Теоретические основы защиты информации.

S. Обозначим D_t(S) = {O | S -->*0 в момент t}, гдеS->*O означает возможность осуществления цепочки доступов S ->S₁->S₂->...S_k->O (возможность доступа к О от имени S). Тогда для любого tÎN в системе определены D_t(U₁) и D_t(U₂) . Будем считать, что D= D_t(U₁)ÇD_t(U₂) фиксировано для всех t, O_t= D_t(U₁)ÈD_t(U₂), в начальный момент t = 0: O₀={U1,U2}ÈD

Определение. Множество объектов О называется общими ресурсами системы.

В частности, средствами из D пользователь может создавать объекты и уничтожать объекты, не принадлежащие D. Создание и

уничтожение каких-либо объектов является доступом в R к некоторым объектам из O (и к уничтожаемым объектам).

Мы считаем, что из объектов системы å построена некоторая подсистема, которая реализует доступы. Будем полагать, что любое обращение субъекта S за доступом р к объекту О в эту подсистему начинается с запроса, который мы будем обозначать .

При порождении объекта субъект S обращается к соответствующей процедуре, в результате которой создается объект с уникальным именем. Тогда в силу леммы 1, существует единственный пользователь, от имени которого активизирован субъект, создавший этот объект. Будем говорить, что соответствующий пользователь породил данный объект. Обозначим через О_t(U) множество объектов из О_t, которые породил пользователь U. Естественно, будем считать, чтоUÎO_t(U).

Лемма 2. Для каждого tÎN, для каждого OÎO_t, ОÏD, существует единственный пользователь U такой, что OÎO_t(U) .

Доказательство. Поскольку O₀={U₁, U₂}ÈD, то объект ОÏD, OÎO_t, порожден в некоторый момент s, 0<s<t. Тогда в О существовал активизированный субъект S, создавший О. Тогда, как отмечено ранее, существует единственный пользователь U, породивший О. Лемма доказана.

Обратимся теперь к вопросам безопасности информации в системе. Если в R есть доступы read и write, то ограничимся опасностью утечки информации через каналы по памяти, которые могут возникнуть при доступах к объектам. Таким каналом может бытьследующая последовательность доступов при s<t

в момент s  и в момент t,

При определенных условиях может оказаться опасным доступ от имени пользователя:

в момент s  и в момент t,  s<t,

С некоторой избыточностью мы исчерпаем возможные каналы по памяти, если будем считать неблагоприятными какие-либо доступы p₁,p₂ÍR вида

, ,    (1)

которые мы и считаем каналами утечки.

Предположение 3. Если OÎD, то доступы в (1) при любых р₁ и р₂ не могут создать канал утечки.

Это значит, что мы предположили невозможным отразить какую-либо ценную информацию в объектах общего доступа.