Tópicos de Computadores II

Modelo Clark-Wilson

Clark e Wilson (1987) documentaram uma visão generalizada da política de segurança comercial, demonstrando o quanto elas diferem das políticas de segurança militares. Eles propuseram dois princípios como os mais importantes na busca de garantia para manutenção da integridade: transações bem formadas e separação de responsabilidades.
Transações bem formadas limitam a forma que os usuários podem modificar os dados, assegurando que todos os dados que iniciem em um estado válido permanecerão validos após a execução da transação. A unidade básica de controle de acesso do modelo é uma tripla, composta por usuário, procedimento de transformação e um item de dados confinado. Um procedimento de transformação é uma transação e um item de dados confinado é aquele cuja integridade deve ser preservada.
O princípio da separação de responsabilidades assegura a consistência de mudanças realizadas em dados críticos, o que previne que usuários autorizados realizem modificações impróprias, contribuindo, assim, para a integridade dos dados. A separação de responsabilidades é aplicada por maior da divisão de operações em diversas sub-operações e estabelecendo que diferentes pessoas realizem cada uma dessas sub-operações. Por exemplo, num processo de compra de uma determinada mercadoria envolvendo os passos de autorização do pedido de compra e autorização do pagamento; por meio da separação de responsabilidades, exige-se que cada uma das partes seja realizada por uma pessoa diferente e que o segundo passo só se concretize após a ocorrência do primeiro.
Diferentemente do modelo de segurança de Bell-LaPadula (1973), cuja mediação de acesso reside no núcleo do sistema, a abordagem de Clark e Wilson (1987) impõe o controle ao nível da aplicação. Esta diferença é resultante dos objetivos pretendidos por cada um dos modelos. O modelo de segurança multinível, cuja base é o modelo de Bell-LaPadulo, pretende controlar o fluxo de informação,