2.4. Формальные модели целостности

2.4.1. Модель Кларка-Вилсона

Модель целостности Кларка-Вилсона была предложена в 1987 г. [13] как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций - скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС.

Введём следующие обозначения:

• S - множество субъектов;
• D - множество данных в автоматизированной системе (множество объектов); CDI (Constrained Data Items) - данные, целостность которых контролируется;
• UDI    (Unconstrained    Data    Items)    -    данные,    целостность    которых    не контролируется;
• При этом D=CDI u UDI,  CDI ∩ UDI =Ø.
• TP (Transformation Procedure) - процедура преобразования, т.е. компонент, который может инициировать транзакцию - последовательность операций, переводящую систему из одного состояния в другое;
• IVP (Integrity Verification Procedure) - процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого CDI. 
2. Примером IVP может служить механизм подсчёта контрольных сумм.
4. Применение любой ТР к любому CDI должно сохранять целостность этого CDI.
6. Только ТР могут вносить изменения в CDI.
7. Субъекты могут инициировать только определённые ТР над определёнными CDI.
   Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где s ∈ S, t ∈ TP , d ∈ CDI. Если отношение определено, то субъект s может применить преобразование t к объекту d 
8. Должна быть обеспечена политика разделения обязанностей субъектов - т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.
9. Специальные ТР могут превращать UDI в CDI.
10. Каждое применение ТР должно регистрироваться в специальном CDI. При этом:
    • данный CDI должен быть доступен только для добавления информации;
    • в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.
11. Система должна распознавать субъекты, пытающиеся инициировать ТР.
12. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности).

Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.

2.4.2. Модель Биба

Модель Биба была разработана в 1977 году как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных. Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостности Λ = (IC, ≤,•,Θ) , где IC - классы целостности данных.

Базовые правила Модели Биба формулируются следующим образом:

1. Простое правило целостности (Simple Integrity, SI).
   Субъект с уровнем целостности x_s может читать информацию из объекта с уровнем целостности х₀ тогда и только тогда, когда х₀ преобладает над x_s.
2. * - свойство (* - integrity).
   Субъект с уровнем целостности x_s может писать информацию в объект с уровнем целостности х₀ тогда и только тогда, когда xs преобладает над х₀.

Для первого правила существует мнемоническое обозначение No Read Down, а для второго -No Write Up.

Диаграмма информационных потоков, соответствующая реализации модели Биба в системе с двумя уровнями секретности, приведена на рис. 2.4.2.

Отдельного комментария заслуживает вопрос, что именно понимается в модели Биба под уровнями целостности. Действительно, в большинстве приложений целостность данных рассматривается как некое свойство, которое либо сохраняется, либо не сохраняется – и введение иерархических уровней целостности может представляться излишним. В действительности уровни целостности в модели Биба стоит рассматривать как уровни достоверности, а соответствующие информационные потоки – как передачу информации из более достоверной совокупности данных в менее достоверную и наоборот.

Формальное описание модели Биба полностью аналогично описанию модели Белла-ЛаПадулы.

К достоинствам модели Биба следует отнести её простоту, а также использование хорошо изученного математического аппарата. В то же время модель сохраняет все недостатки, присущие модели Белла-ЛаПадулы.