Технические науки УДК 65.012.810 Оценка возможности утечки информации в модели Take-Grant С.В. Белим, д.ф.-м. н., доцент [email protected] В.Ю. Бардычев, аспирант, [email protected] факультет компьютерных наук, кафедра компьютерной безопасности ОмГУ им. Ф.М. Достоевского Россия, 644077, Омск, проспект Мира 55-а Аннотация. Данная статья описывает исследование возможности введения числовых характеристик доступа к информации на основе списков контроля доступа с помощью модели Take-Grant. Такие характеристики позволяют правильно оценивать вероятность доступа. Так как возможна ситуация, когда может возникнуть канал утечки информации, однако вероятность его настолько мала, что установки неких дополнительных механизмов защиты просто не имеет смысла. Ключевые слова: компьютерная безопасность, модель Take-Grant, граф доступа. Несанкционированный доступ к информации является одним из самых распространенных каналов утечки информации. систем защиты предотвращение компьютерной Большинство существующих информации несанкционированного доступа. направлено На именно сегодняшний на день разработан ряд математических моделей, позволяющих проводить формальный анализ возможности утечки информации. Одной из таких моделей, получивших широкое распространение для систем с дискреционным разделением доступа, является Take-Grant [1,2]. Исследование возможности несанкционированного доступа в этой модели проводится на основе графа доступов. Однако в данной модели, как и во многих других, дается лишь ответ на вопрос о принципиальной возможности несанкционированного доступа без числовых характеристик. Тогда как важно правильно оценивать вероятность доступа. Так как возможна ситуация, когда может возникнуть канал утечки информации, однако вероятность его настолько мала, что установки неких дополнительных механизмов защиты просто не оправдана. В данной статье предпринимается попытка введения числовых характеристик возможности доступа к информации на основе списков контроля доступа с помощью модели Take-Grant. 1. Расширенная модель Take-Grant Кратко рассмотрим основные положения расширенной модели Take-Grant, необходимые для дальнейшего изложения [2]. Данная модель выявляет возможные каналы утечки информации в компьютерных системах с дискреционным разделением доступа. При формальном описании модели используются множество объектов системы O и множество субъектов системы S. Множество возможных видов доступа A состоит из четырех элементов: r – право на чтение, w – право на запись, t – право брать права у другого объекта на третий объект, g – право передавать другому объекту свои права на третий объект. Состояние безопасности системы описывается с помощью ориентированного помеченного графа доступов G, вершинами которого являются объекты и субъекты системы, а дугами разрешенные доступы, соответственно метки дуг показывают разрешенные типы доступов. В расширенной модели Take-Grant определены две группы правил преобразований графа доступов для обнаружения возможных каналов утечки информации – правила де-юре и правила де-факто. Правила де-юре унаследованы из классической модели Take-Grant и добавляют к графу реальные дуги, которые могут появиться вследствие передачи прав на третьи объекты двумя объектами, связанными дугой с меткой t или g. Таких правил четыре: 1. Правило брать - take(a,x,y,z). Данное правило осуществляет преобразование графа G в граф G', при котором субъект x берет права a на объект z у субъекта y. Данному преобразованию соответствует подграф 2. Правило давать - grant(a,x,y,z). Данное правило осуществляет преобразование графа G в граф G', при котором субъект x дает права a на объект z субъекту y. Данному преобразованию соответствует подграф 3. Правило создать - create(a,x,y). Данное правило осуществляет преобразование графа G в граф G', при котором субъект x создает объект y и получает на него права доступа a 4. Правило удалить - remove(a,x,y). Данное правило осуществляет преобразование графа G в граф G', при котором субъект x лишается прав a на объект y. Возможность передачи прав между двумя удаленными субъектами определяется с помощью предиката «Возможен доступ»(a,x,y,G), который будет истинным тогда и только тогда, когда существует цепочка преобразований графа G с помощью правил де-юре, в результате которых появляется дуга от объекта x к объекту y с правом a. В дальнейшем предикат «Возможен доступ»(a,x,y,G) будем обозначать через Вд(a,x,y,G). Центральной задачей классической модели Take-Grant является определение истинности предиката Вд(a,x,y,G) для двух заданных объектов. Данная задача решается на основе двух теорем, в которых формулируются критерии истинности предиката. Центральным понятием является tg-путь как путь в графе, каждая дуга которого помечена доступом t или g. Используем формулировку одной из теорем, взятую из [2]. Доказательство мы не приводим, так как оно не существенно для дальнейшего изложения. Теорема. Пусть G - граф доступов, содержащий только вершины-субъекты, то есть S=O. Тогда предикат Вд(a,x,y,G) истинен тогда и только тогда, когда выполняются два условия: 1) Существуют субъекты S1,...,Sm такие, что Si имеет доступ к y с правом i, для всех i=1,...,m и a12...m, 2) x соединен tg-путем с каждым из Si (i=1...m). В действительности достаточно рассмотреть случай m=1. Если m>1, то, используя случай m=1, субъект может получить право доступа по частям, а потом их объединить. При m=1 условия теоремы перепишется в виде: 1) существует S имеющий доступ a к y. 2) x и S соединены tg-путем в G. Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия. В результате применения правил де-факто в графе появляются мнимые ребра, помеченные r или w, и изображаемые пунктиром. Вместе с реальными ребрами мнимые ребра указывают направление информационных каналов в системе. Правила де-факто имеют вид: В рамках расширенной модели Take-Grant к мнимым ребрам нельзя применять ни правила де-юре ни правила де-факто. Информационные каналы нельзя брать у других объектов или передавать другим объектам системы. Кроме возможных путей передачи информации в расширенной модели Take-Grant [1] рассматриваются стоимости возникновения информационных потоков в системах с дискреционным разделением доступа. Проблемы взаимодействия являются центральными при похищении прав доступа. Правила де-юре для реализации требуют одного субъекта, правила де-факто - одного или двух. В сложных системах трудно простым перебором найти путь похищения. Но чем длиннее путь между субъектами, тем менее вероятно похищение. Поэтому в модель Take-Grant можно включить понятие вероятности или стоимости похищения прав доступа. Существует два основных подхода к определению стоимости похищения: 1. Присваивание стоимости каждому ребру графа. Тогда стоимость похищения будет складываться из суммы стоимостей доступов по соответствующим ребрам. 2. Присваивание стоимости каждому правилу де-юре или де-факто. Общая стоимость похищения находится как сумма стоимостей выполняемых правил. 2. Стоимость доступа в рамках классической модели Take-Grant Рассмотрим один из способов определения стоимости или возможности доступа с использованием правил де-юре, который позволяет учитывать тот факт, что возможно несколько путей получения доступа. Как видно из формулировки теоремы передача права возможна тогда и только тогда, когда существует соответствующий tg-путь. Рассмотрим простой случай, когда передача права по одному ребру с меткой t или g имеет одинаковую вероятность α не зависимо от направления дуги. Тогда передача права по tg-пути длины два будет иметь вероятность α 2 и т.д. Для выявления tg-путей построим по графу G непомеченный и не ориентированный граф Gtg по следующим правилам: 1) Множество вершин графа Gtg совпадает с множеством вершин графа G. 2) Если метка дуги в графе G включает в себя t или g, то добавляем в графе Gtg дугу между соответствующими вершинами. Обозначим множество вершин графа Gtg через V, а множеством дуг через D. Отношение инцидентности будем задавать с помощью матрицы смежности E. А именно, если существует дуга из вершины vi в вершину vj, то соответствующий элемент матрицы смешения Eij=1, в противном случае Eij=0. Также будем считать, что в графе нет петель и полагать Eii=0. Сформулируем более строгую постановку задачи. Пусть между вершинами vi и vj некоторого графа существует несколько путей длины k. Обозначим количество таких путей через pk(vi,vj). Пути разной длины дают разный вклад в вероятность доступа от одного субъекта к другому. Введем соответствующую функцию g(k), которая показывает вклад в вероятность доступа по tg-пути длиной k. Введем величину, характеризующую возможность доступа одного субъекта к другому по различным tg-путям: w(vi ,v j ) = g (k ) p k (vi ,v j ). k=1 Определим матрицу возможностей доступа всех субъектов друг к другу M: M ij w(vi ,v j ) Используя [3] можем записать следующее соотношение: M = g (k ) E k . k=1 Как было сказано выше функцию g(k) в нашем случае будет иметь вид g(k) = α k 1 , где 0 < α < 1. Функция данного вида была рассмотрена в [4] для выявления связных структур методом построения иерархического дерева. В этом случае вероятность доступа одного субъекта к другому можно вычислить по формуле: w(vi ,v j ) = α k 1 p k (vi ,v j ). k =1 Матрица вероятностей доступов имеет вид: M = α k 1 E k = α 1 ((I αE) 1 I) . k=1 Здесь I – единичная матрица. Коэффициент α имеет двоякий смысл. С одной стороны, он показывает, во сколько раз уменьшается относительное влияние пути при увеличении его длины на единицу. С другой стороны рассмотрим ситуацию, при которой из вершины vi в вершину vj ведет несколько путей одинаковой длины. В частности, если имеется p2(vi,vj)=1/α путей длины 2, то они дают такой же вклад в вероятность доступа, как и дуга между вершинами. При наличии p3(vi,vj)=1/α путей длины 3 их вклад будет эквивалентен одному пути длиной 2. Если же имеется p3(vi,vj)=1/α 2 путей длины 3, то их вклад эквивалентен одной дуге. В общем случае при наличии pn(vi,vj)=1/α n-k путей длины n их вклад будет эквивалентен одному пути длины k. Эти соображения позволяют выбирать коэффициент α из практических соображений. Рассмотрим простой пример. Пусть граф доступов имеет вид: Соответствующая матрица доступов: S1 S1 S2 F t g F g S2 S3 S3 F S4 t S4 F Запишем матрицу смежности: 0 0 E 0 0 1 0 1 0 0 1 0 0 0 . 0 1 0 Матрица возможностей доступа для значения α =0.5: 0 0 M 0 0 1 0.75 1.5 0 0.5 1 0 0 0 . 0 1 0 Таким образом, возможность доступа, например, субъекта S1 к субъекту S3 будет равна 0.75. То есть, не смотря на то, что нет дуги между этими субъектами, утечка информации возможна с большой вероятностью. Список литературы 1. Гайдамакин Н. А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: изд-во Уральского университета, 2003. 328 с. 2. Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. Москва: Издательский центр «Академия», 2005. 3. Girvan M., Newman M.E.J. Community structure in social and biological networks // arXiv:cond-mat/0112110v1.(2001). 4. Newman M.E.J. Mixing patterns in networks // Phys. Rev. E. 2003. V.67. P. 0261261 -026126-13.