Modelul de securitate Bell LaPadula

Articol postat de:

Padua_1

Modelul Bell LaPadula este unul din cele mai cunoscute modele de securitate, propus de David Bell şi Len LaPadula în anul 1973. Constituie un model de reper în dezvoltarea tehnicilor de securitate a sistemelor informaţionale, fiind utilizat la proiectarea sistemelor care manevrează informaţii distribuite pe mai multe niveluri. Din acest punct de vedere modelul Bell LaPadula este cunoscut ca modelul de securitate multinivel sau MLS (MultiLevel Secure).

Modelul de securitate Bell LaPadula este folosit în special pentru asigurarea confidenţialităţii informaţiilor. Formal, a introdus 3 principii:

 • principiul securităţii simple, prin care nu-i este permis niciunui proces să citească date aflate pe un nivel superior lui. Este cunoscut şi ca „Nu citi deasupra” (NRU – No Read Up);
 • principiul *: niciun proces nu poate să scrie date pe un nivel aflat sub el. Este cunoscut şi ca „Nu scrie dedesubt” (NWD – No Write Down);
 • principiul securităţii discreţionare: introduce o matrice de acces pentru a specifica controlul accesului discreţionar. Este cunoscut şi ca Trusted Subject (subiect de încredere). Prin acest principiu, subiectul de încredere violează principiul *, dar nu se abate de la scopul său.

Padua_1

Fig. 1: Principiile modelului de securitate Bell LaPadula

 

Modelul fixează clasa de securitate pentru fiecare obiect o O din sistem (R(o ∈ O)) şi clasa de securitate pentru fiecare subiect s ∈ S din sistem (C(s ∈ S)).
Principiul acestui model constă din faptul că atât obiectele (mulţimea O) cât şi subiectele (mulţimea S) sunt ierarhizate în raport cu o anumită combinaţie de parametri de securitate.
Sunt utilizate două funcţii ce au acelaşi codomeniu: mulţimea L ce reprezintă gama nivelurilor de securitate.

 • R : O → L – funcţia de evaluare a obiectelor;
 • C : S → L – funcţia de atribuire a utilizatorilor un domeniu.

Cele două funcţii pot fi privite ca nişte funcţii ce calculează clasa de securitate a resurselor şi respectiv a utilizatorilor.
Peste mulţimea L se defineşte o relaţie de ordine parţială astfel încât să existe o margine superioară u şi o margine inferioară l, cu următoarele proprietăţi:

 • ∀ x ∈ L : x ≤ u;
 • ∀ x ∈ L : l ≤ x.

Astfel, ∀ x ∈ L : l ≤ x ≤ u; unde l – marginea inferioară şi u – marginea superioară.
Putem analiza acum cele 3 principii introduse de modelul de securitate Bell LaPadula.

Principiul securităţii simple
Un subiect s va putea avea acces (drepturi de citire) la un obiect o numai dacă îndeplineşte condiţia:
C(s) ≥ R(o)

Astfel un utilizator poate accesa informaţiile pentru care posedă un nivel identic al clasei de securizare sau informaţiile ce au clasa de securitate inferioară clasei utilizatorului. Utilizatorii nu pot citi informaţiile ce au clasele de securitate superioare lor – principiul „Nu citi deasupra” – NRU).

Principiul *
Un subiect s va putea modifica (drepturi de scriere) un obiect o dacă îndeplineşte condiţia:
C(s) ≤ R(o)

Un utilizator nu poate modifica un obiect al cărei clasă de securizare este inferioară utilizatorului – principiul „Nu scrie dedesubt” – NWD).
Un subiect s care are drept de acces de citire pentru un obiect o va putea să aibă drept de acces la scriere asupra unui alt obiect p numai dacă:
R(p) ≥ R(o)

Această proprietate previne violarea securităţii informaţiilor prin scurgerile de informaţii din nivelele superioare spre nivelele inferioare.

Principiul securităţii discreţionare
Principiul securităţii discreţionare permite unui subiect s să scrie informaţia o la un nivel mai coborât (C(s) ≥ R(o)) atâta vreme cât s nu are acces la niciun obiect al cărui nivel să fie superior obiectului o.

Mulţimea operaţiilor de acces este definită peste produsul cartezian S x O x A, unde

 • S – o mulţime de subiecţi s;
 • O – o mulţime de obiecte o;
 • A – un set de operaţii de acces a.

Permisiunile de acces sunt definite prin matricea de control al accesului M. Această matrice este realizată ţinând cont de următoarele reguli:

 • pentru fiecare subiect se alocă câte un rând în matrice;
 • pentru fiecare obiect se alocă câte o coloană în matrice;
 • orice obiect din sistem are un proprietar;
 • orice subiect din sistem are asociat un controlor.

În modelul de securitate Bell LaPadula sunt definite 20 de funcţii ce interacţionează cu matricea M, proprietate cunoscută sub denumirea de securitate discreţionară.

Padua_2

Fig. 2.9: Modelul Bell LaPadula

 

În model este introdusă noţiunea de stare sigură a unui sistem informaţional şi se demonstrează că fiecare tranziţie de stare păstrează securitatea prin trecerea de la o stare sigură la o altă stare sigură. Un sistem este sigur dacă starea iniţială a sistemului este sigură iar toate stările de tranziţie sunt sigure.
O stare a sistemului este definită ca fiind sigură dacă singurele moduri de acces ale unui subiect la obiectele din sistem sunt în conformitate cu prevederile unei politici de securitate. Tranziţia dintr-o stare a sistemului într-o altă stare se defineşte prin funcţiile de tranziţie. Pentru a se determina corectitudinea accesării unui obiect de către un subiect, se compară domeniul subiectului cu clasificarea obiectului accesat. Astfel se observă dacă subiectul este autorizat pentru accesarea respectivului obiect.

Modelul de securitate Bell LaPadula este considerat un model de referinţă pentru dezvoltarea tehnicilor de securitate a sistemelor informaţionale, fiind primul model ce a introdus conceptul de securitate multinivel. Modelul este folosit cu precădere pentru confidenţialitatea informaţiei. Ca dezavantaj, modelul Bell LaPadula este static, fără o politică de reguli pentru crearea sau ştergerea subiecţilor şi a obiectelor sau o politică de schimbare a modurilor de acces. De aceea modelul Bell LaPadula se poate aplica doar sistemelor ce asigură o securitate statică. Un alt dezavantaj este acela că un subiect aflat pe un nivel de securitate inferior poate detecta un obiect aflat pe un nivel de securitate superior. Acest lucru este un impediment atunci când se doreşte ascunderea unui document, nu numai ascunderea conţinutului acestuia.

Sursa foto: MIHAI, Ioan-Cosmin; “Securitatea informațiilor”, Editura Sitech, 2012
Sursa articolului: MIHAI, Ioan-Cosmin; “Securitatea informațiilor”, ISBN 978-606-11-29203-4, Editura Sitech, 2012