טיוטה:מודל BLP

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש
הערך נמצא בשלבי עבודה: כדי למנוע התנגשויות עריכה ועבודה כפולה, אתם מתבקשים שלא לערוך את הערך בטרם תוסר ההודעה הזו, אלא אם כן תיאמתם זאת עם מניח התבנית.
אם הערך לא נערך במשך שבוע ניתן להסיר את התבנית ולערוך אותו, אך לפני כן רצוי להזכיר את התבנית למשתמש שהניח אותה, באמצעות הודעה בדף שיחתו.
הערך נמצא בשלבי עבודה: כדי למנוע התנגשויות עריכה ועבודה כפולה, אתם מתבקשים שלא לערוך את הערך בטרם תוסר ההודעה הזו, אלא אם כן תיאמתם זאת עם מניח התבנית.
אם הערך לא נערך במשך שבוע ניתן להסיר את התבנית ולערוך אותו, אך לפני כן רצוי להזכיר את התבנית למשתמש שהניח אותה, באמצעות הודעה בדף שיחתו.

מודל BLP או מודל בל-לפדולהאנגלית: Bell–LaPadula Model) הוא מודל של מכונת מצבים שמכריח בקרת גישה באפליקציות ממשלתיות וצבאיות[1]. הוא פותח על ידי דויד אליוט בל (David Elliott Bell)‏[2] ולאונרד ג'יי לפדולה (Leonard J. LaPadula), לאחר הכוונה משמעותית מרוג'ר של (Roger R. Schell), כדי לפרמל את רגולציית MLS ‏(multilevel security) של משרד ההגנה האמריקאי (ה-DoD) ‏[3][4][5]. למעשה הוא מודל מעברי מצבים בין פוליסות אבטחת מחשבים אשר מתאר קבוצת חוקי בקרת גישה אשר משתמשים בתוויות לאוביקטים והרשאות (רמת סיווג) לישויות. רמות הסיווג נעות בין "סודי ביותר" (Top Secret) ועד ל"בלתי מסווג" או "ציבורי" ("Unclassified" או "Public").

מודל BLP הוא דוגמא למודל אבטחה שבו אין הבחנה ברורה בין הגנה (protection) לאבטחה (security)‏[6].

מאפיינים

מודל בל-לפדולה מתרכז בחסיון נתונים וגישה מבוקרת למידע מסווג, בניגוד למודל ביבה, המתאר כללים להגנה על ושמירה של תקינות נתונים (data integrity). במודל הפורמלי הזה, כלל הישויות במערכת מידע מחולקות לשני סוגים: "ישות" (subject) ו"אוביקט" (object). מוגדר "מצב מאובטח" (secure state), ומוכח שכל מעבר משמר אבטחה על ידי שינוע ממצב מאובטח אחד למשנהו, כך שמוכח באינדוקציה מתמטית שהמערכת עומדת ביעדי האבטחה של המודל. המודל בנוי על הקונספט של מכונת מצבים עם קבוצה של מצבים מאופשרים במערכת הממוחשבת כולה. המעבר בין מצבים מוגדר בפונקציות מעבר (transition functions).

מצב המערכת ייקרא "מאובטח" אם הגישה המורשית היחידה של ישויות לאוביקטים תואמים את מדיניות האבטחה. כדי לקבוע אם כלל מסוים מורשה, ההרשאה של הישות נבדקת מול הסיווג של האוביקט, או בדיוק רק יותר, השילוב של סיווג וקבוצת המחלקות, שמרכיב את "רמת הסיווג" (security level), לקבוע אם הישות מורשית בצע פעולת הגישה המסוימת. סכממת הסיווג\הרשאה מומחשת על ידי מודל של גביש. המודל מגדיר רמת גישה דיסקרטיות או DAC‏ (discretionary access control) אחת ושני כללי גישה או MAC‏ (mandatory access control) מחייבים, עם שלוש תכונות (properties) אבטחה:

  1. Simple Security Property - מציינת כי ישות מסוימת ברמת סיווג אינה יכולה לקרוא אוביקט ברמת סיווג גבוהה יותר
  2. ‏Property * (כוכב) - מציינת שישות מסוימת ברמת סיווג מסוימת אינה יכולה לכתוב לאוביקט ברמת סיווג נמוכה יותר
  3. Discretionary Security Property - מציינת את השימוש במטריצת גישה לפירוט רמות האבטחה הדיסקרטיות

Strong Star Property (תכונת הכוכב חזק)

Tranquility principle (עקרון הנחת)

עקרון הנַחַת של מודל בל-לפדולה קובע כי סיווג של ישות או אוביקט אינו משתנה במהלך גישה אליו. ישנן שתי צורות של עקרון הנחת:

  • עקרון הנחת החזק (principle of strong tranquility) - רמות הסיווג אינן משתנות בפעילות רגילה של המערכת
  • עקרון הנחת החלש (principle of weak tranquility) - רמות הסיווג לא ישתנו באופן שיפר את מדיניות המערכת שהוגדרה.

עקרון הנחת החלש מומלץ יותר מכיוון שהוא מאפשר לשמור על עקרון ההרשאה הנמוכה, כלומר שתהליך מתחיל עם הרשאה נמוכה ללא קשר להרשאות הבעלים, וצובר הרשאות גבוהות יותר בהתאם לצורך עם הזמן כשאלו נדרשות.

הערות שוליים

  1. ^ Hansche, Susan; John Berti; Chris Hare (2003). Official (ISC)2 Guide to the CISSP Exam. CRC Press. p. 104. ISBN 978-0-8493-1707-1.
  2. ^ David Elliott Bell, Oral history interview, 24 September 2012. Charles Babbage Institute, University of Minnesota]
  3. ^ Bell, David Elliott; LaPadula, Leonard J. (1973). "Secure Computer Systems: Mathematical Foundations" (PDF). MITRE Corporation. {{cite journal}}: Cite journal requires |journal= (עזרה); לא תקין |name-list-style=yes (עזרה)
  4. ^ Bell, David Elliott; LaPadula, Leonard J. (1976). "Secure Computer System: Unified Exposition and Multics Interpretation" (PDF). MITRE Corporation. {{cite journal}}: Cite journal requires |journal= (עזרה); לא תקין |name-list-style=yes (עזרה)
  5. ^ Bell, David Elliott (בדצמבר 2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337–351. doi:10.1109/CSAC.2005.37. {{cite conference}}: (עזרה) Slides - Looking Back at the Bell-LaPadula Model (אורכב 08.06.2008 בארכיון Wayback Machine)
  6. ^ Landwehr, Carl (בספטמבר 1981). "Formal Models for Computer Security" (PDF). ACM Computing Surveys. New York: Association for Computing Machinery. 13 (3): 8, 11, 247–278. doi:10.1145/356850.356852. ISSN 0360-0300. {{cite journal}}: (עזרה)