Модель Кларка-Вилсона (1987)

S – множество субъектов D – множество данных в АС CDI (constrained data items) – данные, целостность которых контролируется UDI (un constrained data items) – данные, целостность которых не контролируется

D=CDI#чашка (cup)#UDI CDI#шапка (hat)#UDI=#пустое множество# TP (transformation procedure) компонент, способный инициировать транзакцию

Транзакция – последовательность действий, переводящая систему из одного состояния в другое

IVP (integrity verification procedure) – процедура проверки целостности CDI

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого CDI

2. Применение любой TP к любому CDI должно сохранить целостность этого CDI

3. Только TP могут вносить изменения в CDI

4. Субъекты могут инициировать только определенные TP над определенными CDI (система должна поддерживать отношения вида (s,t,d), где s,t,d соответственно принадлежат S,TP,CDI)

5. Должна быть обеспечена политика разделения обязанностей субъектов, то есть субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы

6. Специальные TP могут превращать UDI в CDI

7. Каждое применение TP должно регистрироваться в специальном CDI, при этом:

   1. Данный CDI должен быть доступен только для добавления информации

   2. В данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы

8. Система должна распознавать субъекты, пытающиеся инициировать TP

9. Система должна разрешать производить изменения в списках авторизации только специальным субъектам

Модель Биба (1977)

Модификация Беллы-Ла Падулле для целостности данных.

#дельта#=(IC, <=, #жирная точка#, #крестик в кружочке#) решетка классов целостности

IC – Классы целостности данных

Базовые правила модели Биба:

1. Простое правило целостности (Simple integrity, SI) – субъект с уровнем целостности Xs может читать информацию из субъекта с уровнем целостности X0 тогда и только тогда, когда X0 преобладает над Xs (No read down)

2. * - свойство (integrity) – субъект с уровнем целостности Xs может писать информацию в объект с уровнем целостности X0 тогда и только тогда, когда Xs преобладает над X0 (No write up)

Диаграмма информационных потоков

В большинстве приложений целостность данных рассматривается как некое свойство, которое либо сохраняется, либо не сохраняется и введение иерархических уровней целостности может представляться излишним. В действительности же уровни целостности в модели Биба стоит рассматривать как уровни достоверности, а соответствующие информационные потоки как передачу информации из более достоверной совокупности данных в менее достоверную и наоборот. Формальное описание модели Биба полностью аналогично описанию модели Белла-Ла Пудуллы. К достоинствам данной модели следует отнести ее простоту, а так же использование хорошо изученного мат. аппарата, недостатки аналогичны модели Белла-Ла Пудуллы.