El modelo de Bell-LaPadula pretende ofrecer un medio para formular los problemas relacionados con la protección de la información y se centra en controlar el flujo de las informaciones. Frente a los sistemas de control de acceso opcional, en los cuales el usuario puede activar la protección a voluntad, este modelo emplea un control de acceso obligatorio que combina la matriz de control de acceso y las organizaciones de tipo jerárquico.
Este modelo se basa también en tres conjuntos: los sujetos, que poseen un grado de autorización, los objetos, que tienen una calificación de seguridad, y la matriz de control de acceso, que contiene los derechos discrecionales. Se admite que una información puede fluir entre los sujetos de sus grados de autorización, y hacia los superiores; así, la información que tenga la calificación mínima puede llegar a todos, y la de máximo no puede salir de su nivel. Igualmente, un sujeto no puede acceder a objetos de grado superior al suyo, y no puede generar información con una calificación menor que la suya para impedir que transfiera secretos a sujetos con menos autorización.
Como ejemplo, en algunos ámbitos se establece para los documentos una jerarquía de seguridad con cuatro grados: sin clasificar, confidencial, secreto y máximo secreto. En este entorno se aplica un principio de seguridad en el cual cada sujeto tiene un grado de autorización determinado, y puede leer todos los documentos cuya calificación sea menor o igual que la que corresponda a ese grado.
El método de control del flujo de la información establece las propiedades siguientes:
1) Seguridad Simple: un sujeto sólo puede leer los objetos cuya calificación de segurdiad sea menor o igual que su propia autorización (c(o)< =c(s)). 2) Propiedad * (léase propiedad estrella): todo sujeto puede crear y escribir objetos cuya calificación de seguridad sea mayor o igual que su grado de autorización (c(o)>=c(s)).
Bell y LaPadula han demostrado que las operaciones definidas en este modelo tienen las propiedades anteriores y que, por lo tanto, impide los flujos de información no autorizados. Sin embargo, la ordenación jerárquica impuesta a las calificaciones de los objetos y a las autorizaciones de los sujetos es demasiado restrictiva en la mayoría de los casos. Además, no permite definir sistemas de protección útiles para flujos no jerarquizados y en consecuencia no respeta el principio de mínimo privilegio.
Más información | Wikipedia Más información | Looking Back at the Bell-LaPadula Model
Ver 1 comentarios