Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение высшего

профессионального образования

«Национальный исследовательский университет «МИЭТ»

ДИСЦИПЛИНА

«Защита информации от несанкционированного доступа»

КОНСПЕКТ ЛЕКЦИИ по теме

«Модель Белла-Лападулы»

Выполнили студент МП-33

учебной группы Короленко М.К.

Проверил Пилюгин П.Л.

2018



Содержание

• 1. Мандатное управление доступом
• 1.1 Определение
• 1.2 Особенности
• 2. Модель Белла-Лападулы
• 2.1 История
• 2.2 Формальное описание модели
• 2.3 Основные положения модели
• 2.4 Варианты использования модели
• 2.4.1 Классическая модель Белла -- ЛаПадулы
• 2.4.2 Модель Белла -- ЛаПадулы, подход RW
• 2.4.3 Модель безопасности Мак-Лина
• 2.4.4 Модель совместного доступа
• 2.4.5 Модель low-water-mark
• 2.5 Достоинства модели Белла-ЛаПадулы
• 2.6 Недостатки модели Белла-ЛаПадулы
• Список используемой литературы


1. Мандатное управление доступом

мандатный модель белла лападула

Так как Модель Белла-ЛаПадулы (Bell-LaPadula model), известная также как модель “no read up, no write down”, являющаяся моделью контроля и управления доступом, основана на мандатной модели управления, следует рассмотреть данное понятие.

1.1 Определение

Мандатное управление доступом ? это разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.

Согласно требованиям ФСТЭК мандатное управление доступом или «метки доступа» являются ключевым отличием систем защиты Государственной Тайны РФ старших классов 1В и 1Б от младших классов защитных систем на классическом разделении прав по матрице доступа.

Пример: субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющему метку «для служебного пользования». В то же время, субъект «Пользователь № 1» с допуском уровня «секретно» право доступа к объекту с меткой «для служебного пользования» имеет.



1.2 Особенности

Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной политики доступа к ресурсам при защите информации ограниченного доступа. При этом данная модель доступа практически не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.

Для файловых систем, оно может расширять или заменять дискреционный контроль доступа и концепцию пользователей и групп.

Основные особенности:

· пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.

· политика безопасности системы, установленная администратором, полностью определяет доступ, и обычно пользователю не разрешается устанавливать более свободный доступ к его ресурсам чем тот, который установлен администратором пользователю.

· разрешают пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям.

· запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня.

· обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее).

Очевидно, что система, которая обеспечивает разделение данных и операций в компьютере, должна быть построена таким образом, чтобы её нельзя было «обойти». Она также должна давать возможность оценивать полезность и эффективность используемых правил и быть защищённой от постороннего вмешательства.



2. Модель Белла-Лападулы

2.1 История

Первой моделью мандатного доступа является модель, разработанная в 1972-1975 годах американскими специалистами (сотрудниками компании MITRE Corporation) Дэвидом Беллом и Леонардом ЛаПадулой. К созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США.

Возможность ее использования в качестве формальной модели отмечена в критерии TCSES ("Оранжевая книга").

Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

2.2 Формальное описание модели

Модель разграничения доступа Белла-ЛаПадулы широко применяется в различных СУБД. Схема ее функционирования приведена на рисунке 1.

Рисунок 1 Схема функционирования модели Белла-Лападулы

Пользователь (субъект) обращается к монитору обработки запросов системы разграничения доступа с запросом на доступ к объекту. Если субъект имеет соответствующие права доступа, монитор разрешает ему доступ и субъект получает данные объекта. В противном случае монитор отказывает субъекту в доступе.

Перечислим элементы, которые включает в себя модель Белла-ЛаПадулы.

Обозначения:

· - множество субъектов

· {\displaystyle O\ } - множество объектов, {\displaystyle S\subset O};

· {\displaystyle R=\{r,\ w\}}- множество прав доступа, {\displaystyle r\ } - доступ на чтение, {\displaystyle w\ } - доступ на запись;

· {\displaystyle L=\{U,SU,S,TS\}\ } - множество уровней секретности, {\displaystyle U\ }

· - Unclassified, {\displaystyle SU\ }- Sensitive but unclassified, {\displaystyle S\ } - Secret, {\displaystyle TS\ } - Top secret;

· {\displaystyle \Lambda =(L,\leq,\bullet,\otimes )}? = (L,?,, ?) - решётка уровней секретности, где:

· {\displaystyle \leq } - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

· {\displaystyle \bullet } оператор наименьшей верхней границы;

· {\displaystyle \otimes }? - оператор наибольшей нижней границы.

· {\displaystyle V\ }- множество состояний системы, представляемое в виде набора упорядоченных пар {\displaystyle (F,M)\ } где:

· {\displaystyle F:S\cup O\rightarrow L}- функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

· {\displaystyle M\ } матрица текущих прав доступа.

Оператор отношения {\displaystyle \leq }? обладает следующими свойствами:

· Рефлексивность:

{\displaystyle \forall a\in L:a\leq a}, данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.

· Антисимметричность: {\displaystyle \forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}=a_{1}}

, свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.

· Транзитивность: {\displaystyle \forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}}

, свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Оператор наименьшей верхней границы {\displaystyle \bullet } определяется следующим отношением:

{\displaystyle a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\rightarrow (a'\leq a_{1}\vee a'\leq a_{2}))}

Оператор наибольшей нижней границы {\displaystyle \otimes } ? определяется следующим отношением:

{\displaystyle a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\rightarrow (a'\leq a_{1}\vee a'\leq a_{2}))}{\displaystyle a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1}\And a'\leq a_{2})\rightarrow (a'\leq a))}

Исходя из определения этих двух операторов можно показать, что для каждой пары {\displaystyle a_{1},a_{2}\in L} существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система {\displaystyle \Sigma =(\nu _{0},R,T)} = (в модели Белла -- Лападулы состоит из следующий элементов:

· {\displaystyle \nu _{0}\ } - начальное состояние системы;

· {\displaystyle \mathbb {R} \ }- множество прав доступа;

· {\displaystyle T:V\times R\rightarrow V} - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

2.3 Основные положения модели

Для математического доказательства безопасности модель Белла-ЛаПадулы использует концепцию конечных автоматов.

На основе текущей политики безопасности в модели Белла-ЛаПадулы каждому субъекту и каждому объекту назначаются собственные уровни секретности. Уровни секретности образуют иерархию от самого высокого до самого низкого. Для предоставления доступа к объекту уровень секретности субъекта сравнивается с уровнем секретности объекта.

В модели Белла-ЛаПадулы под безопасностью понимается такое состояние системы, при котором обеспечивается конфиденциальность информации, то есть такое состояние системы (субъектов и объектов), при котором исключается несанкционированный доступ.

В качестве входных воздействий на систему выступают операции доступа субъектов «читать» и «записывать». В результате этих воздействий система может переходить как в безопасные состояния, так и в небезопасные. Например, если в результате выполнения какой-либо операции данные становятся доступными для субъектов с более низким допуском (стал возможен несанкционированный доступ), то это означает, что система перешла в небезопасное состояние.

Основные правила модели Беллы-ЛаПадулы представлены на рисунке 2.

Рисунок 2 Правила модели Беллы-ЛаПадулы

Диаграмма информационных потоков изображена на рисунке 3.



Рисунок 3 Диаграмма информационных потоков

Основные положения модели Белла-ЛаПадулы:

1. Модель системы представляется совокупностью:

· Множества объектов доступа;

· Множества субъектов доступа;

· Множества прав доступа (в классической модели Белла-ЛаПадулы содержит

· два элемента - и );

· Матрицы доступа ;

· Решетки уровней безопасности субъектов и объектов системы;

· Функции , отображающей элементы множеств и на

· множество ;

· Множества состояний системы , которое определяется множеством упорядоченных пар ;

· Начального состояния ;

· Набора запросов субъектов на доступ (осуществление операций) к объектам,

· выполнение которых переводит систему в новое состояние;

· Функции переходов , которая переводит систему из одного состояния в другое при выполнении запросов из .

2. Состояния системы разделяются на опасные и безопасные по чтению и по записи.

·

Простое правило безопасности (simple security rule - ss-правило): состояние называется безопасным по чтению тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта:

·

Правило *-свойства (*-property rule, star property rule): состояние называется безопасным по записи (или *- безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта:

Это правило говорит о том, что субъект не может записывать данные на меньший уровень безопасности, чем его допуск.

Простое правило безопасности это правило «не читать сверху» (no read up - NRU), а правило *-свойства - правило «не записывать вниз» (no write down - NWD)

· Cтрогое правило *-свойства (strong *-property rule) говорит о том, что субъект может выполнять функции чтения и записи только на том же уровне безопасности, что и его допуск - не выше и не ниже. Таким образом, чтобы субъект имел возможность чтения и/или записи объекта, его уровень допуска должен совпадать с классификацией объекта.

· Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

Понятия, введенные выше, выражают правила NRU и NWD политики мандатного доступа. На основании них сформирован следующий критерий безопасности:

Система безопасна тогда и только тогда, когда её начальное состояние безопасно и все состояния, достижимые из путем применения конечной последовательности запросов из безопасны.

Замечание. В качестве элементов Q могут быть запросы:

1.Изменение множества текущих доступов b (получить или отменить доступ).

2.Изменение функции fL (изменить уровень конфиденциальности)

3. Изменение множества разрешений на доступ A (добавить разрешение в A или удалить разрешение из A)

На основании данного критерия была сформулирована и доказана «Основная теорема безопасности» (ОТБ).

Основная теорема безопасности

Система безопасна тогда и только тогда, когда:

1. Состояние безопасно

2. Функция переходов такова, что для любого состояния , достижимого из при выполнении конечной последовательности запросов из множества таких, что при , где и , переходы системы из состояния в состояние подчиняются следующим ограничениям для и для

· Если и , то ;

· Если и , то ;

· Если и , то ;

· Если и , то

Четыре ограничения на функцию переходов фактически выражают требования соблюдения в каждом состоянии системы правил NRU и NWD независимо от предыстории доступов конкретных субъектов к конкретным объектам.

Подробнее разберем, что означают эти ограничения:

1. если какой-либо субъект имеет разрешение на доступ к какому-либо объекту и в предыдущем состоянии с матрицей доступа и в новом (следующем) состоянии с матрицей доступа , то и в новом состоянии это возможно только лишь при доминировании его уровня безопасности над уровнем объекта

2. если какой-либо субъект в предыдущем состоянии имел права чтения какого-либо объекта , а при переходе в новое состояние понизил свой уровень безопасности ниже уровня безопасности объекта , то право чтения по матрице доступа соответствующего субъекта к соответствующему объекту должно быть аннулировано;

3. если как в предыдущем, так и в следующем состоянии какой-либо субъект по матрице доступа имеет право записи в какой-либо объект , то это возможно только лишь при условии, что и в новом состоянии уровень безопасности объекта будет доминировать над уровнем безопасности субъекта: ;

4. если в предыдущем состоянии по матрице доступа какой-либо субъект имел право записи в какой-либо объект , а при переходе системы в новое состояние уровень объекта понизился до уровня ниже уровня субъекта , то право записи субъекта в данный объект по матрице доступа в новом состоянии должно быть аннулировано.

Доказательство теоремы ОТБ:

1. Необходимость. Предположим, что система безопасна. Тогда состояние безопасно по определению. Предположим также, что существует некоторое состояние ,достижимое из состояния путем исполнения конечной последовательности запросов из ,при которых , и при этом одно из первых двух ограничений (по чтению) не выполняется. Тогда, хотя состояние и является достижимым, но, согласно «Простому правилу безопасности», не является безопасным по чтению. Если же в состоянии не выполняется одно из двух последних ограничений (по записи), то, согласно «Правилу *-свойства», не будет безопасным по записи. Таким образом, условия теоремы необходимы для обеспечения безопасности системы.

2. Достаточность. Предположим, что система небезопасна. Тогда должно быть небезопасным либо состояние либо состояние , достижимое из состояния путем исполнения конечной последовательности запросов из . Исходное состояние безопасно по условию теоремы. Тогда, так как безопасно, небезопасно какое-либо состояние , переход в которое осуществляется из безопасного состояния : . Однако это противоречит четырем ограничениям на переходы по условиям теоремы. Следовательно, такой переход невозможен, и данное утверждение (о том, что система небезопасна) неверно.

Таким образом, условия теоремы достаточны для безопасности системы .

Теорема доказана.

Основной смысл теоремы ОТБ:

«Если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно».

Недостаток основной теоремы безопасности Белла-ЛаПадулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния. Кроме того, все состояния, достижимые из безопасного состояния при определенных ограничениях, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода.

2.4 Варианты использования модели

2.4.1 Классическая модель Белла -- Лападулы

Классическая модель Белла-Лападулы построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа.

Система защиты - совокупность:

- множества субъектов S

- множества объектов O

- множества прав доступа R (read, write, append и execute)

- множество возможных множеств текущих доступов B={b?SxOxR}

- матрицы разрешенных доступов A[s,o]?R

- решетки уровней секретности L субъектов и объектов (U<C<S<TS)

- функции уровней безопасности fL, (fs, fo, fc )для множеств S и O в L, где:

fо - уровень доступа объекта

fs - уровень доступа субъекта

fc - текущий уровень доступа субъекта fc ? fs

-множества состояний системы V, которое определяется множеством (b,fL,A) - начального состояния v0.

-набора запросов Q субъектов к объектам

-множество ответов по запросам D={yes,no,error}

-множество действий системы W={w=(q,d,v*,v)}

-множество значений времени N0={0,1,….}

-множество X функций x: N0 Q, задающих все возможные последовательности запросов к системе

-множество Y функций y: N0 D, задающих все возможные последовательности ответов на запросы к системе

-множество Z функций z: N0 V, задающих все возможные последовательности состояний системы.

У(Q,D,W,zo)?XxYxZ называется системой, если выполняется (x,y,z)?У(Q,D,W,zo) тогда и только тогда, когда (xt,yt,zt+1,zt) ?W для каждого, t? N0 где zo -начальное состояние системы.

При этом каждый набор (x,y,z)?У(Q,D,W,zo) называется реализацией системы, a (xt,yt,zt+1,zt) ?W -действием системы ?t? N0.

Безопасность системы определяется с помощью трех свойств:

1) ss-свойства простой безопасности (simple security);

2) *- свойства "звезда";

3) ds-свойства дискретной безопасности (discretionary security).

Доступ (s,o,r) обладает ss-свойством относительно fL= (fs,fo,fc), где

fs - функция уровней доступа субъектов,

fo - функция уровней конфиденциальности объектов,

fc - функция текущих уровней доступа субъектов, когда выполняется одно из условий:

r {execute;append};

r {read;write} и fs(s)?fo(o).

Доступ (s,o,r) обладает *-свойством относительно fL= (fs,fo,fc), когда выполняется одно из условий:

r=execute;

r=append и fo(o) ? fc(s);

r=read и fc(s)?fo(o).;

r=write и fs(s)=fo(o).

Состояние системы (b,f,A) обладает ss-свойством (*-свойством), когда в нём все доступы обладают ss-свойством (*-свойством) относительно fL.

Состояние системы (b,f,a) обладает ds-свойством, когда в нём для каждого доступа (s,o,r) выполняется условие ra[s;o].

Состояние системы (b,f,A)?V обладает *-свойством, относительно подмножества S'?S, если каждый элемент (s,o,r)?b, где s?S' обладает *-свойством относительно fL. При этом S\S' называются множеством доверенных субъектов, т.е. субъектов, имеющих право нарушать политику безопасности.

Состояние системы (b,f,A) называется безопасным, если обладает *-свойством относительно S', ss-свойством и ds-свойством.

Реализация системы (x,y,z)?У(Q,D,W,zo) обладает ss-свойством (*-свойством, ds-свойством), если в последовательности (zo,z1,...) каждое состояние обладает ss-свойством (*-свойством, ds-свойством).

Система У(Q,D,W,zo) обладает ss-свойством (*-свойством, ds-свойством), если каждая ее реализация обладает ss-свойством (`*-свойством, ds-свойством).

Система У(Q,D,W,zo) называется безопасной, если она обладает ss-свойством, *-свойством, ds-свойством одновременно.

Замечания к классической модели:

Во-первых, из обладания доступом *-свойством относительно fL следует обладание этим доступом ss-свойством относительно fL.

Во-вторых, из обладания системой ss-свойством следует, что в модели БЛ выполняется запрет на чтение вверх, принятый в мандатной (полномочной) политике безопасности. Кроме того, ss-свойство не допускает модификацию с использованием доступа write, если fs(s) <f0(o). Таким образом, функция fs(s) определяет для субъекта s верхний уровень секретности объектов, к которым он потенциально может получить доступ read или write.

В-третьих, если субъект s может понизить свой текущий доступ до fc(s) =f0(o), то он может получить доступ write к объекту о, но не доступ read к объекту о', с уровнем f0(o')>fc(s). Это проиллюстрировано на рисунке 4.

Рисунок 4

Хотя при этом, возможно, выполняется fs(s) = f0(o), и в каких-то других состояниях системы субъект s может получить доступ read к объекту о' Таким образом, * -свойство исключает появление в системе канала утечки информации сверху вниз и соответствует требованиям мандатной (полномочной) политики безопасности.

Теорема А1.

Система У(Q,D,W,zo) обладает ss-свойством для любого начального состояния zo, обладающего ss-свойством, тогда и только тогда, когда ?(q,d,(b*,A*,f*), (b,A,f)) ?W удовлетворяет условиям:

Условие 1. ?(s,o,r)?b*\b обладает ss-свойством относительно f*

Условие 2. Если (s,o,r)?b и не обладает ss-свойством относительно f*, то (s,o,r)?b*.

Теорема А2.

Система У(Q,D,W,zo) обладает *-свойством относительно подмножества S'?S для любого начального состояния zo, обладающего *-свойством, тогда и только тогда, когда ?(q,d,(b*,A*,f*),(b,A,f))?W удовлетворяет условиям:

Условие 1. ?(s,o,r)?b*\b обладает *-свойством относительно f*

Условие 2. Если (s,o,r)?b и не обладает *-свойством относительно f*, то (s,o,r)?b*.

Теорема АЗ.

Система обладает ds-свойством для любого начального состояния zo, обладающего ds-свойством, тогда и только тогда, когда ?(q,d,(b*,A*,f*),(b,A,f))?W удовлетворяет условиям:

Условие 1. ?(s,o,r)?b*\b выполняется r?a(s,o)

Условие 2 Если (s,o,r)?b и r ? a(s,o), то (s,o,r)?b*.

Теорема А1.

Достаточность.

Пусть выполнены условия 1 и 2 и пусть (x,y,z)?У(Q,D,W,zo) - произвольная реализация системы.

1. ?(s,o,r)?b*\b обладает ss-свойством относительно f*

2. Если (s,o,r)?b и не обладает ss-свойством относительно f*, то (s,o,r)?b

Тогда для ?t?N0 (xt,уt,(bt+1,At+1,ft+1),(bt,At,ft))?W, где zt+1=(bt+1,At+1,ft+1), zt=(bt,At,ft)

Для любого (s,o,r)? bt+1 выполняется или (s,o,r)? bt+1\bt, или (s,o,r)? bt.

Из условия 1 следует, что состояние системы zt+1 пополнилось доступами, которые обладают ss-свойством относительно f*. Из условия 2 следует, что доступы из bt, которые не обладают ss-свойством относительно f*, не входят в bt+1. Следовательно, ?(s,o,r)? bt+1 обладают ss-свойством относительно f* и по определению состояние zt+1 обладает ss-свойством для ?t?N0. Так как по условию и состояние zo обладает ss-свойством, то выбранная нами произвольная реализация (x,y,z) также обладает ss-свойством.

Необходимость.

Пусть система У(Q,D,W,zo) обладает ss-свойством. Будем считать, что в множество W входят только те действия системы, которые используются в ее реализациях. Тогда для каждого (x,у,(b*,A*,f*),(b,A,f))?W существует реализация (x, у, z)?У(Q,D,W,zo) и существует t?N0: (x,у,(b*,A*,f*),(b,A,f))= (xt,уt,(bt+1,At+1,ft+1),(bt,At,ft))=(xt,уt,zt+1,zt) Так как реализация (x, у, z) обладает ss-свойством, то и состояние zt+1=(b*,A*,f*) обладает ss-свойством по определению. Следовательно, условия 1 и 2 очевидно выполняются. Необходимость доказана.

Пример.

Пусть субъект запрашивает доступ «read» на объект o'. Возможны следующие ответы по запросу:

1.Запретить субъекту s запрашиваемый им доступ «read» на объект o?.

2.Закрыть доступ «write» на объект o. Повысить текущий уровень конфиденциальности fc(s) до High. Разрешить субъекту s запрашиваемый им доступ «read» на объект o?.

2.4.2 Модель Белла -- Лападулы, подход RW

При изучении классической модели Белл-ЛаПадулы следует иметь ввиду, что она разрабатывалась для обеспечения безопасности конкретной защищенной операционной системы Multics. Поэтому некоторые элементы модели (например, права доступа: append, execute, функция текущего уровня доступа субъектов…) реализованы в модели только для обеспечения соответствия условиям функционирования ОС Multics и не являются необходимыми для моделирования произвольной системы с мандатным (полномочным) управлением доступом.

Положим R - {read, write} и fs(s)=fc(s). Исключим из рассмотрения матрицу доступов A и множество ответов системы D. Вместо множества действий используем функцию переходов как описывалось выше FT: (V x Q) V и множество доступов b={(s,o,r) Переопределим ss-свойство и *-свойство. Так как основные ограничения на доступ write следуют из *-свойства, то в ss-свойстве зададим ограничения только на read.

Доступ (s,o,r) ? b обладает ss-свойством, если выполняется одно из условий:

* r=write

* r=read и fs(s)>f0(o).

Доступ (s,x,r) ?b обладает *-свойством, если выполняется одно из условий:

* r=read и не существует у?О: (s, у, write) ?b и f0(х)>f0 (у);

* r=write и не существует у?О: (s, у, read) ?b и f0 (y)>f0 (x).

В данном подходе *-свойство определено таким образом, что его смысл - предотвращение возникновения информационных каналов сверху вниз становится более ясным, чем при использовании функции fc в классической модели БЛ.

Заметим особо, что в *-свойстве не рассматривается уровень доступа субъекта посредника s. В этом нет необходимости, так как если требовать выполнения *-свойства и ss-свойства одновременно и считать, что субъект не может накапливать в себе информацию, то не возникают противоречия по существу с положениями мандатной (полномочной) политики безопасности. Субъект может читать информацию из объектов с уровнем секретности не выше его уровня доступа, и при этом субъект не может стать каналом утечки информации сверху вниз.

По аналогии со свойствами классической модели БЛ определяются ss-свойство, *-свойство и свойство безопасности для состояния, реализации и системы в целом.

Теорема A1-RW.

Система У(V,T,zo) обладает ss-свойством для любого начального состояния zo, обладающего ss-свойством, тогда и только тогда, когда функция переходов FT: (v x q) = v* удовлетворяет условиям:

Условие 1. Если (s,o,read) ?b*\b, то fs*(s)=f0*(o).

Условие 2. Если (s,o,read) ?b и fs*(s) ?f0*(o), то (s,o,read) ? b*.

Теорема A2-RW.

Система У(V,T,zo) обладает *-свойством для любого начального состояния zo, обладающего *-свойством, тогда и только тогда, когда функция переходов FT: (v x q) = v* удовлетворяет следующим условиям.

Условие 1. Если {(s,x,read), (s,y,write)}?b*\b, то fo(y)=fo(x).

Условие 2. Если {(s,x,reacf), (s,y,write)}?b и fo(y)<fo(x), то {(s,x,read),(s,y,write)} не принадлежит b*

Теорема BST-RW.

Система У(V, T, zo) безопасна для безопасного начального состояния zo тогда и только тогда, когда выполнены условия теоремы A1-RW и теоремы A2-RW.

Доказательство. Теорема BST-RW следует из теорем A1-RW, A2-RW.

2.4.3 Модель безопасности Мак-Лина

Недостаток основной теоремы безопасности Белла-ЛаПадула состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния.

Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничения, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода.

Так как нет никаких определенных ограничений на вид функции перехода, кроме указанных в условиях теоремы, и допускается, что уровни безопасности субъектов и объектов могут изменяться, то можно представить такую гипотетическую систему (она получила название -системы), в которой при попытке низкоуровневого субъекта прочитать информацию из высокоуровневого объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение.

Функция перехода -системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла-ЛаПадулы, но вместе с тем в этой системе любой пользователь сможет прочитать любой файл, что, очевидно, несовместимо с безопасностью в обычном понимании.

Следовательно, необходимо сформулировать теорему, которая бы не только констатировала, безопасность всех достижимых состояний для системы, соответствующей определенным условиям, но и гарантировала бы безопасность в процессе осуществления переходов между состояниями. Для этого необходимо регламентировать изменения уровней безопасности при переходе от состояния к состоянию с помощью дополнительных правил.

Такую интерпретацию мандатной модели осуществил Мак-Лин, предложивший свою формулировку основной теоремы безопасности, основанную не на понятии безопасного состояния, а на понятии безопасного перехода.

При таком подходе функция уровня безопасности представляется с помощью двух функций, определенных на множестве субъектов и объектов: .

Функция перехода считается безопасной по чтению, если для любого перехода выполняются следующие три условия:

1) если read О M*[s, o] и read ОM [s, o] то: Fs(s) і Fo(o) и F=F*;

2) если Fs№F*s то:

M = M*, Fo = F*o, для "s и o, для которых F*s(s)< F*o(o), read П M [s, o];

3) если Fo№ F*o то:

M = M*, Fs = F*s, для "s и o, для которых F*s(s)< F*o(o), read П M [s, o];

Функция перехода Т считается безопасной по записи, если для любого перехода T(r, v) = v*, выполняются следующие три условия:

1) если write О M*[s, o] и write П M [s, o] то: Fo(o) і Fs(s) и F=F*;

2) если Fs№ F*s то:

M = M*, Fo = F*o, для " s и o, для которых F*s(s)> F>*o(o), write ПM [s, o];

3) если Fo№ F*o то:

M = M*, Fs = F*s, для " s и o, для которых F*s(s)> F*o(o), write ПM [s, o].

Смысл введения перечисленных ограничений и их принципиальное отличие от условий теоремы Белла-ЛаПадулы состоит в следующем: нельзя изменять одновременно более одного компонента состояния системы -- в процессе перехода либо возникает новое отношение доступа, либо изменяется уровень объекта, либо изменяется уровень субъекта.

Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния и изменения не приводят к нарушению безопасности системы.

Так как безопасный переход из состояния v в состояние v* позволяет изменяться только одному элементу из v и так как этот элемент может быть изменен только способами, сохраняющими безопасность состояния, была доказана следующая теорема о свойствах безопасной системы.

Теорема безопасности Мак-Лина

Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.

Обратное утверждение неверно. Система может быть безопасной по определению Белла-ЛаПадулы, но не иметь безопасной функции перехода, о чем свидетельствует рассмотренный пример Z-системы.

Такая формулировка основной теоремы безопасности предоставляет в распоряжение разработчиков защищенных систем базовый принцип их построения, в соответствии с которым для того, чтобы обеспечить безопасность системы как в любом состоянии, так и в процессе перехода между ними, необходимо реализовать для нее такую функцию перехода, которая соответствует указанным условиям.

Формулировка основной теоремы безопасности в интерпретации Мак-Лина позволяет расширить область ее применения по сравнению с классической теоремой Белла-ЛаПадула, однако, используемый критерий безопасности перехода не всегда соответствует требованиям контроля доступа, возникающим на практике.

Так как в процессе осуществления переходов могут изменяться уровни безопасности сущностей системы, желательно контролировать этот процесс, явным образом разрешая или запрещая субъектам осуществлять подобные переходы. Для решения этой задачи Мак-Лин расширил базовую модель путем выделения подмножества уполномоченным субъектов, которым разрешается инициировать переходы, в результате которых у сущностей системы изменяются уровни безопасности.

Система с уполномоченными субъектами также описывается множествами S, О и L, смысл которых совпадает с аналогичными понятиями модели Белла-ЛаПадула, а ее состояние также описывается набором упорядоченных пар (F, M), причем функция перехода F и матрица отношений М доступа играют ту же роль. Новым элементом модели является функция управления уровнями C: SИO ® P(S) (здесь и далее P(S) обозначает множество всех подмножеств S). Эта функция определяет подмножество субъектов, которым позволено изменять уровень безопасности, для заданного объекта или субъекта.

Модель системы е(v0,R,Ta) состоит из начального состояния VO множества запросов R и функции перехода Ta, которая переводит систему из состояния в состояние по мере выполнения запросов. Но теперь у функции перехода, которая определяет следующее состояние системы после выполнения определенным субъектом некоторого запроса, появился еще один аргумент -- субъект, от которого исходит этот запрос, поскольку результат перехода зависит от того, какой субъект его инициировал: Ta:(SґVґR)®V.

Как и прежде система, находящаяся в состоянии vОV, при получении запроса rОR, от субъекта s?S переходит из состояния v в состояние v*=Ta(s, v, r).

Функция перехода в модели с уполномоченными субъектами Та называется авторизованной функцией перехода тогда и только тогда, когда для каждого перехода Ta(s, v, r) = v*, при котором v=(F, M) и v*=(F*, M*) выполняется следующее условие:

для "xОSИO: если F*(х)--№ F(х), то sОC(x).

Другими словами, в ходе авторизованного перехода уровень безопасности субъекта или объекта может изменяться только тогда, когда субъект, выполняющий переход, принадлежит множеству субъектов, уполномоченных изменять уровень этого субъекта или объекта.

С точки зрения модели уполномоченных субъектов система ?(vo,R, Ta) считается безопасной в том случае, если:

1) начальное состояние VO и все состояния, достижимые из него путем применения конечного числа запросов из R являются безопасными по критерию Белла-ЛаПадула;

2) функция перехода Ta является авторизованной функцией перехода согласно предложенному определению.

Отметим, что из этого определения следует только необходимое условие безопасности системы. В качестве достаточного условия может использоваться совокупность критерия авторизации функции перехода и критериев безопасного состояния Белла-ЛаПадула, либо критериев безопасности функции перехода Мак-Лина.

2.4.4 Модель совместного доступа

Практическое применение всех представленных формулировок мандатной модели безопасности ограничено еще одним фактором -- они не учитывают широко распространенные в государственных учреждениях правила, согласно которым доступ к определенной информации или модификация ее уровня безопасности могут осуществляться только в результате совместных действий нескольких пользователей (так называемый групповой доступ). Например, может потребоваться, чтобы гриф секретности документа мог изменяться только с обоюдной санкции его владельца и администратора безопасности. В системе обработки информации это может быть реализовано либо как параллельное выполнение несколькими пользователями специальной программы, изменяющей уровень безопасности, либо последовательной обработкой запроса несколькими пользователями, каждый из которых должен санкционировать его выполнение. Однако на уровне политики безопасности механизм реализации не имеет значения, поскольку он никак не отражается на формальной модели системы.

Для того, чтобы мандатная модель предусматривала совместный доступ, необходимо модифицировать ее следующим образом.

Вместо множества субъектов системы s будем рассматривать множество непустых подмножеств S, которое обозначим как S=P(S)\{Ж}. Матрица прав доступа, отражающая текущее состояние доступа в системе, расширяется путем добавления в нее строк, содержащих права групповых субъектов, и обозначим ее как M. Кроме функции уровня безопасности F:SИO®L для групповых субъектов вводятся дополнительные функции: FL:S®L, такая, что FL(s)есть наибольшая нижняя граница множества {F(s)|SОs} и FH:S®L, такая, что FH(s) есть наименьшая верхняя граница множества {F(s) | SОs}.

Критерии безопасности состояния для такой системы формулируются следующим образом:

* состояние системы является безопасным по чтению тогда и только тогда, когда для каждого индивидуального или группового субъекта, имеющего в этом состоянии доступ чтения к объекту, наибольшая нижняя граница множества уровней безопасности этого субъекта доминирует над уровнем безопасности этого объекта: "sОS, "oОO, readОM[s,o]®FL(s)іF(o).

* состояние системы является безопасным по записи тогда и только тогда, когда для каждого индивидуального или группового субъекта, имеющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над наименьшей верхней границей множества уровней безопасности этого субъекта: "sОS, "oОO, writeОM[s,o]®F(o)іFH(s).

Как и прежде состояние безопасно тогда и только тогда, когда оно одновременно безопасно и по чтению и по записи.

Благодаря тому, что множество уровней безопасности и отношение доминирования образуют решетку, удалось задать функции, определяющие границы множества уровней безопасности групповых субъектов, таким образом, что одни условия безопасности одновременно учитывают, как индивидуальные, так и совместные доступы.

Переопределим функцию перехода, которая определяет следующее состояние системы после выполнения определенным субъектом некоторого запроса, как T:(VґR)®V, где T(v,r)=v*, причем в описании состояния v=((F, FH, FL),M) и v*=((F*, F*H, F*L)*, M*) участвуют три функции уровня безопасности: F - для объектов, FH и FL - наименьшая верхняя и наибольшая нижняя границы для групповых субъектов.

Тогда теорема Белла-ЛаПадула для совместного доступа формулируется следующим образом:

Система е(vo, R, T) безопасна тогда и только тогда, когда:

а) начальное состояние vo безопасно и

б) функция перехода Т такова, что для любого состояния v, достижимого из vo путем применения конечной последовательности запросов из R, таких,

что Т(v, r)=v*, v=((F, FH, FL), M) и v* =((F*, F*H, F*L), M*)

для каждого s О S и o О O выполняются следующие условия:

1) если read О M*[s, o] и read П M [s, o], то F*L(s) і F*(o);

2) если read О M [s, o] и F*L(s) < F*(o), то read П M*[s, o];

3) если write О M*[s, o] и write П M [s, o], то F*(o) і F*H(s);

4) если write О M [s, o] и F*(o) < F*H(s), то write П M*[s, o].

Аналогичные рассуждения можно провести и в отношении множественного доступа к нескольким объектам сразу (групповым объектам), когда в ходе одной операции читаются или записываются сразу несколько объектов. В этом случае множество объектов и матрица прав доступа расширяются аналогичным образом за счет групповых объектов, для которых вводятся аналогичные функции верней и нижней границы уровня безопасности.

2.4.5 Модель low-water-mark

Модель является конкретизацией модели Белла-Ла-Падула, политика безопасности задается в следующих предположениях:

· все компоненты КС классифицированы по уровню конфиденциальности:

fs(S) - уровень доступа субъекта,

fc(S) - текущий уровень доступа субъектов,

fo(O) - гриф (уровень) конфиденциальности объекта,

· поток информации (в данном случае рассматриваются потоки от объектов к ассоциированным объектам некоторого субъекта) разрешен только "снизу вверх" (в смысле повышения уровня конфиденциальности).

Суть модели low-water-mark (LWM) состоит в том, что если по определенным соображениям субъектам нельзя отказывать в доступе write к любым объектам системы, то для исключения опасных информационных потоков сверху вниз, необходимо дополнить определенными правилами операцию write и ввести дополнительную операцию reset. В результате команды reset уровень безопасности объекта автоматически повышается до максимального уровня безопасности в системе. В результате объект становится доступным для записи для всех субъектов системы. Если субъекту требуется внести информацию в объект с более низким, чем у субъекта, уровнем безопасности (что запрещено правилом NWD), то субъект может подать команду reset. При этом опасности перетекания информации сверху вниз не создается, так как по чтению система руководствуется правилом NRU.

Операции, условия их выполнения, а также результат их выполнения в рамках данной модели представлены в таблице 1.

Таблица 1

Доступ (s,o,r)?SxOxR обладает ss-свойством относительно f?F, если r?{read, write} и fs(s)>f0(o).

Доступ (s,o,r)?SxOxR обладает *-свойством относительно относительно f?F, если он удовлетворяет одному из условий:

* r=read и fs(s)>f0(o)

* r=write и fs(s)=f0(o).

Состояние системы (b,f) ? V обладает ss-свойством (*-свойством), если каждый элемент (s,o,r) ? b обладает ss-свойством (*-свойством) относительно f.

Состояние системы называется безопасным, если оно обладает ss-свойством и *-свойством одновременно.

Утверждение.

Операции Read, Write, Reset переводят систему из безопасного состояния в безопасное состояние. Доказательство. Из описания операций Read, Write, Reset следует, что в результате их выполнения новое состояние системы обладает ss-свойством и *-свойством.

Заметим, что условие стирания информации при выполнении операции Write является существенным. Хотя при его отсутствии утверждение формально останется истинным.

Однако в этом случае с позиций здравого смысла система не будет безопасной, так как возможно возникновение канала утечки информации. Субъект, запрашивая доступ на запись в объект, понижает его уровень секретности, после чего он может запросить доступ на чтение из этого объекта (рисунок 5).

Рисунок 5

Однако такая модель порождает тенденцию к «огрублению» системы разграничения доступа: все объекты через некоторое время могут получить высшие грифы секретности и, соответственно, стать недоступными по чтению для всех субъектов, не обладающих высшим уровнем доверия. Поэтому в модели LWM операция дополняется следующим условием:

Если в результате операции вся в объект реально вносится информация и уровень безопасности объекта строго выше уровня безопасности субъекта, то:

· перед внесением информации в объект, вся прежняя информация из него удаляется;

· по окончании операции записи уровень безопасности объекта автоматически понижается до уровня безопасности субъекта.

Одним из вариантов является присвоение объекту при записи уровня доступа не максимально возможного (командой reset), а соответствующего субъекту, осуществляющему запись.

2.5 Достоинства модели Белла-ЛаПадулы

Достоинства модели Белла-ЛаПадулы следующие:

· Для нее доказана основная теорема безопасности. В общем случае, данная теорема формулируется следующим образом: если начальное состояние системы безопасно, и все переходы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы, достижимое за конечное число переходов будет безопасным. В случае модели Белла-ЛаПадулы, ограничения не позволяют нарушить безопасность по чтению и записи.;

· Ограничения не позволяют нарушить безопасность по чтению и записи;

· Ясность и простота реализации отсутствие проблемы "Троянских коней" (контролируется Направленность потоков, а не взаимоотношения конкретного субъекта с конкретным объектом, поэтому недекларированный поток троянской программы «сверху-вниз» будет считаться опасным и отвергнут МБО);

· Каналы утечки не заложены в саму модель, а могут возникнуть только в практической реализации;

· Модель Белла-ЛаПадулы сыграла огромную роль в развитии теории компьютерной безопасности, и ее положения были введены в качестве обязательных требований к системам, обрабатывающим информацию, содержащую государственную тайну, в стандартах защищенных КС, в частности, в известной "Оранжевой книге" (1983г.).



2.6 Недостатки модели Белла-ЛаПадулы

При практической реализации положений модели Белла-ЛаПадулы в реальных КС возник ряд трудностей, послуживших основанием для многочисленных работ по ее критическому анализу.

Недостатки модели Белла-ЛаПадулы следующие:

1. Завышение уровня секретности.

Связанно с одноуровневой природой объектов и правилом безопасности по записи. Если субъект с высоким уровнем доступа хочет записать что-то в объект с низким уровнем секретности, то сначала приходится повысить уровень секретности объекта, а потом осуществлять запись. Таким образом, даже один параграф, добавленный в большой документ субъектом с высоким уровнем доступа, повышает уровень секретности всего этого документа. Если по ходу работы изменения в документ вносят субъекты со все более высоким уровнем доступа, уровень секретности документа также постоянно растет.

2. Запись вслепую.

Эта проблема возникает, когда субъект производит операцию записи в объект с более высоким уровнем безопасности, чем его собственный. В этом случае, после завершения операции записи, субъект не сможет проверить правильность выполнения записи при помощи контрольного чтения, так как ему это запрещено в соответствии с правилом безопасности по чтению.

3. Проблема удаленного чтения-записи.

В распределенных системах при удаленном чтении файла создаются два потока: от субъекта к объекту (запросы на чтение, подтверждения, прочая служебная информация) и от объекта к субъекту (сами запрашиваемые данные). При этом, например, если F(s) > F(o), то первый поток будет противоречить свойству безопасности по записи. На практике для решения этой проблемы надо разделять служебные потоки (запросы, подтверждения) и собственно передачу информации.

Эта проблема вытекает из правила NWD. Рассмотрим ситуацию, когда некоторый субъект осуществляет операцию чтения в распределенной системе. Такая операция возможна при выполнении правила NRU, так что уровень безопасности субъекта больше уровня безопасности объекта. Однако в распределенных системах операция чтения инициируется запросом с одной компоненты на другую, что можно рассматривать в данном случае как посылку сообщения от субъекта с более высоким уровнем безопасности к объекту с более низким уровнем, что является нарушением правила NWD.

...