Modelo Bell-LaPadula

Modelo de máquina de estado utilizado para hacer cumplir el control de acceso en aplicaciones gubernamentales y militares.

El modelo Bell-LaPadula ( BLP ) es un modelo de máquina de estado utilizado para hacer cumplir el control de acceso en aplicaciones gubernamentales y militares. ^[1] Fue desarrollado por David Elliott Bell , ^[2] y Leonard J. LaPadula, luego de una fuerte orientación de Roger R. Schell , para formalizar la política de seguridad multinivel (MLS) del Departamento de Defensa (DoD) de EE. UU. ^{[3] [4] [5]} El modelo es un modelo formal de transición de estado de política de seguridad informática que describe un conjunto de reglas de control de acceso que utilizan etiquetas de seguridad en objetos y autorizaciones para sujetos. Las etiquetas de seguridad varían desde las más confidenciales (por ejemplo, "Alto Secreto") hasta las menos sensibles (por ejemplo, "Sin clasificar" o "Público").

El modelo Bell-LaPadula es un ejemplo de un modelo en el que no existe una distinción clara entre protección y seguridad . ^[6]

Características

El modelo Bell-LaPadula se centra en la confidencialidad de los datos y el acceso controlado a la información clasificada , en contraste con el modelo de integridad Biba que describe reglas para la protección de la integridad de los datos . En este modelo formal, las entidades de un sistema de información se dividen en sujetos y objetos. Se define la noción de " estado seguro " y se demuestra que cada transición de estado preserva la seguridad al pasar de un estado seguro a otro, demostrando así inductivamente que el sistema satisface los objetivos de seguridad del modelo. ^{[7] : 34} El modelo Bell-LaPadula se basa en el concepto de una máquina de estados con un conjunto de estados permitidos en un sistema informático. La transición de un estado a otro está definida por funciones de transición. Un estado del sistema se define como "seguro" si los únicos modos de acceso permitidos de los sujetos a los objetos están de acuerdo con una política de seguridad . Para determinar si se permite un modo de acceso específico, se compara la autorización de un sujeto con la clasificación del objeto (más precisamente, con la combinación de clasificación y conjunto de compartimentos que componen el nivel de seguridad ) para determinar si el sujeto está autorizado. para el modo de acceso específico. El esquema de autorización/clasificación se expresa en términos de una red. El modelo define una regla de control de acceso discrecional (DAC) y dos reglas de control de acceso obligatorio (MAC) con tres propiedades de seguridad:

1. La propiedad de seguridad simple establece que un sujeto en un nivel de seguridad determinado no puede leer un objeto en un nivel de seguridad superior.
2. La propiedad de seguridad * (Estrella) establece que un sujeto en un nivel de seguridad determinado no puede escribir en ningún objeto en un nivel de seguridad inferior.
3. La Propiedad de Seguridad Discrecional utiliza una matriz de acceso para especificar el control de acceso discrecional.

La transferencia de información de un documento de alta sensibilidad a un documento de menor sensibilidad puede ocurrir en el modelo Bell-LaPadula a través del concepto de sujetos confiables. Los sujetos de confianza no están restringidos por la propiedad Star. Se debe demostrar que los sujetos de confianza son dignos de confianza con respecto a la política de seguridad.

El modelo de seguridad Bell-LaPadula está dirigido al control de acceso y se caracteriza por la frase "escribir, leer" (WURD). Compare el modelo Biba , el modelo Clark-Wilson y el modelo de la Muralla China .

Con Bell–LaPadula, los usuarios pueden crear contenido sólo en su propio nivel de seguridad o por encima de él (es decir, los investigadores secretos pueden crear archivos secretos o de alto secreto, pero no pueden crear archivos públicos; no se pueden escribir). Por el contrario, los usuarios pueden ver contenido sólo en o por debajo de su propio nivel de seguridad (es decir, los investigadores secretos pueden ver archivos públicos o secretos, pero no pueden ver archivos ultrasecretos; no pueden leerse).

El modelo Bell-LaPadula definió explícitamente su alcance. No trató extensamente lo siguiente:

• Canales encubiertos . Se describió brevemente la transmisión de información a través de acciones preestablecidas.
• Redes de sistemas. El trabajo de modelado posterior abordó este tema.
• Políticas ajenas a la seguridad multinivel. El trabajo realizado a principios de la década de 1990 demostró que MLS es una versión de las políticas booleanas, como lo son todas las demás políticas publicadas.

Propiedad estrella fuerte

La propiedad Strong Star es una alternativa a la propiedad *, en la que los sujetos pueden escribir en objetos con solo un nivel de seguridad coincidente. Por lo tanto, la operación de escritura permitida en la propiedad * habitual no está presente, solo una operación de escritura en el mismo. La propiedad Strong Star generalmente se analiza en el contexto de sistemas de gestión de bases de datos multinivel y está motivada por preocupaciones de integridad. ^[8] Esta propiedad de estrella fuerte se anticipó en el modelo Biba , donde se demostró que una integridad fuerte en combinación con el modelo Bell-LaPadula dio como resultado la lectura y la escritura en un solo nivel.

Principio de tranquilidad

El principio de tranquilidad del modelo Bell-LaPadula establece que la clasificación de un sujeto u objeto no cambia mientras se hace referencia a él. El principio de tranquilidad tiene dos formas: el "principio de tranquilidad fuerte" establece que los niveles de seguridad no cambian durante el funcionamiento normal del sistema. El "principio de tranquilidad débil" establece que los niveles de seguridad nunca pueden cambiar de tal manera que violen una política de seguridad definida. La tranquilidad débil es deseable ya que permite que los sistemas observen el principio de privilegio mínimo . Es decir, los procesos comienzan con un nivel de autorización bajo independientemente de la autorización de sus propietarios, y progresivamente acumulan niveles de autorización más altos a medida que las acciones lo requieren.

Limitaciones

• Sólo aborda la confidencialidad, el control de la escritura (una forma de integridad), la propiedad y el control de acceso discrecional.
• Se mencionan los canales encubiertos pero no se abordan de manera exhaustiva
• El principio de tranquilidad limita su aplicabilidad a sistemas donde los niveles de seguridad no cambian dinámicamente. Permite la copia controlada de mayor a menor a través de sujetos de confianza. [Ed. No muchos sistemas que utilizan BLP incluyen cambios dinámicos en los niveles de seguridad de los objetos.]

Ver también

• Espacio de aire (redes)
• Modelo de integridad de Biba
• Modelo Clark-Wilson
• Control de acceso discrecional – DAC
• Modelo de Graham-Denning
• Control de acceso obligatorio – MAC
• Seguridad multinivel – MLS
• Modos de seguridad
• Modelo de protección de concesión

Notas

1. Hansche, Susan; Juan Berti; Chris Hare (2003). Guía oficial (ISC)2 para el examen CISSP. Prensa CRC. págs.104. ISBN 978-0-8493-1707-1.
2. David Elliott Bell, entrevista de historia oral, 24 de septiembre de 2012. Instituto Charles Babbage , Universidad de Minnesota
3. Bell, David Elliott y LaPadula, Leonard J. (1973). Sistemas informáticos seguros: fundamentos matemáticos (PDF) (Reporte). Corporación MITRE. Archivado desde el original (PDF) el 18 de junio de 2006 . Consultado el 20 de abril de 2006 .
4. Bell, David Elliott y LaPadula, Leonard J. (1976). Sistema informático seguro: exposición unificada e interpretación multics (PDF) (Reporte). Corporación MITRE. Archivado desde el original (PDF) el 29 de agosto de 2008 . Consultado el 25 de marzo de 2006 .
5. Bell, David Elliott (diciembre de 2005). "Una mirada retrospectiva al modelo Bell-LaPadula" (PDF) . Actas de la 21ª Conferencia anual sobre aplicaciones de seguridad informática . Tucson, Arizona, Estados Unidos. págs. 337–351. doi :10.1109/CSAC.2005.37.Diapositivas: una mirada retrospectiva al modelo Bell-LaPadula Archivado el 8 de junio de 2008 en Wayback Machine.
6. Landwehr, Carl (septiembre de 1981). "Modelos formales de seguridad informática" (PDF) . Encuestas de Computación ACM . 13 (3): 8, 11, 247–278. doi :10.1145/356850.356852. ISSN  0360-0300. S2CID  12863663.
7. R. Shirey (agosto de 2007). Glosario de seguridad de Internet, versión 2. Grupo de trabajo de redes. doi : 10.17487/RFC4949 . RFC 4949. Informativo.
8. Sandhu, Ravi S. (1994). "Controles de acceso a bases de datos relacionales". Manual de gestión de la seguridad de la información (Anuario 1994-95) . Editorial Auerbach. págs. 145-160. S2CID  18270922.

Referencias

• Obispo, Matt (2003). Seguridad informática: arte y ciencia . Boston: Addison Wesley.
• Krutz, Ronald L.; Russell Dean Vines (2003). La guía de preparación de CISSP (edición dorada). Indianápolis, Indiana: Wiley Publishing.
• McLean, John (1994). "Modelos de seguridad". Enciclopedia de Ingeniería de Software . vol. 2. Nueva York: John Wiley & Sons, Inc. págs. 1136-1145.