kantrium.com | E-Norway.ru | HELFI.ru | MySuomi.com

2.4. Формальные модели целостности

2.4. Формальные модели целостности

2.4.1. Модель Кларка-Вилсона

Модель целостности Кларка-Вилсона была предложена в 1987 г. [13] как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций - скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС.

Введём следующие обозначения:

  • S - множество субъектов;
  • D - множество данных в автоматизированной системе (множество объектов); CDI (Constrained Data Items) - данные, целостность которых контролируется;
  • UDI    (Unconstrained    Data    Items)    -    данные,    целостность    которых    не контролируется;
  • При этом D=CDI u UDI,  CDI ∩ UDI =Ø.
  • TP (Transformation Procedure) - процедура преобразования, т.е. компонент, который может инициировать транзакцию - последовательность операций, переводящую систему из одного состояния в другое;
  • IVP (Integrity Verification Procedure) - процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

  1. В системе должны иметься IVP, способные подтвердить целостность любого CDI. 
  2. Примером IVP может служить механизм подсчёта контрольных сумм.
  3. Применение любой ТР к любому CDI должно сохранять целостность этого CDI.
  4. Только ТР могут вносить изменения в CDI.
  5. Субъекты могут инициировать только определённые ТР над определёнными CDI.
    Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где s  S, t  TP , d  CDI. Если отношение определено, то субъект s может применить преобразование t к объекту d 
  6. Должна быть обеспечена политика разделения обязанностей субъектов - т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.
  7. Специальные ТР могут превращать UDI в CDI.
  8. Каждое применение ТР должно регистрироваться в специальном CDI. При этом:
    • данный CDI должен быть доступен только для добавления информации;
    • в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.
  9. Система должна распознавать субъекты, пытающиеся инициировать ТР.
  10. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности).

Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.

2.4.2. Модель Биба

Модель Биба была разработана в 1977 году как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных. Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостности Λ = (IC, ≤,•,Θ, где IC - классы целостности данных.

Базовые правила Модели Биба формулируются следующим образом:

  1. Простое правило целостности (Simple Integrity, SI).
    Субъект с уровнем целостности xs может читать информацию из объекта с уровнем целостности х0 тогда и только тогда, когда х0 преобладает над xs.
  2. * - свойство (* - integrity).
    Субъект с уровнем целостности xs может писать информацию в объект с уровнем целостности х0 тогда и только тогда, когда xs преобладает над х0.

Для первого правила существует мнемоническое обозначение No Read Down, а для второго -No Write Up.

Диаграмма информационных потоков, соответствующая реализации модели Биба в системе с двумя уровнями секретности, приведена на рис. 2.4.2.

Отдельного комментария заслуживает вопрос, что именно понимается в модели Биба под уровнями целостности. Действительно, в большинстве приложений целостность данных рассматривается как некое свойство, которое либо сохраняется, либо не сохраняется – и введение иерархических уровней целостности может представляться излишним. В действительности уровни целостности в модели Биба стоит рассматривать как уровни достоверности, а соответствующие информационные потоки – как передачу информации из более достоверной совокупности данных в менее достоверную и наоборот.

Формальное описание модели Биба полностью аналогично описанию модели Белла-ЛаПадулы.

К достоинствам модели Биба следует отнести её простоту, а также использование хорошо изученного математического аппарата. В то же время модель сохраняет все недостатки, присущие модели Белла-ЛаПадулы.

 

ПечатьE-mail

Яндекс.Метрика