Курс лекций Защита Информации/Модель Белла-ЛаПадулы

В модели всем участникам процесса обработки защищаемой информации и документам, в которых она содержится назначается специальная метка, получившая название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доменирования.

Правила модели[править]

Контроль доступа осуществляется в зависимости от уровня безопасности взаимодействующих сторон на основании двух правил:

Уполномоченное лицо $\{S\}$ имеет право читать только те документы, уровень безопасности которых не превышает его собственного уровня безопасности. Это правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами от доступа со стороны менее доверенных (низкоуровневых).
Уполномоченное лицо $\{S\}$ имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности. Это правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.

Модель[править]

Система модели безопасности Белла-ЛаПадула представляется в виде субъектов $\{S\}$ , объектов $\{O\}$ и прав доступа $\{R\}$ . Уровни безопасности субъектов и объектов безопасности задаются с помощью функции безопасности:

F:S\cup O\rightarrow L

где $L$ — уровень безопасности, принадлежащей множеству уровней безопасности $\{L\}$ .

Решетка уровней секретности[править]

Для множества уровней безопасности определена решетка уровней секретности:

\Lambda =(L,\leq ,\bullet ,\otimes )

$\leq$ — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
$\bullet$ — оператор наименьшей верхней границы;
$\otimes$ — оператор наибольшей нижней границы.

Свойства отношений[править]

Рефлексивность: ${\mathcal {8}}~a\in L:a\leq a$ , данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.
Антисимметричность: $\forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}=a_{1}$ , свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
Транзитивность: $\forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}$ , свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Другое средство решетки заключается в том, что для каждой пары $a_{1}$ и $a_{2}$ элементов множества $L$ можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

$a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'{\mathcal {2}}L:(a'\leq a)\rightarrow (a'\leq a_{1}\vee a'\leq a_{2}))$
$a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'{\mathcal {2}}L:(a'\leq a_{1}\And a'\leq a_{2})\rightarrow (a'\leq a))$

Смысл этих определений заключается в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху (снизу) таким образом, что между ними с результирующим элементом не будет других элементов.

Функция безопасности $F$ назначает каждой паре элементов из $S$ и $O$ некоторый уровень безопасности из $L$ , разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор $\leq$ определяет направление потоков информации.

Решетка $\Lambda$ используется для описания отношений между уровнями безопасности (элементами множества $L$ ), которые могут являться не только целыми числами, для которых определено отношение $\leq$ , но и более сложными составными элементами.

В государственных организациях достаточно часто в качестве атрибутов безопасности используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множетсва. Такие атрибуты невозможно сравнивать с помощью арифметических операций. В таком случае, отношение доминирования $\leq$ определяется как композиция отношений доминирования $\leq$ для уровней безопасности и отношения включения множеств $\subseteq$ для наборов категорий. Отметим, что это никак не сказывается на свойствах модели, так как отношения доминирования $\leq$ и включения $\subseteq$ обладают свойствами ассиметричности, транзитивности и рефлексивности. И, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку.

В мандатных моделях функция уровня безопасности $F$ вместе с решеткой уровней определяет все допустимые отношения доступа между сущностями системы, следовательно множество состояний системы $U$ представляется в виде набора упорядоченных пар $(F,M)$ , где $M$ — матрица доступа, отражающая текущую ситуацию с правами доступа субъектов $S$ к объектам $O$ , содержание которой аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write.

Эволюция системы[править]

Модель системы $\Sigma (V_{0},R,T)$ состоит из начального состояния $V_{0}$ , множества запросов $R$ и функции переходов $T:(V\times R)\rightarrow V$ , которая в ходе выполнения запроса переводит систему из одного состояния в другое.

Система, находящаяся в состоянии $v\in V$ , при получении запроса $r\in R$ переходит в следующее состояние $v^{*}=T(v,r)$ . Состояние $v$ достижимо в системе $\Sigma$ тогда и только тогда, когда существует последовательность $\{(r_{0},\nu _{0}),...,(r_{n-1},\nu _{n-1}),(r_{n},\nu _{n})\}:T(r_{i},\nu _{i})=\nu _{i+1}~\forall i=0,n-1$ . Состояния системы делятся на безопасные, в которых отношение доступа не противоречит установленным в модели правилам и небезопасные, в которых эти правила нарушаются.

Безопасность состояния[править]

●	Состояние системы $(F,M)$ называется безопасным по чтению, если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: $\forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)$

●

Состояние системы

(F,M)

называется безопасным по записи в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

\forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)

●	Состояние $(F,M)$ называется безопасным, если оно безопасно по чтению и по записи.

●	В соответствии с предложенными определениями, система $\Sigma =(\nu _{0},R,T)$ называется безопасной, если её начальное состояние $v_{0}$ безопасно, и все состояния, достижимые из $\nu _{0}$ путём применения конечной последовательности запросов из $\mathbb {R}$ , безопасны.

Основная теорема безопасности Белла — Лападулы[править]

■

Теорема безопасности Белла — Лападулы

Система $~\Sigma =(\nu _{0},R,T)$ безопасна тогда и только тогда, когда выполнены следующие условия:

Начальное состояние $\nu _{0}\$ безопасно.
Для любого состояния $\nu \$ $\nu \$ , достижимого из $\nu _{0}\$ $\nu _{0}\$ путём применения конечной последовательности запросов из $R\$ $R\$ , таких, что $~T(\nu ,r)=\nu ^{*},\nu =(F,M)$ $~T(\nu ,r)=\nu ^{*},\nu =(F,M)$ и $~\nu ^{*}=(F^{*},M^{*})$ $~\nu ^{*}=(F^{*},M^{*})$ , для ${\mathcal {8}}s{\mathcal {2}}S,{\mathcal {8}}o{\mathcal {2}}O$ ${\mathcal {8}}s{\mathcal {2}}S,{\mathcal {8}}o{\mathcal {2}}O$ выполнены условия:
1. Если $r{\mathcal {2}}M^{*}[s,o]$ и $r\notin M[s,o]$ , то $F^{*}(o)\leq F^{*}(s)$
2. Если $r{\mathcal {2}}M[s,o]$ и $~F^{*}(s)<F^{*}(o)$ , то $r\notin M^{*}[s,o]$
3. Если $w{\mathcal {2}}M^{*}[s,o]$ и $w\notin M[s,o]$ , то $F^{*}(s)\leq F^{*}(o)$
4. Если $w{\mathcal {2}}M[s,o]$ и $~F^{*}(o)<F^{*}(s)$ , то $w\notin M^{*}[s,o]$

Доказательство теоремы[править]

Необходимость[править]

Пусть система $~\Sigma =(\nu _{0},R,T)$ безопасна. В этом случае начальное состояние $\nu _{0}\$ безопасно по определению. Предположим, что существует безопасное состояние $\nu ^{*}\$ , достижимое из состояния $\nu :~T(\nu ,r)=\nu ^{*}$ , и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние $\nu ^{*}\$ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным по записи. В обоих случаях мы получаем противоречие с тем, что состояние $\nu ^{*}\$ является безопасным.

Достаточность[править]

Система $~\Sigma =(\nu _{0},R,T)$ может быть небезопасной в двух случаях:

В случае если начальное состояние $\nu _{0}\$ небезопасно. Однако данное утверждение противоречит условию теоремы.
Если существует небезопасное состояние $\nu ^{*}\$ , достижимое из безопасного состояния $\nu _{0}\$ путём применения конечного числа запросов из $R\$ . Это означает, что на каком-то промежуточном этапе произошёл переход $~T(\nu ,r)=\nu ^{*}$ , где $\nu \$ – безопасное состояние, а $\nu ^{*}\$ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

Недостатки теоремы[править]

Недостаток основной теоремы Белла-Лападулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояний, следовательно данная теорема является избыточной по отношению к определению безопасности состояния.
Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достижимы без потери свойства безопасности в процессе осуществления перехода.

←Модель Харрисона-Рузза-Ульмана

Теорема Мак-Лина→