Модель Белла — Лападулы — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.
Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом Лападулой, к созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США[1][2][3]. Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.
Модель Белла — Лападулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории — субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода.
Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.
Основными правилами, обеспечивающими разграничение доступа, являются следующие:
Субъект с уровнем доступа может читать информацию из объекта с уровнем секретности тогда и только тогда, когда преобладает над . Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности совершенно секретно, то ему будет отказано в этом.
Субъект с уровнем секретности xs может писать информацию в объект с уровнем безопасности xо только если xо преобладает над . Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.
Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.
Оператор отношения
обладает следующими свойствами:
Оператор наименьшей верхней границы определяется следующим отношением:
Оператор наибольшей нижней границы определяется следующим отношением:
Исходя из определения этих двух операторов можно показать, что для каждой пары существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.
Система в модели Белла — Лападулы состоит из следующий элементов:
Состояние называется достижимым в системе , если существует последовательность Начальное состояние является достижимым по определению.
Состояние системы называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:
Состояние системы называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:
Состояние называется безопасным, если оно безопасно по чтению и по записи.
Система называется безопасной, если её начальное состояние v0 безопасно, и все состояния, достижимые из путём применения конечной последовательности запросов из , безопасны.
Система безопасна тогда и только тогда, когда выполнены следующие условия:
Докажем необходимость утверждения
Пусть система
безопасна. В этом случае начальное состояние
безопасно по определению. Предположим, что существует безопасное состояние
, достижимое из состояния
, и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние
будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным по записи. В обоих случаях мы получаем противоречие с тем, что состояние
является безопасным.
Докажем достаточность утверждения.
Система
может быть небезопасной в двух случаях:
В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:[источник не указан 2446 дней]
Для улучшения этой статьи желательно: |
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .