Modelo Bell-LaPadula

El modelo Bell-LaPadula (BLP) es un modelo de máquina de estados utilizado para hacer cumplir el control de acceso en aplicaciones gubernamentales y militares. Fue desarrollado por David Elliott Bell, Lasini Minsarani y Leonard J. LaPadula, luego de una fuerte orientación de Roger R. Schell, para formalizar la política de seguridad multinivel (MLS) del Departamento de Defensa (DoD) de los EE. UU. El modelo es un modelo formal de transición de estado de política de seguridad informática que describe un conjunto de reglas de control de acceso que utilizan etiquetas de seguridad en objetos y autorizaciones para sujetos. Las etiquetas de seguridad van desde las más confidenciales (p. ej., "Alto secreto") hasta las menos confidenciales (p. ej., "Sin clasificar" o "Público").

El modelo Bell-LaPadula es un ejemplo de un modelo en el que no existe una distinción clara entre protección y seguridad.

Características

El modelo Bell-LaPadula se centra en la confidencialidad de los datos y el acceso controlado a información clasificada, en contraste con el modelo de integridad Biba, que describe reglas para la protección de la integridad de los datos. En este modelo formal, las entidades de un sistema de información se dividen en sujetos y objetos. La noción de "Estado seguro" se define y se demuestra que cada transición de estado preserva la seguridad al pasar de un estado seguro a otro, demostrando así inductivamente que el sistema satisface los objetivos de seguridad del modelo. El modelo Bell-LaPadula se basa en el concepto de máquina de estados con un conjunto de estados permitidos en un sistema informático. La transición de un estado a otro está definida por funciones de transición. Un estado del sistema se define como "seguro"; si los únicos modos de acceso permitidos a los sujetos a los objetos son conformes a una política de seguridad. Para determinar si se permite un modo de acceso específico, se compara la autorización de un sujeto con la clasificación del objeto (más precisamente, con la combinación de clasificación y conjunto de compartimentos que componen el nivel de seguridad). para determinar si el sujeto está autorizado para el modo de acceso específico. El esquema de autorización/clasificación se expresa en términos de una red. El modelo define una regla de control de acceso discrecional (DAC) y dos reglas de control de acceso obligatorio (MAC) con tres propiedades de seguridad:

1. The Simple Security Property states that a subject at a given security level may not read an object at a higher security level.
2. The * (Star) Security Property states that a subject at a given security level may not write to any object at a lower security level.
3. La propiedad de seguridad discrecional utiliza una matriz de acceso para especificar el control de acceso discrecional.

La transferencia de información de un documento de alta sensibilidad a un documento de menor sensibilidad puede ocurrir en el modelo Bell-LaPadula a través del concepto de sujetos confiables. Los sujetos de confianza no están restringidos por la propiedad Star. Se debe demostrar que los sujetos de confianza son dignos de confianza con respecto a la política de seguridad.

El modelo de seguridad Bell-LaPadula está dirigido al control de acceso y se caracteriza por la frase "escribir, leer" (WURD). Compare el modelo Biba, el modelo Clark-Wilson y el modelo de la Muralla China.

Con Bell–LaPadula, los usuarios pueden crear contenido sólo en o por encima de su propio nivel de seguridad (es decir, los investigadores secretos pueden crear archivos secretos o de alto secreto, pero no pueden crear archivos públicos; no se pueden escribir). Por el contrario, los usuarios pueden ver contenido sólo en su propio nivel de seguridad o por debajo de él (es decir, los investigadores secretos pueden ver archivos públicos o secretos, pero no pueden ver archivos ultrasecretos; no pueden leerse).

El modelo Bell-LaPadula definió explícitamente su alcance. No trató extensamente lo siguiente:

• Canales cubiertos. Se describió brevemente el paso de información a través de acciones preorganizadas.
• Redes de sistemas. El trabajo de modelado posterior se ocupó de este tema.
• Políticas fuera de la seguridad multinivel. El trabajo a principios del decenio de 1990 mostró que el MLS es una versión de las políticas booleanas, al igual que todas las demás políticas publicadas.

Propiedad estrella fuerte

La propiedad Strong Star es una alternativa a la propiedad *, en la que los sujetos pueden escribir en objetos que solo tengan un nivel de seguridad coincidente. Por lo tanto, la operación de escritura permitida en la propiedad * habitual no está presente, solo una operación de escritura en el mismo. La propiedad Strong Star generalmente se analiza en el contexto de sistemas de gestión de bases de datos multinivel y está motivada por preocupaciones de integridad. Esta propiedad de estrella fuerte se anticipó en el modelo Biba, donde se demostró que una integridad fuerte en combinación con el modelo Bell-LaPadula daba como resultado la lectura y la escritura en un solo nivel.

Principio de tranquilidad

El principio de tranquilidad del modelo Bell-LaPadula establece que la clasificación de un sujeto u objeto no cambia mientras se hace referencia a él. El principio de tranquilidad tiene dos formas: el "principio de tranquilidad fuerte" establece que los niveles de seguridad no cambian durante el funcionamiento normal del sistema. El "principio de tranquilidad débil" establece que los niveles de seguridad nunca pueden cambiar de tal manera que violen una política de seguridad definida. La tranquilidad débil es deseable ya que permite que los sistemas observen el principio de privilegio mínimo. Es decir, los procesos comienzan con un nivel de autorización bajo independientemente de la autorización de sus propietarios, y progresivamente acumulan niveles de autorización más altos a medida que las acciones lo requieren.

Limitaciones

• Sólo aborda la confidencialidad, el control de la escritura (una forma de integridad), *-propiedad y control de acceso discrecional
• Se mencionan los canales de cobertura pero no se abordan exhaustivamente
• El principio de tranquilidad limita su aplicabilidad a sistemas donde los niveles de seguridad no cambian dinámicamente. Permite la copia controlada de alta a baja vía sujetos de confianza. [Ed. No muchos sistemas que utilizan BLP incluyen cambios dinámicos en los niveles de seguridad de objetos.]