Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.
Информационный поток
Информационным потоком от объекта {\displaystyle O\ } (источник) к объекту {\displaystyle O^{\prime }} (приёмник) называется преобразование информации в объекте {\displaystyle O^{\prime }} , зависящее от информации в объекте {\displaystyle O\ }. Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).
Вероятностная модель безопасности информационных потоков
Ниже представлена одна из возможных систем, демонстрирующая основные идеи модели безопасности информационных потоков. В рассматриваемой модели объекты системы принадлежат трем группам:
Объекты, обрабатывающие информацию высокого уровня конфиденциальности {\displaystyle H\ }
Объекты, обрабатывающие информацию низкого уровня конфиденциальности {\displaystyle L\ }
Объекты системы защиты {\displaystyle \Sigma \ }
Все объекты из {\displaystyle \Sigma \ } относятся к {\displaystyle H\ }, поскольку они обеспечивают защиту, то они должны иметь доступ к информации высокого уровня конфиденциальности.
Обозначим {\displaystyle h\ } мгновенное состояние всех объектов из {\displaystyle H\ } в данный конкретный момент. Поскольку возможное количество состояний конечно, то есть возможность пронумеровать их, после чего возможно оценить вероятность возникновения того или иного состояния объектов. Обозначим вероятность возникновения любого конкретного состояния {\displaystyle p(H)\ }. Аналогичную вероятность для объектов, обрабатывающих информацию низкого уровня конфиденциальности, обозначим {\displaystyle p(L)\ }.
Информационная невыводимость
Компьютерная система соответствует требованиям информационной невыводимости, если для {\displaystyle p(H)>0\ } и {\displaystyle p(L)>0\ }, справедливо неравенство {\displaystyle p(H|L)>0\ }.
Сформулировать данное требование можно так: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние {\displaystyle H\ }, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние {\displaystyle L\ }, то есть и вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в своё состояние.
Покажем справедливость данного требования. Пусть верно обратное, тогда при выполнении {\displaystyle p(H)>0\ } и {\displaystyle p(L)>0\ }, справедливо равенство {\displaystyle p(H|L)=0\ }. Это означает, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не могут перейти в состояние {\displaystyle H\ } после того, как объекты, обрабатывающие информацию низкого уровня конфиденциальности, перейдут в состояние {\displaystyle L\ }. Таким образом, зная, что текущее состояние объектов {\displaystyle L\ } можно сделать вывод о том, что объекты, обрабатывающие информацию высокого уровня конфиденциальности, не перейдут в состояние {\displaystyle H\ }, таким образом получив некоторую информацию о состоянии объектов, обрабатывающих информацию высокого уровня конфиденциальности, что недопустимо.
Информационное не влияние
Компьютерная система соответствует требованиям информационного невлияния (без учета времени), если для {\displaystyle p(H)>0\ } и {\displaystyle p(L)>0\ }, справедливо равенство {\displaystyle p(L|H)=p(L)\ }.
Данное требование можно сформулировать следующим образом: если есть вероятность перехода объектов, обрабатывающих информацию высокого уровня конфиденциальности, в состояние {\displaystyle H\ }, и есть вероятность перехода объектов, обрабатывающих информацию низкого уровня конфиденциальности, в состояние {\displaystyle L\ }, то вероятность того, что объекты, которые обрабатывают информацию высокого уровня конфиденциальности, перейдут в указанное состояние не зависит от того, перейдут ли объекты, обрабатывающие информацию низкого уровня конфиденциальности перейдут в своё состояние, или нет.
Данное требование более сильное, чем требование информационной невыводимости - выполнение требования информационного невлияния, автоматически влечет выполнения требования информационной невыводимости.
Требование информационного невлияния (с учетом времени), является более общим, и указывает на то, что некоторые влияние одной части системы на другую возможно. Например, если ведется журнал доступа (объект, обрабатывающий информацию высокого уровня конфиденциальности), то обращение к некоторому файлу будет зафиксировано в данном журнале, а следовательно будет изменено состояние {\displaystyle H\ }, путём изменения состояния {\displaystyle L\ }. Требование информационного невлияния (с учетом времени) позволяет не отказываться от использования журнала (и прочих средств защиты).
