2.4. Формальные модели целостности
2.4. Формальные модели целостности
2.4.1. Модель Кларка-Вилсона
Модель целостности Кларка-Вилсона была предложена в 1987 г. [13] как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций - скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС.
Введём следующие обозначения:
- S - множество субъектов;
- D - множество данных в автоматизированной системе (множество объектов); CDI (Constrained Data Items) - данные, целостность которых контролируется;
- UDI (Unconstrained Data Items) - данные, целостность которых не контролируется;
- При этом D=CDI u UDI, CDI ∩ UDI =Ø.
- TP (Transformation Procedure) - процедура преобразования, т.е. компонент, который может инициировать транзакцию - последовательность операций, переводящую систему из одного состояния в другое;
- IVP (Integrity Verification Procedure) - процедура проверки целостности CDI.
Правила модели Кларка-Вилсона:
- В системе должны иметься IVP, способные подтвердить целостность любого CDI.
- Примером IVP может служить механизм подсчёта контрольных сумм.
- Применение любой ТР к любому CDI должно сохранять целостность этого CDI.
- Только ТР могут вносить изменения в CDI.
- Субъекты могут инициировать только определённые ТР над определёнными CDI.
Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где s ∈ S, t ∈ TP , d ∈ CDI. Если отношение определено, то субъект s может применить преобразование t к объекту d - Должна быть обеспечена политика разделения обязанностей субъектов - т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.
- Специальные ТР могут превращать UDI в CDI.
- Каждое применение ТР должно регистрироваться в специальном CDI. При этом:
- данный CDI должен быть доступен только для добавления информации;
- в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.
- Система должна распознавать субъекты, пытающиеся инициировать ТР.
- Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности).
Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.
Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.
2.4.2. Модель Биба
Модель Биба была разработана в 1977 году как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных. Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостности Λ = (IC, ≤,•,Θ) , где IC - классы целостности данных.
Базовые правила Модели Биба формулируются следующим образом:
- Простое правило целостности (Simple Integrity, SI).
Субъект с уровнем целостности xs может читать информацию из объекта с уровнем целостности х0 тогда и только тогда, когда х0 преобладает над xs. - * - свойство (* - integrity).
Субъект с уровнем целостности xs может писать информацию в объект с уровнем целостности х0 тогда и только тогда, когда xs преобладает над х0.
Для первого правила существует мнемоническое обозначение No Read Down, а для второго -No Write Up.
Диаграмма информационных потоков, соответствующая реализации модели Биба в системе с двумя уровнями секретности, приведена на рис. 2.4.2.
Отдельного комментария заслуживает вопрос, что именно понимается в модели Биба под уровнями целостности. Действительно, в большинстве приложений целостность данных рассматривается как некое свойство, которое либо сохраняется, либо не сохраняется – и введение иерархических уровней целостности может представляться излишним. В действительности уровни целостности в модели Биба стоит рассматривать как уровни достоверности, а соответствующие информационные потоки – как передачу информации из более достоверной совокупности данных в менее достоверную и наоборот.
Формальное описание модели Биба полностью аналогично описанию модели Белла-ЛаПадулы.
К достоинствам модели Биба следует отнести её простоту, а также использование хорошо изученного математического аппарата. В то же время модель сохраняет все недостатки, присущие модели Белла-ЛаПадулы.