בשלהי שנות ה-80 של המאה ה-20, מדענים ואנשי-אקדמיה רבים החלו לערער ולבקר על גישת האקדמיה בתחום אבטחת המידע (שהיה ועודנו כמובן, נושא חשוב בעל השפעה מדינית וממשלתית). בין המדענים נמנו דוויד קלארק ודוויד ווילסון, אשר בשנת 1987 פרסמו מאמר, הטוען כי רוב המחקרים האקדמיים בנושא – מתבססים על סודיות המידע ולא על שלמותו. חשוב לזכור, כי באותה התקופה - הגישה לנושא אבטחת המידע הייתה מכוונת בעיקר לדרישות הצבא והמדינה.
מאפייני המודל הם כדלקמן:
מאפייני המודל הם כדלקמן:
- התמודדות עם עקרון השלמות (Integrity).
- משתמשים לא מורשים – אינם יכולים לבצע שינויים כלל.
- המודל שומר על עקביות המידע ברמת המערכת.
- עקביות פנים – מאפייני המערכת.
- עקביות חוץ – מאפייני המערכת כאשר מתייחסים ליחסי המערכת לעולם החיצוני, כגון האינטרנט.
- משתמשים מורשים – אינם יכולים לבצע שינויים לא מורשים.
- גישה מכוונת תעשיה-מסחר להבדיל מהגישה המקובלת דאז – צבאית.
- מוודא כי קיימת:
- עקביות חוץ-מערכתית.
- עקביות פנים-מערכתית.
- אופן האכיפה:
- הפרדת מטלות (Separation of Duties).
- טיפ קטן : המקף (-) בשם המודל, שמפריד בין השמות "קלארק" ו-"ווילסון" – מרמז על אופן האכיפה העיקרי במודל – הפרדת מטלות.
- מבנה לוגי הולם להעברת נתונים.
ווילסון ו-קלארק ניסו לשלב בין מודל האבטחה הצבאי לזה המסחרי. הם פיתחו מודל המורכב משלישיות (Access Triples) של משתמש\פעולה\אובייקט וכן כללים\חוקים החלים על השלישיות.
נרחיב על שלישיות אלו:
כאשר תוכנה\יישום משתמשת במודל קלארק-ווילסון, היישום מפריד פיסות
מידע לקבוצה, כאשר קבוצה זו מאופיינת בדרישת רמת אבטחה גבוהה מאוד. כאמור, קבוצה
זו מכילה נתונים הדורשים רמת הגנה הולמת. קבוצה זו הינה האובייקט ולעתים מכונה גם
כ- "פריט נתונים מוגבל", Constrained Data Item
(CDI) . נתונים של נמצאים בקבוצה הנ"ל, קרי דרישת הגנתם לא גבוהה –
מכונים "פריט נתונים לא-מוגבל", Unconstrained Data
Item (UDI).
ע"פ המודל, כאשר הסובייקט (המשתמש), רוצה לגשת למידע מוגן – הסובייקט (CDI), הוא צריך להיות מזוהה ומאומת ביישום, כאשר היישום מבצע פעולה, פרוצדורה להשלמת אימות המשתמש. הפרוצדורות מכונות TPs (Transformation procedures). הווה אומר, כי ע"פ מודל זה, משתמש אינו יכול לגשת ל-CDI – ללא שימוש ב-TP .
ע"פ המודל, כאשר הסובייקט (המשתמש), רוצה לגשת למידע מוגן – הסובייקט (CDI), הוא צריך להיות מזוהה ומאומת ביישום, כאשר היישום מבצע פעולה, פרוצדורה להשלמת אימות המשתמש. הפרוצדורות מכונות TPs (Transformation procedures). הווה אומר, כי ע"פ מודל זה, משתמש אינו יכול לגשת ל-CDI – ללא שימוש ב-TP .
נכון. זהו מודל המתמודד עם עקרון השלמות, ולכן חייב להיות משהו שיוודא כי כללים וחוקים אודות שלמות המידע – אכן מתקיימים. זהו תפקידו של פרוצדורת אימות השלמות – Integrity Verification procedures , או בקצרה IVP. פרוצדורה זו נבנית ע"פ התאמה אישית של הארגון – ומפותחת ע"י הארגון. חשוב לזכור כי מודל מורכב ממבנים לוגיים, נוסחאות מתמטיות ועוד מרכיבים מסובכים שלרוב, רק חוקרים ומדענים יכולים להבין. לכן, מודל אבטחה (ככל סוג שהוא), משמש רק כ-מסגרת עבודה (Framework) עבור ארגונים גדולים המיישמים מודל זה במוצריהם.
נסיים כמובן, בדוגמא הממחישה את חשיבות ה-IVP;
לבנק מסויים – מערכת כלשהי המציגה את פרטי חשבון הבנק של הלקוח. דרישת הבנק הינה ליישם את מודל קלארק-ווילסון במערכת. לבנק חשוב שהמידע המוצג ללקוח אודות חשבונו – יהיה נכון. לכן, ה-IVP המבוקש יהיה כזה שייאמת את ה-CDI, כאשר ה-CDI הינו סכום הכסף הקיים בחשבון.
אם ליוסי יש כ-2000 ש"ח בחשבון, ומפקיד עוד כ-1000 ש"ח, ה-CDI לחשבונו יהיה הסכום 3000 ש"ח. קל להסיק כי ה-IVP שומר על עקביות המידע.
לסיכום, מודל קלארק-ווילסון הינו מודל לאבטחת שלמות המידע, המכסה את 3 המטרות בעקרון השלמות:
- מניעת משתמשים לא מזוהים (מאומתים) לשינוי נתונים ומידע.
- מניעת משתמשים מזוהים לבצע שינויים לא מורשים (קרי, הפרדת תפקידים).
- שמירה ותחזוק עקביות המידע היוצא והנכנס למערכת.
