информ_поток (Лекции по КБ)

1.3. ИНФОРМАЦИОННЫЙ ПОТОК.

Структуры информационных потоков являются основой анализа каналов утечки и обеспечения секретности информации. Эти структуры опираются на теорию информации и математическую теорию связи. Рассмотрим простейшие потоки.

1. Пусть субъект S осуществляет доступ на чтение (r) к объекту О. В этом случае говорят об информационном потоке от О к S. Здесь объект О является источником, а S - получателем информации.

2. Пусть субъект S осуществляет доступ на запись (w) к объекту О. В этом случае говорят об информационном потоке от S к О. Здесь объект О является получателем, а S - источником информации.

Из простейших потоков можно построить сложные. Например, информационный поток от субъекта S2 к субъекту S1 по следующей схеме:

r w

S₁ ---------- O ---------- S₂ (1)

Субъект S₂ записывает данные в объект О, а затем S₁ считывает их. Здесь S₂ - источник, а S₁ - получатель информации. Можно говорить о передаче информации, позволяющей реализовать поток. Каналы типа (1), которые используют общие ресурсы памяти, называются каналами по памяти.

С точки зрения защиты информации, каналы и информационные потоки бывают законными или незаконными. Незаконные информационные потоки создают утечку информации и, тем самым, могут нарушать секретность данных.

Рассматривая каналы передачи информационных потоков, можно привлечь теорию информации для вычисления количества информации в потоке и пропускной способности канала. Если незаконный канал нельзя полностью перекрыть, то доля количества информации в объекте, утекающая по этому каналу, служит мерой опасности этого канала. В оценках качества защиты информации американцы используют пороговое значение для допустимой пропускной способности незаконных каналов.

С помощью теоретико-информационных понятий информационные потоки определяются следующим образом.

Будем считать, что всю информацию о вычислительной системе можно описать конечным множеством объектов (каждый объект - это конечное множество слов в некотором языке Я). В каждом объекте выделено состояние, а совокупность состояний объектов назовем состоянием системы. Функция системы - это последовательное преобразование информации в системе под действием команд. В результате, из состояния s мы под действием команды  перейдем в состояние s', обозначается: s|-- s'(). Если  последовательность команд, то композиция преобразований информации обозначается также, т.е. s|---s'() означает переход из состояния s в s' под действием последовательности команд  (автоматная модель вычислительной системы).

В общем виде для объектов X в s и Y в s' определим информационный поток, позволяющий по наблюдению Y узнать содержание X.

Предположим, что состояние X и состояние Y - случайные величины с совместным распределением Р(х, у)=Р(Х=х, Y=y), где под {Х=х} понимается событие, что состояние объекта X равно значению х (аналогично в других случаях). Тогда можно определить: P(x), Р(у/х), Р(х/у), энтропию Н(Х), условную энтропию H(X/Y) и среднюю взаимную информацию

I(Х, Y) = Н(X) - H(X/Y).

Определение. Выполнение команды  в состоянии s, переводящей состояние s в s', вызывает информационный поток от X к Y (обозначение Х-->Y ),если I(Х, Y)>0. Величина I(Х, Y) называется величиной потока информации от X к Y.

Определение. Для объектов X и Y существует информационный поток величины С (бит), если существуют состояния s и s' и последовательность команд  такие, что s|-- s'(), X-->Y.

Оценка максимального информационного потока определяется пропускной способностью канала связи Х_Y и равна по величине

C(, X, Y)=max I(X, Y).

P(x)

Рассмотрим дальнейшие примеры информационных потоков в вычислительных системах.

1. Рассмотрим операцию присвоения значения переменных

Y:=X.

Пусть X - целочисленная случайная величина со значениями [0,15] и Р(x) - равновероятная мера на значениях X. Тогда Н(Х)=4 бит. После выполнения операции присвоения по полученной в состоянии s‘ величине Y однозначно восстанавливается X, следовательно H(X/Y)=0 I(X, Y)=4C(, X, Y)=4, т.к. рассмотренный канал - симметричный.

2.    Y:=X

Z:=Y.

Выполнение этих команд вызывает непрямой (косвенный) поток информации Х-->Z, такой же величины как прямой поток Х-->Y.

3. Z:=X + Y.

Предполагаем, что X, Y [0,15] и равновероятны. Тогда Н(Х)=4, H(Y)=4.

0 < H(X/Z) = Р(х, z) logP(x/z)< 4,

(xz)

следовательно, 0 < I(Х, Z) < 4 бит.

4. Пусть X₁, X₂,..., Х_n - независимые одинаково распределенные равновероятные случайные величины со значениями 0 и 1.

n

Z= X_i , Н(Х₁) = 1,

i=1

n-1 n

H(X1/Z)= - Р(Х1=0, Z=k) logP(X=0/Z=k)- Р(Х1=1, Z=k) logP(X=l /Z=k)

k=o k=1

Если n->, то H(X₁/Z) = Н(Х₁)(1 + O(1)), откуда следует, что I(X₁/Z)=O(l).

Отсюда возникает возможность прятать конфиденциальные данные в статистические данные.

5. Z:=XY, X и Y - равновероятные булевы случайные величины, - сложение по mod 2, тогда Z не несет информации о X или Y.

6. If X=l then Y=l. Х{0,1}, где величина X принимает свои значения с вероятностями Р(Х=0)=Р(Х==1)=1/2, начальное значение Y=0, Н(Х)=1.

H(X/Y)=  Р(х, у) logP(x/y)=0.

(x,y)

Следовательно, I(Х, Y) = 1. Поток называется неявным, в отличие от явного при операции присвоения.

7. If(Х=1) и (Y=l) then Z:=l.

H(X)=H(Y)=l, Z=l => X=l=Y

X=0 c P=2/3 }

Z = 0 => } апостериорные вероятности

X=1 c P=1/3 }

Отсюда H_z(X)O,7. Поэтому количество информации о X в Z равно

I(Z, Х)  0,3.

Если X₁, Х₂,...,Х_n - исходные (ценные) переменные системы (программы), а Y=(Y₁,...,Y_m) - выходные, то I(X_i,Y) - количество информации о Х_i, в потоке, который индуцируется системой. Тогда отношение I(X_i,Y)/Н(Х₁) - показатель "утечки" информации о X₁. Если установить порог > О для "утечки", то из условия при каждом i=l.....n,

I(X_i,Y)/Н(Х_i)<,

следуют требования к защите Y.