Модель Белла – ЛаПадулы

Модель Белла-ЛаПадулы ( BLP ) — это модель конечного автомата, используемая для обеспечения контроля доступа в правительственных и военных приложениях. ^[1] Его разработал Дэвид Эллиот Белл . ^[2] и Леонард Дж. ЛаПадула, после сильного руководства Роджера Р. Шелла , формализовать Министерства обороны США (MLS ) политику многоуровневой безопасности . ^[3]^[4]^[5] Модель представляет собой формальную модель перехода состояний политики компьютерной безопасности , которая описывает набор правил контроля доступа, которые используют метки безопасности на объектах и разрешения для субъектов. Метки безопасности варьируются от самых конфиденциальных (например, «Совершенно секретно») до наименее конфиденциальных (например, «Несекретно» или «Общедоступно»).

Модель Белла-ЛаПадулы является примером модели, в которой нет четкого различия между защитой и безопасностью . ^[6]

Функции

Модель Белла-ЛаПадулы фокусируется на конфиденциальности данных и контролируемом доступе к секретной информации , в отличие от модели целостности Бибы , которая описывает правила защиты целостности данных . В этой формальной модели сущности информационной системы делятся на субъектов и объектов. Определено понятие « безопасного состояния » и доказано, что каждый переход между состояниями сохраняет безопасность путем перехода из безопасного состояния в безопасное состояние, тем самым индуктивно доказывая, что система удовлетворяет целям безопасности модели. ^[7]^: 34 Модель Белла-ЛаПадулы построена на концепции конечного автомата с набором допустимых состояний в компьютерной системе. Переход из одного состояния в другое определяется функциями перехода. Состояние системы считается «безопасным», если единственные разрешенные режимы доступа субъектов к объектам соответствуют политике безопасности . Чтобы определить, разрешен ли конкретный режим доступа, допуск субъекта сравнивается с классификацией объекта (точнее, с комбинацией классификации и набора отсеков, составляющих уровень безопасности ), чтобы определить, авторизован ли субъект. для конкретного режима доступа. Схема допуска/классификации выражается в виде решетки. Модель определяет одно правило дискреционного управления доступом (DAC) и два правила обязательного управления доступом (MAC) с тремя свойствами безопасности:

Простое свойство безопасности гласит, что субъект на данном уровне безопасности не может читать объект на более высоком уровне безопасности.
Свойство безопасности * (Звезда) указывает, что субъект на данном уровне безопасности не может писать в любой объект с более низким уровнем безопасности.
Свойство дискреционной безопасности использует матрицу доступа для определения дискреционного управления доступом.

Передача информации из документа с высокой конфиденциальностью в документ с более низкой конфиденциальностью может происходить в модели Белла – ЛаПадулы с использованием концепции доверенных субъектов. Доверенные субъекты не ограничены собственностью Star. Доверенные субъекты должны быть продемонстрированы как заслуживающие доверия в отношении политики безопасности.

Модель безопасности Белла – ЛаПадулы направлена на контроль доступа и характеризуется фразой «запись, чтение вниз» (WURD). Сравните модель Бибы , модель Кларка-Уилсона и модель китайской стены .

С помощью Bell-LaPadula пользователи могут создавать контент только на своем уровне безопасности или выше (т. е. исследователи секретов могут создавать секретные или сверхсекретные файлы, но не могут создавать общедоступные файлы; никаких списаний). И наоборот, пользователи могут просматривать контент только на своем уровне безопасности или ниже (т. е. исследователи секретов могут просматривать общедоступные или секретные файлы, но не могут просматривать сверхсекретные файлы; чтение запрещено).

Модель Белла-ЛаПадулы явно определила сферу ее применения. В нем не рассматривались широко следующие вопросы:

Скрытые каналы . Кратко описана передача информации посредством заранее оговоренных действий.
Сети систем. Более поздние работы по моделированию действительно затрагивали эту тему.
Политики вне многоуровневой безопасности. Работа начала 1990-х годов показала, что MLS — это одна из версий логических политик , как и все другие опубликованные политики.

Сильная звездная недвижимость

Свойство Strong Star является альтернативой свойству *, при котором субъекты могут писать в объекты только с соответствующим уровнем безопасности. Таким образом, операция записи, разрешенная в обычном *-свойстве, отсутствует, есть только операция записи в то же самое. Свойство «Сильная звезда» обычно обсуждается в контексте многоуровневых систем управления базами данных и мотивируется соображениями целостности. ^[8] Это свойство сильной звезды было предусмотрено в модели Биба , где было показано, что сильная целостность в сочетании с моделью Белла – ЛаПадулы приводит к чтению и письму на одном уровне.

Принцип спокойствия

Принцип спокойствия модели Белла-ЛаПадулы гласит, что классификация субъекта или объекта не меняется, пока на него ссылаются. Существует две формы принципа спокойствия: «принцип сильного спокойствия» гласит, что уровни безопасности не меняются во время нормальной работы системы. «Принцип слабого спокойствия» гласит, что уровни безопасности никогда не могут меняться таким образом, чтобы нарушать определенную политику безопасности. Слабое спокойствие желательно, поскольку оно позволяет системам соблюдать принцип наименьших привилегий . То есть процессы начинаются с низкого уровня допуска независимо от уровня допуска их владельца и постепенно накапливают более высокие уровни допуска по мере того, как этого требуют действия.

Ограничения

Рассматриваются только конфиденциальность, контроль записи (одна из форм целостности), *-свойство и дискреционный контроль доступа.
Тайные каналы упоминаются, но не рассматриваются всесторонне.
Принцип спокойствия ограничивает его применимость системами, в которых уровни безопасности не меняются динамически. Это позволяет контролировать копирование сверху вниз через доверенных субъектов. [Ред. Не многие системы, использующие BLP, включают динамические изменения уровней безопасности объектов.]

См. также

Примечания

^ Ханше, Сьюзен; Джон Берти; Крис Хэйр (2003). Официальное руководство (ISC)2 по экзамену CISSP . ЦРК Пресс. стр. 104 . ISBN 978-0-8493-1707-1 .
↑ Дэвид Эллиот Белл, Интервью по устной истории , 24 сентября 2012 г. Институт Чарльза Бэббиджа , Университет Миннесоты.
^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1973). Безопасные компьютерные системы: математические основы (PDF) (Отчет). Корпорация МИТЕР. Архивировано из оригинала (PDF) 18 июня 2006 г. Проверено 20 апреля 2006 г.
^ Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1976). Безопасная компьютерная система: унифицированная экспозиция и интерпретация мультиплексов (PDF) (отчет). Корпорация МИТЕР. Архивировано из оригинала (PDF) 29 августа 2008 г. Проверено 25 марта 2006 г.
^ Белл, Дэвид Эллиотт (декабрь 2005 г.). «Оглядываясь назад на модель Белла – ЛаПадулы» (PDF) . Материалы 21-й ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона, США. стр. 337–351. дои : 10.1109/CSAC.2005.37 . Слайды - Оглядываясь назад на модель Белла – ЛаПадулы. Архивировано 8 июня 2008 г. в Wayback Machine.
^ Ландвер, Карл (сентябрь 1981 г.). «Формальные модели компьютерной безопасности» (PDF) . Обзоры вычислительной техники ACM . 13 (3): 8, 11, 247–278. дои : 10.1145/356850.356852 . ISSN 0360-0300 . S2CID 12863663 .
^ Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . Сетевая рабочая группа. дои : 10.17487/RFC4949 . РФК 4949 . Информационный.
^ Сандху, Рави С. (1994). «Управление доступом к реляционной базе данных». Справочник по управлению информационной безопасностью (Ежегодник 1994-95 гг.) . Издательство Ауэрбаха. стр. 145–160. S2CID 18270922 .

Ссылки

Бишоп, Мэтт (2003). Компьютерная безопасность: искусство и наука . Бостон: Эддисон Уэсли.
Круц, Рональд Л.; Рассел Дин Вайнс (2003). Руководство по подготовке к CISSP (золотое издание). Индианаполис, Индиана: Wiley Publishing.
Маклин, Джон (1994). «Модели безопасности». Энциклопедия программной инженерии . Том. 2. Нью-Йорк: John Wiley & Sons, Inc., стр. 1136–1145.

[:0-1] Ханше, Сьюзен; Джон Берти; Крис Хэйр (2003). Официальное руководство (ISC)2 по экзамену CISSP . ЦРК Пресс. стр. 104 . ISBN 978-0-8493-1707-1 .

[2] Дэвид Эллиот Белл, Интервью по устной истории , 24 сентября 2012 г. Институт Чарльза Бэббиджа , Университет Миннесоты.

[3] Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1973). Безопасные компьютерные системы: математические основы (PDF) (Отчет). Корпорация МИТЕР. Архивировано из оригинала (PDF) 18 июня 2006 г. Проверено 20 апреля 2006 г.

[4] Белл, Дэвид Эллиотт и ЛаПадула, Леонард Дж. (1976). Безопасная компьютерная система: унифицированная экспозиция и интерпретация мультиплексов (PDF) (отчет). Корпорация МИТЕР. Архивировано из оригинала (PDF) 29 августа 2008 г. Проверено 25 марта 2006 г.

[5] Белл, Дэвид Эллиотт (декабрь 2005 г.). «Оглядываясь назад на модель Белла – ЛаПадулы» (PDF) . Материалы 21-й ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона, США. стр. 337–351. дои : 10.1109/CSAC.2005.37 . Слайды - Оглядываясь назад на модель Белла – ЛаПадулы. Архивировано 8 июня 2008 г. в Wayback Machine.

[6] Ландвер, Карл (сентябрь 1981 г.). «Формальные модели компьютерной безопасности» (PDF) . Обзоры вычислительной техники ACM . 13 (3): 8, 11, 247–278. дои : 10.1145/356850.356852 . ISSN 0360-0300 . S2CID 12863663 .

[rfc4949-7] Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . Сетевая рабочая группа. дои : 10.17487/RFC4949 . РФК 4949 . Информационный.

[8] Сандху, Рави С. (1994). «Управление доступом к реляционной базе данных». Справочник по управлению информационной безопасностью (Ежегодник 1994-95 гг.) . Издательство Ауэрбаха. стр. 145–160. S2CID 18270922 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]