Модель Белл-Ла Падула

Автор: Администратор
Дата публикации: 6 июля 2012 года
Раздел: Защита от взлома

Одна из первых абстрактных моделей управления доступом была разработана Дэвидом Беллом и Леонардо Ла Падула для моделирования безопасной работы компьютера. Модель Белл-Ла Падула положена в основу принудительного разграничения доступа и в свою очередь основана на правилах документооборота, принятых в правительственных учреждениях США.

Рассмотрим систему из двух файлов и двух процессов. Один файл и один процесс являются несекретными, другой файл и процесс - секретными. Простое правило безопасности предотвращает чтение секретного файла несекретным процессом. Оба процесса могут читать и записывать данные в несекретный файл. Однако легко может произойти нарушение правил управления доступом, если секретный процесс считает информацию из секретного файла и запишет ее в несекретный файл. Это эквивалентно неавторизованному уменьшению уровня секретности информации, хотя при этом не изменяется уровень секретности ни одного файла. Когда процесс записывает информацию в файл, уровень секретности которого меньше, чем уровень секретности процесса, имеет место так называемый запрещенный процесс записи вниз. Таким образом, модель многоуровневой безопасности в соответствии с моделью Белл-Ла Падула должна удовлетворять двум свойствам:

  • Простая безопасность: субъект может только читать объект, если уровень секретности субъекта доминирует над уровнем секретности объекта. Другими словами, субъект может читать "вниз", но не может читать "вверх";
  • Свойство ограничения: субъект может только записать в объект, если уровень секретности объекта превосходит уровень секретности субъекта. Субъект может записывать "вверх", но не может записать "вниз".

Процесс не может ни читать объект с высшим классом доступа (свойство простой безопасности), ни записать объект с низшим классом доступа (свойство ограничения).

При формализации многоуровневого управления безопасностью, модель Белл?Ла Падула определяет структуру класса доступа, являющегося аналогом уровня секретности, и устанавливает упорядочивание отношений между классами доступа (доминирование). Кроме того, определяются два уникальных класса доступа: SYSTEM HIGH, который превосходит все остальные классы доступа, и SYSTEM LOW, который превосходят все другие классами. Изменения классов доступа в рамках модели Белл-Ла Падула не допускаются.

Управление доступом в модели Белл-Ла Падула происходит как с использованием матрицы управления доступом, так и с использованием меток безопасности и ранее приведенных правил простой безопасности и свойства ограничения.

В дополнение к имеющимся режимам доступа чтения и записи, матрица управления доступом включает режимы добавления, исполнения и управления - причем последний определяет, может ли субъект передавать другим субъектам права доступа, которыми он обладает по отношению к объекту.

Управление при помощи меток безопасности усиливает ограничение предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов.

В модели Белл-Ла Падула определено около двадцати функций (правил операций), выполняемых при модификации компонентов матрицы доступа, при запросе и получении доступа к объекту (например, при открытии файла), создании и удалении объектов. При этом для каждой функции доказывается сохранение ею, в соответствии с определением, безопасного состояния. Лишь немногие разработки безопасных систем использовали функции, предложенные Белл и Ла Падула, чаще использовались собственные функции, разработанные на основе функций модели Белл-Ла Падула. Поэтому в настоящее время, когда говорят о модели Белл-Ла Падула, имеются в виду только простое условие безопасности и свойство ограничения, а не функции, составляющие основу модели, и их доказательства.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42