In teoria, il modello di sicurezza Bell-Lapaluda potrebbe essere implementato con il modello di integrità Biba in un sistema operativo? O si escludono a vicenda?
[Modifica: Follow up questa domanda su SU]
In teoria, il modello di sicurezza Bell-Lapaluda potrebbe essere implementato con il modello di integrità Biba in un sistema operativo? O si escludono a vicenda?
[Modifica: Follow up questa domanda su SU]
Mentre tecnicamente non sono in conflitto, funzionalmente lo fanno.
È possibile implementare entrambi, ovvero
- No Read Up
- No Write Up
- No Read Down
- No Write Down
Ad esempio, un utente può solo leggere e scrivere nel proprio livello di classificazione.
Mentre i modelli supportano esplicitamente la combinazione di questi (con forti proprietà *), avrei difficoltà a capire perché vorresti, quale situazione richiederebbe un tale modello e quali benefici stai cercando di ottenere. (Ammetto che non l'ho mai usato o visto in pratica).
Sembra che tu stia cercando di implementare una qualche forma di separazione netta tra le classi di utenti, e penserei che ci siano modi più semplici per farlo.
Ho appena notato che stavi chiedendo specificamente riguardo i sistemi operativi - beh, a parte il fatto che gli attuali SO non supportano questo (tranne forse con la possibile eccezione di sistemi militari specializzati), dovresti di nuovo creare una separazione molto strong tra le classi di utenti. Concedere in modo efficace a ciascuna classe il proprio spazio non condivisibile.
Ma più di questo, supponendo che questo sarebbe a livello di sistema, non ci sarebbe modo di condividere file di programma, ad es. Sistema operativo / codice di sistema. Quindi, no, a meno di implementare potenti VM (hmm, sarà supportato da Qubes?) Non ci sarebbe modo di implementarlo nel sistema operativo (a meno che non lo si limiti a parte del sistema, che diventa di nuovo inutile ...)
Non si escludono a vicenda, perché sono ortogonali, si occupano di problemi diversi. Uno riguarda la riservatezza, l'altro l'integrità. @AviD ha sottolineato correttamente che la combinazione di entrambi è chiamata 'strong * property' che non consente la lettura o la scrittura da qualsiasi altro livello tranne il tuo. Questa idea è stata introdotta per combattere il problema inerente a Biba-LaPadulla: nessuno stato. Se si dispone di tre livelli, A, B e C e B possono leggere da A e scrivere in C, è possibile attraversare i dati da A a C, anche se non esistono regole esplicite che consentano tale trasferimento. L'intera cosa "senza stato" è così severamente limitante che Biba-LaPadulla viene insegnata agli studenti di sicurezza solo come il primo e più semplice modello di sicurezza, è davvero un giocattolo, un costrutto educativo.
Leggi altre domande sui tag access-control bell-lapadula