it-swarm-korea.com

Bell-LaPadula와 Biba가 함께

이론적으로 Bell-Lapaluda 보안 모델을 운영 체제에서 Biba 무결성 모델로 구현할 수 있습니까? 아니면 상호 배타적입니까?

[편집 : SU의 이 질문 후속 조치]

8
Will Kunkel

기술적으로는 충돌하지 않지만 기능적으로는 충돌합니다.
둘 다 구현할 수 있습니다.

  • 읽지 않음
  • 쓰기 없음
  • 읽지 않음
  • 기록하지 않음

즉, 사용자는 자신의 분류 수준에서만 읽고 쓸 수 있습니다.

모델이 (강력한 * 속성과 함께) 이들을 결합하는 것을 명시 적으로 지원하지만, 원하는 이유, 그러한 모델이 필요한 상황 및 달성하려는 이점을 파악하는 데 어려움이 있습니다. (나는 이것을 실제로 사용하거나 본 적이 없다는 것을 인정합니다).

이것은 사용자 클래스 사이에 어떤 형태의 엄격한 분리를 구현하려는 것처럼 보이며 그렇게하는 더 간단한 방법이 있다고 생각합니다.


운영 체제-현재 OS가이를 지원하지 않는다는 사실을 제외하고 (아마도 특수 군사 시스템의 가능한 예외를 제외하고) 당신은 다시 생성 할 것입니다. 사용자 클래스 간의 매우 강력한 분리. 각 클래스에 공유 할 수없는 고유 한 공간을 효과적으로 부여합니다.

그러나 그 이상이 시스템 전체에 해당한다고 가정하면 프로그램 파일을 공유 할 수있는 방법이 없습니다. OS/시스템 코드. 따라서 강력한 VM을 구현하는 데 부족하지 않습니다 (음, Qubes가이를 지원할까요?). OS에서이를 구현할 방법이 없습니다 (시스템의 part로 제한하지 않는 한, 다시 의미가 없게됩니다.) ...)

2
AviD

그들은 직교하기 때문에 서로 배타적이지 않습니다. 서로 다른 문제를 모두 다룹니다. 하나는 기밀성을 다루고 다른 하나는 정직성을 다룹니다. @AviD는 두 가지의 조합을 '강한 * 속성'이라고 정확하게 지적했습니다.이 속성은 자신이 아닌 다른 수준에서 읽거나 쓰는 것을 허용하지 않습니다. 이 아이디어는 Biba-LaPadulla에 내재 된 문제인 상태 없음과 싸우기 위해 도입되었습니다. A, B 및 C의 세 가지 수준이 있고 B가 A에서 읽고 C에 쓸 수있는 경우 이러한 전송을 허용하는 명시적인 규칙이 없더라도 A에서 C로 데이터를 이동할 수 있습니다. 전체 '상태 없음'은 너무 심각하게 제한되어 Biba-LaPadulla는 보안 학생에게 처음이자 가장 간단한 보안 모델로만 가르칩니다. 정말 장난감이고 교육적인 구조입니다.

3
Marcin