it-swarm-es.com

Bell-LaPadula y Biba juntos

En teoría, ¿podría implementarse el modelo de seguridad Bell-Lapaluda con el modelo de integridad Biba en un sistema operativo? ¿O son mutuamente excluyentes?

[Editar: seguimiento de esta pregunta en SU]

8
Will Kunkel

Aunque técnicamente no entran en conflicto, funcionalmente lo hacen.
Es posible implementar ambos, es decir.

  • No leer
  • No escribir
  • Sin lectura
  • No escribir

es decir, un usuario solo puede leer y escribir en su propio nivel de clasificación.

Si bien los modelos admiten explícitamente la combinación de ellos (con propiedades sólidas *), me resultaría difícil averiguar por qué querría hacerlo, qué situación requeriría dicho modelo y qué beneficio está tratando de obtener. (Admito que nunca he usado ni visto esto en la práctica).

Parece que estás intentando implementar alguna forma de separación estricta entre clases de usuarios, y creo que hay formas más sencillas de hacerlo.


Acabo de notar que estaba preguntando específicamente sobre sistemas operativos - bueno, aparte del hecho de que los sistemas operativos actuales no son compatibles con esto (excepto quizás con la posible excepción de los sistemas militares especializados), nuevamente estaría creando una separación muy fuerte entre clases de usuarios. Otorgar efectivamente a cada clase su propio espacio que no se puede compartir.

Pero más que eso, asumiendo que esto sería para todo el sistema, no habría forma de compartir archivos de programa, p. Código del sistema/sistema operativo. Entonces, no menos de implementar VM fuertes (hmm, ¿Qubes admitirá esto?) No habría forma de implementar esto en el sistema operativo (a menos que lo limite a parte del sistema, que nuevamente se vuelve inútil ...)

2
AviD

Definitivamente no son mutuamente excluyentes, porque son ortogonales, tratan temas diferentes por completo. Uno se ocupa de la confidencialidad, el otro de la integridad. @AviD señaló correctamente que la combinación de ambos se llama 'propiedad fuerte *' que no permite leer o escribir desde cualquier otro nivel que no sea el suyo. Esta idea se introdujo para combatir el problema inherente a Biba-LaPadulla: no hay estado. Si tiene tres niveles, A, B y C, y B puede leer desde A y escribir en C, entonces puede atravesar datos de A a C, aunque no existan reglas explícitas que permitan dicha transferencia. Todo el asunto del 'no estado' es tan limitante que Biba-LaPadulla en realidad solo se enseña a los estudiantes de seguridad como el primer y más simple modelo de seguridad, es realmente un juguete, una construcción educativa.

3
Marcin