  • Цю умову формально можна описати такою формулою деякої мови D2 (набором слів B2)

  • B2: if x=y then «доступ Y до X дозволено»

  • Для обчислення цього виразу необхідно здійснити такі операції, що описуються в термінах іншої мови D1 (набором слів B1)

  • B1: x:=U1(X), y:=U2(Y), z:=xy, U(X,Y,z),

  • де U1(X) – оператор визначення по імені об'єкта X номера класу доступу х; U2(Y) – оператор визначення по імені користувача Y номера класу допуску у,  – додавання по mod 2, U(X,Y,z) – оператор, що реалізує доступ Y до X якщо z=0, і блокує систему, якщо z=1

  • Таким чином, рівень B2 залежить від B1, а вся система представлена ієрархічною дворівневою декомпозицією з мовами D1 і D2, причому М=(D1, D2)



Приклади 9, 10

  • Значно частіше використовується неформальний ієрархічний опис систем

  • Наприклад, часто використовується ієрархічна декомпозиція обчислювальної системи у вигляді трьох рівнів

    • 3. Користувальницькі програми
    • 2. Операційна система
    • 1. Апаратна частина
  • У сучасних розподілених КС часто застосовують іншу ієрархічну декомпозицію

    • 4. Прикладні програми
      • 4а. Специфічні прикладні сервіси
      • 4б. Універсальні прикладні сервіси
    • 3. СКБД
    • 2. Операційні системи
    • 1. Мережні послуги


Приклад 11

  • Одним з прикладів ієрархічної структури мов для опису складних систем є розроблена організацією міжнародних стандартів (ISO) Еталонна модель взаємодії відкритих систем (OSI), що прийнята ISO у 1983 р.

  • OSI створена, щоб вирішити дві задачі:

    • вчасно і правильно передавати дані через мережу зв'язку (тобто користувачами повинні бути обговорені види сигналів, правила прийому і перезапуску, маршрути і т.д.)
    • доставити дані користувачу в прийнятній для нього розпізнаваній формі
  • Модель складається із семи рівнів

    • Вибір числа рівнів і їх функцій визначається інженерними міркуваннями
  • Між користувацьким середовищем та фізичним є наступні рівні:

    • прикладний,
    • представницький,
    • сеансовий,
    • транспортний,
    • мережний,
    • канальний,
    • фізичний.


Приклад 11

  • Верхні рівні вирішують задачу представлення даних користувачу в такій формі, що він може розпізнати їх і використовувати

  • Нижні рівні служать для організації передачі даних

  • Ієрархія полягає в наступному:

    • Всю інформацію в процесі передачі повідомлень від одного користувача до іншого можна розбити на рівні; кожен рівень є вираженням деякої мови, що описує інформацію свого рівня
    • У термінах мови даного рівня виражається перетворення інформації і «послуги», що на цьому рівні надаються наступному рівню
    • При цьому сама мова спирається на основні елементи, що є «послугами» мови більш низького рівня
    • У моделі OSI мова кожного рівня разом з порядком його використання називається протоколом цього рівня


Приклад 12

  • Застосування ієрархічної декомпозиції для аналізу систем захисту інформації

    • Верхнім рівнем ієрархії є політика безпеки (ПБ) із специфічними методами її аналізу
    • Наступний рівень – основні системи підтримки політики безпеки
      • Керування доступом
      • Аудит
    • Рівень механізмів захисту
      • Криптографічні протоколи
      • Криптографічні алгоритми
      • Системи створення захищеного середовища
      • Системи оновлення ресурсів
    • Реалізація механізмів захисту
      • Віртуальна пам’ять
      • Захищені режими процесора
  • Механізми захисту досить повно описані в літературі

  • Верхні рівні в літературі описані недостатньо

  • Саме використання верхніх рівнів ієрархії дозволяє

    • Ввести основні поняття і моделі захисту інформації
    • Визначити, що є “хорошою” системою захисту
    • Описати доказовий підхід у побудові моделі захисту
      • Що дозволяє говорити про гарантовано захищені ІТС


Потоки інформації

  • Структури інформаційних потоків є основою аналізу каналів витоку і забезпечення конфіденційності інформації

    • Ці структури спираються на теорію інформації і математичну теорію зв'язку
  • Найпростіші потоки:

    • Нехай суб'єкт S здійснює доступ на зчитування (r) до об'єкта О
      • У цьому випадку говорять про інформаційний потік від О до S
      • Тут об'єкт О є джерелом, а S – одержувачем інформації
    • Нехай суб'єкт S здійснює доступ на записування (w) до об'єкта О
      • У цьому випадку говорять про інформаційний потік від S до О
      • Тут об'єкт О є одержувачем, а S – джерелом інформації
  • З найпростіших потоків можна побудувати складні

    • Наприклад, інформаційний потік від суб'єкта S2 до суб'єкта S1 відбувається за такою схемою:
  • (2)

    • (суб'єкт S2 записує дані в об'єкт О, а потім S1 зчитує їх)
    • Тут S2 – джерело, а S1 – одержувач інформації
    • Можна говорити про передачу інформації, що дозволяє реалізувати інформаційний потік


Потоки інформації і захист інформації

  • Канали й інформаційні потоки можуть бути законними (санкціонованими) або незаконними (несанкціонованими)

    • Останні створюють витік інформації, тим самим порушуючи конфіденційність та (або) цілісність даних
  • Можна говорити про

    • Несанкціоновані канали ознайомлення з інформацією (порушення конфіденційності)
    • Несанкціоновані канали модифікації інформації (порушення цілісності)
    • Несанкціоновані канали спостереження за процесами оброблення інформації
  • Розглядаючи канали передачі інформаційних потоків, можна залучити теорію інформації для обчислення кількості інформації в потоці і пропускної здатності каналу

    • Якщо незаконний канал не можна повністю перекрити, то частка кількості інформації в об'єкті, що витікає цим каналом, є мірою небезпеки цього каналу
    • В оцінках якості ЗІ іноді використовують граничне значення для припустимої пропускної здатності незаконних каналів


Визначення інформаційного потоку

  • У загальному вигляді для об'єктів X в одному стані і Y в іншому визначимо інформаційний потік, що дозволяє за спостереженням Y довідатися зміст X

    • Припустимо, що стан X і стан Y – випадкові величини зі спільним розподілом Р(х,у) = Р(Х=х,Y=y), де під Х=х розуміють подію, що стан об'єкта X дорівнює значенню х (аналогічно для Y)
    • Можна визначити: P(x), Р(у/х), Р(х/у), ентропію Н(Х) = - P(x)log(P(x)), умовну ентропію H(X/Y) і середню взаємну інформацію
    • I(Х,Y) = Н(X) – H(X/Y).
      • H(X) – невизначеність стану Х; 
      • H(X/Y) – невизначеність стану Х за умови визначеності стану Y;
      • I(X,Y) – зміна невизначеності стану X у випадку визначення стану Y
  • Означення. При переході з одного стану в інший виникає інформаційний потік від X до Y, якщо I(Х,Y)>0. Величина I(Х,Y) називається величиною потоку інформації від X до Y.

  • Оцінка максимального інформаційного потоку ХY визначається пропускною здатністю каналу зв'язку і дорівнює по величині

    • C(X,Y)=max I(X,Y).
    • P(x)


Приклад 13

  • Операція присвоєння значення Y:=X є інформаційним потоком XY

  • Нехай X – цілочислова випадкова величина з рівноймовірними значеннями X{0,1,…,15}

    • pi(X)=1/16=0,0675, i=1,…,16
    • H(X)=-pi log2pi=-(1/16)log2(1/16)=4 [біт]
    • H(X/Y)=0
    • I(X,Y)=4 біт
    • C(X,I)=4 біт


Характеристика каналу витоку інформації

  • Якщо X={X1,…,Xn} – вхідні (цінні) змінні системи, а Y={Y1,…,Ym} – вихідні, то I(Xi,Y) – кількість інформації про Xi у потоці XY, який формується системою

  • Будемо характеризувати “витік” інформації про Xi у цьому потоці відношенням I(Xi,Y)/H(Xi)

  • Якщо припустиму величину “витоку” характеризувати певним порогом λ>0, то критерієм необхідності організації захисту (тобто, “перекриття” відповідного каналу “витоку”), буде умова

  • I(Xi,Y)/H(Xi) > λ



Канали витоку за пам’яттю

  • Реалізуються шляхом прямого або непрямого записування інформації у певну область пам’яті одним процесом і прямого або непрямого зчитування інформації з цієї області пам’яті іншим процесом

  • Графічно можна представити так:

    • тобто користувач U1 активізує процес S, який може отримати доступ на зчитування (r) до спільного з користувачем U2 ресурсу O, причому U2 має доступ на запис (w) в O, а U1 може читати (r) від S


Канали витоку за часом

  • Реалізуються шляхом передавання інформації від одного процесу до іншого шляхом модуляції першим процесом деяких часових характеристик ІТС, які можуть спостерігатися іншим процесом

  • Графічно можна представити так:

    • де U1 – зловмисник U2 – користувач, що працює з конфіденційною інформацією; Si – суб’єкт, з яким оперує користувач U2, і інформація про який є цікавою для зловмисника U1 ; Sm – суб’єкт, процес якого модулюється інформацією процесу Si ; S – процес від імені користувача U1 (зловмисника), що дозволяє спостерігати за процесом Sm
  • Пропускна здатність часового каналу визначається тією часткою цінної інформації про процес Si , яку можна отримати шляхом модуляції процесу Sm



Цінність інформації

  • Щоб захистити інформацію, треба затратити сили і засоби, а для цього треба знать які втрати ми могли б понести

    • У грошовому вираженні витрати на захист не повинні перевищувати можливі втрати
    • Для рішення цих задач в інформацію вводяться допоміжні структури – цінність інформації


Адитивна модель

  • Нехай інформація представлена у виді кінцевої множини елементів і необхідно оцінити сумарну вартість у грошових одиницях з оцінок компонентів

  • Оцінка може будуватися на основі експертних оцінок компонент

    • Якщо грошові оцінки об'єктивні, то сума дає досить точну величину
  • Однак, кількісна оцінка компонентів не завжди об'єктивна навіть при кваліфікованій експертизі

    • Це пов'язано з неоднорідністю компонентів у цілому
  • Тому роблять єдину ієрархічну відносну шкалу (лінійний порядок, що дозволяє порівнювати окремі компоненти по цінності відносно один одного)

    • Єдина шкала означає рівність ціни всіх компонентів, що мають одну і ту ж порядкову оцінку
    • Така модель називається адитивною


Приклад 14

  • Нехай О1,...,Оn – об'єкти, і визначена шкала 1<....<5

  • У результаті експертних оцінок отримано наступний вектор відносних цінностей об'єктів =(2, 1, 3,...., 4)

  • Якщо відома ціна хоча б одного об'єкта, наприклад, C1=100 у.о., то обчислюється оцінка одного бала =С1/.=50 у.о., де  – число балів оцінки першого об'єкта, і далі обчислюється ціна кожного наступного об'єкта за формулою , тобто C2=50 у.о., C3=150 у.о. і т.д.

    • Тоді сума визначає вартість всієї інформації
    • І навпаки, якщо апріорно відома загальна ціна інформації, то відносні оцінки в порядковій шкалі дозволяють обчислити ціни компонентів
  • Нехай у рамках адитивної моделі проведено облік вартості інформації в системі

  • Оцінка можливих втрат будується на основі отриманих вартостей компонент, виходячи з прогнозу можливих загроз цим компонентам

  • Можливості загроз оцінюються ймовірностями відповідних подій, а втрати підраховуються як сума математичних чекань втрат для компонентів по розподілу можливих загроз



Приклад 15

  • Нехай О1,...,Оn – об'єкти, цінності яких С1,...,Сn

  • Припустимо, що збиток одному об'єкту не знижує ціни інших, і нехай імовірність нанесення збитку об'єкту Оi дорівнює рi, функція втрат збитку для об'єкта Оi дорівнює

  • Оцінка втрат від реалізації загроз об'єкту Оi дорівнює EWi = piСi.

  • Виходячи зі зроблених припущень, втрати в системі рівні

  • W=W1+...+Wn.

  • Тоді очікувані втрати (середній ризик) дорівнюють:



Порядкова шкала цінностей

  • Далеко не завжди можливо і потрібно давати грошову оцінку інформації

    • Наприклад, оцінка особистої інформації, політичної інформації чи військової інформації не завжди розумна і можлива в грошовому численні
    • Однак підхід, пов'язаний з порівнянням цінності окремих інформаційних елементів між собою, має сенс.
  • Порядкова шкала цінностей використовується при оцінці інформації в державних структурах

  • Усі об'єкти (документи) державної установи розбиваються по грифах таємності

  • Грифи таємності утворюють порядкову шкалу:

    • несекретно<для службового користування<таємно<цілком таємно (НС<ДСК<Т<ЦТ)
    • або в закордонних системах: unclassified
  • Більш високий клас має більш високу цінність і тому вимоги по його захисту від НСД більш високі



Модель решітки цінностей

  • Узагальнення порядкової шкали

  • Нехай L – кінцева частково упорядкована множина щодо бінарного відношення  (множина рівнів решітки), для якої виконується

    • рефлексивність: АL: АА;
    • транзитивність: А,В,СL: (АВ ВС)  (АС);
    • антисиметричність: А,ВL: (АВ ВA)  (А=B).
  • Означення. Для А,BL елемент C=АB називається найменшою верхньою границею (верхньою гранню), якщо

    • АС, ВС;
    • DL: (ADBD)  (CD).
  • З антисиметричності випливає одиничність

  • Означення. Для А,BL елемент E=АB називається найбільшою нижньою границею (нижньою гранню), якщо

    • ЕА, ЕВ;
    • DL: (DADB)  (DE).
  • З антисиметричності випливає одиничність

  • Означення. (L, ) називається решіткою, якщо А,BL ABL і ABL

  • Решітка цінностей являє собою формальну алгебру (L, , , )

  • Для більшості решіток, що зустрічаються в теорії захисту інформації, існує представлення решіток у вигляді графа



Приклад 16

  • Розглянемо кореневе дерево на вершинах з кінцевої множини Х={Х1,Х2,…,Хn} з коренем у Xi

  • Нехай на єдиному шляху, що з'єднує вершину Xi з коренем, є вершина Xj

  • Покладемо за визначенням, що Хi<Хj

    • Очевидно, що в такий спосіб на дереві визначено частковий порядок
  • Крім того, для будь-якої пари вершин Xi і Xk існує елемент ХiХk, що визначається точкою злиття шляхів з Xi і Xk у корінь

    • Однак така структура не є решіткою, тому що тут немає нижньої грані
  • Виявляється, що від умови одиничності шляху в корінь можна відмовитися, зберігаючи при цьому властивості часткового порядку й існування верхньої грані

  • Наприклад, додамо до побудованого дерева вершину L, з'єднавши з нею всі кінцеві вершини

  • Покладемо i=1,...,n, L<Xj. Для інших вершин порядок визначається як раніш

  • Побудована структура є решіткою



Приклад 17

  • Для A,ВХ визначимо частковий порядок

  • А<ВАВ

    • Всі умови часткового порядку виконуються
    • Крім того, визначимо:
    • AB = АВ,
    • АВ = АВ
    • Отже, це решітка


Решітка MLS

  • Лежить в основі державних стандартів оцінки інформації

  • Назва походить від абревіатури Multilevel Security

  • Є узагальненням решітки цінностей

  • Решітка будується як прямий добуток лінійної решітки L і решітки підмножин множини X, тобто

    • (,), (',') – елементи добутку,
    • ,'L – лінійна решітка,
    • ,'X – решітка підмножин деякої множини X.
  • Тоді

    • (,)<(',')', '.
  • Верхня і нижня границі визначаються в такий спосіб:

  • Вся інформація {об'єкти системи} відображається в точки решітки {(,)}

    • Лінійний порядок, як правило, указує гриф таємності
    • Точки множини X звичайно називаються категоріями


Застосування MLS для класифікації об’єктів

  • Властивості решітки в оцінці інформації істотно використовуються при класифікації нових об'єктів, отриманих у результаті обчислень

    • Нехай дана решітка цінностей L, множина поточних об'єктів О, відображення С: ОS
    • Програма використовує інформацію об'єктів О1,..,Оn, що класифіковані точками решітки С(О1),...,С(Оn)
    • У результаті роботи програми з'явився об'єкт О, який необхідно класифікувати
    • Це можна зробити, поклавши С(О)=C(О1)...C(Оn)
  • Такий підхід до класифікації найбільш розповсюджений у державних структурах

    • Наприклад, якщо в збірку включаються дві статті з грифом секретно й абсолютно секретно відповідно, і по тематикам: перша – кадри, друга – криптографія, то збірник здобуває гриф абсолютно секретно, а його тематика визначається сукупністю тематик статей (кадри,криптографія)


Розрахунок цінності (вартості) інформації виходячи з основних бухгалтерських міркувань

  • Основні чинники:

    • Ринкова вартість інформації Cs
      • Тобто, за яку ціну можна продати інформацію покупцю
    • Величина збитку компанії у випадку продажу інформації про її діяльність Dp, що залежить від:
      • міцності зв’язків компанії з клієнтами (перекупка клієнтів);
      • якості інформації (наскільки точно описана діяльність компанії);
      • структури інформаційної політики компанії (який вид інформації продається)
    • Недоотриманий прибуток Hp, наприклад через:
      • успіхи конкурентів завдяки отриманій інформації;
      • відтік клієнтів внаслідок публікації компрометуючої інформації
  • Повна вартість інформації розраховується як

  • C = Cs + Dp + Hp

    • Сума може обчислюватися як безпосередньо, так і з ваговими коефіцієнтами


Схожі:

Лекція 4 План лекції iconПлан лекції: План лекції
Суспільно-політичне та економічне становище України на початку XX ст. Україна в Першій Світовій війні
Лекція 4 План лекції iconЛекція 2 тема термінальні стани. Серцево-легенево-мозкова реанімація план лекції

Лекція 4 План лекції iconПлан лекції. План лекції
Культура в 30-х роках 28 грудня 1920 р між рсфрр та усрр був укладений договір про військовий та господарський союз
Лекція 4 План лекції iconЛекція 13 План лекції
Модель б-л побудована для обґрунтування безпеки систем, що використовують політику mls
Лекція 4 План лекції iconЛекція 5 План лекції
Підмножина потоків, що пов’язані з несанкціонованим доступом для ознайомлення з інформацією
Лекція 4 План лекції iconПлан лекції План лекції
України періоду міжвоєнного часу та часів голодоморів. Сформувати у майбутніх лікарів почуття гордості за свій багатостраждальний...
Лекція 4 План лекції iconПечінка Підшлункова залоза План лекції: План лекції

Лекція 4 План лекції iconЛекція 3 План лекції
Вважаємо далі, що будь-яка інформація може бути представлена у вигляді слова у деякій мові
Лекція 4 План лекції iconЛекція 3 тема гостра дихальна недостатність план лекції анатомо-фізіологічні особливості органів дихання. Поняття про гіпоксію

Лекція 4 План лекції iconВодневий показник. Буферні системи, класифікація та механізм їх дії. План лекції: План лекції
Гідрогену, тобто значення рН середовища, при добавлянні до них невеликих кількостей кислоти чи лугу або при розбавлянні їх

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка