Модель Белла — Лападулы

Модель Белла — Лападулы — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

Содержание

1 История
2 Особенности
3 Формальное описание модели
4 Недостатки
- 4.1 Деклассификация
- 4.2 Удаленное чтение
5 См. также
6 Примечания
7 Литература

История

Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками компании MITRE Corporation Дэвидом Беллом и Леонардом Лападулой, к созданию модели их подтолкнула система безопасности для работы с секретными документами Правительства США^[1]^[2]^[3]. Суть системы заключалась в следующем: каждому субъекту (лицу, работающему с документами) и объекту (документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

Особенности

Модель Белла — Лападулы является моделью разграничения доступа к защищаемой информации. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории — субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.
Основными правилами, обеспечивающими разграничение доступа, являются следующие:

Простое свойство безопасности (The Simple Security)

Субъект с уровнем доступа <math>x_s</math> может читать информацию из объекта с уровнем секретности <math>x_o</math> тогда и только тогда, когда <math>x_s</math> преобладает над <math>x_o</math>. Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности совершенно секретно, то ему будет отказано в этом.

Свойство * (The *-property)

Субъект с уровнем секретности x_s может писать информацию в объект с уровнем безопасности x_о только если x_о преобладает над <math>x_s</math>. Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Дискреционное свойство безопасности (The Discretionary Security Property)

Заключается в том, что права дискреционного доступа субъекта к объекту определяются на основе матрицы доступа.

Формальное описание модели

Обозначения

<math> S\ </math> — множество субъектов;
<math> O\ </math> — множество объектов, <math> S \subset O </math>;
<math> R=\{r ,\ w\} </math> — множество прав доступа, <math> r\ </math> — доступ на чтение, <math> w\ </math> — доступ на запись;
<math> L=\{U, SU, S, TS\}\ </math> — множество уровней секретности, <math> U\ </math> — Unclassified, <math> SU\ </math> — Sensitive but unclassified, <math> S\ </math> — Secret, <math> TS\ </math> — Top secret;
<math> \Lambda = (L,\le,\bullet,\otimes)</math> — решётка уровней секретности, где:
- <math> \le</math> — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
- <math> \bullet</math> — оператор наименьшей верхней границы;
- <math> \otimes</math> — оператор наибольшей нижней границы.
<math> V\ </math> — множество состояний системы, представляемое в виде набора упорядоченных пар <math> (F, M)\ </math>, где:
- <math> F : S \cup O \rightarrow L </math> — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
- <math> M\ </math> — матрица текущих прав доступа.

Оператор отношения <math> \le</math> обладает следующими свойствами:

Рефлексивность: <math> \mathcal {8}~ a \in L : a \le a </math>, данное свойство означает, что между субъектами и объектами одного уровня безопасности передача информации разрешена.
Антисимметричность: <math> \forall a_1 , a_2 \in L : ((a_1 \le a_2) \And (a_2 \le a_1)) \rightarrow a_2 = a_1 </math>, свойство означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.
Транзитивность: <math> \forall a_1 , a_2 , a_3 \in L : ((a_1 \le a_2) \And (a_2 \le a_3)) \rightarrow a_1 \le a_3 </math>, свойство означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Оператор наименьшей верхней границы <math> \bullet</math> определяется следующим отношением:

<math> a = a_1 \bullet a_2 \Leftrightarrow (a_1,a_2 \le a) \And (\forall a' \mathcal {2} L : (a' \le a) \rightarrow (a' \le a_1 \vee a' \le a_2)) </math>

Оператор наибольшей нижней границы <math> \otimes</math> определяется следующим отношением:

<math> a = a_1 \otimes a_2 \Leftrightarrow (a \le a_1,a_2 ) \And (\forall a' \mathcal {2} L : (a' \le a_1 \And a' \le a_2) \rightarrow (a' \le a)) </math>

Исходя из определения этих двух операторов можно показать, что для каждой пары <math>a_1, a_2 ~ \mathcal {2} ~ L </math> существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система <math>\Sigma=( \nu_0, R, T ) </math> в модели Белла — Лападулы состоит из следующий элементов:

<math> \nu_0\ </math> — начальное состояние системы;
<math> \R\ </math> — множество прав доступа;
<math> T: V \times R \rightarrow V </math> — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Определения состояния безопасности

Состояние <math> \nu\ </math> называется достижимым в системе <math>\Sigma=( \nu_0, R, T ) </math>, если существует последовательность <math> \{(r_0, \nu_0), ... ,(r_{n-1}, \nu_{n-1}),(r_n, \nu_n)\} : T(r_i, \nu_i)=\nu_{i+1} ~ \forall i = 0,n-1 </math> Начальное состояние <math> \nu_0\ </math> является достижимым по определению.

Состояние системы <math> (F, M) </math> называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: <math> \forall s \in S, \forall o \in O, r \in M [s,o] \rightarrow F(o) \le F(s) </math>

Состояние системы <math> (F, M) </math> называется безопасным по записи (или * — безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта: <math> \forall s \in S, \forall o \in O, w \in M [s,o] \rightarrow F(s) \le F(o) </math>

Состояние <math> (F, M) </math> называется безопасным, если оно безопасно по чтению и по записи.

Система <math>\Sigma=(\nu_0, R, T)</math> называется безопасной, если её начальное состояние v0 безопасно, и все состояния, достижимые из <math> \nu_0\ </math> путём применения конечной последовательности запросов из <math> R\ </math>, безопасны.

Основная теорема безопасности Белла — Лападулы

Система <math>\Sigma=( \nu_0, R, T ) </math> безопасна тогда и только тогда, когда выполнены следующие условия:

Начальное состояние <math> \nu_0\ </math> безопасно.
Для любого состояния <math> \nu\ </math>, достижимого из <math> \nu_0\ </math> путём применения конечной последовательности запросов из <math> R\ </math>, таких, что <math>T( \nu , r ) = \nu^* , \nu = (F, M) </math> и <math>\nu^* =(F^*, M^* ) </math>, для <math> \mathcal {8} s \mathcal {2} S, \mathcal {8}o \mathcal {2} O</math> выполнены условия:
1. Если <math> r \mathcal {2} M^*[s,o] </math> и <math>r \notin M[s,o] </math>, то <math> F^*(o) \le F^*(s) </math>
2. Если <math> r \mathcal {2} M[s,o] </math> и <math>F^*(s) < F^*(o) </math>, то <math> r \notin M^*[s,o] </math>
3. Если <math> w \mathcal {2} M^*[s,o] </math> и <math>w \notin M[s,o] </math>, то <math> F^*(s) \le F^*(o) </math>
4. Если <math> w \mathcal {2} M[s,o] </math> и <math>F^*(o) < F^*(s) </math>, то <math> w \notin M^*[s,o] </math>

Доказательство теоремы

{{{1}}}■

Недостатки

В силу своей простоты, классическая модель Белла — Лападулы имеет ряд серьёзных недостатков:К:Википедия:Статьи без источников (тип: не указан)^{[источник не указан 4342 дня]}

Деклассификация

Данная уязвимость заключается в следующем: классическая модель не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до «не секретно» по желанию «совершенно секретного» субъекта). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Таким образом, хотя формально модель нарушена не была, безопасность системы нарушена. Для решения этой проблемы вводят правила:

Правило сильного спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции.
Правило слабого спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности.

Удаленное чтение

Данный недостаток проявляет себя в распределенных компьютерных системах. Допустим, субъект А с высоким уровнем доступа пытается прочитать информацию из объекта Б с низким уровнем секретности. Может создаться впечатление, что если субъекту А будет разрешено чтение информации из объекта Б, никакая конфиденциальная информация не будет раскрыта. Однако, при более подробном рассмотрении обнаруживается что это не так. Во время операции чтения между удаленными объектами происходит появления потока информации от читаемого объекта к запросившему доступ на чтение субъекту. Поток, который при этом появляется, является безопасным, так как информация недоступна неавторизированным субъектам. Однако в распределенной системе чтение инициируется запросом от одного объекта к другому. Такой запрос образует поток информации идущий в неверном направлении (запись в объект с более низким уровнем секретности). Таким образом, удаленное чтение в распределенных системах может произойти только если ему предшествует операция записи вниз, что является нарушением правил классической модели Белла — Лападулы.

См. также

Напишите отзыв о статье "Модель Белла — Лападулы"

Примечания

↑ Bell, David Elliott and LaPadula, Leonard J. (1973). «[www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf Secure Computer Systems: Mathematical Foundations]» (PDF) (MITRE Corporation).
↑ Bell, David Elliott and LaPadula, Leonard J. (1976). «[csrc.nist.gov/publications/history/bell76.pdf Secure Computer System: Unified Exposition and Multics Interpretation]» (PDF) (MITRE Corporation).
↑ Bell, David Elliott (December 2005). "[www.acsac.org/2005/papers/Bell.pdf Looking Back at the Bell-LaPadula Model]" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference: 337–351. DOI:[dx.doi.org/10.1109/CSAC.2005.37 10.1109/CSAC.2005.37]. [www.selfless-security.org/presentations/lookingback/looking-back.html Slides — Looking Back at the Bell-LaPadula Model]

Литература

Цирлов В. Л. Основы информационной безопасности автоматизированных систем. — Р.: Феникс, 2008. С. 40-44 ISBN 978-5-222-13164-0
Девянин П. Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. — М.: Издательский центр «Академия», 2005. С. 55-66 ISBN 5-7695-2053-1
Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен», 1996. С 52-55
А. П. Баранов, Н. П. Борисенко, П. Д. Зегжда, А. Г. Ростовцев, Корт С. С. — Математические основы информационной безопасности. — М.: Издательство Агентства «Яхтсмен», 1997. C 22-36 web.archive.org/web/20110611052603/www.ssl.stu.neva.ru/sam/Book97.pdf

Отрывок, характеризующий Модель Белла — Лападулы

– Всё равно одна, без моих друзей… И хочет, чтобы я не боялась.
Тон ее уже был ворчливый, губка поднялась, придавая лицу не радостное, а зверское, беличье выраженье. Она замолчала, как будто находя неприличным говорить при Пьере про свою беременность, тогда как в этом и состояла сущность дела.
– Всё таки я не понял, de quoi vous avez peur, [Чего ты боишься,] – медлительно проговорил князь Андрей, не спуская глаз с жены.
Княгиня покраснела и отчаянно взмахнула руками.
– Non, Andre, je dis que vous avez tellement, tellement change… [Нет, Андрей, я говорю: ты так, так переменился…]
– Твой доктор велит тебе раньше ложиться, – сказал князь Андрей. – Ты бы шла спать.
Княгиня ничего не сказала, и вдруг короткая с усиками губка задрожала; князь Андрей, встав и пожав плечами, прошел по комнате.
Пьер удивленно и наивно смотрел через очки то на него, то на княгиню и зашевелился, как будто он тоже хотел встать, но опять раздумывал.
– Что мне за дело, что тут мсье Пьер, – вдруг сказала маленькая княгиня, и хорошенькое лицо ее вдруг распустилось в слезливую гримасу. – Я тебе давно хотела сказать, Andre: за что ты ко мне так переменился? Что я тебе сделала? Ты едешь в армию, ты меня не жалеешь. За что?
– Lise! – только сказал князь Андрей; но в этом слове были и просьба, и угроза, и, главное, уверение в том, что она сама раскается в своих словах; но она торопливо продолжала:
– Ты обращаешься со мной, как с больною или с ребенком. Я всё вижу. Разве ты такой был полгода назад?
– Lise, я прошу вас перестать, – сказал князь Андрей еще выразительнее.
Пьер, всё более и более приходивший в волнение во время этого разговора, встал и подошел к княгине. Он, казалось, не мог переносить вида слез и сам готов был заплакать.
– Успокойтесь, княгиня. Вам это так кажется, потому что я вас уверяю, я сам испытал… отчего… потому что… Нет, извините, чужой тут лишний… Нет, успокойтесь… Прощайте…
Князь Андрей остановил его за руку.
– Нет, постой, Пьер. Княгиня так добра, что не захочет лишить меня удовольствия провести с тобою вечер.
– Нет, он только о себе думает, – проговорила княгиня, не удерживая сердитых слез.
– Lise, – сказал сухо князь Андрей, поднимая тон на ту степень, которая показывает, что терпение истощено.
Вдруг сердитое беличье выражение красивого личика княгини заменилось привлекательным и возбуждающим сострадание выражением страха; она исподлобья взглянула своими прекрасными глазками на мужа, и на лице ее показалось то робкое и признающееся выражение, какое бывает у собаки, быстро, но слабо помахивающей опущенным хвостом.
– Mon Dieu, mon Dieu! [Боже мой, Боже мой!] – проговорила княгиня и, подобрав одною рукой складку платья, подошла к мужу и поцеловала его в лоб.
– Bonsoir, Lise, [Доброй ночи, Лиза,] – сказал князь Андрей, вставая и учтиво, как у посторонней, целуя руку.

Друзья молчали. Ни тот, ни другой не начинал говорить. Пьер поглядывал на князя Андрея, князь Андрей потирал себе лоб своею маленькою рукой.
– Пойдем ужинать, – сказал он со вздохом, вставая и направляясь к двери.
Они вошли в изящно, заново, богато отделанную столовую. Всё, от салфеток до серебра, фаянса и хрусталя, носило на себе тот особенный отпечаток новизны, который бывает в хозяйстве молодых супругов. В середине ужина князь Андрей облокотился и, как человек, давно имеющий что нибудь на сердце и вдруг решающийся высказаться, с выражением нервного раздражения, в каком Пьер никогда еще не видал своего приятеля, начал говорить:
– Никогда, никогда не женись, мой друг; вот тебе мой совет: не женись до тех пор, пока ты не скажешь себе, что ты сделал всё, что мог, и до тех пор, пока ты не перестанешь любить ту женщину, какую ты выбрал, пока ты не увидишь ее ясно; а то ты ошибешься жестоко и непоправимо. Женись стариком, никуда негодным… А то пропадет всё, что в тебе есть хорошего и высокого. Всё истратится по мелочам. Да, да, да! Не смотри на меня с таким удивлением. Ежели ты ждешь от себя чего нибудь впереди, то на каждом шагу ты будешь чувствовать, что для тебя всё кончено, всё закрыто, кроме гостиной, где ты будешь стоять на одной доске с придворным лакеем и идиотом… Да что!…
Он энергически махнул рукой.
Пьер снял очки, отчего лицо его изменилось, еще более выказывая доброту, и удивленно глядел на друга.
– Моя жена, – продолжал князь Андрей, – прекрасная женщина. Это одна из тех редких женщин, с которою можно быть покойным за свою честь; но, Боже мой, чего бы я не дал теперь, чтобы не быть женатым! Это я тебе одному и первому говорю, потому что я люблю тебя.
Князь Андрей, говоря это, был еще менее похож, чем прежде, на того Болконского, который развалившись сидел в креслах Анны Павловны и сквозь зубы, щурясь, говорил французские фразы. Его сухое лицо всё дрожало нервическим оживлением каждого мускула; глаза, в которых прежде казался потушенным огонь жизни, теперь блестели лучистым, ярким блеском. Видно было, что чем безжизненнее казался он в обыкновенное время, тем энергичнее был он в эти минуты почти болезненного раздражения.
– Ты не понимаешь, отчего я это говорю, – продолжал он. – Ведь это целая история жизни. Ты говоришь, Бонапарте и его карьера, – сказал он, хотя Пьер и не говорил про Бонапарте. – Ты говоришь Бонапарте; но Бонапарте, когда он работал, шаг за шагом шел к цели, он был свободен, у него ничего не было, кроме его цели, – и он достиг ее. Но свяжи себя с женщиной – и как скованный колодник, теряешь всякую свободу. И всё, что есть в тебе надежд и сил, всё только тяготит и раскаянием мучает тебя. Гостиные, сплетни, балы, тщеславие, ничтожество – вот заколдованный круг, из которого я не могу выйти. Я теперь отправляюсь на войну, на величайшую войну, какая только бывала, а я ничего не знаю и никуда не гожусь. Je suis tres aimable et tres caustique, [Я очень мил и очень едок,] – продолжал князь Андрей, – и у Анны Павловны меня слушают. И это глупое общество, без которого не может жить моя жена, и эти женщины… Ежели бы ты только мог знать, что это такое toutes les femmes distinguees [все эти женщины хорошего общества] и вообще женщины! Отец мой прав. Эгоизм, тщеславие, тупоумие, ничтожество во всем – вот женщины, когда показываются все так, как они есть. Посмотришь на них в свете, кажется, что что то есть, а ничего, ничего, ничего! Да, не женись, душа моя, не женись, – кончил князь Андрей.
– Мне смешно, – сказал Пьер, – что вы себя, вы себя считаете неспособным, свою жизнь – испорченною жизнью. У вас всё, всё впереди. И вы…
Он не сказал, что вы , но уже тон его показывал, как высоко ценит он друга и как много ждет от него в будущем.
«Как он может это говорить!» думал Пьер. Пьер считал князя Андрея образцом всех совершенств именно оттого, что князь Андрей в высшей степени соединял все те качества, которых не было у Пьера и которые ближе всего можно выразить понятием – силы воли. Пьер всегда удивлялся способности князя Андрея спокойного обращения со всякого рода людьми, его необыкновенной памяти, начитанности (он всё читал, всё знал, обо всем имел понятие) и больше всего его способности работать и учиться. Ежели часто Пьера поражало в Андрее отсутствие способности мечтательного философствования (к чему особенно был склонен Пьер), то и в этом он видел не недостаток, а силу.
В самых лучших, дружеских и простых отношениях лесть или похвала необходимы, как подмазка необходима для колес, чтоб они ехали.
– Je suis un homme fini, [Я человек конченный,] – сказал князь Андрей. – Что обо мне говорить? Давай говорить о тебе, – сказал он, помолчав и улыбнувшись своим утешительным мыслям.
Улыбка эта в то же мгновение отразилась на лице Пьера.
– А обо мне что говорить? – сказал Пьер, распуская свой рот в беззаботную, веселую улыбку. – Что я такое? Je suis un batard [Я незаконный сын!] – И он вдруг багрово покраснел. Видно было, что он сделал большое усилие, чтобы сказать это. – Sans nom, sans fortune… [Без имени, без состояния…] И что ж, право… – Но он не сказал, что право . – Я cвободен пока, и мне хорошо. Я только никак не знаю, что мне начать. Я хотел серьезно посоветоваться с вами.
Князь Андрей добрыми глазами смотрел на него. Но во взгляде его, дружеском, ласковом, всё таки выражалось сознание своего превосходства.
– Ты мне дорог, особенно потому, что ты один живой человек среди всего нашего света. Тебе хорошо. Выбери, что хочешь; это всё равно. Ты везде будешь хорош, но одно: перестань ты ездить к этим Курагиным, вести эту жизнь. Так это не идет тебе: все эти кутежи, и гусарство, и всё…
– Que voulez vous, mon cher, – сказал Пьер, пожимая плечами, – les femmes, mon cher, les femmes! [Что вы хотите, дорогой мой, женщины, дорогой мой, женщины!]
– Не понимаю, – отвечал Андрей. – Les femmes comme il faut, [Порядочные женщины,] это другое дело; но les femmes Курагина, les femmes et le vin, [женщины Курагина, женщины и вино,] не понимаю!
Пьер жил y князя Василия Курагина и участвовал в разгульной жизни его сына Анатоля, того самого, которого для исправления собирались женить на сестре князя Андрея.
– Знаете что, – сказал Пьер, как будто ему пришла неожиданно счастливая мысль, – серьезно, я давно это думал. С этою жизнью я ничего не могу ни решить, ни обдумать. Голова болит, денег нет. Нынче он меня звал, я не поеду.
– Дай мне честное слово, что ты не будешь ездить?
– Честное слово!

Уже был второй час ночи, когда Пьер вышел oт своего друга. Ночь была июньская, петербургская, бессумрачная ночь. Пьер сел в извозчичью коляску с намерением ехать домой. Но чем ближе он подъезжал, тем более он чувствовал невозможность заснуть в эту ночь, походившую более на вечер или на утро. Далеко было видно по пустым улицам. Дорогой Пьер вспомнил, что у Анатоля Курагина нынче вечером должно было собраться обычное игорное общество, после которого обыкновенно шла попойка, кончавшаяся одним из любимых увеселений Пьера.
«Хорошо бы было поехать к Курагину», подумал он.
Но тотчас же он вспомнил данное князю Андрею честное слово не бывать у Курагина. Но тотчас же, как это бывает с людьми, называемыми бесхарактерными, ему так страстно захотелось еще раз испытать эту столь знакомую ему беспутную жизнь, что он решился ехать. И тотчас же ему пришла в голову мысль, что данное слово ничего не значит, потому что еще прежде, чем князю Андрею, он дал также князю Анатолю слово быть у него; наконец, он подумал, что все эти честные слова – такие условные вещи, не имеющие никакого определенного смысла, особенно ежели сообразить, что, может быть, завтра же или он умрет или случится с ним что нибудь такое необыкновенное, что не будет уже ни честного, ни бесчестного. Такого рода рассуждения, уничтожая все его решения и предположения, часто приходили к Пьеру. Он поехал к Курагину.
Подъехав к крыльцу большого дома у конно гвардейских казарм, в которых жил Анатоль, он поднялся на освещенное крыльцо, на лестницу, и вошел в отворенную дверь. В передней никого не было; валялись пустые бутылки, плащи, калоши; пахло вином, слышался дальний говор и крик.
Игра и ужин уже кончились, но гости еще не разъезжались. Пьер скинул плащ и вошел в первую комнату, где стояли остатки ужина и один лакей, думая, что его никто не видит, допивал тайком недопитые стаканы. Из третьей комнаты слышались возня, хохот, крики знакомых голосов и рев медведя.
Человек восемь молодых людей толпились озабоченно около открытого окна. Трое возились с молодым медведем, которого один таскал на цепи, пугая им другого.
– Держу за Стивенса сто! – кричал один.
– Смотри не поддерживать! – кричал другой.
– Я за Долохова! – кричал третий. – Разними, Курагин.
– Ну, бросьте Мишку, тут пари.
– Одним духом, иначе проиграно, – кричал четвертый.
– Яков, давай бутылку, Яков! – кричал сам хозяин, высокий красавец, стоявший посреди толпы в одной тонкой рубашке, раскрытой на средине груди. – Стойте, господа. Вот он Петруша, милый друг, – обратился он к Пьеру.
Другой голос невысокого человека, с ясными голубыми глазами, особенно поражавший среди этих всех пьяных голосов своим трезвым выражением, закричал от окна: «Иди сюда – разойми пари!» Это был Долохов, семеновский офицер, известный игрок и бретёр, живший вместе с Анатолем. Пьер улыбался, весело глядя вокруг себя.
– Ничего не понимаю. В чем дело?
– Стойте, он не пьян. Дай бутылку, – сказал Анатоль и, взяв со стола стакан, подошел к Пьеру.

[1] Bell, David Elliott and LaPadula, Leonard J. (1973). «[www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf Secure Computer Systems: Mathematical Foundations]» (PDF) (MITRE Corporation).

[2] Bell, David Elliott and LaPadula, Leonard J. (1976). «[csrc.nist.gov/publications/history/bell76.pdf Secure Computer System: Unified Exposition and Multics Interpretation]» (PDF) (MITRE Corporation).

[3] Bell, David Elliott (December 2005). "[www.acsac.org/2005/papers/Bell.pdf Looking Back at the Bell-LaPadula Model]" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference: 337–351. DOI:[dx.doi.org/10.1109/CSAC.2005.37 10.1109/CSAC.2005.37]. [www.selfless-security.org/presentations/lookingback/looking-back.html Slides — Looking Back at the Bell-LaPadula Model]

[1]

[2]

[3]