Bell-Lapadula model

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 26. juni 2016; checks kræver 19 redigeringer .

Bell-LaPadula-modellen er en adgangskontrol- og administrationsmodel baseret på den påbudte adgangskontrolmodel . Modellen analyserer de forhold, hvorunder det er umuligt at skabe informationsstrømme fra fag med højere adgangsniveau til fag med lavere adgangsniveau.

Historie

Den klassiske Bell-LaPadula-model blev beskrevet i 1975 af MITER Corporation -medarbejdere David Bell og Leonard Lapadula, som blev bedt om at skabe en model af et sikkerhedssystem til at arbejde med klassificerede dokumenter fra den amerikanske regering [1] [2] [3] . Essensen af systemet var som følger: Hvert emne (person, der arbejder med dokumenter) og objekt (dokumenter) er tildelt et fortrolighedsmærke, startende fra den højeste ("særlig betydning"), slutter med den laveste ("ikke-hemmelig" eller "offentlig"). Desuden kan et emne, der kun har adgang til objekter med en etiket med lavere følsomhed, ikke få adgang til et objekt med en etiket med højere følsomhed. Forsøgspersonen har også forbud mod at skrive information til genstande med et lavere sikkerhedsniveau.

Funktioner

Bell-LaPadula-modellen er en model til at begrænse adgangen til beskyttet information. Det er beskrevet af en endelig automat med et gyldigt sæt af tilstande, hvor et informationssystem kan placeres . Alle elementer, der udgør informationssystemet, er opdelt i to kategorier - emner og objekter. Hvert emne tildeles sit eget adgangsniveau svarende til graden af fortrolighed. På samme måde tildeles et objekt et sikkerhedsniveau. Begrebet et sikkert system er defineret som følger: hver tilstand af systemet skal overholde den sikkerhedspolitik, der er fastsat for dette informationssystem . Overgangen mellem tilstande beskrives ved overgangsfunktioner. Systemet er i en sikker tilstand, hvis hvert emne kun har adgang til de objekter, der er tilladt adgang baseret på den aktuelle sikkerhedspolitik . For at afgøre, om et subjekt har ret til at få en bestemt type adgang til et objekt, sammenlignes subjektets sikkerhedsniveau med objektets sikkerhedsniveau, og ud fra denne sammenligning besluttes det, om der skal gives den ønskede adgang eller ej. Adgangsniveau/sikkerhedsniveausæt beskrives ved hjælp af en adgangsmatrix.
De vigtigste regler, der sikrer adgangskontrol, er som følger:

The Simple Security

Et emne med et adgangsniveau kan kun læse information fra et objekt med et sikkerhedsniveau, når det råder over . Denne regel er også kendt som No Read Top (NRU). For eksempel, hvis et emne med kun adgang til uklassificerede data forsøger at læse et objekt med sikkerhedsniveauet "tophemmeligt", vil det blive afvist. $x_{s}$ $x_{o}$ $x_{s}$ $x_{o}$

Ejendom * (*-egenskaben)

Et emne med sikkerhedsniveau x s kan kun skrive information til et objekt med sikkerhedsniveau x o , hvis x o råder over . Denne regel er også kendt som No Write Down (NWD). For eksempel, hvis et emne med et Top Secret-adgangsniveau forsøger at skrive til et objekt med et Secret-niveau, vil det blive afvist. $x_{s}$

Den diskretionære sikkerhedsejendom

Den består i, at subjektets skønsmæssige adgangsrettigheder til objektet bestemmes ud fra adgangsmatrixen.

Formel beskrivelse af modellen

Notation

$S\$ — sæt af emner;
$O\$ er et sæt af objekter, ; $S\undersæt O$
$R=\{r,\w\}$ — sæt af adgangsrettigheder — læseadgang — skriveadgang; $r\$ $w\$
$L=\{U,SU,C,S,TS\}\$ - mange niveauer af hemmeligholdelse, - Uklassificeret, - Følsom, men uklassificeret, C - Fortroligt, - Hemmeligt, - Tophemmeligt; $U\$ $SU\$ $S\$ $TS\$
$\Lambda =(L,\leq,\bullet,\nogle gange)$ — et gitter af hemmeligholdelsesniveauer, hvor:
- $\leq$ er en operatør , der definerer en delvis ikke-streng ordrerelation for sikkerhedsniveauer;
- $\kugle$ er operatoren for den mindste øvre grænse;
- $\ nogle gange$ er operatøren af den største nedre grænse.
$V\$ er et sæt af systemtilstande, repræsenteret som et sæt af ordnede par , hvor: $(F,M)\$
- $F:S\kop O\højrepil L$ - funktionen af hemmeligholdelsesniveauer, som tildeler et vist niveau af hemmeligholdelse til hvert objekt og subjekt i systemet;
- $M\$ er en matrix af aktuelle adgangsrettigheder.

Den relationelle operator har følgende egenskaber: $\leq$

Refleksivitet: , denne egenskab betyder, at overførsel af information mellem subjekter og objekter med samme sikkerhedsniveau er tilladt. $\forall a\in L:a\leq a$
Antisymmetri: , egenskaben betyder, at hvis information kan overføres fra subjekter og objekter på niveau A til subjekter og objekter på niveau B, og fra subjekter og objekter på niveau B til subjekter og objekter på niveau A, så er disse niveauer ækvivalente. $\forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}= a_{1}$
Transitivitet: egenskab betyder, at hvis information kan overføres fra subjekter og objekter på niveau A til subjekter og objekter på niveau B, og fra subjekter og objekter på niveau B til subjekter og objekter på niveau C, så kan den overføres fra subjekter og objekter af niveau A til fag og niveau C objekter. $\forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}$

Operatoren Least Upper Bound er defineret af følgende forhold: $\kugle$

a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\ højrepil (a'\leq a_{1}\vee a'\leq a_{2}))

Den maksimale nedre grænse- operator er defineret af følgende relation: $\ nogle gange$

a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1 }\Og a'\leq a_{2})\rightarrow (a'\leq a))

Baseret på definitionen af disse to operatorer kan det vises, at der for hvert par er et unikt element af den mindste øvre grænse og et unikt element af den største nedre grænse. $a_{1},a_{2}\in L$

Systemet i Bell-LaPadula modellen består af følgende elementer: $\Sigma =(\nu _{0},R,T)$

$\nu _{0}\$ er systemets begyndelsestilstand;
$\mathbb{R} \$ — sæt af adgangsrettigheder;
$T:V\gange R\højrepil V$ - en overgangsfunktion, der under udførelsen af anmodninger overfører systemet fra en tilstand til en anden.

Sikkerhedstilstandsdefinitioner

En tilstand siges at være tilgængelig i systemet, hvis der er en sekvens . Starttilstanden kan nås per definition. $\nu\$ $\Sigma =(\nu _{0},R,T)$ $\{(r_{0},\nu _{0}),...,(r_{{n-1}},\nu _{{n-1}}),(r_{n},\nu _{n})\}:T(r_{i},\nu _{i})=\nu _{{i+1}}~\forall i=0,n-1$ $\nu _{0}\$

En systemtilstand siges at være læsesikker (eller simpel-sikker), hvis for hvert emne, der har læseadgang til et objekt i denne tilstand, dominerer emnets sikkerhedsniveau objektets sikkerhedsniveau: $(F,M)$ $\forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)$

En systemtilstand kaldes skrivesikker (eller * - sikker), hvis for hvert emne, der udfører skriveadgang til et objekt i denne tilstand, så dominerer objektets sikkerhedsniveau emnets sikkerhedsniveau: $(F,M)$ $\forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)$

En tilstand siges at være sikker , hvis den er både læse- og skrivesikker. $(F,M)$

Et system kaldes sikkert , hvis dets oprindelige tilstand er sikker, og alle tilstande, der kan nås fra ved at anvende en sidste sekvens af forespørgsler fra , er sikre. $\Sigma =(\nu _{0},R,T)$ $\nu _{0}\$ $\nu _{0}\$ $R\$

The Bell-LaPadula Fundamental Security Theorem

Et system er sikkert, hvis og kun hvis følgende betingelser er opfyldt: $\Sigma =(\nu _{0},R,T)$

Den oprindelige tilstand er sikker. $\nu _{0}\$
For enhver tilstand, der kan nås fra ved at anvende en endelig sekvens af forespørgsler fra , såsom og , er følgende betingelser opfyldt: $\nu\$ $\nu _{0}\$ $R\$ $T(\nu,r)=\nu ^{*},\nu =(F,M)$ $\nu ^{*}=(F^{*},M^{*})$ $\forall s\in S,\forall o\in O$
1. Hvis og så $r\in M^{*}[s,o]$ $r\notin M[s,o]$ $F^{*}(o)\leq F^{*}(s)$
2. Hvis og så $r\in M[s,o]$ $F^{*}(s)<F^{*}(o)$ $r\notin M^{*}[s,o]$
3. Hvis og så $w\in M^{*}[s,o]$ $i M[s,o]$ $F^{*}(s)\leq F^{*}(o)$
4. Hvis og så $w\in M[s,o]$ $F^{*}(o)<F^{*}(s)$ $w\notin M^{*}[s,o]$

Bevis for sætningen

Lad os bevise nødvendigheden af udsagnet
Lad systemet være sikkert. I dette tilfælde er den oprindelige tilstand sikker per definition. Antag, at der er en sikker tilstand, der kan nås fra staten , og for denne overgang er en af betingelserne 1-4 overtrådt. Det er let at se, at hvis vilkår 1 eller 2 overtrædes, så vil staten være usikker til læsning, og hvis vilkår 3 eller 4 overtrædes, vil den være usikker at skrive. I begge tilfælde får vi en modsætning med, at staten er sikker. Lad os bevise påstandens tilstrækkelighed. Et system kan være usikkert i to tilfælde: $\Sigma =(\nu _{0},R,T)$ $\nu _{0}\$ $\nu ^{*}\$ $\nu :~T(\nu ,r)=\nu ^{*}$ $\nu ^{*}\$ $\nu ^{*}\$

$\Sigma =(\nu _{0},R,T)$

Hvis den oprindelige tilstand er usikker. Dette udsagn modsiger dog sætningens betingelse. $\nu _{0}\$
Hvis der er en usikker tilstand, der kan nås fra en sikker tilstand ved at anvende et begrænset antal forespørgsler fra . Det betyder, at der på et eller andet mellemstadie var en overgang , hvor er en sikker tilstand og er en usikker tilstand. Betingelser 1-4 gør dog denne overgang umulig. $\nu ^{*}\$ $\nu _{0}\$ $R\$ $T(\nu ,r)=\nu ^{*}$ $\nu\$ $\nu ^{*}\$

■

Ulemper

På grund af sin enkelhed har den klassiske Bell-Lapadula-model en række alvorlige ulemper:

Forbud mod at optage "ned". I Bell-LaPadula modellen er det ikke muligt at skrive fra objekter med et højere niveau af privatliv til objekter med et lavere niveau. For eksempel er det ikke muligt at omskrive den tophemmelige besked til den hemmelige klasse , selvom dette nogle gange er nødvendigt [4] .
Mangel på objekter på flere niveauer. Det er tilladt at læse og skrive information mellem objekter på kun ét niveau. For eksempel, når du læser uklassificeret privatlivsniveauinformation fra en meddelelse om klassehemmelighed , vil systemet være tvunget til at tildele klassehemmeligheden [ 4] til den information, der læses .
Mangel på alsidighed. For eksempel skal der i militære meddelelsessystemer defineres særlige sikkerhedsregler, som ikke findes i andre applikationer af modellen. Sådanne regler er ikke beskrevet af Bell-LaPadula-modellen og skal derfor defineres uden for modellen [6]
Som for andre modeller for obligatorisk adgangskontrol er tilstedeværelsen af hemmelige informationstransmissionskanaler karakteristisk .

Fjernlæsning

I et distribueret system initieres en læsning af en skriveanmodning til et objekt med et lavere sikkerhedsniveau, hvilket er en overtrædelse af reglerne i den klassiske Bell-LaPadula-model.

se også

Noter

↑ Bell, David Elliott og LaPadula, Leonard J. Secure Computer Systems : Mathematical Foundations . - MITER Corporation, 1973. Arkiveret fra originalen den 18. juni 2006.
↑ Bell, David Elliott og LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation : journal . — MITER Corporation, 1976.
↑ Bell, David Elliott (december 2005). "Ser tilbage på Bell-LaPadula-modellen" (PDF) . Proceedings fra den 21. årlige konference om computersikkerhedsapplikationer . Tucson, Arizona, USA. pp. 337-351. DOI : 10.1109/CSAC.2005.37 . Arkiveret (PDF) fra originalen 2020-02-21 . Hentet 2010-12-17 . Forældet parameter brugt |deadlink=( hjælp ) Slides - ser tilbage på Bell-LaPadula-modellen arkiveret 8. juni 2008 på Wayback Machine

Litteratur

Tsirlov VL Grundlæggende om informationssikkerhed i automatiserede systemer. - R .: Phoenix, 2008. S. 40-44 ISBN 978-5-222-13164-0
Devyanin PN Security Models of Computer Systems: Lærebog for studerende på videregående uddannelsesinstitutioner. - M .: Publishing Center "Academy", 2005. S. 55-66 ISBN 5-7695-2053-1
Grusho A. A., Timonina E. E. Teoretisk grundlag for informationsbeskyttelse. - M .: Forlag for Yachtsman Agency, 1996. C 52-55
A. P. Baranov, N. P. Borisenko, P. D. Zegzhda, A. G. Rostovtsev, Kort S. S. - Matematiske grundlag for informationssikkerhed. - M .: Publishing House of the Yachtsman Agency, 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf