完整性策略模型

实施规则

系统
证明规则 1、 2
CR1 当任意一个 IVP 在运行时, 它必须保证所有的 CDI 都是一致的 CR2 对于某些关联的 CDI 集合, TP 必须将 CDI 从 一个一致状态转换到另一个有效状态

定义TP与一组CDI的证明关系 certified 例: (TP： balance, CDIs： accounts),

在银行，由键盘输入的数字是 UDI, 因此不能输入 给 TP. 在使用输入数字前，TP 必须先验证数字转 的一致性 ( CDI); 如果检查失败, TP 拒绝该 UDI
分散权力原则
ER4 只有TP的证明者可以改变与该TP相关的 实体列表。TP的证明者，没有对该TP的 执行许可。

强制实施了”证明”、“被允许”的职责 分摊
–
S 读过 O’ 所属的CD中的客体
2.
s 没有读过 o’ 的COI中的其他客体

一个主体读了一个COI的任意客体，则在这个 CDI中它只能读该主体所属的CD。 主体数量与至少比一个CDI中的CD数目多 最初， PR(s) = , 最初的一个读总是允许 忽略了无害数据
无毒数据

一个CD中包含可公开信息

Written CD(O)
( Conflict of interest class COI): 有利益冲突的公司的 CD集合 中国墙模型假设 每个客体只属于一个 COI

例
Bank COI Class Bank of America Citibank Bank of the West Gasoline Company COI Class Shell Oil Standard Oil ARCO


TPs: transaction procedures，转换过程

银行事务中：账户结算是CDI,检查账户的结算是 IVP. 存钱，取钱，转账属于TP


系统能保证仅有TP能操纵CDI，但不能保证 TP真的是well-formed transformation. 证明规则：
安全管理员，系统所有者(可能手工完成) 根据安全策略检查TP、IVP是否满足要求

系统必须保持, 强制维护保证关系 系统必须根据用户ID限制访问 (被允许关系)
用户
CR3 E2中定义“被允许”关系列表必须满足分散 权力原则. ER3 系统必须对每一个试图执行TP的用户进行认 证


认证方法由具体系统决定 未认证的用户只能操纵UDI Authentication not required before use of the system, but is required before manipulation of CDIs (requires using TPs)
实施规则 1 、 2
ER1 系统必须保持所有的证明关系，且必须保证只 有证明可运行于一个CDI的TP才能操作该CDI ER2 系统必须将用户与每个TP及一组相关的CDI关 联起来：(UserID, TP，(CDIa, CDIb,…))。TP作 为这些用户的代表访问这些 CDI. 如果一个用 户没有关联 某个TP 和 CDI，则这个TP不能代 表该用户访问该CDI.
利益冲突不是关键问题 病人信息的保密性, 对记录的认证、对在记录中登记信 息的人的认证、记录的完整性！ 病人、病人监护人: 医疗记录的主体 个人健康信息: 关于病人健康和治疗的信息，能用于鉴 别病人 医生: 医疗专业人员，工作中有权访问个人健康信息

实体:

假设和原则


商业系统强调的是可恢复性和责任可追究性。审计是一种分析 系统的处理过程，用以确定发生了什么操作，以及这些操作的 执行者。因此，商业系统必须进行大量的审计。
Biba完整性模型

1977年，Biba首先对系统的完整性进行了研 究，提出了完整性策略。
low-water-mark策略
第一条规则防止从低等级向高等级写入，它禁止一个主体向更高等级的可信任客体 进行写入。直观上，如果一个主体想要改变一个具有更高可信度的客体时，它就可能 会导入不正确的或者是伪造的信息(因为主体的可信度比客体低)。在某种意义上，客 体的可信度将会降低为主体的可信度。因此，这种写入是不允许的。 第二条规则说明当一个主体读取一个完整性等级较低的客体时，主体的完整性等级 会降低。这种思想在于主体使用的数据的可信度比它自己的可信性还要低。因此，主 体的可信度要下降到较低的可信度等级。这样就可以防止数据“污染”主体或主体的 操作。 第三条规则允许一个主体执行另外一个主体，只要第二个主体的完整性等级不比第 一个主体的完整性等级高。否则，可信度低的调用者能够控制并破坏被调用的主体， 即使被调用主体的可信度更高。
例: 银行


Well-formed 事务处理 将一个一致状态转换为另一个 一致状态 Issue: who examines, certifies transactions done correctly?
模型定义

CDIs: constrained data items，约束型数据项


Bell-LaPadula不能精确模拟C-W

CW能模拟Bell-LaPadula
与 Clark-Wilson比较


Clark-Wilson 模型处理完整性、可检验性、 访问控制。CW只考虑访问控制 Clark-Wilson 与中国墙在访问控制方面是 一致的
医疗信息系统安全策略

医疗记录

与Bell-LaPadula比较

本质区别


CW 没有安全标签, B-LP 有 CW 用了访问的历史, B-LP 没有用

Bell-LaPadula 能描述任意时刻CW模型的状态 Bell-LaPadula 不能跟踪CW模型的状态变化

Susan becomes ill, Anna needs to take over

因此, Susan 能间接读Bank 1的 CD, 导致了利益 冲突。
CW-*-属性

主体 s 能够写客体 o 当且仅当以两个条件同 时为真:
1. 2.
CW-简单安全条件允许 s 读 o; 对于未消毒客体 o, 如果 s 能读 o, 那么 CD(o) = CD(o)

s 能写一个客体， 如果它能读的全部未消 毒的客体与该客体在一个CD数据集中 有毒害信息被限制在它的CD中，而无毒数 据可在系统中自由流动。



解决商业中的利益冲突问题 保密性、完整性同样考虑
组织

将信息对象分类为“利益冲突” 类 控制主体对每个类的访问 控制对对象的写操作，保障信息的传递不 违反规则 允许公开数据能够被访问
定义

客体:与一个公司相关的一条信息
( Company dataset, CD): 与一个公司相关的客体集合
Lipner完整性矩阵模型


Lipner的研究回归到Bell-LaPadula模型，并 将Bell-LaPadula模型与Biba模型结合，创建 了一种新的模型，它更准确地符合商业性 策略的需求。 他定义了5种安全类别
Lipner完整性矩阵模型
他定义了两种安全等级：
系统用户等级和安全类分配：
Lipner完整性矩阵模型
完整性策略
及混合策略
商业系统的安全需求
目标

商业需求与军事需求的区别在于，商业需求强调的是数据 的完整性。 首先是职责分离原则。 这条原则规定如果需要两个或多个步骤来执行一个关 键操作，那么至少需要两个不同的人来执行这些步骤。 其次是功能分离原则。



禁止开发人员在生产系统上开发新的程序，因为这样 会对生产数据构成威胁。 最后是审计。

公开信息没有利益冲突 读过公开信息不应影响其读权利 公开信息在发布前将敏感数据删除 (消毒) O 是无毒客体

在CW-简单安全条件中加入第三个条件 :
3.
写


假设Anthony, Susan 在同一交易所工作 Anthony 能读 Bank 1 的 CD, Gas 的 CD Susan 能读 Bank 2 的CD, Gas 的 CD 如果Anthony 能写 Gas 的 CD, 则Susan能读 到。
Clark-Wilson 完整性模型

完整性: 数据的一些列约束

Data in a consistent or valid state when it satisfies these D 今日的存款, W 今日的取款, YB 昨天的余额, TB 今日 的余额 完整性约束: D + YB –W=TB
与 Biba的比较

Biba

没有证明规则; 假定存在可信主体保证系统中操作都是 符合规则的，不提供证明机制。 将不可信数据升级到可信数据 明确给出了实体、及其操作须满足的限制


Clark-Wilson

更新(实体、操作)的操作是TP
可信实体证明处理数据(将不可信数据升级到可信数据) 的方法，而非数据本身
日志
CR4 所有 TP 必须保证可写一个只允许添加 的 CDI（系统日志），所有的信息足够 用来重构操作.
系统日志被看作 CDI 审计人员能根据日志知道发生了什么

处理不可信的输入
CR5 任意将一个UDI 看作输入的 TP必须保证只进 行有效转换，或不转换。这种转换要么拒绝该 UDI ，要么将其转化为一个 CDI.

C-W history lets Anna know if she can No way for Bell-LaPadula to capture this

访问限制随时间变化


初始时, 新主体可访问任意CD。随着访问的CD的增加，限制也增 加。 Bell-LaPadula 限制了主体访问的客体集合
Union ’76
Temporal Element

如果 Anthony 能够读某个COI中的 CD, 他永 远不能读这个 COI中的其他CD。

在一个COI中只能访问一个CD

设 PR(S) 为S 曾经读过的客体集合
CW-简单安全条件

S 可读取 O，当且仅当以下任一条件为真:
1.
–
存在一个 O ，它是 s 曾经访问过的客体，并且 CD(O) = CD(O) 对于所有客体 O , O PR(S) COI(O) ≠ COI(O)
系统客体等级和安全类分配：
符合BLP模型的 简单安全性策略
安全需求
Lipner的完整性模型
Lipwk.baidu.comer的完整性模型
Lipner的完整性模型
Clark-Wilson完整性模型

1987年，David Clark和David Wilson开发了 一种完整性模型，它与先前的模型有着本 质上的区别。这种模型以事务处理为基本 操作，与先前的模型相比，它对于许多商 业系统（银行）的建模更加符合实际。
从属于完整性约束的的数据 不从属于完整性约束的的数据
UDIs: unconstrained data items，非约束型数据项


IVPs: integrity verification procedures，完整性验证 过程

检查 CDI 是否满足完整性约束 将一个一致状态转换为另一个一致状态的操作过程
low-water-mark策略
这种策略禁止降低完整性标签的直接修改。它也禁止间接修改，要求主体在读取完整性 等级较低的客体后降低其完整性等级。这意味着它很快就不能访问完整等级较高的客体。 另外一种策略是降低客体的完整性等级而不是主体的完整性等级， 但是这种策略又存在将客体完整性等级降到最低的特性。
环策略
环策略忽略间接修改的问题，只强调直接修改，这可以解决上述的问题。
Biba模型 （严格完整性策略）
和low-water-mark策略一样，这种策略不允许在没有授权的 情况下对实体进行直接的或间接的修改。以“完整性类别等 级”的概念来替代“完整性等级”，同时增加自主控制的概 念，就可以获得Bell-I,aPad模型的完全对偶。

Biba 基于完整性的分级 Clark-Wilson 重点在于责权分离和事务处理
混合策略 Hybrid Policies



Overview 中国墙 模型 医疗信息系统安全策略 创建者控制的访问控制ORCON 基于角色的访问控制RBAC
中国墙 模型
问题:
来自商业的需要 投资公司