Modelul Bell-LaPadula

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Fără surse!
Această intrare sau secțiune referitoare la terminologia computerului nu citează sursele necesare sau cei prezenți sunt insuficienți .
Puteți îmbunătăți această intrare adăugând citate din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor .

Modelul de confidențialitate Bell-La Padula (BLP) a fost definit între 1973 și 1976 de David Elliott Bell și Len LaPadula. Acesta a fost inițial dezvoltat pentru a satisface nevoile Departamentului american al apărării (Department of Defense - DOD) [1] privind accesul la informații și, ulterior, a fost dedicat în principal confidențialității. Cu toate acestea, reprezintă unul dintre cele mai importante modele de securitate aplicabile sistemelor de operare și bazelor de date.

Caracteristici

Modelul Bell-LaPadula se concentrează pe confidențialitatea datelor și accesul la informații clasificate, spre deosebire de modelul de integritate BIBA care descrie regulile pentru protecția integrității datelor. În acest model formal, entitățile dintr-un sistem informațional sunt împărțite în subiecte și obiecte .

  • Subiecților li se atribuie niveluri de autorizare ;
  • Obiectelor li se atribuie niveluri de sensibilitate .

Nivelurile de liberare, cum ar fi nivelurile de sensibilitate, se numesc clase de acces . O clasă de acces ( clasă de acces) constă din două componente:

  1. nivel de securitate: este o comandă bazată pe elemente, este constituit dintr-o clasificare (clasificare) ierarhică (TopSecret> Secret> Confidențial> Neclasificat);
  2. set de categorii : este un set de categorii dependente de aplicația în care sunt utilizate datele ; nu este ierarhic, indică sectorul căruia îi aparține. (ES: poșta electronică , produse comerciale, centrale nucleare etc.).

Fiecare subiect poate accesa, de asemenea, diferitele obiecte în funcție de modurile de acces numite:

  • Citire : numai pentru citire;
  • Anexă : pentru adăugare (fără citire);
  • Executați : execuție (pentru programe );
  • Scrie : citirea-scrierea.

Stare sigură

Conceptul de stat sigur este definit și dovedit de faptul că fiecare tranziție își păstrează securitatea trecând de la o stare sigură la o altă stare sigură.

Trecerea de la o stare la alta este definită de funcțiile de tranziție. O stare a sistemului este definită ca sigură dacă toate modurile de acces ale subiecților și obiectelor respectă politica de securitate.

Pentru a determina dacă este permis un mod de acces specific, clearance-ul este comparat cu clasificarea obiectului (mai exact: combinația de clasificare și setul de compartimente alcătuiesc nivelul de securitate) pentru a determina dacă subiectul este autorizat la cel specific. modul de acces.

Schema de acces / clasificare este exprimată în termeni de rețea. Fiecare operație solicitată este controlată de un monitor de referință , iar executarea acesteia este permisă dacă și numai dacă starea rezultată în care ar fi găsit sistemul este sigură, adică îndeplinește toate proprietățile modelului.

Șablonul definește două reguli obligatorii de control al accesului ( MAC ) și o regulă de control al accesului discreționar ( DAC ) cu trei proprietăți de securitate :

  1. Proprietatea de securitate simplă ( proprietatea SS ): declară că este posibil ca un subiect să poată accesa un obiect numai dacă nivelul său de securitate este mai mare sau egal cu cel al obiectului; (deci: fără citire );
  2. Star-Property (* -property sau S-property ): declară că un subiect poate accesa obiectul numai pentru operațiuni de adăugare dacă are un nivel inferior (comparativ cu obiectul), pentru operații de scriere dacă are un nivel egal și pentru citiți operațiunile dacă are un nivel de securitate actual mai mare decât cel al obiectului; (deci fără reducere );
  3. Proprietatea de securitate discreționară ( proprietatea DS ): utilizează o matrice de acces pentru a specifica controlul accesului discreționar; adică fiecare subiect poate exercita doar accesele pentru care are autorizația necesară.

Aceste reguli împreună servesc pentru a evita că informațiile se pot răspândi fără control de către proprietar și au instrumentul pentru a preveni ca sistemul să poată fi cucerit de un cal troian (Cal troian: virus ascuns într-un program care pătrunde prin program un computer ).

Transferul de informații dintr-un paragraf cu sensibilitate ridicată într-un document cu sensibilitate mai mică poate avea loc în modelul Bell-LaPadula prin intermediul conceptului de entități de încredere. Subiecții de încredere nu sunt limitați de proprietate.

Un subiect de încredere trebuie afișat și testat pentru ca acesta să fie declarat de încredere în ceea ce privește politica de securitate.

Cu Bell-LaPadula , utilizatorii pot crea conținut numai deasupra nivelului lor de securitate personală (cercetătorii secreți pot crea fișiere secrete sau de top secret , dar nu pot crea fișiere publice ): fără reduceri .

În schimb, utilizatorii pot scana conținut numai sub nivelul lor de securitate personală (cercetătorii secreți pot scana fișiere publice sau secrete , dar nu pot scana fișierele Top-Secret ): fără citiri .

Tranziții de stat

Prin operațiuni specifice starea sistemului poate suferi tranziții. Tranzițiile de stat permise în cadrul modelului Bell-LaPadula sunt:

  • Creați obiect : activează un obiect inactiv, făcându-l accesibil;
  • Șterge obiect : dezactivează un obiect activ. Acesta este inversul operației anterioare;
  • Obțineți acces : atunci când un subiect obține acces la un obiect;
  • Eliberarea accesului : când subiectul se termină, este necesar accesul. Acesta este inversul operației anterioare;
  • Oferă acces : permite propagarea drepturilor de acces la un obiect de la un subiect la altul. Operațiunea se efectuează numai dacă respectă politicile de securitate;
  • Revocare acces : revocă un acces acordat anterior cu operația anterioară. Pentru ca această operațiune să poată fi efectuată, subiectul solicitant trebuie să aibă permisiunea în scris părintelui obiectului în cauză;
  • Schimbați nivelul de securitate al subiectului : modificați nivelul de securitate curent. Noul nivel trebuie să fie mai mic decât clearance - ul atribuit inițial subiectului;
  • Modificarea nivelului de securitate al obiectului : are ca efect atribuirea unei noi valori funcției „f” a obiectului inactiv; acest nivel poate fi crescut doar și nu trebuie să depășească niciodată permisiunea subiectului care solicită schimbarea.

Despre ce nu este vorba modelul BLP

Modelul Bell-LaPadula și-a definit în mod explicit domeniul de aplicare. Nu a acoperit radical următoarele:

  • Canalele acoperite;
  • Rețele de sisteme. Lucrările ulterioare de modelare au abordat acest subiect;
  • Politici în afara securității pe mai multe straturi.

Curiozitate

Asteriscul din notația * -proprietate a fost introdus ca substituent de către autori în primele proiecte ale lucrării lor, deoarece nimeni nu s-a putut gândi la un nume adecvat pentru acest model de proprietate. Ideea a fost de a alege un nume mai târziu și de a înlocui toate aparițiile simbolului „*” din textul proiectului; cu toate acestea, nu s-a găsit niciodată un nume potrivit, iar autorii și-au publicat articolul părăsind asteriscul. [2]

Notă

  1. ^ ( EN )Modelul brevetului Bell-LaPadula
  2. ^ William Stallings, Trusted systems , în Criptografie și securitate rețea , ediția a IV-a, Prentice Hall, 16 noiembrie 2005.

Elemente conexe

linkuri externe

AIPSI

Securitate IT Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT
Adus de la „ https://it.wikipedia.org/w/index.php?title=Modello_Bell-LaPadula&oldid=115612206