Модель Белла – ЛаПадулы

Модель Белла – ЛаПадулы ( BLP ) - это модель конечного автомата, используемая для обеспечения контроля доступа в правительственных и военных приложениях. ^[1] Он был разработан Дэвидом Эллиоттом Беллом ^[2] и Леонардом Дж. Лападулой после решительных указаний Роджера Р. Шелла для формализации политики многоуровневой безопасности (MLS) Министерства обороны США . ^[3]^[4]^[5] Модель представляет собой формальную модель перехода между состояниями политики компьютерной безопасности.который описывает набор правил управления доступом, которые используют метки безопасности на объектах и разрешения для субъектов. Метки безопасности варьируются от наиболее важных (например, «Совершенно секретно») до наименее конфиденциальных (например, «Несекретный» или «Общедоступный»).

Модель Белла – ЛаПадула является примером модели, в которой нет четкого различия между защитой и безопасностью . ^[6]

Особенности [ править ]

Модель Белла-ЛаПадула фокусируется на конфиденциальности данных и контролируемом доступе к секретной информации , в отличие от модели целостности Биба, которая описывает правила защиты целостности данных . В этой формальной модели сущности в информационной системе делятся на субъекты и объекты. Определено понятие « безопасное состояние », и доказано, что каждый переход состояния сохраняет безопасность, переходя из безопасного состояния в безопасное состояние, тем самым индуктивно доказывая, что система удовлетворяет целям безопасности модели. Модель Белла – ЛаПадулы построена на концепции конечного автомата.с набором допустимых состояний в компьютерной системе. Переход из одного состояния в другое определяется функциями перехода.

Состояние системы определяется как «безопасное», если единственные разрешенные режимы доступа субъектов к объектам соответствуют политике безопасности . Чтобы определить, разрешен ли конкретный режим доступа, уровень доступа субъекта сравнивается с классификацией объекта (точнее, с комбинацией классификации и набора разделов, составляющих уровень безопасности ), чтобы определить, авторизован ли субъект. для конкретного режима доступа. Схема зазора / классификации выражается в виде решетки. Модель определяет одно правило дискреционного контроля доступа (DAC) и два правила обязательного контроля доступа (MAC) с тремя свойствами безопасности:

Свойство Simple Security заявляет, что субъект на данном уровне безопасности не может читать объект на более высоком уровне безопасности.
Свойство безопасности * (звездочка) указывает, что субъект с заданным уровнем безопасности не может писать ни в один объект с более низким уровнем безопасности.
Свойство дискреционной безопасности использует матрицу доступа для определения дискреционного контроля доступа.

Передача информации из высокочувствительного документа в менее чувствительный может происходить в модели Белла – ЛаПадулы через концепцию доверенных субъектов. Доверенные субъекты не ограничиваются звездной собственностью. Доверенные субъекты должны быть продемонстрированы как заслуживающие доверия в отношении политики безопасности.

Модель безопасности Bell – LaPadula направлена на управление доступом и характеризуется фразой «записать, прочитать» (WURD). Сравните модель Biba , то модель Кларка-Вилсона , и китайская стена модель.

С Bell-LaPadula пользователи могут создавать контент только на уровне или выше их собственного уровня безопасности (т. Е. Секретные исследователи могут создавать секретные или сверхсекретные файлы, но не могут создавать общедоступные файлы; без записи). И наоборот, пользователи могут просматривать контент только на своем уровне безопасности или ниже (т. Е. Секретные исследователи могут просматривать общедоступные или секретные файлы, но не могут просматривать сверхсекретные файлы; без чтения).

Модель Белла – ЛаПадула явно определила сферу ее применения. Он не лечил широко:

Скрытые каналы . Кратко описана передача информации с помощью заранее подготовленных действий.
Сети систем. Более поздние работы по моделированию действительно затрагивали эту тему.
Политики вне многоуровневой безопасности. Работа в начале 1990-х годов показала, что MLS является одной из версий логических политик , как и все другие опубликованные политики.

Strong Star Property [ править ]

Свойство Strong Star является альтернативой * -Property, в котором субъекты могут писать в объекты только с соответствующим уровнем безопасности. Таким образом, операция записи, разрешенная в обычном * -Property, отсутствует, а только операция записи в одно и то же. Свойство Strong Star обычно обсуждается в контексте многоуровневых систем управления базами данных и мотивируется соображениями целостности. ^[7] Это свойство сильной звезды ожидалось в модели Биба, где было показано, что высокая целостность в сочетании с моделью Белла-ЛаПадулы приводит к чтению и письму на одном уровне.

Принцип спокойствия [ править ]

Принцип спокойствия модели Белла – ЛаПадулы гласит, что классификация субъекта или объекта не изменяется, пока на него ссылаются. Есть две формы принципа спокойствия: «принцип сильного спокойствия» гласит, что уровни безопасности не меняются во время нормальной работы системы. «Принцип слабого спокойствия» гласит, что уровни безопасности никогда не могут измениться таким образом, чтобы нарушить определенную политику безопасности. Слабое спокойствие желательно, поскольку оно позволяет системам соблюдать принцип наименьших привилегий . То есть процессы начинаются с низкого уровня допуска, независимо от допуска их владельцев, и постепенно накапливают более высокие уровни допуска по мере того, как этого требуют действия.

Ограничения [ править ]

Рассматривается только конфиденциальность, контроль записи (одна из форм целостности), * -свойство и дискреционный контроль доступа
Скрытые каналы упоминаются, но не рассматриваются всесторонне
Принцип спокойствия ограничивает его применимость к системам, в которых уровни безопасности не меняются динамически. Это позволяет осуществлять контролируемое копирование с высокого на низкое через доверенных субъектов. [Ред. Не многие системы, использующие BLP, включают динамические изменения уровней безопасности объектов.]

См. Также [ править ]

Модель честности Биба
Модель добросовестности Кларка-Уилсона
Дискреционный контроль доступа - DAC
Модель Грэма-Деннинга
Обязательный контроль доступа - MAC
Многоуровневая безопасность - MLS
Режимы безопасности работы
Модель защиты от взятия гранта
Воздушный зазор (сеть)

Заметки [ править ]

^ Hansche, Сьюзен; Джон Берти; Крис Хэйр (2003). Официальное (ISC) 2 Руководство по экзамену CISSP . CRC Press. С. 104 . ISBN 978-0-8493-1707-1.
↑ Дэвид Эллиотт Белл, Интервью по устной истории , 24 сентября 2012 г. Институт Чарльза Бэббиджа , Университет Миннесоты]
^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1973). «Безопасные компьютерные системы: математические основы» (PDF) . Корпорация МИТЕР. Архивировано из оригинального (PDF) 18 июня 2006 года . Проверено 20 апреля 2006 . Цитировать журнал требует |journal=( помощь )
^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1976). «Безопасная компьютерная система: единое представление и интерпретация мультиков» (PDF) . Корпорация МИТЕР. Цитировать журнал требует |journal=( помощь )
^ Белл, Дэвид Эллиотт (декабрь 2005 г.). «Оглядываясь назад на модель Белла – Лападулы» (PDF) . Материалы 21-й ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона, США. С. 337–351. DOI : 10,1109 / CSAC.2005.37 . Слайды - Оглядываясь на модель Белла – Лападулы. Архивировано 8 июня 2008 г. в Wayback Machine.
↑ Ландвер, Карл (сентябрь 1981). «Формальные модели компьютерной безопасности» (PDF) . ACM Computing Surveys . 13 (3): 8, 11, 247–278. DOI : 10.1145 / 356850.356852 . ISSN 0360-0300 .
^ Сандху, Рави С. (1994). «Контроль доступа к реляционным базам данных». Справочник по управлению информационной безопасностью (Ежегодник 1994-95) . Издательство Auerbach. С. 145–160. S2CID 18270922 .

Ссылки [ править ]

Епископ, Мэтт (2003). Компьютерная безопасность: искусство и наука . Бостон: Эддисон Уэсли.
Krutz, Ronald L .; Рассел Дин Вайнс (2003). Руководство по подготовке CISSP (Золотая ред.). Индианаполис, Индиана: издательство Wiley Publishing.
Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии . 2 . Нью-Йорк: John Wiley & Sons, Inc., стр. 1136–1145.

[1] Hansche, Сьюзен; Джон Берти; Крис Хэйр (2003). Официальное (ISC) 2 Руководство по экзамену CISSP . CRC Press. С. 104 . ISBN 978-0-8493-1707-1.

[2] Дэвид Эллиотт Белл, Интервью по устной истории , 24 сентября 2012 г. Институт Чарльза Бэббиджа , Университет Миннесоты]

[3] Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1973). «Безопасные компьютерные системы: математические основы» (PDF) . Корпорация МИТЕР. Архивировано из оригинального (PDF) 18 июня 2006 года . Проверено 20 апреля 2006 . Цитировать журнал требует |journal=( помощь )

[4] Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1976). «Безопасная компьютерная система: единое представление и интерпретация мультиков» (PDF) . Корпорация МИТЕР. Цитировать журнал требует |journal=( помощь )

[5] Белл, Дэвид Эллиотт (декабрь 2005 г.). «Оглядываясь назад на модель Белла – Лападулы» (PDF) . Материалы 21-й ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона, США. С. 337–351. DOI : 10,1109 / CSAC.2005.37 . Слайды - Оглядываясь на модель Белла – Лападулы. Архивировано 8 июня 2008 г. в Wayback Machine.

[6] Ландвер, Карл (сентябрь 1981). «Формальные модели компьютерной безопасности» (PDF) . ACM Computing Surveys . 13 (3): 8, 11, 247–278. DOI : 10.1145 / 356850.356852 . ISSN 0360-0300 .

[7] Сандху, Рави С. (1994). «Контроль доступа к реляционным базам данных». Справочник по управлению информационной безопасностью (Ежегодник 1994-95) . Издательство Auerbach. С. 145–160. S2CID 18270922 .

[1]