Modelo Bell – LaPadula - Bell–LaPadula model
O modelo Bell – LaPadula ( BLP ) é um modelo de máquina de estado usado para reforçar o controle de acesso em aplicações governamentais e militares. Foi desenvolvido por David Elliott Bell e Leonard J. LaPadula, após forte orientação de Roger R. Schell , para formalizar a política de segurança multinível (MLS) do Departamento de Defesa dos Estados Unidos (DoD) . O modelo é um modelo formal de transição de estado de política de segurança de computador que descreve um conjunto de regras de controle de acesso que usam rótulos de segurança em objetos e autorizações para assuntos. Os rótulos de segurança variam desde os mais sensíveis (por exemplo, "Top Secret"), até os menos sensíveis (por exemplo, "Não classificado" ou "Público").
O modelo Bell – LaPadula é um exemplo de modelo em que não há distinção clara entre proteção e segurança .
Características
O modelo Bell – LaPadula se concentra na confidencialidade dos dados e no acesso controlado a informações classificadas , em contraste com o Modelo de Integridade Biba, que descreve regras para a proteção da integridade dos dados . Nesse modelo formal, as entidades em um sistema de informação são divididas em sujeitos e objetos. A noção de um " estado seguro " é definida e está provado que cada transição de estado preserva a segurança, passando de um estado seguro para um estado seguro, provando assim indutivamente que o sistema satisfaz os objetivos de segurança do modelo. O modelo Bell – LaPadula é construído no conceito de uma máquina de estado com um conjunto de estados permitidos em um sistema de computador. A transição de um estado para outro é definida por funções de transição.
Um estado do sistema é definido como "seguro" se os únicos modos de acesso permitidos dos sujeitos aos objetos estiverem de acordo com uma política de segurança . Para determinar se um determinado modo de acesso é permitido, a liberação de um sujeito é comparada à classificação do objeto (mais precisamente, à combinação da classificação e do conjunto de compartimentos, compondo o nível de segurança ) para determinar se o sujeito está autorizado para o modo de acesso específico. O esquema de liberação / classificação é expresso em termos de uma rede. O modelo define uma regra de controle de acesso discricionário (DAC) e duas regras de controle de acesso obrigatório (MAC) com três propriedades de segurança:
- A Propriedade de Segurança Simples afirma que um sujeito em um determinado nível de segurança não pode ler um objeto em um nível de segurança superior.
- A propriedade de segurança * (estrela) afirma que um sujeito em um determinado nível de segurança não pode gravar em nenhum objeto em um nível de segurança inferior.
- A propriedade de segurança discricionária usa uma matriz de acesso para especificar o controle de acesso discricionário.
A transferência de informações de um documento de alta sensibilidade para um documento de baixa sensibilidade pode acontecer no modelo Bell – LaPadula por meio do conceito de assuntos confiáveis. Assuntos confiáveis não são restritos pela propriedade Star. Os Assuntos Confiáveis devem ser considerados confiáveis em relação à política de segurança.
O modelo de segurança Bell – LaPadula é direcionado ao controle de acesso e é caracterizado pela frase "escreva, leia" (WURD). Compare o modelo Biba , o modelo Clark – Wilson e o modelo Chinese Wall .
Com Bell – LaPadula, os usuários podem criar conteúdo apenas no nível de segurança ou acima dele (ou seja, pesquisadores secretos podem criar arquivos secretos ou ultrassecretos, mas não podem criar arquivos públicos; sem write-down). Por outro lado, os usuários podem visualizar o conteúdo apenas em ou abaixo do seu próprio nível de segurança (ou seja, os pesquisadores secretos podem visualizar arquivos públicos ou secretos, mas não podem visualizar arquivos ultrassecretos; sem leitura).
O modelo Bell – LaPadula definiu explicitamente seu escopo. Não tratou extensivamente o seguinte:
- Canais secretos . A transmissão de informações por meio de ações pré-estabelecidas foi brevemente descrita.
- Redes de sistemas. O trabalho de modelagem posterior abordou esse tópico.
- Políticas fora da segurança multinível. Um trabalho no início da década de 1990 mostrou que o MLS é uma versão das políticas booleanas , assim como todas as outras políticas publicadas.
Propriedade Strong Star
A propriedade Strong Star é uma alternativa à propriedade * -Propriedade, na qual os assuntos podem gravar em objetos com apenas um nível de segurança correspondente. Assim, a operação de write-up permitida na * -Property usual não está presente, apenas uma operação de write-to-same. A propriedade Strong Star é geralmente discutida no contexto de sistemas de gerenciamento de banco de dados multinível e é motivada por questões de integridade. Esta propriedade de estrela forte foi antecipada no modelo Biba, onde foi demonstrado que a integridade forte em combinação com o modelo Bell – LaPadula resultou em leitura e escrita em um único nível.
Princípio da tranquilidade
O princípio da tranquilidade do modelo Bell-LaPadula afirma que a classificação de um sujeito ou objeto não muda enquanto ele está sendo referenciado. Existem duas formas de princípio de tranquilidade: o "princípio de forte tranquilidade" afirma que os níveis de segurança não mudam durante a operação normal do sistema. O "princípio da tranquilidade fraca" afirma que os níveis de segurança nunca podem mudar de forma a violar uma política de segurança definida. A tranquilidade fraca é desejável, pois permite que os sistemas observem o princípio do menor privilégio . Ou seja, os processos começam com um nível de liberação baixo, independentemente da liberação de seus proprietários, e acumulam níveis de liberação mais elevados conforme as ações exigem.
Limitações
- Aborda apenas confidencialidade, controle da escrita (uma forma de integridade), * propriedade e controle de acesso discricionário
- Canais secretos são mencionados, mas não são abordados de forma abrangente
- O princípio da tranquilidade limita sua aplicabilidade a sistemas onde os níveis de segurança não mudam dinamicamente. Ele permite a cópia controlada de alto a baixo por meio de assuntos confiáveis. [Ed. Poucos sistemas que usam BLP incluem mudanças dinâmicas nos níveis de segurança do objeto.]
Veja também
- Modelo de Integridade Biba
- O Modelo de Integridade Clark-Wilson
- Controle de acesso discricionário - DAC
- Modelo Graham-Denning
- Controle de acesso obrigatório - MAC
- Segurança multinível - MLS
- Modos de operação de segurança
- Modelo de proteção take-grant
- Abertura de ar (rede)
Notas
Referências
- Bishop, Matt (2003). Segurança Informática: Arte e Ciência . Boston: Addison Wesley.
- Krutz, Ronald L .; Russell Dean Vines (2003). The CISSP Prep Guide (Gold ed.). Indianapolis, Indiana: Wiley Publishing.
- McLean, John (1994). "Modelos de Segurança". Enciclopédia de Engenharia de Software . 2 . Nova York: John Wiley & Sons, Inc. pp. 1136–1145.