Модель Белла — Лападулы

Диаграмма информационных потоков

Модель Белла — Лападулы  — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

История

Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом Лападулой, к созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США[1][2][3]. Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

Особенности

Модель Белла — Лападулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории — субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.
Основными правилами, обеспечивающими разграничение доступа, являются следующие:

Простое свойство безопасности (The Simple Security)

Субъект с уровнем доступа может читать информацию из объекта с уровнем секретности лишь тогда, когда преобладает над . Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности "совершенно секретно", то ему будет отказано в этом.

Свойство * (The *-property)

Субъект с уровнем секретности xs может писать информацию в объект с уровнем безопасности xо только если xо преобладает над . Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Дискреционное свойство безопасности (The Discretionary Security Property)

Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.

Формальное описание модели

Обозначения

  •  — множество субъектов;
  •  — множество объектов, ;
  •  — множество прав доступа,  — доступ на чтение,  — доступ на запись;
  •  — множество уровней секретности,  — Unclassified,  — Sensitive but unclassified, C - Confidential,  — Secret,  — Top secret;
  •  — решётка уровней секретности, где:
    •  — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
    •  — оператор наименьшей верхней границы;
    •  — оператор наибольшей нижней границы.
  •  — множество состояний системы, представляемое в виде набора упорядоченных пар , где:
    •  — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
    •  — матрица текущих прав доступа.


Оператор отношения обладает следующими свойствами:

  • Рефлексивность: , данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.
  • Антисимметричность: , свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
  • Транзитивность: , свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Оператор наименьшей верхней границы определяется следующим отношением:

Оператор наибольшей нижней границы определяется следующим отношением:

Исходя из определения этих двух операторов можно показать, что для каждой пары существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система в модели Белла — Лападулы состоит из следующих элементов:

  •  — начальное состояние системы;
  •  — множество прав доступа;
  •  — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Определения состояния безопасности

Состояние называется достижимым в системе , если существует последовательность Начальное состояние является достижимым по определению.

Состояние системы называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:

Состояние системы называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

Состояние называется безопасным, если оно безопасно по чтению и по записи.

Система называется безопасной, если её начальное состояние безопасно, и все состояния, достижимые из путём применения конечной последовательности запросов из , безопасны.

Основная теорема безопасности Белла — Лападулы

Система безопасна тогда и только тогда, когда выполнены следующие условия:

  1. Начальное состояние безопасно.
  2. Для любого состояния , достижимого из путём применения конечной последовательности запросов из , таких, что и , для выполнены условия:
    1. Если и , то
    2. Если и , то
    3. Если и , то
    4. Если и , то

Недостатки

В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:

  • Запрет записи «вниз». В модели Белла — Лападулы невозможна запись от объектов с более высоким уровнем конфиденциальности к объектам с более низким уровнем. Например, невозможно переписать сообщение класса top secret в класс secret, хотя иногда это бывает необходимо[4].
  • Отсутствие многоуровневых объектов. Допускается чтение и запись информации между объектами только одного уровня. Например, при чтении информации уровня конфиденциальности unclassified из сообщения класса secret, система будет вынуждена присвоить читаемой информации класс secret[4].
  • Отсутствие универсальности применения. Например, в военных системах передачи сообщений, должны определяться особые правила безопасности, которые отсутствуют в других приложениях модели. Такие правила не описаны моделью Белла — Лападулы, и поэтому должны быть определены вне модели[6]
  • Как и для других моделей мандатного управления доступом, характерно наличие скрытых каналов передачи информации.

Удаленное чтение

В распределенной системе чтение инициируется запросом записи в объект с более низким уровнем секретности, что является нарушением правил классической модели Белла — Лападулы.

См. также

Примечания

  1. Bell, David Elliott and LaPadula, Leonard J. Secure Computer Systems: Mathematical Foundations (неопр.). — MITRE Corporation, 1973. Архивировано 18 июня 2006 года.
  2. Bell, David Elliott and LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation (англ.) : journal. — MITRE Corporation, 1976. Архивировано 29 августа 2008 года.
  3. Bell, David Elliott (2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337—351. doi:10.1109/CSAC.2005.37. Архивировано (PDF) 21 февраля 2020. Дата обращения: 17 декабря 2010. {{cite conference}}: Неизвестный параметр |month= игнорируется (справка) Slides — Looking Back at the Bell-LaPadula Model Архивная копия от 8 июня 2008 на Wayback Machine

Литература

  • Цирлов В. Л. Основы информационной безопасности автоматизированных систем. — Р.: Феникс, 2008. С. 40-44 ISBN 978-5-222-13164-0
  • Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Издательский центр «Академия», 2005. С. 55-66 ISBN 5-7695-2053-1
  • Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен», 1996. С 52-55
  • А. П. Баранов, Н. П. Борисенко, П. Д. Зегжда, А. Г. Ростовцев, Корт С. С. — Математические основы информационной безопасности. — М.: Издательство Агентства «Яхтсмен», 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf

Read other articles:

Suburb of Gold Coast, Queensland, AustraliaIsle of CapriGold Coast, Queensland2020Isle of CapriCoordinates28°00′42″S 153°25′28″E / 28.01167°S 153.42444°E / -28.01167; 153.42444Postcode(s)4217LGA(s)City of Gold CoastState electorate(s)Surfers ParadiseFederal division(s)Moncrieff Isle of Capri is a neighbourhood within the suburb of Surfers Paradise in the City of Gold Coast, Queensland, Australia.[1] History The area served as a sugar harvest f...

 

جبلة الاسم الكامل نادي جبلة الرياضي تأسس عام 1958 الملعب ملعب البعث جبلة - سوريا(السعة: 10,000 متفرج) البلد سوريا  الدوري الدوري السوري الإدارة الرئيس سامر محفوظ المدرب عمار الشمالي الطقم الأساسي الطقم الاحتياطي تعديل مصدري - تعديل   نادي جبلة ناد سوري لكرة القدم، تأسس في ا�...

 

Nematoda TaksonomiSuperkerajaanEukaryotaKerajaanAnimaliaSuperfilumEcdysozoaFilumNematoda Rudolphi, 1808 Tata namaSinonim takson Nematodes Burmeister, 1837 Nemates Cobb, 1919 Nemata Cobb, 1919 Kelas Chromadorea Dorylaimea Enoplea atau Adenophorea Secernentea (lihat teks)lbs Nematoda merupakan kelompok cacing yang berada dalam filum Nematoda (terkadang juga disebut Nemathelminthes).[1] Filum ini memiliki anggota beragam yang menghuni rentang lingkungan yang sangat luas. Menurut taksonom...

Americans of Asian ancestry This article is about the U.S. population of Americans of Asian ancestry. For populations of Asians across the Americas, see Asians in the Americas. For the documentary series, see Asian Americans (film series). Asian AmericansDistribution of Asian Americans by countyTotal population 24,009,902 (alone and in combination)7.2% of the population (2020)[1] Chinese Americans: 5,143,982Indian Americans: 4,506,308Filipino Americans: 4,089,570Vietnamese Americans: ...

 

Motor vehicle Renault TNA Renault TNH4 of 1937OverviewTypeTransit busManufacturerRenaultProduction1931–1971AssemblyBoulogne-Billancourt, FranceBody and chassisLayoutFront-engine, rear-wheel drivePowertrainTransmission4-speed manualChronologyPredecessorRenault PN The Renault TN is a range of buses produced from 1931 until 1971 for the Paris service. They have been described by Le Monde as a symbol of a Paris era.[1] History In 1931, the first TN model, the TN4, a bus with a length of...

 

Spanish conquistador (1475–1538) For the city in Chile, see Diego de Almagro, Chile. For the island of Chile, see Diego de Almagro Island. AdelantadoDiego de AlmagroPersonal detailsBornc.1475Malagón[1] or Almagro, Crown of CastileDiedJuly 8, 1538 (aged 62–63)Cuzco, New Castile, Spanish EmpireNationalityCastilianSpouse(s)Ana MartínezMenciaChildrenDiego de Almagro II (son)Isabel de Almagro (daughter)ParentsJuan de Montenegro (father)Elvira Gutiérrez (mother)OccupationCon...

Copying BeethovenTheatrical release posterSutradaraAgnieszka HollandProduserSidney KimmelStephen J. RiveleMichael TaylorChristopher WilkinsonDitulis olehStephen J. RiveleChristopher WilkinsonPemeranEd HarrisDiane KrugerSinematograferAshley RowePenyuntingAlex MackieDistributorMetro-Goldwyn-MayerTanggal rilis 10 November 2006 (2006-11-10) Durasi104 minutesNegaraAmerika SerikatBahasaInggrisPendapatankotor$6,191,746[1] Copying Beethoven adalah judul film Amerika Serikat produksi Met...

 

Citytv station in Vancouver CKVU-DTVancouver, British ColumbiaCanadaChannelsDigital: 33 (UHF)Virtual: 10BrandingCitytv Vancouver (general)CityNews Vancouver (newscasts)ProgrammingAffiliations10.1: CitytvOwnershipOwnerRogers Sports & Media(Rogers Media Inc.[1])Sister stationsTV: CHNM-DT, Sportsnet PacificRadio: CISL, CKWX, CJAX-FM, CKKS-FMHistoryFirst air dateSeptember 1, 1976 (47 years ago) (1976-09-01)Former call signsCKVU-TV (1976–2011)Former channel number(s)Ana...

 

Marlon BrandoBrando pada tahun 1950LahirMarlon Brando Jr.(1924-04-03)3 April 1924Omaha, Nebraska, A.S.Meninggal1 Juli 2004(2004-07-01) (umur 80)Los Angeles, California, A.S.PekerjaanAktor, sutradara film, aktivisTahun aktif1944–2004[1]Karya terkenal A Streetcar Named Desire Viva Zapata! Julius Caesar The Wild One On the Waterfront The Godfather Last Tango in Paris Apocalypse Now Suami/istri Anna Kashfi ​ ​(m. 1957; c. 1959)​...

Pongki BarataLahirPongki Tri Barata16 November 1977 (umur 46)Pontianak, Kalimantan Barat, IndonesiaKebangsaanIndonesiaNama lainPongki BarataAlmamaterUniversitas Sanata DharmaPekerjaanAktormusikuspenulis lagupenyanyiTahun aktif1996–sekarangSuami/istriSophie Navita ​(m. 2003)​Anak2KeluargaLea Simanjuntak (ipar)Karier musikGenrePoprockrock and rollInstrumenVokalgitarbassLabel Warner Music Indonesia Nagaswara Peanut Butter Limited Artis terkaitJikust...

 

追晉陸軍二級上將趙家驤將軍个人资料出生1910年 大清河南省衛輝府汲縣逝世1958年8月23日(1958歲—08—23)(47—48歲) † 中華民國福建省金門縣国籍 中華民國政党 中國國民黨获奖 青天白日勳章(追贈)军事背景效忠 中華民國服役 國民革命軍 中華民國陸軍服役时间1924年-1958年军衔 二級上將 (追晉)部队四十七師指挥東北剿匪總司令部參謀長陸軍�...

 

American politician For other uses, see Samuel Moore (disambiguation). Samuel MooreMember of the U.S. House of Representativesfrom Pennsylvania's 6th districtIn office1818–1822Serving with Thomas Jones RogersPreceded byJohn Ross Samuel D. InghamSucceeded byThomas Jones Rogers Samuel D. Ingham Personal detailsBorn(1774-02-08)February 8, 1774Deerfield, Province of New Jersey, British AmericaDiedFebruary 18, 1861(1861-02-18) (aged 87)Philadelphia, Pennsylvania, U.S. Sa...

For other uses, see Longquan (disambiguation). County-level city in Zhejiang, People's Republic of ChinaLongquan 龙泉市LungchuanCounty-level cityLongquanLocation in ZhejiangCoordinates: 28°04′N 119°08′E / 28.067°N 119.133°E / 28.067; 119.133CountryPeople's Republic of ChinaProvinceZhejiangPrefecture-level cityLishuiTownship-level divisions3 subdistricts8 towns7 townships1 ethnic townshipSeatLongyuan Subdistrict (龙渊街道)Elevation195 m (640 ft)...

 

MorogoroMunicipalityMji kasoro bahariPanorama MorogoroMorogoroLokasi MorogoroTampilkan peta TanzaniaMorogoroMorogoro (Afrika)Tampilkan peta AfrikaKoordinat: 06°49′27″S 37°39′48″E / 6.82417°S 37.66333°E / -6.82417; 37.66333Koordinat: 06°49′27″S 37°39′48″E / 6.82417°S 37.66333°E / -6.82417; 37.66333CountryTanzaniaDaerahDaerah MorogoroDistrikDistrik Urban MorogoroLuas[1] • Total360 km2 (140 sq&#...

 

Byblidaceae Byblis liniflora Klasifikasi ilmiah Kerajaan: Plantae (tanpa takson): Tracheophyta (tanpa takson): Angiospermae (tanpa takson): Eudikotil (tanpa takson): Asterid (tanpa takson): Lamiid Ordo: Lamiales Famili: Byblidaceae Genera lihat teks. Byblidaceae adalah salah satu famili anggota tumbuhan berbunga. Menurut Sistem klasifikasi APG II suku ini termasuk dalam ordo Lamiales. Wikimedia Commons memiliki media mengenai Byblidaceae. Pengidentifikasi takson Wikidata: Q8918231 Wikispecie...

Sceaux 行政国 フランス地域圏 (Région) イル=ド=フランス地域圏県 (département) オー=ド=セーヌ県郡 (arrondissement) アントニー郡小郡 (canton) 小郡庁所在地INSEEコード 92071郵便番号 92330市長(任期) フィリップ・ローラン(2008年-2014年)自治体間連合 (fr) メトロポール・デュ・グラン・パリ人口動態人口 19,679人(2007年)人口密度 5466人/km2住民の呼称 Scéens地理座標 北緯48度4...

 

Patent that covers a computer program Computer programs, software and patent law Topics Software patent Debate Free software List of patents Treaties TRIPS Agreement Patent Cooperation Treaty European Patent Convention Countries Canada United Kingdom United States Case law European Patent Office United Kingdom Related topics Business methods vte Patent law Overviews Patent Patent claim History Economics Criticism Procedural concepts Application Prosecution Opposition Valuation Licensing Infri...

 

Season of television series Criminal Minds Season of television series Criminal MindsSeason 6Season 6 U.S. DVD coverStarring Joe Mantegna Paget Brewster Shemar Moore Matthew Gray Gubler Kirsten Vangsness Rachel Nichols Thomas Gibson A.J. Cook No. of episodes24ReleaseOriginal networkCBSOriginal releaseSeptember 22, 2010 (2010-09-22) –May 18, 2011 (2011-05-18)Season chronology← PreviousSeason 5Next →Season 7List of episodes The sixth season of Criminal Minds premi...

Political meeting 1920 Democratic National Convention1920 presidential election Nominees Cox and RooseveltConventionDate(s)June 28 – July 6, 1920CitySan Francisco, CaliforniaVenueCivic AuditoriumCandidatesPresidential nomineeJames M. Cox of OhioVice presidential nomineeFranklin D. Roosevelt of New York‹ 1916 · 1924 › The 1920 Democratic National Convention was held at the Civic Auditorium in San Francisco, California from June 28 to July 6, 1920. It resulted in the ...

 

DebianDebian 11 (Bullseye) dengan lingkungan desktop GNOME 3.38KeluargaMirip UnixStatus terkiniMutakhirModel sumberSumber terbukaRilis perdana15 September 1993; 30 tahun lalu (1993-09-15)Rilis stabil terkini12.5 / 10 Februari 2024; 3 bulan lalu (2024-02-10)Repositorisalsa.debian.org/public Ketersediaan bahasa78 bahasaMetode pemutakhiranAPT (beberapa antarmuka tersedia)Manajer paketdpkgDukungan platformARM, IA-32, IA-64, MIPS, PowerPC, PPC64le, x86-64, z/Architecture[1]Kernel...