Bell-LaPadula-Sicherheitsmodell
Was ist das Bell-LaPadula-Sicherheitsmodell?
Das Bell-LaPadula-Sicherheitsmodell ist ein Multilevel-Sicherheitsmodell und wurde 1973 von David Elliott Bell und Leonard J. LaPadula ursprünglich für die US Air Force entwickelt. Durch die Überprüfung von Sicherheitseigenschaften vor jedem Zugriff auf Daten soll deren Vertraulichkeit gewährleistet werden. Informationen werden so vor nicht vertrauenswürdigen Personen geschützt.
Zugriff des Bell-LaPadula-Sicherheitsmodells
Das Bell-LaPadula-Sicherheitsmodell definiert Regeln zur Dynamic Access Control (DAC) und zur Mandatory Access Control (MAC). Sowohl Objekte wie beispielsweise Dateien als auch Benutzer sind in verschiedene Geheimhaltungsstufen beziehungsweise Zustände eingeteilt. Die Bezeichnung dieser Stufen ist beliebig, reicht aber von der höchsten Geheimhaltung bis zur niedrigsten. Zugriffseigenschaften legen zusätzlich fest, wie ein Benutzer mit den verschiedenen Dateien umgehen darf, wenn ihm der Zugriff gestattet ist. Die Freigabe des Benutzers wird mit dem Zustand des Objekts verglichen. So ergibt sich der erlaubte Zugriff und die geltende Sicherheitseigenschaft.
No Read Up
Laut der einfachen Vertraulichkeitsregel dürfen Personen nur auf Daten und Dateien auf der Geheimhaltungsstufe lesen, die für sie freigegeben ist. Ebenso wird ihnen der Zugriff darunterliegende Geheimhaltungsstufen gewährt. Auf über ihrer Geheimhaltungsstufe liegende Informationen können sie nicht zugreifen. Diese Zugriffsregel wird auch als Simple Security Property bezeichnet.
No Write Down
Der Benutzer darf nur Dateien verändern oder erweitern, die sich auf der gleichen Geheimhaltungsebene oder auf der über ihm befinden. So wird sichergestellt, dass Informationen nicht an die untere Geheimhaltungsebene weitergegeben werden. Diese Regel wird auch als Star Confidentiality Rule oder Star Property bezeichnet. Ein Benutzer erstellt neue Dateien nur innerhalb der eigenen Sicherheitsstufe oder darüber.
No Read Write Up Down
Diese Regelung ist die sicherste: Der Benutzer liest und schreibt nur auf Dateien in der gleichen Geheimhaltungsebene. Auf die Ebenen darüber und darunter hat er keinen Zugriff und kann sie auch nicht verändern. Ein anderer Name dieser Zugriffsregel ist Strong Star Confidentiality Rule. Theoretisch können Informationen von einer höheren Geheimhaltungsstufe nach unten weitergegeben werden, aber nur wenn die Benutzer vertrauenswürdig sind. Diese Regelung kann anstelle der No-Write-Down-Regel verwendet werden.
Zugriffsmatrix
Die frei definierbare Zugriffsmatrix erlaubt es, den Zugriff von Benutzern auf ein Objekt beliebig zu definieren. Diese Regel wird auch als Discretionary Security Property bezeichnet.
Ruheprinzip
Das Ruheprinzip sorgt dafür, dass sich die Zuweisung von Benutzern oder Dateien nicht ändern. Es kann noch einmal unterteilt werden, in die starke und die schwache Ruhe. Während der starken Ruhe ändern sich die Zuweisungen nicht, wenn der Betrieb des Systems ganz normal abläuft. Durch die schwache Ruhe dürfen sich die Geheimhaltungsstufen nicht so ändern, dass gegen im Vorfeld festgehaltene Sicherheitsrichtlinien verstoßen wird.
Einsatz des Bell-LaPadula-Sicherheitsmodells
Heute wird dieses Modell noch immer verwendet, beispielsweise in einigen Betriebssystemen wie SELinux, Trusted Solaris oder Red Hat Enterprise Linux. Dort läuft das Modell aber meist unter dem Namen Multilevel Security (MLS).
