Модель целостности Кларка-Уилсона обеспечивает основу для определения и анализа политики целостности вычислительной системы.
Модель в первую очередь связана с формализацией понятия целостности информации . Целостность информации поддерживается за счет предотвращения повреждения элементов данных в системе из-за ошибки или злого умысла. Политика целостности описывает, как элементы данных в системе должны сохранять актуальность от одного состояния системы к другому, и определяет возможности различных участников в системе. Модель использует метки безопасности для предоставления доступа к объектам посредством процедур преобразования и модели ограниченного интерфейса.
Модель была описана в статье 1987 года (« Сравнение коммерческой и военной политики компьютерной безопасности ») Дэвида Д. Кларка и Дэвида Р. Уилсона. В статье модель развивается как способ формализовать понятие целостности информации, особенно по сравнению с требованиями к системам многоуровневой безопасности (MLS), описанными в Оранжевой книге . Кларк и Уилсон утверждают, что существующие модели целостности, такие как Biba (чтение/запись), лучше подходят для обеспечения целостности данных, а не конфиденциальности информации. Биба _модели более явно полезны, например, в системах банковской классификации для предотвращения ненадежной модификации информации и искажения информации на более высоких уровнях классификации. Напротив, Кларк-Уилсон более применим к бизнес- и отраслевым процессам, в которых целостность информационного содержания имеет первостепенное значение на любом уровне классификации (хотя авторы подчеркивают, что все три модели, очевидно, будут полезны как государственным, так и отраслевым организациям). .
Согласно шестому изданию CISSP Study Guide Стюарта и Чаппла , модель Кларка-Уилсона использует многогранный подход для обеспечения целостности данных. Вместо определения формального конечного автомата модель определяет каждый элемент данных и позволяет вносить изменения только с помощью небольшого набора программ. В модели используется трехкомпонентная связь субъект/программа/объект (где программа взаимозаменяема с транзакцией), известная как тройка или тройка контроля доступа. В рамках этих отношений субъекты не имеют прямого доступа к объектам. Доступ к объектам возможен только через программы. Посмотрите здесь , чтобы узнать, чем это отличается от других моделей контроля доступа.
Правила применения и сертификации модели определяют элементы данных и процессы, которые обеспечивают основу для политики целостности. В основе модели лежит понятие транзакции.
Модель содержит ряд базовых конструкций, которые представляют как элементы данных, так и процессы, которые работают с этими элементами данных. Ключевым типом данных в модели Кларка – Уилсона является ограниченный элемент данных (CDI). Процедура проверки целостности (IVP) гарантирует, что все CDI в системе действительны в определенном состоянии. Транзакции, обеспечивающие соблюдение политики целостности, представлены процедурами преобразования (TP). TP принимает в качестве входных данных CDI или элемент неограниченных данных (UDI) и создает CDI. TP должен перевести систему из одного допустимого состояния в другое допустимое состояние. UDI представляют собой входные данные системы (например, предоставленные пользователем или злоумышленником). TP должен гарантировать (через сертификацию), что он преобразует все возможные значения UDI в «безопасный» CDI.