Модель Белла — Лападулы

Модель Белла — Лападулы  — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

История[править | править код]

Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом Лападулой, к созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США^[1][2][3]. Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

Особенности[править | править код]

Модель Белла — Лападулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории — субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.
Основными правилами, обеспечивающими разграничение доступа, являются следующие:

Простое свойство безопасности (The Simple Security)[править | править код]

Субъект с уровнем доступа ${\displaystyle x_{s}}$ может читать информацию из объекта с уровнем секретности ${\displaystyle x_{o}}$ лишь тогда, когда ${\displaystyle x_{s}}$ преобладает над ${\displaystyle x_{o}}$. Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности "совершенно секретно", то ему будет отказано в этом.

Свойство * (The *-property)[править | править код]

Субъект с уровнем секретности x_s может писать информацию в объект с уровнем безопасности x_о только если x_о преобладает над ${\displaystyle x_{s}}$. Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Дискреционное свойство безопасности (The Discretionary Security Property)[править | править код]

Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.

Формальное описание модели[править | править код]

Обозначения[править | править код]

• ${\displaystyle S\ }$ — множество субъектов;
• ${\displaystyle O\ }$ — множество объектов, ${\displaystyle S\subset O}$;
• ${\displaystyle R=\{r,\ w\}}$ — множество прав доступа, ${\displaystyle r\ }$ — доступ на чтение, ${\displaystyle w\ }$ — доступ на запись;
• ${\displaystyle L=\{U,SU,C,S,TS\}\ }$ — множество уровней секретности, ${\displaystyle U\ }$ — Unclassified, ${\displaystyle SU\ }$ — Sensitive but unclassified, C - Confidential, ${\displaystyle S\ }$ — Secret, ${\displaystyle TS\ }$ — Top secret;
• ${\displaystyle \Lambda =(L,\leq ,\bullet ,\otimes )}$ — решётка уровней секретности, где:
  • ${\displaystyle \leq }$ — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
  • ${\displaystyle \bullet }$ — оператор наименьшей верхней границы;
  • ${\displaystyle \otimes }$ — оператор наибольшей нижней границы.
• ${\displaystyle V\ }$ — множество состояний системы, представляемое в виде набора упорядоченных пар ${\displaystyle (F,M)\ }$, где:
  • ${\displaystyle F:S\cup O\rightarrow L}$ — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
  • ${\displaystyle M\ }$ — матрица текущих прав доступа.

Оператор отношения ${\displaystyle \leq }$ обладает следующими свойствами:

• Рефлексивность: ${\displaystyle \forall a\in L:a\leq a}$, данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.
• Антисимметричность: ${\displaystyle \forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}=a_{1}}$, свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
• Транзитивность: ${\displaystyle \forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}}$, свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Оператор наименьшей верхней границы ${\displaystyle \bullet }$ определяется следующим отношением:

${\displaystyle a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\rightarrow (a'\leq a_{1}\vee a'\leq a_{2}))}$

Оператор наибольшей нижней границы ${\displaystyle \otimes }$ определяется следующим отношением:

${\displaystyle a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1}\And a'\leq a_{2})\rightarrow (a'\leq a))}$

Исходя из определения этих двух операторов можно показать, что для каждой пары ${\displaystyle a_{1},a_{2}\in L}$ существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ в модели Белла — Лападулы состоит из следующих элементов:

• ${\displaystyle \nu _{0}\ }$ — начальное состояние системы;
• ${\displaystyle \mathbb {R} \ }$ — множество прав доступа;
• ${\displaystyle T:V\times R\rightarrow V}$ — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Определения состояния безопасности[править | править код]

Состояние ${\displaystyle \nu \ }$ называется достижимым в системе ${\displaystyle \Sigma =(\nu _{0},R,T)}$, если существует последовательность ${\displaystyle \{(r_{0},\nu _{0}),...,(r_{n-1},\nu _{n-1}),(r_{n},\nu _{n})\}:T(r_{i},\nu _{i})=\nu _{i+1}~\forall i=0,n-1}$ Начальное состояние ${\displaystyle \nu _{0}\ }$ является достижимым по определению.

Состояние системы ${\displaystyle (F,M)}$ называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: ${\displaystyle \forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)}$

Состояние системы ${\displaystyle (F,M)}$ называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта: ${\displaystyle \forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)}$

Состояние ${\displaystyle (F,M)}$ называется безопасным, если оно безопасно по чтению и по записи.

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ называется безопасной, если её начальное состояние ${\displaystyle \nu _{0}\ }$ безопасно, и все состояния, достижимые из ${\displaystyle \nu _{0}\ }$ путём применения конечной последовательности запросов из ${\displaystyle R\ }$, безопасны.

Основная теорема безопасности Белла — Лападулы[править | править код]

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ безопасна тогда и только тогда, когда выполнены следующие условия:

1. Начальное состояние ${\displaystyle \nu _{0}\ }$ безопасно.
2. Для любого состояния ${\displaystyle \nu \ }$, достижимого из ${\displaystyle \nu _{0}\ }$ путём применения конечной последовательности запросов из ${\displaystyle R\ }$, таких, что ${\displaystyle T(\nu ,r)=\nu ^{*},\nu =(F,M)}$ и ${\displaystyle \nu ^{*}=(F^{*},M^{*})}$, для ${\displaystyle \forall s\in S,\forall o\in O}$ выполнены условия:
   1. Если ${\displaystyle r\in M^{*}[s,o]}$ и ${\displaystyle r\notin M[s,o]}$, то ${\displaystyle F^{*}(o)\leq F^{*}(s)}$
   2. Если ${\displaystyle r\in M[s,o]}$ и ${\displaystyle F^{*}(s)<F^{*}(o)}$, то ${\displaystyle r\notin M^{*}[s,o]}$
   3. Если ${\displaystyle w\in M^{*}[s,o]}$ и ${\displaystyle w\notin M[s,o]}$, то ${\displaystyle F^{*}(s)\leq F^{*}(o)}$
   4. Если ${\displaystyle w\in M[s,o]}$ и ${\displaystyle F^{*}(o)<F^{*}(s)}$, то ${\displaystyle w\notin M^{*}[s,o]}$

Недостатки[править | править код]

В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:

• Запрет записи «вниз». В модели Белла — Лападулы невозможна запись от объектов с более высоким уровнем конфиденциальности к объектам с более низким уровнем. Например, невозможно переписать сообщение класса top secret в класс secret, хотя иногда это бывает необходимо^[4].
• Отсутствие многоуровневых объектов. Допускается чтение и запись информации между объектами только одного уровня. Например, при чтении информации уровня конфиденциальности unclassified из сообщения класса secret, система будет вынуждена присвоить читаемой информации класс secret^[4].
• Отсутствие универсальности применения. Например, в военных системах передачи сообщений, должны определяться особые правила безопасности, которые отсутствуют в других приложениях модели. Такие правила не описаны моделью Белла — Лападулы, и поэтому должны быть определены вне модели^[6]
• Как и для других моделей мандатного управления доступом, характерно наличие скрытых каналов передачи информации.

Удаленное чтение[править | править код]

В распределенной системе чтение инициируется запросом записи в объект с более низким уровнем секретности, что является нарушением правил классической модели Белла — Лападулы.

См. также

• Информационная безопасность
• Мандатное управление доступом
• Избирательное управление доступом
• Модель Take-Grant
• Модель систем военных сообщений

Примечания[править | править код]

Литература[править | править код]

• Цирлов В. Л. Основы информационной безопасности автоматизированных систем. — Р.: Феникс, 2008. С. 40-44 ISBN 978-5-222-13164-0
• Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Издательский центр «Академия», 2005. С. 55-66 ISBN 5-7695-2053-1
• Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен», 1996. С 52-55
• А. П. Баранов, Н. П. Борисенко, П. Д. Зегжда, А. Г. Ростовцев, Корт С. С. — Математические основы информационной безопасности. — М.: Издательство Агентства «Яхтсмен», 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf

Для улучшения этой статьи желательно: Проставить сноски, внести более точные указания на источники. Проверить достоверность указанной в статье информации. На странице обсуждения должны быть пояснения. Оформить статью по правилам. Исправить статью согласно стилистическим правилам Википедии. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.