Главная-Кадры-Модель белла лападулы. Мандатные модели контроля и управления доступом

Модель белла лападулы. Мандатные модели контроля и управления доступом

This article explains the Abell Model or Abell Framework , developed by in a practical way. After reading you will understand the basics of this powerful strategy tool .

What is the Derek Abell model?

What company does not want clarity and insight into its customers and their customer needs? To get a good overview of the various customers and their needs and to find out exactly what technologies should be used to serve these customers, developed a business definition framework in the 1980s. This model is still known as the Abell Model, Model Abell or Abell Business Model. According to the process is the starting principle for any given organization, and this process is defined in the mission statement. A mission statement gives direction to the organization and provides the basis for further elaboration of strategies.

Three questions play an important part in the formulation of the mission statement:

  1. Who are the customers of the organization?
  2. How can the organization meet its customer needs?
  3. What techniques does the organization use to meet the customer needs?

Summarized the three questions in three axes: a horizontal axis on which he positioned the customers/ user groups, a vertical axis with buying needs and an inclined axis with the applied technologies.

Therefore, an overall summary of the ‘business model’ is created in the Abell model.

1. Customer needs

In the Abell Model all customer needs that are relevant to the company are identified and listed. These customer needs are determined on the basis of the product as a result of which a link is made to customer benefits.

Example: A software manufacturer responds to the needs of the customer by only delivering packages that can be installed by laypeople very easily. In addition, they offer virus free software and the possibility to clean up the software on a monthly basis. They also provide clear manuals and a telephone helpline.

2. Technologies

The term ‘technologies’ should be interpreted broadly. In addition to technologies that are used to create a product, there are also technologies that are used to put a product on the market. Which marketing campaign must be used and in which way is the market research on a product carried out?

Example: A software manufacturer uses the latest technologies in his software products. In addition, the manufacturer offers support to customers by means of a 24-hour helpdesk and he guarantees the best possible information provision.

3. Customer groups / Buyers

Marketing is all about buyers. Without buyers there would not be a market. Each organization wants to get down to the core of the buyers and therefore customer is very important. By having a thorough knowledge of the various target groups, an organization can make targeted product offers.

Example: A software manufacturer delivers products to B2B and B2C customers. The manufacturer reaches these groups by deploying their own Account Managers, distributive trade, retail trade and trade associations.

Optimization

The Abell Model provides an organization with a quick and easy overview of the most important factors that can be used in the marketing concept. It is possible to optimize the Abell Model by sorting the different aspects of Customers, Needs and Technologies according to their degree of importance from the cross line of the three axes. The most important aspects of the Abell Model that are closest to the ‘0 axis’ will have high priority. The company will know immediately to which aspect it must pay attention first.

It’s Your Turn

What do you think? Is the Abell Model applicable in today’s modern economy and marketing? Do you recognize the practical explanation or do you have more suggestions? What are your success factors for a good Abell Model set up?

Share your experience and knowledge in the comments box below.

If you liked this article, then please subscribe to our Free Newsletter for the latest posts on Management models and methods. You can also find us on

Модель Белла-Лападулы была предложена в 1975 году. Возможность ее использования в качестве формальной модели отмечена в критерии TCSES ("Оранжевая книга").

Мандатная модель Белла – Лападулы основана на правилах секретного документооборота, которые приняты в государственных и правительственных учреждениях большинства стран. Согласно этим правилам всем участникам процесса обработки критичной информации и документам, в которых она содержится, присваивается специальная метка, которая называется уровнем безопасности.

Мандатное управление доступом подразумевает, что:

    задан линейно упорядоченный набор меток секретности (например, секретно, совершенно секретно и т. д.);

    каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации, т. е. его уровень секретности в КС;

    каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в КС или, иначе, его уровень доступа.

Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа к документам осуществляется в зависимости от уровней безопасности на основании двух простых правил:

1. Уполномоченное лицо имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности. Уровень безопасности уполномоченного лица должен доминировать над уровнем безопасности читаемого им документа.

Это правило обеспечивает защиту информации, обрабатываемую высокоуровневым лицом, от доступа со стороны низкоуровневых лиц.

2. Уполномоченное лицо может записывать информацию только в документы, уровень безопасности которых не ниже его собственного уровня безопасности. Уровень безопасности документа должен доминировать над уровнем безопасности уполномоченного лица.

Это правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки документов к низкоуровневым.

В формальной модели Белла – Лападулы рассматриваются:

    конечное множество объектов компьютерной системы O=, 1,…n;

    конечное множество субъектов компьютерной системы S=, 1, …m, считается, что все субъекты системы одновременно являются и ее объектами (S Ì O).;

    права доступа read и write.

Матрица прав доступа, содержащая права доступа субъектов к объектам A=, i=1, …m, j=1,…n+m.

Множество запросов на выполнение потоков типа read или write R=, 1, …k.

Функция уровня безопасности F, которая ставит в соответствие каждому объекту и субъекту системы определенный уровень безопасности, принадлежащий множеству уровней безопасности D, на котором определена решетка.

Функция перехода T, которая при выполнении запроса на запись или чтение, переводит систему из состояния Q в состояние Q".

Состояние системы характеризуется состоянием матрицы А, содержащей права доступа, и функцией уровня безопасности F. Множество состояний системы представляется в виде упорядоченных пар (F, A).

Начальное состояние системы обозначается как Q 0 . Выполнение запроса r 0 из множества R переводит систему в состояние Q 1 с помощью функции перехода Т. Система, находящаяся в состоянии Q 1, при получении следующего запроса r 1 из множества R переходит в следующее состояние Q 2 и т. д.

Состояние Q k достижимо тогда и только тогда, когда существует последовательность

(Q 0, r 0), (Q 1, r 1), … (Q k -1, r k -1)

такая, что Т (Q k -1, r k -1) = Q k .

Считается, что для любой системы состояние Q 0 тривиально достижимо.

Следует отметить, что в мандатных моделях контролируются не операции, которые выполняются субъектами над объектами, а потоки информации. Потоки типа:

Stream(s i , o i) ® o j (поток типа чтение ),

Stream(s i , o j) ® o i (поток типа запись ).

Решетка уровней безопасности

Решетка уровней безопасности – это формальная алгебра, использование которой позволяет упорядочить потоки информации в компьютерной системе.

Решетка уровней безопасности представлена

    множеством уровней безопасности D;

    оператором отношения £ ;

    оператором, позволяющим определить наименьшую верхнюю границу для пары уровней безопасности;

    оператором, позволяющим определить наибольшую нижнюю границу для пары уровней безопасности.

Смысл этих операций заключается в том, что для каждой пары элементов множества D всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.

Множество уровней безопасности может быть представлено как целыми числам, так и более сложными составными элементами. Например, в государственных организациях в качестве уровней безопасности используются комбинации, состоящие из уровня безопасности, представленного целым числом, и набора категорий из некоторого множества (1.секретно, 1.совершенно секретно и т.п.)

Пусть имеется множество субъектов S и множество объектов О. В модели Белла-Лападулы каждому субъекту и объекту системы из множества D функцией уровня безопасности F назначается соответствующий уровень безопасности.

Естественно, что некоторые субъекты и объекты могут иметь один и тот же уровень безопасности. Подмножества, в которых субъекты и объекты имеют одинаковый уровень безопасности, называются классами . Пусть имеются два класса X и Y. Рассмотрим применение основных положений теории решеток применительно к этим классам.

В теории решеток рассматривается отношение порядка £, использование этого отношения в теории компьютерной безопасности позволяет установить направление потоков информации.

Отношение порядка обладает следующими свойствами:

    рефлексивности ;

    антисимметричности;

    транзитивности .

Вывод : мандатная модель управляет доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними.

4.5.1. Классическая мандатная модель Белла-Лападулы

В классической мандатной модели Белла – Лападулы состояния системы делятся на:

    безопасные, в которых информационные потоки не противоречат установленным в модели правилам;

    небезопасные, в которых эти правила нарушаются, и происходит утечка информации.

Белл и Лападула предложили следующее определение безопасного состояния:

1. Состояние (F, A) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа read к объекту oj, уровень безопасности субъекта si доминирует над уровнем безопасности объекта oj

"s i Î S, "o j Î O, read Î a ij ® F(s i) ³ F(o j), i = 1,…m, j = 1,…,n

2. Состояние (F, A) называется безопасным по записи (или *- безопасным) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа write к объекту oj, уровень безопасности объекта oj доминирует над уровнем безопасности субъекта si

"s i Î S, "o j Î O, write Î a ij ® F(o j) ³ F(s i), i = 1,…m, j = 1,…,n

3. Состояние системы безопасно тогда и только тогда, когда оно безопасно и по чтению и по записи.

В соответствии с определением безопасного состояния критерий безопасности системы формулируется следующим образом.

Система (Q 0 , R, T) безопасна тогда и только тогда, когда ее начальное состояние Q 0 безопасно и все состояния, достижимые из Q 0 в результате применения конечной последовательности запросов из R безопасны.

Белл и Лападула доказали теорему, формально определяющую безопасность системы при соблюдении необходимых условий. Эта теорема называется Основной теоремой безопасности .

Основная теорема безопасности

Система (Q 0 , R, T) безопасна тогда и только тогда, когда

а) начальное состояние системы Q 0 безопасно

б) для любого состояния Q¢, достижимого из Q 0 в результате выполнения конечной последовательности запросов из R таких, что

T(Q, r) = Q¢; Q = (F, A); Q¢ = (F¢, A¢)

Для каждого s i Î S и O j ÎO (i = 1, …, m, j = 1,…, n) выполняются следующие условия:

1) если read Î a ij ¢ reada ij , то F¢ (s i) F¢ (o j)

2) если read Î a ij F¢ (s i) < F¢ (o j), то read a ij ¢

3) если write Î a ij ¢ writea ij , то F¢ (o j) F¢ (s i)

4) если write Î a ij F¢ (o j) < F¢ (s i), то write Î a ij ¢

Доказательство

Теорема утверждает, что система с безопасным начальным состоянием Q 0 является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа (потоков), которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начиная свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.

Безопасная функция перехода. Теорема безопасности Мак – Лина

Недостаток основной теоремы безопасности Белла–Лападулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния системы. Поэтому данная теорема является избыточной по отношению к определению безопасного состояния.

Из теоремы так же следует, что все состояния, в которые может перейти система из безопасного состояния, при определенных условиях безопасны. Но при этом ничего не говорится о том, что могут ли в процессе перехода изменятся уровни безопасности субъектов и объектов.

Если в процессе перехода системы из одного состояния в другое уровни безопасности субъектов и объектов могут изменяться, то это может привести к потере свойств безопасности системы.

Действительно можно представить гипотетическую систему (в литературе оно получила название Z – системы), в которой при попытке субъекта с низким уровнем безопасности прочитать информацию из объекта, имеющего более высокий уровень безопасности, будет происходить понижение уровня безопасности объекта до уровня безопасности субъекта и осуществляться чтение. В этом случае функция перехода Z – системы удовлетворяет ограничениям (условиям) основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла–Лападулы, но вместе с тем в этой системе любой субъект может реализовать поток типа read к любому объекту, что, очевидно, не совместимо с безопасностью в обычном понимании.

Следовательно, необходимо сформулировать теорему, в которой не только бы констатировалась безопасность всех достижимых состояний в системе при выполнении определенных условий, но и гарантировалась бы безопасность в процессе осуществления переходов между состояниями. Для этого необходимо регламентировать изменения уровней безопасности при переходе системы из одного состояния в другое с помощью дополнительных правил.

Такую интерпретацию мандатной модели осуществил Мак-Лин . Он предложил свою формулировку основной теоремы безопасности, основанную не на понятии безопасного состояния, а на понятии безопасного перехода.

При таком подходе функция уровня безопасности представляется в виде двух функций:

F s – которая ставит каждому субъекту системы в соответствие определенный уровень безопасности из множества D;

F o – которая ставит каждому объекту системы в соответствие определенный уровень безопасности из множества D.

Функция перехода T считается безопасной по чтению, если для любого перехода

выполняются следующие условия:

1) если read Î a ij ¢ Ù read Ï a ij , (возникает новое отношение доступа), то

F s ¢(s i) ³ F o ¢(o j) ; F = F¢

2) если F s ¹ F s ¢ (изменяются уровни безопасности субъекта), то

A = A¢, F o = F o ¢ и

для "s i и o j , для которых F s ¢(s i) < F o ¢(o j),

A = A¢, F s = F s ¢ и

для "s i и o j , для которых F s ¢(s i) < F o ¢(o j),

read Ï a ij ¢, i = 1…m, j=1…n.

Функция перехода T считается безопасной по записи, если для любого перехода

выполняются следующие три условия:

1) если write Î a ij ¢ Ù read Ï a ij , (возникает новое отношение доступа), то

F o ¢(o j) ³ F s ¢(s i) ; F = F¢

2) если F s ¹ F s ¢ (изменяются уровни безопасности субъекта), то

A = A¢, F o = F o ¢ и

для "s i и o j , для которых F s ¢(s i) > F o ¢(o j),

3) если F o ¹ F o ¢ (изменяется уровень безопасности объекта), то

A = A¢, F s = F s ¢ и

для "s i и o j , для которых F s ¢(s i) > F o ¢(o j),

write Ï a ij ¢, i = 1…m, j=1…n.

Функция перехода является безопасной тогда и только тогда, когда она одновременно безопасна и по чтению и по записи.

Смысл введения перечисленных ограничений и их принципиальное отличие от условий теоремы Белла–Лападулы состоит в том, что нельзя изменить одновременно более одного компонента состояния системы. В процессе перехода

    либо возникает новое отношение доступа;

    либо изменяется уровень безопасности субъекта;

    либо изменяется уровень безопасности объекта.

Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния, и изменения не приводят к нарушению безопасности системы.

Поскольку безопасный переход из состояния в состояние позволяет изменяться только одному элементу и так как этот элемент может быть изменен только способами, сохраняющими безопасность состояния, была доказана следующая теорема о свойствах безопасной системы.

Теорема безопасности Мак-Лина

Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.

Однако система может быть безопасной по определению Белла-Лападулы, но не иметь безопасной функции перехода.

Такая формулировка основной теоремы безопасности предоставляет в распоряжение разработчиков защищенных систем базовый принцип их построения, в соответствии с которым для обеспечения безопасности системы, как в любом состоянии, так и в процессе перехода между ними, необходимо реализовать для нее такую функцию перехода, которая соответствует указанным условиям.

Выводы: классическая модель Белла-Лападулы построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа.

  • Аксиома 1. Для создания и осуществления системной деятельности объект этой деятельности необходимо представлять моделью общей системы.
  • Аксиома 3. Субъект системной деятельности необходимо представлять моделью общей системы.
  • Аксиома 7. Объект и результат системной деятельности необходимо представлять одной моделью общей системы.

    • Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими

    уровнями секретности.

    В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила :

    1. Простое правило безопасности (Simple Security, SS). xs может читать информацию из объекта суровнем секретности xo тогда и только тогда, когда xs преобладает над xo .

    2. *-свойство (*-property). Субъект с уровнем секретности xs может писать информацию в объект с

    уровнем секретности xo в том и только в том случае, когда xo преобладает над xs .

    Для первого правила существует мнемоническое обозначение No Read Up , а для второго – No Write Down . Диаграмма информационных потоков, соответствующая реализации модели Белла- ЛаПадулы в системе с двумя уровнями секретности, приведена на рис. 2.3.2.1.

    Перейдём к формальному описанию системы. Введём следующие обозначения :

    - S – множество субъектов;

    - O – множество объектов, S O ;

    - R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;

    - L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;

    - Λ = (L ,≤, ,⊗) - решётка уровней секретности;

    - V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M) , где:

    􀂃 F : S O L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

    􀂃 M – матрица текущих прав доступа. Остановимся более подробно на решётке уровней секретности. Напомним, что решёткой Λназывается алгебраическая система вида (L ,≤, ,⊗) , где:

    - ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

    Оператор наименьшей верхней границы;



    - ⊗ - оператор набольшей нижней границы.

    Отношение ≤ обладает следующими свойствами :

    1. Рефлексивность : ∀a L : a ≤ a .

    С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.

    2. Антисимметричность : 1 2 1 2 2 1 2 1 ∀a , a L : ((a a )&(a a ))→ a = a .

    Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A B , так и от субъектов и объектов уровня B к субъектам и объектам уровня A , то эти уровни эквивалентны.

    3. Транзитивность : 1 2 3 1 2 2 3 1 3 ∀a , a , a L : ((a a )&(a a ))→ a a .

    Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B , и от субъектов и объектов уровня B к субъектам и объектам уровня C , то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C . Операторы наименьшей верхней границы и наибольшей нижней границы ⊗ определяются следующим образом:



    - (,)&(" : (") (" ")) 1 2 1 2 1 2 a = a a a a a a L a a a a a a ;

    - (,)&(" : (" & ") (")) 1 2 1 2 1 2 a = a a a a a a L a a a a a a .

    Нетрудно показать, что для каждой пары a a L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы .Заметим, что в качестве уровней безопасности совершенно не обязательновыбирать целые числа, в ряде случаев удобнее использовать более сложные структуры. Засчёт этого, например, в пределах каждого уровня секретности можно реализоватькатегории секретности (см. рис. 2.3.2.2). В этом случае наличие допуска к той или иной


    Система (,) 0 Σ = v R T в модели Белла-ЛаПадулы состоит из следующих элементов:

    - v0 – начальное состояние системы;

    - R – множество прав доступа;

    - T :V × R V - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

    Изменение состояний системы во времени происходит следующим образом: система, находящаяся в состоянии v V , получает запрос на доступ r R и переходит в состояние v ∗ = T (v , r ) .

    Состояние vn называется достижимым в системе (,) 0 Σ = v R T , если существует последовательность {(,),..., (,),(,)}: (,) 0, 1 0 0 1 1 1 = ∀ = − − − + r v r v r v T r v v i n n n n n i i i . Начальное состояние v0 является достижимым по определению. Состояние системы (F, M) называется безопасным по чтению (или simple-безопасным ), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:

    s S ,∀o O , r M [s ,o ]→ F (o ) ≤ F (s ) .

    Состояние (F, M ) называется безопасным по записи (или * - безопасным ) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

    s S ,o O : w M [s ,o ]→ F (s ) ≤ F (o ) .

    Состояние (F, M) называется безопасным , если оно безопасно по чтению и по записи. Наконец, система (,) 0 Σ = v R T называется безопасной , если её начальное состояние v0 безопасно, и все состояния, достижимые из v0 путём применения конечной последовательности запросов из R , безопасны.

    Теорема (Основная теорема безопасности Белла-ЛаПадулы ). Система (,) 0 Σ = v R T безопасна тогда и только тогда, когда выполнены следующие условия:

    1. Начальное состояние v0 безопасно.

    2. Для любого состояния v, достижимого из v0 путём применения конечной последовательности запросов из R, таких, что T (v , r ) = v , v=(F, M) и v ∗ = (F ∗ ,M ∗) , для s S ,∀o O выполнены условия:

    1. Если r M ∗[s ,o ] и r M [s ,o ], то F ∗ (o ) ≤ F ∗ (s ) .

    2. Если r M [s ,o ]и F ∗ (s ) < F ∗ (o ) , то r M ∗[s ,o ] .

    3. Если w M ∗[s ,o ] и w M [s ,o ] , то F ∗ (s ) ≤ F ∗ (o ) .

    4. Если w M [s ,o ] и F ∗ (o ) < F ∗ (s ) , то w M ∗[s ,o ].

    Пусть система (,) 0 Σ = v R T безопасна. В этом случае начальное состояние v0 безопасно по определению. Предположим, что существует безопасное состояние v ∗,достижимое из состояния v : T (v , r ) = v ∗ , и для данного перехода нарушено одно изусловий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние v ∗ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным позаписи. В обоих случаях мы получаем противоречие с тем, что состояние v ∗ являетсябезопасным.

    Докажем достаточность утверждения. Система (,) 0 Σ = v R T может бытьнебезопасной в двух случаях:

    1. В случае если начальное состояние v0 небезопасно. Однако данное утверждение противоречит условию теоремы.

    2. Если существует небезопасное состояние v ∗ , достижимое из безопасного состояния v0 путём применения конечного числа запросов из R . Это означает, что на каком-то промежуточном этапе произошёл переход T (v , r ) = v ∗ , где v – безопасное состояние, а v ∗ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

    Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность.

    В настоящее время модель Белла-ЛаПадулы и другие модели мандатного управления доступом, широко используются при построении и верификации автоматизированных систем, преимущественно предназначенных для работы с информацией, составляющей государственную тайну.

    Похожие публикации: