Модель целостности Кларка-Вилсона.

Модель целостности Кларка-Вилсона была предложена в 1987 г. как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации. Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций – скорее её целесообразно рассматривать как совокупность практических рекомендаций по построению системы обеспечения целостности в АС.

Введём следующие обозначения:

- S – множество субъектов;

- D – множество данных в автоматизированной системе (множество объектов);

- CDI (Constrained Data Items) – данные, целостность которых контролируется;

- UDI (Unconstrained Data Items) – данные, целостность которых не контролируется;

При этом D = CDI ∪UDI , CDI ∩UDI =Ø.

- TP (Transformation Procedure) – процедура преобразования, т.е. компонент, который может инициировать транзакцию – последовательность операций, переводящую систему из одного состояния в другое;

- IVP (Integrity Verification Procedure) – процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого CDI. Примером IVP может служить механизм подсчёта контрольных сумм.

2. Применение любой TP к любому CDI должно сохранять целостность этого CDI.

3. Только TP могут вносить изменения в CDI.

4. Субъекты могут инициировать только определённые TP над определёнными CDI.

Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где s∈ S , t ∈TP , d ∈CDI . Если отношение определено, то субъект s может применить преобразование t к объекту d.

5. Должна быть обеспечена политика разделения обязанностей субъектов – т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.

6. Специальные TP могут превращать UDI в CDI.

7. Каждое применение TP должно регистрироваться в специальном CDI. При

этом:

- данный CDI должен быть доступен только для добавления информации;

- в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.

8. Система должна распознавать субъекты, пытающиеся инициировать TP.

9. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности). Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.