Clark-Wilson-Modell

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Mit Hilfe des Clark-Wilson Sicherheitsmodells lässt sich die Integrität eines Computersystems beschreiben und umsetzen.

Das Sicherheitsmodell beschreibt die Maßnahmen welche nötig sind, um ein Computersystem in einem integeren Zustand zu erhalten. Dazu werden Maßnahmen in Bezug auf die Korruption des Systems durch Fehler oder absichtliche Kompromittierung eingeführt. Das Modell beschreibt, wie Daten innerhalb einer datentechnischen Verarbeitung gültig bleiben. Weiterhin spezifiziert es Rechte der einzelnen ausführenden Identitäten, sowie Regeln zu Erhaltung und Gültigkeit von Systemressourcen.

[Bearbeiten] Geschichte

Das Modell wurde 1987 von David D. Clark and David D. Wilson ^[1] beschrieben. Im Gegensatz zu den aus dem militärischen Bereich stammenden Modellen, wie Bell-LaPadula und Biba-Modell, welche die Anforderungen an Trusted Computer System Evaluation Criteria erfüllen, versucht das Clark-Wilson Modell, Integrität für kommerzielle Sicherheitssysteme zu spezifizieren. Das Clark-Wilson Modell lässt sich sehr gut auf Geschäftsprozesse und sonstige Anwendungssoftware anwenden.

[Bearbeiten] Grundlagen

Das Modell beschreibt mittels Einhaltungs- (enforcement) und Zertifizierungsregeln (certification) die Informationstechnischen Daten und Prozesse. Diese Regeln bilden die Basis zur Sicherstellung der Integrität eines Systems. Das Modell basiert immer auf einer in sich geschlossenen Transaktion.

Eine gültige Transaktion ist eine Abfolge von Operationen welche das System von einem Zustand in den nächsten Zustand bringt. Die Transaktion muss immer atomar sein. Dies bedeutet das die Zustandsänderung nur erfolgt, wenn die Transaktion keine Fehler aufweist.
Im Clark Wilson Modell wird die Integrität über die Transaktionskontrolle sichergestellt.
Das Prinzip der Gewaltentrennung (seperation of duty) erfordert, dass der Prozess, der eine Transaktion kontrolliert, unabhängig von dem Transaktionsausführenden Prozess ist.

Dazu werden folgende Konstrukte verwendet

Constrained Data Item (CDI)

Daten die eine sicheren Zustand im System repräsentieren.

Unconstrained Data Item (UDI)

Daten die noch nicht gesichert sind, z.bsp Benutzer Eingaben.

Integrity Verification Procedure (IVP)

Stellt sicher das alle CDI in einem System einen gültigen Zustand besitzen.

Transformational Procedures (TPs)

Die Transaktion, nimmt ein CDI oder UDI entgegen und nimmt die Transaktion auf den Daten vor. Die Transaktion muss sicherstellen das wenn sie ein UDI entgegenmimmt immer eine sicheres CDI produziert, dies wird über eine Zertifizierung gelöst.

[Bearbeiten] Clark-Wilson Regeln

C1 - Wenn ein IVP ausgeführt wird, muss es sich immer in einem gültigen Zustand befinden.

C2 - Alles Daten (CDIs) müssen von einem TP, von einem gültigen Zustand in den nächsten übergeführt werden.

E1 - Das System muss eine Liste von zertifizierten Verknüpfungen führen, welche sicherstellen, dass für ein CDI nur zertifizierte TP erlaubt werden.

E2 - Das System muss jedem TP und CDI einen Benutzer zuweisen. {Benutzer,TP,CDI} wird auch als allowed relations bezeichnet.

E3 - Jeder Benutzer, welcher auf ein TP zugreift muss auf Anfragebasis (request)) authentifiziert werden.

C4 - Jeder TP muss ein Transaktionsjournal schreiben, welches erlaubt alle Operationen zu rekonstruieren.

C5 - Jeder TP welcher ein UDI als Eingangsdaten verarbeitet, darf nur Operationen auf diesem UDI ausführen. Kann er das UDI nicht zu einem CDI konvertieren, muss er die Verarbeitung abbrechen.

E4 - Nur der Zertifizierer (Hersteller oder Besitzer) des Systems darf Einträge in den Verknüpfungen {TP,CDI} vornehmen.

[Bearbeiten] Fussnoten

↑ David D. Clark, David R. Wilson, "A Comparison of Commercial and Military Computer Security Policies," sp, p. 184, 1987 IEEE Symposium on Security and Privacy, 1987.