Модель Белла и Лападула

Что представляет из себя модель Белла и Лападула

Немного истории

Классическая модель Белла-ЛаПадула была реализована в 1975 году компанией MITRE Corporation дэвидом Беллом и Лоонардом ЛаПадулой. Их вдохновила система защиты, которая была реализована в правительстве США в то время.

Мандатный доступ использует ограничения на транспортировку данных от одного пользователя другому, что решает проблемы троянских коней.

Классическая MAC – модель Белла и Лападула (БЛМ)

Создание — Белл и Лападула наблюдали за тем, как передаются документы на бумажных носителях в государственных организациях между сотрудниками. Выводы:

Все субъекты и объекты в правительства США приравниваются к уровням безопасности. Для предотвращения утечки данных, к объектам с большим уровнем безопасности запрещено обращаться субъектам с низким уровнем безопасности.Первое правило БЛМ — нет чтения в верх. Субъект с уровнем безопасности Xs может обращаться к данным из объекта с уровнем безопасности Хо, только если Xs преобладает над Xo.
Субъектам в правительстве США запрещено записывать или размещать данные в объекты, которые имеют более низкий уровень секретности. К примеру выкидывать бумаги в мусорное ведро. Второе правило — нет записи вниз. субъект с уровнем безопасности Xs может записывать данные в объект уровня безопасности Xo, только если Xo сверху над Xs. Это правило решает проблему троянский коней, так как ихняя типичные действия это перенос данных с высокого уровня безопасности на низкий.

Формализация БЛМ: Если S — множество субъектов, L — решетка уровней безопасности, O — множество объектов, тогда функция F, которая определяет уровень безопасности имеет вид: F: S ∪ O → L.

V — множество состояний, которое складывается из пар (F, M). M — матрица доступа объектов к субъектам. Начальное состояние системы показывается Vo, которое имеет множество запросов к системе R — T: (V × R) →. Это процесс из состояния в состояние после выполнения запроса.

Определение 1 — состояние (F, M) может быть безопасно по чтению тогда, когда для любого из множества субъектов и объектов для допустимого чтения F(S) преобладает над F(O) — M(S, O) → F(O) > F(O).

Определение 2 — Состояние (F, M) безопасно по записи тогда, когда для любого из множества субъектов и объектов для допустимой записи M(S, O) означает, что F(O) преобладает над F(S) — M(S, O) → F(O) > F(S).

Определение 3 — Состояние безопасно тогда, когда оно безопасно по записи и чтению.

Для определения теоремы безопасности нужны три определения описаны выше. Система (Vo, R, T) которая описывается начальным состоянием Vo, функцией переходов Т и запросов к системе R, безопасна тогда, когда для любого состояния V достижимого из Vo, после реализации конечной последовательности запросов из R можно сделать переход к состоянию V × [T(Vo, R) = V ×], также принадлежащему множеству состояний. Система ∑ Vo, R, T — безопасна тогда, когда соблюденны следующие условия:

Начальное состояние Vo безопасно
Для любого состояния V, достижимого из Vo с помощью реализации конечной последовательности запросов из R, таких, что T(V, r) = V *, V = (F, M)∪V*(F*, M*), для ∀s ∈ S, ∀0 ∈ O сделаны условия:
- Если r ∈ M*[s,0] ∪ r ∉ M[s,0], то F* (0) ≤ F* (s).
- Если r ∈ M[s,0] ∪ F* ∉ (s) < F* (0), то r ∉ M*[s,0].
- Если w ∈ M*[s,0] ∪ w ∉ M[s,0], то F* (0) ≤ F* (s).
- Если w ∈ M[s,0] ∪ F* ∉ (s) < F* (0), то r ∉ w*[s,0].

Основная теорема безопасности Белла — Лападулы указывает, что если информационная система стартует работу из безопасного состояния и переход из состояния в состояние безопасное, то все состояние системы безопасны.

Доведение теоремы

Пусть система (..)0 ∑ = v R T безопасна. В таком случае начальное состояние Vo безопасно исходят начальных условий. Предположим, что есть безопасное состояние V*, достижимое из состояния V: T(V, r) = V*. Для такого перехода нарушено одно из условий 1-4. Если нарушены условия 1 или 2, то состояние V* будет небезопасным по чтению, а если нарушены условия 3-4, то небезопасным по записи. В обоих вариантах мы имеем противоречие с тем, что состояние V* есть безопасным. Докажем достаточность утверждения. Система (..)0 ∑ = V R T может быть небезопасной в двух случаях:

Если начальное состояние Vo небезопасно, однако такое утверждение противоречит условию теоремы
Если есть небезопасное состояние V*, созданное из безопасное состояние Vo путем реализации конечного числа запросов из R. Это значит, что на определенном этапе произошел переход T(V, r) = V*, где V — безопасное состояние, а V* — небезопасное. Однако условия 1-4 делают такой переход невозможным.

Заключение

Классическая модель БЛМ имеют недостатки:

Проблема доверенных субъектов. Правила БЛМ работают на администратора системы ? В любой такой системе есть доверенные субъекты и их нужно рассматривать по отдельности. Для решения проблемы нужно реализовать модели невмешательства и невыводимости.
Проблема в распределенных системах — удаленное чтение. На удаленные запросы такая модель не работает. Для решения проблемы для удаленных запросов нужно использовать другую модель.
Проблема системы Z. Жесткие системы классификации уровней безопасности.

К примеру субъект с большой степенью доверия А читает данные из объекта с таким же уровнем защиты. Субъект понизил свою уровень доверия до В (A > B). После понижения субъект может записать данные в файл с классификацией В. БЛМ никак не реагирует на такие действия. Поэтому были введены дополнительные правила, правила сильного и слабого спокойствия.

Правило слабого спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции так, что бы нарушить заданную политику безопасности.

Правила сильного спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции.

С одной стороны, правила БЛМ есть строгими, но с другой, есть много прогрехов которые были обозначены. Также отсутствует поддержка многоканальных объектов.

Смотрите также: