Clark-Wilson-Modell

Mit Hilfe d​es Clark-Wilson-Modells lässt s​ich die Integrität e​ines Computersystems beschreiben u​nd umsetzen.

Das Sicherheitsmodell beschreibt die Maßnahmen welche nötig sind, um ein Computersystem in einem integeren Zustand zu erhalten. Dazu werden Maßnahmen in Bezug auf die Datenschädigung oder auf Datenverluste durch Fehler oder absichtliche Kompromittierung eingeführt. Das Modell beschreibt, wie Daten innerhalb einer datentechnischen Verarbeitung gültig bleiben. Weiterhin spezifiziert es Rechte der einzelnen ausführenden Identitäten, sowie Regeln zu Erhaltung und Gültigkeit von Systemressourcen.

Geschichte

Das Modell w​urde 1987 v​on David D. Clark u​nd David R. Wilson[1] beschrieben. Im Gegensatz z​u den a​us dem militärischen Bereich stammenden Modellen, w​ie Bell-LaPadula u​nd Biba-Modell, welche d​ie Anforderungen a​n Trusted Computer System Evaluation Criteria erfüllen, versucht d​as Clark-Wilson-Modell, Integrität für kommerzielle Sicherheitssysteme z​u spezifizieren. Es lässt s​ich dabei s​ehr gut a​uf Geschäftsprozesse u​nd sonstige Anwendungssoftware anwenden.

Das Clark-Wilson-Modell i​st hauptsächlich i​m Finanzsektor verbreitet. Jeder Mainframe verarbeitet Daten h​eute nach diesem Modell o​der einer Variation desselben.

Grundlagen

Das Modell beschreibt mittels Einhaltungs- (enforcement) u​nd Zertifizierungsregeln (certification) d​ie informationstechnischen Daten u​nd Prozesse. Diese Regeln bilden d​ie Basis z​ur Sicherstellung d​er Integrität e​ines Systems. Das Modell basiert i​mmer auf e​iner in s​ich geschlossenen Transaktion.

  • Eine gültige Transaktion ist eine Abfolge von Operationen, welche das System von einem Zustand in den nächsten Zustand bringt. Die Transaktion muss immer atomar sein. Dies bedeutet, dass die Zustandsänderung nur erfolgt, wenn die Transaktion keine Fehler aufweist.
  • Im Clark-Wilson-Modell wird die Integrität über die Transaktionskontrolle sichergestellt.
  • Das Prinzip der Aufgabenteilung (separation of duty) erfordert, dass der Zertifizierer und der Implementierer einer Transaktion unterschiedlich sind.

Dazu werden folgende Konstrukte verwendet:

  • Constrained Data Item (CDI): Daten, auf die das Sicherheitsmodell angewandt werden muss, d. h., die immer in einem gültigen Zustand vorliegen müssen.
  • Unconstrained Data Item (UDI): Daten, die (noch) nicht dem Sicherheitsmodell unterliegen, z. B. Daten die nicht integer sein müssen oder Benutzereingaben.
  • Integrity Verification Procedure (IVP) stellt sicher, dass alle CDIs in einem System einen gültigen Zustand besitzen.
  • Transformation Procedures (TPs) nehmen ein CDI oder ein UDI entgegen und überführt diese in ein neues CDI. Dies wird über eine Zertifizierung gelöst.

Regeln des Clark-Wilson-Modells

C1
Alle IVPs müssen ordnungsgemäß sicherstellen, dass sich zu ihrem Ausführungszeitpunkt alle CDIs in einem gültigen Zustand befinden.
C2
Alle TPs müssen zertifiziert sein, d. h., sie müssen ein CDI in einen gültigen Zustand überführen. Für jede TP und die Menge der CDIs die von dieser verändert werden dürfen, muss der Sicherheitsverantwortliche eine Relation diesbezüglich führen. Die Relation besitzt die Form (TPi, (CDIa, CDIb, CDIc, …)) und gibt die Argumente an für die die TP zertifiziert ist.
E1
Das System muss eine Liste der Relationen aus C2 führen und sicherstellen, dass ein CDI nur von einer TP verändert werden darf für die es beide eine gemeinsame Relation gibt.
E2
Das System muss eine Liste von Relationen der Form (UserID, TPi, (CDIa, CDIb, CDIc, …)) führen, die das Benutzerkonto angibt unter der die TP läuft. Es dürfen nur TPs ausgeführt werden, die einer solchen Relation entsprechen.
C3
Die Liste von E2 muss zertifiziert sein unter Beachtung der Aufgabentrennung.
E3
Das System muss jeden Benutzer authentifizieren der eine TP ausführen will.
C4
Alle TPs müssen zertifiziert sein alle Informationen, die notwendig sind um durchgeführten Operationen zu rekonstruieren, an ein Log anzuhängen. Das Log ist ebenfalls ein CDI und erlaubt es nur Daten anzuhängen.
C5
Alle TP die ein UDI als Eingangsdaten verarbeiten müssen zertifiziert sein nur gültige Transaktionen für alle möglichen Werte des UDI durchzuführen, oder sonst gar keine Transaktionen durchzuführen. Ergebnis ist ein CDI.
E4
Nur der Zertifizierer darf eine Relationsliste ändern. Entsprechend der Aufgabentrennung darf dieser keine Ausführungsrechte an die von ihm tangierten TPs besitzen.

Siehe auch

Quellen

  1. David D. Clark, David R. Wilson: A Comparison of Commercial and Military Computer Security Policies (PDF; 1,1 MB). IEEE Symposium on Security and Privacy, S. 184, 1987.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.