Модель Белла — Лападулы — Википедия

Модель Белла — Лападулы — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

История

Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом Лападулой, к созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США^[1]^[2]^[3]. Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

Особенности

Модель Белла — Лападулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории — субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.
Основными правилами, обеспечивающими разграничение доступа, являются следующие:

Простое свойство безопасности (The Simple Security)

Субъект с уровнем доступа $x_{s}$ может читать информацию из объекта с уровнем секретности $x_{o}$ лишь тогда, когда $x_{s}$ преобладает над $x_{o}$ . Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности "совершенно секретно", то ему будет отказано в этом.

Свойство * (The *-property)

Субъект с уровнем секретности x_s может писать информацию в объект с уровнем безопасности x_о только если x_о преобладает над $x_{s}$ . Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Дискреционное свойство безопасности (The Discretionary Security Property)

Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.

Формальное описание модели

Обозначения

$S\$ — множество субъектов;
$O\$ — множество объектов, $S\subset O$ ;
$R=\{r,\ w\}$ — множество прав доступа, $r\$ — доступ на чтение, $w\$ — доступ на запись;
$L=\{U,SU,C,S,TS\}\$ — множество уровней секретности, $U\$ — Unclassified, $SU\$ — Sensitive but unclassified, C - Confidential, $S\$ — Secret, $TS\$ — Top secret;
$\Lambda =(L,\leq ,\bullet ,\otimes )$ $\Lambda =(L,\leq ,\bullet ,\otimes )$ — решётка уровней секретности, где:
- $\leq$ — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
- $\bullet$ — оператор наименьшей верхней границы;
- $\otimes$ — оператор наибольшей нижней границы.
$V\$ $V\$ — множество состояний системы, представляемое в виде набора упорядоченных пар $(F,M)\$ $(F,M)\$ , где:
- $F:S\cup O\rightarrow L$ — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
- $M\$ — матрица текущих прав доступа.

Оператор отношения $\leq$ обладает следующими свойствами:

Рефлексивность: $\forall a\in L:a\leq a$ , данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.
Антисимметричность: $\forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}=a_{1}$ , свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
Транзитивность: $\forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}$ , свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Оператор наименьшей верхней границы $\bullet$ определяется следующим отношением:

a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\rightarrow (a'\leq a_{1}\vee a'\leq a_{2}))

Оператор наибольшей нижней границы $\otimes$ определяется следующим отношением:

a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1}\And a'\leq a_{2})\rightarrow (a'\leq a))

Исходя из определения этих двух операторов можно показать, что для каждой пары $a_{1},a_{2}\in L$ существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система $\Sigma =(\nu _{0},R,T)$ в модели Белла — Лападулы состоит из следующих элементов:

$\nu _{0}\$ — начальное состояние системы;
$\mathbb {R} \$ — множество прав доступа;
$T:V\times R\rightarrow V$ — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Определения состояния безопасности

Состояние $\nu \$ называется достижимым в системе $\Sigma =(\nu _{0},R,T)$ , если существует последовательность $\{(r_{0},\nu _{0}),...,(r_{n-1},\nu _{n-1}),(r_{n},\nu _{n})\}:T(r_{i},\nu _{i})=\nu _{i+1}~\forall i=0,n-1$ Начальное состояние $\nu _{0}\$ является достижимым по определению.

Состояние системы $(F,M)$ называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: $\forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)$

Состояние системы $(F,M)$ называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта: $\forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)$

Состояние $(F,M)$ называется безопасным, если оно безопасно по чтению и по записи.

Система $\Sigma =(\nu _{0},R,T)$ называется безопасной, если её начальное состояние $\nu _{0}\$ безопасно, и все состояния, достижимые из $\nu _{0}\$ путём применения конечной последовательности запросов из $R\$ , безопасны.

Основная теорема безопасности Белла — Лападулы

Система $\Sigma =(\nu _{0},R,T)$ безопасна тогда и только тогда, когда выполнены следующие условия:

Начальное состояние $\nu _{0}\$ безопасно.
Для любого состояния $\nu \$ $\nu \$ , достижимого из $\nu _{0}\$ $\nu _{0}\$ путём применения конечной последовательности запросов из $R\$ $R\$ , таких, что $T(\nu ,r)=\nu ^{*},\nu =(F,M)$ $T(\nu ,r)=\nu ^{*},\nu =(F,M)$ и $\nu ^{*}=(F^{*},M^{*})$ $\nu ^{*}=(F^{*},M^{*})$ , для $\forall s\in S,\forall o\in O$ $\forall s\in S,\forall o\in O$ выполнены условия:
1. Если $r\in M^{*}[s,o]$ и $r\notin M[s,o]$ , то $F^{*}(o)\leq F^{*}(s)$
2. Если $r\in M[s,o]$ и $F^{*}(s)<F^{*}(o)$ , то $r\notin M^{*}[s,o]$
3. Если $w\in M^{*}[s,o]$ и $w\notin M[s,o]$ , то $F^{*}(s)\leq F^{*}(o)$
4. Если $w\in M[s,o]$ и $F^{*}(o)<F^{*}(s)$ , то $w\notin M^{*}[s,o]$

Доказательство теоремы

Докажем необходимость утверждения
Пусть система $\Sigma =(\nu _{0},R,T)$ безопасна. В этом случае начальное состояние $\nu _{0}\$ безопасно по определению. Предположим, что существует безопасное состояние $\nu ^{*}\$ , достижимое из состояния $\nu :~T(\nu ,r)=\nu ^{*}$ , и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние $\nu ^{*}\$ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным по записи. В обоих случаях мы получаем противоречие с тем, что состояние $\nu ^{*}\$ является безопасным.
Докажем достаточность утверждения.
Система $\Sigma =(\nu _{0},R,T)$ может быть небезопасной в двух случаях:

В случае если начальное состояние $\nu _{0}\$ небезопасно. Однако данное утверждение противоречит условию теоремы.
Если существует небезопасное состояние $\nu ^{*}\$ , достижимое из безопасного состояния $\nu _{0}\$ путём применения конечного числа запросов из $R\$ . Это означает, что на каком-то промежуточном этапе произошёл переход $T(\nu ,r)=\nu ^{*}$ , где $\nu \$ – безопасное состояние, а $\nu ^{*}\$ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

■

Недостатки

В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:

Запрет записи «вниз». В модели Белла — Лападулы невозможна запись от объектов с более высоким уровнем конфиденциальности к объектам с более низким уровнем. Например, невозможно переписать сообщение класса top secret в класс secret, хотя иногда это бывает необходимо^[4].
Отсутствие многоуровневых объектов. Допускается чтение и запись информации между объектами только одного уровня. Например, при чтении информации уровня конфиденциальности unclassified из сообщения класса secret, система будет вынуждена присвоить читаемой информации класс secret^[4].
Отсутствие универсальности применения. Например, в военных системах передачи сообщений, должны определяться особые правила безопасности, которые отсутствуют в других приложениях модели. Такие правила не описаны моделью Белла — Лападулы, и поэтому должны быть определены вне модели^[6]
Как и для других моделей мандатного управления доступом, характерно наличие скрытых каналов передачи информации.

Удаленное чтение

В распределенной системе чтение инициируется запросом записи в объект с более низким уровнем секретности, что является нарушением правил классической модели Белла — Лападулы.

См. также

Примечания

↑ Bell, David Elliott and LaPadula, Leonard J. Secure Computer Systems: Mathematical Foundations (неопр.). — MITRE Corporation, 1973. Архивировано 18 июня 2006 года.
↑ Bell, David Elliott and LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation (англ.) : journal. — MITRE Corporation, 1976. Архивировано 29 августа 2008 года.
↑ Bell, David Elliott (2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337—351. doi:10.1109/CSAC.2005.37. Архивировано (PDF) 21 февраля 2020. Дата обращения: 17 декабря 2010. {{cite conference}}: Неизвестный параметр |month= игнорируется (справка) Slides — Looking Back at the Bell-LaPadula Model Архивная копия от 8 июня 2008 на Wayback Machine

Литература

Цирлов В. Л. Основы информационной безопасности автоматизированных систем. — Р.: Феникс, 2008. С. 40-44 ISBN 978-5-222-13164-0
Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Издательский центр «Академия», 2005. С. 55-66 ISBN 5-7695-2053-1
Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен», 1996. С 52-55
А. П. Баранов, Н. П. Борисенко, П. Д. Зегжда, А. Г. Ростовцев, Корт С. С. — Математические основы информационной безопасности. — М.: Издательство Агентства «Яхтсмен», 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf

[1] Bell, David Elliott and LaPadula, Leonard J. Secure Computer Systems: Mathematical Foundations (неопр.). — MITRE Corporation, 1973. Архивировано 18 июня 2006 года.

[2] Bell, David Elliott and LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation (англ.) : journal. — MITRE Corporation, 1976. Архивировано 29 августа 2008 года.

[3] Bell, David Elliott (2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337—351. doi:10.1109/CSAC.2005.37. Архивировано (PDF) 21 февраля 2020. Дата обращения: 17 декабря 2010. {{cite conference}}: Неизвестный параметр |month= игнорируется (справка) Slides — Looking Back at the Bell-LaPadula Model Архивная копия от 8 июня 2008 на Wayback Machine

[1]

[2]

[3]