MODELO DE SEGURIDAD

CLARK-WILSON

INTEGRANTES
• MARIA PESANTES
• PETER MUÑOZ
• JOHNNY ORDOÑEZ
• JOSELYNE VALLEJO
INTRODUCCIÓN

• Dentro del campo de la seguridad informática la mayor preocupación está

dada por tres propiedades de la información: la confidencialidad, la
integridad y la disponibilidad.
• Estas tres características de la información interesan tanto al sector comercial
como al sector militar.
• El modelo de integridad de David D.Clark y David R. Wilson fue desarrollado
entre 1987 y 1989.

Históricamente, la confidencialidad ha recibido la mayor atención, esto se debe en

gran parte a que es un aspecto primordial para el sector militar, sector en el cual se
iniciaron los desarrollos de modelos formales de seguridad.

Este modelo demostró que la integridad es más importante que la confidencialidad.

DESCRIPCIÓN DEL MODELO
• Es un modelo de integridad, al nivel de aplicación que busca garantizar las
propiedades de integridad en datos comerciales al proporcionar un marco
de trabajo para la evaluación de seguridad en sistemas de aplicación
comercial.
• Los procedimientos mencionados a continuación son aplicados para brindar
protección.
Elementos de datos restringidos Elementos de datos no restringidos
CDIs   UDIs
Son elementos u objetos pueden ser
Son elementos u objetos transformados en CDIs.
cuya integridad debe mantenerse
Dos procedimientos son aplicados a estos datos para brindar protección:
• Verificación de Integridad (IVP). 
• Transformación (TP). 
Si solo los procedimientos de transformación pueden cambiar los datos, la
integridad de los datos se puede mantener. 
El sistema debe asegurar que sólo los TPs pueden manipular a los CDIs. 
Los TPs y los IVPs deben estar certificados con respecto a una política de integridad
específica. Un TP debe reunir sus especificaciones y éstas deben ser correctas.
Adicionalmente, el sistema debe requerir que todos los procedimientos de
transformación sean registrados en los Logs, proporcionando un mecanismos de
rastreo y auditoria sobre todos los cambios.
REGLAS DE INTEGRIDAD

• Para garantizar que la integridad sea alcanzada y preservada, el modelo CW cuenta con nueve
reglas que definen un sistema de aplicación de integridad: Las reglas de Monitoreo-Integridad
(Reglas de Certificación) y las reglas de Preservación-Integridad (Reglas de Ejecución). 

• Las Reglas de Certificación (C), envuelven el análisis humano y la decisión tomada hasta que
alguna automatización sea posible. Son reglas ejecutadas por el administrador.

• Las Reglas de Ejecución (e), son de aplicación independiente, son fáciles de implementar en el
sistema. Son reglas garantizadas por el sistema. 
LAS REGLAS SIGUIENTES RELACIONAN LA
CONSISTENCIA INTERNA Y EXTERNA:

• 1. C1 (Certificación IVP): Todos los IVPs deben asegurar de manera apropiada que los CDIs se encuentren en
un estado válido en el momento en el cual el IVP se encuentra en ejecución.
•
• 2. C2 (Validez): Todos los TPs deben estar certificados para ser válidos. Esto significa que transforman un CDI
a un estado final válido, si el CDI está en un estado válido al inicio. Cada TP debe estar certificado para un
conjunto específico de CDIs.
•
• 3. E1 (Ejecución de Validez): El sistema debe mantener una lista de las relaciones de la regla C2 y debe
asegurar que cualquier manipulación de un CDI sea mediante un TP y se encuentre autorizada por alguna
relación
LAS REGLAS ADICIONALES QUE SE
REQUIEREN PARA LA SEPARACIÓN DE LA
OBLIGACIÓN SON:
• 1. E2 (Ejecución de Separación de Obligaciones): El sistema debe mantener
una lista de relaciones que enlacen al usuario, al TP y los CDIs que el TP
debe manipular a favor de ese usuario.
•
• 2. C3: La lista de relaciones de E2 debe estar certificada para conocer la
separación de la obligación requerida.
OTRAS CUATRO REGLAS COMPLETAN EL MODELO. ÉSTAS
ESPECIFICAN QUE:

• 1. E3 (Identidad de Usuario): Los usuarios que invocan TPs deben ser

autenticados.
• 2. C4 (Certificación de Bitácora): Todos los TPs deben estar certificados para
que puedan tener entrada en los Logs.
• 3. C5: Los TPs que transforman UDIs a CDIs deben estar certificados.
• 4. E4 (Iniciación): Sólo ciertos usuarios designados deben especificar las
relaciones.
EJEMPLO
• 1. El empleado a cargo de compras crea la orden para el surtidor, envía copias al
surtidor y al departamento de recepción.
• 2. En el momento en que se reciben los bienes, el empleado encargado de recepciones
verifica el pedido y si todo está correcto, firma el formulario de envío. El formulario
de envío y la orden original son enviadas al departamento de contabilidad.
• 3. El surtidor envía una factura al departamento de contabilidad. El contador compara
la factura con la orden original y el formulario de envío y emite un cheque al surtidor.
• El ejemplo anterior se presenta en términos de Datos Restringidos, los cuales son
procesados por Procedimientos de Transformación. Los datos son modificados
únicamente a través de procedimientos de transformación, manteniendo así la integridad.
Los usuarios vendrían a ser: el empleado a cargo de compras, el empleado de recepción, el surtidor y el
contador.
Los procedimientos de transformación estarían representados en: Crear la orden, enviar la orden, crear
el formulario de envío, enviar el formulario de envío, firmar el formulario de envío, crear la factura,
enviar la factura, comparar la factura con la orden, etc.
Los elementos de datos restringidos serían: la orden, el formulario de envío, la factura y el cheque.
• Los usuarios pueden invocar algunos procedimientos de transformación, y un conjunto
preespecificados de objetos de datos o CDI’s según sus funciones. Esto refuerza el
concepto de Separación de Obligaciones.
VENTAJAS
EL MODELO CLARK-WILSON SE BASA EN DAR PERMISOS DE EJECUCIÓN A CIERTOS PROGRAMAS QUE
TIENEN EMBEBIDOS LOS PERMISOS SOBRE LOS OBJETOS.
ESTE MODELO TIENE DOS NIVELES DE INTEGRIDAD: EL UDIS DE NIVEL INFERIOR Y EL NIVEL MÁS ALTO CDIS.
PERMITE QUE EL OFICIAL DE SEGURIDAD CERTIFIQUE EL MÉTODO PARA LA MEJORA DE LA INTEGRIDAD

COMPARACIÓN CON
ORANGE BOOK COMPARACIÓN CON BIBA
•La diferencia entre estos mecanismos es muy clara ya que con • El modelo de Clark-Clark-Wilson permite que el oficial
los controles planteados por el Orange Book, los usuarios que de seguridad certifique el método para la mejora de la
tienen determinados permisos sobre un objeto pueden integridad, en otras palabras, que los TPs toman UDIs
utilizarlos de cualquier forma, mientras que en Clark-Wilson como valores de entrada. De esta manera Clark-Wilson
los usuarios se someten a lo que los programas ejecuten , esto
reconoce el papel fundamental del TP, mientras que el
se refleja en la separación de obligaciones, donde un usuario
modelo de Biba carece cualquier equivalente de la regla
modifica un objeto solo a través de un conjunto de
E1 (CDIs cambian solamente por el TP autorizado), y no
transacciones definidas para ese usuario (programas), y otros
puede proporcionar así la idea específica de datos
usuarios con otras obligaciones tendrán acceso a un conjunto
diferente de transacciones. Esta forma de modelar las cosas se
limitados.
adecua de mejor manera a las necesidades de las
organizaciones comerciales, ya que se acerca mucho mas a la
forma en como manejan sus asuntos.
DESVENTAJAS
COMPARACIÓN CON
ORANGE BOOK
• El modelo Clark-Wilson al tener un
conjunto de programas que son quienes
modifican los objetos, los datos se
encuentran más accesibles y el riesgo que
algún otro usuario que usa un otro
programa, o el mismo si la autorización
crece.
COMPARACIÓN CON BIBA
• El modelo Biba posee una mayor
granularidad en la noción de la autorización,
como resultado de la flexibilidad del tener un
lattice lleno de niveles de seguridad
disponibles como niveles de integridad. Sin
embargo, esta ventaja en el ámbito de trabajo
comercial no es de mucha significancia.