Модель Кларка–Уилсона

Эта статья в значительной степени или полностью основана на одном источнике . Соответствующее обсуждение можно найти на странице обсуждения . Пожалуйста, помогите улучшить эту статью, добавив ссылки на дополнительные источники . Найти источники:  «Модель Кларка–Уилсона» – новости  · газеты  · книги  · ученый  · JSTOR ( сентябрь 2018 г. )

Модель целостности Кларка–Уилсона обеспечивает основу для определения и анализа политики целостности для вычислительной системы.

Модель в первую очередь занимается формализацией понятия целостности информации . Целостность информации поддерживается путем предотвращения повреждения элементов данных в системе из-за ошибки или злого умысла. Политика целостности описывает, как элементы данных в системе должны поддерживаться действительными от одного состояния системы к другому, и определяет возможности различных принципалов в системе. Модель использует метки безопасности для предоставления доступа к объектам через процедуры преобразования и ограниченную модель интерфейса.

Модель была описана в статье 1987 года ( Сравнение политик коммерческой и военной компьютерной безопасности ) Дэвида Д. Кларка и Дэвида Р. Уилсона. В статье модель разрабатывается как способ формализации понятия целостности информации, особенно по сравнению с требованиями к системам многоуровневой безопасности (MLS), описанными в Оранжевой книге . Кларк и Уилсон утверждают, что существующие модели целостности, такие как Biba (чтение вверх/запись вниз), лучше подходят для обеспечения целостности данных, а не конфиденциальности информации. Модели Biba более явно полезны, например, в банковских системах классификации для предотвращения недоверенной модификации информации и порчи информации на более высоких уровнях классификации. Напротив, модель Кларка-Уилсона более явно применима к бизнес- и отраслевым процессам, в которых целостность информационного содержания имеет первостепенное значение на любом уровне классификации (хотя авторы подчеркивают, что все три модели, очевидно, полезны как для государственных, так и для отраслевых организаций).

Согласно шестому изданию руководства по CISSP Stewart and Chapple , модель Кларка–Уилсона использует многогранный подход для обеспечения целостности данных. Вместо определения формального конечного автомата модель определяет каждый элемент данных и допускает изменения только через небольшой набор программ. Модель использует трехчастную связь субъект/программа/объект (где программа взаимозаменяема с транзакцией), известную как триплет или триплет контроля доступа. В рамках этой связи субъекты не имеют прямого доступа к объектам. Доступ к объектам возможен только через программы. Посмотрите здесь, чтобы увидеть, чем это отличается от других моделей контроля доступа.

Правила исполнения и сертификации модели определяют элементы данных и процессы, которые обеспечивают основу для политики целостности. Ядро модели основано на понятии транзакции.

• Правильно сформированная транзакция — это серия операций, которые переводят систему из одного согласованного состояния в другое согласованное состояние.
• В этой модели политика целостности касается целостности транзакций.
• Принцип разделения обязанностей требует, чтобы удостоверитель транзакции и исполнитель были разными лицами.

Модель содержит ряд базовых конструкций, которые представляют как элементы данных, так и процессы, которые работают с этими элементами данных. Ключевым типом данных в модели Кларка-Уилсона является ограниченный элемент данных (CDI). Процедура проверки целостности (IVP) гарантирует, что все CDI в системе действительны в определенном состоянии. Транзакции, которые обеспечивают политику целостности, представлены процедурами преобразования (TP). TP принимает в качестве входных данных CDI или неограниченный элемент данных (UDI) и создает CDI. TP должен перевести систему из одного допустимого состояния в другое допустимое состояние. UDI представляют входные данные системы (например, предоставленные пользователем или злоумышленником). TP должен гарантировать (посредством сертификации), что он преобразует все возможные значения UDI в «безопасный» CDI.

В основе модели лежит понятие отношения между аутентифицированным принципалом (т. е. пользователем) и набором программ (т. е. TP), которые работают с набором элементов данных (например, UDI и CDI). Компоненты такого отношения, взятые вместе, называются тройкой Кларка-Уилсона. Модель также должна гарантировать, что разные сущности отвечают за управление отношениями между принципалами, транзакциями и элементами данных. В качестве короткого примера, пользователь, способный сертифицировать или создавать отношение, не должен иметь возможности выполнять программы, указанные в этом отношении.

Модель состоит из двух наборов правил: Правила сертификации (C) и Правила обеспечения (E). Девять правил обеспечивают внешнюю и внутреннюю целостность элементов данных. Перефразируя их:

C1 — При выполнении IVP необходимо убедиться в действительности CDI.

C2 — Для некоторого связанного набора CDI TP должен преобразовать эти CDI из одного допустимого состояния в другое.

Поскольку мы должны убедиться, что эти TP сертифицированы для работы с определенным CDI, у нас должны быть E1 и E2.

E1 — Система должна вести список сертифицированных отношений и гарантировать, что только TP сертифицированы для работы на изменении CDI, которое происходит в CDI.

E2 — Система должна связать пользователя с каждым TP и набором CDI. TP может получить доступ к CDI от имени пользователя, если это «законно».

E3-Система должна аутентифицировать личность каждого пользователя, пытающегося выполнить TP.

Для этого необходимо отслеживать тройки (пользователь, TP, {CDI}), называемые «разрешенными отношениями».

C3 — Разрешенные отношения должны соответствовать требованиям «разделения обязанностей».

Для отслеживания этого нам нужна аутентификация.

C4 — Все TP должны добавлять в журнал достаточно информации для реконструкции операции.

Когда информация поступает в систему, она не должна быть доверенной или ограниченной (т.е. может быть UDI). Мы должны соответствующим образом с этим справиться.

C5 — Любой TP, который принимает UDI в качестве входных данных, может выполнять только допустимые транзакции для всех возможных значений UDI. TP либо примет (преобразует в CDI), либо отклонит UDI.

Наконец, чтобы предотвратить получение доступа путем изменения квалификации TP:

E4 — Только сертифицирующий орган TP может изменять список субъектов, связанных с этим TP.

Вариантом модели Кларка-Уилсона является модель CW-lite, которая смягчает изначальное требование формальной проверки семантики TP. Семантическая проверка откладывается до отдельной модели и общих формальных инструментов доказательства.

• Запутанная проблема депутата

• Кларк, Дэвид Д.; и Уилсон, Дэвид Р.; Сравнение коммерческой и военной компьютерной политики безопасности; в Трудах симпозиума IEEE 1987 года по исследованиям в области безопасности и конфиденциальности (SP'87), май 1987 г., Окленд, Калифорния ; IEEE Press, стр. 184–193
• Чаппл, Майк; Стюарт, Джеймс и Гибсон Даррил; Сертифицированный специалист по безопасности информационных систем; Официальное учебное пособие (8-е издание) 2018 г., John Wiley & Sons, Индиана
• Шанкар, Умеш; Джегер, Трент; и Сайлер, Райнер; «На пути к автоматизированной проверке целостности потока информации для приложений, критически важных для безопасности»; в «Трудах симпозиума по безопасности сетей и распределенных систем 2006 года (NDSS '06), февраль 2006 г., Сан-Диего, Калифорния»; Internet Society, стр. 267–280

• Слайды о Кларке-Уилсоне, используемые профессором Мэттом Бишопом для обучения компьютерной безопасности
• http://doi.ieeecomputersociety.org/10.1109/SP.1987.10001