El modelo de integridad de Clark-Wilson proporciona una base para especificar y analizar una política de integridad para un sistema informático.
El modelo se ocupa principalmente de formalizar la noción de integridad de la información . La integridad de la información se mantiene evitando la corrupción de elementos de datos en un sistema debido a errores o intenciones maliciosas. Una política de integridad describe cómo los elementos de datos en el sistema deben mantenerse válidos de un estado del sistema al siguiente y especifica las capacidades de varios principales en el sistema. El modelo utiliza etiquetas de seguridad para otorgar acceso a los objetos mediante procedimientos de transformación y un modelo de interfaz restringida.
Origen
El modelo fue descrito en un artículo de 1987 ( A Comparison of Commercial and Military Computer Security Policies ) por David D. Clark y David R. Wilson. El documento desarrolla el modelo como una forma de formalizar la noción de integridad de la información, especialmente en comparación con los requisitos para los sistemas de seguridad multinivel (MLS) descritos en el Libro Naranja . Clark y Wilson argumentan que los modelos de integridad existentes, como Biba (lectura / anulación), eran más adecuados para hacer cumplir la integridad de los datos en lugar de la confidencialidad de la información. Los modelos Biba son más claramente útiles, por ejemplo, en los sistemas de clasificación bancaria para evitar la modificación de información que no es de confianza y la contaminación de la información en niveles de clasificación más altos, respectivamente. Por el contrario, Clark-Wilson es más claramente aplicable a los procesos comerciales e industriales en los que la integridad del contenido de la información es primordial en cualquier nivel de clasificación (aunque los autores enfatizan que los tres modelos son obviamente útiles tanto para las organizaciones gubernamentales como para las industriales) .
Principios básicos
De acuerdo con la sexta edición de la Guía de estudio CISSP de Stewart y Chapple , el modelo de Clark-Wilson utiliza un enfoque multifacético para reforzar la integridad de los datos. En lugar de definir una máquina de estado formal, el modelo define cada elemento de datos y permite modificaciones a través de solo un pequeño conjunto de programas. El modelo utiliza una relación de tres partes de sujeto / programa / objeto (donde el programa es intercambiable con la transacción) conocida como triple o triple de control de acceso. Dentro de esta relación, los sujetos no tienen acceso directo a los objetos. Solo se puede acceder a los objetos a través de programas. Mire aquí para ver en qué se diferencia de otros modelos de control de acceso.
Las reglas de cumplimiento y certificación del modelo definen elementos y procesos de datos que proporcionan la base para una política de integridad. El núcleo del modelo se basa en la noción de transacción.
- Una transacción bien formada es una serie de operaciones que hacen que un sistema pase de un estado coherente a otro estado coherente.
- En este modelo, la política de integridad aborda la integridad de las transacciones.
- El principio de separación de funciones requiere que el certificador de una transacción y el implementador sean entidades diferentes.
El modelo contiene una serie de construcciones básicas que representan tanto elementos de datos como procesos que operan en esos elementos de datos. El tipo de datos clave en el modelo de Clark-Wilson es un elemento de datos restringido (CDI). Un procedimiento de verificación de integridad (IVP) garantiza que todos los CDI del sistema sean válidos en un estado determinado. Las transacciones que hacen cumplir la política de integridad están representadas por Procedimientos de transformación (TP). Un TP toma como entrada un CDI o un elemento de datos sin restricciones (UDI) y produce un CDI. Un TP debe hacer la transición del sistema de un estado válido a otro estado válido. Los UDI representan la entrada del sistema (como la proporcionada por un usuario o adversario). Un TP debe garantizar (mediante certificación) que transforma todos los valores posibles de un UDI en un CDI "seguro".
Reglas
En el corazón del modelo está la noción de una relación entre un principal autenticado (es decir, un usuario) y un conjunto de programas (es decir, TP) que operan en un conjunto de elementos de datos (p. Ej., UDI y CDI). Los componentes de tal relación, tomados en conjunto, se denominan triple de Clark-Wilson. El modelo también debe garantizar que las diferentes entidades sean responsables de manipular las relaciones entre los principales, las transacciones y los elementos de datos. Como ejemplo breve, un usuario capaz de certificar o crear una relación no debería poder ejecutar los programas especificados en esa relación.
El modelo consta de dos conjuntos de reglas: Reglas de certificación (C) y Reglas de ejecución (E). Las nueve reglas garantizan la integridad externa e interna de los elementos de datos. Parafraseando estos:
- C1: cuando se ejecuta un IVP, debe asegurarse de que los CDI sean válidos.
- C2: para algún conjunto asociado de CDI, un TP debe transformar esos CDI de un estado válido a otro.
Dado que debemos asegurarnos de que estos TP estén certificados para operar en un CDI en particular, debemos tener E1 y E2.
- E1: el sistema debe mantener una lista de relaciones certificadas y asegurarse de que solo los TP certificados para ejecutarse en un CDI cambien ese CDI.
- E2: el sistema debe asociar un usuario con cada TP y conjunto de CDI. El TP puede acceder al CDI en nombre del usuario si es "legal".
- E3-El sistema debe autenticar la identidad de cada usuario que intente ejecutar un TP.
Esto requiere realizar un seguimiento de los triples (usuario, TP, {CDIs}) llamados "relaciones permitidas".
- C3 — Las relaciones permitidas deben cumplir con los requisitos de "separación de funciones".
Necesitamos autenticación para realizar un seguimiento de esto.
- C4: todos los TP deben adjuntar a un registro suficiente información para reconstruir la operación.
Cuando la información ingresa al sistema, no necesita ser confiable ni restringida (es decir, puede ser un UDI). Debemos ocuparnos de esto de manera apropiada.
- C5: cualquier TP que tome una UDI como entrada solo puede realizar transacciones válidas para todos los valores posibles de la UDI. El TP aceptará (convertirá a CDI) o rechazará el UDI.
Finalmente, para evitar que las personas accedan cambiando las calificaciones de un TP:
- E4 — Solo el certificador de un TP puede cambiar la lista de entidades asociadas con ese TP.
CW-lite
Una variante de Clark-Wilson es el modelo CW-lite, que relaja el requisito original de verificación formal de la semántica de TP. La verificación semántica se difiere a un modelo separado y herramientas de prueba formales generales.
Ver también
Referencias
- Clark, David D .; y Wilson, David R .; Una comparación de las políticas de seguridad informática comerciales y militares ; en Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), mayo de 1987, Oakland, CA ; IEEE Press, págs. 184–193
- Chapple, Mike; Stewart, James y Gibson Darril; Profesional certificado en seguridad de sistemas de información; Guía de estudio oficial (octava edición) 2018, John Wiley & Sons, Indiana
- Shankar, Umesh; Jaeger, Trent; y Sailer, Reiner; "Hacia la verificación automatizada de la integridad del flujo de información para aplicaciones críticas para la seguridad" ; en "Proceedings of the 2006 Network and Distributed Systems Security Symposium (NDSS '06), February 2006, San Diego, CA"; Internet Society, págs. 267-280