Цель политики безопасности в данных моделях — зашита от нарушения целостности информации. Наиболее известны в этом классе моделей мандатная модель целостности Биба и модель Кларка—Вильсона. В основе модели Биба лежат уровни целостности, аналогичные уровням модели Белла—Лападула. В отличие от модели Белла—Лападула чтение разрешено теперь только вверх (от субъекта к объекту, уровень ценности которого превосходит уровня субъекта), а запись — только вниз. Правила данной модели являются полной противоположностью правилам модели Белла—Лападула.
В модели Биба рассматриваются следующие доступы субъектов к объектам и другим субъектам: доступ субъекта на модификацию объекта, доступ субъекта на чтение объекта, доступ субъекта на выполнение и доступ субъекта к субъекту.
В отличие от модели Белла—Лападула требования безопасности в модели Биба динамические, так как для их описания используются элементы текущего и последующего состояний системы.
Подобно модели Белла—Лападула, модель Биба простая и ясная для понимания, однако она унаследовала все ее недостатки. Кроме того, одновременное применение моделей Биба и Белла — Лападула затруднено в силу их противоречивости. Например, для чтения субъектом информации из объекта в первой вышеуказанной модели его уровень должен быть ниже, а во второй модели — выше, чем у объекта.
|
|
Основу модели Кларка— Вильсона составляют транзакции, которые включают операции, переводящие систему из одного состояния в другое. Вся совокупность данных (объекты доступа) делится на два класса: целостность одних контролируется, целостность других не контролируется. Субъекты в рамках данной модели должны порождать лишь правильно сформулированные транзакции, где субъект инициирует последовательность действий, которая выполняется управляемым и предсказуемым образом.
В модели определено также понятие процедуры подтверждения целостности, которая применяется по отношению к данным, подлежащим контролю. По отношению к этим данным должны применяться лишь правильно сформулированные транзакции, которые не могут нарушить целостность данных. Все операции разрешаются только авторизованным пользователям и регистрируются. Кроме того, существуют процедуры постановки на контроль целостности ранее неконтролируемых данных.
Преимуществом модели является то, что она основана на проверенных временем методах обращения с бумажными ресурсами. К недостаткам можно отнести сложность практической реализации в реальных системах, ее неформализованность и некоторую противоречивость в правилах.
|
|
Известны подходы к объединению модели Кларка —Вильсона с моделью Биба. Модель Биба реализует защиту от атак субъектов, находящихся на низшем уровне целостности, но неспособна отразить атаки своего уровня целостности. Поэтому ее целесообразно объединять с моделью Кларка —Вильсона, которая может задавать определенные отношения в пределах каждого уровня целостности.
В качестве вывода необходимо констатировать высокую трудоемкость применения теоретических моделей, неадекватное описание большинством из них процессов, происходящих в АС. Например, большинство моделей не учитывают возможные действия субъектов по изменению свойств АС. Описанию порядка безопасного взаимодействия субъектов системы, описанию и обоснованию необходимых условий реализации безопасности посвящена субъектно-ориентированная модель.