Modelo Clark-Wilson

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

El modelo de integridad Clark-Wilson proporciona una base para especificar y analizar una política de integridad para un sistema informático.

El modelo se ocupa principalmente de formalizar la noción de integridad de la información. La integridad de la información se mantiene evitando la corrupción de elementos de datos en un sistema debido a errores o intenciones maliciosas. Una política de integridad describe cómo los elementos de datos del sistema deben mantenerse válidos de un estado del sistema al siguiente y especifica las capacidades de varios principios del sistema. El modelo utiliza etiquetas de seguridad para otorgar acceso a objetos mediante procedimientos de transformación y un modelo de interfaz restringida.

Origen

El modelo fue descrito en un artículo de 1987 (Una comparación de políticas de seguridad informática comercial y militar) de David D. Clark y David R. Wilson. El artículo desarrolla el modelo como una forma de formalizar la noción de integridad de la información, especialmente en comparación con los requisitos para los sistemas de seguridad multinivel (MLS) descritos en el Libro Naranja. Clark y Wilson sostienen que los modelos de integridad existentes, como Biba (lectura/anotación), eran más adecuados para hacer cumplir la integridad de los datos que la confidencialidad de la información. Los modelos Biba son más claramente útiles, por ejemplo, en sistemas de clasificación bancaria para evitar la modificación no confiable de información y la contaminación de información en niveles de clasificación más altos. Por el contrario, Clark-Wilson es más claramente aplicable a procesos empresariales e industriales en los que la integridad del contenido de la información es primordial en cualquier nivel de clasificación (aunque los autores enfatizan que los tres modelos son obviamente útiles tanto a organizaciones gubernamentales como industriales).

Principios básicos

Según la Sexta edición de la Guía de estudio CISSP de Stewart y Chapple, el modelo Clark-Wilson utiliza un enfoque multifacético para hacer cumplir la integridad de los datos. En lugar de definir una máquina de estados formal, el modelo define cada elemento de datos y permite modificaciones a través de sólo un pequeño conjunto de programas. El modelo utiliza una relación de tres partes sujeto/programa/objeto (donde programa es intercambiable con transacción) conocida como triple o triple de control de acceso. Dentro de esta relación, Los sujetos no tienen acceso directo a los objetos. Sólo se puede acceder a los objetos a través de programas. Mire aquí para ver en qué se diferencia de otros modelos de control de acceso.

Las reglas de cumplimiento y certificación del modelo definen elementos de datos y procesos que proporcionan la base para una política de integridad. El núcleo del modelo se basa en la noción de transacción.

  • A bien formado transacción es una serie de operaciones que transfieren un sistema de un estado consistente a otro estado consistente.
  • En este modelo, la política de integridad aborda la integridad de las transacciones.
  • El principio de separación del servicio exige que el certificador de una transacción y el ejecutante sean entidades diferentes.

El modelo contiene una serie de construcciones básicas que representan tanto elementos de datos como procesos que operan en esos elementos de datos. El tipo de datos clave en el modelo Clark-Wilson es un elemento de datos restringido (CDI). Un procedimiento de verificación de integridad (IVP) garantiza que todos los CDI del sistema sean válidos en un estado determinado. Las transacciones que hacen cumplir la política de integridad están representadas por Procedimientos de Transformación (TP). Un TP toma como entrada un CDI o un elemento de datos sin restricciones (UDI) y produce un CDI. Un TP debe realizar la transición del sistema de un estado válido a otro estado válido. Las UDI representan entradas del sistema (como las proporcionadas por un usuario o adversario). Un TP debe garantizar (mediante certificación) que transforma todos los valores posibles de una UDI en un CDI “seguro”.

Reglas

En el centro del modelo está la noción de una relación entre un principal autenticado (es decir, un usuario) y un conjunto de programas (es decir, TP) que operan con un conjunto de elementos de datos (por ejemplo, UDI y CDI). Los componentes de dicha relación, en conjunto, se denominan triple Clark-Wilson. El modelo también debe garantizar que diferentes entidades sean responsables de manipular las relaciones entre principales, transacciones y elementos de datos. Como breve ejemplo, un usuario capaz de certificar o crear una relación no debería poder ejecutar los programas especificados en esa relación.

El modelo consta de dos conjuntos de reglas: Reglas de Certificación (C) y Reglas de Cumplimiento (E). Las nueve reglas garantizan la integridad externa e interna de los elementos de datos. Parafraseando estos:

C1—Cuando se ejecuta una IVP, debe garantizar que los CDI sean válidos.
C2—Para algunos CDI asociados, un TP debe transformar esos CDIs de un estado válido a otro.

Dado que debemos asegurarnos de que estos TP estén certificados para operar en un CDI en particular, debemos tener E1 y E2.

E1-System debe mantener una lista de relaciones certificadas y asegurar sólo TPs certificado para funcionar en un cambio CDI que CDI.
E2—System debe asociar a un usuario con cada TP y conjunto de CDIs. El TP puede acceder al CDI en nombre del usuario si es "legal".
E3-El sistema debe autenticar la identidad de cada usuario que intenta ejecutar un TP.

Esto requiere realizar un seguimiento de las tripletas (usuario, TO, {CD Is}) llamadas "relaciones permitidas".

C3- Las relaciones permitidas deben cumplir los requisitos de "separación del deber".

Necesitamos autenticación para realizar un seguimiento de esto.

C4-Todos los TP deben adjuntar a un registro suficiente información para reconstruir la operación.

Cuando la información ingresa al sistema, no es necesario confiar en ella ni restringirla (es decir, puede ser una UDI). Debemos abordar esto adecuadamente.

C5—Cualquier TP que tome un UDI como entrada sólo puede realizar transacciones válidas para todos los valores posibles del UDI. El TP aceptará o rechazará el UDI.

Finalmente, para evitar que las personas obtengan acceso cambiando las calificaciones de un TP:

E4—Sólo el certificador de un TP puede cambiar la lista de entidades asociadas con ese TP.

CW-lite

Una variante de Clark-Wilson es el modelo CW-lite, que relaja el requisito original de verificación formal de la semántica de TP. La verificación semántica se remite a un modelo separado y a herramientas de prueba formales generales.

Contenido relacionado

Historia de la cámara

La historia de la cámara comenzó incluso antes de la introducción de la fotografía. Las cámaras evolucionaron desde la cámara oscura a través de muchas...

Tubo de vacío

Un tubo de vacío, tubo de electrones o válvula termoiónica, es un dispositivo que controla el flujo de corriente eléctrica en un alto vacío entre...

Señales de humo

La señal de humo es una de las formas más antiguas de comunicación a larga distancia. Es una forma de comunicación visual utilizada a larga distancia. En...
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle