/p>
CDI U UDI=D ,? UDI=?.
Суб'єкти включені в модель як безліч компонентів, які можуть ініціювати транзакції? TP (transformation procedure). У моделі так само визначена процедура затвердження цілісності? IVP (integrity verification procedure).
Модель Кларка Вільсона можна розглядати як набір з дев'яти правил:
1) у системі повинні бути IVP, що підтверджують цілісність будь-якої CDI/Найпростішим методом підтвердження цілісності є перевірка контрольної суми CDI;
2) застосування будь TP до будь-якого CDI повинно зберігати цілісність цього CDI;
) тільки TP можуть вносити зміни в CDI; процедури і дії, які не є TP не можуть змінюватися CDI;
) суб'єкти можуть ініціалізувати тільки певні TP над певними CDI. Це правило припускає, що система повинна визначати і підтримувати деякі відносини між TP і CDI, так звані KBM - трійки, які мають аргумент (s, t, d), це означає, що суб'єкту S дозволяється застосувати до TP по імені - t, до CDI- d, якщо це правило не визначено, то процедура неможлива! Це правило гарантує, що завжди можна визначити, хто може змінити CDI і як це зміна може відбутися;
) КВМ - трійки повинна проводити політику поділу обов'язків суб'єктів;
) спеціальні TP можуть перетворювати UDI в CDI, тобто підвищувати цілісність даних (спеціальні TP);
) кожне застосування TP має реєструватися в спеціальному CDI, доступним тільки для додавання інформації. У даній CDI необхідно записувати інформацію, достатню для відновлення роботи системи, це правило вимагає введення спеціального реєстраційного журналу, який зберігатися у визначеному CDI;
) система повинна розпізнавати суб'єкти, які намагаються ініціалізувати TP. Цей механізм допомагає визначити атаки підміни;
) система повинна дозволяти проводити зміни в списку авторизації тільки спеціальним суб'єктам. Це правило гарантує, що основний захист, обумовлена ??КВМ трійкою, чи не буде обійдена зловмисником, які намагаються змінити зміст такого списку.
Ці 9 правил визначають: як може бути перевірена цілісність, як і ким, можуть змінюватися CDI, і як UDI можуть бути перетворені в CDI.
3.7 Модель Ліпкера
Модель Ліпкера являє собою об'єднання моделей Белла-Лападула з моделлю Біба і являє собою реалізацію вимог до розробки програмного забезпечення і подальшого його використання.
Правила:
) користувачі не мають права на розробку програмного забезпечення, а використовують існуюче прикладне програмне забезпечення;
) програмісти розробляють і тестують програми у системі, не обробні критичні дані, тобто без перевірок на цілісність, безпеку;
) для внесення розроблених програм в систему використовується спеціально розроблений механізм;
) механізм, описаний в 3) повинен контролюватися, а результати фіксуватися в журналі аудиту;
) адміністратори системи повинні мати можливість доступу до даних аудиту і функціям адміністрування системи.
У моделі визначені два рівня безпеки:
вищий (управління і аудит) на цьому рівні знаходяться функції управління системою та аудит системи;
нижчий (SL) інформація на даному рівні може читати будь-який процес;
У моделі визначено 5 категорій:
) розробка D (Development) - до даної категорії відносяться розроблені і тестовані прикладні програми;
) прикладні програми PC (Production Code) - до даної категорії відносяться прикладні програми, використовувані в системі;
) критичні дані PD (Production Data) - до даної категорії відносяться дані, цілісність яких контролюється;
) розробляються системні програми SD (System Development) - до даної системної категорії відносяться розроблювальні і тестовані системні програми;
) засоби розробки T (Software Tools) - до даної категорії відносяться прикладні програми, використовувані для розробки додатків і не беруть участь у розробці критичних даних.
4. Ідентифікація та аутентифікація
Для того щоб політики розмежування доступу могли зв'язати користувачів системи з їх поданням до обчислювальної системі, необхідна наявність деякого механізму, що дозволяє визначити відповідність користувачів і їх уявлень. Даний механізм називається ідентифікація/аутентифікація.
Під ідентифікацією розуміється присвоєння суб'єктом і об'єктом доступу іде...
