Modelo Bell–LaPadula

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

O modelo Bell-LaPadula (abreviado BLP) é um modelo de máquina de estado usada para impor o controle de acesso em aplicações de governo e militares.[1] O modelo foi desenvolvido por David Elliott Bell e Leonard J. LaPadula, funcionários da empresa MITRE Corporation, após a forte orientação de Roger R. Schell para formalizar a apólice de segurança de múltiplos níveis (MLS) do Departamento de Defesa dos EUA (DoD).[2] [3] [4] Este modelo formal de transição de estado para políticas de segurança de computador descreve um conjunto de regras de controle de acesso que utiliza etiquetas de segurança em objetos e autorizações para os indivíduos. A faixa de abrangência das etiquetas de segurança vai desde a mais sensível ("Top Secret", por exemplo), até a menos sensível (por exemplo, "não classificados" ou "Público").

O modelo Bell-LaPadula é um exemplo de um modelo onde não há uma clara distinção entre proteção e segurança.[5]


Características[editar | editar código-fonte]

O modelo Bell-LaPadula centra-se na confidencialidade dos dados e controle de acesso à informação classificada, em contraste com o modelo Biba de integridade, que descreve as regras para a proteção da integridade dos dados. Neste modelo formal, as entidades em um sistema de informação são divididas em sujeitos e objetos. A noção de um "estado seguro" é definida e está provada que cada transição de estado preserva a segurança ao passar de um estado seguro para outro estado seguro, assim, por indução matemática, provando que o sistema atende aos objetivos de segurança do modelo. O modelo Bell-LaPadula é construído sobre o conceito de uma máquina de estados finitos com um conjunto de estados permitidos em um sistema de rede de computadores. A transição de um estado para outro é definida por funções de transição.

Um estado do sistema é definido como "seguro" se apenas os modos de acesso permitidos entre sujeitos e objetos estão em conformidade com uma política de segurança. Para determinar se um modo de acesso específico é permitido, o despacho de um sujeito é comparado com a classificação do objeto (mais precisamente, a combinação de classificação e um conjunto de compartimentos, tornando-se o nível de segurança) para determinar se o sujeito é autorizado para o modo de acesso específico. O esquema de apuramento/classificação é expresso em termos de uma treliça/matrix. O modelo define duas regras de controle de acesso obrigatório (MAC) e uma regra de controle de acesso discricionário (DAC) com três propriedades de segurança:

  1. Propriedade de Segurança Simples - um sujeito em um dado nível de segurança não pode ler um objeto com um nível de segurança mais alto (não ler-para-cima).
  2. A Propriedade-★ (leia-se propriedade-estrela) - um sujeito em um dado nível de segurança não deve escrever para qualquer objeto em um nível inferior de segurança (não escrever-para-abaixo). A Propriedade-★ também é conhecida como a propriedade de confinamento.
  3. A Propriedade de Segurança Discricionária - utiliza uma matriz de acesso para especificar o controle de acesso discricionário.

A transferência de informações de um documento de alta sensibilidade para um documento menor sensibilidade pode acontecer no modelo Bell-LaPadula através do conceito de assuntos confiáveis. Sujeitos confiáveis não são restringidas pela Propriedade-★. Assuntos não confiáveis ​​são. Sujeitos confiáveis devem ser mostrados como confiáveis no que diz respeito à política de segurança. Esse modelo de segurança é direcionado para controle de acesso e é caracterizado pela frase: "não leia-para-cima, não escreva-para-baixo". Compare o modelo Biba, o modelo Clark-Wilson e o modelo Muralha Chinesa.

Com Bell-LaPadula, os usuários podem criar conteúdo apenas em ou acima de seu nível de segurança própria (isto é, pesquisadores pode criar arquivos secretos ou ultra-secreto, mas não podem criar arquivos públicos; não escrever-para-baixo). Por outro lado, os usuários podem visualizar o conteúdo apenas em ou abaixo de seu nível de segurança próprios (pesquisadores secretos podem visualizar arquivos públicos ou secretos, mas não podem ver os arquivos ultra-secretos, sem ler-para-cima).

O modelo Bell-LaPadula define seu escopo explicitamente. Ele não trata extensivamente os seguintes pontos:

  • Canais secretos. A passagem de informação através de ações pré-arranjadas foi ligeiramente descrita.
  • As redes de sistemas. Trabalho de modelagem mais tarde abordou este tema.
  • Políticas fora da segurança multi-nível. Trabalhos no início de 1990 mostraram que MLS é uma versão de política booleana, assim como todas as outras políticas publicadas.


Propriedade-★ Forte[editar | editar código-fonte]

A Propriedade-★ Forte é uma alternativa à Propriedade-★, na qual os participantes podem escrever para objetos que tenham um nível de segurança correspondente. Assim, a operação de escrever-para-cima, permitida na Propriedade-★ usual, não está presente e apenas é permitida uma operação escrever-para-o-mesmo. A Propriedade-★ Forte é normalmente discutida no contexto de sistema de gerenciamento de banco de dados multinível e é motivada por preocupações de integridade. [6] . Esta Propriedade ★ Forte foi antecipada no modelo Biba onde foi mostrado que a integridade forte em combinação com o modelo Bell-LaPadula resultou em leitura e escrita em um único nível.

Princípio da Tranquilidade[editar | editar código-fonte]

O Princípio da Tranquilidade do Modelo Bell-LaPadula enuncia que a classificação de um sujeito ou objeto não muda enquanto ele estiver sendo referenciado. Existem duas formas para o Princípio da Tranquilidade: o "princípio tranqüilidade forte ", que afirma que os níveis de segurança não mudam durante a operação normal do sistema; e o "princípio da tranquilidade fraca", que afirma que os níveis de segurança nunca podem mudar de tal forma a violar uma política de segurança definida. Tranquilidade fraca é desejável, pois permite aos sistemas observar o princípio do menor privilégio. Ou seja, os processos começam com um nível baixo, independentemente de seu proprietário, e progressivamente adquirem níveis mais elevados a medida que as ações requerem.

Limitações[editar | editar código-fonte]

  • Trata apenas de confidencialidade, controle da escrita (uma forma de integridade), propriedade-★ e controle de acesso seleto
  • Canais secretos são mencionados, mas não são abordados de maneira abrangente
  • O Princípio da Tranquilidade limita a sua aplicabilidade a sistemas onde os níveis de segurança não mudam dinamicamente, o que permite a cópia controlada de cima para baixo através sujeitos confiáveis.

Veja também[editar | editar código-fonte]

Notas[editar | editar código-fonte]

  1. Hansche, Susan; John Berti, Chris Hare. Official (ISC)2 Guide to the CISSP Exam. [S.l.]: CRC Press, 2003. 104 pp. ISBN 9780849317071 (em inglês).
  2. "[1]".
  3. "[2]".
  4. Bell, David Elliott (December 2005). "Looking Back at the Bell-LaPadula Model" (PDF em inglês). Proceedings of the 21st Annual Computer Security Applications Conference: 337–351. DOI:10.1109/CSAC.2005.37.  Slides - Looking Back at the Bell-LaPadula Model (em inglês)
  5. Landwehr, Carl. (September 1981). "Formal Models for Computer Security" (PDF em inglês). ACM Computing Surveys 13 (3): 8, 11, 247–278. New York: Association for Computing Machinery. ISSN 0360-0300.
  6. Sandhu, Ravi S. (1994). "Relational Database Access Controls" (PDF). Handbook of Information Security Management (1994-95 Yearbook): 145–160, Auerbach Publishers. Página visitada em 2006-08-12 (em inglês). 

Referências[editar | editar código-fonte]

  • Bishop, Matt. Computer Security: Art and Science. Boston: Addison Wesley, 2003 (em inglês).
  • Krutz, Ronald L.; Russell Dean Vines. The CISSP Prep Guide. Gold. ed. Indianapolis, Indiana: Wiley Publishing, 2003 (em inglês).
  • McLean, John (1994 (em inglês)). "Security Models". Encyclopedia of Software Engineering 2. New York: John Wiley & Sons, Inc. 1136–1145.