geändert werden, was zu hohen Schäden führen kann. Ein subtilerer
Nachteil ergibt sich aus der Tatsache, dass Subjekte beispielsweise die
Existenz von sensitiven Objekten erfahren können. % Umschreiben % Zwar
ist Bell-LaPadula dynamischer als das in der Einleitung vorgestellte
Modell, doch sind die Zugriffskontrollmatrix \(M\) und die Funktionen
\(f_s, f_o\) unveränderlich.
konfliktfreie Zuordnung von Beratern zu Objekten. Doch wie kann
garantiert werden, dass eine Zuordnung konfliktfrei ist? % Wieso auch
bei Lesezugriffen? % Es ist naheliegend, dass bei jedem Schreib- oder
Lesezugriff $(s, o, a) \in \calS \times \calO \times \calA$ ein Konflikt
entsteht, falls \(s\) in der Vergangenheit bereits Zugriff auf ein
Objekt hatte, das in Konflikt mit \(y(o)\) steht. Formal definieren wir: