Белла хадид и современные стандарты красоты. Модель Белла-ЛаПадулы. Основная теорема безопасности Белла-ЛаПадулы Модель белла лападулы
Немного истории
Классическая модель Белла-ЛаПадула была реализована в 1975 году компанией MITRE Corporation дэвидом Беллом и Лоонардом ЛаПадулой. Их вдохновила система защиты, которая была реализована в правительстве США в то время.
Мандатный доступ использует ограничения на транспортировку данных от одного пользователя другому, что решает проблемы троянских коней.
Классическая MAC – модель Белла и Лападула (БЛМ)
Создание — Белл и Лападула наблюдали за тем, как передаются документы на бумажных носителях в государственных организациях между сотрудниками. Выводы:
- Все субъекты и объекты в правительства США приравниваются к уровням безопасности. Для предотвращения утечки данных, к объектам с большим уровнем безопасности запрещено обращаться субъектам с низким уровнем безопасности.Первое правило БЛМ — нет чтения в верх. Субъект с уровнем безопасности Xs может обращаться к данным из объекта с уровнем безопасности Хо, только если Xs преобладает над Xo.
- Субъектам в правительстве США запрещено записывать или размещать данные в объекты, которые имеют более низкий уровень секретности. К примеру выкидывать бумаги в мусорное ведро. Второе правило — нет записи вниз. субъект с уровнем безопасности Xs может записывать данные в объект уровня безопасности Xo, только если Xo сверху над Xs. Это правило решает проблему троянский коней, так как ихняя типичные действия это перенос данных с высокого уровня безопасности на низкий.
Формализация БЛМ: Если S — множество субъектов, L — решетка уровней безопасности, O — множество объектов, тогда функция F, которая определяет уровень безопасности имеет вид: F: S ∪ O → L.
V — множество состояний, которое складывается из пар (F, M). M — матрица доступа объектов к субъектам. Начальное состояние системы показывается Vo, которое имеет множество запросов к системе R — T: (V × R) →. Это процесс из состояния в состояние после выполнения запроса.
Определение 1 — состояние (F, M) может быть безопасно по чтению тогда, когда для любого из множества субъектов и объектов для допустимого чтения F(S) преобладает над F(O) — M(S, O) → F(O) > F(O).
Определение 2 — Состояние (F, M) безопасно по записи тогда, когда для любого из множества субъектов и объектов для допустимой записи M(S, O) означает, что F(O) преобладает над F(S) — M(S, O) → F(O) > F(S).
Определение 3 — Состояние безопасно тогда, когда оно безопасно по записи и чтению.
Для определения теоремы безопасности нужны три определения описаны выше. Система (Vo, R, T) которая описывается начальным состоянием Vo, функцией переходов Т и запросов к системе R, безопасна тогда, когда для любого состояния V достижимого из Vo, после реализации конечной последовательности запросов из R можно сделать переход к состоянию V × , также принадлежащему множеству состояний. Система ∑ Vo, R, T — безопасна тогда, когда соблюденны следующие условия:
- Начальное состояние Vo безопасно
- Для любого состояния V, достижимого из Vo с помощью реализации конечной последовательности запросов из R, таких, что T(V, r) = V *, V = (F, M)∪V*(F*, M*), для ∀
s ∈ S, ∀
0 ∈ O сделаны условия:
- Если r ∈ M* ∪ r ∉ M, то F* (0) ≤ F* (s).
- Если r ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ M*.
- Если w ∈ M* ∪ w ∉ M, то F* (0) ≤ F* (s).
- Если w ∈ M ∪ F* ∉ (s) < F* (0), то r ∉ w*.
Основная теорема безопасности Белла — Лападулы указывает, что если информационная система стартует работу из безопасного состояния и переход из состояния в состояние безопасное, то все состояние системы безопасны.
Доведение теоремы
Пусть система (..)0 ∑ = v R T безопасна. В таком случае начальное состояние Vo безопасно исходят начальных условий. Предположим, что есть безопасное состояние V*, достижимое из состояния V: T(V, r) = V*. Для такого перехода нарушено одно из условий 1-4. Если нарушены условия 1 или 2, то состояние V* будет небезопасным по чтению, а если нарушены условия 3-4, то небезопасным по записи. В обоих вариантах мы имеем противоречие с тем, что состояние V* есть безопасным. Докажем достаточность утверждения. Система (..)0 ∑ = V R T может быть небезопасной в двух случаях:
- Если начальное состояние Vo небезопасно, однако такое утверждение противоречит условию теоремы
- Если есть небезопасное состояние V*, созданное из безопасное состояние Vo путем реализации конечного числа запросов из R. Это значит, что на определенном этапе произошел переход T(V, r) = V*, где V — безопасное состояние, а V* — небезопасное. Однако условия 1-4 делают такой переход невозможным.
Заключение
Классическая модель БЛМ имеют недостатки:
- Проблема доверенных субъектов. Правила БЛМ работают на администратора системы? В любой такой системе есть доверенные субъекты и их нужно рассматривать по отдельности. Для решения проблемы нужно реализовать модели невмешательства и невыводимости.
- Проблема в распределенных системах — удаленное чтение. На удаленные запросы такая модель не работает. Для решения проблемы для удаленных запросов нужно использовать другую модель.
- Проблема системы Z. Жесткие системы классификации уровней безопасности.
К примеру субъект с большой степенью доверия А читает данные из объекта с таким же уровнем защиты. Субъект понизил свою уровень доверия до В (A > B). После понижения субъект может записать данные в файл с классификацией В. БЛМ никак не реагирует на такие действия. Поэтому были введены дополнительные правила, правила сильного и слабого спокойствия.
Правило слабого спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции так, что бы нарушить заданную политику безопасности.
Правила сильного спокойствия — уровни безопасности объектов и субъектов никогда не меняются в ходе определенной системной операции.
С одной стороны, правила БЛМ есть строгими, но с другой, есть много прогрехов которые были обозначены. Также отсутствует поддержка многоканальных объектов.
даша князева
По прошествии недель моды, традиционно формируются списки тенденций на будущий сезон. В модельном бизнесе это также время подводить итоги - всех интересует, кто из моделей вышел на подиум наибольшее количество раз, кто открыл показ Prada (один из признаков удачного старта модельной карьеры), кто пропустил сезон, а кто решил вернуться в профессию. В это же время появляются рейтинги моделей-новичков, часть из которых исчезнет из поля зрения уже к следующему сезону, но некоторые останутся с нами надолго. Мы выбрали 10 «новых лиц» - подающих большие надежды девушек, по внешности которых можно отслеживать актуальные взгляды на разнообразие красоты в модельном бизнесе (и которые пока, увы, почти не касаются типов фигуры).
Пейтон Найт
Удачный сезон модели Пейтон Найт, как это часто бывает, связан с везением и случаем. Скаут из Elite Model Look подошел к девушке и ее маме, когда они ходили в кино на «Сумерки» в их родном Сент-Луисе. Пейтон на тот момент было всего 11 лет, и, по ее словам, она была больше похожа на мальчика, в том числе благодаря огромной коричневой футболке. При полной поддержке своей мамы она заключила первый контракт с небезызвестным агентством IMG в 13 лет и много путешествовала по работе, преимущественно в Токио и Лондон. Первая большая съемка Пейтон случилась через пару лет - ей удалось поработать со Стивеном Мейзелом для сентябрьского номера W .
Звание одной из самых многообещающих моделей сезона девушке подарил эксклюзив у Александра Вэнга. В показе собственной марки недавний креативный директор Balenciaga решил отказаться от унифицированности моделей в пользу исключительной индивидуальности. Для этого давний друг и коллаборатор дизайнера, легендарный парикмахер-бунтарь Гвидо Палау сделал Пейтон удлиненный боб с густой длинной челкой. Девушка изменилась до неузнаваемости. Вслед за этим ее ждали выходы не только у Balenciaga (еще подвластной тогда Вэнгу), но и появления на подиуме у других ключевых марок от Prada до Chanel . Пока модель отдыхает после тяжелого рабочего сезона, но совсем скоро стоит ожидать ее появления в пуле рекламных кампаний.
Рут Белл
Рут Белл - настоящая «свежая» голова на прошедших показах. История знает не один пример, когда удачно сделанная прическа полностью меняла модельную карьеру, и короткий ежик Рут - одна из них. Фотограф Дэвид Симс хотел, чтобы в осенней кампании Alexander McQueen Рут отрезала волосы. C легкой руки парикмахера Пола Хэнлона и c тяжелым сердцем самой Рут («Ох, решение далось нелегко») девушка избавилась от шикарной копны.
До этого основной интерес к британке был связан с ее сестрой-двойняшкой Мэй. Миловидных сестер с бесконечно грустными глазами скаут Elite Model Look нашел в эссекском торговом центре. Их постоянно снимали вместе для подростковых журналов, но дальше дело не шло. Они вместе мечтали о подиуме, но удача в этом сезоне оказалась на стороне Рут, которая стала настоящей звездой Миланской недели (Max Mara , Versace , Gucci - разве шутки?) и новой любимой моделью Эди Слимана . Тем не менее у девушек до сих пор тесная связь, в которой, кажется, нет места соперничеству. «Иметь близнеца - значит всю жизнь иметь лучшего друга. К тому же, если мне понадобится какой-нибудь орган, я всегда знаю, к кому обратиться», - шутит Рут.
Виктория Косенкова
В этом сезоне окончательно сформировалась новая волна девушек-моделей из России и бывшего СССР - сёстры Лия и Одетт Павловы , Варвара Шутова , Лиза Останина и Анастасия Абрамова появлялись на подиуме с завидной регулярностью. Но мы решили выделить именно Викторию Косенкову, получившую в этом сезоне два важных эксклюзива - на открытие и закрытие Burberry Prorsum и появление у Prada . Сложно представить, что в какой-то момент модельный бизнес будет обходиться без понятной, приятной всем внешности, которой и обладает девушка. Сейчас у Виктории настоящий подъем карьеры: ее ангелоподобное лицо с чувственными губами можно было увидеть и у Christian Dior , и у Miu Miu , и у Valentino - одним словом, везде, где до сих пор правят бал классические каноны красоты.
Вэнги
«Китайская беби-фейс» - так окрестили представители индустрии модель Вэнги, которая в модельном бизнесе не пользуется сложнопроизносимой для европейцев фамилией. Девушка с эталонными для подиума 177 см, как ни удивительно, начала свою карьеру с появления в съемках китайского Vogue. Не прошло и года, как ей удалось сделать один из самых удачных сезонов среди представительниц «новых лиц» - теперь в ее портфолио Сalvin Klein , Jil Sander , Gucci , Hermès , Alexander McQueen , Lanvin и Christian Dior . Дизайнеры отмечают природную статность девушки - только посмотрите, как на ее лебединой шее выглядит яркий чокер Christian Dior .
В Париже, Милане и Нью-Йорке Вэнги представляет агентство Next, подписавшее в свое время контракты с другими известными азиатскими моделями (Шу Пей Кин и Юань Бо Чао) и всячески поддерживающее тех, кто выделяется из мирового стандарта моделей, - добрая половина нашего списка « » как раз оттуда.
Лулулейка Равн Лиеп
Датская модель с детским румянцем, длинными пшеничными волосами и полупрозрачными бровями словно сошла с полотен Боттичелли. Первым семнадцатилетнюю девушку заметил Николя Гескьер, и ее единственное появление на показах весна-лето - 2015 было только у Louis Vuitton. Дальше больше - Лулулейка появилась в их предосеннем лукбуке , а также в следующих двух показах prêt-à-porter. Нынешний сезон для нее оказался переломным - помимо появления на подиуме у ставшей ей практическим родной марки Louis Vuitton , девушка также дебютировала у Valentino, Jil Sander , Gucci , Prada, J.W. Anderson , Kenzo .
Широкой публике имя Лулулейки может быть известно в связи со скандалом, связанным с датским журналом Cover, - из-за ее худобы и якобы изможденного лица издание обвинили в пропаганде анорексии. Извиняться пришлось всем, но ее материнское агентство Scoop позже объяснило, что девушка пережила смерть двух близких людей, и попросило отнестись к ее физическому состоянию с пониманием. Агенты модели также опровергли слухи о ее болезни. Что ж, похоже нынешний успех стал для Лулулейки действительно заслуженным - сумев справиться с личной бедой и переживаниями, она продолжает работать, и у нее всё получается.
Ясмин Виналдам
Восхождение Ясмин Виналдам, жительницы Амстердама с суринамскими корнями, началось с кутюрных показов Valentino и Jean Paul Gaultier. Уже с этого момента стало ясно, что девушка более чем удачно завершит свой первый сезон. Семнадцатилетняя Ясмин пропустила Нью-Йорк и Лондон, а в Милане подписала контракт на эксклюзивное появление у Prada . В Париже модель была замечена на подиуме Kenzo , Loewe , Chloé , Valentino и Lanvin . Участие в показах столь разных марок говорят о том, что Ясмин - настоящий мастер перевоплощения. Необычная и очень заметная внешность девушки также выделяет ее из толпы «новых лиц». Особенно приятно осознавать, что недавняя выпускница не потеряла себя: судя по инстаграму , она всё так же любит проводить свободное время с подругами и кататься на мопеде.
Майка Мерино
Модели с заметными ушами - настоящая тенденция в мире красоты. Сначала все восхищались трогательной «лопоухостью» Молли Бэйр и музы Рафа Симонса Софии Мечетнер , а теперь весь модельный мир говорит о девушке, открывшей показ Prada в этом сезоне, - испанке Майке Мерино. Девушка, которая начала модельную карьеру в 14 лет, никогда не хотела быть похожей на остальных и всегда ценила собственную индивидуальность. Тем не менее своей героиней она называет Карли Клосс: «Мне нравится, когда модели имеют отличительные черты и когда у них есть интерес к жизни за пределами работы». Помимо переломного показа Prada, модель также появилась на показах Miu Miu , Louis Vuitton и Chanel . При поддержке одного из самых примечательных дизайнеров современности Джонатана Андерсона (девушка ходила на показе и его собственной марки, и Loewe , чьим директором моды он является) за будущую карьеры Майки переживать не стоит.
Карли Лойс
Передовые модные марки стараются задействовать в показах моделей не только европейской внешности, но каждый раз это становится чуть ли не событием - увы, ситуация с равноправием на подиуме пока далека от идеала. В прошлом сезоне показ Prada открывала доминиканка Лайнези Монтеро, а теперь на модном небосклоне появилась Карли Лойс. Уверенный взгляд, высокое афро и большие глаза за короткое время привлекли внимание огромное количество кастинг-директоров. В этом сезоне мы наблюдали Карли на показах Сalvin Klein , Chanel , Stella McCartney, Céline , Max Mara , Marc Jacobs и многих других. Но началось всё c патронажа Фиби Файло. Первая большая работа Карли - участие в показе Céline , а позже - рекламной кампании марки сезона осень-зима - 2015. Модель, а по совместительству студентка биологического факультета, также успела появиться на обложках журналов: юбилейного i-D и нового номера Marfa Journal. Карли говорит, что, несмотря на возрастающий успех, она относится к профессии прагматично: «Я занимаюсь этой работой только потому, что люблю путешествовать». Судя по ее инстаграму, так и есть .
Эллисон Чалмерс
Эллисон Чалмерс обязана началом своей карьеры инстаграму. Крупнейшее агентство IMG последние полгода ищет моделей в соцсетях, предлагая претенденткам выкладывать свои фотографии с хэштегом #WLYG («Мы любим ваши гены») - именно так Эллисон попала под прицел букеров. Девушка говорит, что училась походке по роликам на YouTube с участием Наоми Кэмпбелл и Жизель Бундхен, а тренировалась в столовой, пока дома никого не было. Подписав контракт с IMG, она впервые появилась на Нью-Йоркской неделе моды на эксклюзивных условиях у Calvin Klein . Учитывая, что таким же образом началась карьера Карли Клосс и Тони Гаррн, у Эллисон большое будущее. Волоокую брюнетку мы затем увидели у Valentino, Christian Dior, Jil Sander , Marni и Gucci .
Нирвана Нэйвс
К слову, имя девушки вполне реальное, а вовсе не псевдоним, как можно было бы подумать. Более того, ее родители не были фанатами гранжа и Курта Кобейна, хотя сама Нирвана одноименную группу любит, и ей даже «немного жаль», что она не имеет к ней никакого отношения. Модельную карьеру она сочетает с учебой в экономической школе Амстердама и наслаждается жизнью, полной контрастов.
Фотографии: IMG, Code Model Management, Women, Elite, Premiere, Select, The Society
Белла Хадид молода и красива, любит появляться в откровенных нарядах и шокировать публику. Девушку причисляют к «золотой молодежи», но она не обращает на это внимания, а твердо идет к намеченной цели.
Белла Хадид – восходящая модель Америки. Девушка родилась 9 октября 1996 года в Лос-Анджелесе. Отец девочки – архитектор с мировым именем, американец палестинского происхождения Мохаммед Хадид. Он владеет компанией, которая строит отели Ritz и другие здания по всему миру. Мать Беллы, Иоланда Фостер, голландская фотомодель, прославилась благодаря телесъемкам в популярном проекте «Настоящие домохозяйки Беверли-Хиллз».
Родители расстались, когда девочке было всего 4 года. Дети остались жить с матерью. Мать вышла замуж за продюсера Дэвида Фостера, шестнадцатикратного обладателя премии «Грэмми». С отчимом у Беллы сложились приятельские отношения, как и со сводными сестрами, а их много – две со стороны отца и пять по линии отчима.
Детство Беллы Хадид прошло с родной старшей сестрой и младшим братом Анваром, наверное, поэтому девочка всегда мечтала стать топ-моделью, как и сестра. Девушки и сейчас дружны, внешне похожи, да и голоса легко спутать. Но, как говорит Белла, Джиджи всегда была образцовым ребенком, хорошо училась в школе, не шалила, в отличие от нее самой. Себя модель называет повстанцем. Как-то в школе девочка перекрасила волосы в коричневый цвет – хотела доказать окружающим, что отличается от других.
Как говорит Белла Хадид, у нее всегда была свобода выбора – девушка благодарна матери за то, что та не указывала, что надеть и как накраситься. В итоге у Беллы сформировался собственный стиль, а сама она состоялась как личность.
В подростковом возрасте Белла серьезно занималась конным спортом и планировала выступать на Олимпийских играх 2016 года, но состояние здоровья не позволило девушке продолжать тренировки. В 2015 году у девушки диагностировали болезнь Лайма, вызванную укусом клеща. Тремя годами ранее тот же диагноз врачи поставили матери и брату.
Прежде чем взойти на подиум, некоторое время Белла Хадид поработала в кафе в Малибу, затем поступила в школу дизайна в Нью-Йорке и успешно окончила заведение, увлекалась фотографией. Авантюристка по натуре, Хадид часто оказывалась в центре скандалов. Летом 2014 года девушку арестовали за управление автомобилем в нетрезвом виде. Суд лишил Беллу Хадид права вождения на год и назначил 6 месяцев испытательного срока.
Модельный бизнес
Модельная карьера так и оставалась бы мечтой, не сделай Белла пластику носа. Девушке было 16 лет. С новой внешностью и смуглой кожей красотка ринулась покорять подиумы. Безупречная фигура (при росте 173 см вес девушки достигает 50 кг) позволила Белле сразу засветиться в мире «прет-а-порте». Звездная биография модели стартовала стремительно.
Карьера началась в августе 2014 года, когда Белла заключила контракт с IMG Models. В этом агентстве работает и сестра. За относительно недолгое время в модельном бизнесе Белла Хадид достигла серьезных успехов. Манекенщица участвовала в показах коллекций Desigual, Tom Ford.
Затем были фотосессии и обложки многих известных глянцевых журналов, среди которых Bazaar и Fashion Book. В 2015 году юная модель была удостоена премии «Звездный прорыв». Это была двойная победа, так как победителя определяли читатели глянца. После удачного старта Беллу начали приглашать в телешоу и на съемки в клипы. За год модель снялась в четырех клипах.
В 2016 году на экраны вышел короткометражный фильм «Приват», в котором девушка сыграла себя. В том же 2016 году Белла блистала на показах « » в компании со старшей сестрой Джиджи Хадид и подругой . Главным достижением Беллы Хадид стал контракт, заключенный с компанией по производству женского нижнего белья «Виктория Сикрет». Девушка успела поучаствовать в нескольких фотосессиях для каталога фирмы, а также появилась на подиуме с крыльями ангела «Виктории Сикрет».
Еще одной вершиной покоренного фэшн-Олимпа стало появление фото Беллы Хадид на обложке французского издания Vogue Paris.
Девушка не стесняется обнажать тело на подиуме, легко может пройти в расстегнутой рубашке и заставить журналистов и зрителей говорить о себе. Модели пророчат успешную карьеру и поговаривают, что Белла Хадид превзойдет сестру.
В собственном продвижении Белла использует способы «шоковой терапии». В 2016 году по итогам Каннского фестиваля в прессе разгорелся скандал, связанный с именем американки. Модель появилась на «красной дорожке» в красном атласном платье с глубоким декольте и разрезом до талии. Нижнего белья на девушке не было, поэтому во время фотосессии зрители увидели некоторые интимные зоны тела восходящей звезды.
В этом же году на конкурсе First Annual Fashion Los Angeles Awards, который проводил журнал Daily Front Row, Белла Хадид стала лауреатом премии в номинации «лучшая модель года».
Личная жизнь
Личная жизнь манекенщицы не стоит на месте. Девушка регулярно выкладывает в «Инстаграме » фотографии с отдыха и вечеринок. Там же в 2015 году появились сообщения о том, что модель встречается с артистом из Канады . Предки молодого R&B-исполнителя по имени Абель Тесфайе когда-то прибыли из Эфиопии. Отношения модели и певца находились под пристальным вниманием репортеров. В 2015 году Белла снялась в клипе бойфренда «In The Night». В начале 2016 года в прессе появилась информация о том, что молодые люди расстались, но вскоре влюбленную пару вновь заметили вместе. К концу года Абель и Белла окончательно разорвали союз.
В повседневной жизни Белла предпочитает винтажные джинсы, куртки-косухи, которые скупает десятками. Макияж девушка тоже не любит – только красная помада и тушь. Любимый цвет модели – черный, хотя яркие пальто модель вниманием не обходит, за исключением зеленых – этот цвет Белла ненавидит.
Белла Хадид сейчас
В 2017 году Белла Хадид участвовала в очередном шоу Victoria"s Secret, где выступила в наряде «ангела». Показ состоялся в Шанхае, видео было выложено в интернет. В сторону организаторов вечеринки сразу посыпались упреки в том, что ряд моделей не соответствует критериям отбора. Критике подверглась и американская модель Белла Хадид, у которой поклонники марки заметили нескрываемый целлюлит.
Белла Хадид на шоу Victoria"s Secret На нелицеприятные отзывы девушка не ответила, а отправилась на морское побережье, где во время специальных тренировок и с помощью диетического питания привела себя в порядок. девушка выложила в «Инстаграме» и заработала свыше миллиона лайков.
Оценка состояния
Белла скрывает информацию о собственных заработках. Но, как утверждает модель, они ниже, чем у сестры. В 2016 году стало известно, что за два выхода на подиум в Сиднее во время показа коллекции бренда Misha Collection девушка заработала $ 400 тыс. Судя по тому, что за год работы в «Виктория Сикрет» Джиджи получает $ 2,5 млн, можно судить и о состоянии младшей сестры, которая только начинает сотрудничество с именитой торговой маркой.
Мандатные модели КУД разработаны с целью обеспечения контроля над информационными потоками в системе. Примером недостаточного контроля потока информации служит возможность получения субъектом данных, доступ к которым ему запрещен, путем компрометации авторизованного субъекта. Подобные проблемы призвано решать использование решеток в качестве базы для построения мандатных моделей безопасности. Тогда в качестве объекта исследования выступают информационные потоки, а требования безопасности формулируются с помощью специальной математической структуры -- решетки. Примером применения решеточных структур на практике выступают модель "Китайская стена", модель Белла-ЛаПадулы.
Модель Белла-ЛаПадуды стала классической моделью КУД. Ее основы взяты из жизни: всем участникам процесса обработки информации и документам, в которых она содержится, назначается специальная метка -- "уровень безопасности" (например, "секретно", "общедоступно" и т.д.). Все уровни упорядочиваются с помощью отношения доминирования, например, уровень "совершенно секретно" выше, чем уровень "секретно".
Контроль доступа осуществляется на основании двух правил. лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности; уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными лицами, от доступа со стороны менее доверенных.
Второе правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.
Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом -- с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому, в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой- либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.
Формально ИС в модели безопасности Белла-ЛаПадулы представляется в виде множеств субъектов S, объектов, и прав доступа read (чтение) и -write (запись). В модели Белла-ЛаПадулы рассматриваются только эти виды доступа. Использование столь жесткого подхода объясняется в модели Белла-ЛаПадулы тем, что контролируются не операции, а потоки информации, которые могут быть двух видов: от субъекта к объекту (запись) или наоборот (чтение).
Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности, которая ставит в соответствие каждому субъекту и объекту уровень безопасности из множества уровней безопасности на котором определена решетка
Решетка уровней безопасности -- это формальная алгебра (L,<, *, где L -- множество уровней безопасности, оператор? определяет частичное нестрогое отношение порядка для элементов этого множества, т.е. оператор? асимметричен, транзитивен и рефлексивен. Отношение? на L,
Рефлексивно, если
- антисимметрично, если;
- * транзитивно, если
Другое свойство решетки состоит в том, что для каждой пары, и элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы. Эти элементы также принадлежат L , и обозначаются с помощью операторов * и соответственно:
Смысл этих определении состоит в том, что для каждой пары цементов (или множества элементов, поскольку операторыитранзитивны) можно указать единственный.элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.
Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, и пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор? определяет направление потоков информации, т.е. ; если Р(А) ? Р(В) то информация может передаваться от элементов класса А элементам класса В.
Использование решетки для описания отношений между уровнями безопасности позволяет использовать в качестве элементов множества L не только целые числа, для которых определено отношение "меньше или равно", но и составные элементы. Например, в государственных организациях используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множества. Такие атрибуты невозможно сравнивать с помощью арифметических операций, поэтому отношение доминирования? определяется как композиция отношения "меньше или равно" для уровней и отношения включения множеств для наборов категорий. Причем, это никак не сказывается на свойствах модели, поскольку отношения меньше или равно" и "включение множеств" обладают свойствами асимметричности, транзитивности и рефлективности, и, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку. Точно также можно использовать любые виды атрибутов и любое отношение частичного порядка, лишь бы их совокупность представляла собой решетку.
В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы, поэтому ИС представляется с помощью множества системных состояний V как набора упорядоченных пар (F, М)., где М-- матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам. Содержание матрицы М аналогично содержанию матрицы доступа в модели Харрисона-Руззо-Ульмана, при этом набор прав ограничен двумя видами доступа -- чтение (read) и запись (write). Модель системысостоит из начального состояния R, множества запросов и функции переходакоторая в ходе выполнения запроса переводит систему из одного состояния в другое. Система, находящаяся в состояниипри получении запроса, переходит в следующее состояние. Состояние V достижимо в системетогда и только тогда, когда существует последовательностьтакая, что,
Для Заметим, что для любой системы v 0 тривиально достижимо.
Состояния системы, как и в дискреционной модели, делятся на безопасные, в которых отношения доступа не противоречат установленным в модели требованиям, и небезопасные, в которых эти требования нарушаются.
Белл и ЛаПадула предложили следующее определение безопасного состояния. Состояние (F, М) называется безопасным по чтению (или "просто безопасным”) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта.
Состояние (F, М) называется безопасным по записи (или "*-безопасным") тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.
В соответствии с предложенным определением безопасного состояния критерий безопасности системы выглядит следующим образом:
Системабезопасна тогда и только тогда, когда ее начальное состояниебезопасно и все состояния, достижимые изпутем применения конечной последовательности запросов из R, безопасны.
Белл и ЛаПадула доказали теорему, формально доказывающую безопасность системы при соблюдении определенных условий, получившую название основной теоремы безопасности Белла-ЛаПадулы:
Система безопасна тогда и только тогда, когда (а) начальное состояниебезопасно и (б) для любого состояния V, достижимого из путем применения конечной последовательности запросов из R, таких, что для каждого выполняются следующие условия:
Теорема утверждает, что система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния. Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.
Недостаток основной теоремы безопасности Белла-ЛаПадулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния. Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода. Поскольку нет никаких определенных ограничений на вид функции перехода, кроме указанных в условиях теоремы, и допускается, что уровни безопасности субъектов и объектов могут изменяться, то можно представить такую гипотетическую систему (она получила название Z-системы), в которой при попытке низкоуровневого субъекта прочитать информацию из высокоуровневого объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла-ЛаПадулы, но вместе с тем в этой системе любой пользователь сможет прочитать любой файл, что очевидно, несовместимо с безопасностью в обычном понимании.
Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими
уровнями секретности.
В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила :
1. Простое правило безопасности (Simple Security, SS). xs может читать информацию из объекта суровнем секретности xo тогда и только тогда, когда xs преобладает над xo .
2. *-свойство (*-property). Субъект с уровнем секретности xs может писать информацию в объект с
уровнем секретности xo в том и только в том случае, когда xo преобладает над xs .
Для первого правила существует мнемоническое обозначение No Read Up , а для второго – No Write Down . Диаграмма информационных потоков, соответствующая реализации модели Белла- ЛаПадулы в системе с двумя уровнями секретности, приведена на рис. 2.3.2.1.
Перейдём к формальному описанию системы. Введём следующие обозначения :
- S – множество субъектов;
- O – множество объектов, S ⊂ O ;
- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;
- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;
- Λ = (L ,≤, ,⊗) - решётка уровней секретности;
- V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M) , где:
F : S ∪O → L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
M – матрица текущих прав доступа. Остановимся более подробно на решётке уровней секретности. Напомним, что решёткой Λназывается алгебраическая система вида (L ,≤, ,⊗) , где:
- ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
Оператор наименьшей верхней границы;
- ⊗ - оператор набольшей нижней границы.
Отношение ≤ обладает следующими свойствами :
1. Рефлексивность : ∀a ∈ L : a ≤ a .
С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.
2. Антисимметричность : 1 2 1 2 2 1 2 1 ∀a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a = a .
Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A B , так и от субъектов и объектов уровня B к субъектам и объектам уровня A , то эти уровни эквивалентны.
3. Транзитивность : 1 2 3 1 2 2 3 1 3 ∀a , a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a ≤ a .
Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B , и от субъектов и объектов уровня B к субъектам и объектам уровня C , то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C . Операторы наименьшей верхней границы и наибольшей нижней границы ⊗ определяются следующим образом:
- (,)&(" : (") (" ")) 1 2 1 2 1 2 a = a a ⇔ a a ≤ a ∀a ∈ L a ≤ a → a ≤ a ∨ a ≤ a ;
- (,)&(" : (" & ") (")) 1 2 1 2 1 2 a = a ⊗a ⇔ a ≤ a a ∀a ∈ L a ≤ a a ≤ a → a ≤ a .
Нетрудно показать, что для каждой пары a a ∈ L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы .Заметим, что в качестве уровней безопасности совершенно не обязательновыбирать целые числа, в ряде случаев удобнее использовать более сложные структуры. Засчёт этого, например, в пределах каждого уровня секретности можно реализоватькатегории секретности (см. рис. 2.3.2.2). В этом случае наличие допуска к той или иной
Система (,) 0 Σ = v R T в модели Белла-ЛаПадулы состоит из следующих элементов:
- v0 – начальное состояние системы;
- R – множество прав доступа;
- T :V × R →V - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.
Изменение состояний системы во времени происходит следующим образом: система, находящаяся в состоянии v ∈V , получает запрос на доступ r ∈ R и переходит в состояние v ∗ = T (v , r ) .
Состояние vn называется достижимым в системе (,) 0 Σ = v R T , если существует последовательность {(,),..., (,),(,)}: (,) 0, 1 0 0 1 1 1 = ∀ = − − − + r v r v r v T r v v i n n n n n i i i . Начальное состояние v0 является достижимым по определению. Состояние системы (F, M) называется безопасным по чтению (или simple-безопасным ), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:
∀s ∈ S ,∀o ∈O , r ∈M [s ,o ]→ F (o ) ≤ F (s ) .
Состояние (F, M ) называется безопасным по записи (или * - безопасным ) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:
∀s ∈ S ,o ∈O : w ∈M [s ,o ]→ F (s ) ≤ F (o ) .
Состояние (F, M) называется безопасным , если оно безопасно по чтению и по записи. Наконец, система (,) 0 Σ = v R T называется безопасной , если её начальное состояние v0 безопасно, и все состояния, достижимые из v0 путём применения конечной последовательности запросов из R , безопасны.
Теорема (Основная теорема безопасности Белла-ЛаПадулы ). Система (,) 0 Σ = v R T безопасна тогда и только тогда, когда выполнены следующие условия:
1. Начальное состояние v0 безопасно.
2. Для любого состояния v, достижимого из v0 путём применения конечной последовательности запросов из R, таких, что T (v , r ) = v ∗ , v=(F, M) и v ∗ = (F ∗ ,M ∗) , для ∀s ∈ S ,∀o ∈O выполнены условия:
1. Если r ∈M ∗[s ,o ] и r ∉M [s ,o ], то F ∗ (o ) ≤ F ∗ (s ) .
2. Если r ∈M [s ,o ]и F ∗ (s ) < F ∗ (o ) , то r ∉M ∗[s ,o ] .
3. Если w ∈M ∗[s ,o ] и w ∉M [s ,o ] , то F ∗ (s ) ≤ F ∗ (o ) .
4. Если w ∈M [s ,o ] и F ∗ (o ) < F ∗ (s ) , то w ∉M ∗[s ,o ].
Пусть система (,) 0 Σ = v R T безопасна. В этом случае начальное состояние v0 безопасно по определению. Предположим, что существует безопасное состояние v ∗,достижимое из состояния v : T (v , r ) = v ∗ , и для данного перехода нарушено одно изусловий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние v ∗ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным позаписи. В обоих случаях мы получаем противоречие с тем, что состояние v ∗ являетсябезопасным.
Докажем достаточность утверждения. Система (,) 0 Σ = v R T может бытьнебезопасной в двух случаях:
1. В случае если начальное состояние v0 небезопасно. Однако данное утверждение противоречит условию теоремы.
2. Если существует небезопасное состояние v ∗ , достижимое из безопасного состояния v0 путём применения конечного числа запросов из R . Это означает, что на каком-то промежуточном этапе произошёл переход T (v , r ) = v ∗ , где v – безопасное состояние, а v ∗ - небезопасное. Однако условия 1-4 делают данный переход невозможным.
Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность.
В настоящее время модель Белла-ЛаПадулы и другие модели мандатного управления доступом, широко используются при построении и верификации автоматизированных систем, преимущественно предназначенных для работы с информацией, составляющей государственную тайну.
