Формальные модели целостности Модель Кларка-Вилсона

Модель целостности Кларка-Вилсона была предложена в 1987 г. как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций – скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС.

Введём следующие обозначения:

- S – множество субъектов;

- D – множество данных в автоматизированной системе (множество объектов);

- CDI (Constrained Data Items) – данные, целостность которых контролируется;

- UDI (Unconstrained Data Items) – данные, целостность которых не контролируется;

При этом

- TP (Transformation Procedure) – процедура преобразования, т.е. компонент, котрый может инициировать транзакцию – последовательность операций, переводящую систему из одного состояния в другое;

- IVP (Integrity Verification Procedure) – процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого CDI.

Примером IVP может служить механизм подсчёта контрольных сумм.

2. Применение любой TP к любому CDI должно сохранять целостность этого CDI.

3. Только TP могут вносить изменения в CDI.

4. Субъекты могут инициировать только определённые TP над определёнными CDI.

Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где . Если отношение определено, то субъект s может применить преобразование t к объекту d.

5. Должна быть обеспечена политика разделения обязанностей субъектов – т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.

6. Специальные TP могут превращать UDI в CDI.

7. Каждое применение TP должно регистрироваться в специальном CDI. При этом:

- данный CDI должен быть доступен только для добавления информации;

- в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.

8. Система должна распознавать субъекты, пытающиеся инициировать TP.

9. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности).

Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.

Модель Биба

Модель Биба была разработана в 1977 году как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных. Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостностиΛ = (IC,≤,•, ⊗), где IC – классы целостности данных.

Базовые правила Модели Биба формулируются следующим образом:

1. Простое правило целостности (Simple Integrity, si).

Субъект с уровнем целостности x_s может читать информацию из объекта с уровнем целостности x_o тогда и только тогда, когда x_o преобладает над x_s.

2. * - свойство (* - integrity).

Субъект с уровнем целостности x_s может писать информацию в объект с уровнем целостности x_o тогда и только тогда, когда x_s преобладает над x_o.

Для первого правила существует мнемоническое обозначение No Read Down, а для второго – No Write Up.

Диаграмма информационных потоков, соответствующая реализации модели Биба в системе с двумя уровнями секретности, приведена на рисунке.

Рисунок.- Диаграмма информационных потоков (модель Биба)

Отдельного комментария заслуживает вопрос, что именно понимается в модели Биба под уровнями целостности. Действительно, в большинстве приложений целостность данных рассматривается как некое свойство, которое либо сохраняется, либо не сохраняется – и введение иерархических уровней целостности может представляться излишним. В действительности уровни целостности в модели Биба стоит рассматривать как уровни достоверности, а соответствующие информационные потоки – как передачу информации из более достоверной совокупности данных в менее достоверную и наоборот.

Формальное описание модели Биба полностью аналогично описанию модели Белла-ЛаПадулы.

К достоинствам модели Биба следует отнести её простоту, а также использование хорошо изученного математического аппарата. В то же время модель сохраняет все недостатки, присущие модели Белла-ЛаПадулы