Modelo Bell–LaPadula

O modelo Bell-LaPadula (abreviado BLP) é um modelo de máquina de estado usada para impor o controle de acesso em aplicações de governo e militares.[1] O modelo foi desenvolvido por David Elliott Bell e Leonard J. LaPadula, funcionários da empresa MITRE Corporation, após a forte orientação de Roger R. Schell para formalizar a apólice de segurança de múltiplos níveis (MLS) do Departamento de Defesa dos EUA (DoD).[2][3][4] Este modelo formal de transição de estado para políticas de segurança de computador descreve um conjunto de regras de controle de acesso que utiliza etiquetas de segurança em objetos e autorizações para os indivíduos. A faixa de abrangência das etiquetas de segurança vai desde a mais sensível ("Top Secret", por exemplo), até a menos sensível (por exemplo, "não classificados" ou "Público").

O modelo Bell-LaPadula é um exemplo de um modelo onde não há uma clara distinção entre proteção e segurança.[5]


Características

editar

O modelo Bell-LaPadula centra-se na confidencialidade dos dados e controle de acesso à informação classificada, em contraste com o modelo Biba de integridade, que descreve as regras para a proteção da integridade dos dados. Neste modelo formal, as entidades em um sistema de informação são divididas em sujeitos e objetos. A noção de um "estado seguro" é definida e está provada que cada transição de estado preserva a segurança ao passar de um estado seguro para outro estado seguro, assim, por indução matemática, provando que o sistema atende aos objetivos de segurança do modelo. O modelo Bell-LaPadula é construído sobre o conceito de uma máquina de estados finitos com um conjunto de estados permitidos em um sistema de rede de computadores. A transição de um estado para outro é definida por funções de transição.

Um estado do sistema é definido como "seguro" se apenas os modos de acesso permitidos entre sujeitos e objetos estão em conformidade com uma política de segurança. Para determinar se um modo de acesso específico é permitido, o despacho de um sujeito é comparado com a classificação do objeto (mais precisamente, a combinação de classificação e um conjunto de compartimentos, tornando-se o nível de segurança) para determinar se o sujeito é autorizado para o modo de acesso específico. O esquema de apuramento/classificação é expresso em termos de uma treliça/matrix. O modelo define duas regras de controle de acesso obrigatório (MAC) e uma regra de controle de acesso discricionário (DAC) com três propriedades de segurança:

  1. Propriedade de Segurança Simples - um sujeito em um dado nível de segurança não pode ler um objeto com um nível de segurança mais alto (não ler-para-cima).
  2. A Propriedade-★ (leia-se propriedade-estrela) - um sujeito em um dado nível de segurança não deve escrever para qualquer objeto em um nível inferior de segurança (não escrever-para-abaixo). A Propriedade-★ também é conhecida como a propriedade de confinamento.
  3. A Propriedade de Segurança Discricionária - utiliza uma matriz de acesso para especificar o controle de acesso discricionário.

A transferência de informações de um documento de alta sensibilidade para um documento menor sensibilidade pode acontecer no modelo Bell-LaPadula através do conceito de assuntos confiáveis. Sujeitos confiáveis não são restringidas pela Propriedade-★. Assuntos não confiáveis ​​são. Sujeitos confiáveis devem ser mostrados como confiáveis no que diz respeito à política de segurança. Esse modelo de segurança é direcionado para controle de acesso e é caracterizado pela frase: "não leia-para-cima, não escreva-para-baixo". Compare o modelo Biba, o modelo Clark-Wilson e o modelo Muralha Chinesa.

Com Bell-LaPadula, os usuários podem criar conteúdo apenas em ou acima de seu nível de segurança própria (isto é, pesquisadores pode criar arquivos secretos ou ultra-secreto, mas não podem criar arquivos públicos; não escrever-para-baixo). Por outro lado, os usuários podem visualizar o conteúdo apenas em ou abaixo de seu nível de segurança próprios (pesquisadores secretos podem visualizar arquivos públicos ou secretos, mas não podem ver os arquivos ultra-secretos, sem ler-para-cima).

O modelo Bell-LaPadula define seu escopo explicitamente. Ele não trata extensivamente os seguintes pontos:

  • Canais secretos. A passagem de informação através de ações pré-arranjadas foi ligeiramente descrita.
  • As redes de sistemas. Trabalho de modelagem mais tarde abordou este tema.
  • Políticas fora da segurança multi-nível. Trabalhos no início de 1990 mostraram que MLS é uma versão de política booleana, assim como todas as outras políticas publicadas.


Propriedade-★ Forte

editar

A Propriedade-★ Forte é uma alternativa à Propriedade-★, na qual os participantes podem escrever para objetos que tenham um nível de segurança correspondente. Assim, a operação de escrever-para-cima, permitida na Propriedade-★ usual, não está presente e apenas é permitida uma operação escrever-para-o-mesmo. A Propriedade-★ Forte é normalmente discutida no contexto de sistema de gerenciamento de banco de dados multinível e é motivada por preocupações de integridade.[6] Esta Propriedade ★ Forte foi antecipada no modelo Biba onde foi mostrado que a integridade forte em combinação com o modelo Bell-LaPadula resultou em leitura e escrita em um único nível.

Princípio da Tranquilidade

editar

O Princípio da Tranquilidade do Modelo Bell-LaPadula enuncia que a classificação de um sujeito ou objeto não muda enquanto ele estiver sendo referenciado. Existem duas formas para o Princípio da Tranquilidade: o "princípio tranqüilidade forte ", que afirma que os níveis de segurança não mudam durante a operação normal do sistema; e o "princípio da tranquilidade fraca", que afirma que os níveis de segurança nunca podem mudar de tal forma a violar uma política de segurança definida. Tranquilidade fraca é desejável, pois permite aos sistemas observar o princípio do menor privilégio. Ou seja, os processos começam com um nível baixo, independentemente de seu proprietário, e progressivamente adquirem níveis mais elevados a medida que as ações requerem.

Limitações

editar
  • Trata apenas de confidencialidade, controle da escrita (uma forma de integridade), propriedade-★ e controle de acesso seleto
  • Canais secretos são mencionados, mas não são abordados de maneira abrangente
  • O Princípio da Tranquilidade limita a sua aplicabilidade a sistemas onde os níveis de segurança não mudam dinamicamente, o que permite a cópia controlada de cima para baixo através sujeitos confiáveis.

Veja também

editar
  1. Hansche, Susan; John Berti, Chris Hare (2003). Official (ISC)2 Guide to the CISSP Exam. [S.l.]: CRC Press. 104 páginas. ISBN 9780849317071 (em inglês) Verifique |isbn= (ajuda) 
  2. Bell, David Elliott and LaPadula, Leonard J. (1973). «Secure Computer Systems: Mathematical Foundations» (PDF em inglês). MITRE Corporation 
  3. Bell, David Elliott and LaPadula, Leonard J. (1976). «Secure Computer System: Unified Exposition and Multics Interpretation» (PDF em inglês). MITRE Corporation 
  4. Bell, David Elliott (dezembro de 2005). «Looking Back at the Bell-LaPadula Model» (PDF em inglês). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337–351. doi:10.1109/CSAC.2005.37  Slides - Looking Back at the Bell-LaPadula Model (em inglês)
  5. Landwehr, Carl (setembro de 1981). «Formal Models for Computer Security» (PDF em inglês). New York: Association for Computing Machinery. ACM Computing Surveys. 13 (3): 8, 11, 247–278. ISSN 0360-0300 
  6. Sandhu, Ravi S. (1994). «Relational Database Access Controls» (PDF). Handbook of Information Security Management (1994-95 Yearbook) (em espanhol). Auerbach Publishers. pp. 145–160. Consultado em 12 de agosto de 2006 

Referências

editar
  • Bishop, Matt (2003). Computer Security: Art and Science (em inglês). Boston: Addison Wesley 
  • Krutz, Ronald L.; Russell Dean Vines (2003). The CISSP Prep Guide (em inglês) Gold ed. Indianapolis, Indiana: Wiley Publishing 
  • McLean, John (1994). «Security Models». Encyclopedia of Software Engineering (em inglês). 2. New York: John Wiley & Sons, Inc. pp. 1136–1145 
  NODES
Association 1