Курс лекций Защита Информации/Модель Белла-ЛаПадулы: различия между версиями

Содержимое удалено Содержимое добавлено
Нет описания правки
Строка 1:
В модели всем участникам процесса обработки [[../Основные понятия и определения#Защищаемая информация| защищаемой информации]] и документам, в которых она содержится назначается специальная метка, получившая название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доменирования.
 
== Правила модели ==
Строка 10:
== Модель ==
 
Система модели безопасности Белла-ЛаПадула представляется в виде [[../Основные понятия и определения#Субъект доступа| субъектов]] <math>\{S\}</math>, [[../Основные понятия и определения#Объект доступа| объектов]] <math>\{O\}</math> и [[../Основные понятия и определения#Право доступа к информации| прав доступа]] <math>\{R\}</math>.
Уровни безопасности субъектов и объектов безопасности задаются с помощью функции безопасности:
<center><math>F: S \cup O \rightarrow L </math></center>
Строка 24:
 
=== Свойства отношений ===
* Рефлексивность: <math> \mathcal {8}~ a \in L : a \le a </math>, данное свойство означает, что между[[../Основные понятия и определения#Субъект доступа| субъектами]] и [[../Основные понятия и определения#Объект доступа| объектами]] одного уровня безопасности передача информации разрешена.
* Антисимметричность: <math> \forall a_1 , a_2 \in L : ((a_1 \le a_2) \And (a_2 \le a_1)) \rightarrow a_2 = a_1 </math>, свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
* Транзитивность: <math> \forall a_1 , a_2 , a_3 \in L : ((a_1 \le a_2) \And (a_2 \le a_3)) \rightarrow a_1 \le a_3 </math>, свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.
Строка 39:
Решетка <math>\Lambda</math> используется для описания отношений между уровнями безопасности (элементами множества <math>L</math>), которые могут являться не только целыми числами, для которых определено отношение <math>\le</math>, но и более сложными составными элементами.
 
В государственных организациях достаточно часто в качестве атрибутов безопасности используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множетсва. Такие атрибуты невозможно сравнивать с помощью арифеическихарифметических операций. В таком случае, отношение доминирования <math>\le</math> определяется как композиция отношений доминирования <math>\le</math> для уровней безопасности и отношения включения множеств <math>\sube</math> для наборов категорий. Отметим, что это никак не сказывается на свойствах модели, так как отношения доминирования <math>\le</math> и включения <math>\sube</math> обладают свойствами ассиметричности, транзитивности и рефлексивности. И, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку.
 
В мандатных моделях функция уровня безопасности <math>F</math> вместе с решеткой урвнейуровней определяет все допустимые отношения доступа между сущностями системы, следовательно множество состояний системы <math>U</math> представляется в виде набора упорядоченных пар <math>(F, M)</math>, где <math>M</math> — матрица доступа, отражающая текущую ситуацибситуацию с правами доступа субъектов <math>S</math> к объеткам <math>O</math>, содержание которой аналогично матрице прав доступа в [[../Модель Харрисона-Рузо-Ульмана| модели ХариссонаХаррисона-РуззоРузо-Ульмана]], но набор прав ограничен правами ''read'' и ''write''.
 
=== Эволюция системы ===
Строка 51:
== Безопасность состояния ==
 
# Состояние системы <math>(F, M)</math> называется '''безопасным по чтению''', если для каждого субъекта[[../Основные понятия и определения#Субъект доступа| Субъекта]], осуществляющего в этом состоянии доступ по чтению к [[../Основные понятия и определения#Объект доступа| объекту]], уровень безопасности субъекта доминирует над уровнем безопасности объекта: <math>\forall s \in S, \forall o \in O, r \in M [s,o] \rightarrow F(o) \le F(s)</math>
# Состояние системы <math>(F, M)</math> называется '''безопасным по записи''' в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта: <math>\forall s \in S, \forall o \in O, w \in M [s,o] \rightarrow F(s) \le F(o)</math>
# Состояние <math> (F, M) </math> называется '''безопасным''', если оно безопасно по чтению и по записи.