Невмешательство - это строгая многоуровневая модель политики безопасности , впервые описанная Гогуэном и Месегером в 1982 году и получившая дальнейшее развитие в 1984 году.
Вступление
Проще говоря, компьютер моделируется как машина со входами и выходами. Входы и выходы классифицируются как низкие (низкая чувствительность, невысокая классификация) или высокие (чувствительные, чтобы их не могли видеть лица, не прошедшие проверку). Компьютер обладает свойством невмешательства тогда и только тогда, когда любая последовательность низких входов будет давать одинаковые низкие выходные данные, независимо от того, какие входы являются высокими.
То есть, если на машине работает низкий (не очищенный) пользователь, он будет реагировать точно так же (на низких выходах) независимо от того, работает ли высокий (очищенный) пользователь с конфиденциальными данными. Низкий пользователь не сможет получить какую-либо информацию о действиях (если таковые имеются) высокого пользователя.
Формальное выражение
Позволять быть конфигурацией памяти, и пусть а также быть проекцией памяти на нижнюю и верхнюю части соответственно. Позволять быть функцией, которая сравнивает младшие части конфигураций памяти, т. е. если только . Позволять быть исполнением программы начиная с конфигурации памяти и заканчивая конфигурацией памяти .
Определение невмешательства для детерминированной программы следующее: [1]
Ограничения
Строгость
Это очень строгая политика, поскольку компьютерная система со скрытыми каналами может соответствовать, скажем, модели Белла – ЛаПадулы , но не будет соответствовать принципу невмешательства. Обратное может быть правдой (при разумных условиях, когда в системе должны быть помечены файлы и т. Д.), За исключением исключений «Нет секретной информации при запуске», указанных ниже. Однако было показано, что невмешательство сильнее невыводимости .
Эта строгость имеет свою цену. Сделать компьютерную систему с этим свойством очень сложно. Может быть только один или два коммерчески доступных продукта, которые были проверены на соответствие этой политике, и они, по сути, будут такими же простыми, как переключатели и однонаправленные информационные фильтры (хотя они могут быть организованы для обеспечения полезного поведения).
Никакой секретной информации при запуске
Если в компьютере есть (в момент времени = 0) какая-либо высокая (т. Е. Секретная) информация внутри него, либо пользователи с низким уровнем доступа создают большую информацию после времени = 0 (так называемая «запись», которая разрешена многими политиками компьютерной безопасности ), то компьютер может законно передать всю эту важную информацию нижнему пользователю и, тем не менее, можно сказать, что он соблюдает политику невмешательства. Низкий пользователь не сможет узнать что-либо о высокой активности пользователей, но сможет узнать о любой высокой информации, которая была создана другими способами, кроме действий высоких пользователей. (Von Oheimb 2004)
Компьютерные системы, соответствующие модели Белла-ЛаПадулы, не страдают от этой проблемы, поскольку они явно запрещают «чтение». Следовательно, компьютерная система, соответствующая принципу невмешательства, не обязательно будет соответствовать модели Белла-ЛаПадулы. Таким образом, модель Белла-ЛаПадулы и модель невмешательства несопоставимы: модель Белла-ЛаПадулы более строга в отношении считывания, а модель невмешательства строже в отношении скрытых каналов .
Без обобщения
Некоторые законные многоуровневые действия по обеспечению безопасности рассматривают отдельные записи данных (например, личные данные) как конфиденциальные, но позволяют более широко раскрывать статистические функции данных (например, среднее значение, общее число). Этого нельзя добиться с помощью машины без помех.
Обобщения
Свойство невмешательства требует, чтобы система не выдавала никакой информации о высоких входах из наблюдаемого выхода для различных низких входов. Однако можно утверждать, что достижение невмешательства часто невозможно для большого класса практических систем, и, более того, это может быть нежелательно: программы должны раскрывать информацию, которая зависит от секретных входов, например, выходные данные должны отличаться, когда пользователь вводит правильные учетные данные, а не когда она вводит неправильные учетные данные. Энтропия Шеннона, предположение энтропии и минимальная энтропия - распространенные понятия утечки количественной информации, которые обобщают невмешательство. [2]
Рекомендации
- ^ Смит, Джеффри (2007). «Принципы безопасного анализа информационных потоков». Достижения в области информационной безопасности. 27. Springer США. С. 291-307.
- ^ Борис Köpf и Дэвид Басин. 2007. Теоретико-информационная модель для адаптивных атак по побочным каналам. В материалах 14-й конференции ACM по компьютерной и коммуникационной безопасности (CCS '07). ACM, Нью-Йорк, Нью-Йорк, США, 286–296.
дальнейшее чтение
- Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии . 2 . Нью-Йорк: John Wiley & Sons, Inc., стр. 1136–1145.
- фон Охейм, Дэвид (2004). «Возвращение к управлению информационным потоком: невлияние = невмешательство + отсутствие утечки». Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS) . София Антиполис, Франция: LNCS, Springer-Verlag. С. 225–243.