En teoría, ¿podría implementarse el modelo de seguridad de Bell-Lapaluda con el modelo de integridad de Biba en un sistema operativo? ¿O son mutuamente excluyentes?
[Editar: haga un seguimiento desde esta pregunta en la SU]
En teoría, ¿podría implementarse el modelo de seguridad de Bell-Lapaluda con el modelo de integridad de Biba en un sistema operativo? ¿O son mutuamente excluyentes?
[Editar: haga un seguimiento desde esta pregunta en la SU]
Aunque técnicamente no entran en conflicto, funcionalmente lo hacen.
Es posible implementar ambos, es decir,
- Sin lectura
- No escribir hasta arriba
- Sin lectura hacia abajo
- No escribir abajo
es decir, un usuario solo puede leer y escribir en su propio nivel de clasificación.
Si bien los modelos admiten explícitamente combinarlos (con fuertes propiedades *), me costaría entender por qué querría hacerlo, qué situación requeriría ese modelo y qué beneficio está tratando de lograr. (Admito que nunca he usado o visto esto en la práctica).
Parece que estás intentando implementar algún tipo de separación difícil entre clases de usuarios, y creo que hay formas más simples de hacerlo.
Recién notó que estaba preguntando específicamente sobre sistemas operativos ; bueno, aparte del hecho de que los sistemas operativos actuales no lo admiten (excepto quizás con la posible excepción de los sistemas militares especializados), De nuevo se creará una separación muy fuerte entre clases de usuarios. Otorgar efectivamente a cada clase su propio espacio no compartible.
Pero más que eso, suponiendo que esto abarque todo el sistema, no habría manera de compartir archivos de programa, por ejemplo. Código del sistema operativo. Entonces, no es menos que implementar VMs fuertes (¿hmm, Qubes lo soportará?) No habría manera de implementar esto en el sistema operativo (a menos que lo limite a la parte del sistema, lo que de nuevo se vuelve inútil) ...)
Definitivamente, no se excluyen mutuamente, porque son ortogonales, se enfrentan a diferentes problemas por completo. Uno trata con la confidencialidad, el otro con integridad. @AviD señaló correctamente que la combinación de ambos se denomina "propiedad * fuerte" y no permite leer ni escribir desde otro nivel que no sea el suyo. Esta idea se introdujo para combatir el problema inherente a Biba-LaPadulla: ningún estado. Si tiene tres niveles, A, B y C, y B puede leer de A y escribir en C, entonces puede atravesar los datos de A a C, aunque no haya reglas explícitas que permitan dicha transferencia. Todo el asunto de 'no estado' está limitando tan gravemente que Biba-LaPadulla realmente solo se enseña a estudiantes de seguridad como el primer y más simple modelo de seguridad, es realmente un juguete, una construcción educativa.
Lea otras preguntas en las etiquetas access-control bell-lapadula