Perché la regola ★ -property del modello Bell-LaPadula consente di archiviare le informazioni in oggetti con etichette di sensibilità HIGHER?

Certo. Ecco un esempio. Supponiamo di voler avere un gestore di log di sistema, che raccoglie i registri da tutti i processi. Eseguiremo il log manager sul sistema HIGH. Vogliamo che ogni processo sia in grado di inviare record di log ad esso.

• Con la regola proposta, i processi in esecuzione su LOW non sarebbero in grado di inviare voci di log al gestore log.

• Al contrario, la proprietà ★ consente a tutti i processi di inviare voci di registro al gestore dei registri.

Per quanto riguarda un esempio pratico, beh, Bell-Lapadula non è molto pratico. Se cerchi soprattutto cose pratiche, non passerei il tuo tempo a guardare Bell-Lapadula; Ti consiglio di esaminare il lavoro più recente sulla sicurezza dei sistemi: sarà un uso migliore del tuo tempo limitato.

Questo modello ha molto poco senso nel contesto del normale utilizzo del computer. Ha molto più senso quando si pensa alle classificazioni in stile militare, dove a volte ha senso scrivere cose ad un altro livello. Ad esempio, se hai un gruppo di rapporti in arrivo su un analizzatore, vuoi che i singoli scrittori di report caricino semplicemente le loro cose e non le trattino mai più. Tuttavia, il soggetto che analizza tutti i report può operare a un livello più alto a causa della maggiore classificazione delle informazioni, a causa dell'aggregazione di informazioni dovuta alla presenza di più report / fonti di informazione.

Un'altra cosa che devi tenere a mente BLP riguarda la riservatezza. La proprietà stellare, in particolare, viene anche chiamata la "proprietà del confinamento", in quanto si suppone che impedisca l'informazione che attraversa più livelli. Vuoi che ogni soggetto sia in grado di leggere o scrivere da particolari livelli e questo è tutto, nessun'altra abilità limita la possibilità che le informazioni attraversino al di fuori del suo livello designato. Questa proprietà ti assicura che non puoi ottenere informazioni che non sono per te (nessuna lettura) e non puoi dare le informazioni ai livelli più bassi (nessuna annotazione).

La proprietà Strong Star rende le limitazioni ancora più stringenti, poiché cambia "nessuna lettura, nessuna annotazione" a "nessuna lettura, scrivi solo alla stessa". In questo modo non puoi "scrivere" e classificare i documenti, il che è desiderabile, a meno che tu non ne abbia effettivamente bisogno.

Tutti questi sono solo una formulazione più precisa del Principio generale del privilegio minimo, rispetto alla riservatezza.

La verità è che non esiste una buona ragione per cui ciò possa accadere in pratica, ma d'altra parte, non è contro l'obiettivo del modello. Invertire la domanda: perché pensi che non dovrebbe accadere? Dal punto di vista della riservatezza, non importa se un soggetto con etichetta più bassa può scrivere a livelli più alti, poiché quelli di livello superiore possono comunque vedere le informazioni. Ci sono problemi con l'integrità, ma Bell-LaPadula non è preoccupato per questo.

Per riassumere, la tua domanda è fondamentalmente "Perché è permesso il write-up in Bell-LaPadula?" La risposta è: perché se il write-up fosse proibito o permesso, sarebbe lo stesso dal punto di vista della riservatezza. Il modello prende solo uno dei due possibili approcci, senza compromettere nulla.