Содержание к диссертации
Введение
1 Обзор методов обеспечения безопасности 9
1.1 Дискреционный контроль доступа 12
1.2 Мандатный контроль доступа 23
1.3 Модель контроля целостности Биба 27
1.4 Ролевой контроль доступа 31
1.5 Модель невмешательства 34
1.6 Модель невыводимости 39
2 Постановка задачи повышения эффективности борьбы со скрытыми логическими каналами в распределенной среде 42
2.1 Современные подходы к реализации распределенных систем 42
2.2 Определение и классификация скрытых логических каналов 46
2.3 Основные характеристики скрытых логических каналов 53
2.4 Причины возникновения скрытых логических каналов 54
2.5 Идентификация скрытых логических каналов 58
2.6 Парирование скрытых логических каналов утечки данных 67
2.7 Требования нормативных документов по защите от скрытых логических каналов 71
3 Принципы исследования скрытых логических каналов 76
3.1 Факторы влияющие на пропускную способность 76
3.2 Определение пропускной способности скрытых каналов 78
4 Анализ скрытых логических каналов в распределенной среде и разработка методики защиты 85
4.1 Разработка гибридной формальной субъектно - объектной модели распределенной вычислительной системы 85
4.2 Построение модели скрытого логического канала в распределенной среде
4.3 Исследование модели скрытого логического канала 104
4.4 Разработка метода парирования скрытого логического канала 114
4.5 Разработка средства защиты 119
4.6 Эксперимент 131
4.7 Внедрение
5 Заключение 138
- Мандатный контроль доступа
- Определение и классификация скрытых логических каналов
- Определение пропускной способности скрытых каналов
- Построение модели скрытого логического канала в распределенной среде
Введение к работе
Актуальность темы. При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи для некоторого заранее определенного разработчиками круга угроз.
Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды и Интернет, а также повсеместное внедрение информационных технологий уже не позволяет рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации, сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании традиционных методов обеспечения безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые угрозы безопасности, которые ранее подробно не изучались или их реализация считалась не возможной.
В настоящее время особенно актуальны обозначенные проблемы при создании территориально распределенных сетей. Так как в итоге указанные проблемы способны проявить себя в виде угроз качественно нового уровня. Такие угрозы характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов сетей между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате, даже небольшое повышение уровня безопасности требует
серьезного совершенствования подходов к методам защиты информации и научном обосновании принимаемых решений.
К таким угрозам качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к локальным системам в контексте обеспечения конфиденциальности, целостности и доступности. Поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов.
Угрозы со стороны скрытых логических каналов направлены на нарушение конфиденциальности информации.
Современные методы защиты и требования нормативных документов, основанные на стратификации множества угроз по уровням секретности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде. При этом решения, найденные с использованием подобных методик, сильно ограничивают функциональные возможности защищаемой сети. Этот факт особенно остро ставит, помимо вышеуказанных, также задачу разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.
Цель работы. Определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарущения конфиденциальности информации в распределенных телекоммуникационных сетях
Решенные задачи. Для достижения обозначенной цели необходимым оказалось решение следующих задач:
Проведение анализа существующих моделей и методов обеспечения безопасности для уточнения причин, приводящих к организации скрытых логических каналов.
Проведение поиска скрытых логических каналов в обобщенной модели распределенной телекоммуникационной сети.
Разработка сценария реализации скрытого логического канала и способа передачи по нему информации.
Изучение особенностей передачи данных по скрытому логическому каналу, возникающему в телекоммуникационных сетях работающих с перегрузкой и определение характеристик такого канала.
Проведение анализа нормативных документов и определение уровня угрозы утечек данных по скрытым логическим каналам.
Изучение принципов управления информационными потоками в современном сетевом оборудовании и создание методики работы эффективного средства защиты.
При решении задачи поиска скрытых логических каналов была разработана обобщенная модель распределенной телекоммуникационной сети и стандартной политики безопасности, на основе которых проводился анализ безопасности связанных систем в целом и их проверки на наличие скрытых логических каналов. Полученные результаты позволили проанализировать принципы несанкционированной передачи информации в обход стандартной политики и на их основе разработать модель скрытого логического канала. Созданная модель скрытого логического канала позволила теоретически обосновать и доказать работоспособность предложенного метода противодействия утечкам, а также определить основные подходы к созданию эффективного средства защиты.
В результате проведенных исследований было разработано программное обеспечение, позволяющее осуществить взаимодействие передающего и принимающего процессов для организации скрытого логического канала и передачи по нему данных, а также набор конфигурационных сценариев, реализующих метод
противодействия утечкам по скрытым логическим каналам. Был проведен эксперимент по имитации скрытого логического канала и его парированию. Эксперимент доказал работоспособность созданного средства защиты в условиях его применения в сетях общего доступа. На основе положительных результатов эксперимента были разработаны рекомендации по внедрению методик защиты и использованию в распределенных телекоммуникационных сетях.
Методы исследований. В процессе решения поставленных задач и анализе результатов эксперимента использовались научные методы описания модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.
Достоверность полученных результатов обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.
Научная новизна работы заключается в следующем:
На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях.
Создана методика исследования и обнаружения скрытых каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и невмешательства.
Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.
Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.
Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.
Публикации. По теме диссертационной работы опубликованы 4 печатные работы в журнале "Вопросы защиты информации".
Мандатный контроль доступа
При использовании иерархического метода полномочия для определения контроля доступа к объектам могут быть организованы так, что контроль является иерархическим. При этом системный администратор находится в корне иерархического дерева и контролирует полномочия ко всем объектам в системе. Администратор системы должен подразделить пользователей системы на несколько подмножеств (например, в соответствии с департаментами), причем каждое подмножество представлено директорией в иерархии. По умолчанию главе департамента делегируется контроль полномочий для данной директории. Глава департамента может произвести делегирование полномочий (например, в соответствии с проектами), аналогичное тому, которое производит системный администратор главам департаментов. При этом пользователи, находящиеся на самом нижнем уровне иерархии, не имеют полномочий контроля.
Преимуществом иерархической структуры является то, что полномочия контроля передаются самым доверенным пользователям, а иерархическое дерево обычно отражает структуру организации. [32]
При использовании концепции владельца каждый объект ассоциируется с владельцем, единственным пользователем, имеющим полномочия контроля к объекту. Владелец всегда полностью контролирует созданный им объект и не может передать полномочия контроля другому субъекту.
Владелец может изменить права доступа в любое время с целью разрешения или запрета доступа к контролируемому им объекту. Данная политика управления доступом может быть проведена в жизнь администратором системы посредством установки по умолчанию полномочий контроля к объекту и запрета передачи данных полномочий другим субъектам. При этом, естественно, си схемный администратор может изменять полномочия контроля ко всем объектам в системе.
Таким образом, концепция владельца может рассматриваться как разновидность иерархической модели с двумя уровнями. Другим способом реализации концепции собственника является применение систем дискреционного доступа, в которых отсутствуют полномочия контроля. При этом создатель объекта может изменять права доступа к нему, но не имеет возможности передачи полномочий контроля другому пользователю. Примером операционной системы, в которой только создатель объекта, имеет право изменять права доступа к объекту, является операционная система UNIX, реализующая механизм битов защиты.
Недостатком данной концепции являются трудности при разделении объектов. При необходимости доступа к любому объекту в системе пользователи должны просить полномочия у владельца объекта. Однако в некоторых системах данный недостаток является достоинством. [32]
При использовании метода Laissez-Faire любой пользователь, имеющий полномочия контроля, может передавать эти полномочия любому другому пользователю. При этом пользователь, которому переданы полномочия контроля, может также передавать эти полномочия любому другому пользователю, не ставя в известность пользователя, который передал ему полномочия. Таким образом, если полномочия контроля однажды были переданы, контролировать доступ к объекту затруднительно.
Централизованная концепция дает одному пользователю, обычно системному администратору, полномочия контроля ко всем объектам в системе. Пользователи системы не имеют права передавать полномочия контроля другим пользователям. Таким образом, все полномочия контроля поддерживаются одним пользователем.
Недостатком данного метода является значительная задержка в предоставлении запрошенных полномочий, если количество запросов велико. [32]
В реальных системах матрица доступа может иметь большой размер. При этом большинство клеток данной матрицы могут быть пустыми. Следовательно, матрица доступа редко реализуется в компьютерной системе непосредственно как матрица.
В зависимости от способа представления матрицы прав доступа в операционной системе различают несколько способов реализации произвольного контроля доступа.
Для начала необходимо отметить, что можно хранить матрицу доступа по строкам и по столбцам [40].
Хранение матрицы доступа по строкам ассоциирует с субъектом список объектов, к которым данный субъект имеет права доступа. При этом все права доступа субъекта к объектам системы называются его возможностями (capabilities).
Хранение матрицы доступа по столбцам связывает с объектом права доступа субъектов системы к нему. Можно отметить следующие методы реализации матрицы доступа, основанные на хранении матрицы доступа по столбцам; парольная защита, списки прав доступа (Access Control List - ACL), биты доступа. 32]
Парольная защита осуществляется следующим образом: пользователь использует отдельный пароль для доступа к каждому объекту в системе. В большинстве реализаций парольных систем существуют различные пароли для каждого объекта и для каждого типа доступа. Этот механизм был реализован в операционных системах IBM MVS и NOS. Использование данного метода доставляет пользователю массу неудобств, так как запомнить, пароли для каждого объекта и типа доступа невозможно, а хранить их в программах и файлах -ненадежно. Существенную проблему для применения парольной защиты представляет собой и необходимость периодической смены паролей. [32]
В подавляющем большинстве современных защищенных операционных систем используются списки прав доступа и биты доступа. Рассмотрим эти механизмы более подробно.
Определение и классификация скрытых логических каналов
Интуитивно можно дать следующее определение: система безопасна, если множество выходов, которые видит пользователь, соответствует вводу пользователя в систему. Это может быть формализовано следующим образом.
Допустим, G С S и G С S - группы субъектов, а Д С - множество команд. Тогда пользователи из множества G, исполняя команды из множества А, не вмешиваются в работу пользователей из множества G (A,G : \G ), если и только если для всех последовательностей cs, состоящих из элементов в С и ДЛЯ ВСЄХ 5 е G PrOJ(s, Са, (Ті) = pr0j(s, 7TGjA(cs), (Ті). [32] Для предыдущего примера обозначим G = {HU}, G = {LU} и Д = 0. Тогда KHU(CS) = (LU,xorl) и proj(LU,7THu(cs), To) = 1- Это означает, что утверждение {HU} : I {LU} ложно, так K&KProj(LU, cs, а0) = 101 Д proj(LU, 7rHU(cs),a0). Данная ситуация возникает вследствие того, что команды, выполненные для изменения бита Я, также изменяют и бит L. Модифицируем множество команд так, чтобы HU мог менять только бит Я, а LU - только бит L. Рассмотрим последовательность команд: (HU,xorO), (LU,xorl), (HU,xorl). Задав начальное состояние (0,0), запишем выход 0H1L1H, где индекс обозначает уровень секретности выхода. Обозначим G = {HU}, G = {LU} иД = 0. Тогда TTHU(CS) = (LU,xorl) и proj(LU,7CHu(ce), T0) = 1- Тогда proj(LU,cs,a0) = proj(LU,nHU(cs),a0). Это означает, что утверждение {HU} : {LU} истинно. Это является следствием того, что команды HU не оказывают влияния на часть системы, которую наблюдает LU. [32]
Альтернативным способом описания модели невмешательства является под ход, определяющий политику безопасности, из которой выводятся требования к невмешательству. Рассмотрим его.
Определим систему X как множество доменов защиты D = 1,...,dn. Эта система, так же как и в предыдущих рассуждениях, описывается с использованием состояний, команд, субъектов и команд перехода. При выполнении команды перехода с домен, в котором она выполняется, записывается как dom(c). 132]
Допустим, г - рефлексивное отношение, определенное на D х D. Тогда г определяет политику безопасности для X.
Отношение г определяет возможные потоки информации в системе. Если dirdj выполняется, то возможен поток информации между доменами di и dj. Если данное отношение не выполняется, то поток информации между доменами запрещен. В связи с тем что dirdj, поток информации внутри домена разрешен. Это определение ничего не говорит о содержании политики безопасности. Оно показывает только то, что есть политика безопасности.
По аналогии с функцией 7Г, заменив команды в Л и субъектов в С и G на домены защиты, можно определить функцию 7Г . [32] Допустим d Є D, с Є С и cs Є С . Тогда ird {v) = і/, где и - пустая последовательность. Если dom(c)rd, то 7Td/(cs,c) = ird (cs)c, иначе 7rd/(cs,c) = 7rd/(ce). Это определение утверждает, что если с взаимодействует с доменом d, то с будет видима в данном домене. Отсюда следует определение безопасности в смысле невмешательства. [32] Допустим, система состоит из множества доменов D. Тогда система безопасна в смысле невмешательства по отношению к политике г, если Р (с, T (cs, 7о)) = Р {с, Т {щ,(с8),а0)). [32] Допустим, с Є С и dom(c) Є D. Допустим, dom(c) есть отношение эквивалентности для состояний системы X. Тогда dom(c) непротиворечиво для выхода, если аа dom{c) аь влечет Р(с, аа) = Р{с, аь). Два состояния эквивалентны по выходу, если для субъектов в dom(c) применяется одинаковая защита выхода для обоих состояний после выполнения команды с. [32]
Если сравнить два подхода к определению невмешательства, то можно сделать следующее замечание. Первый подход отталкивается от определений множества субъектов, команд и ограничений на них. Вследствие этого определение политики безопасности (определение 5), так же как и формулировка основной теоремы безопасности для модели Белла - ЛаПадула, ссылается само на себя. Второй подход решает данную проблему за счет того, что определение невмешательства следует из определения политики безопасности. С другой стороны, во втором подходе определение доменов защиты скрывает отношения между субъектами, командами и требованиями невмешательства.
Модель невмешательства ближе к интуитивному понятию безопасности, чем модель Белла - ЛаПадула. Кроме того, модель невмешательства запрещает многие скрытые логические каналы, которые остаются при реализации примитивной модели Белла - ЛаПадула.
Модель Белла - ЛаПадула основывается на операциях чтения и записи и не может учесть наличие скрытых логических каналов в системе. Информационные модели, в частности модель невмешательства, рассматривают потоки информации в системе и могут определить любую операцию процесса как запись. Данное положение позволяет использовать модель невмешательства для описания скрытых логических каналов. [32]
Определение пропускной способности скрытых каналов
Как уже было указано выше, скрытый логический канал может быть образован переменной, которая может быть представлена некоторым объектом информационной системы, либо являться функцией от времени определенной ее характеристики. Причем эта переменная должна быть доступна как для прямой или косвенной записи высокоуровневым субъектом так и для чтения низкоуровневым. Также скрытый логический канал может использовать несколько таких переменных в целях резервирования или организации параллельной передачи данных, а также двусторонней синхронизации. Для синхронизации может также быть использован таймер реального времени.
Поэтому основной целью при идентификации скрытых логических каналов должен стать тщательный анализ всех внутренних объектов информационной системы, включая аппаратное обеспечение, операционные системы и программное обеспечение с целью поиска разделяемых ресурсов доступных субъектам разных уровней. Также следует рассмотреть технические аспекты при самой реализации системы для выявления объектов, воздействие на которые приводит к видимым изменением временных характеристик системы, и прежде всего производительности. Особое внимание также следует обращать на использование системного таймера реального времени.
Результатом такого анализа должно стать либо полное устранение потенциального скрытого логического канала либо уменьшение его пропускной способности делающего его практическую реализацию нецелесообразной [32].
Основными источниками для проведения такого анализа могут служить: Конструкторская документация, которая в соответствии с требованиями ФСТЭК должна предоставляться для автоматизированных систем всех классов защиты; Документация на аппаратное обеспечение включающая описания команд, адресов ввода/вывода, а также исходные тексты прошивок flash памяти; Исходные тексты операционной системы и программного обеспечения; Детальное описание модели использованной политики безопасности.
Преимуществом использования этих источников является то, что на их основе можно составить достаточно полное представление об исследуемой системе. Однако оно сводится к минимуму тем фактом, что информация содержащаяся в этих источниках может достигать очень большого объема, и ее анализ может составить достаточно серьезную проблему. К тому же, в документации зачастую не содержатся описания принципов внутренней реализации компонентов устройств, которые даже при таком детальном анализе так и остаются “черным ящиком”. [10]
Для упрощения такого сложного анализа на практике применяется анализ политики безопасности на основе формального описания компонентов участвующих во взаимодействии процессов. Преимуществом такого подхода является то, что на его основе гораздо проще выявить возможные потоки информации и выделить среди них такие, которые будут являться скрытыми логическими каналами исходя из его определения с точки зрения политики безопасности. Кроме этого, в этом случае, очень часто удается свести такое формальное описание к моделям, которые имели место ранее и появляется возможность быстро дать заключение о наличии тех или иных скрытых логических каналах, которые уже были обнаружены ранее в похожих вычислительных системах.
К недостаткам этого подхода можно отнести то, что формальное описание не дает полной характеристики системы, в частности, оно не дает возможности выявить потенциальные скрытые логические каналы являющихся следствием использования особенностей реализации аппаратного обеспечения, а также тех, которые используют особенности метода разработки программного обеспечения. [10]
Кроме этого, формальный метод предполагает, что с каждым объектом ин формационной системы будет связан определенный уровень доступа. Однако, как описано в [5], скрытые логические каналы используют объекты обычно не предназначающиеся для передачи данных. Соответственно, в рамках формального метода, эти объекты не смогут получить классификацию по уровню доступа.
Несмотря на множество указанных недостатков, этот метод является достаточно простым и поэтому его применение считается целесообразным. Более того, на его основе было разработано несколько практических методов по идентификации скрытых логических каналов.
Одним из первых появился наиболее простой метод синтаксического анализа информационных потоков. [10] Он описывает все информационные потоки выражениями специального языка. Например, выражение “а: =Ь” всегда определяет информационный поток Ь - а когда Ь меняет свое значение. Аналогично, выражение “if v=k then w:=b else w:=c” определяет информационный поток V — w. Кроме этого, метод также определяет политику безопасности как “если существует информационный поток от переменной х к переменной у, тогда уровень секретности у должен доминировать над уровнем секретности х"
При практическом использовании этого метода весь информационный обмен описывается подобными выражениями для потоков. При описании рассматриваются взаимодействия внутри операционной системы и программного обеспечения входящего в ее состав, а так же и между собой. Затем выражения проверяются на корректность и соответствие политики безопасности. Если выражение проверить не удается, например в случае неоднозначности, делается вывод о том, что рассматриваемый информационный поток может привести к образованию скрытого логического канала. [10]
Для автоматизации этого процесса было разработано специальное программное обеспечение, при помощи которого, как уже было указано выше, и производился автоматизированный анализ ядра операционной системы Secure Xenix [9]. Описание программного обеспечения автоматизирующих анализ информационной системы этим методом можно найти в [10].
Построение модели скрытого логического канала в распределенной среде
К наиболее важным факторам влияющим на пропускную способность скрытых логических каналов передачи данных относятся наличие шума и задержек. К источникам шума, показанным на рис. 2.2, могут относится другие процессы использующие для своей работы тот же самый разделяемый ресурс, а источником задержек часто служит планировщик операционной системы. Причем, в общем случае, чем выше загрузка системы, тем чаще идет обращение к разделяемому ресурсу и соответственно повышается уровень шума и увеличиваются задержки. Следовательно, такие процессы и планировщик могут значительно снизить общую пропускную способность скрытого логического канала.
Также, в соответствии с теорией информации, пропускная способность зависит и от схемы кодирования информации. Однако, при анализе скрытых логических каналов часто допускается, что алфавит состоит из двух символов “О” и “1”. Это допущение основано на том факте, что в подавляющем числе сценариев реализации скрытых логических каналов, именно при такой схеме кодирования достигается максимальная пропускная способность. Хотя оно и не позволяет максимально точно оценить пропускную способность, однако это во многом облегчает процедуру анализа.
Значительную трудность также представляет определение времени задержки, так как в некоторых случаях запись или чтение разделяемого ресурса а также изменение его состояния соответствующее значениям битов “О” и “1” реализуется на основе разных сценариев. К такому же эффекту могут приводить особенности реализации информационной системы, например, работы планировщика операционной системы использующего алгоритмы для обеспечения качества обслуживания. Его влияние будет особенно заметно в том случае, когда два процесса имеют разные приоритеты.
В распределенных системах основными причинами возникновения задержки являются очереди на передачу по линиям связи. Они могут возникать не только в системе непосредственно выполняющей передачу, а также на сетевом оборудовании и других транзитных узлах. При этом, размер очереди также напрямую зависит от множества различных факторов, среди которых можно выделить текущую загрузку линии связи, ее качество, число промежуточных узлов и многие другие. Большинство из них можно отнести к внешним факторам, особенно когда распределенная система строится на базе сетей общего пользования и Интернет. Соответственно, в этом случае, даже при низкой загрузке самой распределенной системы, задержки при передаче данных могут быть очень большими, а их величина изменяться во времени.
В общем случае, когда воздействия внешних факторов на информационную систему не происходит, очевидно, что величина времени задержки будет зависеть исключительно от особенностей реализации системы. При этом, необходимо учитывать следующие основные особенности: Производительность аппаратного обеспечения (скорость работы дисков, время доступа к оперативной памяти и производительность центрального процессора); Конфигурация системы (объем оперативной памяти); Конфигурация компонентов и программного обеспечения (приоритеты). Наиболее очевидной является зависимость времени задержек от объема оперативной памяти, так как выполнение процесса будет замедлятся в результате дополнительных затрат времени на чтение данных с диска, которые не помещаются в оперативной памяти.
В случае когда организована параллельная передача данных, самым простым способом оценки является сложение пропускной способности отдельных логических каналов [10].
Метод расчета пропускной способности скрытых логических каналов основанный на теории информации впервые был представлен Милленом [8]. Этот метод предполагает, что исследуемый канал является скрытым логическим каналом без шума, а в информационной системе не существует других процессов кроме отправителя и получателя. Время затрачиваемое процессами на синхронизацию пренебрежимо мало. Эти предположения не только позволяют упростить анализ, но также являются необходимыми, когда целью расчета является получение значения максимально возможной пропускной способности скрытого логического канала.
В таких условиях, передачу по скрытому логическому каналу можно представить в виде конечного автомата и изобразить его модель в виде графа. Как уже было указано выше, подавляющее число скрытых логических каналов используют схему кодирования информации состоящую из двух символов “0” и “1”. Соответственно, в этом случае автомат, граф которого представлен на рис