Модель белла лападулы преимущества. Мандатные модели контроля и управления доступом. Модель Белла-ЛаПадулы. Личная жизнь Беллы Хадид

Немного истории

Классическая модель Белла-ЛаПадула была реализована в 1975 году компанией MITRE Corporation дэвидом Беллом и Лоонардом ЛаПадулой. Их вдохновила система защиты, которая была реализована в правительстве США в то время.

Мандатный доступ использует ограничения на транспортировку данных от одного пользователя другому, что решает проблемы троянских коней.

Классическая MAC – модель Белла и Лападула (БЛМ)

Создание — Белл и Лападула наблюдали за тем, как передаются документы на бумажных носителях в государственных организациях между сотрудниками. Выводы:

• Все субъекты и объекты в правительства США приравниваются к уровням безопасности. Для предотвращения утечки данных, к объектам с большим уровнем безопасности запрещено обращаться субъектам с низким уровнем безопасности.Первое правило БЛМ — нет чтения в верх. Субъект с уровнем безопасности Xs может обращаться к данным из объекта с уровнем безопасности Хо, только если Xs преобладает над Xo.
• Субъектам в правительстве США запрещено записывать или размещать данные в объекты, которые имеют более низкий уровень секретности. К примеру выкидывать бумаги в мусорное ведро. Второе правило — нет записи вниз. субъект с уровнем безопасности Xs может записывать данные в объект уровня безопасности Xo, только если Xo сверху над Xs. Это правило решает проблему троянский коней, так как ихняя типичные действия это перенос данных с высокого уровня безопасности на низкий.

Формализация БЛМ: Если S — множество субъектов, L — решетка уровней безопасности, O — множество объектов, тогда функция F, которая определяет уровень безопасности имеет вид: F: S ∪ O → L.

V — множество состояний, которое складывается из пар (F, M). M — матрица доступа объектов к субъектам. Начальное состояние системы показывается Vo, которое имеет множество запросов к системе R — T: (V × R) →. Это процесс из состояния в состояние после выполнения запроса.

Определение 1 — состояние (F, M) может быть безопасно по чтению тогда, когда для любого из множества субъектов и объектов для допустимого чтения F(S) преобладает над F(O) — M(S, O) → F(O) > F(O).

Определение 2 — Состояние (F, M) безопасно по записи тогда, когда для любого из множества субъектов и объектов для допустимой записи M(S, O) означает, что F(O) преобладает над F(S) — M(S, O) → F(O) > F(S).

Определение 3 — Состояние безопасно тогда, когда оно безопасно по записи и чтению.

Для определения теоремы безопасности нужны три определения описаны выше. Система (Vo, R, T) которая описывается начальным состоянием Vo, функцией переходов Т и запросов к системе R, безопасна тогда, когда для любого состояния V достижимого из Vo, после реализации конечной последовательности запросов из R можно сделать переход к состоянию V × , также принадлежащему множеству состояний. Система ∑ Vo, R, T — безопасна тогда, когда соблюденны следующие условия:

• Начальное состояние Vo безопасно
• Для любого состояния V, достижимого из Vo с помощью реализации конечной последовательности запросов из R, таких, что T(V, r) = V *, V = (F, M)∪V*(F*, M*), для ∀ s ∈ S, ∀ 0 ∈ O сделаны условия:
  • Если r ∈ M* ∪ r ∉ M, то F* (0) ≤ F* (s).
  • Если r ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ M*.
  • Если w ∈ M* ∪ w ∉ M, то F* (0) ≤ F* (s).
  • Если w ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ w*.

Основная теорема безопасности Белла — Лападулы указывает, что если информационная система стартует работу из безопасного состояния и переход из состояния в состояние безопасное, то все состояние системы безопасны.

Доведение теоремы

Пусть система (..)0 ∑ = v R T безопасна. В таком случае начальное состояние Vo безопасно исходят начальных условий. Предположим, что есть безопасное состояние V*, достижимое из состояния V: T(V, r) = V*. Для такого перехода нарушено одно из условий 1-4. Если нарушены условия 1 или 2, то состояние V* будет небезопасным по чтению, а если нарушены условия 3-4, то небезопасным по записи. В обоих вариантах мы имеем противоречие с тем, что состояние V* есть безопасным. Докажем достаточность утверждения. Система (..)0 ∑ = V R T может быть небезопасной в двух случаях:

• Если начальное состояние Vo небезопасно, однако такое утверждение противоречит условию теоремы
• Если есть небезопасное состояние V*, созданное из безопасное состояние Vo путем реализации конечного числа запросов из R. Это значит, что на определенном этапе произошел переход T(V, r) = V*, где V — безопасное состояние, а V* — небезопасное. Однако условия 1-4 делают такой переход невозможным.

Заключение

Классическая модель БЛМ имеют недостатки:

• Проблема доверенных субъектов. Правила БЛМ работают на администратора системы? В любой такой системе есть доверенные субъекты и их нужно рассматривать по отдельности. Для решения проблемы нужно реализовать модели невмешательства и невыводимости.
• Проблема в распределенных системах — удаленное чтение. На удаленные запросы такая модель не работает. Для решения проблемы для удаленных запросов нужно использовать другую модель.
• Проблема системы Z. Жесткие системы классификации уровней безопасности.

К примеру субъект с большой степенью доверия А читает данные из объекта с таким же уровнем защиты. Субъект понизил свою уровень доверия до В (A > B). После понижения субъект может записать данные в файл с классификацией В. БЛМ никак не реагирует на такие действия. Поэтому были введены дополнительные правила, правила сильного и слабого спокойствия.

Правило слабого спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции так, что бы нарушить заданную политику безопасности.

Правила сильного спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции.

С одной стороны, правила БЛМ есть строгими, но с другой, есть много прогрехов которые были обозначены. Также отсутствует поддержка многоканальных объектов.

Белла Хадид (Isabella «Bella» Khair Hadid) – суперуспешная американская модель, имеющая внушительный список карьерных достижений. Она – посланница итальянского ювелирного бренда Bvlgari, лицо швейцарской марки часов класса люкс TAG Heuer, ангел Victoria’s Secret, участница практически каждой второй громкой рекламной кампании. Ее полное имя – Изабелла Хаир Хадид, она – младшая сестра модели Джиджи Хадид. Мусульманка.

В 2016 году она стала лауреатом премии «Модель года» по версии креативного ресурса Models.com, мужского журнала GQ и по результатам Второго ежегодного конкурса моды в Лос-Анджелесе, проводимого изданием The Daily Front Row. В декабре 2017 года читатели Models.com снова избрали ее моделью года с вручением престижной награды «Model of the Year Industry Awards».

В масс-медиа ее называли королевой красной дорожки на фестивале в Каннах – она потрясла ценителей прекрасного образом в алом платье смелого покроя в 2016-м и не менее эффектным нарядом телесного цвета в 2017-м (оба от французского дизайнера Alexandre Vauthier).

Детство и семья

Будущая топ-модель появилась на свет 9 октября 1996 года в Городе Ангелов в семье Иоланды Хадид, уроженки Нидерландов, ранее также работавшей в индустрии моды, и Мохамеда Хадида, палестинца, родившегося в Назарете и переехавшего с родителями в США в 14-летнем возрасте. Он – мультимиллионер, занимавшийся строительством роскошных особняков и отелей в Лос-Анджелесе и в Беверли-Хиллз. Его состояние в 2017-м оценивалось в $200 млн.

У Беллы есть старшая на год родная сестра Джелена («Джиджи ») и младший на 3 года брат Анвар. После развода родителей в 2000 году и нового брака отца у нее появились еще две сестры по отцу, Алана и Мариэль. В 2012 году ее мама стала звездой реалити-шоу «Домохозяйки Беверли-Хиллз». С 2011 по 2017 год женщина была замужем за музыкантом и продюсером Дэвидом Фостером.

В подростковом возрасте Белла проживала с родными на ранчо в Санта-Барбаре, увлекалась конным спортом и мечтала попасть на Олимпиаду-2016 в Рио-де-Жанейро. Однако ей пришлось отказаться от этой идеи из-за обнаруженной у нее болезни Лайма, которой страдали также ее мать и брат.

Модельная карьера

В 16 лет девушка дебютировала в фэшн-индустрии, снявшись вместе с актером Беном Барнсом в потрясающей фотосессии для Marie Claire, названной «The Swan Sittings», на озере с лебедями.

Участвовала начинающая модель и в других коммерческих проектах, включая показы Desigual, Тома Форда , Chrome Hearts. Позже она снялась в двух музыкальных видео - «Down Your Drain» и «Baby Love» – ее, певицы и дизайнера Джесси Джо Старк, дочери Ричарда Старка, основателя бренда Chrome Hearts.

В 2014 году она переехала в Нью-Йорк и начала изучать искусство фотографии в Parsons School of Design, незадолго до этого подписав контракт с IMG Models. В тот же период она вошла в рейтинг Топ-50 влиятельного модного сайта Models.com. А спустя год красавица уже была обладательницей его профильной награды «Model.com Industry Awards» в категории «Звездный прорыв».

Стремительность развития карьеры Беллы действительно впечатляла. Осенью 2015 года она блистала на Нью-йоркской Неделе моды, демонстрируя коллекции таких известных модельеров, как Диана фон Фюрстенберг, Марк Джейкобс, Томми Хилфигер, Джереми Скотт. В Лондоне – участвовала в показах бренда Giles и Topshop, в Милане – Moschino, Philipp Plein, Missoni, в Париже – представляла продукцию дома высокой моды Balmain. В декабре она впервые посетила в Риме Métiers d"Art show – ежегодное шоу Chanel.

Ее фотографии украшали обложки популярных модных глянцев, среди которых были Teen Vogue, Elle, Harper"s Bazaar, GQ, Glamour, а также две CR Fashion Book («Body Book» и «Fantasy Campaigns»).

Белла Хадид до того, как стала известна

Поклонники могли увидеть ее также в новых клипах: певца The Weeknd на композицию «In the Night» и группы Belly (совместно с тем же The Weeknd) «Might Not». Также она (вместе с сестрой Джиджи, Рейчел Хилберт и Девон Виндзор) стала моделью коллекции Victoria"s Secret, получившей название «PINK».

Следующий, 2016 год, был для модели также полон многочисленных карьерных достижений. Фотосессии топ-модели появлялись в модных журналах Германии, США, России, Британии, Исландии, Малайзии. Ее снимки украшали обложки Vogue Paris, Japan, Italia. В марте она участвовала в показах коллекций Chanel, Givenchy, Miu Miu на Неделе моды в Париже. Вместе с такими знаменитостями как Кейт Мосс и Фрэнк Оушен в глобальной кампании представляла эстетику бренда Calvin Klein F/W 2016.

В мае топ-модель совершила дебютное дефиле на Mercedes-Benz Fashion Week в Австралии, а также сыграла саму себя в короткометражном фильме Private. О ней публиковались редакционные статьи в Vogue US, Glamour UK, Dazed, LOVE Club. Серьезным шагом к вершине модного Олимпа стал для Беллы контракт и участие в фэшн-шоу Victoria"s Secret.

Также она стала звездой календаря журнала LOVE Advent, выпускаемого в качестве «сезонного празднования красоты, веселья и сексуальности» каждый день на протяжении декабря. В дополнение ко всему, модель объявила о создании своей первой коллекции одежды, которую она разработала в сотрудничестве с Chrome Hearts.

Личная жизнь Беллы Хадид

Белла не замужем. С весны 2015 года у нее были романтические отношения с музыкантом Эйбелом Тесфайе, выступающим под псевдонимом The Weeknd. Они сблизились, когда он предложил ей сняться для обложки его альбома «Beauty Behind the Madness».

Девушка присутствовала вместе с ним на церемонии вручения музыкальной премии Grammy Awards-2016 (где он был награжден за композицию «Earned It» из саундтрека ленты «Пятьдесят оттенков серого»), подтвердив информацию об их романе.

Но в ноябре того же года пара решила расстаться, якобы по инициативе Эйбела. Он начал встречаться с Селеной Гомес , что стало ударом для Беллы. В конце 2017 года The Weeknd и Гомес разошлись. После этого она нашла утешение в объятьях своего бывшего возлюбленного Джастина Бибера , а он стал пытаться возобновить отношения с Беллой.

С момента их расставания у нее не было бойфренда. Хотя в декабре 2017 года на торжественном открытии отеля Bvlgari Dubai Resort она постоянно находилась рядом с испанским манекенщиком Джоном Кортахареном. Их называли самой красивой парой церемонии. А фото, где он целует ее в шею, молодой человек разместил в своем Instagram с подписью «Моя будущая жена».

По данным из зарубежной прессы, красота Беллы неоднократно подвергалась коррекции – ранее она сделала ринопластику, улучшила овал лица, удалив так называемые комки Биша (жировую ткань по центру щеки), а в 2017 году увеличила губы.

Белла Хадид сейчас

В ноябре 2017 года модель стала участницей «ангельского десанта», появившись в наряде с «крыльями» на подиуме во время традиционного шоу Victoria"s Secret в Шанхае. Чтобы быть в необходимой форме для дефиле, она ежедневно порядка трех часов проводила в фитнес-клубе Gotham Gym, дополняя общую физическую подготовку занятиями боксом.

Белла Хадид в Victoria"s Secret Show 2017

Эти тренировки ей пригодились, когда ее выбрали в качестве амбассадора швейцарского часового бренда TAG Heuer – в одной из его рекламных кампаний девушка позировала с боксерской перчаткой.

В декабре она снова снялась в видеоролике для адвент-календаря от издания LOVE, представ в черных чулках и в красном белье, позволяющем по достоинству оценить ее безупречную фигуру.

Не остался без внимания поклонников Беллы и ее декабрьская фотосессия для итальянской версии Vogue, где она позирует обнаженной, сидя вместе с американской моделью Тейлор Хилл на новогоднем столе с закусками.

В январе 2018 года она украсила обложку и страницы корейского Vogue потрясающими снимками не только в сексуальном белье, но и в эффектных прозрачных нарядах, подчеркивающих ее естественную красоту.

В этой модели реализуется мандатное управление доступом (Mandatory Access Control – MAC). Модель представляется в виде множеств субъектов S , объектов О и двух прав доступа (read – чтение и write – запись). В мандатной модели контролируются не операции субъектов над объектами, а потоки данных от субъекта к объекту (при записи) или от объекта к субъекту (при чтении).

Мандатное или нормативное, полномочное управление доступом основано на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Его суть состоит в том, что используется упорядоченный набор меток секретности (секретно, совершенно секретно и т.п.), а каждому объекту системы присваивается метка, определяющая уровень секретности, отражающий ценность содержащейся в нем информации, и уровень доступа к нему в информационной системе.

Контроль доступа осуществляется с помощью двух правил, согласно которым уполномоченное лицо (субъект) имеет право:

• читать только те документы, уровень секретности которых не превышает его собственный уровень, что обеспечивает защиту информации, обрабатываемой высокоуровневыми субъектами (лицами), от доступа со стороны низкоуровневых;
• заносить информацию только в те документы, уровень секретности которых не ниже его собственного уровня, что предотвращает утечку информации со стороны высокоуровневых субъектов обработки информации к низкоуровневым.

Для мандатной модели строго математически определены необходимые и достаточные условия безопасного состояния системы, т.е. того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния. Мандатное управление доступом не различает одинаковых уровней безопасности, поскольку все субъекты одного уровня наделены одинаковыми правами. Поэтому иа взаимодействия объектов одного уровня ограничения отсутствуют и в тех случаях, когда требуется более гибкое управление доступом, мандатная модель применяется совместно с дискреционной моделью, лишенной указанного недостатка.

Аутентификация (Authentication) – процедура установления подлинности пользователя при запросе доступа к ресурсам системы (компьютеру или сети). Она предотвращает доступ нежелательных лиц и разрешает доступ всем легальным пользователям. В процедуре аутентификации участвуют две стороны: одна доказывает свое право на доступ (аутентичность), предъявляя некоторые аргументы; другая проверяет эти аргументы и принимает решение.

Для доказательства аутентичности могут использоваться некоторое известное для обеих сторон слово (пароль) или уникальный физический предмет (ключ), а также собственные биохарактеристики (отпечатки пальцев или рисунок радужной оболочки глаза).

Наиболее часто при аутентификации используют вводимые с клавиатуры пароли. Пароль представляет собой зашифрованную последовательность символов, которая держится в секрете и предъявляется при обращении к информационной системе.

Простота и логическая ясность механизмов аутентификации иа основе паролей в какой-то степени компенсирует такие их слабости, как возможность раскрытия паролей путем разгадывания или анализа сетевого трафика. Снижение уровня угроз от раскрытия паролей достигается политикой их назначения и использования: задаются сроки действия пароля, для шифрования паролей используют криптографические методы, фиксируются неудачные попытки логического входа и т.п.

Объектами аутентификации могут быть не только пользователи, но и различные устройства, приложения, текстовая и другая информация. В некоторых случаях требуется обоюдная идентификация. Например, при обращении с запросом к корпоративному серверу пользователь должен доказать ему свою легальность, но при этом также должен убедиться сам, что ведет диалог с сервером действительно принадлежащим своему предприятию, т.е. сервер и клиент должны пройти процедуру взаимной аутентификации. Аутентификация данных означает доказательство их целостности, а также того, что данные поступили именно от того человека, который объявил об этом. Для аутентификации данных используется механизм электронной подписи.

Меры безопасности паролей. На время раскрытия пароля существенное влияние оказывают длина пароля, число символов используемого алфавита и время задержки между разрешенными попытками повторного ввода неправильно введенного пароля. При существенном увеличении длины пароля он может быть разбит на две части: запоминаемую пользователем и вводимую вручную, а также размещенную в зашифрованном виде на специальном носителе и считываемую особым устройством. Повышение надежности аутентификации может быть достигнуто увеличением числа символов алфавита, например путем использования строчных и прописных символов латиницы и кириллицы. Если для трехсимвольного пароля, выбранного из 26-символьного алфавита, время раскрытия составляет 3 месяца, то для четырехсимвольного – 65 лет . Время действия пароля наиболее существенно, если он простой, поэтому администратор службы безопасности (или сети) должен постоянно контролировать своевременность смены паролей пользователей. Весьма эффективны методы, основанные на использовании динамически изменяющихся паролей, когда при смене пароля осуществляется его функциональное преобразование. Например, пользователю можно выделить достаточно длинный пароль и при каждой аутентификации использовать только его некоторую часть, которая запрашивается при входе в систему с помощью датчика псевдослучайных чисел. Такой процесс называют гаммированием.

Действенной мерой повышения безопасности пароля является его функциональное преобразование с использованием односторонней криптографической функции F, которую при известных X и Y сложно или невозможно определить, а для заданного X легко вычислить Y = F(X).

Пользователю сообщается слово или число X (исходный пароль), а также функция преобразования F(X), например,

где (X mod 100) – операция взятия остатка от целочисленного деления X на 100; D – текущий номер дня недели; W – текущий номер недели в месяце. При этом должна быть известна периодичность смены исходного пароля, например каждый день или каждая неделя.

Может быть использована следующая последовательность паролей X, F(X), F(F(X)) и т.д. Чтобы вычислить текущий пароль такой последовательности, нужно знать вид F парольного преобразования, а также предыдущий пароль.

Для более высокого уровня безопасности функция F должна периодически меняться. При ее замене целесообразно устанавливать также новый исходный пароль X. Чтобы надежно идентифицировать личность, применяют технические средства определения сугубо индивидуальных биометрических характеристик человека (отпечатков пальцев, структуры зрачка и т.д.).

This article explains the Abell Model or Abell Framework , developed by in a practical way. After reading you will understand the basics of this powerful strategy tool .

What is the Derek Abell model?

What company does not want clarity and insight into its customers and their customer needs? To get a good overview of the various customers and their needs and to find out exactly what technologies should be used to serve these customers, developed a business definition framework in the 1980s. This model is still known as the Abell Model, Model Abell or Abell Business Model. According to the process is the starting principle for any given organization, and this process is defined in the mission statement. A mission statement gives direction to the organization and provides the basis for further elaboration of strategies.

Three questions play an important part in the formulation of the mission statement:

1. Who are the customers of the organization?
2. How can the organization meet its customer needs?
3. What techniques does the organization use to meet the customer needs?

Summarized the three questions in three axes: a horizontal axis on which he positioned the customers/ user groups, a vertical axis with buying needs and an inclined axis with the applied technologies.

Therefore, an overall summary of the ‘business model’ is created in the Abell model.

1. Customer needs

In the Abell Model all customer needs that are relevant to the company are identified and listed. These customer needs are determined on the basis of the product as a result of which a link is made to customer benefits.

Example: A software manufacturer responds to the needs of the customer by only delivering packages that can be installed by laypeople very easily. In addition, they offer virus free software and the possibility to clean up the software on a monthly basis. They also provide clear manuals and a telephone helpline.

2. Technologies

The term ‘technologies’ should be interpreted broadly. In addition to technologies that are used to create a product, there are also technologies that are used to put a product on the market. Which marketing campaign must be used and in which way is the market research on a product carried out?

Example: A software manufacturer uses the latest technologies in his software products. In addition, the manufacturer offers support to customers by means of a 24-hour helpdesk and he guarantees the best possible information provision.

3. Customer groups / Buyers

Marketing is all about buyers. Without buyers there would not be a market. Each organization wants to get down to the core of the buyers and therefore customer is very important. By having a thorough knowledge of the various target groups, an organization can make targeted product offers.

Example: A software manufacturer delivers products to B2B and B2C customers. The manufacturer reaches these groups by deploying their own Account Managers, distributive trade, retail trade and trade associations.

Optimization

The Abell Model provides an organization with a quick and easy overview of the most important factors that can be used in the marketing concept. It is possible to optimize the Abell Model by sorting the different aspects of Customers, Needs and Technologies according to their degree of importance from the cross line of the three axes. The most important aspects of the Abell Model that are closest to the ‘0 axis’ will have high priority. The company will know immediately to which aspect it must pay attention first.

It’s Your Turn

What do you think? Is the Abell Model applicable in today’s modern economy and marketing? Do you recognize the practical explanation or do you have more suggestions? What are your success factors for a good Abell Model set up?

Share your experience and knowledge in the comments box below.

If you liked this article, then please subscribe to our Free Newsletter for the latest posts on Management models and methods. You can also find us on

Аксиома 1. Для создания и осуществления системной деятельности объект этой деятельности необходимо представлять моделью общей системы.

Аксиома 3. Субъект системной деятельности необходимо представлять моделью общей системы.

Аксиома 7. Объект и результат системной деятельности необходимо представлять одной моделью общей системы.

Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими

уровнями секретности.

В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила :

1. Простое правило безопасности (Simple Security, SS). xs может читать информацию из объекта суровнем секретности xo тогда и только тогда, когда xs преобладает над xo .

2. *-свойство (*-property). Субъект с уровнем секретности xs может писать информацию в объект с

уровнем секретности xo в том и только в том случае, когда xo преобладает над xs .

Для первого правила существует мнемоническое обозначение No Read Up , а для второго – No Write Down . Диаграмма информационных потоков, соответствующая реализации модели Белла- ЛаПадулы в системе с двумя уровнями секретности, приведена на рис. 2.3.2.1.

Перейдём к формальному описанию системы. Введём следующие обозначения :

- S – множество субъектов;

- O – множество объектов, S ⊂ O ;

- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;

- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;

- Λ = (L ,≤, ,⊗) - решётка уровней секретности;

- V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M) , где:

􀂃 F : S ∪O → L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

􀂃 M – матрица текущих прав доступа. Остановимся более подробно на решётке уровней секретности. Напомним, что решёткой Λназывается алгебраическая система вида (L ,≤, ,⊗) , где:

- ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

Оператор наименьшей верхней границы;

- ⊗ - оператор набольшей нижней границы.

Отношение ≤ обладает следующими свойствами :

1. Рефлексивность : ∀a ∈ L : a ≤ a .

С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.

2. Антисимметричность : 1 2 1 2 2 1 2 1 ∀a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a = a .

Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A B , так и от субъектов и объектов уровня B к субъектам и объектам уровня A , то эти уровни эквивалентны.

3. Транзитивность : 1 2 3 1 2 2 3 1 3 ∀a , a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a ≤ a .

Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B , и от субъектов и объектов уровня B к субъектам и объектам уровня C , то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C . Операторы наименьшей верхней границы и наибольшей нижней границы ⊗ определяются следующим образом:

- (,)&(" : (") (" ")) 1 2 1 2 1 2 a = a a ⇔ a a ≤ a ∀a ∈ L a ≤ a → a ≤ a ∨ a ≤ a ;

- (,)&(" : (" & ") (")) 1 2 1 2 1 2 a = a ⊗a ⇔ a ≤ a a ∀a ∈ L a ≤ a a ≤ a → a ≤ a .

Нетрудно показать, что для каждой пары a a ∈ L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы .Заметим, что в качестве уровней безопасности совершенно не обязательновыбирать целые числа, в ряде случаев удобнее использовать более сложные структуры. Засчёт этого, например, в пределах каждого уровня секретности можно реализоватькатегории секретности (см. рис. 2.3.2.2). В этом случае наличие допуска к той или иной

Система (,) 0 Σ = v R T в модели Белла-ЛаПадулы состоит из следующих элементов:

- v0 – начальное состояние системы;

- R – множество прав доступа;

- T :V × R →V - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Изменение состояний системы во времени происходит следующим образом: система, находящаяся в состоянии v ∈V , получает запрос на доступ r ∈ R и переходит в состояние v ∗ = T (v , r ) .

Состояние vn называется достижимым в системе (,) 0 Σ = v R T , если существует последовательность {(,),..., (,),(,)}: (,) 0, 1 0 0 1 1 1 = ∀ = − − − + r v r v r v T r v v i n n n n n i i i . Начальное состояние v0 является достижимым по определению. Состояние системы (F, M) называется безопасным по чтению (или simple-безопасным ), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:

∀s ∈ S ,∀o ∈O , r ∈M [s ,o ]→ F (o ) ≤ F (s ) .

Состояние (F, M ) называется безопасным по записи (или * - безопасным ) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

∀s ∈ S ,o ∈O : w ∈M [s ,o ]→ F (s ) ≤ F (o ) .

Состояние (F, M) называется безопасным , если оно безопасно по чтению и по записи. Наконец, система (,) 0 Σ = v R T называется безопасной , если её начальное состояние v0 безопасно, и все состояния, достижимые из v0 путём применения конечной последовательности запросов из R , безопасны.

Теорема (Основная теорема безопасности Белла-ЛаПадулы ). Система (,) 0 Σ = v R T безопасна тогда и только тогда, когда выполнены следующие условия:

1. Начальное состояние v0 безопасно.

2. Для любого состояния v, достижимого из v0 путём применения конечной последовательности запросов из R, таких, что T (v , r ) = v ∗ , v=(F, M) и v ∗ = (F ∗ ,M ∗) , для ∀s ∈ S ,∀o ∈O выполнены условия:

1. Если r ∈M ∗[s ,o ] и r ∉M [s ,o ], то F ∗ (o ) ≤ F ∗ (s ) .

2. Если r ∈M [s ,o ]и F ∗ (s ) < F ∗ (o ) , то r ∉M ∗[s ,o ] .

3. Если w ∈M ∗[s ,o ] и w ∉M [s ,o ] , то F ∗ (s ) ≤ F ∗ (o ) .

4. Если w ∈M [s ,o ] и F ∗ (o ) < F ∗ (s ) , то w ∉M ∗[s ,o ].

Пусть система (,) 0 Σ = v R T безопасна. В этом случае начальное состояние v0 безопасно по определению. Предположим, что существует безопасное состояние v ∗,достижимое из состояния v : T (v , r ) = v ∗ , и для данного перехода нарушено одно изусловий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние v ∗ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным позаписи. В обоих случаях мы получаем противоречие с тем, что состояние v ∗ являетсябезопасным.

Докажем достаточность утверждения. Система (,) 0 Σ = v R T может бытьнебезопасной в двух случаях:

1. В случае если начальное состояние v0 небезопасно. Однако данное утверждение противоречит условию теоремы.

2. Если существует небезопасное состояние v ∗ , достижимое из безопасного состояния v0 путём применения конечного числа запросов из R . Это означает, что на каком-то промежуточном этапе произошёл переход T (v , r ) = v ∗ , где v – безопасное состояние, а v ∗ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность.

В настоящее время модель Белла-ЛаПадулы и другие модели мандатного управления доступом, широко используются при построении и верификации автоматизированных систем, преимущественно предназначенных для работы с информацией, составляющей государственную тайну.