- •2. Акустический и виброакустический канал
- •3.Визуальный канал
- •4. Информационный канал
- •Криптографические методы защиты информации
- •Основы концепции[править]
- •Аутентификация[править]
- •Этапы доверенной загрузки[править]
- •Использование аппаратных средств[править]
- •Домены безопасности
- •Обычная модель[править]
- •Правило "Брать"[править]
- •Простое свойство безопасности (The Simple Security)[править]
- •Определения состояния безопасности[править]
- •Основная теорема безопасности Белла — Лападулы[править]
- •Недостатки[править]
- •Деклассификация[править]
- •Удаленное чтение[править]
Определения состояния безопасности[править]
Состояние называется достижимым в системе , если существует последовательность Начальное состояние является достижимым по определению.
Состояние системы называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:
Состояние системы называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:
Состояние называется безопасным, если оно безопасно по чтению и по записи.
Система называется безопасной, если её начальное состояние v0 безопасно, и все состояния, достижимые из путём применения конечной последовательности запросов из , безопасны.
Основная теорема безопасности Белла — Лападулы[править]
Система безопасна тогда и только тогда, когда выполнены следующие условия:
Начальное состояние безопасно.
Для любого состояния , достижимого из путём применения конечной последовательности запросов из , таких, что и , для выполнены условия:
Если и , то
Если и , то
Если и , то
Если и , то
Доказательство теоремы [скрыть]
Докажем необходимость утверждения Пусть система безопасна. В этом случае начальное состояние безопасно по определению. Предположим, что существует безопасное состояние , достижимое из состояния , и для данного перехода нарушено одно из условий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным по записи. В обоих случаях мы получаем противоречие с тем, что состояние является безопасным. Докажем достаточность утверждения. Система может быть небезопасной в двух случаях:
В случае если начальное состояние небезопасно. Однако данное утверждение противоречит условию теоремы.
Если существует небезопасное состояние , достижимое из безопасного состояния путём применения конечного числа запросов из . Это означает, что на каком-то промежуточном этапе произошёл переход , где – безопасное состояние, а - небезопасное. Однако условия 1-4 делают данный переход невозможным.
■
Недостатки[править]
В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:[источник не указан 376 дней]
Деклассификация[править]
Данная уязвимость заключается в следующем: классическая модель не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до «не секретно» по желанию «совершенно секретного» субъекта). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Таким образом, хотя формально модель нарушена не была, безопасность системы нарушена. Для решения этой проблемы вводят правила:
Правило сильного спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции.
Правило слабого спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности.