Многоуровневая модель безопасности Белла-Лападулы

Наиболее широкое распространение среди моделей многоуровневой защиты получила модель Белла — Лападулы (Bell — LaPadula model), поэтому она и будет рассмотрена в первую очередь (Bell and LaPadula, 1973). Эта модель была разработана для обеспечения военной системы безопасности, но она подходит и для других организаций. У военных документы (объекты) должны обладать грифом секретности, например: «несекретный», «для служебного пользования», «секретный» и «совершенно секретный». Люди также получают форму допуска, определяющую, какие документы им разрешено

просматривать. Генералу может быть разрешено просматривать все документы, а лейтенант может иметь допуск к просмотру лишь документов с грифом «секретно» и ниже. Процесс, принадлежащий пользователю, приобретает его уровень безопасности. Так как уровней безопасности несколько, такая схема называется многоуровневой системой безопасности (multilevel security system).

Модель Белла — Лападулы имеет следующие правила организации информационного потока.

1. Простое свойство безопасности (The simple security property) — процесс, запущенный на уровне безопасности k, может проводить операцию чтения только в отношении объектов своего или более низкого уровня. К примеру, генерал может читать документы лейтенанта, но лейтенант не может читать генеральские документы.

2. Свойство * (The * property) — процесс, работающий на уровне безопасности k, может вести запись только в объекты своего или более высокого уровня. К примеру, лейтенант может добавить сообщение в генеральский почтовый ящик, докладывая обо всем, что ему известно, но генерал не может добавить сообщение в лейтенантский почтовый ящик, сообщая о том, что известно ему, поскольку генерал может быть ознакомлен с совершенно секретными документами, содержание которых не должно доводиться до лейтенанта.

Кратко подытоживая: процессы могут осуществлять чтение вниз и запись наверх, но не наоборот. Если система четко соблюдает эти два свойства, то можно показать, что утечки информации с более безопасного уровня на менее безопасный не будет. Свойство * получило такое название потому, что в исходном тексте своего доклада авторы не смогли придумать для него подходящего названия и временно, до тех пор, пока не придумают что-либо стоящее, на его место поставили символ *. Но свое намерение они так и не осуществили, и доклад был распечатан с символом звездочки. В этой модели процессы осуществляют операции чтения и записи в отношении объектов, но напрямую друг с другом не общаются.

Модель Биба

Проблема модели Белла — Лападулы состоит в том, что она была разработана для хранения секретов, не гарантируя при этом целостность данных. Для гарантии последнего нужны абсолютно противоположные свойства (Biba, 1977):

1. Простое свойство целостности (The simple integrity property) — процесс, работающий на уровне безопасности k, может записывать только в объекты своего или более низкого уровня (никакой записи наверх).

2. Свойство целостности * (The integrity * principle) — процесс, работающий на уровне безопасности k, может читать из объектов своего или более высокого уровня (никакого чтения из нижних уровней).

В совокупности эти свойства гарантируют, что программист сможет изменять файлы охранника, записывая туда информацию, полученную от президента фирмы, но не наоборот. Конечно, некоторые организации хотели бы использовать как свойства модели Белла — Лападулы, так и свойства модели Биба, но поскольку они противоречат друг другу, достичь этого сложно