Модель Белла и Лападула
Модель, получившая название модели Белла и Лападула (БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Об этом свидетельствует огромное количество различных документов, ссылающихся в библиографии на первоначальную БЛМ. Данная модель лежит в основе построения MAC. Идеи, заложенные в БЛМ, могут быть использованы при построении различных политик безопасности.
Основным наблюдением, сделанным Беллом и Лападулой является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретные). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам, этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности. Это ведет к первому правилу БЛМ.
Простое свойство безопасности, также известное как правило «нет чтения вверх» (NRD), гласит, что субъект с уровнем безопасностиxs может читать информацию из объекта с уровнем безопасностиxo, только еслиxsпреобладает надxo. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа секретный попытается прочитать информацию из объекта, классифицированного как совершенно секретный, то такой доступ не будет разрешен.
Белл и Лападула сделали дополнительное наблюдение при построении своей модели: в правительстве США субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень безопасности. Например, когда совершенно секретный документ помещается в неклассифицированное мусорное ведро, может произойти утечка информации. Это ведет ко второму правилу БЛМ.
Свойство-*, известное как правило "нет записи вниз" (NRD), гласит, что субъект безопасностиxsможет писать информацию в объект с уровнем безопасностиxoтолько еслиxoпреобладает надxs. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа совершенно секретный попытается записать информацию в неклассифицированный объект, то такой доступ не будет разрешен.
Правило запрета по записи является большим упрощением некоторых реализаций БЛМ. Так, некоторые описания включают более детальное понятие типа доступа (например, такие как добавление и выполнение). Помимо этого, многие модели БЛМ включают понятие дискретной защиты с целью обеспечения хорошо гранулированной защиты при сохранении всех преимуществ БЛМ.
Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.
Рассмотрим формализацию БЛМ. В соответствии с определениями:
S —множество субъектов;
О —множество объектов;
L —решетка уровней безопасности;
F:SOL— функция, применяемая к субъектам и объектам; определяет уровни безопасности своих аргументов в данном состоянии;
V —множество состояний —множество упорядоченных пар (F, М), где М —матрица доступа субъектов системы к объектам.
Система представляется начальным состоянием v, определенным множеством запросовRи функцией переходовT: (VR)V, такой что система переходит из состояния в состояние после исполнения запроса. Сформулируем определения, необходимые для доказательства основной теоремы безопасности (ОТБ), доказанной для БЛМ.
Определение 1.Состояние (F, М) безопасно по чтению (RS) тогда и только тогда, когда дляsSи дляoO, чтениеM[s, о]F(s)F(o).
Определение 2. Состояние (F,М) безопасно по записи (WS, *-свойство) тогда и только тогда, когда дляsSи дляoO, запись M[s,о] F(o)F(s)
Определение З. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.
Определение 4. Система (vo,R, Т) безопасна тогда и только тогда, когда состояниеvoбезопасно и любое состояние, достижимое изvoпосле исполнения конечной последовательности запросов из Rбезопасны в смысле определения 3.
Теорема 2.2.(ОТБ) Система (vo, R,Т) безопасна тогда и только тогда, когда состояниеvoбезопасно и Т таково, что для любого состоянияv, достижимого изvoпосле исполнения конечной последовательности запросов из R безопасны, еслиT(v,c)=v*, гдеv=(F, М) иv*=(F*, М*), такие что для sSи для oO
если чтение M*[s, о] и чтение M[s,о], тоF* (s)F*(o);
если чтение M[s,о] иF*(s)<F*(o), то чтение M*[s,о];
если запись M*[s,о] и запись M[s,о], тоF*(o)F*(s);
если запись M[s,о] иF*(o)<F*(s), то запись M*[s,о].
Доказательство:
1.Необходимость. Предположим система безопасна. СостояниеVoбезопасно по определению. Если имеется некоторое состояниеv, достижимое из состоянияvoпосле исполнения конечной последовательности запросов из R, таких что T(v,c)=v*, хотяv* не удовлетворяет одному из двух первых ограничений для Т, тоv* будет достижимым состоянием, но противоречащим ограничению по чтению. Еслиv* не удовлетворяет одному из двух последних ограничений для Т, тоv* будет достижимым состоянием, но противоречащим ограничению по записи. В любом случае система небезопасна.
2.Достаточность. Предположим, что система небезопасна. В этом случае, либоvoдолжно быть небезопасно, либо должно быть небезопасное состояниеv, достижимое из состоянияvoпосле исполнения конечной последовательности запросов из R.Если Уд небезопасно —все доказано. Еслиvoбезопасно, допустим чтоv* —первое в последовательности запросов небезопасное состояние. Это означает, что имеется такое безопасное состояниеv, такое что T(v, c)=v*,гдеv— небезопасно. Но это противоречит четырем ограничениям на Т.
Несмотря на все достоинства, оказалось, что при использовании БЛМ в контексте практического проектирования и разработки реальных компьютерных систем возникает ряд технических вопросов. Данные вопросы являются логическим следствием достоинства БЛМ —ее простоты. Проблемы возникают при рассмотрении вопросов построения политик безопасности для конкретных типов систем, т.е. на менее абстрактном уровне рассмотрения. Как следствие, в мире компьютерной безопасности ведется широкая полемика по поводу применимости БЛМ для построения безопасных систем.
Рассмотрим ряд примеров критики БЛМ. Некоторые из них взяты из литературы, посвященной вопросам безопасности, другие часто включаются в техническое описание и представляют собой так называемую "обязательную критику" БЛМ.
Начнем данное рассмотрение с обсуждения проблемы, возникающей в распределенных системах, удовлетворяющих правилам БЛМ. В частности, покажем, что запрос на чтение вызывает протекание потоков информации в обоих направлениях между компонентами, что является нарушением правил модели. Затем рассмотрим проблему использования этой модели для обеспечения безопасности доверенных субъектов, которые выполняют наиболее критичные задачи в компьютерной системе. Завершим обсуждение примером описания компьютерной системы, известной как система Z.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.