2. Мандатна модель політики інформаційної безпеки Белла-Лападули

Мандатна модель політики ІБ Белла-Лападули базується на 2-ох властивостях. Перша властивість аналогічна вихідній мандатній моделі політики ІБ.

Властивість NRU (not read up) – «відсутність читання вгору», свідчить, що суб’єкт , що має рівень допуску , може читати інформацію з об’єкта з рівнем безпеки , лише якщо ≤ .

Друга властивість моделі Белла-Лападули дає змогу частково вирішити проблему витоку інформації «зверху вниз».

Властивість (NWD) (not write down) – «відсутність запису вниз», свідчить, що суб’єкт , що має рівень допуску , може записувати інформацію в об’єкт з рівнем безпеки , лише якщо ≥ .

Введення властивості NWD вирішує проблему троянських коней, оскільки запис інформації на нижчий рівень ІБ, типовий для троянських коней, заборонена.

У політиці Белла-ЛаПадула суб’єкт може знизити свій рівень допуску за власним бажанням, а також підвищити його до початкового йому призначеного адміністратором ІС.

Приклад 2. Розглянемо приклад комп’ютерної системи (КС), як частини ІС, а також грифів конфіденційності та рівнів допуску, наведених в Прикладі 1. При її реалізації в рамках політики Белла-Лападули можливе виконання таких операцій: суб'єкт Administrator буде мати допуск з читання всіх об’єктів, і допуск із запису в об’єкт FILE3.TXT; суб’єкт User1 буде мати допуск з читання з об’єктів FDD, CD-ROM, FILE1.DAT, FILE2.DAT і допуск із запису в об’єкти FILE1.DAT, FILE2.TXT, FILE3.TXT; суб’єкт User2 буде мати допуск з читання з об’єктів CD-ROM, FDD і допуск із запису в об’єкти FILE1.DAT, FILE2.TXT, FILE3.TXT, CD-ROM; суб’єкт Guest буде мати допуск з читання з об’єкта FDD і допуск з запису в усі об’єкти. Крім цього, наприклад, суб’єкт User1 може знизити свій рівень допуску з SECRET до CONFIDENTIAL і відновити його назад до SECRET.

3. Проблема системи z

Основним недоліком моделі Белла-Лападули вважається можливість реалізації так званої системи Z, коли користувач з високими правами внаслідок незнання (або свідомого порушення) може розголосити частину доступної йому інформації, записавши її в об’єкти з нижчим рівнем конфіденційності.

Нехай, суб’єкт з рівнем допуску читає інформацію з об’єкта, рівень конфіденційності якого також рівний . Далі, даний суб’єкт знижує свій рівень допуску до рівня ( < ). Після цього, він може записати інформацію в об’єкт з класифікацією . Порушення моделі Белла-Лападули формально не відбулося, але ІБ інформаційної системи порушена.

Для усунення даних недоліків, в моделі Белла-Лападули вводять правила сильного і слабкого спокою.

Завдання до практичної роботи

Здійснити реалізацію та дослідження політики безпеки Белла-Лападули.

Номер варіанту завдання відповідає порядковому номеру студента в журналі викладача.

Нехай множина можливих операцій суб’єктів S над об’єктами O задана в такій формі: {«READ (доступ з читання)», «WRITE (доступ із запису)», «CHANGE (зміна рівня доступу суб’єкта)»}.

Нехай множина атрибутів безпеки A задана у вигляді A={NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SECRET}.

Необхідно:

1. Отримайти з Додатку А інформацію про кількість суб’єктів та об’єктів комп’ютерної системи відповідно до варіанту.

2. Реалізувати програмний модуль (на будь-якій мові програмування), що реалізує політику інформаційної безпеки Белла-Лападули.

   1. Обрати ідентифікатори користувачів, які будуть використовуватися при їх вході в комп’ютерну систему (за одним ідентифікатором для кожного користувача, кількість користувачів визначається відповідно до варіанту). Наприклад, множина з 3-ох ідентифікаторів користувачів {Admin, User1, User2}. Один із даних ідентифікаторів повинен відповідати адміністратору комп’ютерної системи, що має максимальні права доступу.

   2. Випадковим чином надати об’єктам комп’ютерної системи рівні конфіденційності з множини A.

   3. Випадковим чином надати суб’єктам комп’ютерної системи рівні допуску з множини A. Врахувати, що один з даних суб’єктів буде адміністратором, що має максимальний рівень допуску.

Зауваження щодо реалізації. Для кодування в програмній моделі атрибутів безпеки множини A можна використати числа від 0 до 3 (від нижчих до вищих рівнів безпеки), наприклад, NONCONFIDENTIAL=0, CONFIDENTIAL=1, SECRET=2, TOP SECRET=3. У цьому випадку можна простіше реалізувати контроль допуску суб’єктів до об’єктів. Для зберігання в програмній моделі рівнів конфіденційності об’єктів і рівнів допуску суб’єктів рекомендується використовувати два масиви, які повинні заповнюватися випадковим чином (за винятком рівня допуску адміністратора). Необхідно зберігати копію початкових рівнів доступу суб’єктів для контролю їх неперевищення в результаті виконання операції change.

3. Реалізувати програмний модуль (на будь-якій мові програмування), що демонструє роботу користувача в комп’ютерній системі із мандатною моделлю політики ІБ. Даний модуль повинен виконувати такі функції:

   1. при запуску модуля – виводити на екран сформовану модель Белла-Лападули – рівні конфіденційності об’єктів і рівні допуску суб’єктів.

   2. запит ідентифікатора користувача (повинна проводитися його ідентифікація). У випадку успішної ідентифікації користувача повинен здійснюватися вхід в систему, в іншому випадку – виводити відповідне повідомлення.

Можливий приклад роботи модуля з реалізацією функцій п. 3.1 і 3.2 наведено нижче.

OBJECTS:

Object 1 : NONCONFIDENTIAL

Object 2 : CONFIDENTIAL

Object 3 : TOP_SECRET

SUBJECTS:

Administrator : TOP_SECRET

User1 : SECRET

User2 : NONCONFIDENTIAL

Login: User1

Command>

3. За результатами ідентифікації суб’єкта після входу в систему, програма повинна чекати вказівок користувача на здійснення дій над об’єктами в комп’ютерній системі. Після отримання команди від користувача, на екран повинне виводитися повідомлення про успішність або невдачу операції. При виконанні операції зміни рівня доступу суб’єкта (change) даний рівень повинен модифікуватися. Повинна підтримуватися операція виходу з системи (exit), після якої, на екран знову повинна виводитися інформація про рівні доступу суб’єктів і рівні конфіденційності об’єктів і реалізовуватися запит для іншого ідентифікатора користувача. Діалог можна організувати, наприклад, таким чином (для вище побудованого прикладу моделі Белла-Лападули):

Login: Administrator

command> read

At what object? 1

Read success

Command> write

At what object? 1

Write denied

Command> write

At what object? 3

Write success

Command> change

Enter CLASSIFICATION : NONCONFIDENTIAL

Administrator is NONCONFIDENTIAL

Command> write

At what object? 1

Write success

Command> change

Enter CLASSIFICATION : TOP_SECRET

Administrator is TOP_SECRET

4. Протестувати реалізовану модель політики ІБ Белла-Лападули в різних ситуаціях і продемонструвати її викладачеві.

5. Продемонструвати можливість реалізації системи Z в розробленій моделі Белла-Лападули.

6. Оформити звіт згідно вимог (приклад оформлення титульної сторінки наведено в додатку В).

ЗМІСТ ЗВІТУ

1. Мета роботи.

2. Короткі теоретичні відомості.

3. Повний текст завдання.

4. Лістинг розробленої програми.

5. Формалізація моделі Белла-Лападули (Додаток Б).

6. Результати виконання програми.

7. Висновки.