Появление: Белл и Лападула следили за тем, как переносятся документы на бумажных носителях между людьми в государственных организациях.
Выводы:
1. В правительстве США все субъекты и объекты ассоциируются с
уровнями безопасности (от низких, неклассифицированных до высоких,
совершенно секретных); для предотвращения утечки информации, субъ
ектам с низкими уровнями безопасности не позволяется читать информа
цию из объектов с высокими уровнями безопасности.
Отсюда следует первое правило БЛМ (простое свойство безопасности, «нет чтения вверх») - NRU (no read up) - субъект с уровнем безопасности Xs может читать информацию из объекта с уровнем безопасности Хо, только если Xs преобладает над Хо.
2. В правительстве США субъектам запрещено размещать или запи
сывать информацию в объекты, имеющие более низкий уровень секретно
сти (например, нельзя выбрасывать бумаги в мусорное ведро).
Второе правило БЛМ («нет записи вниз») - NRD (no write down) -субъект с уровнем безопасности Xs может писать информацию в объект с уровнем безопасности Хо, только если Хо преобладает над Xs.
Именно второе правило БЛМ решает проблему троянских коней: типичная ситуация для троянских коней, когда информация переносится с более высокого уровня на более низкий, невозможна.
Формализация БЛМ:
Если S - множество субъектов, О - множество объектов, L - решетка уровней безопасности, тогда можно определить функцию F, определяющую уровни безопасности своих аргументов в данном состоянии. Применяется к субъектам и объектам, записывается как:
F: SuO— >L.
V - множество состояний, которое составляется из упорядоченных пар (F, М). М - матрица доступа субъектов системы к объектам. Более того, система представляется начальным состоянием Vo, определенным множеством запросов к системе R и функцией переходов Т: (V х R) —>V, то есть такой, что система переходит из состояния в состояние после исполнения запроса.
Определение 1
Состояние (F, М) безопасно по чтению тогда и только тогда, когда для любого «s» из множества субъектов и любого «о» из множества объектов для допустимого чтения, следует, что F(S) преобладает над F(O) -
M(S,0) —> F(S)>F(0).
Определение 2
Состояние (F, М) безопасно по записи тогда и только тогда, когда для любого s из множества субъектов и любого о из множества объектов для допустимой записи M(S,0) означает, что F(O) преобладает над F(S) -
M(S,0) —> F(0)>F(S).
Определение 3
Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и записи.
Три определения необходимы для того, чтобы сформулировать и доказать основную теорему безопасности:
Система (Vo, R, Т), описываемая начальным состоянием Vo, множеством запросов к системе R и функцией переходов Т, безопасна тогда и только тогда, когда состояние Vo безопасно и Т таково, что для любого состояния V, достижимого из Vo, после исполнения конечной последовательности запросов из R можно осуществить переход к состоянию V* [T(Vo,R)=V*], также принадлежащему множеству состояний.
Классическая модель БЛМ имеет недостатки:
1. Проблема в распределенных системах - удаленное чтение. Запросы от одного рабочего места к другому, между сервером и рабочей станции создают удаленные сеансы, при этом невозможно соблюдать правила NWD и NRU. Решение: БЛМ применять локально, а для создания сеансов удаленной работы применять другую модель.
2. Проблема доверенных субъектов. Должен ли администратор системы подчиняться правилам БЛМ? В любой системе, на которую распространяются правила БЛМ, нужно выделять доверенные субъекты и рассматривать их в отдельности. Решение: использовать модели невыводимости и невмешательства.
3. Проблема системы Z. Джон Маклин разработал и описал эту систему: система, удовлетворяющая правилам БЛМ может, иметь ряд проблем с секретностью. Ничто в БЛМ не предотвращает систему от деклассификации объекта от «совершенно секретного» до «секретного» по желанию совершенно секретного пользователя.
Допустим, есть субъект с высокой степенью доверия А, он читает информацию из объекта с уровнем классификации тоже А. Субъект решил понизить свою степень доверия до В (А>В). После понижения своей степени доверия он может записать информацию в файл с классификацией В. БЛМ на это отреагировать не может. Белл и Лападула предполагали такую возможность, и в их дальнейшей разработке БЛМ были введены дополнительные требования - требования сильного и слабого спокойствия.
Правило сильного спокойствия:
уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции. За счет этого теряется некоторая гибкость в выполнении операций.
Правило слабого спокойствия:
уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности (например, уровень безопасности не должен меняться, когда к нему обращается некоторый субъект).
Самая слабая модель - БЛМ в классической формулировке, самая сильная - модель с сильным спокойствием.
С одной стороны, требования БЛМ являются слишком строгими, с другой стороны, есть ряд упущений, которые были уже обозначены, более того, в БЛМ отсутствует поддержка многоуровневых объектов (в секретном документе есть несколько абзацев, которые являются несекретными). Логическим продолжением MAC БЛМ стало появление специализированных моделей, перекрывающих проблемы, существовавшие в БЛМ.