在处理过程中保护信息的完整性
在考虑处理中的数据完整性问题时,使用了一种综合方法,基于D.Clark和D.Wilson以及他们的追随者和反对者的多部作品,并包括九个理论原则:
交易正确性;
用户身份验证;
最大限度地减少特权;
职能职责的区分;
审核已发生的事件;
目标控制;
管理权限转移;
确保持续表现;
保护机制的易用性。
事务正确性的概念定义如下。 用户不应任意修改数据,而应仅以某些方式修改,即保留数据的完整性。 换句话说,数据只能通过正确的事务进行更改,不能通过任意方式进行更改。 此外,假设可以以某种方式证明这些交易中的每一个的"正确性"。
第二个原则规定,数据修改只能由为此目的专门认证的用户进行。 这一原则与以下四个原则一起工作,与它在整体诚信计划中的作用密切相关。
最大限度地减少特权的想法出现在信息安全发展的早期阶段,其形式是对系统中运行的进程的能力施加限制,并意味着进程应该被赋予那些和只有那些对执行进程自然和最低限度必要的特权。 权限最小化原则适用于程序和用户。 用户通常比在给定时间执行特定操作所需的权限多一些。 这为滥用开辟了机会。
职能职责的区分意味着以这样一种方式组织使用数据的工作,即在构成一个从完整性角度来看至关重要的单一过程的每个关键阶段中,不同用户的参与是必要的。 这确保了一个用户不可能完成整个过程(甚至其中两个阶段),以便违反数据完整性。 在普通生活中,该原理的实施例的一个例子是将用于访问核反应堆控制程序的密码的一半传送给第一系统管理员,而另一半传送给第二系统管理员。
对发生的事件进行审计,包括恢复所发生事件的全貌的可能性,是对潜在违规者的预防措施。
客观控制原则也是完整性控制策略的基石之一。 这一原则的本质是,只有当这些数据反映事物的真实状态时,数据完整性控制才有意义。 在这方面,Clark和Wilson指出需要定期检查,旨在识别受保护数据与其反映的客观现实之间可能存在的不一致。
权限转移管理是整个安全策略有效运行所必需的。 如果特权分配方案不能充分反映企业的组织结构,或者不允许安全管理员灵活地操纵它以确保生产活动的有效性,保护就会变得繁重,并引发试图规避
确保连续运行的原则包括防止故障,自然灾害和其他不可抗力情况。
除其他外,保护机制的易用性是必要的,以便用户不寻求规避它们作为干扰"正常"操作。 此外,作为一项规则,简单的方案更可靠。 保护机制的易用性意味着操作系统的最安全方式也将是最简单的,反之亦然,最简单的是最安全的。
