Главная Прокуратура Модель белла лападулы преимущества. Модель Белла-ЛаПадулы. Основная теорема безопасности Белла-ЛаПадулы. Почему топ-модели выглядят, как обычные девушки

Модель белла лападулы преимущества. Модель Белла-ЛаПадулы. Основная теорема безопасности Белла-ЛаПадулы. Почему топ-модели выглядят, как обычные девушки

Белла Хадид – начинающая модель, которой за рекордно короткий срок удалось добиться впечатляющих успехов в модельной индустрии. Конечно, родившись в семье бывшей супермодели и именитого архитектора сложно было остаться незамеченной. Кроме того, видя успехи своей старшей сестры на модельном поприще, Белла решила не отставать.

Белла Хадид модель

Ранние годы

Будущая звезда международного подиума появилась на свет 9 октября 1996 года в солнечном Лос-Анджелесе. У девочки очень большая звездная семья. Мама Иоланда Фостер, в прошлом занималась моделингом, а также участвовала в телепроектах. Ее отец Мохаммед Хадид, известный на весь мир архитектор, которому удалось сколотить огромное состояние и стать мультимиллионером. Так же у Беллы есть родная сестра Джиджи, успевшая отлично себя зарекомендовать на модельном поприще и младший брат Анвар, который пошел по стопам сестер и начал покорять эту индустрию.

Стоит отметить, что их родители расторгли брак, когда Белле было всего 4 года. Все дети остались жить с мамой, но отношения с родным отцом от этого не пострадали. Они по-прежнему вместе проводят время и делятся успехами в карьере. На данный момент их мама живет с продюсером Дэвидом Фостером, которому удалось 16 раз завоевать «Грэмми». На этом их огромная семья не заканчивается. У Беллы также есть две сестры по отцовской линии и пять от отчима.

В отличие от Джиджи, Белла имеет очень непростой характер. Сама модель признается, в то время, когда старшая сестра на отлично училась в школе и была послушной дочкой, она устраивала скандалы и всячески привлекала к себе внимание окружающих. Несмотря на такую разницу в характерах, девочки всегда были очень дружны и старались все свое свободное время проводить вместе.

Родители всегда с любовью относились к Белле, даже несмотря на ее выходки. Неоднократно в интервью модель сообщала, что благодарна родителям за такое воспитание. Она утверждает, что именно родители являются ее постоянными вдохновителями и мотиваторами. Они добились всего, не имея богатых родителей, поэтому учили своих детей всегда идти к своей цели и добиваться ее несмотря ни на что. Благодаря этому, модель пошла в модельный бизнес и стала финансово независимой.

В юном возрасте девушка увлекалась верховой ездой. Она усердно тренировалась и даже планировала выступить на Олимпийских играх 2016, которые проходили в Рио. Однако на пути стала болезнь Лайма, которая передалась ей от укуса клеща. Белла не первая, у кого в их семье диагностировали такой диагноз. В 2012 году о заражении этим заболеванием узнали ее мама и брат Анвар. Из-за этого Хадид навсегда покинула конный спорт.

Стоит отметить, что девушка не боится обыкновенных рабочих профессий. В подростковом возрасте будущая модель работала в кафе «Sunlife Organics». В школьные годы она занималась на домашнем обучении, после чего поступила в школу дизайна. Кроме того, Белла любит не только фотографироваться, но и быть по ту сторону съемочного процесса. Она окончила курсы фотографа и даже имеет коллекцию собственных фото.

Модельная карьера

Рост – 178 см;
Вес – 54 кг;
Параметры – 86-60-86 см.

В 2014 году Белла твердо решила начать модельную карьеру. Однако свою внешность девушка оценивала, как неподходящую для этой индустрии. Именно поэтому она решилась на операцию по исправлению носа. После пластики она стала еще более привлекательной, чем сразу же привлекла внимание модных агентов. На некоторых фото кажется, будто модель также немного увеличила губы, однако точной информации по поводу этой пластики нет.

В 2014 году она начала сотрудничать с модельным агентством IMG Models, в котором также числится ее старшая сестра Джиджи. Буквально сразу же ей удалось зарекомендовать себя, как талантливую и целеустремленную модель. С первых же недель работы ее начали звать на модные показы. К примеру, ее можно было встретить дефилирующей по подиуму Desigual и Tom Ford.

Белла стала настоящей любимицей многих фотографов. Ее фото украшали обложки и страницы многих именитых глянцев, среди которых Vogue и Fashion Book. Также Модель принимала участие в съемке для новой коллекции Jalouse.

Белла Хадид на обложке vogue

В 2015 году ее фото украсили многие рекламные кампании, среди которых Topshop Holiday, Marc Jacobs, JOE’s Jeans, Givenchy и многие другие. Кроме того, этот год отметился важным событием в жизни модели. Ее наградили премией в номинации «Звездный прорыв». Стоит отметить, что девушка стала победителем по мнению читателей журнала, а не критиков.

После этого, Белла Хадид стала очень популярна в социальных сетях. На момент 2016 года на ее странице в Инстаграм насчитывается более 7,4 миллиона подписчиков. Модель ежедневно делится со своими поклонниками новыми фото и видео, при помощи которых рассказывает о своей жизни и интересных событиях.

Белла Хадид в instagram

Кстати о видео. Девушка снялась в четырех клипах. Ее можно встретить в музыкальном видео Jesse Jo Stark на песни «Down Your Drain» и «Baby Love», а также в клипах The Weeknd на песни «In the Night» и «Might Not». Благодаря этим видео, которые транслировались по телевидению во многих странах и собрали миллионы просмотров в интернете, модель стала еще популярнее.

Кроме того, девушка уже спела попробовать себя и в качестве актрисы. Она снялась в короткометражном фильме «Приват». Ей не пришлось перевоплощаться в героя, ведь она сыграла саму себя. Также этот год отметился сотрудничеством с модным домом Шанель. Девушка дефилировала на их показе вместе со своей сестрой Джиджи и супермоделью . С каждым днем Белла становится все популярнее. Ее зовут на съемки, фото все чаще украшают модные издания, а безупречное тело беспрерывно дефилирует на показах.

Галерея кликабельна

В 2016 году Белла примет участие в первом показе Victoria’s Secret, которое пройдет в Париже. Этим радостным событием модель поделилась через видео, которое опубликовала на своей странице в Инстаграм. Уже известен один из двух образов, в котором она предстанет перед зрителями. В этом же году Хадид была названа моделью года.

Белла Хадид для victorias secret

2016 год уже успел отметиться для модели несколькими скандалами. К примеру, Белла Хадид упала во время показа новой коллекции Michael Kors. В ту же секунду весь интернет заполонили видео с этого показа. Поклонники поддержали модель и расстроились, что настало время, когда люди спешат снять все на смартфон, вместо того, чтобы помочь подняться.

Девушка не боится пристального внимания к своей персоне. Она любит эпатировать окружающих и провоцировать их на скандал. К примеру, ей не составит труда пройтись полуобнаженной на подиуме или подобрать свой повседневный образ так, чтобы все увидели ее пирсинг в соске. Ее модельная карьера только набирает обороты, а Белла уже стремительно догоняет по популярности и востребованности свою сестру.

Личная жизнь

Белла Хадид ничего не скрывает от своих поклонников. Всеми своими жизненными ситуациями девушка делится в социальных сетях. Именно там она впервые представила нам своего бойфренда, канадского артиста с псевдонимом The Weeknd. Молодые люди состоят в отношениях с 2015 года.

Еще раз стоит отметить, что модель очень часто создает скандальные ситуации вокруг своей персоны. К примеру, в 2016 году, на премьеру фильма на Канском кинофестивале девушка пришла в откровенном ярко-красном платье. Его изюминкой послужили глубокие разрезы на груди и ногах. Благодаря второму стало понятно, что модель посетила мероприятие абсолютно голая. В итоге, небольшой ветер поспособствовал тому, что на некоторых фото были видны некоторые интимные зоны.

Белла Хадид в Инстаграм: @bellahadid

даша князева

По прошествии недель моды, традиционно формируются списки тенденций на будущий сезон. В модельном бизнесе это также время подводить итоги - всех интересует, кто из моделей вышел на подиум наибольшее количество раз, кто открыл показ Prada (один из признаков удачного старта модельной карьеры), кто пропустил сезон, а кто решил вернуться в профессию. В это же время появляются рейтинги моделей-новичков, часть из которых исчезнет из поля зрения уже к следующему сезону, но некоторые останутся с нами надолго. Мы выбрали 10 «новых лиц» - подающих большие надежды девушек, по внешности которых можно отслеживать актуальные взгляды на разнообразие красоты в модельном бизнесе (и которые пока, увы, почти не касаются типов фигуры).

Пейтон Найт

Удачный сезон модели Пейтон Найт, как это часто бывает, связан с везением и случаем. Скаут из Elite Model Look подошел к девушке и ее маме, когда они ходили в кино на «Сумерки» в их родном Сент-Луисе. Пейтон на тот момент было всего 11 лет, и, по ее словам, она была больше похожа на мальчика, в том числе благодаря огромной коричневой футболке. При полной поддержке своей мамы она заключила первый контракт с небезызвестным агентством IMG в 13 лет и много путешествовала по работе, преимущественно в Токио и Лондон. Первая большая съемка Пейтон случилась через пару лет - ей удалось поработать со Стивеном Мейзелом для сентябрьского номера W .

Звание одной из самых многообещающих моделей сезона девушке подарил эксклюзив у Александра Вэнга. В показе собственной марки недавний креативный директор Balenciaga решил отказаться от унифицированности моделей в пользу исключительной индивидуальности. Для этого давний друг и коллаборатор дизайнера, легендарный парикмахер-бунтарь Гвидо Палау сделал Пейтон удлиненный боб с густой длинной челкой. Девушка изменилась до неузнаваемости. Вслед за этим ее ждали выходы не только у Balenciaga (еще подвластной тогда Вэнгу), но и появления на подиуме у других ключевых марок от Prada до Chanel . Пока модель отдыхает после тяжелого рабочего сезона, но совсем скоро стоит ожидать ее появления в пуле рекламных кампаний.

Рут Белл

Рут Белл - настоящая «свежая» голова на прошедших показах. История знает не один пример, когда удачно сделанная прическа полностью меняла модельную карьеру, и короткий ежик Рут - одна из них. Фотограф Дэвид Симс хотел, чтобы в осенней кампании Alexander McQueen Рут отрезала волосы. C легкой руки парикмахера Пола Хэнлона и c тяжелым сердцем самой Рут («Ох, решение далось нелегко») девушка избавилась от шикарной копны.

До этого основной интерес к британке был связан с ее сестрой-двойняшкой Мэй. Миловидных сестер с бесконечно грустными глазами скаут Elite Model Look нашел в эссекском торговом центре. Их постоянно снимали вместе для подростковых журналов, но дальше дело не шло. Они вместе мечтали о подиуме, но удача в этом сезоне оказалась на стороне Рут, которая стала настоящей звездой Миланской недели (Max Mara , Versace , Gucci - разве шутки?) и новой любимой моделью Эди Слимана . Тем не менее у девушек до сих пор тесная связь, в которой, кажется, нет места соперничеству. «Иметь близнеца - значит всю жизнь иметь лучшего друга. К тому же, если мне понадобится какой-нибудь орган, я всегда знаю, к кому обратиться», - шутит Рут.

Виктория Косенкова

В этом сезоне окончательно сформировалась новая волна девушек-моделей из России и бывшего СССР - сёстры Лия и Одетт Павловы , Варвара Шутова , Лиза Останина и Анастасия Абрамова появлялись на подиуме с завидной регулярностью. Но мы решили выделить именно Викторию Косенкову, получившую в этом сезоне два важных эксклюзива - на открытие и закрытие Burberry Prorsum и появление у Prada . Сложно представить, что в какой-то момент модельный бизнес будет обходиться без понятной, приятной всем внешности, которой и обладает девушка. Сейчас у Виктории настоящий подъем карьеры: ее ангелоподобное лицо с чувственными губами можно было увидеть и у Christian Dior , и у Miu Miu , и у Valentino - одним словом, везде, где до сих пор правят бал классические каноны красоты.

Вэнги

«Китайская беби-фейс» - так окрестили представители индустрии модель Вэнги, которая в модельном бизнесе не пользуется сложнопроизносимой для европейцев фамилией. Девушка с эталонными для подиума 177 см, как ни удивительно, начала свою карьеру с появления в съемках китайского Vogue. Не прошло и года, как ей удалось сделать один из самых удачных сезонов среди представительниц «новых лиц» - теперь в ее портфолио Сalvin Klein , Jil Sander , Gucci , Hermès , Alexander McQueen , Lanvin и Christian Dior . Дизайнеры отмечают природную статность девушки - только посмотрите, как на ее лебединой шее выглядит яркий чокер Christian Dior .

В Париже, Милане и Нью-Йорке Вэнги представляет агентство Next, подписавшее в свое время контракты с другими известными азиатскими моделями (Шу Пей Кин и Юань Бо Чао) и всячески поддерживающее тех, кто выделяется из мирового стандарта моделей, - добрая половина нашего списка « » как раз оттуда.

Лулулейка Равн Лиеп

Датская модель с детским румянцем, длинными пшеничными волосами и полупрозрачными бровями словно сошла с полотен Боттичелли. Первым семнадцатилетнюю девушку заметил Николя Гескьер, и ее единственное появление на показах весна-лето - 2015 было только у Louis Vuitton. Дальше больше - Лулулейка появилась в их предосеннем лукбуке , а также в следующих двух показах prêt-à-porter. Нынешний сезон для нее оказался переломным - помимо появления на подиуме у ставшей ей практическим родной марки Louis Vuitton , девушка также дебютировала у Valentino, Jil Sander , Gucci , Prada, J.W. Anderson , Kenzo .

Широкой публике имя Лулулейки может быть известно в связи со скандалом, связанным с датским журналом Cover, - из-за ее худобы и якобы изможденного лица издание обвинили в пропаганде анорексии. Извиняться пришлось всем, но ее материнское агентство Scoop позже объяснило, что девушка пережила смерть двух близких людей, и попросило отнестись к ее физическому состоянию с пониманием. Агенты модели также опровергли слухи о ее болезни. Что ж, похоже нынешний успех стал для Лулулейки действительно заслуженным - сумев справиться с личной бедой и переживаниями, она продолжает работать, и у нее всё получается.

Ясмин Виналдам

Восхождение Ясмин Виналдам, жительницы Амстердама с суринамскими корнями, началось с кутюрных показов Valentino и Jean Paul Gaultier. Уже с этого момента стало ясно, что девушка более чем удачно завершит свой первый сезон. Семнадцатилетняя Ясмин пропустила Нью-Йорк и Лондон, а в Милане подписала контракт на эксклюзивное появление у Prada . В Париже модель была замечена на подиуме Kenzo , Loewe , Chloé , Valentino и Lanvin . Участие в показах столь разных марок говорят о том, что Ясмин - настоящий мастер перевоплощения. Необычная и очень заметная внешность девушки также выделяет ее из толпы «новых лиц». Особенно приятно осознавать, что недавняя выпускница не потеряла себя: судя по инстаграму , она всё так же любит проводить свободное время с подругами и кататься на мопеде.

Майка Мерино

Модели с заметными ушами - настоящая тенденция в мире красоты. Сначала все восхищались трогательной «лопоухостью» Молли Бэйр и музы Рафа Симонса Софии Мечетнер , а теперь весь модельный мир говорит о девушке, открывшей показ Prada в этом сезоне, - испанке Майке Мерино. Девушка, которая начала модельную карьеру в 14 лет, никогда не хотела быть похожей на остальных и всегда ценила собственную индивидуальность. Тем не менее своей героиней она называет Карли Клосс: «Мне нравится, когда модели имеют отличительные черты и когда у них есть интерес к жизни за пределами работы». Помимо переломного показа Prada, модель также появилась на показах Miu Miu , Louis Vuitton и Chanel . При поддержке одного из самых примечательных дизайнеров современности Джонатана Андерсона (девушка ходила на показе и его собственной марки, и Loewe , чьим директором моды он является) за будущую карьеры Майки переживать не стоит.

Карли Лойс

Передовые модные марки стараются задействовать в показах моделей не только европейской внешности, но каждый раз это становится чуть ли не событием - увы, ситуация с равноправием на подиуме пока далека от идеала. В прошлом сезоне показ Prada открывала доминиканка Лайнези Монтеро, а теперь на модном небосклоне появилась Карли Лойс. Уверенный взгляд, высокое афро и большие глаза за короткое время привлекли внимание огромное количество кастинг-директоров. В этом сезоне мы наблюдали Карли на показах Сalvin Klein , Chanel , Stella McCartney, Céline , Max Mara , Marc Jacobs и многих других. Но началось всё c патронажа Фиби Файло. Первая большая работа Карли - участие в показе Céline , а позже - рекламной кампании марки сезона осень-зима - 2015. Модель, а по совместительству студентка биологического факультета, также успела появиться на обложках журналов: юбилейного i-D и нового номера Marfa Journal. Карли говорит, что, несмотря на возрастающий успех, она относится к профессии прагматично: «Я занимаюсь этой работой только потому, что люблю путешествовать». Судя по ее инстаграму, так и есть .

Эллисон Чалмерс

Эллисон Чалмерс обязана началом своей карьеры инстаграму. Крупнейшее агентство IMG последние полгода ищет моделей в соцсетях, предлагая претенденткам выкладывать свои фотографии с хэштегом #WLYG («Мы любим ваши гены») - именно так Эллисон попала под прицел букеров. Девушка говорит, что училась походке по роликам на YouTube с участием Наоми Кэмпбелл и Жизель Бундхен, а тренировалась в столовой, пока дома никого не было. Подписав контракт с IMG, она впервые появилась на Нью-Йоркской неделе моды на эксклюзивных условиях у Calvin Klein . Учитывая, что таким же образом началась карьера Карли Клосс и Тони Гаррн, у Эллисон большое будущее. Волоокую брюнетку мы затем увидели у Valentino, Christian Dior, Jil Sander , Marni и Gucci .

Нирвана Нэйвс

К слову, имя девушки вполне реальное, а вовсе не псевдоним, как можно было бы подумать. Более того, ее родители не были фанатами гранжа и Курта Кобейна, хотя сама Нирвана одноименную группу любит, и ей даже «немного жаль», что она не имеет к ней никакого отношения. Модельную карьеру она сочетает с учебой в экономической школе Амстердама и наслаждается жизнью, полной контрастов.

Фотографии: IMG, Code Model Management, Women, Elite, Premiere, Select, The Society

Модель Белла-Лападулы была предложена в 1975 году. Возможность ее использования в качестве формальной модели отмечена в критерии TCSES ("Оранжевая книга").

Мандатная модель Белла – Лападулы основана на правилах секретного документооборота, которые приняты в государственных и правительственных учреждениях большинства стран. Согласно этим правилам всем участникам процесса обработки критичной информации и документам, в которых она содержится, присваивается специальная метка, которая называется уровнем безопасности.

Мандатное управление доступом подразумевает, что:

задан линейно упорядоченный набор меток секретности (например, секретно, совершенно секретно и т. д.);

каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации, т. е. его уровень секретности в КС;

каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в КС или, иначе, его уровень доступа.

Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа к документам осуществляется в зависимости от уровней безопасности на основании двух простых правил:

1. Уполномоченное лицо имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности. Уровень безопасности уполномоченного лица должен доминировать над уровнем безопасности читаемого им документа.

Это правило обеспечивает защиту информации, обрабатываемую высокоуровневым лицом, от доступа со стороны низкоуровневых лиц.

2. Уполномоченное лицо может записывать информацию только в документы, уровень безопасности которых не ниже его собственного уровня безопасности. Уровень безопасности документа должен доминировать над уровнем безопасности уполномоченного лица.

Это правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки документов к низкоуровневым.

В формальной модели Белла – Лападулы рассматриваются:

конечное множество объектов компьютерной системы O=, 1,…n;

конечное множество субъектов компьютерной системы S=, 1, …m, считается, что все субъекты системы одновременно являются и ее объектами (S Ì O).;

права доступа read и write.

Матрица прав доступа, содержащая права доступа субъектов к объектам A=, i=1, …m, j=1,…n+m.

Множество запросов на выполнение потоков типа read или write R=, 1, …k.

Функция уровня безопасности F, которая ставит в соответствие каждому объекту и субъекту системы определенный уровень безопасности, принадлежащий множеству уровней безопасности D, на котором определена решетка.

Функция перехода T, которая при выполнении запроса на запись или чтение, переводит систему из состояния Q в состояние Q".

Состояние системы характеризуется состоянием матрицы А, содержащей права доступа, и функцией уровня безопасности F. Множество состояний системы представляется в виде упорядоченных пар (F, A).

Начальное состояние системы обозначается как Q 0 . Выполнение запроса r 0 из множества R переводит систему в состояние Q 1 с помощью функции перехода Т. Система, находящаяся в состоянии Q 1, при получении следующего запроса r 1 из множества R переходит в следующее состояние Q 2 и т. д.

Состояние Q k достижимо тогда и только тогда, когда существует последовательность

(Q 0, r 0), (Q 1, r 1), … (Q k -1, r k -1)

такая, что Т (Q k -1, r k -1) = Q k .

Считается, что для любой системы состояние Q 0 тривиально достижимо.

Следует отметить, что в мандатных моделях контролируются не операции, которые выполняются субъектами над объектами, а потоки информации. Потоки типа:

Stream(s i , o i) ® o j (поток типа чтение ),

Stream(s i , o j) ® o i (поток типа запись ).

Решетка уровней безопасности

Решетка уровней безопасности – это формальная алгебра, использование которой позволяет упорядочить потоки информации в компьютерной системе.

Решетка уровней безопасности представлена

множеством уровней безопасности D;

оператором отношения £ ;

оператором, позволяющим определить наименьшую верхнюю границу для пары уровней безопасности;

оператором, позволяющим определить наибольшую нижнюю границу для пары уровней безопасности.

Смысл этих операций заключается в том, что для каждой пары элементов множества D всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.

Множество уровней безопасности может быть представлено как целыми числам, так и более сложными составными элементами. Например, в государственных организациях в качестве уровней безопасности используются комбинации, состоящие из уровня безопасности, представленного целым числом, и набора категорий из некоторого множества (1.секретно, 1.совершенно секретно и т.п.)

Пусть имеется множество субъектов S и множество объектов О. В модели Белла-Лападулы каждому субъекту и объекту системы из множества D функцией уровня безопасности F назначается соответствующий уровень безопасности.

Естественно, что некоторые субъекты и объекты могут иметь один и тот же уровень безопасности. Подмножества, в которых субъекты и объекты имеют одинаковый уровень безопасности, называются классами . Пусть имеются два класса X и Y. Рассмотрим применение основных положений теории решеток применительно к этим классам.

В теории решеток рассматривается отношение порядка £, использование этого отношения в теории компьютерной безопасности позволяет установить направление потоков информации.

Отношение порядка обладает следующими свойствами:

рефлексивности ;

антисимметричности;

транзитивности .

Вывод : мандатная модель управляет доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними.

4.5.1. Классическая мандатная модель Белла-Лападулы

В классической мандатной модели Белла – Лападулы состояния системы делятся на:

безопасные, в которых информационные потоки не противоречат установленным в модели правилам;

небезопасные, в которых эти правила нарушаются, и происходит утечка информации.

Белл и Лападула предложили следующее определение безопасного состояния:

1. Состояние (F, A) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа read к объекту oj, уровень безопасности субъекта si доминирует над уровнем безопасности объекта oj

"s i Î S, "o j Î O, read Î a ij ® F(s i) ³ F(o j), i = 1,…m, j = 1,…,n

2. Состояние (F, A) называется безопасным по записи (или *- безопасным) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа write к объекту oj, уровень безопасности объекта oj доминирует над уровнем безопасности субъекта si

"s i Î S, "o j Î O, write Î a ij ® F(o j) ³ F(s i), i = 1,…m, j = 1,…,n

3. Состояние системы безопасно тогда и только тогда, когда оно безопасно и по чтению и по записи.

В соответствии с определением безопасного состояния критерий безопасности системы формулируется следующим образом.

Система (Q 0 , R, T) безопасна тогда и только тогда, когда ее начальное состояние Q 0 безопасно и все состояния, достижимые из Q 0 в результате применения конечной последовательности запросов из R безопасны.

Белл и Лападула доказали теорему, формально определяющую безопасность системы при соблюдении необходимых условий. Эта теорема называется Основной теоремой безопасности .

Основная теорема безопасности

Система (Q 0 , R, T) безопасна тогда и только тогда, когда

а) начальное состояние системы Q 0 безопасно

б) для любого состояния Q¢, достижимого из Q 0 в результате выполнения конечной последовательности запросов из R таких, что

T(Q, r) = Q¢; Q = (F, A); Q¢ = (F¢, A¢)

Для каждого s i Î S и O j ÎO (i = 1, …, m, j = 1,…, n) выполняются следующие условия:

1) если read Î a ij ¢ reada ij , то F¢ (s i) F¢ (o j)

2) если read Î a ij F¢ (s i) < F¢ (o j), то read a ij ¢

3) если write Î a ij ¢ writea ij , то F¢ (o j) F¢ (s i)

4) если write Î a ij F¢ (o j) < F¢ (s i), то write Î a ij ¢

Доказательство

Теорема утверждает, что система с безопасным начальным состоянием Q 0 является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа (потоков), которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начиная свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.

Безопасная функция перехода. Теорема безопасности Мак – Лина

Недостаток основной теоремы безопасности Белла–Лападулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния системы. Поэтому данная теорема является избыточной по отношению к определению безопасного состояния.

Из теоремы так же следует, что все состояния, в которые может перейти система из безопасного состояния, при определенных условиях безопасны. Но при этом ничего не говорится о том, что могут ли в процессе перехода изменятся уровни безопасности субъектов и объектов.

Если в процессе перехода системы из одного состояния в другое уровни безопасности субъектов и объектов могут изменяться, то это может привести к потере свойств безопасности системы.

Действительно можно представить гипотетическую систему (в литературе оно получила название Z – системы), в которой при попытке субъекта с низким уровнем безопасности прочитать информацию из объекта, имеющего более высокий уровень безопасности, будет происходить понижение уровня безопасности объекта до уровня безопасности субъекта и осуществляться чтение. В этом случае функция перехода Z – системы удовлетворяет ограничениям (условиям) основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла–Лападулы, но вместе с тем в этой системе любой субъект может реализовать поток типа read к любому объекту, что, очевидно, не совместимо с безопасностью в обычном понимании.

Следовательно, необходимо сформулировать теорему, в которой не только бы констатировалась безопасность всех достижимых состояний в системе при выполнении определенных условий, но и гарантировалась бы безопасность в процессе осуществления переходов между состояниями. Для этого необходимо регламентировать изменения уровней безопасности при переходе системы из одного состояния в другое с помощью дополнительных правил.

Такую интерпретацию мандатной модели осуществил Мак-Лин . Он предложил свою формулировку основной теоремы безопасности, основанную не на понятии безопасного состояния, а на понятии безопасного перехода.

При таком подходе функция уровня безопасности представляется в виде двух функций:

F s – которая ставит каждому субъекту системы в соответствие определенный уровень безопасности из множества D;

F o – которая ставит каждому объекту системы в соответствие определенный уровень безопасности из множества D.

Функция перехода T считается безопасной по чтению, если для любого перехода

выполняются следующие условия:

1) если read Î a ij ¢ Ù read Ï a ij , (возникает новое отношение доступа), то

F s ¢(s i) ³ F o ¢(o j) ; F = F¢

2) если F s ¹ F s ¢ (изменяются уровни безопасности субъекта), то

A = A¢, F o = F o ¢ и

для "s i и o j , для которых F s ¢(s i) < F o ¢(o j),

A = A¢, F s = F s ¢ и

для "s i и o j , для которых F s ¢(s i) < F o ¢(o j),

read Ï a ij ¢, i = 1…m, j=1…n.

Функция перехода T считается безопасной по записи, если для любого перехода

выполняются следующие три условия:

1) если write Î a ij ¢ Ù read Ï a ij , (возникает новое отношение доступа), то

F o ¢(o j) ³ F s ¢(s i) ; F = F¢

2) если F s ¹ F s ¢ (изменяются уровни безопасности субъекта), то

A = A¢, F o = F o ¢ и

для "s i и o j , для которых F s ¢(s i) > F o ¢(o j),

3) если F o ¹ F o ¢ (изменяется уровень безопасности объекта), то

A = A¢, F s = F s ¢ и

для "s i и o j , для которых F s ¢(s i) > F o ¢(o j),

write Ï a ij ¢, i = 1…m, j=1…n.

Функция перехода является безопасной тогда и только тогда, когда она одновременно безопасна и по чтению и по записи.

Смысл введения перечисленных ограничений и их принципиальное отличие от условий теоремы Белла–Лападулы состоит в том, что нельзя изменить одновременно более одного компонента состояния системы. В процессе перехода

либо возникает новое отношение доступа;

либо изменяется уровень безопасности субъекта;

либо изменяется уровень безопасности объекта.

Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния, и изменения не приводят к нарушению безопасности системы.

Поскольку безопасный переход из состояния в состояние позволяет изменяться только одному элементу и так как этот элемент может быть изменен только способами, сохраняющими безопасность состояния, была доказана следующая теорема о свойствах безопасной системы.

Теорема безопасности Мак-Лина

Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.

Однако система может быть безопасной по определению Белла-Лападулы, но не иметь безопасной функции перехода.

Такая формулировка основной теоремы безопасности предоставляет в распоряжение разработчиков защищенных систем базовый принцип их построения, в соответствии с которым для обеспечения безопасности системы, как в любом состоянии, так и в процессе перехода между ними, необходимо реализовать для нее такую функцию перехода, которая соответствует указанным условиям.

Выводы: классическая модель Белла-Лападулы построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа.

Мандатные модели КУД разработаны с целью обеспечения контроля над информационными потоками в системе. Примером недостаточного контроля потока информации служит возможность получения субъектом данных, доступ к которым ему запрещен, путем компрометации авторизованного субъекта. Подобные проблемы призвано решать использование решеток в качестве базы для построения мандатных моделей безопасности. Тогда в качестве объекта исследования выступают информационные потоки, а требования безопасности формулируются с помощью специальной математической структуры -- решетки. Примером применения решеточных структур на практике выступают модель "Китайская стена", модель Белла-ЛаПадулы.

Модель Белла-ЛаПадуды стала классической моделью КУД. Ее основы взяты из жизни: всем участникам процесса обработки информации и документам, в которых она содержится, назначается специальная метка -- "уровень безопасности" (например, "секретно", "общедоступно" и т.д.). Все уровни упорядочиваются с помощью отношения доминирования, например, уровень "совершенно секретно" выше, чем уровень "секретно".

Контроль доступа осуществляется на основании двух правил. лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности; уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Первое правило обеспечивает защиту информации, обрабатываемой более доверенными лицами, от доступа со стороны менее доверенных.

Второе правило предотвращает утечку информации со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.

Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом -- с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому, в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой- либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.

Формально ИС в модели безопасности Белла-ЛаПадулы представляется в виде множеств субъектов S, объектов, и прав доступа read (чтение) и -write (запись). В модели Белла-ЛаПадулы рассматриваются только эти виды доступа. Использование столь жесткого подхода объясняется в модели Белла-ЛаПадулы тем, что контролируются не операции, а потоки информации, которые могут быть двух видов: от субъекта к объекту (запись) или наоборот (чтение).

Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности, которая ставит в соответствие каждому субъекту и объекту уровень безопасности из множества уровней безопасности на котором определена решетка

Решетка уровней безопасности -- это формальная алгебра (L,<, *, где L -- множество уровней безопасности, оператор? определяет частичное нестрогое отношение порядка для элементов этого множества, т.е. оператор? асимметричен, транзитивен и рефлексивен. Отношение? на L,

Рефлексивно, если

антисимметрично, если;
* транзитивно, если

Другое свойство решетки состоит в том, что для каждой пары, и элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы. Эти элементы также принадлежат L , и обозначаются с помощью операторов * и соответственно:

Смысл этих определении состоит в том, что для каждой пары цементов (или множества элементов, поскольку операторыитранзитивны) можно указать единственный.элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.

Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, и пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор? определяет направление потоков информации, т.е. ; если Р(А) ? Р(В) то информация может передаваться от элементов класса А элементам класса В.

Использование решетки для описания отношений между уровнями безопасности позволяет использовать в качестве элементов множества L не только целые числа, для которых определено отношение "меньше или равно", но и составные элементы. Например, в государственных организациях используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множества. Такие атрибуты невозможно сравнивать с помощью арифметических операций, поэтому отношение доминирования? определяется как композиция отношения "меньше или равно" для уровней и отношения включения множеств для наборов категорий. Причем, это никак не сказывается на свойствах модели, поскольку отношения меньше или равно" и "включение множеств" обладают свойствами асимметричности, транзитивности и рефлективности, и, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку. Точно также можно использовать любые виды атрибутов и любое отношение частичного порядка, лишь бы их совокупность представляла собой решетку.

В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы, поэтому ИС представляется с помощью множества системных состояний V как набора упорядоченных пар (F, М)., где М-- матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам. Содержание матрицы М аналогично содержанию матрицы доступа в модели Харрисона-Руззо-Ульмана, при этом набор прав ограничен двумя видами доступа -- чтение (read) и запись (write). Модель системысостоит из начального состояния R, множества запросов и функции переходакоторая в ходе выполнения запроса переводит систему из одного состояния в другое. Система, находящаяся в состояниипри получении запроса, переходит в следующее состояние. Состояние V достижимо в системетогда и только тогда, когда существует последовательностьтакая, что,

Для Заметим, что для любой системы v 0 тривиально достижимо.

Состояния системы, как и в дискреционной модели, делятся на безопасные, в которых отношения доступа не противоречат установленным в модели требованиям, и небезопасные, в которых эти требования нарушаются.

Белл и ЛаПадула предложили следующее определение безопасного состояния. Состояние (F, М) называется безопасным по чтению (или "просто безопасным”) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта.

Состояние (F, М) называется безопасным по записи (или "*-безопасным") тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

В соответствии с предложенным определением безопасного состояния критерий безопасности системы выглядит следующим образом:

Системабезопасна тогда и только тогда, когда ее начальное состояниебезопасно и все состояния, достижимые изпутем применения конечной последовательности запросов из R, безопасны.

Белл и ЛаПадула доказали теорему, формально доказывающую безопасность системы при соблюдении определенных условий, получившую название основной теоремы безопасности Белла-ЛаПадулы:

Система безопасна тогда и только тогда, когда (а) начальное состояниебезопасно и (б) для любого состояния V, достижимого из путем применения конечной последовательности запросов из R, таких, что для каждого выполняются следующие условия:

Теорема утверждает, что система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния. Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.

Недостаток основной теоремы безопасности Белла-ЛаПадулы состоит в том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния. Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода. Поскольку нет никаких определенных ограничений на вид функции перехода, кроме указанных в условиях теоремы, и допускается, что уровни безопасности субъектов и объектов могут изменяться, то можно представить такую гипотетическую систему (она получила название Z-системы), в которой при попытке низкоуровневого субъекта прочитать информацию из высокоуровневого объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла-ЛаПадулы, но вместе с тем в этой системе любой пользователь сможет прочитать любой файл, что очевидно, несовместимо с безопасностью в обычном понимании.

Аксиома 1. Для создания и осуществления системной деятельности объект этой деятельности необходимо представлять моделью общей системы.

Аксиома 3. Субъект системной деятельности необходимо представлять моделью общей системы.

Аксиома 7. Объект и результат системной деятельности необходимо представлять одной моделью общей системы.

Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими

уровнями секретности.

В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила :

1. Простое правило безопасности (Simple Security, SS). xs может читать информацию из объекта суровнем секретности xo тогда и только тогда, когда xs преобладает над xo .

2. *-свойство (*-property). Субъект с уровнем секретности xs может писать информацию в объект с

уровнем секретности xo в том и только в том случае, когда xo преобладает над xs .

Для первого правила существует мнемоническое обозначение No Read Up , а для второго – No Write Down . Диаграмма информационных потоков, соответствующая реализации модели Белла- ЛаПадулы в системе с двумя уровнями секретности, приведена на рис. 2.3.2.1.

Перейдём к формальному описанию системы. Введём следующие обозначения :

- S – множество субъектов;

- O – множество объектов, S ⊂ O ;

- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;

- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;

- Λ = (L ,≤, ,⊗) - решётка уровней секретности;

- V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M) , где:

􀂃 F : S ∪O → L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

􀂃 M – матрица текущих прав доступа. Остановимся более подробно на решётке уровней секретности. Напомним, что решёткой Λназывается алгебраическая система вида (L ,≤, ,⊗) , где:

- ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

Оператор наименьшей верхней границы;

- ⊗ - оператор набольшей нижней границы.

Отношение ≤ обладает следующими свойствами :

1. Рефлексивность : ∀a ∈ L : a ≤ a .

С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.

2. Антисимметричность : 1 2 1 2 2 1 2 1 ∀a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a = a .

Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A B , так и от субъектов и объектов уровня B к субъектам и объектам уровня A , то эти уровни эквивалентны.

3. Транзитивность : 1 2 3 1 2 2 3 1 3 ∀a , a , a ∈ L : ((a ≤ a )&(a ≤ a ))→ a ≤ a .

Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B , и от субъектов и объектов уровня B к субъектам и объектам уровня C , то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C . Операторы наименьшей верхней границы и наибольшей нижней границы ⊗ определяются следующим образом:

- (,)&(" : (") (" ")) 1 2 1 2 1 2 a = a a ⇔ a a ≤ a ∀a ∈ L a ≤ a → a ≤ a ∨ a ≤ a ;

- (,)&(" : (" & ") (")) 1 2 1 2 1 2 a = a ⊗a ⇔ a ≤ a a ∀a ∈ L a ≤ a a ≤ a → a ≤ a .

Нетрудно показать, что для каждой пары a a ∈ L 1, 2 существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы .Заметим, что в качестве уровней безопасности совершенно не обязательновыбирать целые числа, в ряде случаев удобнее использовать более сложные структуры. Засчёт этого, например, в пределах каждого уровня секретности можно реализоватькатегории секретности (см. рис. 2.3.2.2). В этом случае наличие допуска к той или иной

Система (,) 0 Σ = v R T в модели Белла-ЛаПадулы состоит из следующих элементов:

- v0 – начальное состояние системы;

- R – множество прав доступа;

- T :V × R →V - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Изменение состояний системы во времени происходит следующим образом: система, находящаяся в состоянии v ∈V , получает запрос на доступ r ∈ R и переходит в состояние v ∗ = T (v , r ) .

Состояние vn называется достижимым в системе (,) 0 Σ = v R T , если существует последовательность {(,),..., (,),(,)}: (,) 0, 1 0 0 1 1 1 = ∀ = − − − + r v r v r v T r v v i n n n n n i i i . Начальное состояние v0 является достижимым по определению. Состояние системы (F, M) называется безопасным по чтению (или simple-безопасным ), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:

∀s ∈ S ,∀o ∈O , r ∈M [s ,o ]→ F (o ) ≤ F (s ) .

Состояние (F, M ) называется безопасным по записи (или * - безопасным ) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

∀s ∈ S ,o ∈O : w ∈M [s ,o ]→ F (s ) ≤ F (o ) .

Состояние (F, M) называется безопасным , если оно безопасно по чтению и по записи. Наконец, система (,) 0 Σ = v R T называется безопасной , если её начальное состояние v0 безопасно, и все состояния, достижимые из v0 путём применения конечной последовательности запросов из R , безопасны.

Теорема (Основная теорема безопасности Белла-ЛаПадулы ). Система (,) 0 Σ = v R T безопасна тогда и только тогда, когда выполнены следующие условия:

1. Начальное состояние v0 безопасно.

2. Для любого состояния v, достижимого из v0 путём применения конечной последовательности запросов из R, таких, что T (v , r ) = v ∗ , v=(F, M) и v ∗ = (F ∗ ,M ∗) , для ∀s ∈ S ,∀o ∈O выполнены условия:

1. Если r ∈M ∗[s ,o ] и r ∉M [s ,o ], то F ∗ (o ) ≤ F ∗ (s ) .

2. Если r ∈M [s ,o ]и F ∗ (s ) < F ∗ (o ) , то r ∉M ∗[s ,o ] .

3. Если w ∈M ∗[s ,o ] и w ∉M [s ,o ] , то F ∗ (s ) ≤ F ∗ (o ) .

4. Если w ∈M [s ,o ] и F ∗ (o ) < F ∗ (s ) , то w ∉M ∗[s ,o ].

Пусть система (,) 0 Σ = v R T безопасна. В этом случае начальное состояние v0 безопасно по определению. Предположим, что существует безопасное состояние v ∗,достижимое из состояния v : T (v , r ) = v ∗ , и для данного перехода нарушено одно изусловий 1-4. Легко заметить, что в случае, если нарушены условия 1 или 2, то состояние v ∗ будет небезопасным по чтению, а если нарушены условия 3 или 4 – небезопасным позаписи. В обоих случаях мы получаем противоречие с тем, что состояние v ∗ являетсябезопасным.

Докажем достаточность утверждения. Система (,) 0 Σ = v R T может бытьнебезопасной в двух случаях:

1. В случае если начальное состояние v0 небезопасно. Однако данное утверждение противоречит условию теоремы.

2. Если существует небезопасное состояние v ∗ , достижимое из безопасного состояния v0 путём применения конечного числа запросов из R . Это означает, что на каком-то промежуточном этапе произошёл переход T (v , r ) = v ∗ , где v – безопасное состояние, а v ∗ - небезопасное. Однако условия 1-4 делают данный переход невозможным.

Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность.

В настоящее время модель Белла-ЛаПадулы и другие модели мандатного управления доступом, широко используются при построении и верификации автоматизированных систем, преимущественно предназначенных для работы с информацией, составляющей государственную тайну.