·
если readsÎM[s, о] и F* (s)<F*(о), то read
M*[s,
о];
·
если writeÎM *[s, о] и writeM[s,
о], то F*(o)≥F*(s);
·
если writeÎM[s, о] и F *(o)<F*(s),
то write M* [s, o].
Достоинства модели Белла-ЛаПадула
К достоинствам моделей мандатного управления доступом следует отнести следующее:
· понятность и простота реализации;
· решение проблемы троянских программ.
Недостатки модели Белла-ЛаПадула
Недостатками этих моделей являются:
· разрешение доступа, не указанного в модели;
· проблема системы Z;
· нарушение безопасности доверенными субъектами;
· скрытые каналы утечки информации.
Хотя модель Белла-ЛаПадула содержит набор А прав доступа из двух операций: readÎAи writeÎA, ничто не мешает нарушителю использовать такие виды доступа, как deleteили create. Это не приводит к утечке информации, но может послужить причиной ее уничтожения или потери.
Кроме того, в модели Белла-ЛаПадула возникает следующая проблема: переход системы из состояния в состояние должен гарантировать не только безопасность последующих состояний, но и безопасный способ их достижения. В качестве примера можно привести так называемую систему Z, в которой при запросе субъектом доступа к объекту все сущности деклассифицируются до самого низкого уровня, и тем самым доступ разрешается. Это приводит к потере секретности и к деградации системы, хотя состояния по-прежнему безопасны, и Z-система удовлетворяет требованиям модели Белла-ЛаПадула и Основной теореме безопасности.
Для решения проблемы Z-систем были введены требования сильного и слабого спокойствия. Правило сильного спокойствия гласит, что уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции. Очевидный недостаток применения этого метода - потеря гибкости системы при выполнении операций. Правило слабого спокойствия требует, что уровни безопасности сущностей никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности. Например, уровень объекта не должен меняться, когда к нему обращается некоторый субъект.
Отметим, что в описании модели не дается характеристика субъектов. Компьютерные системы обычно имеют администратора. Доверенные субъекты могут функционировать в интересах этого администратора или исполнять некоторые критические службы. В системе с реализованной моделью Белла-ЛаПадула доверенные субъекты не смогут работать, не нарушая правил безопасности.
Кроме того, серьезную проблему представляют скрытые каналы утечки информации. Рассмотрим систему, в которой существуют монитор безопасности и низкоуровневый субъект. Субъект пытается записать информацию в несуществующий высокоуровневый файл, периодически создаваемый и удаляемый высокоуровневым злоумышленником. Если нарушитель успеет создать файл к моменту записи, то субъект не узнает, кому попала его информация, т.к. он не сможет ее прочитать. Несмотря на то, что скрытые каналы могут быть выявлены другими методами, подобные тесты обычно проводятся на завершающей стадии разработки компьютерных систем, когда внесение изменений оборачивается огромной тратой материальных и интеллектуальных средств.
Выполнение лабораторной работы
1. Получить доступ к набору служебных программ «Монитор безопасности»:
· expert.exe (программа преобразования файла описания модели в ехе.файл);
· security.exe (основная программа «Монитора безопасности»).
2. Создать файл описания модели Белла-ЛаПадула при помощи языка описания. Исходные данные для его создания задаются преподавателем. Особенности языка и правила описания модели приведены в Приложении 2.
Примечание:следует определить только права доступа по чтению и записи.
3. Используя программу expert.exe, получить ехе-файл описания. Последовательность работы с утилитой expert.exe определена в Приложении 3.
4. Запустить программу security.exe. Описание ее возможностей приведено в Приложении 4.
5. Выбрать в меню FILE созданный ехе- файл.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.