Открыть сервис

Правило звезда-свойство

Правило «звезда-свойство» (англ. Star-Property, также -свойство, звёздное свойство, правило ограничения записи) — одно из фундаментальных правил мандатной (мандатно-ориентированной) модели управления доступом и целостностью информации, сформулированное в рамках модели Белла — ЛаПадулы. Оно определяет ограничения на операции записи субъектов (пользователей, процессов) в объекты (файлы, ресурсы) в зависимости от уровней их конфиденциальности.

Основные положения

Правило «звезда-свойство» является частью формальной модели безопасности, разработанной Дэвидом Беллом и Леонардом ЛаПадулой в 1973 году для нужд Министерства обороны США. Вместе с правилом «простая безопасность» (simple security property, или ss-свойство) оно образует базовый набор ограничений, обеспечивающих защиту от несанкционированного доступа и утечки информации.

Определение в модели Белла — ЛаПадулы

В классической формулировке правило «звезда-свойство» (обозначается как *-property) гласит:

Субъект, имеющий уровень допуска (или уровень доступа) L, может осуществлять запись в объект только в том случае, если уровень конфиденциальности этого объекта не ниже уровня допуска субъекта.

Иными словами, субъект не может записывать информацию в объект, имеющий более низкий уровень конфиденциальности, чем его собственный. Это предотвращает возможность понижения уровня секретности данных (так называемый «даунгрейд» — downgrade).

Противопоставление правилу «простая безопасность»

Для понимания логики правила необходимо сопоставить его с правилом «простая безопасность» (ss-свойство), которое регулирует чтение:

  • ss-свойство (чтение): Субъект может читать объект, если уровень конфиденциальности объекта не выше уровня допуска субъекта (то есть субъект не может читать «более секретные» данные, чем ему разрешено).
  • *-свойство (запись): Субъект может записывать в объект, если уровень конфиденциальности объекта не ниже уровня допуска субъекта (то есть субъект не может записывать данные в объект с более низким уровнем секретности).

Таким образом, два правила вместе образуют симметричное ограничение: субъект может читать только «свои» или «менее секретные» данные, а записывать — только в «свои» или «более секретные» объекты. Это не позволяет «засветить» секретную информацию, переместив её в открытый канал.

Примеры применения

Классический пример с уровнями секретности

Предположим, существуют три уровня конфиденциальности: Совершенно секретно (СС), Секретно (С) и Для служебного пользования (ДСП). Уровни упорядочены по возрастанию: ДСП < С < СС.

  1. Субъект с уровнем «Секретно» (С):
  • Может читать объекты с уровнями ДСП и С (по ss-свойству). Не может читать объекты уровня СС.
  • Может записывать в объекты с уровнями С и СС (по *-свойству). Не может записывать в объекты уровня ДСП, так как это понизило бы уровень секретности данных.
  1. Субъект с уровнем «Совершенно секретно» (СС):
  • Может читать объекты всех трёх уровней.
  • Может записывать только в объекты уровня СС. Не может записывать в объекты уровня С или ДСП, даже если эти объекты ему доступны для чтения.
  1. Субъект с уровнем «Для служебного пользования» (ДСП):
  • Может читать только объекты уровня ДСП.
  • Может записывать в объекты всех трёх уровней (ДСП, С, СС). Однако на практике это не создаёт угрозы, так как он не может прочитать секретные данные, чтобы их записать.

Пример из информационной безопасности

В операционной системе, реализующей мандатный доступ (например, в некоторых версиях SELinux или в системах с расширениями безопасности для Linux), правило «звезда-свойство» применяется следующим образом:

  • Процесс с меткой «Уровень 5» (высокий) может читать файлы с метками «Уровень 1»–«Уровень 5», но может записывать только в файлы с меткой «Уровень 5» или выше. Если он попытается записать данные в файл с меткой «Уровень 3», операционная система отклонит операцию, даже если у процесса есть права на запись в этот файл.

Разновидности и модификации

В более сложных моделях безопасности, основанных на мандатном управлении, правило «звезда-свойство» может быть дополнено или модифицировано:

  • **Строгое *-свойство:** Требует, чтобы уровень объекта для записи был строго выше уровня субъекта (не допускает запись в объект того же уровня). Используется для предотвращения «скрытых каналов» (covert channels) между субъектами одного уровня.
  • Свойство «звезда-звезда» (Star-Star property): Иногда так называют комбинацию ss-свойства и *-свойства, образующую полную модель Белла — ЛаПадулы.
  • Модель с категориями: В системах, где помимо уровней секретности используются категории (например, «Ядерная физика», «Космические программы»), правило «звезда-свойство» применяется к каждой категории независимо. Субъект может записывать в объект только в том случае, если его набор категорий является подмножеством набора категорий объекта (или равен ему).

Критика и ограничения

Правило «звезда-свойство» является эффективным инструментом для предотвращения утечки информации, но имеет ряд недостатков:

  1. Сложность реализации: Требует строгой иерархии уровней и точного присвоения меток всем субъектам и объектам. В больших системах это может быть трудоёмко.
  2. Снижение функциональности: Пользователи с высоким уровнем допуска не могут записывать данные в объекты с более низким уровнем, что может затруднять совместную работу (например, написание отчёта для открытого распространения).
  3. Не защищает от скрытых каналов: Даже при строгом соблюдении правила возможна утечка информации через побочные каналы, не связанные с прямым доступом к объектам (например, по времени выполнения операций или по использованию ресурсов).
  4. Не учитывает целостность: Правило ориентировано на конфиденциальность, но не предотвращает повреждение данных (например, запись вредоносного кода в объект с высоким уровнем). Для защиты целостности существуют отдельные модели, такие как модель Биба.

Применение в современных системах

Правило «звезда-свойство» лежит в основе многих систем мандатного управления доступом, используемых в:

  • Операционных системах: SELinux (в режиме MLS — Multi-Level Security), TrustedBSD, Solaris Trusted Extensions.
  • Системах управления базами данных: Некоторые СУБД с поддержкой многоуровневой безопасности (например, Oracle Label Security).
  • Военных и правительственных информационных системах: В системах, обрабатывающих информацию с грифом секретности, где требуется строгая изоляция данных.
  • Системах защиты коммерческой тайны: В корпоративных средах, где необходимо предотвратить утечку конфиденциальных данных (например, финансовой отчётности) в открытые каналы.

Источники

  1. Bell, D. E., & LaPadula, L. J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Corporation.
  2. Bell, D. E., & LaPadula, L. J. (1976). Secure Computer System: Unified Exposition and Multics Interpretation. MITRE Corporation.
  3. Gasser, M. (1988). Building a Secure Computer System. Van Nostrand Reinhold.
  4. Bishop, M. (2003). Computer Security: Art and Science. Addison-Wesley.
  5. Sandhu, R. S. (1993). Lattice-based access control models. IEEE Computer, 26(11), 9-19.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →