Bell-LaPadula-Sicherheitsmodell
Das Bell-LaPadula-Sicherheitsmodell beschreibt ein IT-Sicherheitsmodell und „gilt als das erste vollständig formalisierte“.[1]:265 Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Es setzt somit das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll nicht möglich sein, Informationen einer höheren Schutzstufe zu lesen oder Informationen einer höheren Schutzstufe in eine tiefere Schutzstufe zu überführen. Systeme, die auf dem Bell-LaPadula-Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterstehen. Die klassischen Bell-LaPadula-Systeme wurden durch lattice- oder compartment-basierende Systeme abgelöst (zu deutsch: Verband- oder Kategorie-basierende Systeme), welche horizontale und vertikale Einstufungen (Segmente) implementieren.
Hintergrund
Das Sicherheitsmodell wurde 1973 von David Elliott Bell und Leonard J. LaPadula im Auftrag der US Air Force entwickelt.[2][3] Das Bell-LaPadula-Modell schützt vor allem die Vertraulichkeit von Daten: Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden. Das steht im Gegensatz zum Biba-Modell, welches eine Umkehrung des Bell-LaPadula-Modelles ist und hauptsächlich die Integrität des Informationsflusses sichert.
Vor jedem Zugriff werden drei Regeln überprüft:
- No-Read-Up oder simple security property
Es darf niedriger eingestuften Personen nicht möglich sein, Informationen von vertrauenswürdigeren Personen zu lesen. - No-Write-Down oder ★-property
Höher eingestufte Personen dürfen nicht in Dateien von weniger vertrauenswürdigen Personen schreiben. Dadurch wird verhindert, dass sie Informationen „nach unten“ weitergeben. - Eine frei definierbare Zugriffsmatrix oder discretionary security property
Es gibt eine frei definierbare Access-Control Matrix, um den Zugriff von Subjekten auf Objekte anzugeben.
Der Term ★-property soll daher kommen, dass die Autoren des Modells so unter Zeitdruck standen, dass sie die abzugebenden Papiere nicht bereinigen konnten, und der Stern (★) als Platzhalter erhalten blieb.[4][5]
Verwendung
Verschiedene, auf Sicherheit ausgelegte Betriebssysteme (OS) basieren auf dem Bell-LaPadula-Modell. Dabei setzen die OS das Modell unter der Bezeichnung Multi-Level Security (MLS) um. Beispiele sind SELinux, Red Hat Enterprise Linux, IBM z/OS für Mainframes und unter anderem auch Trusted Solaris mit den integrierten Trusted Extensions.[1]:268
Mathematische Grundsätze
- Jedem Objekt O werden Zuständigkeitsbereich und Einstufung zugeordnet (Z(O), E(O))
- Jedem Subjekt S werden Zuständigkeitsbereich und Ermächtigung zugeordnet (Z(S), E(S))
Lesen von Objekten ist nur möglich, wenn:
Schreiben von Objekten ist nur möglich, wenn:
Erzeugen von Subjekten T (z. B. Prozesse):
Weiterhin muss gelten:
Siehe auch
Literatur
- Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
Einzelnachweise
- ↑ a b Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3
- ↑ D. Elliott Bell, Leonard J. LaPadula: Secure Computer Systems: Mathematical Foundations. (PDF; 192 kB) MITRE Corporation, 1973, archiviert vom Original am 18. Juni 2006; abgerufen am 13. März 2008 (englisch).
- ↑ D. Elliott Bell, Leonard J. LaPadula: Secure Computer Systems: Unified Exposition and MULTICS Interpretation. (PDF; 3,1 MB) MITRE Corporation, 1976, abgerufen am 13. März 2008 (englisch).
- ↑ D. Elliott Bell: Looking Back at the Bell-La Padula Model. (PDF; 224 kB) 7. Dezember 2005, abgerufen am 25. Januar 2011 (englisch, doi:10.1109/CSAC.2005.37).
- ↑