17. Язык, объекты, субъекты. Аксиома

Аксиома. Все вопросы безопасности информации описываются доступами субъектов к объектам.

Если включить в рассмотрение гипотетически такие процессы как пожар, наводнение, физическое уничтожение и изъятие, то эта аксиома охватывает практически все известные способы нарушения безопасности в самых различных вариантах понимания безопасности. Тогда для дальнейшего рассмотрения вопросов безопасности и защиты информации достаточно рассматривать множество объектов и последовательности доступов.

Пусть время дискретно, О_t - множество объектов момент t, S_t - множество субъектов в момент t. На множестве объектов О_t как на вершинах определим ориентированный граф доступов G_t следующим образом: дуга с меткой pR принадлежит G_t тогда и только тогда, когда в момент t субъект S имеет множество доступов р к объекту О.

Согласно аксиоме, с точки зрения защиты информации, в процессе функционирования системы нас интересует только множество графов доступов {G_t}_t=1^T. Обозначим через ={G} множество возможных графов доступов. Тогда  можно рассматривать как фазовое пространство системы, а траектория в фазовом пространстве  соответствует функционированию вычислительной системы. В этих терминах удобно представлять себе задачу защиты информации в следующем общем виде. В фазовом пространстве  определены возможные траектории Ф, в  выделено некоторое подмножество N неблагоприятных траекторий или участков таких траекторий, которых мы хотели бы избежать. Задача защиты информации состоит в том, чтобы любая реальная траектория вычислительного процесса в фазовом пространстве  не попала во множество N. Как правило, в любой конкретной вычислительной системе можно наделить реальным смыслом компоненты модели , и N. Например, неблагоприятными могут быть траектории, проходящие через данное множество состояний ‘.

Чем может управлять служба защиты информации, чтобы траектории вычислительного процесса не вышли в N? Практически такое управление возможно только ограничением на доступ в каждый момент времени. Разумеется, эти ограничения могут зависеть от всей предыстории процесса. Однако, в любом случае, службе защиты доступно только локальное воздействие. Основная сложность защиты информации состоит в том, что имея возможность использовать набор локальных ограничений на доступ в каждый момент времени, мы должны решить глобальную проблему недопущения выхода любой возможной траектории в неблагоприятное множество N. При этом траектории множества N не обязательно определяются ограничениями на доступы конкретных субъектов к конкретным объектам. Возможно, что если в различные моменты вычислительного процесса субъект S получил доступ к объектам О₁ и О₂, то запрещенный доступ к объекту О₃ реально произошел, так как из знания содержания объектов О₁ и O₂ можно вывести запрещенную информацию, содержащуюся в объекте O₃.

Пример 4. Пусть в системе имеются два пользователя U₁, и U₂, один процесс S чтения на экран файла и набор файлов O₁...O_m. В каждый момент работает один пользователь, потом система выключается и другой пользователь включает ее заново. Возможны следующие графы доступов

R r

Uj------->S-------------Oi , i=l ,..., m, j=l , 2. (1)

Множество таких графов - . Траектории - последовательности графов вида (1). Неблагоприятными считаются траектории, содержащие для некоторого i= 1...m состояния

R r

U₁------------>S------->Oi

R r

U₂------------>S------->Oi

То есть неблагоприятная ситуация, когда оба пользователя могут прочитать один объект. Ясно, что механизм защиты должен строить ограничения на очередной доступ, исходя из множества объектов, с которыми уже ознакомился другой пользователь. В этом случае, очевидно, можно доказать, что обеспечивается безопасность информации в указанном смысле.

Пример 5. В системе, описанной в примере 4, пусть неблагоприятной является любая траектория, содержащая граф вида

R r

U₁------------>S------->O₁

В этом случае очевидно доказывается, что система будет защищена ограничением доступа на чтение пользователя U₁ к объекту О₁