Модель Белла-ЛаПадулы. Решѐтка уровней безопасности.
Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими уровнями секретности. В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила:
1. Простое правило безопасности (Simple Security, SS).
Субъект с уровнем секретности xs может читать информацию из объекта с уровнем секретности xo тогда и только тогда, когда xs преобладает над xo.
2. *-свойство (*-property).
Субъект с уровнем секретности xs может писать информацию в объект с уровнем секретности xo в том и только в том случае, когда xo преобладает над xs.
Для первого правила существует мнемоническое обозначение No Read Up, а для второго –
No Write Down.
Формальное описание системы:
- S – множество субъектов;
- O – множество объектов, S ⊂ O;
- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;
- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;
- Λ = (L,≤,
·,⊗) - решётка уровней секретности;
- V – множество состояний системы, представляемое в виде набора
упорядоченных пар (F, M), где:
- F : S ∪O → L - функция уровней секретности, ставящая в соответствие
каждому объекту и субъекту в системе определённый уровень
секретности;
- M – матрица текущих прав доступа.
Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность. Модель в настоящее время используется при организации АС работающих с информацией, составляющих гостайну.
Решётка уровней секретности. Решёткой Λ называется алгебраическая система вида (L,≤,
·,⊗), где:
- ≤ - оператор, определяющий частичное нестрогое отношение порядка для
уровней секретности;
-
· - оператор наименьшей верхней границы;
- ⊗ - оператор набольшей нижней границы.
Отношение ≤ обладает следующими свойствами:
1. Рефлексивность: ∀a∈ L : a ≤ a .
С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.
2. Антисимметричность: ∀a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a = a .
Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
3. Транзитивность: ∀a ,a ,a ∈ L : ((a ≤ a )&(a ≤ a ))→ a ≤ a .
Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.
Операторы наименьшей верхней границы • и наибольшей нижней границы ⊗ определяются следующим образом:
Нетрудно показать, что для каждой пары a a ∈ L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.