Модель Кларка – Уилсона

Эта статья в значительной степени или полностью опирается на один источник . Соответствующее обсуждение можно найти на странице обсуждения . Пожалуйста, помогите улучшить эту статью , цитируя дополнительные источники . Найдите источники:   «Модель Кларка – Уилсона» – новости   · газеты   · книги   · ученый   · JSTOR ( сентябрь 2018 г. )

Модель целостности Кларка-Уилсона обеспечивает основу для определения и анализа политики целостности вычислительной системы.

Модель в первую очередь связана с формализацией понятия целостности информации . Целостность информации поддерживается за счет предотвращения повреждения элементов данных в системе из-за ошибки или злого умысла. Политика целостности описывает, как элементы данных в системе должны сохранять актуальность от одного состояния системы к другому, и определяет возможности различных участников в системе. Модель использует метки безопасности для предоставления доступа к объектам посредством процедур преобразования и модели ограниченного интерфейса.

Модель была описана в статье 1987 года ( «Сравнение коммерческой и военной политики компьютерной безопасности ») Дэвида Д. Кларка и Дэвида Р. Уилсона. В статье модель развивается как способ формализовать понятие целостности информации, особенно по сравнению с требованиями к системам многоуровневой безопасности (MLS), описанными в Оранжевой книге . Кларк и Уилсон утверждают, что существующие модели целостности, такие как Biba (чтение/запись), лучше подходят для обеспечения целостности данных, а не конфиденциальности информации. Модели Биба более полезны, например, в системах банковской классификации для предотвращения ненадежной модификации информации и искажения информации на более высоких уровнях классификации. Напротив, модель Кларка-Уилсона более применима к бизнес- и отраслевым процессам, в которых целостность информационного содержания имеет первостепенное значение на любом уровне классификации (хотя авторы подчеркивают, что все три модели, очевидно, будут полезны как государственным, так и отраслевым организациям). .

Согласно шестому изданию CISSP Study Guide Стюарта и Чаппла , модель Кларка-Уилсона использует многогранный подход для обеспечения целостности данных. Вместо определения формального конечного автомата модель определяет каждый элемент данных и позволяет вносить изменения с помощью лишь небольшого набора программ. В модели используется трехкомпонентная связь субъект/программа/объект (где программа взаимозаменяема с транзакцией), известная как тройка или тройка контроля доступа. В рамках этих отношений субъекты не имеют прямого доступа к объектам. Доступ к объектам возможен только через программы. Посмотрите здесь, чтобы узнать, чем это отличается от других моделей контроля доступа.

Правила применения и сертификации модели определяют элементы данных и процессы, которые обеспечивают основу для политики целостности. В основе модели лежит понятие транзакции.

• транзакция Правильно сформированная — это серия операций, которые переводят систему из одного согласованного состояния в другое согласованное состояние.
• В этой модели политика целостности обеспечивает целостность транзакций.
• Принцип разделения обязанностей требует, чтобы сертификатор сделки и исполнитель были разными лицами.

Модель содержит ряд базовых конструкций, которые представляют как элементы данных, так и процессы, которые работают с этими элементами данных. Ключевым типом данных в модели Кларка – Уилсона является ограниченный элемент данных (CDI). Процедура проверки целостности (IVP) гарантирует, что все CDI в системе действительны в определенном состоянии. Транзакции, обеспечивающие соблюдение политики целостности, представлены процедурами преобразования (TP). TP принимает в качестве входных данных CDI или элемент неограниченных данных (UDI) и создает CDI. TP должен перевести систему из одного допустимого состояния в другое допустимое состояние. UDI представляют собой входные данные системы (например, предоставленные пользователем или злоумышленником). TP должен гарантировать (через сертификацию), что он преобразует все возможные значения UDI в «безопасный» CDI.

В основе модели лежит понятие взаимосвязи между аутентифицированным субъектом (т. е. пользователем) и набором программ (т. е. TP), которые работают с набором элементов данных (например, UDI и CDI). Компоненты такого отношения вместе взятые называются тройкой Кларка–Вильсона. Модель также должна гарантировать, что разные объекты несут ответственность за управление отношениями между участниками, транзакциями и элементами данных. В качестве короткого примера: пользователь, способный сертифицировать или создать отношение, не должен иметь возможности выполнять программы, указанные в этом отношении.

Модель состоит из двух наборов правил: правил сертификации (C) и правил обеспечения соблюдения (E). Девять правил обеспечивают внешнюю и внутреннюю целостность элементов данных. Перефразируя это:

C1 — при выполнении IVP необходимо убедиться, что CDI действительны.

C2 — для некоторого связанного набора CDI TP должен преобразовать эти CDI из одного допустимого состояния в другое.

Поскольку мы должны убедиться, что эти TP сертифицированы для работы на конкретном CDI, у нас должны быть E1 и E2.

E1 — Система должна поддерживать список сертифицированных отношений и гарантировать, что только TP, сертифицированные для работы с CDI, изменяют этот CDI.

E2 — Система должна связать пользователя с каждым TP и набором CDI. TP может получить доступ к CDI от имени пользователя, если это «законно».

E3-Система должна аутентифицировать личность каждого пользователя, пытающегося выполнить TP.

Для этого необходимо отслеживать тройки (пользователь, TP, {CDI}), называемые «разрешенными отношениями».

C3 — Разрешенные отношения должны соответствовать требованиям «разделения обязанностей».

Нам нужна аутентификация, чтобы отслеживать это.

C4 — все TP должны добавлять в журнал достаточно информации для восстановления операции.

Когда информация поступает в систему, ей не обязательно доверять или ограничивать ее (т.е. это может быть UDI). Мы должны относиться к этому соответствующим образом.

C5 — Любой TP, который принимает UDI в качестве входных данных, может выполнять действительные транзакции только для всех возможных значений UDI. TP либо примет (преобразует в CDI), либо отклонит UDI.

Наконец, чтобы люди не могли получить доступ путем изменения квалификации ТП:

E4 — Только сертификатор TP может изменить список объектов, связанных с этим TP.

Вариантом Кларка-Уилсона является модель CW-lite, которая ослабляет первоначальное требование формальной проверки семантики TP. Семантическая проверка отложена до отдельной модели и общих формальных инструментов доказательства.

• Проблема запутанного депутата

• Кларк, Дэвид Д.; и Уилсон, Дэвид Р.; Сравнение коммерческой и военной политики компьютерной безопасности ; в материалах симпозиума IEEE 1987 г. по исследованиям в области безопасности и конфиденциальности (SP'87), май 1987 г., Окленд, Калифорния ; IEEE Press, стр. 184–193.
• Чаппл, Майк; Стюарт, Джеймс и Гибсон Дэррил; Сертифицированный специалист по безопасности информационных систем; Официальное учебное пособие (8-е издание), 2018 г., John Wiley & Sons, Индиана
• Шанкар, Умеш; Джагер, Трент; и Зайлер, Райнер; «На пути к автоматизированной проверке целостности информационных потоков для критически важных с точки зрения безопасности приложений» ; в «Материалах симпозиума по безопасности сетей и распределенных систем 2006 г. (NDSS '06), февраль 2006 г., Сан-Диего, Калифорния»; Internet Society, стр. 267–280.

• Слайды о Кларке-Уилсоне, которые профессор Мэтт Бишоп использовал для преподавания компьютерной безопасности.
• http://doi.ieeecomputersociety.org/10.1109/SP.1987.10001