Многоуровневая защита. Модель Белла — Лападулы. - Morozov-5F/operational-system-docs GitHub Wiki

Многоуровневая защита – защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности. Иными словами, каждый пользователь имеет свой уровень доступа и разграничение доступа к документам, файлам, командам производитя на основании этого уровня.

Модель Белла-Лападулы – одна из широко распространенных моделей многоуровневой защиты. Эта модель имеет следующие правила организации информационного потока:

1. Простое свойство безопасности (The simple security property) – процесс, запущенный на уровне безопасности k, может проводить операцию чтения только в отношении объектов своего или более низкого уровня. К примеру, генерал может читать документы лейтенанта, но лейтенант не может читать генеральские документы.
2. Свойство ​ * (The * property) – процесс, работающий на уровне безопасности k, может вести запись только в объекты своего или более высокого уровня. К примеру, лейтенант может добавить сообщение в генеральский почтовый ящик, докладывая обо всем, что ему известно, но генерал не может добавить сообщение в лейтенантский почтовый ящик, сообщая о том, что известно ему, поскольку генерал может быть ознакомлен с совершенно секретными документами, содержание которых не должно доводиться до лейтенанта.

Кратко подытоживая: процессы могут осуществлять чтение вниз и запись наверх, но не наоборот. Если система четко соблюдает эти два свойства, то можно показать, что утечки информации с более безопасного уровня на менее безопасный не будет. Согласно простому свойству безопасности, все сплошные стрелки, обозначающие чтение, идут в стороны или вверх. Согласно свойству *, все пунктирные стрелки, обозначающие запись, также идут в стороны или вверх. Поскольку информационные потоки направляются только горизонтально или наверх, любая информация, происходящая из уровня k, никогда не может оказаться на более низком уровне. Иными словами, путей следования информации вниз просто не существует, чем, собственно, и гарантируется безопасность модели.