Невмешательство (безопасность)

Невмешательство — это строгая многоуровневая модель политики безопасности, впервые описанная Гогуэном и Месегером в 1982 году и получившая дальнейшее развитие в 1984 году.

Введение

Проще говоря, компьютер моделируется как машина с входами и выходами. Входы и выходы классифицируются как низкие (низкая чувствительность, не строго засекреченные) или высокие (чувствительные, не предназначенные для просмотра непроверенными лицами). Компьютер обладает свойством невмешательства тогда и только тогда, когда любая последовательность низких входов будет производить те же низкие выходы, независимо от того, какими являются входы высокого уровня.

То есть, если на машине работает пользователь с низким (неочищенным) доступом, она будет реагировать точно так же (на выходах с низким уровнем), независимо от того, работает ли с конфиденциальными данными пользователь с высоким (очищенным) доступом. Пользователь с низким уровнем доступа не сможет получить никакой информации о действиях (если таковые имеются) пользователя с высоким уровнем доступа.

Формальное выражение

Пусть будет конфигурацией памяти, и пусть и будут проекцией памяти на нижнюю и верхнюю части соответственно. Пусть будет функцией, которая сравнивает нижние части конфигураций памяти, т.е. тогда и только тогда, когда . Пусть будет выполнением программы , начинающейся с конфигурации памяти и заканчивающейся конфигурацией памяти . ${\displaystyle M}$ ${\displaystyle M_{\text{L}}}$ ${\displaystyle M_{H}}$ ${\displaystyle M}$ ${\displaystyle {=_{\text{L}}}}$ ${\displaystyle M\ {=_{\text{L}}}\ M^{\prime }}$ ${\displaystyle M_{\text{L}}=M_{\text{L}}^{\prime }}$ ${\displaystyle (P,M)\rightarrow ^{*}M^{\prime }}$ ${\displaystyle P}$ ${\displaystyle M}$ ${\displaystyle M^{\prime }}$

Определение невмешательства для детерминированной программы следующее: ^[1] ${\displaystyle P}$

${\displaystyle {\begin{array}{rrl}\forall M_{1},M_{2}:\;&M_{1}\ {=_{\text{L}}}\ M_{2}&\land \\&(P,M_{1})\rightarrow ^{*}M_{1}^{\prime }&\land \\&(P,M_{2})\rightarrow ^{*}M_{2}^{\prime }&\Rightarrow \\&M_{1}^{\prime }\ {=_{\text{L}}}\ M_{2}^{\prime }\end{array}}}$

Ограничения

Строгость

Это очень строгая политика, в которой компьютерная система со скрытыми каналами может соответствовать, скажем, модели Белла–ЛаПадулы , но не будет соответствовать принципу невмешательства. Обратное может быть верным (при разумных условиях, поскольку система должна иметь помеченные файлы и т. д.), за исключением исключений «Никакой секретной информации при запуске», указанных ниже. Однако было показано, что принцип невмешательства сильнее принципа невыводимости.

Эта строгость имеет свою цену. Очень сложно создать компьютерную систему с таким свойством. Может быть только один или два коммерчески доступных продукта, которые были проверены на соответствие этой политике, и они, по сути, будут такими же простыми, как переключатели и односторонние информационные фильтры (хотя их можно было бы настроить так, чтобы обеспечить полезное поведение).

Никакой секретной информации при запуске

Если компьютер имеет (в момент времени = 0) какую-либо важную (т. е. секретную) информацию внутри себя, или низкоуровневые пользователи создают важную информацию после времени = 0 (так называемая «запись», которая разрешена многими политиками компьютерной безопасности), то компьютер может законно слить всю эту важную информацию низкоуровневому пользователю и все еще может считаться соответствующим политике невмешательства. Низкоуровневый пользователь не сможет узнать ничего о действиях высокоуровневого пользователя, но может узнать о любой важной информации, которая была создана иными способами, нежели действия высокоуровневых пользователей (von Oheimb, 2004).

Компьютерные системы, соответствующие модели Белла–ЛаПадулы, не страдают от этой проблемы, поскольку они явно запрещают «считывание». Следовательно, компьютерная система, соответствующая модели невмешательства, не обязательно будет соответствовать модели Белла–ЛаПадулы. Таким образом, модель Белла–ЛаПадулы и модель невмешательства несопоставимы: модель Белла–ЛаПадулы строже в отношении считывания, а модель невмешательства строже в отношении скрытых каналов .

Нет обобщения

Некоторые законные многоуровневые действия по обеспечению безопасности рассматривают отдельные записи данных (например, персональные данные) как конфиденциальные, но позволяют статистическим функциям данных (например, среднему значению, общему числу) быть опубликованными более широко. Этого нельзя достичь с помощью машины, не допускающей вмешательства.

Обобщения

Свойство невмешательства требует, чтобы система не раскрывала никакой информации о высоких входах из наблюдаемого выхода для различных низких входов. Однако можно утверждать, что достижение невмешательства часто невозможно для большого класса практических систем, и, более того, это может быть нежелательно: программы должны раскрывать информацию, которая зависит от секретных входов, например, вывод должен быть разным, когда пользователь вводит правильные учетные данные, и когда он вводит неправильные учетные данные. Энтропия Шеннона, энтропия угадывания и минимальная энтропия являются распространенными понятиями количественной утечки информации, которые обобщают невмешательство. ^[2]

Ссылки

1. Смит, Джеффри (2007). «Принципы анализа безопасного информационного потока». Достижения в области информационной безопасности. 27. Springer US. С. 291–307.
2. Борис Кёпф и Дэвид Басин. 2007. Информационно-теоретическая модель для адаптивных атак по сторонним каналам. В трудах 14-й конференции ACM по компьютерной и коммуникационной безопасности (CCS '07). ACM, Нью-Йорк, США, 286–296.

Дальнейшее чтение

• Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии . Том 2. Нью-Йорк: John Wiley & Sons, Inc., стр. 1136–1145.

• фон Охеймб, Дэвид (2004). «Повторный взгляд на управление информационными потоками: невлияние = невмешательство + неутечка». Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS) . София Антиполис, Франция: LNCS, Springer-Verlag. С. 225–243.