Невмешательство (безопасность)

редактировать

Невмешательство - это строгая многоуровневая модель политики безопасности, впервые описанная Goguen и Meseguer в 1982 году, а затем расширились в 1984 году.

Содержание

1 Введение
2 Формальное выражение
3 Ограничения
- 3.1 Строгость
- 3.2 Отсутствие секретной информации при запуске
- 3.3 Без обобщения
4 Обобщения
5 Ссылки
6 Дополнительная литература

Введение

Проще говоря, компьютер моделируется как машина с входами и выходами. Входы и выходы классифицируются как низкие (низкая чувствительность, невысокая классификация) или высокие (чувствительные, чтобы их не могли видеть лица, не прошедшие проверку). Компьютер обладает свойством невмешательства, если и только если любая последовательность низких входов будет давать одинаковые низкие выходные данные, независимо от того, каковы входы высокого уровня.

То есть, если на машине работает пользователь с низким (не очищенным) пользователем, он будет реагировать точно так же (на выходах с низким уровнем) независимо от того, работает ли пользователь с высоким (очищенным) уровнем с конфиденциальными данными.. Низкий пользователь не сможет получить какую-либо информацию о действиях (если таковые имеются) высокого пользователя.

Формальное выражение

Пусть $M {\ displaystyle M}$ $M$ будет конфигурацией памяти, и пусть $ML {\ displaystyle M_ {L}}$ $M_L$ и $MH {\ displaystyle M_ {H}}$ ${\ displaystyle M_ {H}}$ быть проекцией памяти $M {\ displaystyle M}$ $M$ на низкий и высокий части соответственно. Пусть $= L {\ displaystyle {= _ {L}}}$ ${= _ {L }}$ будет функцией, которая сравнивает младшие части конфигураций памяти, т. Е. $M = LM ′ {\ displaystyle M \ {= _ {L}} \ M ^ {\ prime}}$ $M \ {= _ {L}} \ M ^ {\ prime}$ если и только если $ML = ML ′ {\ displaystyle M_ {L} = M_ {L} ^ {\ prime}}$ $M _ {{L}} = M _ {{L}} ^ {\ prime}$ . Пусть $(P, M) → ∗ M ′ {\ displaystyle (P, M) \ rightarrow ^ {*} M ^ {\ prime}}$ $(P, M) \ rightarrow ^ {*} M ^ { \ prime}$ - выполнение программы $P {\ displaystyle P}$ $P$ , начиная с конфигурации памяти $M {\ displaystyle M}$ $M$ и заканчивая конфигурацией памяти $M ′ {\ displaystyle M ^ {\ prime} }$ $M ^ {\ prime}$ .

Определение невмешательства для детерминированной программы $P {\ displaystyle P}$ $P$ следующее:

$∀ M 1, M 2: M 1 = LM 2 ∧ ( P, M 1) → ∗ M 1 ′ ∧ (P, M 2) → ∗ M 2 ′ ⇒ M 1 ′ = LM 2 ′ {\ displaystyle {\ begin {array} {rrl} \ forall M_ {1}, M_ {2}: \; M_ {1} \ {= _ {L}} \ M_ {2} \ land \\ (P, M_ {1}) \ rightarrow ^ {*} M_ {1} ^ {\ prime} \ land \\ (P, M_ {2}) \ rightarrow ^ {*} M_ {2} ^ {\ prime} \ Rightarrow \\ M_ {1} ^ {\ prime} \ {= _ { L}} \ M_ {2} ^ {\ prime} \ end {array}}}$ ${\ begin {array} {rrl} \ forall M_ {1}, M_ {2}: \; M_ {1} \ {= _ {L}} \ M_ {2} \ land \\ (P, M_ {1}) \ rightarrow ^ {*} M_ {1} ^ {\ prime} \ land \\ (P, M_ {2}) \ rightarrow ^ { *} M_ {2} ^ {\ prime} \ Rightarrow \\ M_ {1} ^ {\ prime} \ {= _ {L}} \ M_ {2} ^ {\ prime} \ end {array}}$

Ограничения

Строгость

Это очень строгая политика, поскольку компьютерная система с скрытые каналы могут соответствовать, например, модели Белла – ЛаПадулы, но не будут соответствовать принципу невмешательства. Обратное может быть правдой (при разумных условиях, когда в системе должны быть помечены файлы и т. Д.), За исключением исключений «Нет секретной информации при запуске», указанных ниже. Однако было показано, что невмешательство сильнее, чем.

Эта строгость имеет свою цену. Создать компьютерную систему с этим свойством очень сложно. Может быть только один или два коммерчески доступных продукта, которые были проверены на соответствие этой политике, и они, по сути, будут такими же простыми, как переключатели и односторонние информационные фильтры (хотя они могут быть организованы для обеспечения полезного поведения).

Отсутствие секретной информации при запуске

Если в компьютере есть (в момент времени = 0) какая-либо высокая (т. Е. Секретная) информация внутри него, либо пользователи с низким уровнем доступа создают большую информацию после time = 0 ( так называемая «запись», которая разрешена многими политиками компьютерной безопасности), то компьютер может законно передать всю эту важную информацию низкому пользователю, и все же можно сказать, что он соблюдает политику невмешательства. Низкий пользователь не сможет узнать ничего о высокой активности пользователей, но сможет узнать о любой высокой информации, которая была создана средствами, отличными от действий высоких пользователей. (Von Oheimb 2004)

Компьютерные системы, которые соответствуют с моделью Bell-LaPadula не страдают от этой проблемы, так как они явно запрещают "чтение". Следовательно, компьютерная система, соответствующая принципу невмешательства, не обязательно будет соответствовать модели Bell-LaPadula. Таким образом, модель Белла – ЛаПадулы и модель невмешательства несопоставимы: модель Белла-ЛаПадулы более строга в отношении считывания, а модель невмешательства строже в отношении скрытых каналов.

Без суммирования

Некоторые законные многоуровневые действия по обеспечению безопасности рассматривают отдельные записи данных (например, личные данные) как конфиденциальные, но позволяют раскрывать статистические функции данных (например, среднее значение, общее число). широко. Этого нельзя добиться с помощью машины без помех.

Обобщения

Свойство невмешательства требует, чтобы система не раскрывала никакой информации о высоких входах из наблюдаемых выходных данных для различных низких входов. Однако можно возразить, что достижение невмешательства часто невозможно для большого класса практических систем, и, более того, это может быть нежелательно: программы должны раскрывать информацию, которая зависит от секретных входов, например вывод должен отличаться, когда пользователь вводит правильные учетные данные, и когда он вводит неправильные учетные данные. Энтропия Шеннона, предположение энтропии и минимальная энтропия - распространенные понятия утечки количественной информации, которые обобщают невмешательство.

Ссылки

Дополнительная литература

Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии. 2 . Нью-Йорк: John Wiley Sons, Inc., стр. 1136–1145.

(2004). «Возвращение к управлению информационным потоком: невлияние = невмешательство + отсутствие утечки». Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS). София Антиполис, Франция: LNCS, Springer-Verlag. стр. 225–243.