<<
>>

Модель Белла — Лападулы

Наиболее широкое распространение среди моделей многоуровневой защиты получила модель Белла — Лападулы (Bell — LaPadula model), поэтому она и будет рассмотрена в первую очередь (Bell and LaPadula, 1973).
Эта модель была разработана для обеспечения военной системы безопасности, но она подходит и для других организаций. У военных документы (объекты) должны обладать грифом секретности, например: «несекретный», «для служебного пользования», «секретный» и «совершенно секретный». Люди также получают форму допуска, определяющую, какие документы им разрешено просматривать. Генералу может быть разрешено просматривать все документы, а лейтенант может иметь допуск к просмотру лишь документов с грифом «секретно» и ниже. Процесс, принадлежащий пользователю, приобретает его уровень безопасности. Так как уровней безопасности несколько, такая схема называется многоуровневой системой безопасности (multilevel security system).

Модель Белла — Лападулы имеет следующие правила организации информационного потока.

1. Простое свойство безопасности (The simple security property) — процесс, запущенный на уровне безопасности k, может проводить операцию чтения только в отношении объектов своего или более низкого уровня. К примеру, генерал может читать документы лейтенанта, но лейтенант не может читать генеральские документы.

2. Свойство * (The * property) — процесс, работающий на уровне безопасности k, может вести запись только в объекты своего или более высокого уровня. К примеру, лейтенант может добавить сообщение в генеральский почтовый ящик, докладывая обо всем, что ему известно, но генерал не может добавить сообщение в лейтенантский почтовый ящик, сообщая о том, что известно ему, поскольку генерал может быть ознакомлен с совершенно секретными документами, содержание которых не должно доводиться до лейтенанта.

Кратко подытоживая: процессы могут осуществлять чтение вниз и запись наверх, но не наоборот. Если система четко соблюдает эти два свойства, то можно показать, что утечки информации с более безопасного уровня на менее безопасный не будет. Свойство * получило такое название потому, что в исходном тексте своего доклада авторы не смогли придумать для него подходящего названия и временно, до тех пор, пока не придумают что-либо стоящее, на его место поставили символ *. Но свое намерение они так и не осуществили, и доклад был распечатан с символом звездочки. В этой модели процессы осуществляют операции чтения и записи в отношении объектов, но напрямую друг с другом не общаются. Графическое представление модели Белла — Лападулы показано на рис. 9.9.

Рис. 9.9. Многоуровневая модель безопасности Белла — Лападулы

На этом рисунке сплошная стрелка от объекта к процессу показывает, что процесс осуществляет чтение объекта, то есть информационный поток идет от объекта к процессу. По аналогии с этим пунктирная стрелка от процесса к объекту показывает, что процесс осуществляет запись в объект, то есть информационный поток идет от процесса к объекту. Таким образом, информационные потоки следуют по направлениям, указанным стрелками. Например, процесс B может читать данные из объекта 1, но не может считывать данные из объекта 3.

Согласно простому свойству безопасности, все сплошные стрелки, обозначающие чтение, идут в стороны или вверх. Согласно свойству *, все пунктирные стрелки, обозначающие запись, также идут в стороны или вверх. Поскольку информационные потоки направляются только горизонтально или наверх, любая информация, происходящая из уровня k, никогда не может оказаться на более низком уровне. Иными словами, путей следования информации вниз просто не существует, чем, собственно, и гарантируется безопасность модели.

Модель Белла — Лападулы относится к организационной структуре, но в конечном счете она должна быть реализована операционной системой. Один из способов реализации заключается в назначении каждому пользователю уровня безопасности, который должен храниться вместе с другими относящимися к пользователю данными, например UID и GID. После входа в систему пользовательская оболочка приобретет пользовательский уровень безопасности, который будет унаследован всеми ее дочерними процессами. Если процесс, выполняющийся на уровне безопасности k, попытается открыть файл или другой объект, уровень безопасности которого выше k, то операционная система должна отклонить попытку открытия файла. По аналогии с этим должны отклоняться и все попытки открыть для записи любой объект, уровень безопасности которого ниже, чем k.

<< | >>
Источник: Э. ТАНЕНБАУМ Х. БОС. СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМ Ы 4-е ИЗДАНИЕ. 2015

Еще по теме Модель Белла — Лападулы:

  1. ПАРАЛИЧ БЕЛЛА См. статью БЕЛЛА (ЗНАК). ПАРАНОЙЯ См. статьи ОДЕРЖИМОСТЬ И ПОМЕШАТЕЛЬСТВО.
  2. БЕЛЛА (ЗНАК)
  3. Модель личности журналиста: профессиональные, социально-гражданские, нравственные, психологические и социально-демографические характеристики. Модификация общей модели для разных специализаций (репортер, аналитик, расследователь, публицист, ведущий-модератор и т.п.).
  4. МОДЕЛЬ ИНФОРМАЦИОННАЯ
  5. 2. Полезная модель.
  6. Тема 6. Модели жизненного цикла
  7. МОДЕЛЬ ОБРАЗНО-КОНЦЕПТУАЛЬНАЯ
  8. 3. Патентоспособность полезной модели
  9. 3. МОДЕЛИ ДЕМОКРАТИИ
  10. Модель SOAR
  11. Тема 7. Модели волновой динамики
  12. 4.1. Теории, и модели
  13. Ю.М. Плотински. Модели социальных процессо, 2001