El modelo Bell-LaPadula ( BLP ) es un modelo de máquina de estado que se utiliza para hacer cumplir el control de acceso en aplicaciones gubernamentales y militares. [1] Fue desarrollado por David Elliott Bell [2] y Leonard J. LaPadula, después de una fuerte orientación de Roger R. Schell , para formalizar la política de seguridad multinivel (MLS) del Departamento de Defensa (DoD ) de Estados Unidos. [3] [4] [5] El modelo es un modelo de transición estatal formal de política de seguridad informáticaque describe un conjunto de reglas de control de acceso que utilizan etiquetas de seguridad en los objetos y autorizaciones para los sujetos. Las etiquetas de seguridad van desde las más sensibles (p. Ej., "Top Secret") hasta las menos sensibles (p. Ej., "Sin clasificar" o "Pública").
El modelo Bell-LaPadula es un ejemplo de un modelo en el que no existe una distinción clara entre protección y seguridad . [6]
Características
El modelo Bell-LaPadula se centra en la confidencialidad de los datos y el acceso controlado a la información clasificada , en contraste con el modelo de integridad de Biba, que describe las reglas para la protección de la integridad de los datos . En este modelo formal, las entidades de un sistema de información se dividen en sujetos y objetos. Se define la noción de " estado seguro " y se comprueba que cada transición de estado preserva la seguridad al pasar de un estado seguro a otro seguro, probando inductivamente que el sistema satisface los objetivos de seguridad del modelo. El modelo Bell-LaPadula se basa en el concepto de una máquina de estados con un conjunto de estados permitidos en un sistema informático. La transición de un estado a otro se define mediante funciones de transición.
Un estado del sistema se define como "seguro" si los únicos modos de acceso permitidos de sujetos a objetos están de acuerdo con una política de seguridad . Para determinar si se permite un modo de acceso específico, se compara la autorización de un sujeto con la clasificación del objeto (más precisamente, con la combinación de clasificación y conjunto de compartimentos, que forman el nivel de seguridad ) para determinar si el sujeto está autorizado para el modo de acceso específico. El esquema de separación / clasificación se expresa en términos de una celosía. El modelo define una regla de control de acceso discrecional (DAC) y dos reglas de control de acceso obligatorio (MAC) con tres propiedades de seguridad:
- La propiedad de seguridad simple establece que un sujeto en un nivel de seguridad dado no puede leer un objeto en un nivel de seguridad superior.
- La propiedad de seguridad * (estrella) indica que un sujeto en un nivel de seguridad dado no puede escribir en ningún objeto en un nivel de seguridad más bajo.
- La propiedad de seguridad discrecional utiliza una matriz de acceso para especificar el control de acceso discrecional.
La transferencia de información de un documento de alta sensibilidad a un documento de menor sensibilidad puede ocurrir en el modelo Bell-LaPadula a través del concepto de sujetos confiables. Los sujetos de confianza no están restringidos por la propiedad Star. Los sujetos de confianza deben demostrar que son dignos de confianza con respecto a la política de seguridad.
El modelo de seguridad de Bell-LaPadula está dirigido al control de acceso y se caracteriza por la frase "escribir, leer" (WURD). Compare el modelo Biba , el modelo Clark-Wilson y el modelo Chinese Wall .
Con Bell – LaPadula, los usuarios pueden crear contenido sólo en o por encima de su propio nivel de seguridad (es decir, los investigadores secretos pueden crear archivos secretos o ultrasecretos, pero no pueden crear archivos públicos; no escribir). Por el contrario, los usuarios pueden ver el contenido solo en su propio nivel de seguridad o por debajo de él (es decir, los investigadores secretos pueden ver archivos públicos o secretos, pero no pueden ver archivos ultrasecretos; sin lectura).
El modelo Bell-LaPadula definió explícitamente su alcance. No trató lo siguiente de manera extensa:
- Canales encubiertos . El paso de información a través de acciones preestablecidas se describió brevemente.
- Redes de sistemas. El trabajo de modelado posterior sí abordó este tema.
- Políticas ajenas a la seguridad multinivel. El trabajo a principios de la década de 1990 mostró que MLS es una versión de las políticas booleanas , al igual que todas las demás políticas publicadas.
Propiedad estrella fuerte
La propiedad Strong Star es una alternativa a la propiedad *, en la que los sujetos pueden escribir en objetos con solo un nivel de seguridad coincidente. Por lo tanto, la operación de escritura permitida en la propiedad * habitual no está presente, solo una operación de escritura en la misma. La propiedad Strong Star generalmente se analiza en el contexto de los sistemas de administración de bases de datos multinivel y está motivada por preocupaciones de integridad. [7] Esta propiedad de Strong Star se anticipó en el modelo Biba, donde se demostró que una fuerte integridad en combinación con el modelo Bell-LaPadula resultó en lectura y escritura en un solo nivel.
Principio de tranquilidad
El principio de tranquilidad del modelo Bell-LaPadula establece que la clasificación de un sujeto u objeto no cambia mientras se hace referencia a él. El principio de tranquilidad tiene dos formas: el "principio de tranquilidad fuerte" establece que los niveles de seguridad no cambian durante el funcionamiento normal del sistema. El "principio de tranquilidad débil" establece que los niveles de seguridad nunca pueden cambiar de manera que se viole una política de seguridad definida. La tranquilidad débil es deseable ya que permite a los sistemas observar el principio de privilegio mínimo . Es decir, los procesos comienzan con un nivel de autorización bajo, independientemente de la autorización de sus propietarios, y acumulan progresivamente niveles de autorización más altos a medida que las acciones lo requieran.
Limitaciones
- Solo aborda la confidencialidad, el control de la escritura (una forma de integridad), * propiedad y control de acceso discrecional
- Los canales encubiertos se mencionan pero no se tratan de manera integral
- El principio de tranquilidad limita su aplicabilidad a sistemas donde los niveles de seguridad no cambian dinámicamente. Permite la copia controlada de mayor a menor a través de sujetos de confianza. [Ed. No muchos sistemas que utilizan BLP incluyen cambios dinámicos en los niveles de seguridad de los objetos.]
Ver también
- Modelo de integridad de Biba
- El modelo de integridad de Clark-Wilson
- Control de acceso discrecional - DAC
- Modelo de Graham-Denning
- Control de acceso obligatorio - MAC
- Seguridad multinivel - MLS
- Modos de operación de seguridad
- Modelo de protección de aceptación de subvenciones
- Espacio de aire (redes)
Notas
- ^ Hansche, Susan; John Berti; Chris Hare (2003). Guía oficial (ISC) 2 del examen CISSP . Prensa CRC. pp. 104 . ISBN 978-0-8493-1707-1.
- ^ David Elliott Bell, entrevista de historia oral , 24 de septiembre de 2012. Instituto Charles Babbage , Universidad de Minnesota]
- ^ Bell, David Elliott y LaPadula, Leonard J. (1973). "Sistemas informáticos seguros: fundamentos matemáticos" (PDF) . Corporación MITRE. Archivado desde el original (PDF) el 18 de junio de 2006 . Consultado el 20 de abril de 2006 . Cite journal requiere
|journal=
( ayuda ) - ^ Bell, David Elliott y LaPadula, Leonard J. (1976). "Sistema informático seguro: exposición unificada e interpretación de Multics" (PDF) . Corporación MITRE. Cite journal requiere
|journal=
( ayuda ) - ^ Bell, David Elliott (diciembre de 2005). "Mirando hacia atrás en el modelo Bell-LaPadula" (PDF) . Actas de la 21ª Conferencia Anual de Aplicaciones de Seguridad Informática . Tucson, Arizona, Estados Unidos. págs. 337–351. doi : 10.1109 / CSAC.2005.37 . Diapositivas: retrospectiva del modelo Bell-LaPadula Archivado el 8 de junio de 2008 en la Wayback Machine.
- ^ Landwehr, Carl (septiembre de 1981). "Modelos formales para la seguridad informática" (PDF) . Encuestas de computación ACM . 13 (3): 8, 11, 247–278. doi : 10.1145 / 356850.356852 . ISSN 0360-0300 .
- ^ Sandhu, Ravi S. (1994). "Controles de acceso a bases de datos relacionales". Manual de gestión de la seguridad de la información (Anuario 1994-95) . Editores Auerbach. págs. 145-160. S2CID 18270922 .
Referencias
- Obispo, Matt (2003). Seguridad informática: arte y ciencia . Boston: Addison Wesley.
- Krutz, Ronald L .; Russell Dean Vines (2003). La guía de preparación CISSP (Gold ed.). Indianápolis, Indiana: Wiley Publishing.
- McLean, John (1994). "Modelos de seguridad". Enciclopedia de Ingeniería de Software . 2 . Nueva York: John Wiley & Sons, Inc. págs. 1136-1145.