Nel modello Bell-LaPadula (BLP), le regole principali sono:

• No Read Up (NRU): un soggetto non può leggere dati da un livello di sicurezza superiore.
• No Write Down (NWD): un soggetto non può scrivere dati verso livelli inferiori.

Queste regole proteggono la riservatezza, ma possono compromettere l’integrità: ad esempio, permettere a soggetti meno affidabili di scrivere su dati critici (write-up) o a soggetti affidabili di leggere dati compromessi (read-down).

Per affrontare questi problemi, Biba (anch’egli al MITRE) propose un modello simile a BLP, ma con regole invertite, pensate per garantire l’integrità dei dati:

Regole del modello di integrità di Biba

• No Read Down (NRD): un soggetto non può leggere dati da un livello di integrità più basso (evita contaminazione da fonti inaffidabili).
• No Write Up (NWU): un soggetto non può scrivere dati verso livelli di integrità più alti (evita che informazioni meno affidabili influenzino dati più critici).

Varianti rilassate delle regole

Per rendere il modello più flessibile, Biba propose anche delle varianti dinamiche:

• Proprietà "Low Water-Mark" per i soggetti:

  Permette a un soggetto di leggere dati da livelli inferiori, ma abbassa il suo livello di integrità a quello dell’oggetto letto.

• Proprietà "Low Water-Mark" per gli oggetti:

  Quando un soggetto scrive su un oggetto, l’integrità dell’oggetto viene abbassata al livello del soggetto.

Integrazione con BLP

Sebbene non sia possibile combinare direttamente i modelli Biba e BLP (perché le loro regole sono opposte), è possibile usarli insieme per gestire sia la riservatezza che l’integrità in un sistema, adottando politiche diverse a seconda delle esigenze.

Struttura del modello di Biba

• Si basa su un reticolo (L, ≤) di livelli di integrità.