Определения состояния безопасности[править]
Состояние 
называется достижимым в
системе 
,
если существует последовательность 
Начальное
состояние 
является
достижимым по определению.
Состояние
системы 
называется безопасным
по чтению (или
simple-безопасным), если для каждого
субъекта, осуществляющего в этом
состоянии доступ по чтению к объекту,
уровень безопасности субъекта доминирует
над уровнем безопасности объекта: 
Состояние
системы 
называется безопасным
по записи (или
* — безопасным) в случае, если для
каждого субъекта, осуществляющего в
этом состоянии доступ по записи к
объекту, уровень безопасности объекта
доминирует над уровнем безопасности
субъекта: 
Состояние 
называется безопасным,
если оно безопасно по чтению и по записи.
Система 
называется безопасной,
если её начальное состояние v0 безопасно,
и все состояния, достижимые из 
путём
применения конечной последовательности
запросов из 
,
безопасны.
Основная теорема безопасности Белла — Лападулы[править]
Система 
безопасна
тогда и только тогда, когда выполнены
следующие условия:
Начальное состояние
безопасно.Для любого состояния
,
достижимого из 
путём
применения конечной последовательности
запросов из 
,
таких, что 
и 
,
для 
выполнены
условия:Если
и 
,
то 
Если
и 
,
то 
Если
и 
,
то 
Если
и 
,
то 
Доказательство теоремы [скрыть]
Докажем необходимость
утверждения
Пусть система 
безопасна.
В этом случае начальное состояние 
безопасно
по определению. Предположим, что
существует безопасное состояние 
,
достижимое из состояния 
,
и для данного перехода нарушено одно
из условий 1-4. Легко заметить, что в
случае, если нарушены условия 1 или 2, то
состояние 
будет
небезопасным по чтению, а если нарушены
условия 3 или 4 – небезопасным по записи.
В обоих случаях мы получаем противоречие
с тем, что состояние 
является
безопасным.
Докажем достаточность
утверждения.
Система 
может
быть небезопасной в двух случаях:
В случае если начальное состояние
небезопасно.
Однако данное утверждение противоречит
условию теоремы.Если существует небезопасное состояние
,
достижимое из безопасного состояния 
путём
применения конечного числа запросов
из 
.
Это означает, что на каком-то промежуточном
этапе произошёл переход 
,
где 
–
безопасное состояние, а 
-
небезопасное. Однако условия 1-4 делают
данный переход невозможным.
■
Недостатки[править]
В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:[источник не указан 376 дней]
Деклассификация[править]
Данная уязвимость заключается в следующем: классическая модель не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до «не секретно» по желанию «совершенно секретного» субъекта). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Таким образом, хотя формально модель нарушена не была, безопасность системы нарушена. Для решения этой проблемы вводят правила:
Правило сильного спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции.
Правило слабого спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности.