Курс лекций Защита Информации/Модель Белла-ЛаПадулы

Шаблон:Курс лекций Защита Информации/Текст с двух сторон В модели всем участникам процесса обработки [[../Основные понятия и определения#Защищаемая информация| защищаемой информации]] и документам, в которых она содержится назначается специальная метка, получившая название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доменирования.

Контроль доступа осуществляется в зависимости от уровня безопасности взаимодействующих сторон на основании двух правил:

1. Уполномоченное лицо ${\displaystyle \{S\}}$ имеет право читать только те документы, уровень безопасности которых не превышает его собственного уровня безопасности. Это правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами от доступа со стороны менее доверенных (низкоуровневых).
2. Уполномоченное лицо ${\displaystyle \{S\}}$ имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности. Это правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.

Система модели безопасности Белла-ЛаПадула представляется в виде [[../Основные понятия и определения#Субъект доступа| субъектов]] ${\displaystyle \{S\}}$, [[../Основные понятия и определения#Объект доступа| объектов]] ${\displaystyle \{O\}}$ и [[../Основные понятия и определения#Право доступа к информации| прав доступа]] ${\displaystyle \{R\}}$. Уровни безопасности субъектов и объектов безопасности задаются с помощью функции безопасности:

${\displaystyle F:S\cup O\to L}$

где ${\displaystyle L}$ — уровень безопасности, принадлежащей множеству уровней безопасности ${\displaystyle \{L\}}$.

Для множества уровней безопасности определена решетка уровней секретности:

${\displaystyle \mathrm{\Lambda }=(L,\le ,\bullet ,\otimes )}$

• ${\displaystyle \le }$ — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
• ${\displaystyle \bullet }$ — оператор наименьшей верхней границы;
• ${\displaystyle \otimes }$ — оператор наибольшей нижней границы.

• Рефлексивность: ${\displaystyle 8a\in L:a\le a}$, данное свойство означает, что между[[../Основные понятия и определения#Субъект доступа| субъектами]] и [[../Основные понятия и определения#Объект доступа| объектами]] одного уровня безопасности передача информации разрешена.
• Антисимметричность: ${\displaystyle \mathrm{\forall }{a}_1,a_2\in L:((a_1\le a_2)\mathrm{\&}(a_2\le a_1))\to a_2=a_1}$, свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
• Транзитивность: ${\displaystyle \mathrm{\forall }{a}_1,a_2,a_3\in L:((a_1\le a_2)\mathrm{\&}(a_2\le a_3))\to a_1\le a_3}$, свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Другое средство решетки заключается в том, что для каждой пары ${\displaystyle a_1}$ и ${\displaystyle a_2}$ элементов множества ${\displaystyle L}$ можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

1. ${\displaystyle a=a_1\bullet a_2\iff (a_1,a_2\le a)\mathrm{\&}(\mathrm{\forall }{a}^{\prime }2L:(a^{\prime }\le a)\to (a^{\prime }\le a_1\vee a^{\prime }\le a_2))}$
2. ${\displaystyle a=a_1\otimes a_2\iff (a\le a_1,a_2)\mathrm{\&}(\mathrm{\forall }{a}^{\prime }2L:(a^{\prime }\le a_1\mathrm{\&}{a}^{\prime }\le a_2)\to (a^{\prime }\le a))}$

Смысл этих определений заключается в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху (снизу) таким образом, что между ними с результирующим элементом не будет других элементов.

Функция безопасности ${\displaystyle F}$ назначает каждой паре элементов из ${\displaystyle S}$ и ${\displaystyle O}$ некоторый уровень безопасности из ${\displaystyle L}$, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор ${\displaystyle \le }$ определяет направление потоков информации.

Решетка ${\displaystyle \mathrm{\Lambda }}$ используется для описания отношений между уровнями безопасности (элементами множества ${\displaystyle L}$), которые могут являться не только целыми числами, для которых определено отношение ${\displaystyle \le }$, но и более сложными составными элементами.

В государственных организациях достаточно часто в качестве атрибутов безопасности используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множетсва. Такие атрибуты невозможно сравнивать с помощью арифметических операций. В таком случае, отношение доминирования ${\displaystyle \le }$ определяется как композиция отношений доминирования ${\displaystyle \le }$ для уровней безопасности и отношения включения множеств ${\displaystyle \subseteq }$ для наборов категорий. Отметим, что это никак не сказывается на свойствах модели, так как отношения доминирования ${\displaystyle \le }$ и включения ${\displaystyle \subseteq }$ обладают свойствами ассиметричности, транзитивности и рефлексивности. И, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку.

В мандатных моделях функция уровня безопасности ${\displaystyle F}$ вместе с решеткой уровней определяет все допустимые отношения доступа между сущностями системы, следовательно множество состояний системы ${\displaystyle U}$ представляется в виде набора упорядоченных пар ${\displaystyle (F,M)}$, где ${\displaystyle M}$ — матрица доступа, отражающая текущую ситуацию с правами доступа субъектов ${\displaystyle S}$ к объектам ${\displaystyle O}$, содержание которой аналогично матрице прав доступа в [[../Модель Харрисона-Рузза-Ульмана| модели Харрисона-Руззо-Ульмана]], но набор прав ограничен правами read и write.

Модель системы ${\displaystyle \mathrm{\Sigma }(V_0,R,T)}$ состоит из начального состояния ${\displaystyle V_0}$, множества запросов ${\displaystyle R}$ и функции переходов ${\displaystyle T:(V\times R)\to V}$, которая в ходе выполнения запроса переводит систему из одного состояния в другое.

Система, находящаяся в состоянии ${\displaystyle v\in V}$, при получении запроса ${\displaystyle r\in R}$ переходит в следующее состояние ${\displaystyle v^{*}=T(v,r)}$. Состояние ${\displaystyle v}$ достижимо в системе ${\displaystyle \mathrm{\Sigma }}$ тогда и только тогда, когда существует последовательность ${\displaystyle \{(r_0,{\nu }_0),...,(r_{n-1},{\nu }_{n-1}),(r_n,{\nu }_n)\}:T(r_i,{\nu }_i)={\nu }_{i+1}\mathrm{\forall }i=0,n-1}$. Состояния системы делятся на безопасные, в которых отношение доступа не противоречит установленным в модели правилам и небезопасные, в которых эти правила нарушаются.

Шаблон:Курс лекций Защита Информации/Определение Шаблон:Курс лекций Защита Информации/Определение Шаблон:Курс лекций Защита Информации/Определение Шаблон:Курс лекций Защита Информации/Определение

Шаблон:Курс лекций Защита Информации/Теорема

Пусть система ${\displaystyle \mathrm{\Sigma }=({\nu }_0,R,T)}$ безопасна. В этом случае начальное состояние ${\displaystyle {\nu }_0}$ безопасно по определению. Предположим, что существует безопасное состояние ${\displaystyle {\nu }^{*}}$, достижимое из состояния ${\displaystyle \nu :T(\nu ,r)={\nu }^{*}}$, и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние ${\displaystyle {\nu }^{*}}$ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным по записи. В обоих случаях мы получаем противоречие с тем, что состояние ${\displaystyle {\nu }^{*}}$ является безопасным.

Система ${\displaystyle \mathrm{\Sigma }=({\nu }_0,R,T)}$ может быть небезопасной в двух случаях:

1. В случае если начальное состояние ${\displaystyle {\nu }_0}$ небезопасно. Однако данное утверждение противоречит условию теоремы.
2. Если существует небезопасное состояние ${\displaystyle {\nu }^{*}}$ , достижимое из безопасного состояния ${\displaystyle {\nu }_0}$ путём применения конечного числа запросов из ${\displaystyle R}$. Это означает, что на каком-то промежуточном этапе произошёл переход ${\displaystyle T(\nu ,r)={\nu }^{*}}$, где ${\displaystyle \nu }$ – безопасное состояние, а ${\displaystyle {\nu }^{*}}$ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

• Недостаток основной теоремы Белла-Лападулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояний, следовательно данная теорема является избыточной по отношению к определению безопасности состояния.
• Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достижимы без потери свойства безопасности в процессе осуществления перехода.

Шаблон:Курс лекций Защита Информации/Текст с двух сторон

Шаблон:BookCat