Определение политики безопасности. Часть2

 

Рассмотрим следующие примеры.

Пример Пусть банковские счета хранятся в зашифрованном виде в файлах ЭВМ. Для зашифрования, естественно, используется блочная система шифра, которая для надежности реализована вне компьютера и оперируется с помощью доверенного лица. Прочитав в книгах о хороших механизмах защиты, служба безопасности банка убеждена, что если шифр стойкий, то указанным способом информация хорошо защищена. Действительно, прочитать ее при хорошем шифре невозможно, но служащий банка, знающий стандарты заполнения счетов и имеющий доступ к компьютеру, может заменить часть шифртекста в своем счете на шифртекст в счете богатого клиента. Если форматы совпали, то счет такого служащего с большой вероятностью возрастет. В этом примере игра идет на том, что в данной задаче опасность для целостности информации значительно выше опасности для нарушения секретности, а выбранная политика безопасности хорошо защищает от нарушений секретности, но не ориентирована на опасность для целостности.

Пример Как было описано в примере в конце параграфа 1.4 для государственных структур традиционно принято определять гриф результирующего документа как верхнюю грань грифов и категорий составляющих этот документ частей. Формальное перенесение этого правила традиционной ПБ в ПБ для электронных документов может привести к возникновению канала утечки информации. В самом деле, рассмотрим многоуровневую реляционную базу данных как в параграфе 1.7 с решеткой ценностей {несекретно(Н), секретно (C)}. Пусть R - отношение, А1,..., Аm - атрибуты, причем А1- первичный ключ. По запросу строится "обзор" R', который состоит из элементов различной классификации. ПБ может включать одно из двух правил формализованного грифа отношения R':

1. (Привычный для госструктур) R' имеет гриф, равный наибольшему значению из грифов элементов, которые принимают входящие в него атрибуты.

2. (Как это было сделано в параграфе 1.7) R' имеет гриф, равный наименьшему значению из грифов элементов, которые принимают входящие в него атрибуты.

Покажем, что в случае 1 возможна утечка информации с грифом С пользователю, которому разрешен доступ только к информации с грифом Н. Для этого достаточно построить пример базы данных, где такая утечка очевидна.

Пусть реляционная база данных реализует геоинформационную систему. Например, она содержит географическую карту некоторого района пустыни. Базовое отношение РМ имеет три атрибута:

А1 - ключевой атрибут, содержащий координаты и размеры прямоугольного сектора в некоторой сетке координат;

А2 - изображение (карта) местности в секторе с координатами, задаваемыми атрибутом А1;

Аз - координаты колодцев с водой в рассматриваемом секторе.

Для простоты будем считать, что на запрос в базу данных мы получаем на экране изображение карты сектора, определяемого значением атрибута А1. Пустьзначения атрибутов А1 и A2 имеют гриф Н, а значения атрибута А3 - С.

Если выбрать политику безопасности пункта 1, то мы покажем, как пользователь, не имеющий доступа к секретной информации, реализует канал утечки секретных данных о том, где в пустыне находится колодец с водой (пусть, для простоты, в рассматриваемой местности есть только один колодец). Для получения секретной информации пользователь делает последовательность запросов в базу данных, причем каждый следующий запрос (можно говорить о шагах алгоритма пользователя) определяется ответом на предыдущий.

1 шаг. Разбиваем район (для удобства - квадрат) на полосы и делаем запрос на эти участки в базу данных. Ответ возможен в двух формах:

  1. отказ от показа карты, если она секретная, таккак пользователю, не имеющему допуска к секретнойинформации, база данных, естественно, не должна еепоказывать;
  2. представление карты на экране, если она имеетгриф Н.

________________________

I I -------а отказ

________________________

I I -------а доступ разрешен

________________________

Если есть отказ в доступе, то в этом случае в прямоугольнике есть колодец.

2 шаг. Разбиваем полосу, где есть колодец (т.е. где есть отказ в доступе) пополам на две полосы и делаем два запроса в базу данных. Отказ означает, что в данной полосе есть колодец.

И так далее.

В результате вычисляется первая координата колодца с любой заданной точностью. Затем, в оставшейся полосе аналогично вычисляем вторую координату.

Таким образом, ПБ соблюдена, однако, произошла утечка секретной информации.

Если использовать ПБ пункта 2, то любой пользователь получает карту, но пользователь с допуском к секретной информации получает карту с нанесенным колодцем, а пользователь без такого доступа - без колодца. В этом случае канал, построенный выше, не работает и ПБ надежно защищает информацию.

Опубликовал Minimal, Декабрь 3,

Теги: информация, пользователь, база, колодец, отказ, гриф