Классическая MAC - модель Белла и Лападула (БЛМ)

Появление: Белл и Лападула следили за тем, как переносятся доку­менты на бумажных носителях между людьми в государственных органи­зациях.

Выводы:

1. В правительстве США все субъекты и объекты ассоциируются с
уровнями безопасности (от низких, неклассифицированных до высоких,
совершенно секретных); для предотвращения утечки информации, субъ­
ектам с низкими уровнями безопасности не позволяется читать информа­
цию из объектов с высокими уровнями безопасности.

Отсюда следует первое правило БЛМ (простое свойство безопасно­сти, «нет чтения вверх») - NRU (no read up) - субъект с уровнем безопас­ности Xs может читать информацию из объекта с уровнем безопасности Хо, только если Xs преобладает над Хо.

2. В правительстве США субъектам запрещено размещать или запи­
сывать информацию в объекты, имеющие более низкий уровень секретно­
сти (например, нельзя выбрасывать бумаги в мусорное ведро).

Второе правило БЛМ («нет записи вниз») - NRD (no write down) -субъект с уровнем безопасности Xs может писать информацию в объект с уровнем безопасности Хо, только если Хо преобладает над Xs.

Именно второе правило БЛМ решает проблему троянских коней: ти­пичная ситуация для троянских коней, когда информация переносится с более высокого уровня на более низкий, невозможна.

Формализация БЛМ:

Если S - множество субъектов, О - множество объектов, L - решет­ка уровней безопасности, тогда можно определить функцию F, опреде­ляющую уровни безопасности своих аргументов в данном состоянии. Применяется к субъектам и объектам, записывается как:

F: SuO— >L.

V - множество состояний, которое составляется из упорядоченных пар (F, М). М - матрица доступа субъектов системы к объектам. Более то­го, система представляется начальным состоянием Vo, определенным множеством запросов к системе R и функцией переходов Т: (V х R) —>V, то есть такой, что система переходит из состояния в состояние после ис­полнения запроса.

Определение 1

Состояние (F, М) безопасно по чтению тогда и только тогда, когда для любого «s» из множества субъектов и любого «о» из множества объ­ектов для допустимого чтения, следует, что F(S) преобладает над F(O) -

M(S,0) —> F(S)>F(0).

Определение 2

Состояние (F, М) безопасно по записи тогда и только тогда, когда для любого s из множества субъектов и любого о из множества объектов для допустимой записи M(S,0) означает, что F(O) преобладает над F(S) -

M(S,0) —> F(0)>F(S).

Определение 3

Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и записи.

Три определения необходимы для того, чтобы сформулировать и до­казать основную теорему безопасности:

Система (Vo, R, Т), описываемая начальным состоянием Vo, множеством запросов к системе R и функцией переходов Т, безопасна тогда и только тогда, когда состояние Vo безопасно и Т таково, что для любого состояния V, достижимого из Vo, после исполнения конечной последовательности запросов из R можно осуществить переход к состоянию V* [T(Vo,R)=V*], также принадлежащему множеству состояний.

Классическая модель БЛМ имеет недостатки:

1. Проблема в распределенных системах - удаленное чтение. Запро­сы от одного рабочего места к другому, между сервером и рабо­чей станции создают удаленные сеансы, при этом невозможно со­блюдать правила NWD и NRU. Решение: БЛМ применять локаль­но, а для создания сеансов удаленной работы применять другую модель.

2. Проблема доверенных субъектов. Должен ли администратор сис­темы подчиняться правилам БЛМ? В любой системе, на которую распространяются правила БЛМ, нужно выделять доверенные субъекты и рассматривать их в отдельности. Решение: использо­вать модели невыводимости и невмешательства.

3. Проблема системы Z. Джон Маклин разработал и описал эту сис­тему: система, удовлетворяющая правилам БЛМ может, иметь ряд проблем с секретностью. Ничто в БЛМ не предотвращает систему от деклассификации объекта от «совершенно секретного» до «секретного» по желанию совершенно секретного пользователя.

Допустим, есть субъект с высокой степенью доверия А, он читает информацию из объекта с уровнем классификации тоже А. Субъект решил понизить свою степень доверия до В (А>В). После понижения своей сте­пени доверия он может записать информацию в файл с классификацией В. БЛМ на это отреагировать не может. Белл и Лападула предполагали такую возможность, и в их дальнейшей разработке БЛМ были введены дополни­тельные требования - требования сильного и слабого спокойствия.

Правило сильного спокойствия:

уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции. За счет этого теряется некоторая гибкость в выпол­нении операций.

Правило слабого спокойствия:

уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности (например, уровень безопасности не должен меняться, когда к нему обращается некоторый субъект).

Самая слабая модель - БЛМ в классической формулировке, самая сильная - модель с сильным спокойствием.

С одной стороны, требования БЛМ являются слишком строгими, с другой стороны, есть ряд упущений, которые были уже обозначены, более того, в БЛМ отсутствует поддержка многоуровневых объектов (в секрет­ном документе есть несколько абзацев, которые являются несекретными). Логическим продолжением MAC БЛМ стало появление специализирован­ных моделей, перекрывающих проблемы, существовавшие в БЛМ.