Modelo de Bell-LaPadula

Modelo de máquina de estados utilizado para aplicar el control de acceso en aplicaciones gubernamentales y militares

El modelo Bell-LaPadula ( BLP ) es un modelo de máquina de estados utilizado para aplicar el control de acceso en aplicaciones gubernamentales y militares. ^[1] Fue desarrollado por David Elliott Bell , ^[2] y Leonard J. LaPadula, luego de una fuerte guía de Roger R. Schell , para formalizar la política de seguridad multinivel (MLS) del Departamento de Defensa de los EE. UU. [ 3 ^{] [4] [5]} El modelo es un modelo de transición de estado formal de la política de seguridad informática que describe un conjunto de reglas de control de acceso que utilizan etiquetas de seguridad en objetos y autorizaciones para sujetos. Las etiquetas de seguridad van desde las más sensibles (por ejemplo, "Alto secreto"), hasta las menos sensibles (por ejemplo, "Sin clasificar" o "Público").

El modelo Bell-LaPadula es un ejemplo de un modelo en el que no existe una distinción clara entre protección y seguridad . ^[6]

Características

El modelo Bell–LaPadula se centra en la confidencialidad de los datos y el acceso controlado a la información clasificada , en contraste con el Modelo de Integridad de Biba que describe reglas para la protección de la integridad de los datos . En este modelo formal, las entidades de un sistema de información se dividen en sujetos y objetos. Se define la noción de un " estado seguro " y se demuestra que cada transición de estado preserva la seguridad al pasar de un estado seguro a otro, demostrando así de manera inductiva que el sistema satisface los objetivos de seguridad del modelo. ^{[7] : 34} El modelo Bell–LaPadula se basa en el concepto de una máquina de estados con un conjunto de estados permitidos en un sistema informático. La transición de un estado a otro se define mediante funciones de transición. Un estado del sistema se define como "seguro" si los únicos modos de acceso permitidos de los sujetos a los objetos están de acuerdo con una política de seguridad . Para determinar si se permite un modo de acceso específico, la autorización de un sujeto se compara con la clasificación del objeto (más precisamente, con la combinación de clasificación y conjunto de compartimentos que componen el nivel de seguridad ) para determinar si el sujeto está autorizado para el modo de acceso específico. El esquema de autorización/clasificación se expresa en términos de un orden parcial. El modelo define una regla de control de acceso discrecional (DAC) y dos reglas de control de acceso obligatorio (MAC) con tres propiedades de seguridad:

1. La propiedad de seguridad simple establece que un sujeto con un nivel de seguridad determinado no puede leer un objeto con un nivel de seguridad superior.
2. La propiedad de seguridad * (Estrella) establece que un sujeto con un nivel de seguridad determinado no puede escribir en ningún objeto con un nivel de seguridad inferior.
3. La propiedad de seguridad discrecional utiliza una matriz de acceso para especificar el control de acceso discrecional.

La transferencia de información de un documento de alta sensibilidad a un documento de menor sensibilidad puede ocurrir en el modelo Bell-LaPadula a través del concepto de sujetos confiables. Los sujetos confiables no están restringidos por la propiedad Star. Se debe demostrar que son confiables con respecto a la política de seguridad.

El modelo de seguridad Bell-LaPadula está orientado al control de acceso y se caracteriza por la frase "escribir hacia arriba, leer hacia abajo" (WURD). Compárese con el modelo Biba , el modelo Clark-Wilson y el modelo de la Muralla China .

Con Bell-LaPadula, los usuarios pueden crear contenido solo en su propio nivel de seguridad o por encima de él (es decir, los investigadores secretos pueden crear archivos secretos o de alto secreto, pero no pueden crear archivos públicos; no se puede escribir). Por el contrario, los usuarios pueden ver contenido solo en su propio nivel de seguridad o por debajo de él (es decir, los investigadores secretos pueden ver archivos públicos o secretos, pero no pueden ver archivos de alto secreto; no se puede leer).

El modelo Bell-LaPadula definió explícitamente su alcance, pero no abordó en profundidad los siguientes aspectos:

• Canales encubiertos . Se describió brevemente la transmisión de información mediante acciones preestablecidas.
• Redes de sistemas. Trabajos de modelado posteriores abordaron este tema.
• Políticas fuera de la seguridad multinivel. El trabajo realizado a principios de los años 1990 demostró que MLS es una versión de las políticas booleanas, al igual que todas las demás políticas publicadas.

Propiedad de estrella fuerte

La propiedad Strong Star es una alternativa a la propiedad *, en la que los sujetos pueden escribir en objetos con solo un nivel de seguridad coincidente. Por lo tanto, la operación de escritura permitida en la propiedad * habitual no está presente, solo una operación de escritura en el mismo. La propiedad Strong Star suele analizarse en el contexto de los sistemas de gestión de bases de datos multinivel y está motivada por preocupaciones de integridad. ^[8] Esta propiedad Strong Star se anticipó en el modelo Biba , donde se demostró que la integridad fuerte en combinación con el modelo Bell–LaPadula dio como resultado lectura y escritura en un solo nivel.

Principio de tranquilidad

El principio de tranquilidad del modelo Bell-LaPadula establece que la clasificación de un sujeto u objeto no cambia mientras se hace referencia a él. Hay dos formas del principio de tranquilidad: el "principio de tranquilidad fuerte" establece que los niveles de seguridad no cambian durante el funcionamiento normal del sistema. El "principio de tranquilidad débil" establece que los niveles de seguridad nunca pueden cambiar de manera tal que violen una política de seguridad definida. La tranquilidad débil es deseable ya que permite a los sistemas observar el principio del mínimo privilegio . Es decir, los procesos comienzan con un nivel de autorización bajo independientemente de la autorización de sus propietarios y acumulan progresivamente niveles de autorización más altos a medida que las acciones lo requieren.

Limitaciones

• Sólo aborda la confidencialidad, el control de la escritura (una forma de integridad), la propiedad * y el control de acceso discrecional.
• Se mencionan los canales encubiertos, pero no se abordan en profundidad.
• El principio de tranquilidad limita su aplicabilidad a sistemas en los que los niveles de seguridad no cambian dinámicamente. Permite la copia controlada de los niveles más altos a los más bajos a través de sujetos de confianza. [Ed. No muchos sistemas que utilizan BLP incluyen cambios dinámicos en los niveles de seguridad de los objetos.]

Véase también

• Espacio de aire (redes)
• Modelo de integridad de Biba
• Modelo de Clark-Wilson
• Control de acceso discrecional – DAC
• Modelo de Graham-Denning
• Control de acceso obligatorio – MAC
• Seguridad multinivel – MLS
• Modos de seguridad
• Modelo de protección de concesión de derechos

Notas

1. Hansche, Susan; John Berti; Chris Hare (2003). Guía oficial (ISC)2 para el examen CISSP. CRC Press. pp. 104. ISBN 978-0-8493-1707-1.
2. David Elliott Bell, Entrevista de historia oral, 24 de septiembre de 2012. Instituto Charles Babbage , Universidad de Minnesota
3. Bell, David Elliott y LaPadula, Leonard J. (1973). Secure Computer Systems: Mathematical Foundations (PDF) (Informe). MITRE Corporation. Archivado desde el original (PDF) el 2006-06-18 . Consultado el 2006-04-20 .
4. Bell, David Elliott y LaPadula, Leonard J. (1976). Secure Computer System: Unified Exposition and Multics Interpretation (PDF) (Informe). MITRE Corporation. Archivado desde el original (PDF) el 29 de agosto de 2008. Consultado el 25 de marzo de 2006 .
5. Bell, David Elliott (diciembre de 2005). "Una mirada retrospectiva al modelo Bell-LaPadula" (PDF) . Actas de la 21.ª Conferencia Anual sobre Aplicaciones de Seguridad Informática . Tucson, Arizona, EE. UU., págs. 337–351. doi :10.1109/CSAC.2005.37.Diapositivas - Una mirada retrospectiva al modelo Bell-LaPadula Archivado el 8 de junio de 2008 en Wayback Machine
6. Landwehr, Carl (septiembre de 1981). "Modelos formales para la seguridad informática" (PDF) . ACM Computing Surveys . 13 (3): 8, 11, 247–278. doi :10.1145/356850.356852. ISSN  0360-0300. S2CID  12863663.
7. R. Shirey (agosto de 2007). Glosario de seguridad en Internet, versión 2. Grupo de trabajo de redes. doi : 10.17487/RFC4949 . RFC 4949. Informativo.
8. Sandhu, Ravi S. (1994). "Controles de acceso a bases de datos relacionales". Manual de gestión de seguridad de la información (Anuario 1994-95) . Auerbach Publishers. págs. 145-160. S2CID  18270922.

Referencias

• Bishop, Matt (2003). Seguridad informática: arte y ciencia . Boston: Addison Wesley.
• Krutz, Ronald L.; Russell Dean Vines (2003). Guía de preparación para el examen CISSP (edición Gold). Indianápolis, Indiana: Wiley Publishing.
• McLean, John (1994). "Modelos de seguridad". Enciclopedia de ingeniería de software . Vol. 2. Nueva York: John Wiley & Sons, Inc., págs. 1136–1145.