Модель безпеки військової системи передачі даних
Суб'єкти
можуть виконувати спеціалізовані
операції над об'єктами складної структури.
У моделі присутній адміністратор безпеки
для управління доступом до даних і
пристроєм глобальної мережі передачі
даних. При цьому для управління доступом
використовуються матриці контролю
доступу. В рамках моделі використовуються
операції доступу суб'єктів до об'єктів
READ, WRITE, DELETE, операції над об'єктами
специфічної структури, а також можуть
з'являтися операції, спрямовані на
специфічну обробку інформації. Стан
системи змінюється за допомогою функції
трансформації.
Модель Кларка-Вілсона
Десять років опісля була розроблена модель Кларка-Вілсона, що забезпечує вимогу цілісності більш практичним методом. У 1993 році модель була розширена і включила в себе поділ обов'язків. Основною областю застосування даної моделі є комерція, зокрема банківська справа.
В основі концепції моделі коштують 2 принципи:
Внутрішня цілісність - властивості внутрішнього стану системи, що досягаються за допомогою "Правильних угод".
Зовнішня цілісність - взаємодія внутрішнього стану системи з зовнішньому світом, реалізована за допомогою розділення обов'язків.
Модель реалізована за допомогою набору правил, і, на відміну від попередніх моделей, не є математично формалізованої моделлю. Також суб'єкти тепер не мають прямого доступу до об'єктів, між суб'єктом і об'єктом знаходиться "шар" програм, які має доступ до об'єктів. Контроль за доступом до системи є вільним.
Контроль за доступом до даних розділений на 2 групи:
Визначаються операції доступу, які можна робити над кожним типом даних (тільки певний набір програм має доступ до певних об'єктів).
Визначаються операції доступу, які можуть бути вироблені певним суб'єктом (суб'єкт має доступ тільки до певного набору програм).
Всі
дані в моделі Кларка-Вілсона розділені
на 2 класи:
Необхідний елемент даних (CDI).
Спонтанний елемент даних (UDI).
Далі встановлюється набір правил, що регулюють взаємодію з обома типами даних:
Всі початкові процедури перевірки (IVP) повинні переконатися в тому, що всі CDI знаходяться в достовірному стані під час роботи IVP.
Всі процедури зміни (TP) повинні бути сертифіковані, щоб бути достовірними, тобто всі достовірні CDI повинні переходити в достовірні CDI, причому кожна процедура зміни мають право на доступ тільки до певного набору CDI.
Правила доступу повинні задовольняти всім вимогам розподілу обов'язків.
Всі процедури зміни повинні бути записані в доступний тільки-на-додавання журнал.
Будь-яка процедура зміни, що отримала на вхід UDI повинна або перетворити його в CDI, або скасувати операцію.
Цей набір правил дозволяє забезпечити роботу з даними в такому режимі, коли повністю забезпечена безпека та підзвітність переходів в системі. Головне досягнення цих правил в порівнянні з моделлю Біба - поділ процедур з перевірки цілісності та процедур зміни. Дозволяє запобігти або виправити більшість нелегальних дій, скоєних зсередини комерційної організації.
Для посилення захисту в модель Кларка-Вілсона був введений ще один набір правил:
Система повинна підтримувати і захищати список (Tpi: CDIa, CDIb ,...), сопоставляющий TP і CDI і сертифікуючий доступ до них.
Система повинна підтримувати і захищати список (UserID, Tpi: CDIa, CDIb ,...), визначає, які TP користувач може виконувати.
Система повинна автентифікувати кожного користувача, що запитує виконання процедури зміни.
Тільки допущений до сертифікації правил доступу для TP суб'єкт може змінювати відповідні записи в списку. Цей суб'єкт не повинен мати прав на виконання даного TP.
Це
зведення правил забезпечує додатковий
захист для процедур зміни.
Незважаючи
на видиму відсутність недоліків модель
Кларка-Вілсона часто не може бути
реалізована в житті в повному обсязі
через відсутність єдиної математичної
моделі. Основна складність полягає в
неможливості точного зіставлення
реальної системи правил роботи банку
значного розміру з моделлю, оскільки в
моделі не закладені методи реалізації
наборів правил.