Простое правило безопасности (Simple Security, SS).

Субъект с уровнем секретности xs может читать информацию из объекта с уровнем секретности xo тогда и только тогда, когда xs преобладает над xo.

2. *-свойство (*-property).

Субъект с уровнем секретности xs может писать информацию в объект с уровнем секретности xo в том и только в том случае, когда xo преобладает над xs.

Для первого правила существует мнемоническое обозначение No Read Up, а для второго –

No Write Down.

Формальное описание системы:

- S – множество субъектов;

- O – множество объектов, S ⊂ O;

- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;

- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;

- Λ = (L,≤,•,⊗) - решётка уровней секретности;

- V – множество состояний системы, представляемое в виде набора

упорядоченных пар (F, M), где:

- F : S ∪O → L - функция уровней секретности, ставящая в соответствие

каждому объекту и субъекту в системе определённый уровень

секретности;

- M – матрица текущих прав доступа.

Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность. Модель в настоящее время используется при организации АС работающих с информацией, составляющих гостайну.

Решётка уровней секретности. РешёткойΛ называется алгебраическая система вида (L,≤,•,⊗), где:

- ≤ - оператор, определяющий частичное нестрогое отношение порядка для

уровней секретности;

- • - оператор наименьшей верхней границы;

- ⊗ - оператор набольшей нижней границы.

Отношение ≤ обладает следующими свойствами:

1. Рефлексивность: ∀a∈ L : a ≤ a .

С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.

2. Антисимметричность: ∀a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a = a .

Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.

3. Транзитивность: ∀a ,a ,a ∈ L : ((a ≤ a )&(a ≤ a ))→ a ≤ a .

Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Операторы наименьшей верхней границы • и наибольшей нижней границы ⊗ определяются следующим образом:

Нетрудно показать, что для каждой пары a a ∈ L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.