ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 45
Доказательство:
1. Необходимость.
Если система безопасна, то состояние v
0
безопасно по определению.
Пусть существует некоторое состояние v
∗
, достижимое из v
0
путем
применения конечного числа запросов из R и полученное путем пе-
рехода из безопасного сотояния v : T(v, r) = v
∗
. Тогда, если при
этом переходе нарушено хотя бы одно из первых двух ограничений,
накладываемых теоремой на функцию T, то состояние v
∗
не будет
безопасным по чтению, а если T нарушает хотя бы одно из послед-
них двух условий теоремы, то состояние v
∗
не будет безопасным по
записи. Таким образом, при нарушении хотя бы одного из условий
теоремы система не будет безопасной.
2. Достаточность.
Предположим, что система небезопасна. Тогда, либо v
0
небезопасно,
что явно противоречит условиям теоремы, либо должно существо-
вать небезопасное сосотояние v
∗
, достижимое из безопасного состо-
яния v
0
путем применения конечного числа запросов из R. В этом
случае обязательно будет иметь место переход T(v, r) = v
∗
, при ко-
тором состояние v — безопасно, а состояние v
∗
— нет. Но условия
теоремы делают такой переход невозможным.
Таким образом по утверждению теоремы система с безопасным на-
чальным состоянием является безопасной тогда и только тогда, когда при
любом переходе ситемы из одного состояния в другое не возникает ника-
ких новых и не сохраняется никаких старых отношений доступа, котороые
будут небезопасны по отношению к функции уровня безопасности нового
состояния.
НЕДОСТАТКИ ОСНОВНОЙ ТЕОРЕМЫ БЕЗОПАСНОСТИ БЕЛЛА-ЛАПАДУЛЫ
Недостатоки состоят в том, что
— данная теорема является избыточной по отношению к определению
безопасного сотояния, т.к. ограничения, накладываемые теоремой на
функцию перехода, совпадают с критерием безопасности состояния;
— из теоремы следует только то, что все состояния, достижимые из
безопасного состояния при определенных ограничениях, будут в
некотором смысле безопасными, но при этом не гарантируется, что
процесс осуществления перехода будет безопасным.
Таким образом, можно найти такую систему (Z-систему), в которой
при попытке низкоуровнего субъекта прочитать информацию из высоко-
уровнего объекта будет происходить понижение уровня объекта до уровня
субъекта и осуществляться чтение. Функция перехода Z-системы удовле-
творяет ограничениям основной теоремы безопасности, и все состояния
системы также безопасны в смысле критерия Белла-ЛаПадулы, но любой
пользователь системы сможет прочитать любой файл, что несовместимо с
безопасностью в обычном понимании.
Для гарантирования безопасности во время перехода между состоя-
ниями необходимо регламентировать изменения уровней безопасности во
время перехода от состояния к состоянию с помощью дополнительных
правил.
Страницы
- « первая
- ‹ предыдущая
- …
- 43
- 44
- 45
- 46
- 47
- …
- следующая ›
- последняя »
