Это правило можно рассматривать как свойство скрытия применения ПП над CDI. То есть, любое применение ПП над CDI не приведет к нарушению целостности CDI.

Обратите внимание, что это правило не указыает как каждый ПП поддерживает скрытие в пределах множества CDI. Это потому что ничего не говорится о том, как применение ПП влияет на целостность других CDI. Более сильным способом определения правила является гарантия того, что каждый ПП сохраняет целостность каждого CDI, а не только того CDI, который изменяет данный ПП. Это бы гарантировало, что никакой ПП не влияет на целостность, но это гораздо труднее реализовать.

Третье правило определяет защитное ограничение на то, какие процедуры могут влиять на множество CDI:

Правило 3: только ПП может вносить изменения в CDI.

Другими словами, процедуры и действия, не являющиеся ПП, не могут изменить ПП. Это обеспечивает замкнутость в пределах набора CDI. Обратите внимание на отличия от модели Биба понижения уровня объектов. Модель Биба позволяет субъектам с меньшей целостностью изменять объекты с более высокой целостностью, что нарушает их целостность. Данное правило модели КВМ не позволяет субъектам с низкой целостностью (то есть, не использующим ПП) изменять объекты с высокой целостностью (то есть, CDI). В этом плане модель КВМ подобна мандатной модели целостности Биба.

Четвертое правило определяет какие субъекты могут инициировать ПП над какими данными в CDI.

Правило 4: Субъекты могут инициировать только определенные ПП над определенными CD1.

Это правило заявляет, что система должна определять и поддерживать некоторые отношения между субъектами, TP и CDI, так называемые КВМ-тройки. Каждая такая определяет возможность данного субъекта применить данный ТР к данному CDI. Например, если (s, t, d) является элементом отношения, то субъекту s разрешается npименить ПП t к CDI d. Если же эта тройка не является элементом отношения, то такой тип применения ПП будет запрещен. Это правило гарантирует, что всегда можно определить кто может изменить CDI и как это изменение может произойти.

Пятое правило накладывает дополнительное ограничение на отношения КВМ-троек:

Правило 5: КВМ — тройки должны проводить некоторую соответствующую политику разделения обязанностей субъектов.

Это правило предусматривает, что компьютерная система определяет такую политику, чтобы не позволять субъектам изменять CDI без соответствующего вовлечения других субъектов. Это предотвращает субъектов от возможности наносить ущерб целостности CDI. Некоторые системы управления конфигурацией предоставляют уровень разделения обязанностей. Например, в некоторых системах разработчики ПО должны представить свои модули на просмотр менеджеру по разработке ПО перед тем, как они смогут включить их в конфигурацию. Этот подход защищает целостность конфигурации ПО. Однако, ничто в модели КВМ не предотвращает от использования неграмотной политики разделения обязанностей.

Шестое правило предоставляет способ модернизации UDI в CDI:

Правило 6: некоторые специальные ТР могут превращать UDI в CDI.

Это правило позволяет определенным ПП получать на вход UDI и после соответствующего повышения целостности выдавать на выходе CDI. Однако, как и для IVP остаются неясными способы реализации этого механизма.

Седьмое правило накладывает требование, что все случаи применения ПП регистрируются в специально предназначенном для этого CDI:

Правило 7: каждое применение CDI должно регистрироваться в специальном CDI, в который может производиться толь­ко добавление информации, достаточной для восстановле­ния картины о процессе работы этого CDI.

Это правило требует ведения специального регистрационного журнала, который хранится в определенном CDI.

Восьмое правило накладывает требование аутентификации субъектов, желающих инициировать ПП: Правило 8: Система должна распознавать субъекты, пытаю­щиеся инициировать ПП.

Это правило определяет механизмы предотвращения атак, при которых один субъект пытается выдать себя за другого.

Последнее правило накладывает административное требование о том, кому дозволено менять списки авторизации (например, КВМ- тройки):

Правило 9: Система должна разрешать производить изме­нения в списках авторизации только специальным субъек­там (например, офицерам безопасности).

Это правило гарантирует, что основная защита, определяемая КВМ-тройкой, не будет обойдена злоумышленником, пытающимся изменить содержание такого списка.

Можно сказать, что указанные выше девять правил определяют, как может быть проверена целостность, как и кем могут изменяться CDI, и как UDI могут быть превращены в CDI.

Следует заметить, что некоторые исследователи ставят под сомнение необходимость включения в модель регистрационных,административных, и аутентификационных правил на том основании, что они не дают никакой выгоды с логи­ческой точки зрения. Например, если в модель включена интерактивная регистрация (например, запись всех дей­ствий в защищенное расписание) для обеспечения коррект­ного использования ПП, то это может привести к невыполне­нию одного из других правил. Это остается областью актив­ных исследований и дебатов.

Основным преимуществом модели КВМ является то, что она основана на проверенных временем бизнес-методах обращения с бумажными ресурсами. Поэтому модель КВМ не следует рассматривать как академическое исследование, а скорее как комплекс существующих методов. Модель КВМ также предоставляет исследователям методы работы с це­лостностью, отличные от традиционных уровне-ориентированных подходов, таких как модели БЛМ и Биба. Фактичес­ки, публикация оригинальной модели КВМ пробудила инте­рес к исследованиям в области защиты и моделирования целостности.

Основным недостатком модели КВМ является то, что IVP и методы предотвращения CDI от искажения целостности нелегко реализовать в реальных компьютерных системах. Конечно, эти принципы легко реализовать в ограниченном наборе приложений. Например, в случае стекового прило­жения IVP можно реализовать путем анализа длины стека на основании всех операций push и pop для определения пра­вильной длины стека. Кроме того, ограничения на ПП можно реализовать за счет использования абстрактного типа дан­ных для которых единственно возможными операциями яв­ляются push и pop.

Однако, в менее тривиальных приложениях, таких как разработка ПО, использование IVP и ПП затруднительно. Мы уже упоминали ограничения на просмотр кода как проблему при создании IVP для ПО. Подобные ограничения существу­ют для других потенциальных методов проверки ПО, таких как контрольная сумма, синтаксическая проверка, анализа­тор качества ПО, и т.д. Заметьте, однако, что даже если эти методы и не гарантируют целостность полностью, они предоставляют дополнительный уровень обеспечения целостности.

Все недостатки данной модели вытекают из ее неформализованности. Ее можно применять при проектировании систем для спецификации пользовательских приложений и применяться на соответствующем уровне иерархии рас­смотрения защищенной вычислительной системы. Данная модель может использоваться в сочетании с другими моде­лями и применяться в качестве "дискретной" модели целос­тности в сочетании с мандатной моделью целостности Биба, что и рассмотрено в следующем пункте.

Объединение модели КВМ с моделью Биба.

Дополнительным преимуществом модели КВМ является возможность ее объединения с другими моделями безопас­ности. Мы рассмотрим один из многих потенциальных под­ходов объединения моделей в терминах разработки ПО, в котором ПО можно разделить на (1) разработанный исход­ный код и (2) другие вспомогательные данные, файлы и т.д.

Предположим, что компьютерная система, в которой будут защищаться это ПО и данные, предоставляет много­уровневую целостность. Однако, для наших целей достаточ­но использования только двух уровней целостности. То есть, мы будем считать, что разрабатываемое ПО расположено на высоком уровне целостности, а все что не относится к нему — на низком уровне. Субъекты верхнего уровня называются администраторами.

Мы также будем считать, что субъекты могут распола­гаться на обоих уровнях целостности и что администрирова­ние ПО включает в себя обычный набор действий (напри­мер, управление конфигурацией, учет состояния конфигура­ции, запросы на модификацию, и т.д.). Также необходимо расположить основные инструменты разработки ПО, вклю­чая компиляторы, ассемблер, и т.д. на верхнем уровне цело­стности. Используя эти предположения мы можем теперь рассмотреть специфический подход к защите целостности на основе моделей КВМ и Биба.

Защита по модели Биба между уровнями целостности. Первый тип защиты в нашей модели основан на мандатной модели целостности Биба. То есть, мы гарантируем что уровни целостности обрабатываются в соответствии с правилами no read down и по write up. Кроме того, выполнение мы рассматриваем также как чтение, следовательно действует правило no execute down ("нет исполнения снизу").

Эти методы имеют те же преимущества, что и модель Биба. В контексте нашего примера пользователи с низким уровнем не могут изменять ПО никаким образом, будь то злонамеренным или случайным. Таким образом система оказывается защищенной от вирусов и троянских коней, расположенных на низком уровне целостности.

Однако, один из видов атак подразумевает пoдcтpoeнное выполнение администратором скрытой программы, что может иметь разрушительные последствия. Этот тип атак также предотвращается моделью Биба поскольку правило no execute down не позволяет системным администраторам с высоким уровнем целостности выполнять программы нижнего уровня.

Защита по модели Clark-Wilson в пределах уровней целостности. Модель Биба эффективно защищает ПО от атак субъектов, находящихся на другом уровне целостности. Однако, не предоставляется никакой защиты ПО от атак в пределах уровня целостности. То есть, если злоумышленник находится на высоком уровне целостности (возможно в результате ошибки при определении уровня целостности для данного субъекта), то этот субъект может стать причиной различных проблем с целостностью ПО.

В результате мы можем выработать некоторые механизмы, которые связаны с моделью КВМ. Точнее, мы можем рассматривать каждый уровень целостности как состоящий из множества субъектов и множества объектов, которые мы будем интерпретировать как набор CDI. Наша цель — установить контроль по модели КВМ над множеством CDI на верхнем уровне целостности, чтобы обеспечить защиту этих СDI от субъектов.

Данные типы управления обеспечивают защиту целостности в соответствии с моделью КВМ:

КВМ-тройки. Для субъектов должны быть определены отношения КВМ-троек, ПП (которые осуществляют чтение и запись ПО), и CDI в пределах каждого из уровней целостности, чтобы обеспечить соблюдение подходящей политики. Эта политика будет реализовывать множество защитных требований, соответствующих группам субъектов, ПП, и СDI в пределах каждого уровня.

Разделение обязанностей. Подходящая политика разделение обязанностей должна быть определена и проводиться для КВМ-троек в пределах уровней для обеспечения повышенного уровня защиты целостности. Примером разделенияния обязанностей может послужить требование на то, что никакой субъект не может изменить CDI без вовлечения другого субъекта.