Clark wilson model
This presentation is the property of its rightful owner.
Sponsored Links
1 / 20

Clark-Wilson model PowerPoint PPT Presentation


  • 116 Views
  • Uploaded on
  • Presentation posted in: General

Clark-Wilson model. David Clark e David Wilson 1987 Prof. Stefano Bistarelli. Modelli sulla sicurezza FOCUS: integrità e confidenzialità.

Download Presentation

Clark-Wilson model

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Clark wilson model

Clark-Wilson model

David Clark e David Wilson

1987

Prof.

Stefano Bistarelli


Modelli sulla sicurezza focus integrit e confidenzialit

Modelli sulla sicurezzaFOCUS: integrità e confidenzialità

  • Confidenzialità: protezione dei dati da utenti non autorizzati, concerne anche la possibilità che utenti autorizzati passino le informazioni a utenti non autorizzati

    Ambiente militare

  • Integrità: richiede che i dati siano protetti da invalide modifiche, cancellazioni o inserzioni.

    • I vincoli d’integrità sono regole che definiscono lo stato corretto di un db e che ne mantengono la correttezza anche durante le operazioni (integrità delle transazioni)

      Ambiente commerciale

      Clark-Wilson


Minimo di sicurezza richiesto da un is

Minimo di sicurezza richiesto da un IS

  • Integrità: i vincoli d’integrità esistono per proteggere IS da maligni o accidentali modifiche dei dati.Le regole possono essere definite su stati statici del db o su transazioni (es. prima di poter effettuare un modifica)

  • Identificazione,autenticazione: prima di accedere a un sistema ogni utente deve essere identificato e autenticato per mantenerne traccia e per dargli l’accesso

  • Autorizzazioni(controllo accessi): una serie di regole per definire chi può eseguire quali tipi di operazioni su quali dati


Clark wilson integrity model

Clark-Wilson Integrity Model

Clark-Wilson identifica 2 meccanismi principali per rafforzare l’integrità e il controllo degli accessi:

  • Le transazioni ben formate (WFT)che preservano l’integrità dei dati e prevengono che utenti li manipolino arbitrariamente

    Una transazione ben formata è costituita da una serie di operazioni che muovono il sistema da uno stato consistente a un altro stato consistente.

    Moderni sistemi informativi mantengono log che registrano le operazioni e gli utenti che le eseguono in modo che possano essere scoperte eventuali modifiche.

    • Il modello richiede che le esecuzioni delle WFT siano memorizzate in modo da poterle riprendere per revisioni seguenti o per ricreare lo stato originale (log).


Transazioni ben formate

Definire le caratteristiche di una transazione ben formata è un lavoro manuale eseguito da un security officer che è l’unico che può specificare il set di procedure che possono modificare certi CDI.

Transazioni ben formate


Clark wilson model

2.Il principio della separazione dei compiti

Un’operazione completa se eseguita da una sola persona è più attaccabile da frodi.

Il principio della “separazione dei compiti” richiede di dividere l’operazione in sottoparti che devono essere eseguite da persone differenti.

In questo caso per completare un’operazione illegale tutte le persone coinvolte dovrebbero cospirare insieme per attuare la frode.

Il certificatore di una transazione e colui che la esegue devono essere persone differenti.

Le transazioni ben formate sono associate con gli utenti secondo tale principio, gli utenti non possono, in nessun caso, alterare le associate liste di accessi.


Caratteristiche essenziali

Caratteristiche essenziali

  • Identificazione e autenticazione degli utenti è essenziale

  • Assicurare che specifici dati possano essere manipolati da uno specifico set di procedure che a loro volta possono essere eseguite solo da utenti autorizzati

  • Mantenere log con programmi, nomi degli utenti e dati

  • Meccanismi di protezione non possono essere cambiati (staticità)

  • Il securityofficer è responsabile degli assegnamenti

  • Sono importanti le regole di sicurezza, non possiamo affidarci a un firewall perchè non ci protegge da modifiche non valide compiute da utenti autorizzati; dobbiamo incorporare la sicurezza nel IS


Il modello formale set di dati

Il modello formaleSet di dati

  • CDI: è un set di “constrained data item”, gli elementi del modello che devono essere protetti, sono dati soggetti al controllo d’integrità.

    Esempio banca: CDI = saldo dei conti

  • UDI: è un set di “unconstrained data item”, sono dati non soggetti ai vincoli d’integrità.

    • I dati non possono appartenere ad entrambe le classi


Due tipi di procedure 1 integrity verification procedures

Due tipi di procedure:1.Integrity verification procedures

  • IVP: set di “integrity verification procedures”

    Funzioni che verificano se un determinato set di dati “CDI” soddisfa determinati vincoli di integrita’

    • I vincoli d’integrità sono implementati come vincoli nel linguaggio SQL

      • Es. Per la banca un vincolo d’integrità sarà:

        (depositi di oggi)+(saldo di chiusura di ieri)

        -(prelievi di oggi)= (saldo di chiusura di oggi)


2 transform procedures

2.Transform procedures

  • TP: set di “transform procedures”

    Ogni procedura di trasformazione è una funzione da un set di CDI a un set di CDI.

    Nota: se l’originale set di CDI soddisfa un determinato IVP allora anche il set trasformato di CDI lo soddisferà

    • TP sono, quindi, “procedure ben formate”

    • Es. banca:

      • Depositi

      • Prelievi

      • Trasferimenti di denaro, etc


Clark wilson model

Transazioni e Utenti

  • IVP hanno verificato se il sistema in passato fosse in uno stato consistente, TP assicurano che lo sarà in futuro

  • Una tipica transazione nel db è composta da TP, di cui alcune trasformano UDI in CDI e altri aggiornano CDI.

  • Le transazioni devono anche implementare IVP

  • UserID: sono i nomi del set di utenti abilitati ad utilizzare il sistema

  • C’è bisogno di specificare il set delle procedure e gli utenti associati e il sistema deve assicurare che questi utenti devono eseguire solo quelle procedure; quindi c’è bisogno nel sistema di un servizio di autenticazione degli utenti


Clark wilson model

Nel caso debbano entrare nel sistema degli UDI questi devono essere processati solo da WFT per risultare CDI


Certification rules 1 assicurano che i dati nel sistema siano validi

Certification rules(1):assicurano che i dati nel sistema siano validi

  • C1: tutte le IVP devono assicurare che tutti i CDI siano in uno stato valido al momento in cui l’IVP è eseguito

  • C2: tutte le TP devono essere certificate per essere valide.

    Per ogni TP e ogni set di CDI che esso può manipolare, il “security officer” deve specificare una relazione che sarà del tipo:

    (TPi(CDIa,CDIb,CDIc,…))

    La lista di CDI definisce un set di argomenti per i quali il TP è stato certificato.

    Un TP può manipolare in modo errato un CDI se non è certificato a lavorare con questo.


Enforcement rules 1 prevengono modifiche di cdi in modo non conforme a ivp

Enforcement rules (1):prevengono modifiche di CDI in modo non conforme a IVP

  • E1: il sistema deve mantenere una lista di relazioni specificate nella regola C2 e deve assicurare che la manipolazione di CDI possa avvenire solo da certi TP, come specificato nelle relazioni

  • E2: il sistema deve mantenere anche una lista di relazioni del tipo:

    (userID,TPi,(CDIa,CDIb,CDIc,..))

    Il sistema deve assicurare che solo le esecuzioni descritte in una delle relazioni possano essere eseguite.

    Questa tripla definisce una relazione “permessa”.

    Il TP deve accedere a questi CDI dietro richiesta dell’utente associato


Enforcement rules

Enforcement rules

  • E3: il sistema deve autenticare l’identità di ogni utente che vuole eseguire una TP

    Nota: gli utenti non autenticati possono manipolare gli UDI, perché l’autorizzazione non è richiesta prima dell’uso del sistema ma prima della manipolazione dei CDI

  • E4: solo gli agenti che hanno il permesso di certificare le entità possono modificare la lista di entità associate ad altre entità, specificatamente quelle associate con TP.


Regola e3

Regola E3


Enforcement rules1

Enforcement rules


Certification properties 2

Certification properties (2)

  • C3: la relazione “permessa” deve supportare il principio della separazione dei compiti.

    La relazione “permessa” deve essere certificata.

  • C4: Tutti i TP devono aggiungere sufficienti informazioni al CDI per poter ricostruire l’operazione.

    Questo CDI è il log

    Il logging è essenziale all’auditing (processo di analisi del sistema per determinare quali azioni debbano essere eseguite e chi le deve eseguire)

    il logging è alla base dell’auditing, ma mentre il logging è interno al sistema, l’auditing è esterno e l’auditing è essenziale all’integrità.

    Nessun TP può sovrascrivere un log.

  • C5: TP che prendono un UDI come valore in input devono eseguire solo valide trasformazioni, dovrà trasformarlo in un CDI o respingerlo.


Limite principale del modello clark wilson staticit

Limite principale del modello Clark-Wilson: staticità

  • Relazioni autorizzazioni statiche

  • Statica separazione dei compiti

  • Autorizzazione sono centralizzate in un amministratore della sicurezza


Bibliografia

Bibliografia

  • Secure database development and the Clark- Wilson security model

    • Xiaocheng Ge, Fiona Polack, Règine Laleau

  • A comparison of commercial and military computer security policies

    • David Clark and David Wilson

  • Consideration of the chinese wall and the Clark-Wilson security policy in the internet environment

    • Prof. Gustaff Neumann

  • DBMS

    • Enciclopedia Wikipedia


  • Login