30526

Модель Белла - Ла-Падулы

Доклад

Математика и математический анализ

Устная часть Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам в которых она содержится специальной метки секретно совершенно секретно и т. Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил: 1.

Русский

2013-08-24

97 KB

11 чел.

Модель Белла - Ла-Падулы

Доска

Все формулы:

(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19), (20),(21),(22),(23),(24),(25).

Устная часть

Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:

 1.уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности

2.уполномоченное лицо (субъект) имеет право заносить информацию только

в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Таким образом, мандатные модели управляют доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно в какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.

Обозначим:

    

S (1) – множество субъектов (осуществляют доступ к информации)

O (2) – множество объектов, содержащих защищаемую информацию

Принято считать, что (3), т.е. субъекты одновременно являются и объектами (это сделано для того, чтобы включить в область действия модели отношения между субъектами)

(4) - множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись)

L (5)– множество уровней безопасности

L - решетка уровней безопасности (это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L)

V (6) – множество состояний системы, которое представляется в виде набора упорядоченных пар (F,M), где

M (7) – матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам (содержание матрицы аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write)

F (8) – функция уровня безопасности

(9) - модель системы, где(10) - начальное состояние системы

(11) - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое; система, находящаяся в состоянии при получении запроса , переходит в следующее состояние ; состояние v достижимо в системе Û для ; (12) тривиально достижимо

Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности , которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L, на котором определена решетка L.

    

   

Классическая мандатная модель Белла-ЛаПадулы

В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы.

Состояния системы делятся на:

— безопасные (отношения доступа не противоречат установленным в моделиправилам)

— небезопасные (правила нарушаются, и происходит утечка информации)

Состояние (F,M) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: (13).

Состояние (F,M) называется безопасным по записи (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: (14).

Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению и

по записи.

    Критерий безопасности модели Белла-ЛаПадулы:

    Система  безопасна тогда и только тогда, когда безопасны ее начальное состояние  и все состояния, достижимые из  путем применения конечной последовательности запросов из R.

    Основная теорема безопасности модели Белла-ЛаПадулы:

    Система  безопасна тогда и только тогда, когда:

    a) начальное состояние  безопасно и

    b) для любого состояния v, достижимого из  

путем применения конечной последовательности запросов из R таких, что ,(15) и (16), для каждого  и  выполняются следующие условия:

    1)      если  и , то (17)

    2)      если  и , то (18)

    3)      если  и , то (19)

    4)      если  и , то (20)

Таким образом, по утверждению теоремы система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Дополнительная часть

Решетка уровней безопасности L

Решетка уровней безопасности L - это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L (т.е. оператор £ - антисимметричен, транзитивен и рефлексивен).

Отношение £ на L:

    

1) рефлексивно, если (21);

Нет смысла запрещать потоки информации между сущностями одного и того же класса (сущности одного класса с точки зрения безопасности содержат одинаковую информацию).

2) антисимметрично, если (22);

Антисимметричность необходима для удаления избыточных классов (если информация может передаваться как от сущностей класса A к сущностям класса B, так и наоборот, то классы A и B содержат одноуровневую информацию и сточки зрения безопасности эквивалентны классу (AB)).

3) транзитивно, если (23);

Если информация может передаваться от сущностей класса A к сущностям класса B, а также от сущностей класса B к сущностям класса C, то очевидно, что она будет также передаваться от сущностей класса A к сущностям класса C.

Свойство решетки:

    Для каждой пары  и  элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей границы. Эти элементы также принадлежат L и обозначаются с помощью операторов · и Ä соответственно:

1) (24)

    

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наибольший уровень безопасности их комбинации как ,при этом  и . Тогда, если существует некоторый уровень c такой, что  и , то должно иметь место отношение , поскольку  - это минимальный уровень субъекта, для которого доступна информация как из x , так и из y. Следовательно,  должен быть наименьшей верхней границей a и b.

2) (25)

    

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наименьший уровень безопасности их комбинации как , при этом  и . Тогда, если существует некоторый уровень c такой, что  и , то должно иметь

место отношение , поскольку  - это максимальный уровень субъекта, для которого разрешена передача информации как в x, так и в y. Следовательно,  должен быть наибольшей нижней границей a и b.

Смысл этих определений состоит в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов. Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор £ определяет направление потоков информации (если , то информация может передаваться от элементов класса A к элементам класса B).

Использование решетки для описания отношения между уровнями безопасности позволяет использовать в качестве атрибутов безопасности (элементов множества L) не только целые числа, для которых определено отношение “меньше или равно”, но и более сложные составные элементы.


 

А также другие работы, которые могут Вас заинтересовать

27668. Понятие и признаки хищения чужого имущества. Отличие хищения от других видов посягательств на собственность. Формы и виды хищений. Общие квалифицирующие признаки хищения 33.5 KB
  Хищение это совершенное с корыстной целью противоправное безвозмездное изъятие и или обращение чужого имущества в пользу виновного или других лиц причинившие ущерб собственнику или иному владельцу этого имущества. Признаки: а предмет хищения только имущество обладающее признаками вещи и имеющие стоимость; предмет хищения всегда материален; б сложный характер: сначала изъятие а затем обращение в пользу виновного изъятиеэто противоправное извлечение виновным имущества из обладания собственника с одновременным его обращением в свое...
27670. Понятие и социальная сущность преступления. Признаки преступления и его отличие от других правонарушений. Категории преступлений по УК РФ. Уголовно-правовое значение классификации преступлений на различные категории тяжести 35 KB
  Понятие и социальная сущность преступления. Признаки преступления и его отличие от других правонарушений. Понятие преступления ст. Признаки преступления: а общественная опасность это свойство человеческого поступка причинить существенный вред охраняемым законом общечеловеческим ценностям а также создать угрозу такого вреда.
27672. Способы регулирования частоты вращения 3-фазных асинхронных двигателей 537.05 KB
  Основные сведения о регулировании частоты вращения асинхронных двигателей Регулирование скорости изменением числа пар полюсов обмотки статора. Принцип получения разного числа пар полюсов. Регулирование скорости изменением числа пар полюсов путем переключения обмотки статора со «звезды» на «двойную звезду» Регулирование скорости изменением числа пар полюсов путем переключения обмотки статора с «треугольника» на «двойную звезду»
27673. Посягательство на жизнь сотрудника правоохранительного органа (ст. 317 УК), его отличие от убийства 29.5 KB
  Общественная опасность преступления состоит в том что оно посягает на порядок управления и жизнь перечисленных в законе лиц в целях воспрепятствования их деятельности по охране общественного порядка и обеспечению общественной безопасности. которые постоянно или временно исполняют обязанности по охране общественного порядка и обеспечению общественной безопасности военнослужащие проходящие службу в Вооруженных Силах РФ других войсках например во внутренних войсках МВД России а равно их близкие. Преступление совершается чтобы...
27675. Похищение или повреждение документов, штампов, печатей либо похищение марок акцизного сбора? специальных марок или знаков соответствия (ст.325 УК). Отличие данного преступления от кражи (ст.158 УК) и грабежа (ст. 161 УК) 40 KB
  Кража определяется законодателем как тайное хищение чужого имущества 2. Корыстная цель при хищении предполагает незаконное удовлетворение материальных потребностей виновного или третьих лиц за счет чужого имущества т. Корыстная цель представляет собой также один из критериев отграничения хищения от злоупотребления полномочиями злоупотребления должностными полномочиями уничтожения или повреждения имущества самоуправства вандализма и др. Безвозмездность отграничивает хищение от эквивалентного изъятия сопряженного с возмещением стоимости...
27676. Похищение человека (ст. 126 УК). Условия освобождения от уголовной ответственности за данное преступление. Отличие этого преступления от незаконного лишения свободы (ст. 127 УК) 33 KB
  Отличие этого преступления от незаконного лишения свободы ст. Преступления против свободы чести и достоинства личности. Это преступление включает 2 элемента: непосредственно похищение и насильственное удержание связанное с лишением свободы. Похищение следует отличать от незаконного лишения свободы 127 которое предполагает удержание лица в месте где оно оказалось по собственному желанию.