ТОП 10:

Проблемы использования модели БЛ



Кроме отмеченной выше проблемы некорректного определения безопасности в модели БЛ возможно возникновение трудностей иного рода, возникающих при использовании модели БЛ в реальных компьютер­ных системах. Таким образом, без дополнительных уточнений свойств безопасно­сти и порядка написания кода программ классическая модель БЛ не спо­собна предотвратить возникновение некоторых каналов утечки информа­ции. В тоже время слишком строгая политика безопасности может привести к трудностям или даже невозможности практического использования системы защиты. Кроме того, как уже отмечалось выше, доопределение и усложнение свойств безопасности также несет в себе скрытую угрозу.

 

На пальцах:

 

Модель Белла-ЛаПадула — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели Белла-ЛаПадулы анализируется условия, при которых невозможно создание информационных потоков от субъектов с более высокого уровня доступа к субъектам более низкого уровня доступа.

Классическая модель Белла-ЛаПадула была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом ЛаПадулой.

Контроль доступа осуществляется в зависимости от уровня безопасности взаимодествующих сторон на основании 2 простых правил:

- уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень без-ти (допуск).

- уполномоченное лицо (субъект) имеет право заносить инф. только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Модель Белла-ЛаПадулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории – субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности.

Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.

Основными правилами, обеспечивающими разграничение доступа, являются следующие:

Простое свойство безопасности (The Simple Security)

Субъект с уровнем секретности может читать информацию из объекта с уровнем секретности тогда и только тогда, когда преобладает над . Это правило также известно под названием “нет чтения вверх” (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности совершенно секретно, то ему будет отказано в этом.

Свойство * (The *-property)

Субъект с уровнем секретности может писать информацию в объект с уровнем секретности в том и только в том случае, когда преобладает над . Это правило также известно под названием “нет записи вниз” (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Дискреционное свойство безопасности (The Discretionary Security Property)

Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.

 

Формальное описание модели

Обозначения

- — множество субъектов;

- — множество объектов, ;

- – множество прав доступа, — доступ на чтение, – доступ на запись;

- — множество уровней секретности, — Unclassified, — Sensitive but unclassified, — Secret, — Top secret;

- — решётка уровней секретности, где:

· — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

· — оператор наименьшей верхней границы;

· — оператор наибольшей нижней границы.

- – множество состояний системы, представляемое в виде набора упорядоченных пар , где:

· — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

· – матрица текущих прав доступа.

 

Система в модели Белла-ЛаПадулы состоит из следующий элементов:

- - начальное состояние системы;

- - множество прав доступа;

- - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

 

Определения состояния безопасности

Состояние называется достижимым в системе , если существует последовательность Начальное состояние является достижимым по определению.

Состояние системы называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: .

Состояние системы называется безопасным по записи (или * - безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

Состояние называется безопасным, если оно безопасно по чтению и по записи.
Система называется безопасной, если её начальное состояние v0 безопасно, и все состояния, достижимые из путём применения конечной последовательности запросов из , безопасны.

 







Последнее изменение этой страницы: 2017-02-22; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 34.231.21.160 (0.003 с.)