Немного истории
Классическая модель Белла-ЛаПадула была реализована в 1975 году компанией MITRE Corporation дэвидом Беллом и Лоонардом ЛаПадулой. Их вдохновила система защиты, которая была реализована в правительстве США в то время.
Мандатный доступ использует ограничения на транспортировку данных от одного пользователя другому, что решает проблемы троянских коней.
Классическая MAC – модель Белла и Лападула (БЛМ)
Создание — Белл и Лападула наблюдали за тем, как передаются документы на бумажных носителях в государственных организациях между сотрудниками. Выводы:
- Все субъекты и объекты в правительства США приравниваются к уровням безопасности. Для предотвращения утечки данных, к объектам с большим уровнем безопасности запрещено обращаться субъектам с низким уровнем безопасности.Первое правило БЛМ — нет чтения в верх. Субъект с уровнем безопасности Xs может обращаться к данным из объекта с уровнем безопасности Хо, только если Xs преобладает над Xo.
- Субъектам в правительстве США запрещено записывать или размещать данные в объекты, которые имеют более низкий уровень секретности. К примеру выкидывать бумаги в мусорное ведро. Второе правило — нет записи вниз. субъект с уровнем безопасности Xs может записывать данные в объект уровня безопасности Xo, только если Xo сверху над Xs. Это правило решает проблему троянский коней, так как ихняя типичные действия это перенос данных с высокого уровня безопасности на низкий.
Формализация БЛМ: Если S — множество субъектов, L — решетка уровней безопасности, O — множество объектов, тогда функция F, которая определяет уровень безопасности имеет вид: F: S ∪ O → L.
V — множество состояний, которое складывается из пар (F, M). M — матрица доступа объектов к субъектам. Начальное состояние системы показывается Vo, которое имеет множество запросов к системе R — T: (V × R) →. Это процесс из состояния в состояние после выполнения запроса.
Определение 1 — состояние (F, M) может быть безопасно по чтению тогда, когда для любого из множества субъектов и объектов для допустимого чтения F(S) преобладает над F(O) — M(S, O) → F(O) > F(O).
Определение 2 — Состояние (F, M) безопасно по записи тогда, когда для любого из множества субъектов и объектов для допустимой записи M(S, O) означает, что F(O) преобладает над F(S) — M(S, O) → F(O) > F(S).
Определение 3 — Состояние безопасно тогда, когда оно безопасно по записи и чтению.
Для определения теоремы безопасности нужны три определения описаны выше. Система (Vo, R, T) которая описывается начальным состоянием Vo, функцией переходов Т и запросов к системе R, безопасна тогда, когда для любого состояния V достижимого из Vo, после реализации конечной последовательности запросов из R можно сделать переход к состоянию V × , также принадлежащему множеству состояний. Система ∑ Vo, R, T — безопасна тогда, когда соблюденны следующие условия:
- Начальное состояние Vo безопасно
- Для любого состояния V, достижимого из Vo с помощью реализации конечной последовательности запросов из R, таких, что T(V, r) = V *, V = (F, M)∪V*(F*, M*), для ∀
s ∈ S, ∀
0 ∈ O сделаны условия:
- Если r ∈ M* ∪ r ∉ M, то F* (0) ≤ F* (s).
- Если r ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ M*.
- Если w ∈ M* ∪ w ∉ M, то F* (0) ≤ F* (s).
- Если w ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ w*.
Основная теорема безопасности Белла — Лападулы указывает, что если информационная система стартует работу из безопасного состояния и переход из состояния в состояние безопасное, то все состояние системы безопасны.
Доведение теоремы
Пусть система (..)0 ∑ = v R T безопасна. В таком случае начальное состояние Vo безопасно исходят начальных условий. Предположим, что есть безопасное состояние V*, достижимое из состояния V: T(V, r) = V*. Для такого перехода нарушено одно из условий 1-4. Если нарушены условия 1 или 2, то состояние V* будет небезопасным по чтению, а если нарушены условия 3-4, то небезопасным по записи. В обоих вариантах мы имеем противоречие с тем, что состояние V* есть безопасным. Докажем достаточность утверждения. Система (..)0 ∑ = V R T может быть небезопасной в двух случаях:
- Если начальное состояние Vo небезопасно, однако такое утверждение противоречит условию теоремы
- Если есть небезопасное состояние V*, созданное из безопасное состояние Vo путем реализации конечного числа запросов из R. Это значит, что на определенном этапе произошел переход T(V, r) = V*, где V — безопасное состояние, а V* — небезопасное. Однако условия 1-4 делают такой переход невозможным.
Заключение
Классическая модель БЛМ имеют недостатки:
- Проблема доверенных субъектов. Правила БЛМ работают на администратора системы? В любой такой системе есть доверенные субъекты и их нужно рассматривать по отдельности. Для решения проблемы нужно реализовать модели невмешательства и невыводимости.
- Проблема в распределенных системах — удаленное чтение. На удаленные запросы такая модель не работает. Для решения проблемы для удаленных запросов нужно использовать другую модель.
- Проблема системы Z. Жесткие системы классификации уровней безопасности.
К примеру субъект с большой степенью доверия А читает данные из объекта с таким же уровнем защиты. Субъект понизил свою уровень доверия до В (A > B). После понижения субъект может записать данные в файл с классификацией В. БЛМ никак не реагирует на такие действия. Поэтому были введены дополнительные правила, правила сильного и слабого спокойствия.
Правило слабого спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции так, что бы нарушить заданную политику безопасности.
Правила сильного спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции.
С одной стороны, правила БЛМ есть строгими, но с другой, есть много прогрехов которые были обозначены. Также отсутствует поддержка многоканальных объектов.
Белла Хадид – начинающая модель, которой за рекордно короткий срок удалось добиться впечатляющих успехов в модельной индустрии. Конечно, родившись в семье бывшей супермодели и именитого архитектора сложно было остаться незамеченной. Кроме того, видя успехи своей старшей сестры на модельном поприще, Белла решила не отставать.
Белла Хадид модель
Ранние годы
Будущая звезда международного подиума появилась на свет 9 октября 1996 года в солнечном Лос-Анджелесе. У девочки очень большая звездная семья. Мама Иоланда Фостер, в прошлом занималась моделингом, а также участвовала в телепроектах. Ее отец Мохаммед Хадид, известный на весь мир архитектор, которому удалось сколотить огромное состояние и стать мультимиллионером. Так же у Беллы есть родная сестра Джиджи, успевшая отлично себя зарекомендовать на модельном поприще и младший брат Анвар, который пошел по стопам сестер и начал покорять эту индустрию.
Стоит отметить, что их родители расторгли брак, когда Белле было всего 4 года. Все дети остались жить с мамой, но отношения с родным отцом от этого не пострадали. Они по-прежнему вместе проводят время и делятся успехами в карьере. На данный момент их мама живет с продюсером Дэвидом Фостером, которому удалось 16 раз завоевать «Грэмми». На этом их огромная семья не заканчивается. У Беллы также есть две сестры по отцовской линии и пять от отчима.
В отличие от Джиджи, Белла имеет очень непростой характер. Сама модель признается, в то время, когда старшая сестра на отлично училась в школе и была послушной дочкой, она устраивала скандалы и всячески привлекала к себе внимание окружающих. Несмотря на такую разницу в характерах, девочки всегда были очень дружны и старались все свое свободное время проводить вместе.
Родители всегда с любовью относились к Белле, даже несмотря на ее выходки. Неоднократно в интервью модель сообщала, что благодарна родителям за такое воспитание. Она утверждает, что именно родители являются ее постоянными вдохновителями и мотиваторами. Они добились всего, не имея богатых родителей, поэтому учили своих детей всегда идти к своей цели и добиваться ее несмотря ни на что. Благодаря этому, модель пошла в модельный бизнес и стала финансово независимой.
В юном возрасте девушка увлекалась верховой ездой. Она усердно тренировалась и даже планировала выступить на Олимпийских играх 2016, которые проходили в Рио. Однако на пути стала болезнь Лайма, которая передалась ей от укуса клеща. Белла не первая, у кого в их семье диагностировали такой диагноз. В 2012 году о заражении этим заболеванием узнали ее мама и брат Анвар. Из-за этого Хадид навсегда покинула конный спорт.
Стоит отметить, что девушка не боится обыкновенных рабочих профессий. В подростковом возрасте будущая модель работала в кафе «Sunlife Organics». В школьные годы она занималась на домашнем обучении, после чего поступила в школу дизайна. Кроме того, Белла любит не только фотографироваться, но и быть по ту сторону съемочного процесса. Она окончила курсы фотографа и даже имеет коллекцию собственных фото.
Модельная карьера
- Рост – 178 см;
- Вес – 54 кг;
- Параметры – 86-60-86 см.
В 2014 году Белла твердо решила начать модельную карьеру. Однако свою внешность девушка оценивала, как неподходящую для этой индустрии. Именно поэтому она решилась на операцию по исправлению носа. После пластики она стала еще более привлекательной, чем сразу же привлекла внимание модных агентов. На некоторых фото кажется, будто модель также немного увеличила губы, однако точной информации по поводу этой пластики нет.
В 2014 году она начала сотрудничать с модельным агентством IMG Models, в котором также числится ее старшая сестра Джиджи. Буквально сразу же ей удалось зарекомендовать себя, как талантливую и целеустремленную модель. С первых же недель работы ее начали звать на модные показы. К примеру, ее можно было встретить дефилирующей по подиуму Desigual и Tom Ford.
Белла стала настоящей любимицей многих фотографов. Ее фото украшали обложки и страницы многих именитых глянцев, среди которых Vogue и Fashion Book. Также Модель принимала участие в съемке для новой коллекции Jalouse.
Белла Хадид на обложке vogue
В 2015 году ее фото украсили многие рекламные кампании, среди которых Topshop Holiday, Marc Jacobs, JOE’s Jeans, Givenchy и многие другие. Кроме того, этот год отметился важным событием в жизни модели. Ее наградили премией в номинации «Звездный прорыв». Стоит отметить, что девушка стала победителем по мнению читателей журнала, а не критиков.
После этого, Белла Хадид стала очень популярна в социальных сетях. На момент 2016 года на ее странице в Инстаграм насчитывается более 7,4 миллиона подписчиков. Модель ежедневно делится со своими поклонниками новыми фото и видео, при помощи которых рассказывает о своей жизни и интересных событиях.
Белла Хадид в instagram
Кстати о видео. Девушка снялась в четырех клипах. Ее можно встретить в музыкальном видео Jesse Jo Stark на песни «Down Your Drain» и «Baby Love», а также в клипах The Weeknd на песни «In the Night» и «Might Not». Благодаря этим видео, которые транслировались по телевидению во многих странах и собрали миллионы просмотров в интернете, модель стала еще популярнее.
Кроме того, девушка уже спела попробовать себя и в качестве актрисы. Она снялась в короткометражном фильме «Приват». Ей не пришлось перевоплощаться в героя, ведь она сыграла саму себя. Также этот год отметился сотрудничеством с модным домом Шанель. Девушка дефилировала на их показе вместе со своей сестрой Джиджи и супермоделью . С каждым днем Белла становится все популярнее. Ее зовут на съемки, фото все чаще украшают модные издания, а безупречное тело беспрерывно дефилирует на показах.
Галерея кликабельна
В 2016 году Белла примет участие в первом показе Victoria’s Secret, которое пройдет в Париже. Этим радостным событием модель поделилась через видео, которое опубликовала на своей странице в Инстаграм. Уже известен один из двух образов, в котором она предстанет перед зрителями. В этом же году Хадид была названа моделью года.
Белла Хадид для victorias secret
2016 год уже успел отметиться для модели несколькими скандалами. К примеру, Белла Хадид упала во время показа новой коллекции Michael Kors. В ту же секунду весь интернет заполонили видео с этого показа. Поклонники поддержали модель и расстроились, что настало время, когда люди спешат снять все на смартфон, вместо того, чтобы помочь подняться.
Девушка не боится пристального внимания к своей персоне. Она любит эпатировать окружающих и провоцировать их на скандал. К примеру, ей не составит труда пройтись полуобнаженной на подиуме или подобрать свой повседневный образ так, чтобы все увидели ее пирсинг в соске. Ее модельная карьера только набирает обороты, а Белла уже стремительно догоняет по популярности и востребованности свою сестру.
Личная жизнь
Белла Хадид ничего не скрывает от своих поклонников. Всеми своими жизненными ситуациями девушка делится в социальных сетях. Именно там она впервые представила нам своего бойфренда, канадского артиста с псевдонимом The Weeknd. Молодые люди состоят в отношениях с 2015 года.
Еще раз стоит отметить, что модель очень часто создает скандальные ситуации вокруг своей персоны. К примеру, в 2016 году, на премьеру фильма на Канском кинофестивале девушка пришла в откровенном ярко-красном платье. Его изюминкой послужили глубокие разрезы на груди и ногах. Благодаря второму стало понятно, что модель посетила мероприятие абсолютно голая. В итоге, небольшой ветер поспособствовал тому, что на некоторых фото были видны некоторые интимные зоны.
Белла Хадид в Инстаграм: @bellahadid
This article explains the Abell Model or Abell Framework , developed by in a practical way. After reading you will understand the basics of this powerful strategy tool .
What is the Derek Abell model?
What company does not want clarity and insight into its customers and their customer needs? To get a good overview of the various customers and their needs and to find out exactly what technologies should be used to serve these customers, developed a business definition framework in the 1980s. This model is still known as the Abell Model, Model Abell or Abell Business Model. According to the process is the starting principle for any given organization, and this process is defined in the mission statement. A mission statement gives direction to the organization and provides the basis for further elaboration of strategies.
Three questions play an important part in the formulation of the mission statement:
- Who are the customers of the organization?
- How can the organization meet its customer needs?
- What techniques does the organization use to meet the customer needs?
Summarized the three questions in three axes: a horizontal axis on which he positioned the customers/ user groups, a vertical axis with buying needs and an inclined axis with the applied technologies.
Therefore, an overall summary of the ‘business model’ is created in the Abell model.
1. Customer needs
In the Abell Model all customer needs that are relevant to the company are identified and listed. These customer needs are determined on the basis of the product as a result of which a link is made to customer benefits.
Example: A software manufacturer responds to the needs of the customer by only delivering packages that can be installed by laypeople very easily. In addition, they offer virus free software and the possibility to clean up the software on a monthly basis. They also provide clear manuals and a telephone helpline.
2. Technologies
The term ‘technologies’ should be interpreted broadly. In addition to technologies that are used to create a product, there are also technologies that are used to put a product on the market. Which marketing campaign must be used and in which way is the market research on a product carried out?
Example: A software manufacturer uses the latest technologies in his software products. In addition, the manufacturer offers support to customers by means of a 24-hour helpdesk and he guarantees the best possible information provision.
3. Customer groups / Buyers
Marketing is all about buyers. Without buyers there would not be a market. Each organization wants to get down to the core of the buyers and therefore customer is very important. By having a thorough knowledge of the various target groups, an organization can make targeted product offers.
Example: A software manufacturer delivers products to B2B and B2C customers. The manufacturer reaches these groups by deploying their own Account Managers, distributive trade, retail trade and trade associations.
Optimization
The Abell Model provides an organization with a quick and easy overview of the most important factors that can be used in the marketing concept. It is possible to optimize the Abell Model by sorting the different aspects of Customers, Needs and Technologies according to their degree of importance from the cross line of the three axes. The most important aspects of the Abell Model that are closest to the ‘0 axis’ will have high priority. The company will know immediately to which aspect it must pay attention first.
It’s Your Turn
What do you think? Is the Abell Model applicable in today’s modern economy and marketing? Do you recognize the practical explanation or do you have more suggestions? What are your success factors for a good Abell Model set up?
Share your experience and knowledge in the comments box below.
If you liked this article, then please subscribe to our Free Newsletter for the latest posts on Management models and methods. You can also find us on
Мандатные модели КУД разработаны с целью обеспечения контроля над информационными потоками в системе. Примером недостаточного контроля потока информации служит возможность получения субъектом данных, доступ к которым ему запрещен, путем компрометации авторизованного субъекта. Подобные проблемы призвано решать использование решеток в качестве базы для построения мандатных моделей безопасности. Тогда в качестве объекта исследования выступают информационные потоки, а требования безопасности формулируются с помощью специальной математической структуры -- решетки. Примером применения решеточных структур на практике выступают модель "Китайская стена", модель Белла-ЛаПадулы.
Модель Белла-ЛаПадуды стала классической моделью КУД. Ее основы взяты из жизни: всем участникам процесса обработки информации и документам, в которых она содержится, назначается специальная метка -- "уровень безопасности" (например, "секретно", "общедоступно" и т.д.). Все уровни упорядочиваются с помощью отношения доминирования, например, уровень "совершенно секретно" выше, чем уровень "секретно".
Контроль доступа осуществляется на основании двух правил. лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности; уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными лицами, от доступа со стороны менее доверенных.
Второе правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.
Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом -- с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому, в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой- либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.
Формально ИС в модели безопасности Белла-ЛаПадулы представляется в виде множеств субъектов S, объектов, и прав доступа read (чтение) и -write (запись). В модели Белла-ЛаПадулы рассматриваются только эти виды доступа. Использование столь жесткого подхода объясняется в модели Белла-ЛаПадулы тем, что контролируются не операции, а потоки информации, которые могут быть двух видов: от субъекта к объекту (запись) или наоборот (чтение).
Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности, которая ставит в соответствие каждому субъекту и объекту уровень безопасности из множества уровней безопасности на котором определена решетка
Решетка уровней безопасности -- это формальная алгебра (L,<, *, где L -- множество уровней безопасности, оператор? определяет частичное нестрогое отношение порядка для элементов этого множества, т.е. оператор? асимметричен, транзитивен и рефлексивен. Отношение? на L,
Рефлексивно, если
- антисимметрично, если;
- * транзитивно, если
Другое свойство решетки состоит в том, что для каждой пары, и элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы. Эти элементы также принадлежат L , и обозначаются с помощью операторов * и соответственно:
Смысл этих определении состоит в том, что для каждой пары цементов (или множества элементов, поскольку операторыитранзитивны) можно указать единственный.элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.
Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, и пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор? определяет направление потоков информации, т.е. ; если Р(А) ? Р(В) то информация может передаваться от элементов класса А элементам класса В.
Использование решетки для описания отношений между уровнями безопасности позволяет использовать в качестве элементов множества L не только целые числа, для которых определено отношение "меньше или равно", но и составные элементы. Например, в государственных организациях используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множества. Такие атрибуты невозможно сравнивать с помощью арифметических операций, поэтому отношение доминирования? определяется как композиция отношения "меньше или равно" для уровней и отношения включения множеств для наборов категорий. Причем, это никак не сказывается на свойствах модели, поскольку отношения меньше или равно" и "включение множеств" обладают свойствами асимметричности, транзитивности и рефлективности, и, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку. Точно также можно использовать любые виды атрибутов и любое отношение частичного порядка, лишь бы их совокупность представляла собой решетку.
В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы, поэтому ИС представляется с помощью множества системных состояний V как набора упорядоченных пар (F, М)., где М-- матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам. Содержание матрицы М аналогично содержанию матрицы доступа в модели Харрисона-Руззо-Ульмана, при этом набор прав ограничен двумя видами доступа -- чтение (read) и запись (write). Модель системысостоит из начального состояния R, множества запросов и функции переходакоторая в ходе выполнения запроса переводит систему из одного состояния в другое. Система, находящаяся в состояниипри получении запроса, переходит в следующее состояние. Состояние V достижимо в системетогда и только тогда, когда существует последовательностьтакая, что,
Для Заметим, что для любой системы v 0 тривиально достижимо.
Состояния системы, как и в дискреционной модели, делятся на безопасные, в которых отношения доступа не противоречат установленным в модели требованиям, и небезопасные, в которых эти требования нарушаются.
Белл и ЛаПадула предложили следующее определение безопасного состояния. Состояние (F, М) называется безопасным по чтению (или "просто безопасным”) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта.
Состояние (F, М) называется безопасным по записи (или "*-безопасным") тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.
В соответствии с предложенным определением безопасного состояния критерий безопасности системы выглядит следующим образом:
Системабезопасна тогда и только тогда, когда ее начальное состояниебезопасно и все состояния, достижимые изпутем применения конечной последовательности запросов из R, безопасны.
Белл и ЛаПадула доказали теорему, формально доказывающую безопасность системы при соблюдении определенных условий, получившую название основной теоремы безопасности Белла-ЛаПадулы:
Система безопасна тогда и только тогда, когда (а) начальное состояниебезопасно и (б) для любого состояния V, достижимого из путем применения конечной последовательности запросов из R, таких, что для каждого выполняются следующие условия:
Теорема утверждает, что система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния. Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.
Недостаток основной теоремы безопасности Белла-ЛаПадулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния. Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода. Поскольку нет никаких определенных ограничений на вид функции перехода, кроме указанных в условиях теоремы, и допускается, что уровни безопасности субъектов и объектов могут изменяться, то можно представить такую гипотетическую систему (она получила название Z-системы), в которой при попытке низкоуровневого субъекта прочитать информацию из высокоуровневого объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла-ЛаПадулы, но вместе с тем в этой системе любой пользователь сможет прочитать любой файл, что очевидно, несовместимо с безопасностью в обычном понимании.
В этой модели реализуется мандатное управление доступом (Mandatory Access Control – MAC). Модель представляется в виде множеств субъектов S , объектов О и двух прав доступа (read – чтение и write – запись). В мандатной модели контролируются не операции субъектов над объектами, а потоки данных от субъекта к объекту (при записи) или от объекта к субъекту (при чтении).
Мандатное или нормативное, полномочное управление доступом основано на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Его суть состоит в том, что используется упорядоченный набор меток секретности (секретно, совершенно секретно и т.п.), а каждому объекту системы присваивается метка, определяющая уровень секретности, отражающий ценность содержащейся в нем информации, и уровень доступа к нему в информационной системе.
Контроль доступа осуществляется с помощью двух правил, согласно которым уполномоченное лицо (субъект) имеет право:
- читать только те документы, уровень секретности которых не превышает его собственный уровень, что обеспечивает защиту информации, обрабатываемой высокоуровневыми субъектами (лицами), от доступа со стороны низкоуровневых;
- заносить информацию только в те документы, уровень секретности которых не ниже его собственного уровня, что предотвращает утечку информации со стороны высокоуровневых субъектов обработки информации к низкоуровневым.
Для мандатной модели строго математически определены необходимые и достаточные условия безопасного состояния системы, т.е. того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния. Мандатное управление доступом не различает одинаковых уровней безопасности, поскольку все субъекты одного уровня наделены одинаковыми правами. Поэтому иа взаимодействия объектов одного уровня ограничения отсутствуют и в тех случаях, когда требуется более гибкое управление доступом, мандатная модель применяется совместно с дискреционной моделью, лишенной указанного недостатка.
Аутентификация (Authentication) – процедура установления подлинности пользователя при запросе доступа к ресурсам системы (компьютеру или сети). Она предотвращает доступ нежелательных лиц и разрешает доступ всем легальным пользователям. В процедуре аутентификации участвуют две стороны: одна доказывает свое право на доступ (аутентичность), предъявляя некоторые аргументы; другая проверяет эти аргументы и принимает решение.
Для доказательства аутентичности могут использоваться некоторое известное для обеих сторон слово (пароль) или уникальный физический предмет (ключ), а также собственные биохарактеристики (отпечатки пальцев или рисунок радужной оболочки глаза).
Наиболее часто при аутентификации используют вводимые с клавиатуры пароли. Пароль представляет собой зашифрованную последовательность символов, которая держится в секрете и предъявляется при обращении к информационной системе.
Простота и логическая ясность механизмов аутентификации иа основе паролей в какой-то степени компенсирует такие их слабости, как возможность раскрытия паролей путем разгадывания или анализа сетевого трафика. Снижение уровня угроз от раскрытия паролей достигается политикой их назначения и использования: задаются сроки действия пароля, для шифрования паролей используют криптографические методы, фиксируются неудачные попытки логического входа и т.п.
Объектами аутентификации могут быть не только пользователи, но и различные устройства, приложения, текстовая и другая информация. В некоторых случаях требуется обоюдная идентификация. Например, при обращении с запросом к корпоративному серверу пользователь должен доказать ему свою легальность, но при этом также должен убедиться сам, что ведет диалог с сервером действительно принадлежащим своему предприятию, т.е. сервер и клиент должны пройти процедуру взаимной аутентификации. Аутентификация данных означает доказательство их целостности, а также того, что данные поступили именно от того человека, который объявил об этом. Для аутентификации данных используется механизм электронной подписи.
Меры безопасности паролей. На время раскрытия пароля существенное влияние оказывают длина пароля, число символов используемого алфавита и время задержки между разрешенными попытками повторного ввода неправильно введенного пароля. При существенном увеличении длины пароля он может быть разбит на две части: запоминаемую пользователем и вводимую вручную, а также размещенную в зашифрованном виде на специальном носителе и считываемую особым устройством. Повышение надежности аутентификации может быть достигнуто увеличением числа символов алфавита, например путем использования строчных и прописных символов латиницы и кириллицы. Если для трехсимвольного пароля, выбранного из 26-символьного алфавита, время раскрытия составляет 3 месяца, то для четырехсимвольного – 65 лет . Время действия пароля наиболее существенно, если он простой, поэтому администратор службы безопасности (или сети) должен постоянно контролировать своевременность смены паролей пользователей. Весьма эффективны методы, основанные на использовании динамически изменяющихся паролей, когда при смене пароля осуществляется его функциональное преобразование. Например, пользователю можно выделить достаточно длинный пароль и при каждой аутентификации использовать только его некоторую часть, которая запрашивается при входе в систему с помощью датчика псевдослучайных чисел. Такой процесс называют гаммированием.
Действенной мерой повышения безопасности пароля является его функциональное преобразование с использованием односторонней криптографической функции F, которую при известных X и Y сложно или невозможно определить, а для заданного X легко вычислить Y = F(X).
Пользователю сообщается слово или число X (исходный пароль), а также функция преобразования F(X), например,
где (X mod 100) – операция взятия остатка от целочисленного деления X на 100; D – текущий номер дня недели; W – текущий номер недели в месяце. При этом должна быть известна периодичность смены исходного пароля, например каждый день или каждая неделя.
Может быть использована следующая последовательность паролей X, F(X), F(F(X)) и т.д. Чтобы вычислить текущий пароль такой последовательности, нужно знать вид F парольного преобразования, а также предыдущий пароль.
Для более высокого уровня безопасности функция F должна периодически меняться. При ее замене целесообразно устанавливать также новый исходный пароль X. Чтобы надежно идентифицировать личность, применяют технические средства определения сугубо индивидуальных биометрических характеристик человека (отпечатков пальцев, структуры зрачка и т.д.).
