Модель Белла – ЛаПадулы - Bell–LaPadula model

В Модель Белла – ЛаПадулы (BLP) это Государственный аппарат модель, используемая для принуждения контроль доступа в правительственных и военных приложениях.[1] Его разработал Дэвид Эллиот Белл. [2] и Леонард Дж. ЛаПадула, после сильного руководства со стороны Роджер Р. Шелл, чтобы формализовать Министерство обороны США (МО) многоуровневая безопасность (MLS) политика.[3][4][5] Модель формальная модель перехода состояний из политика компьютерной безопасности который описывает набор правил контроля доступа, которые используют метки безопасности на объектах и ​​разрешения для субъектов. Метки безопасности варьируются от наиболее важных (например, «Совершенно секретно») до наименее конфиденциальных (например, «Несекретно» или «Общедоступно»).

Модель Белла – ЛаПадулы является примером модели, в которой нет четкого различие между защитой и безопасностью.[6]

Функции

Модель Белла – ЛаПадула фокусируется на данных конфиденциальность и контролируемый доступ к классифицированная информация, в отличие от Модель честности Биба в котором описаны правила защиты целостность данных. В этой формальной модели сущности в информационная система делятся на предметы и объекты. Понятие "безопасное состояние "определено, и доказано, что каждый переход состояния сохраняет безопасность путем перехода из безопасного состояния в безопасное состояние, тем самым индуктивно доказательство того, что система удовлетворяет целям безопасности модели. Модель Белла – ЛаПадула построена на концепции Государственный аппарат с набором допустимых состояний в компьютерной системе. Переход из одного состояния в другое состояние определяется функциями перехода.

Состояние системы определяется как «безопасное», если единственные разрешенные режимы доступа субъектов к объектам соответствуют политика безопасности. Чтобы определить, разрешен ли конкретный режим доступа, уровень доступа субъекта сравнивается с классификацией объекта (точнее, с комбинацией классификации и набора отделений, составляющих уровень безопасности), чтобы определить, авторизован ли субъект для конкретного режима доступа. Схема зазора / классификации выражается в виде решетки. Модель определяет один дискреционный контроль доступа (DAC) правило и два принудительный контроль доступа (MAC) правила с тремя свойствами безопасности:

  1. Свойство Simple Security заявляет, что субъект на данном уровне безопасности не может читать объект на более высоком уровне безопасности.
  2. Свойство безопасности * (звездочка) указывает, что субъект с заданным уровнем безопасности не может писать ни в один объект с более низким уровнем безопасности.
  3. Собственность дискреционного обеспечения использует матрица доступа указать дискреционный контроль доступа.

Перенос информации из высокочувствительного документа в менее чувствительный может происходить в модели Белла – ЛаПадулы через концепцию доверенных субъектов. Доверенные субъекты не ограничиваются звездой. Необходимо продемонстрировать, что доверенные субъекты заслуживают доверия в отношении политики безопасности.

Модель безопасности Bell-LaPadula направлена ​​на управление доступом и характеризуется фразой «записать, прочитать» (WURD). Сравните Биба модель, то Модель Кларка-Уилсона, а Китайская стена модель.

С Bell-LaPadula пользователи могут создавать контент только на уровне или выше их собственного уровня безопасности (то есть секретные исследователи могут создавать секретные или сверхсекретные файлы, но не могут создавать общедоступные файлы; без записи). И наоборот, пользователи могут просматривать контент только на своем уровне безопасности или ниже (т. Е. Секретные исследователи могут просматривать общедоступные или секретные файлы, но не могут просматривать сверхсекретные файлы; без чтения).

Модель Белла – ЛаПадула явно определила сферу ее применения. Он не лечил широко:

  • Скрытые каналы. Кратко описана передача информации с помощью заранее подготовленных действий.
  • Сети систем. Более поздние работы по моделированию действительно затрагивали эту тему.
  • Политики вне многоуровневой безопасности. Работы начала 1990-х показали, что MLS это одна из версий логические политики, как и все другие опубликованные политики.

Сильная звездная собственность

Свойство Strong Star является альтернативой * -Property, в котором субъекты могут писать в объекты только с соответствующим уровнем безопасности. Таким образом, операция записи, разрешенная в обычном * -Property, отсутствует, а только операция записи в одно и то же. Свойство Strong Star обычно обсуждается в контексте многоуровневого системы управления базами данных и мотивируется соображениями честности.[7] Этот Сильная звездная собственность ожидалось в Биба модель где было показано, что сильная целостность в сочетании с моделью Белла – ЛаПадулы приводит к чтению и письму на одном уровне.

Принцип спокойствия

Принцип спокойствия модели Белла – ЛаПадулы гласит, что классификация субъекта или объекта не меняется, пока на него ссылаются. Есть две формы принципа спокойствия: «принцип сильного спокойствия» гласит, что уровни безопасности не меняются во время нормальной работы системы. «Принцип слабого спокойствия» гласит, что уровни безопасности никогда не могут измениться таким образом, чтобы нарушить определенную политику безопасности. Слабое спокойствие желательно, поскольку оно позволяет системам наблюдать принцип наименьших привилегий. То есть процессы начинаются с низкого уровня допуска, независимо от допуска их владельцев, и постепенно накапливают более высокие уровни допуска по мере того, как этого требуют действия.

Ограничения

  • Рассматривается только конфиденциальность, контроль записи (одна из форм целостности), * -свойство и дискреционный контроль доступа
  • Скрытые каналы упоминаются, но не рассматриваются всесторонне
  • Принцип спокойствия ограничивает его применимость к системам, в которых уровни безопасности не меняются динамически. Это позволяет осуществлять контролируемое копирование с высокого уровня на низкий через доверенных субъектов. [Ред. Не многие системы используют

Смотрите также

Примечания

  1. ^ Ханше, Сьюзен; Джон Берти; Крис Хэйр (2003). Официальное (ISC) 2 Руководство по экзамену CISSP. CRC Press. стр.104. ISBN  978-0-8493-1707-1.
  2. ^ Дэвид Эллиотт Белл, интервью по устной истории, 24 сентября 2012 г. Институт Чарльза Бэббиджа, Университет Миннесоты]
  3. ^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1973). «Безопасные компьютерные системы: математические основы» (PDF). Корпорация МИТЕР. Архивировано из оригинал (PDF) на 2006-06-18. Получено 2006-04-20. Цитировать журнал требует | журнал = (помощь)
  4. ^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1976). «Безопасная компьютерная система: единое представление и интерпретация мультиков» (PDF). Корпорация МИТЕР. Цитировать журнал требует | журнал = (помощь)
  5. ^ Белл, Дэвид Эллиотт (декабрь 2005 г.). «Оглядываясь на модель Белла-Лападулы» (PDF). Материалы 21-й ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США. С. 337–351. Дои:10.1109 / CSAC.2005.37. Слайды - Оглядываясь на модель Белла-Лападулы В архиве 8 июня 2008 г. Wayback Machine
  6. ^ Ландвер, Карл (сентябрь 1981). «Формальные модели компьютерной безопасности» (PDF). Опросы ACM Computing. 13 (3): 8, 11, 247–278. Дои:10.1145/356850.356852. ISSN  0360-0300.
  7. ^ Сандху, Рави С. (1994). «Контроль доступа к реляционным базам данных». Справочник по управлению информационной безопасностью (Ежегодник 1994-95). Издательство Auerbach. С. 145–160. S2CID  18270922.

Рекомендации

  • Епископ, Мэтт (2003). Компьютерная безопасность: искусство и наука. Бостон: Эддисон Уэсли.
  • Krutz, Ronald L .; Рассел Дин Вайнс (2003). Руководство по подготовке к CISSP (Золотая ред.). Индианаполис, Индиана: издательство Wiley Publishing.
  • Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии. 2. Нью-Йорк: John Wiley & Sons, Inc., стр. 1136–1145.