מושג חשוב בתכנון וניתוח מערכות מאובטחות הוא מודל האבטחה (Security Model). המודל ינחה את אופן גישת הארגון\חברה לאכיפת מדיניות ונהלי אבטחה שנקבעו. באופן כללי, המודל הינו הייצוג לנהלים ולתקנות, וממפה את דרישות קובעי המדיניות לאוסף כללים מוסכמים שעל-פיהם יש לעבוד.
מודל אבטחה מתואר באופן אנליטי ומוצג בד"כ בשפה לוגית ופורמלית – קרי, מתמטית.
נניח כי לארגון מסוים קיימת מדיניות אבטחת מידע מקיפה, וע"פ המדיניות נקבע כי "כל אדם\יישות המבקש לגשת לאובייקט מסוים – חייב באימות מקדים." מודל האבטחה מקבל דרישה זו ומספק את המשאבים הנדרשים כגון נוסחאות מתמטיות, מבנים לוגים וקשרים בין מערכות שונות, וזו כדי להשיג את המטרה, קרי דרישת המדיניות.
הקשר בין מודל אבטחה למדיניות אבטחה
ניקח את האנלוגיה הבאה;
נניח כי מישהו אומר לך "תחיה חיים בריאים ואחראיים". כמובן, המשפט טעון הבנה, שכן לחיות בריא זה מושג מופשט, רחב מאוד. לכן, אם תשאל את אותו אדם איך לעשות כן, הוא כנראה יסביר מה עלייך לעשות ומה לא לעשות (לא לפגוע בזולת, לאכול ירקות, לישון היטב, לצחצח שיניים, וכו.). מדיניות אבטחת המידע, לצורך העניין, הינה אוסף המטרות שדורש הארגון, ומוצג בד"כ באופן תמציתי וענייני בלבד. מודל האבטחה מספק את עקרונות ה-"עשה-אל-תעשה" כדי להגשים מטרות אלה.
מודל בל-לפדולה (Bell-LaPadula Model)
בשנות ה70, עת צבא ארה"ב החל שימוש במערכות מסונכרנות ומשותפות-זמן (Mainframe)– היה קיים חשש לגבי אופן אבטחת המערכות וכן חשש ממשי מדליפת מידע מסווג. על-כן, מודל בל-לפדולה פותח במיוחד לענות על דרישות הצבא. זהו המודל המתמטי הראשון שפותח לנהלי אבטחה רב-שכבתית. המודל מסוגל להגדיר מצבי גישה, התוויה וכללים לאופן גישה. פיתוח המודל מומן ע"י האמריקאים ומטרתו היתה לספק מעין מסגרת אבטחתית למערכות המעבדות והמאחסנות מידע רגיש. המטרה העיקרית של המודל הינה מניעת גישה בלתי-מורשית למידע סודי או מסווג.
מערכת המיישמת מודל זה מכונה "מערכת מאובטחת-הדרגתית" (Multilevel Security System – MLS System). מקור הכינוי מעיד כי מערכת כזו מאופיינת במשתמשים עם מגוון הרשאות לשימוש ספציפי ומיועד, וכן בעיבוד תהליכים כפונקציה של ההרשאות(דרגות, במקרה שלנו).
מודל בל-לפדולה מיישם את עקרון הסודיות (Confidentiality) בבקרות גישה בפרט, ובאבטחת מידע בכלל. בד"כ בקרת הגישה במודל זה מוגדרת במטריצת-גישות, כלומר אימות פעולה נעשית בהשוואה לרמת הגישה של מבקש הפעולה – לרמת הסיווג של האוביקט (אליו מבקשים גישה).
מודל בל-לפדולה הינו כפוף-אוביקט ומורכב מ-סובייקט, אובייקט ופעולות גישה (קריאה, כתיבה, קריאה\כתיבה). דוגמא טובה היא איך אתה (הסובייקט, נושא), ניגש לקרוא נתונים (אובייקט) ממסד-נתונים מסוים, ו\או לכתוב נתונים אל אותו מסד-נתונים. המודל מתמקד בעקרון המבטיח כי גישה לאובייקט תעשה רק אם הסובייקט(אתה, לדוגמא) הינו בעל סיווג מתאים וכן כי הסובייקט מאומת כראוי וע"פ הנהלים.
שלושה כללים עיקריים מנחים את אופן השימוש והאכיפה במודל; כלל אבטחה פשוט, כלל הכוכב וכלל הכוכב החזק.
הכלל הפשוט קובע כי אדם בעל סיווג מסוים לא יכול לקרוא נתונים הנמצאים ברמת סיווג גבוהה יותר. בשפה פורמלית – "No read up" .
כלל הכוכב קובע כי אדם בעל סיווג מסוים לא יכול לכתוב נתונים הנמצאים ברמת סיווג נמוכה יותר. בשפה פורמלית – "No write down" .
כלל הכוכב החזק קובע כי אדם בעל סיווג מסוים יהיה רשאי לכתוב ולקרוא נתונים רק אם רמת סיווג הנתונים הינה באותה רמת סיווג של האדם.
לצורך המחשה, נניח כי אדם מסוים הינו בעל רמת סיווג סודית. להלן האפשרויות לזרימת המידע:
מודל אבטחה מתואר באופן אנליטי ומוצג בד"כ בשפה לוגית ופורמלית – קרי, מתמטית.
נניח כי לארגון מסוים קיימת מדיניות אבטחת מידע מקיפה, וע"פ המדיניות נקבע כי "כל אדם\יישות המבקש לגשת לאובייקט מסוים – חייב באימות מקדים." מודל האבטחה מקבל דרישה זו ומספק את המשאבים הנדרשים כגון נוסחאות מתמטיות, מבנים לוגים וקשרים בין מערכות שונות, וזו כדי להשיג את המטרה, קרי דרישת המדיניות.
הקשר בין מודל אבטחה למדיניות אבטחה
ניקח את האנלוגיה הבאה;
נניח כי מישהו אומר לך "תחיה חיים בריאים ואחראיים". כמובן, המשפט טעון הבנה, שכן לחיות בריא זה מושג מופשט, רחב מאוד. לכן, אם תשאל את אותו אדם איך לעשות כן, הוא כנראה יסביר מה עלייך לעשות ומה לא לעשות (לא לפגוע בזולת, לאכול ירקות, לישון היטב, לצחצח שיניים, וכו.). מדיניות אבטחת המידע, לצורך העניין, הינה אוסף המטרות שדורש הארגון, ומוצג בד"כ באופן תמציתי וענייני בלבד. מודל האבטחה מספק את עקרונות ה-"עשה-אל-תעשה" כדי להגשים מטרות אלה.
מודל בל-לפדולה (Bell-LaPadula Model)
בשנות ה70, עת צבא ארה"ב החל שימוש במערכות מסונכרנות ומשותפות-זמן (Mainframe)– היה קיים חשש לגבי אופן אבטחת המערכות וכן חשש ממשי מדליפת מידע מסווג. על-כן, מודל בל-לפדולה פותח במיוחד לענות על דרישות הצבא. זהו המודל המתמטי הראשון שפותח לנהלי אבטחה רב-שכבתית. המודל מסוגל להגדיר מצבי גישה, התוויה וכללים לאופן גישה. פיתוח המודל מומן ע"י האמריקאים ומטרתו היתה לספק מעין מסגרת אבטחתית למערכות המעבדות והמאחסנות מידע רגיש. המטרה העיקרית של המודל הינה מניעת גישה בלתי-מורשית למידע סודי או מסווג.
מערכת המיישמת מודל זה מכונה "מערכת מאובטחת-הדרגתית" (Multilevel Security System – MLS System). מקור הכינוי מעיד כי מערכת כזו מאופיינת במשתמשים עם מגוון הרשאות לשימוש ספציפי ומיועד, וכן בעיבוד תהליכים כפונקציה של ההרשאות(דרגות, במקרה שלנו).
מודל בל-לפדולה מיישם את עקרון הסודיות (Confidentiality) בבקרות גישה בפרט, ובאבטחת מידע בכלל. בד"כ בקרת הגישה במודל זה מוגדרת במטריצת-גישות, כלומר אימות פעולה נעשית בהשוואה לרמת הגישה של מבקש הפעולה – לרמת הסיווג של האוביקט (אליו מבקשים גישה).
מודל בל-לפדולה הינו כפוף-אוביקט ומורכב מ-סובייקט, אובייקט ופעולות גישה (קריאה, כתיבה, קריאה\כתיבה). דוגמא טובה היא איך אתה (הסובייקט, נושא), ניגש לקרוא נתונים (אובייקט) ממסד-נתונים מסוים, ו\או לכתוב נתונים אל אותו מסד-נתונים. המודל מתמקד בעקרון המבטיח כי גישה לאובייקט תעשה רק אם הסובייקט(אתה, לדוגמא) הינו בעל סיווג מתאים וכן כי הסובייקט מאומת כראוי וע"פ הנהלים.
שלושה כללים עיקריים מנחים את אופן השימוש והאכיפה במודל; כלל אבטחה פשוט, כלל הכוכב וכלל הכוכב החזק.
הכלל הפשוט קובע כי אדם בעל סיווג מסוים לא יכול לקרוא נתונים הנמצאים ברמת סיווג גבוהה יותר. בשפה פורמלית – "No read up" .
כלל הכוכב קובע כי אדם בעל סיווג מסוים לא יכול לכתוב נתונים הנמצאים ברמת סיווג נמוכה יותר. בשפה פורמלית – "No write down" .
כלל הכוכב החזק קובע כי אדם בעל סיווג מסוים יהיה רשאי לכתוב ולקרוא נתונים רק אם רמת סיווג הנתונים הינה באותה רמת סיווג של האדם.
לצורך המחשה, נניח כי אדם מסוים הינו בעל רמת סיווג סודית. להלן האפשרויות לזרימת המידע:
