Вопрос 19. Модели контроля целостности. Модель Кларка-Вилсона.

Появилась в 1987г., чтобы заменить модель Биба.

Описание: включает два множества: объектов и субъектов.

Объекты – это данные, хранящиеся и обрабатываемые в информационной системе. Множество данных разделено на два непересекающихся подмножества:

1) CDI (контролируемые элементы данных) – Constrained Data Item;

2) UDI (неконтролируемые элементы данных) - Unconstrained Data Item.

Особенность: Транзакция – последовательность операций, переводящих систему из одного состояния в другое.

Субъекты – элементы системы, которые инициируют транзакции. Правильно сформированные транзакции называются TP – Transformation Procedure. Еще один вид процедур – это процедуры проверки: IVP – Integration Verification Procedure, предназначенных для проверки целостности ограниченной системы данных.

Правила: вектор (S, t, d) – какие процедуры (t) может выполнять субъект (S) над элементами данных (d). . Если такой вектор не определен для субъекта, то значит он не может выполнять процедуры.

1) в системе должны быть определены процедуры проверки целостности, которые подтверждают целостность любого элемента из множества контролируемых данных (IVP);

2) применение процедуры преобразования к любому контролируемому элементу данных должно сохранять его целостность (ТР);

3) только процедуры преобразования могут модифицировать контролируемые элементы данных (в системе может быть определено множество процедур, из которых выделяют подмножества, с помощью которых можно менять контролируемые элементы) (ТР);

4) субъекты могут инициировать только определенные процедуры преобразования и только над определенными контролируемыми элементами данных;

5) все определенные вектора должны реализовывать установленную политику разделения обязанностей субъекта;

6) существуют специальные процедуры преобразования, которые превращают контролируемые элементы данных в контролируемые, тем самым повышается уровень целостности UDI→CDI;

7) Каждое применение процедуры преобразования должно регистрироваться в специальном контролируемом элементе данных, доступным только для добавления информации, т.е. в системе должен вестись специальный журнал всех действий пользователя;

8) система должна распознавать субъекты, которые инициируют процедуру преобразования;

9) система должна разрешать изменения в списках авторизации только определенным субъектам.

«+» (в сравнении с моделью Биба): возможность повышения уровня целостности; наличие процедур контроля целостности.

«-»: наличие всего двух уровней контроля целостности.

Модифицированная модель Кларка-Вилсона. В ней можно ставить два и более уровней целостности.

Вопрос 21. Объединение моделей безопасности и контроля целостности. Модель Липнера.

При объединении существуют два варианта:

1) Универсальный – при анализе системы строится универсальная модель на основе двух и более моделей Б и КЦ.

2) Отдельно применение моделей Б и КЦ. Выбираются две или более моделей и каждая применяется по отдельности, затем результаты сравниваются. Объединяться могут модель Б совместно с моделью КЦ. Наиболее часто Белла Ла Падула и модель Биба. Причем при объединении возможны варианты: устанавливаются одни уровни безопасности и целостности; высокие уровень безопасности приравнивается к низкому уровню целостности. Объединение двух моделей КЦ: модель Биба и Кларка-Вилсона.

Универсальная модель Липнера – объединение модели Белл Ла Падула и модели Биба. Применяется при разработке и эксплуатации программного обеспечения. Практическое применение моделей находят в программно-аппаратных комплексах безопасности и в документах таких как политика безопасности. В ПБ включают как минимум две модели безопасности.