클라크-윌슨 모형

이 기사는 대부분 또는 전체적으로 단일 출처에 의존하고 있습니다. 관련 토론은 토크 페이지에서 확인할 수 있습니다. 추가 출처에 인용문을 도입하여 이 기사의 개선에 도움을 주시기 바랍니다.출처 : '클라크-윌슨 모델'– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2018년 9월)

Clark-Wilson 무결성 모델은 컴퓨팅 시스템의 무결성 정책을 지정하고 분석하기 위한 기반을 제공합니다.

이 모델은 주로 정보 무결성의 개념을 공식화하는 것과 관련이 있습니다.오류 또는 악의적인 의도로 인한 시스템 내 데이터 항목의 손상을 방지하여 정보 무결성을 유지합니다.무결성 정책은 시스템 내의 데이터 항목을 시스템 상태 간에 유효하게 유지하는 방법을 설명하고 시스템 내의 다양한 주체의 기능을 지정합니다.이 모델에서는 보안 라벨을 사용하여 변환 절차 및 제한된 인터페이스 모델을 통해 객체에 대한 액세스를 허용합니다.

기원.

이 모델은 David D의 1987년 논문(상용과 군사용 컴퓨터 보안 정책의 비교)에서 설명되었습니다. 클라크와 데이비드 R.윌슨.이 백서에서는 특히 Orange Book에 기술된 멀티레벨 보안(MLS) 시스템의 요건과 비교하여 정보 무결성의 개념을 공식화하기 위한 방법으로 모델을 개발합니다.Clark와 Wilson은 Biba(읽기/쓰기)와 같은 기존 무결성 모델이 정보 기밀성보다는 데이터 무결성을 시행하는 데 더 적합하다고 주장한다.예를 들어, 비바 모델은 신뢰할 수 없는 정보 수정 및 상위 분류 수준의 정보 왜곡을 방지하기 위해 은행 분류 시스템에 더 분명히 유용하다.이와는 대조적으로 Clark-Wilson은 모든 분류 수준에서 정보 내용의 무결성이 가장 중요한 비즈니스 및 산업 프로세스에 더 명확하게 적용할 수 있습니다(저자들은 세 가지 모델 모두가 정부와 산업 조직 모두에 분명히 도움이 된다고 강조합니다).

기본 원칙

Stewart와 Chapple의 CISSP Study Guide 제6판에 따르면 Clark-Wilson 모델은 데이터 무결성을 강화하기 위해 다면적인 접근방식을 사용합니다.모델에서는 정식 상태 머신을 정의하는 대신 각 데이터 항목을 정의하고 작은 프로그램 세트만을 통해 수정을 허용합니다.이 모델은 트리플 또는 액세스 제어 트리플로 알려진 주체/프로그램/객체(프로그램이 트랜잭션과 상호 호환됨)의 3부 관계를 사용합니다.이 관계 내에서 피실험자는 개체에 직접 액세스할 수 없습니다.개체는 프로그램을 통해서만 액세스할 수 있습니다.다른 액세스 제어 모델과 어떻게 다른지 알아보겠습니다.

모델의 시행 및 인증 규칙은 무결성 정책의 기초를 제공하는 데이터 항목 및 프로세스를 정의합니다.이 모델의 핵심은 트랜잭션의 개념을 기반으로 합니다.

• 올바른 형식의 트랜잭션은 시스템을 하나의 일관된 상태에서 다른 일관된 상태로 전환하는 일련의 작업입니다.
• 이 모델에서는 무결성 정책이 트랜잭션의 무결성을 해결합니다.
• 직무분리의 원칙은 거래의 인증자와 시행자가 서로 다른 실체여야 한다.

이 모델에는 데이터 항목과 해당 데이터 항목에서 작동하는 프로세스를 모두 나타내는 많은 기본 구조가 포함되어 있습니다.Clark-Wilson 모델의 주요 데이터 유형은 CDI(Constrainted Data Item)입니다.Integrity Verification Procedure(IVP; 무결성 검증 절차)는 시스템 내의 모든 CDI가 특정 상태에서 유효함을 보증합니다.무결성 정책을 적용하는 트랜잭션은 Transformation Procedures(TP; 변환 절차)로 나타납니다.TP는 CDI 또는 UDI(Unstrained Data Item)를 입력으로 받아 CDI를 생성합니다. TP는 시스템을 한 유효한 상태에서 다른 유효한 상태로 전환해야 합니다.UDI는 시스템 입력(사용자 또는 상대방이 제공한 입력 등)을 나타냅니다.TP는 (인증을 통해) UDI의 가능한 모든 값을 "안전한" CDI로 변환한다는 것을 보증해야 합니다.

규칙.

모델의 핵심은 인증된 주체(즉, 사용자)와 데이터 항목 세트(예: UDI 및 CDI)에서 작동하는 프로그램 세트(예: TP) 간의 관계 개념입니다.이러한 관계를 종합하면 Clark-Wilson 트리플이라고 한다.또한 모델은 주체, 트랜잭션 및 데이터 항목 간의 관계를 서로 다른 엔티티가 조작하도록 해야 합니다.예를 들어, 관계를 인증하거나 작성할 수 있는 사용자는 해당 관계에 지정된 프로그램을 실행할 수 없습니다.

이 모델은 다음 두 가지 규칙 세트로 구성됩니다.인증 규칙(C) 및 시행 규칙(E)입니다.9가지 규칙은 데이터 항목의 외부 및 내부 무결성을 보장합니다.바꿔 말하면:

C1: IVP 실행 시 CDI가 유효한지 확인해야 합니다.

C2: 관련된 CDI 세트에 따라서는 TP가 이러한 CDI를 유효한 상태에서 다른 상태로 변환해야 합니다.

이러한 TP가 특정 CDI 상에서 동작하는 것이 인정되고 있는 것을 확인할 필요가 있기 때문에, E1과 E2가 필요합니다.

E1: 시스템은 인증된 관계 목록을 유지하고 CDI에서 실행되도록 인증된 TP만 CDI를 변경해야 합니다.

E2: 시스템은 사용자를 각 TP 및 CDI 세트에 연관시켜야 합니다.TP는 CDI가 "합법적"인 경우 사용자를 대신하여 CDI에 액세스할 수 있습니다.

E3-시스템은 TP 실행을 시도하는 각 사용자의 ID를 인증해야 합니다.

이를 위해서는 "허용된 관계"라고 불리는 3배(사용자, TP, {CDIs})를 추적해야 합니다.

C3—허용된 관계는 "의무 분리" 요건을 충족해야 한다.

이를 추적하려면 인증이 필요합니다.

C4: 모든 TP는 동작을 재구성하기에 충분한 정보를 로그에 추가해야 합니다.

정보가 시스템에 입력될 때 신뢰하거나 구속할 필요가 없습니다(즉, UDI일 수 있습니다).우리는 이것을 적절히 처리해야 한다.

C5: UDI를 입력으로 받아들이는 TP는 UDI의 가능한 모든 값에 대해서만 유효한 트랜잭션을 실행할 수 있습니다.TP는 UDI를 수락(CDI로 변환)하거나 거부합니다.

마지막으로, TP의 자격을 변경하여 사람들이 액세스하지 못하도록 하려면:

E4—TP의 인증자만 해당 TP와 관련된 엔티티 목록을 변경할 수 있습니다.

CW 라이트

Clark-Wilson의 변형은 CW-lite 모델이며, TP 의미론의 공식 검증의 원래 요건을 완화합니다.의미 검증은 별도의 모델 및 일반적인 공식 증명 도구에 의해 연기됩니다.

「 」를 참조해 주세요.

• 혼란스러운 대리 문제

레퍼런스

• Clark, David D. 및 Wilson, David R.; 상업 및 군사 컴퓨터 보안 정책의 비교; 1987년 보안 및 사생활 연구에 관한 IEEE 심포지엄(SP'87), 1987년 5월, 캘리포니아 오클랜드, IEE 프레스, 페이지 184–193.
• Chapple, Mike; Stewart, James 및 Gibson Darril; 인정 정보 시스템 보안 전문가; 공식 스터디 가이드 (8차 에디션) 2018, John Wiley & Sons, Indiana
• Umesh, Umesh, Jaeger, Trent 및 Sailer, "보안 크리티컬 애플리케이션의 자동 정보 흐름 무결성 검증을 향함", "2006 네트워크 및 분산 시스템 보안 심포지엄 진행(NDSS '06, 2006년 2월, 샌디에이고, 인터넷 협회)"

외부 링크

• Matt Bishop 교수가 컴퓨터 보안을 가르치기 위해 사용한 Clark-Wilson에 관한 슬라이드
• http://doi.ieeecomputersociety.org/10.1109/SP.1987.10001