Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Базовая теорема безопасности (BST).

1. Модель Белла-Лападулы

Модель БЛ построена для анализа систем защиты, реализующих мандатное разграничение доступа. Модель основана на правилах секретного документооборота, принятых в гос. и правительственных учреждениях многих стран. Основным положением модели явл. назначение всем участникам процесса обработки защищаемой И. спец.метки (с, сс и т.д.) получившей название – уровень безопасности. Контроль доступа осущ. в зависимости от уровня без-ти взаимод. сторон на основании 2 правил:

1. - S имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень без-ти (допуск).

2. - S имеет право заносить И. только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Т.о., управление доступом происходит неявным образом (с помощью назначения S и О системного уровня безопасности), кот. определяет все допустимые взаимодествия между ними. В тех ситуациях когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с к.-л. дискретной, которая используется для контроля за взаимодействиями м/у сущностями одного уровня и для установки доп. ограничений.

Пусть определены конечные множества: S-множество субъектов системы (например, пользователи системы и программы); О-множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О.

Обозначим:

B = {bÍS´О´R}-множество возможных множеств текущих доступов в системе;

М-матрица разрешенных доступов, где М_soÎR-разрешенный доступ субъекта s к объекту о;

L -множество уровней секретности, например L={U,C,S,TS}, где

U<C<S<TS;

(f_s,f_o,f_c)ÎF=L^sx L^ox L^s - тройка функций (f_s,f_o,f_c), определяющих:

· f_s: S®L- уровень допуска субъекта;

· f_o: O®L-уровень секретности объекта;

· f_c: S®L-текущий уровень допуска субъекта, при этом"sÎSf_c(s)≤ f_s(s);

H-текущий уровень иерархии объектов (далее не рассматривается);

V=B x M x F x H- множество состояний системы;

Q- множество запросов системе;

D - множество решений по запросам, например {yes, no, error};

WÍQ x D x V xV - множество действий системы, где четверка (q,d,v₂,v₁,)ÎW означает, что система по запросу q с ответом d перешла из состояния v₁ в состояние v₂,

N₀- множество значений времени (N₀ =0,1,2,...);

X - множество функций х: N₀®Q, задающих все возможные последова­тельности запросов к системе;

У-множество функций у: N₀®D, задающих все возможные последова­тельности ответов системы по запросам;

Z -множество функций z: N₀®V, задающих все возможные последовательности состояний системы.

Определения:

1.å(Q,D,W,z₀)ÎX x V xZ называется системой, если вы­полняется (x,y,z)Îå(Q,D,W,z₀) тогда и только тогда, когда (x_t,y_t,z_t+1,z_t) ÎW для каждого, tÎN₀ где z₀-начальное состояние системы. При этом каж­дый набор (x,y,z)Îå(Q,D,W,z₀)называется реализацией системы, a (x_t,y_t,z_t+1,z_t) ÎW - действием системы "tÎN₀.

Безопасность системы определяется с помощью трех свойств:

1) ss-свойства простой безопасности (simple security);

2) *- свойства "звезда";

3)ds - свойства дискретной безопасности (discretionary security).

2. Доступ (s,o,r)ÎS´O´R обладает ss-свойством отно­сительно f=(f_s,f_o,f_c)ÎF. если выполняется одно из условий:

• rÎ{execute, append};

• rÎ{read, write} и f_s(s)³f_o(o).

З. Состояние системы (b,M,f,h)ÎV обладает ss-свой­ством, если каждый элемент (s,o,r)Îb обладает ss-свойством относи­тельно f.

4. Доступ (s,o,r)ÎS´O´R удовлетворяет *-свойству от­носительно f=(f_s,f_o,f_c)ÎF, если выполняется одно из условий:

• r=execute;

• r=append и f_o(o)=f_c(s);

• r=read и f_c (s)= f_o(o);

• r=write и f_c (s)= f_o(o).

5. Состояние системы (b,M,f,h)ÎV обладает *-свойством, если каждый элемент (s, о, г)ÎЬ обладает *-свойством относительно f.

6. Состояние системы (b,M,f,h)ÎV обладает *-свойст­вом, относительно подмножества S'ÍS, если каждый элемент (s,o,r)Îb, где sÎS'обладает *-свойством относительно f. При этом S\S' называются множеством доверенных субъектов, т. е. субъектов, имеющих право нару­шать политику безопасности.

7. Состояние системы (b,M,f,h) ÎV обладает ds-свойством, если для каждого элемента (s,o,r) Îb выполняется rÎM_so.

8. Состояние системы (b,M,f,h) называется безопас­ным, если обладает *-свойством относительно S', ss-свойством и ds-свойством.

9. Реализация системы (x,y,z)Îå(Q,D,W,zo) обладает ss-свойством (*-свойством, d-свойством), если в последовательности (z₀,z₁,...) каждое состояние обладает ss-свойством (*-свойством, ds-свой­ством).

10. Система å(Q,D,W,z_o) обладает ss-свойством (*-свой­ством, ds-свойством), если каждая ее реализация обладает ss-свойством (*-свойством, ds-свойством).

11. Система å(Q,D,W,z_o) называется безопасной, если она обладает ss-свойством, *-свойством, ds-свойством одновременно.

Прокомментируем введенные выше свойства безопасности системы. Во-первых, из обладания доступом * - свойством относительно f следует обладание этим доступом ss-свойством относительно f. Во-вторых, из об­ладания системой ss-свойством следует, что в модели БЛ выполняется запрет на чтение вверх, принятый в мандатной (полномочной) политике безопасности. Кроме того, ss-свойство не допускает модификацию с ис­пользованием доступа write, если f_s(s) <f_o(o). Таким образом, функция f_s(s) определяет для субъекта s верхний уровень секретности объектов, к кото­рым он потенциально может получить доступ read или write.

В-третьих, поясним *-свойство. Если субъект s может понизить свой текущий доступ до f_c(s) = f_o(о), то он может получить доступ write к объекту о, но не доступ read к объекту о', с уровнем f_o(о')>f_c(s). Хотя при этом, возможно, выполняется f_s(s)= f_o(о') и в каких-то других состояниях систе­мы субъект s может получить доступ read к объекту о'. Таким образом, *-свойство исключает появление в системе канала утечки информации сверху вниз и соответствует требованиям мандатной (полномочной) политики безопасности.

Проверка безопасности системы по определению в большинстве случаев не может быть реализована на практике в связи тем, что при этом требуется проверка безопасности всех реализаций системы, а их беско­нечно много. Следовательно, необходимо определить и обосновать иные условия безопасности системы, которые можно проверять на практике. В классической модели БЛ эти условия определяются для множества дей­ствий системы W.

ТеоремаА1.

Система å(Q, D, W, z_o) обладает ss-свойством для любо­го начального состояния z_o, обладающего ss-свойством, тогда и только тогда, когда "(q,d,(b*, М*,f*,h*), (b, M,f, h)) ÎW удовлетворяет условиям:

Условие 1."(s,o,r) Îb*\b обладает ss-свойством относительно f*.

Условие 2. Если (s,o,r)Îb и не обладает ss-свойством относительно f*, то (s,o, г) Ïb*.

Доказательство.

Достаточность. Пусть выполнены условия 1 и 2 и пусть (x,y,z)Îå (Q,D, W,z_o) - произвольная реализация системы. Тогда (х_t,y_t,(b_t+1, M_t+1, f_t+1,h_t+1)(b_t, M_t, f_t, h_t)) ÎW, где z_t+1 = (b_t+1, M_t+1, f_t+1, h_t+1), z_t = (b_t, M_t, f_t, h_t) для tÎN₀.

Для любого (s,o,r) Îb_t+1 выполняется или (s,o,r) Îb_t+1\b_t, или (s,o,r)Îb_t. Из условия 1 следует, что состояние системы z_t+1 пополнилось досту­пами, которые обладают ss-свойством относительно f*. Из условия 2 сле­дует, что доступы из b_t, которые не обладают ss-свойством относительно f* не входят в b_t+1. Следовательно "(s,o,r) Îb_t+1 обладают ss-свойством относительно f* и по определению состояние z_t+1 обладает ss-свойством для tÎN_o. Так как по условию и состояние z_o обладает ss-свойством, то выбранная нами произвольная реализация (x,y,z) также обладает ss-свойством. Достаточность доказана.

Необходимость. Пусть система å (Q,D,W,z_o) обладает ss-свойством. Бу­дем считать, что в множество W входят только те действия системы, кото­рые используются в ее реализациях. Тогда "(q,d,(b*,M*,f*,h*),(b,M,f,h))ÎW$$(x,y,z) Îå(Q,D,W,z_o) и $tÎN₀: (q,d,(b*,M*,f*,h*),(b,M,f,h))= (х_t,y_t,z_t+1,z_t). Так как реализация системы (x,y,z) обладает ss-свойством, то и со­стояние z_t+1 = =(b*,M*,f*,h*) обладает ss-свойством по определению. Сле­довательно, условия 1 и 2 очевидно выполняются. Необходимость дока­зана.

Теорема А2.

Система å (Q,D,W,z_o) обладает *-свойством относи­тельно S'ÍS для любого начального состояния z_o, обладающего *-свой­ством относительно S', тогда и только тогда, когда "(q,d,(b*,M*,f*,h*),(b,M,f,h))ÎW удовлетворяет условиям:

Условие 1. "sÎS', "(s,o,r) Îb*\b обладает *-свойством относительно f*.

Условие 2."sÎS', если (s,o,r) Îb и не обладает *-свойством относи­тельно f*, то (s,o.r) Ïb*.

Доказательство. Аналогично доказательству теоремы А1.

Теорема A3.

Система å (Q,D,W,z_o) обладает ds-свойством для любо­го начального состояния z_o, обладающего ds-свойством, тогда и только тогда, когда "(q,d,(b*,M*,f*,h*),(b,M,f,h))ÎW удовлетворяет условиям:

Условие 1."(s,o,r)Îb*\b, выполняется rÎm_so.

Условие 2. Если (s,o,r)Îb и rÏm_so, то (s,o,r) Ïb*.

Доказательство. Аналогично доказательству теоремы А1.

2. Теорема BST (Basic Security Theorem).

Система å (Q,D,W,z_o) безо­пасна тогда и только тогда, когда z_o безопасное состояние и множество действий системы W удовлетворяет условиям теорем А1, А2, A3.

Доказательство. Теорема BST следует из теорем А1, А2, A3.

Описанная выше классическая модель БЛ предлагает общий подход к построению систем, реализующих мандатную (полномочную) политику безопасности. В модели БЛ определяется, какими свойствами должны обладать состояния и действия системы, чтобы она была безопасной со­гласно определению 11. В то же время в модели не указывается конкрет­но, что должна делать система по запросам на доступ субъектов к объек­там при переходе из состояния в состояние, как конкретно должны при этом изменяться значения элементов модели.

Проблемы использования модели БЛ

Кроме отмеченной выше проблемы некорректного определения безопасности в модели БЛ возможно возникновение трудностей иного рода, возникающих при использовании модели БЛ в реальных компьютер­ных системах. Таким образом, без дополнительных уточнений свойств безопасно­сти и порядка написания кода программ классическая модель БЛ не спо­собна предотвратить возникновение некоторых каналов утечки информа­ции. В тоже время слишком строгая политика безопасности может привести к трудностям или даже невозможности практического использования системы защиты. Кроме того, как уже отмечалось выше, доопределение и усложнение свойств безопасности также несет в себе скрытую угрозу.

21. Основные положения критериев TCSEC (“Оранжевая книга”). Фундаментальные требования компьютерной безопасности. Требования классов защиты.

В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как "политика безопасности", "корректность" и др. Согласно "Оранжевой книге" безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

Общаяструктуратребований TCSEC

В "Оранжевой книге" предложены три категории требований безопасности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних - на качество средств защиты.