Modelo Clark-Wilson

El modelo de integridad de Clark-Wilson proporciona una base para especificar y analizar una política de integridad para un sistema informático.

El modelo se ocupa principalmente de formalizar la noción de integridad de la información . La integridad de la información se mantiene evitando la corrupción de elementos de datos en un sistema debido a errores o intenciones maliciosas. Una política de integridad describe cómo los elementos de datos del sistema deben mantenerse válidos de un estado del sistema al siguiente y especifica las capacidades de varios principios del sistema. El modelo utiliza etiquetas de seguridad para otorgar acceso a objetos mediante procedimientos de transformación y un modelo de interfaz restringida.

Origen

El modelo fue descrito en un artículo de 1987 ( Una comparación de políticas de seguridad informática comercial y militar ) de David D. Clark y David R. Wilson. El artículo desarrolla el modelo como una forma de formalizar la noción de integridad de la información, especialmente en comparación con los requisitos para los sistemas de seguridad multinivel (MLS) descritos en el Libro Naranja . Clark y Wilson sostienen que los modelos de integridad existentes, como Biba (lectura/anotación), eran más adecuados para hacer cumplir la integridad de los datos que la confidencialidad de la información. Los modelos Biba son más claramente útiles, por ejemplo, en sistemas de clasificación bancaria para evitar la modificación no confiable de información y la contaminación de información en niveles de clasificación más altos. Por el contrario, Clark-Wilson se aplica más claramente a procesos empresariales e industriales en los que la integridad del contenido de la información es primordial en cualquier nivel de clasificación (aunque los autores subrayan que los tres modelos son obviamente útiles tanto para las organizaciones gubernamentales como para las industriales). .

Principios básicos

Según la sexta edición de la Guía de estudio CISSP de Stewart y Chapple , el modelo Clark-Wilson utiliza un enfoque multifacético para hacer cumplir la integridad de los datos. En lugar de definir una máquina de estados formal, el modelo define cada elemento de datos y permite modificaciones a través de sólo un pequeño conjunto de programas. El modelo utiliza una relación de tres partes sujeto/programa/objeto (donde programa es intercambiable con transacción) conocida como triple o triple de control de acceso. Dentro de esta relación, los sujetos no tienen acceso directo a los objetos. Sólo se puede acceder a los objetos a través de programas. Mire aquí para ver en qué se diferencia de otros modelos de control de acceso.

Las reglas de cumplimiento y certificación del modelo definen elementos de datos y procesos que proporcionan la base para una política de integridad. El núcleo del modelo se basa en la noción de transacción.

• Una transacción bien formada es una serie de operaciones que hacen la transición de un sistema de un estado consistente a otro estado consistente.
• En este modelo, la política de integridad aborda la integridad de las transacciones.
• El principio de separación de funciones requiere que el certificador de una transacción y el implementador sean entidades diferentes.

El modelo contiene una serie de construcciones básicas que representan tanto elementos de datos como procesos que operan sobre esos elementos de datos. El tipo de datos clave en el modelo Clark-Wilson es un elemento de datos restringido (CDI). Un procedimiento de verificación de integridad (IVP) garantiza que todos los CDI del sistema sean válidos en un estado determinado. Las transacciones que hacen cumplir la política de integridad están representadas por Procedimientos de Transformación (TP). Un TP toma como entrada un CDI o un elemento de datos sin restricciones (UDI) y produce un CDI. Un TP debe realizar la transición del sistema de un estado válido a otro estado válido. Las UDI representan entradas del sistema (como las proporcionadas por un usuario o adversario). Un TP debe garantizar (mediante certificación) que transforma todos los valores posibles de una UDI en un CDI “seguro”.

Normas

En el centro del modelo está la noción de una relación entre un principal autenticado (es decir, un usuario) y un conjunto de programas (es decir, TP) que operan sobre un conjunto de elementos de datos (por ejemplo, UDI y CDI). Los componentes de tal relación, en conjunto, se denominan tripleta de Clark-Wilson. El modelo también debe garantizar que diferentes entidades sean responsables de manipular las relaciones entre principales, transacciones y elementos de datos. Como breve ejemplo, un usuario capaz de certificar o crear una relación no debería poder ejecutar los programas especificados en esa relación.

El modelo consta de dos conjuntos de reglas: Reglas de Certificación (C) y Reglas de Cumplimiento (E). Las nueve reglas garantizan la integridad externa e interna de los elementos de datos. Parafraseando estos:

C1: cuando se ejecuta un IVP, debe garantizar que los CDI sean válidos.

C2: para algún conjunto asociado de CDI, un TP debe transformar esos CDI de un estado válido a otro.

Como debemos asegurarnos de que estos TP estén certificados para operar en un CDI en particular, debemos tener E1 y E2.

E1: el sistema debe mantener una lista de relaciones certificadas y garantizar que solo los TP certificados para ejecutarse en un CDI cambien ese CDI.

E2: el sistema debe asociar un usuario con cada TP y conjunto de CDI. El TP podrá acceder al CDI en nombre del usuario si es "legal".

E3-El sistema debe autenticar la identidad de cada usuario que intenta ejecutar un TP.

Esto requiere realizar un seguimiento de las tripletas (usuario, TP, {CDIs}) denominadas "relaciones permitidas".

C3—Las relaciones permitidas deben cumplir con los requisitos de "separación de funciones".

Necesitamos autenticación para realizar un seguimiento de esto.

C4: todos los TP deben agregar a un registro información suficiente para reconstruir la operación.

Cuando la información ingresa al sistema, no es necesario confiar en ella ni restringirla (es decir, puede ser una UDI). Debemos abordar esto adecuadamente.

C5: cualquier TP que tome una UDI como entrada solo puede realizar transacciones válidas para todos los valores posibles de la UDI. El TP aceptará (convertirá a CDI) o rechazará la UDI.

Finalmente, para evitar que las personas accedan cambiando las cualificaciones de un TP:

E4: solo el certificador de un TP puede cambiar la lista de entidades asociadas con ese TP.

CW-lite

Una variante de Clark-Wilson es el modelo CW-lite, que relaja el requisito original de verificación formal de la semántica de TP. La verificación semántica se remite a un modelo separado y a herramientas de prueba formales generales.

Ver también

• Problema de diputado confundido

Referencias

• Clark, David D.; y Wilson, David R.; Una comparación de las políticas de seguridad informática comercial y militar; en Actas del Simposio IEEE de 1987 sobre investigación en seguridad y privacidad (SP'87), mayo de 1987, Oakland, CA ; Prensa IEEE, págs. 184-193
• Chapple, Mike; Stewart, James y Gibson Darril; Profesional certificado en seguridad de sistemas de información; Guía de estudio oficial (8.a edición) 2018, John Wiley & Sons, Indiana
• Shankar, Umesh; Jaeger, Trento; y Marinero, Reiner; "Hacia la verificación automatizada de la integridad del flujo de información para aplicaciones críticas para la seguridad"; en "Actas del Simposio de seguridad de sistemas distribuidos y redes de 2006 (NDSS '06), febrero de 2006, San Diego, CA"; Internet Society, págs. 267–280

enlaces externos

• Diapositivas sobre Clark-Wilson utilizadas por el profesor Matt Bishop para enseñar seguridad informática
• http://doi.ieeecomputersociety.org/10.1109/SP.1987.10001