Модель Белла-ЛаПадулы. Основная теорема безопасности Белла-ЛаПадулы.

Рассказать про эту модель (смотри начало 16 вопроса). Расскахать про систему в модели:

Система ( , , ) 0 Σ = v R T в модели Белла-ЛаПадулы состоит из следующих

элементов:

- v0 – начальное состояние системы;

- R – множество прав доступа;

- T :V × R →V - функция перехода, которая в ходе выполнения запросов

переводит систему из одного состояния в другое.

Изменение состояний системы во времени происходит следующим образом:

система, находящаяся в состоянии v∈V , получает запрос на доступ r ∈ R и переходит в

состояние v∗ = T(v, r) .

Основная теорема безопасности Белла-ЛаПадулы). Система Σ = v R T безопасна тогда и только тогда, когда выполнены следующие условия:

1. Начальное состояние v0 безопасно.

2. Для любого состояния v, достижимого из v0 путём применения конечной последовательности запросов из R, таких, что T(v, r) = v∗ , v=(F, M) и

v∗ = (F∗ ,M ∗ ) , для ∀s∈S,∀o∈O выполнены условия:

1. Если r ∈M∗[s,o] и r ∉M[s,o], то F∗ (o) ≤ F∗ (s) .

2. Если r ∈M[s,o]и F ∗ (s) < F∗ (o) , то r ∉M∗[s,o] .

3. Если w∈M ∗[s,o] и w∉M[s,o] , то F∗ (s) ≤ F ∗ (o) .

4. Если w∈M[s,o] и F ∗ (o) < F∗ (s) , то w∉M ∗[s,o].

Проще:

 Основная теорема безопасности Белла — Лападулы утверждает, что если информационная система начинает работу из безопасного состояния и переход из состояние в состояние безопасен, то все состояния системы безопасны.  

◄ Пусть система ( , , ) 0 Σ = v R T безопасна. В этом случае начальное состояние v0 безопасно по определению. Предположим, что существует безопасное состояние v∗ ,достижимое из состояния v: T(v, r) = v∗ , и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние v∗ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным позаписи. В обоих случаях мы получаем противоречие с тем, что состояние v∗ являетсябезопасным.Докажем достаточность утверждения. Система ( , , ) 0 Σ = v R T может бытьнебезопасной в двух случаях:

1. В случае если начальное состояние v0 небезопасно. Однако данное утверждение противоречит условию теоремы.

2. Если существует небезопасное состояние v∗ , достижимое из безопасного состояния v0 путём применения конечного числа запросов из R. Это означает, что на каком-то промежуточном этапе произошёл переход T(v, r) = v∗ , где v – безопасное состояние, а v∗ - небезопасное. Однако условия 1-4 делают данный переход невозможным. ►

Модель Кларка-Вилсона.

Модель целостности Кларка-Вилсона была предложена в 1987 г. как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций – скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС. Обозначения:

- S – множество субъектов;

- D – множество данных в автоматизированной системе (множество объектов);

- CDI (Constrained Data Items) – данные, целостность которых контролируется;

- UDI (Unconstrained Data Items) – данные, целостность которых не контролируется;

При этом D = CDI ∪UDI , CDI ∩UDI =Ø.

- TP (Transformation Procedure) – процедура преобразования, т.е. компонент, который может инициировать транзакцию – последовательность операций, переводящую систему из одного состояния в другое;

- IVP (Integrity Verification Procedure) – процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого

CDI.

Примером IVP может служить механизм подсчёта контрольных сумм.

2. Применение любой TP к любому CDI должно сохранять целостность этого CDI.

3. Только TP могут вносить изменения в CDI.

4. Субъекты могут инициировать только определённые TP над определёнными CDI.

Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где

s ∈ S , t ∈TP , d ∈CDI . Если отношение определено, то субъект s может применить преобразование t к объекту d.

5. Должна быть обеспечена политика разделения обязанностей субъектов – т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.

6. Специальные TP могут превращать UDI в CDI.

7. Каждое применение TP должно регистрироваться в специальном CDI. При этом:

- данный CDI должен быть доступен только для добавления информации;

- в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.

8. Система должна распознавать субъекты, пытающиеся инициировать TP.

9. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности). Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.

Модель Биба.

Модель Биба была разработана в 1977 году как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных. Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостности Λ = (IC,≤,•,⊗) , где IC – классы целостности данных.

Базовые правилаМодели Биба формулируются следующим образом: