Das Bell-LaPadula-Sicherheitsmodell beschreibt ein IT-Sicherheitsmodell und „gilt als das erste vollständig formalisierte“.:265 Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Es setzt somit das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll nicht möglich sein, Informationen einer höheren Schutzstufe zu lesen oder Informationen einer höheren Schutzstufe in eine tiefere Schutzstufe zu überführen. Systeme, die auf dem Bell-LaPadula-Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterstehen. Die klassischen Bell-LaPadula-Systeme wurden durch lattice- oder compartment-basierende Systeme abgelöst (zu deutsch: Verband- oder Kategorie-basierende Systeme), welche horizontale und vertikale Einstufungen (Segmente) implementieren.
Hintergrund
Das Sicherheitsmodell wurde 1973 von David Elliott Bell und Leonard J. LaPadula im Auftrag der US Air Force entwickelt. Das Bell-LaPadula-Modell schützt vor allem die Vertraulichkeit von Daten: Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden. Das steht im Gegensatz zum Biba-Modell, welches eine Umkehrung des Bell-LaPadula-Modelles ist und hauptsächlich die Integrität des Informationsflusses sichert.
Vor jedem Zugriff werden drei Regeln überprüft:
- No-Read-Up oder simple security property
Es darf niedriger eingestuften Personen nicht möglich sein, Informationen von vertrauenswürdigeren Personen zu lesen. - No-Write-Down oder ★-property
Höher eingestufte Personen dürfen nicht in Dateien von weniger vertrauenswürdigen Personen schreiben. Dadurch wird verhindert, dass sie Informationen „nach unten“ weitergeben. - Eine frei definierbare Zugriffsmatrix oder discretionary security property
Es gibt eine frei definierbare Access-Control Matrix, um den Zugriff von Subjekten auf Objekte anzugeben.
Der Term ★-property soll daher kommen, dass die Autoren des Modells so unter Zeitdruck standen, dass sie die abzugebenden Papiere nicht bereinigen konnten, und der Stern (★) als Platzhalter erhalten blieb.
Verwendung
Verschiedene, auf Sicherheit ausgelegte Betriebssysteme (OS) basieren auf dem Bell-LaPadula-Modell. Dabei setzen die OS das Modell unter der Bezeichnung Multi-Level Security (MLS) um. Beispiele sind SELinux, Red Hat Enterprise Linux, IBM z/OS für Mainframes und unter anderem auch Trusted Solaris mit den integrierten Trusted Extensions.:268
Mathematische Grundsätze
- Jedem Objekt O werden Zuständigkeitsbereich und Einstufung zugeordnet (Z(O), E(O))
- Jedem Subjekt S werden Zuständigkeitsbereich und Ermächtigung zugeordnet (Z(S), E(S))
Lesen von Objekten ist nur möglich, wenn:
Schreiben von Objekten ist nur möglich, wenn:
Erzeugen von Subjekten T (z. B. Prozesse):
Weiterhin muss gelten:
Siehe auch
Literatur
- Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
Einzelnachweise
- 1 2 Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3
- ↑ D. Elliott Bell, Leonard J. LaPadula: Secure Computer Systems: Mathematical Foundations. (PDF; 192 kB) MITRE Corporation, 1973, archiviert vom am 18. Juni 2006; abgerufen am 13. März 2008 (englisch).
- ↑ D. Elliott Bell, Leonard J. LaPadula: Secure Computer Systems: Unified Exposition and MULTICS Interpretation. (PDF; 3,1 MB) MITRE Corporation, 1976, abgerufen am 13. März 2008 (englisch).
- ↑ D. Elliott Bell: Looking Back at the Bell-La Padula Model. (PDF; 224 kB) 7. Dezember 2005, abgerufen am 25. Januar 2011 (englisch, doi:10.1109/CSAC.2005.37).
- ↑ William Stallings, Lawrie Brown: Computer security: principles and practice. Prentice Hall, Upper Saddle River,NJ 2008, ISBN 978-0-13-513711-6.