Bell LaPadula

Das Bell-LaPadula-Modell stellt eine Sicherheit mit Schutzstufen dar: Objekte werden vertikal (nach Schutzstufe) unterteilt, Subjekte werden einer Schutzstufe zugeordnet. Objekte und Subjekte werden dabei in gemeinsame Schutzstufen (vertraulich, geheim, streng geheim) eingeordnet. Die Schutzstufe des Objektes wird auch als Classifikation (Klassifizierung) und die Schutzstufe des Subjektes als Clearance (Freigabe) bezeichnet. Ein lesender Zugriff kann nur erfolgen, wenn die Clearance des Subjektes nicht niedriger ist als die Classification des Objektes (no-read-up). Diese Regel garantiert die Vertraulichkeit und realisiert die Zugriffskontrolle. Das Bell-LaPadula-Modell regelt aber auch den Informationsfluss. Ein Schreibzugriff darf nur auf ein Objekt erfolgen, dessen Classification nicht niedriger als die Clearance des Subjektes ist (no-write-down).

Durch diese zwei Regeln treten bei dem Bell-La-Padula-Modell zwei besonders schwerwiegende Probleme auf:

• Ein Benutzer mit einer hohen Clearance kann keine Anweisung an einen Benutzer mit einer niedrigen Clearance verfassen, so dass dieser sie lesen darf.
• Ein Benutzer niedriger Clearance kann Dokumente höherer Classification ergänzen, aber diese Änderungen nicht selbst lesen. Dieses blinde Schreiben stellt ein großes Problem für die Datenintegrität dar.

Generell ist das Ziel dieses Modells nicht die Integrität sondern die Vertraulichkeit.