Bell-Lapadula modeli.
Birinchi ko’rib o’tiluvchi xavfsizlik modeli Bell-
Lapadula (Bell-LaPadula, BLP) bo’lib, bu nomlanish uning yaratuvchilari Bell va
Lapadula nomlariga berilgan. BLPning asosiy maqsadi har qanday MLS tizimini
qanoatlantirishi kerak bo’lgan konfidensiallikka nisbatan minimal talablarni
to’plashdir. BLP quyidagi ikki qoidadan tashkil topgan:
Xavfsizlikni oddiy sharti:
agar faqat va faqat
𝐿𝐿
(
𝑋𝑋
)
≤ 𝐿𝐿
(
𝑆𝑆
)
shart bajarilganda
𝑆𝑆
subyekt
𝑋𝑋
obyektni o’qishi mumkin.
*-Xususiyat
(erkinlikni cheklash): faqat va faqat
𝐿𝐿
(
𝑆𝑆
)
≤ 𝐿𝐿
(
𝑋𝑋
)
shartda
subyekt
𝑆𝑆
obyekt
𝑋𝑋
ga yozishi mumkin.
Xavfsizlikni oddiy shartiga ko’ra Alisa tegishli ruxsatnomasi bo’lmagan
hujjatni o’qiy olmaydi. Ushbu shart har qanday MLS tizimida aniq talab etiladi. Bu
yerda, erkinlikni cheklash xususiyati unchalik yoritilmagan. Ushbu xususiyat,
masalan, TOP SECRET axborotni SECRET hujjatda yozilishidan himoyalashni
ta’minlaydi. Bu MLS xavfsizligini buzadi, chunki SECRET darajasiga ega
foydalanuvchi TOP SECRET klassidagi ma’lumotni o’qiy oladi. Yozish qasddan
yoki masalan, kompyuter virusi natijasida yuzaga kelishi mumkin.
Xavfsizlikni oddiy shartini “o’qimaslik” deb xulosa qilish mumkin. Erkinlikni
cheklash esa “yozilmaydi” degan ma’noni anglatadi. Shundan qilib, BLP ba’zan
qisqa o’qiladi, “o’qimaydi, yozmaydi” (52-rasm).
Yuqori
klassifikatsiyali
subyekt
Yuqori
klassifikatsiyali
obyekt
Past
klassifikatsiyali
obyekt
Past
klassifikatsiyali
subyekt
O’qish
Yozish
Y
o
zis
h
O
’q
is
h
O’qish
Yozish
Y
o
zis
h
O
’q
is
h
52-rasm. Bell-Lapadula modeli
134
Xavfsizlikda soddalik mavjudligi yaxshi bo’lsada, BLP juda oddiy bo’lishi
mumkin. Bu haqida MkLean shunday deydi: “shunchaki ahamiyatsiz bo’lgani uchun
unga ega bo’lmagan xavfsizlikning real modelini tasavvur qilish qiyin”. BLP da
teshiklarni ochishga urinishda MkLean administratorga obyektlarni vaqtincha qayta
klassifikasiyalashga ruxsat berilgan “Z tizim”ni aniqladi. Bunda BLP ni buzmasdan
turib, “yozib olinishi” mumkin. “Z tizim” BLP ruhini aniq buzadi, ammo aniq
taqiqlanmaganligi sababli, bunga ruxsat berilgan.
MkLeanning tanqidiga javoban Bell va Lapadula BLP ni «tinchlik xususiyati»
bilan mustahkamladilar. Aslida ushbu xususiyatning ikki versiyasi mavjud. Kuchli
tinchlik hususiyati xavfsizlik yorliqlari xech qachon o’zgarmasligini takidlaydi. Bu
MkLean tomonidan aytilgan “Z tizim”ni BLPdan tamomila olib tashlaydi. Biroq, bu
holat amalda mavjud emas. Chunki, xavfsizlik belgilari ba’zan o’zgarib turushi
mumkin. Masalan, DOD doimiy ravishda kuchli tinchlik xususiyatiga rioya qilishda
imkonsiz bo’lgan hujjatlarni deklassifikasiyalaydi. Boshqa bir misolda, ko’pincha
eng kam imtiyozni qo’llash maqsadga muvofiqdir. Aytaylik, agar foydalanuvchi
TOP SECRET ruxsatnomasiga ega bo’lsa, biroq u faqat UNCLASSIFIED turidagi
veb sahifalarni ko’rib chiqayotgan bo’lsa, u holda unga UNCLASSIFIED
ruxsatnomasini berish mumkin. Agar foydalanuvchiga keyinchalik yuqori
ruxsatnoma kerak bo’lsa, uning joriy ruxsatnomasi oshiriladi. Bu “yuqori suv belgisi
prinsipi” nomi bilan ma’lum va u quyida Biba modelida ko’rib o’tiladi.
Shuningdek, Bell-Lapadula zaif tinchlik xususiyatini taklif etdi. Bunga ko’ra,
“o’rnatilgan xavfsizlik siyosatiga” ta’sir qilmasa xavfsizlik yorlig’i o’zgarib turishi
mumkin. “Zaif tinchlik xususiyati” Z tizimini mag’lubiyatga uchratishi mumkin va
u eng kam imtiyozga ega bo’lishi mumkin. Biroq, ushbu xususiyat tahlil maqsadi
uchun yetarli bo’lmagan darajada noaniqlikka ega.
Biba modeli.
BLP modeli konfidensiallik bilan shug’ullangan bo’lsa, Biba
modeli butunlik bilan shug’ullanadi. Boshqa so’z bilan aytganda, Biba modeli
BLPning butunlikni ta’minlash uchun ishlab chiqilgan versiyasi hisoblanadi.
Agar biz
𝑋𝑋
1
obyektning butunligiga ishonsak, biroq
𝑋𝑋
2
obyektning
butunligiga ishonmasak, u holda obyekt
𝑋𝑋
ikkita
𝑋𝑋
1
va
𝑋𝑋
2
obyektlardan yaratilgan
135
bo’lsa, obyekt
𝑋𝑋
ning butunligiga ishonmaymiz. Boshqa so’z bilan aytilganda,
obyekt
𝑋𝑋
ning butunligi uni tashkil etgan ixtiyoriy obyektning minimal butunlik
darajasidan iborat. Ya’ni, butunlik uchun “past suv belgisi prinsipi” o’rinli. Boshqa
tomondan, konfidensiallik uchun “yuqori suv belgisi prinsipi” o’rinli.
Biba modelini izohlash uchun,
𝐿𝐿
(
𝑋𝑋
)
orqali
𝑋𝑋
obyektning butunligi izohlansa,
𝐿𝐿
(
𝑆𝑆
)
orqali
𝑆𝑆
subyektning butunligi izohlanadi. U holda Biba modeli quyidagi ikkita
qoidadan iborat (3.24-rasm):
Yozish huquqli qoida:
faqat va faqat
𝐿𝐿
(
𝑋𝑋
)
≤ 𝐿𝐿
(
𝑆𝑆
)
shart bajarilsa,
𝑆𝑆
subyekt
𝑋𝑋
obyektga yoza oladi.
Biba modeli:
faqat va faqat
𝐿𝐿
(
𝑆𝑆
)
≤ 𝐿𝐿
(
𝑋𝑋
)
shart bajarilsa,
𝑆𝑆
subyekt
𝑋𝑋
obyektni
o’qiy oladi.
Yozish huquqli qoidaga ko’ra, agar biz
𝑆𝑆
yozgan biror narsaga ishonmasak, u
holda biz
𝑆𝑆
ga ham ishonmaymiz. Ya’ni, Biba modelida biz
𝑆𝑆
o’qigan eng past
butunlik obyektidan boshqa
𝑆𝑆
ga ishonmasligimiz mumkin emas. Aslida,
𝑆𝑆
subyekt
kichik butunligi past bo’lgan obyekt tomonidan zararlanishi mumkinligi sababli,
𝑆𝑆
ga bunday obyektlarni o’qish taqiqlanadi (53-rasm).
Biba modeli aslida juda cheklangan bo’lib,
𝑆𝑆
ni hattoki eng quyi darajadagi
butunlik sathidagi obyektni ham ko’rish imkoniyatidan himoyalaydi. Shuning uchun,
Biba modelining ko’p hollarda balki barcha hollarda quyidagi bilan almashtirish
mumkin:
Past suv belgisi siyosati:
agar
𝑆𝑆
subyekt
𝑋𝑋
obyektni o’qiy olsa, u holda
𝐿𝐿
(
𝑆𝑆
) = min (
𝐿𝐿
(
𝑆𝑆
),
𝐿𝐿
(
𝑋𝑋
))
o’rinli.
Past suv belgisi siyosatiga binoan, agar
𝑆𝑆
subyektning butunlik darajasi past
darajadagi obyektni boshqarishdan keyin pasaygan bo’lsa, unda
𝑆𝑆
subyekt barcha
narsani o’qishi mumkin.
136
Yuqori
klassifikatsiyali
subyekt
Yuqori
klassifikatsiyali
obyekt
Past
klassifikatsiyali
obyekt
Past
klassifikatsiyali
subyekt
O’qish
Yozish
Y
o
zis
h
O
’q
is
h
O’qish
Yozish
Y
o
zis
h
O
’q
is
h
53-rasm. Biba modeli
54-rasmda BLP va Biba modellari orasidagi farq keltirilgan. Albatta asosiy
farq bu - BLP konfidensiallikni ta’minlash uchun, ya’ni yuqori suv belgisi prinsipi,
Biba esa butunlikni ta’minlash uchun, ya’ni, past suv belgisi prinsipiga asosan
ishlashidir.
Yuqori
Past
S
a
t
h
|