Modelo clark- wilson (CW)



Descargar 74,87 Kb.
Ver original pdf
Fecha de conversión24.10.2019
Tamaño74,87 Kb.



MODELO CLARK- WILSON (CW) 

 

Por: Cesar Beltrán  

Sergio García  

Mauricio Gómez  

Andrea Herrera  

Febrero de 2003 

 

 

Resumen 



 

En términos de seguridad informática, 

históricamente, la confidencialidad ha 

recibido la mayor atención, esto se 

debe en gran parte a que es un aspecto 

primordial para el sector militar. En 

contraste a lo que sucede con la 

seguridad de los sistemas militares, la 

seguridad de los sistemas comerciales 

esta más interesada en la integridad de 

la información.  

 

En la actualidad, se realizan esfuerzos 



orientados al desarrollo de modelos de 

seguridad formales más sofisticados 

enfocados en el aspecto de integridad. 

Uno de esos esfuerzos es el Modelo 

Clark-Wilson. 

 

En el presente documento se ilustra el 



modelo de integridad de David D. Clark 

y David R. Wilson, conocido como 

Clark-Wilson o CW. Se presentan sus 

antecedentes, sus componentes y 

funcionamiento, su aplicación, 

limitaciones y beneficios. 

 

 

Palabras Claves 



 

Modelos Formales Seguridad, Clark-

Wilson, Integridad, Confidencialidad. 

 

 



1.  Introducción 

 

Dentro del campo de la seguridad 



informática la mayor preocupación esta 

dada por tres  propiedades de la 

información: la confidencialidad, la 

integridad y la disponibilidad. Estas tres 

características de la información 

interesan  tanto al sector comercial 

como al sector militar.  

 

Históricamente, la confidencialidad ha 



recibido la mayor atención, esto se 

debe en gran parte a que es un aspecto 

primordial para el sector militar, sector 

en el cual se iniciaron los desarrollos de 

modelos formales de seguridad. Es 

decir, que dentro de este ambiente, el 

objetivo principal con respecto a 

seguridad es la prevención de la 

revelación de información.  

 

En contraste a lo que sucede con la 



seguridad de los sistemas militares, la 

seguridad de los sistemas comerciales 

esta más interesada en la integridad de 

la información; esto se refiere a la 

protección de 

modificaciones 

inadecuadas de los datos por personas 

autorizadas o no autorizadas. [3] 

 

Siguiendo esta dirección, David D. Clark 



y David R. Wilson sostienen que la 

integridad de información juega un 

papel mucho más importante que la 

confidencialidad en los sistemas 

comerciales.  

 

Como se mencionó con anterioridad, la 



mayor parte del desarrollo de modelos 

sofisticados y mecanismos de seguridad 

han sido orientados hacia la 

confidencialidad. Esfuerzos recientes en 

encabezados por el NIST (National 

Institute of Science and Technology) se 

enfocan en el aspecto de integridad. 

Uno de estos esfuerzos es el modelo 

Clark-Wilson (CW). [3][4] 

 




2.  Antecedentes 

 

El modelo de integridad de David D. 



Clark y David R. Wilson, conocido como 

Clark-Wilson o CW, fue desarrollado 

entre 1987 y 1989 iniciando una 

revolución en la investigación de la 

seguridad informática. Aunque no es un 

modelo altamente formal, es un 

armazón para describir los 

requerimientos de la integridad. Clark y 

Wilson demostraron que para la 

mayoría del cómputo relacionado con 

las operaciones de negocios y el control 

de los recursos, la integridad es más 

importante que la confidencialidad. Se 

argumenta que las políticas de 

integridad demandan modelos 

diferentes a los modelos de 

confidencialidad y diferentes 

mecanismos ya que se enfocan en dos 

controles que son centrales en el 

mundo comercial: El primero es 

conocido como “de transacciones 

correctas” y el segundo es denominado 

como “de separación de obligaciones”. 

[2]


 

 

El 



mecanismo de transacciones 

correctas pretende garantizar que un 

usuario no pueda modificar información 

arbitrariamente. Solamente permite la 

modificación de los registros en 

situaciones específicas y en una forma  

determinada (Write, append, update, 

etc), restringiendo los posibles cambios 

incorrectos. Ejemplos de tipos de 

control que siguen este modelo, sería 

un mecanismo de auditoria que recoja 

todas las transacciones de información 

asociando el usuario, el cambio, para 

que de la posibilidad de hacer un 

rollback de la modificación, o un 

sistema en que solamente a un 

conjunto cerrado de programas 

seleccionados previamente se les 

permita modificar la información y que 

los demás cambios realizados sin el uso 

de estos programas sean considerados 

no validos. [1] 

  

El mecanismo de separación de 



obligaciones, por otra parte, trata de 

mantener la consistencia de la 

información al separar todas las 

operaciones o acciones en diferentes 

partes que deben ser realizadas por 

diferentes sujetos. De esta manera, un 

usuario autorizado a iniciar una 

transacción no estará autorizado a 

ejecutarla o validarla. [1] 

 

El modelo Clark-Wilson, se diferencia de 



otros modelos orientados a sujetos y 

objetos al introducir un tercer 

elemento, los programas. A esto se le 

conoce como el  Acceso Triple, el cual 

previene a usuarios no autorizados de 

modificar datos o programas. 

Adicionalmente, el modelo hace uso de 

procedimientos de verificación de 

integridad y procedimientos de 

transformación para mantener la 

consistencia interna y externa de los 

datos. Los procedimientos de 

verificación confirman la integridad de 

los datos en el momento en el cual se 

lleva a cabo dicho proceso. Los 

procesos de transformación se 

encargan de que el sistema pase de un 

estado válido a otro. El modelo Clark-

Wilson, trata los tres objetivos 

principales de la integridad. [5] 

 

 

3.  Modelo de Seguridad para la 



Integridad 

 

3.1.   Integridad 

 

Los modelos de integridad se usan para 



describir los requerimientos necesarios 

para hacer cumplir las políticas de 

integridad. Las políticas de integridad 

se basan en 3 objetivos: 

 

• 

Prevenir la modificación de datos 

por parte de personal no autorizado. 

• 

Mantener la consistencia tanto 

interna como externamente. 




• 

Prevenir las modificaciones 

inadecuadas por personal 

autorizado. 

 

Para alcanzar los objetivos de la 



integridad, se requiere de un conjunto 

de servicios de seguridad que 

incorporen las propiedades necesarias 

para la integridad al igual que un marco 

de trabajo que permita incluir dichas 

propiedades. Las propiedades de 

seguridad requeridas para integridad 

son: el control de acceso, las auditorias 

y la responsabilidad. 

 

El modelo Clark-Wilson (CW) es un 



modelo de integridad, al nivel de 

aplicación que busca garantizar las 

propiedades de integridad en datos 

comerciales al proporcionar un marco 

de trabajo para la evaluación de 

seguridad en sistemas de aplicación 

comercial. [4] 

 

3.2.   Elementos del Modelo 

 

En el modelo CW, los datos en el 



sistema se particionan en dos grupos: 

los


 

Elementos de Datos Restringidos 

(CDIs) que son elementos u objetos 

cuya integridad debe mantenerse y los 



Elementos de Datos No Restringidos 

(UDIs) que son elementos u objetos 

que no están cubiertos por la política de 

integridad, como son los datos de 

entrada, pero que son relevantes ya 

que pueden ser transformados en CDIs. 

[2][4] 


 

Dos procedimientos son aplicados a 

estos datos para brindar protección: El 

primer procedimiento, el  Procedimiento 



de Verificación de Integridad  (IVP)

tiene el propósito de confirmar que 

todos los CDIs se encuentren en un 

estado válido. El IVP sirve para la 

consistencia interna y para la 

consistencia con la realidad externa de 

acuerdo a la visión de esa realidad. La 

visión particular de la realidad es 

conocida como  Dominio de Integridad

El segundo procedimiento, el 



Procedimiento de Transformación  (TP)

conformado por un conjunto de 

operaciones del modelo, representan 

las transacciones bien formadas, es 

decir aquellas que manipulan a los CDIs 

ya que transforman un conjunto de 

éstos de un estado válido a otro. Si solo 

los procedimientos de transformación 

pueden cambiar los datos, la integridad 

de los datos se puede mantener.  

 

El sistema debe asegurar que sólo los 



TPs pueden manipular a los CDIs. Los 

TPs y los IVPs deben estar certificados 

con respecto a una política de 

integridad específica. Un TP debe reunir 

sus especificaciones y éstas deben ser 

correctas. Adicionalmente, el sistema 

debe requerir que todos los 

procedimientos de transformación sean 

registrados en los Logs, proporcionando 

un mecanismos de rastreo y auditoria 

sobre todos los cambios. [2] 

 

3.3.   Ejemplo en el Mundo Real 

 

A continuación se presenta un caso del 



mundo real. 

 

1.  El empleado a cargo de compras 



crea la  orden para el surtidor, 

envía copias al surtidor y al 

departamento de recepción. 

2.  En el momento en que se reciben 

los bienes, el empleado encargado 

de recepciones verifica el pedido y 

si todo esta correcto, firma el 

formulario de envío. El formulario 

de envío y la orden original, son 

enviadas al departamento de 

contabilidad. 

3.  El surtidor envía una  factura al 

departamento de contabilidad. El 

contador compara el factura con 

la orden original y el formulario de 

envío y emite un  cheque al 

surtidor. 

 

El ejemplo anterior se presenta en 



términos de  Datos Restringidos, los 

cuales son procesados por 



Procedimientos de Transformación

Los datos son modificados únicamente 

a través de procedimientos de 

transformación, manteniendo así la 

integridad. Los usuarios vendrían a ser: 

el empleado a cargo de compras, el 

empleado de recepción, el surtidor y el 

contador. Los procedimientos de 

transformación estarían representados 

en: Crear la orden, enviar la orden, 

crear el formulario de envío, enviar el 

formulario de envío, firmar el formulario 

de envío, crear la factura, enviar la 

factura, comparar la factura con la 

orden, etc. Los elementos de datos 

restringidos serían: la orden, el 

formulario de envío, la factura y  el 

cheque. Los usuarios pueden invocar 

algunos procedimientos de 

transformación, y un conjunto pre-

especificados de objetos de datos o 

CDI’s según sus funciones. Esto 

refuerza el concepto de Separación de 

Obligaciones. [4] 

 

3.4.   Reglas de Integridad 

 

Para garantizar que la integridad sea 



alcanzada y preservada, el modelo CW 

cuenta con nueve reglas que definen un 

sistema de aplicación de integridad: Las 

reglas de Monitoreo-Integridad (Reglas 

de Certificación) y las reglas de 

Preservación-Integridad (Reglas de 

Ejecución). [4] 

 



 

Las  Reglas de Certificación  (C)

envuelven el análisis humano y la 

decisión tomada hasta que alguna 

automatización sea posible. Son 

reglas ejecutadas por el 

administrador. 

 



Las Reglas de Ejecución (E), son de 

aplicación independiente, son fáciles 

de implementar en el sistema. Son 

reglas garantizadas por el sistema. 

[2][4] 

 

Las reglas siguientes relacionan la 

consistencia interna y externa: 

1.  C1 (Certificación IVP): Todos 

los IVPs deben asegurar de manera 

apropiada que los CDIs se 

encuentren en un estado válido en 

el momento en el cual el IVP se 

encuentra en ejecución. 



 

2.  C2 (Validez): Todos los TPs 

deben estar certificados para ser 

válidos. Esto significa que 

transforman un CDI a un estado 

final válido, si el CDI está en un 

estado válido al inicio. Cada TP 

debe estar certificado para un 

conjunto específico de CDIs. 



 

3.  E1 (Ejecución de Validez): El 

sistema debe mantener una lista de 

las relaciones de la regla C2 y debe 

asegurar que cualquier 

manipulación de un CDI sea 

mediante un TP y se encuentre 

autorizada por alguna relación. 

 

Las reglas adicionales que se requieren 

para la separación de la obligación son: 

 

1.  E2 (Ejecución de Separación 

de Obligaciones): El sistema debe 

mantener una lista de relaciones 

que enlacen al usuario, al TP y los 

CDIs que el TP debe manipular a 

favor de ese usuario. 

 

2. C3:  La lista de relaciones de E2 

debe estar certificada para conocer 

la separación de la obligación 

requerida. 



 

Otras cuatro reglas completan el 

modelo. Éstas especifican que: 

 

1.  E3 (Identidad de Usuario): 

Los usuarios que invocan TPs deben 

ser autenticados. 

 

2. 

C4 (Certificación de 

Bitácora): Todos los TPs deben 

estar certificados para que puedan 

tener entrada en los Logs. 

 




3.  C5: Los TPs que transforman 

UDIs a CDIs deben estar 

certificados. 

 

4.  E4 (Iniciación): Sólo ciertos 

usuarios designados deben 

especificar las relaciones. [2] 

 

 



[9] 

 

3.5.   Requerimientos para Servicios 



de Seguridad Informática 

 

Este armazón o guía para la integridad 



conlleva a un conjunto de 

requerimientos para los servicios de 

seguridad informática: 

 

 



Cambio de registros y etiquetas de 

integridad: La autoría debe ser 

almacenada con los datos (para 

soportar la política de atribución de 

cambio), la etiqueta de integridad 

registra que los datos fueron 

certificados por un IVP y qué 

dominio  de integridad fue utilizado. 

El dominio de integridad hace 

referencia a que el IVP sirve para la 

salvaguardar la consistencia interna 

y la consistencia con la realidad 

externa de acuerdo a la visión de 

esa realidad. Esta visión particular 

de la realidad es llamada dominio de 

integridad. 

 

 



Soporte del acceso triple: Para 

ejecutar la política de cambio 

restringido, el control de acceso 

triple enlaza al usuario, al programa 

y a los datos. 

 



 

Autenticaciones mejoradas de 

usuarios: Aunque la autenticación 

es necesaria para la 

confidencialidad, tiene una 

importancia especial para la 

integridad en particular con la 

política de separación de las 

obligaciones. Las contraseñas son 

inadecuadas, ya que pueden ser 

reveladas u observadas, 

permitiendo así que alguien actúe 

como dos personas diferentes, 

violando las reglas de separación de 

las obligaciones. 

 



 

Control de los usuarios 

privilegiados:  La separación de las 

obligaciones debe ser ejecutada por 

las personas que mantiene los 

accesos triples o quienes certifican 

los TPs. 

 



 

Control del programa de aplicación: 

Un sistema necesita herramientas 

automatizadas para manejar las 

aplicaciones de software y asegurar 

su integridad que a su vez deben 

ser controladas. 

 



 



Separación dinámica de las 

obligaciones relacionada a los TPs: 

La separación de las obligaciones 

continua requiere que los diferentes 

pasos en una secuencia se cumplan 

por diferentes personas. Aunque 

una tarea estática puede reunir este 

requerimiento, un acercamiento 

más flexible busca que el sistema 

mantenga la pista de quién ha 

ejecutado cada paso y realizar la 

separación de las obligaciones a 

cada paso. Esto es parecido a lo que 

sucede en el mundo real. El criterio 

que se debe tener en cuenta para la 

separación de funciones es que una 


actividad que naturalmente esta 

dividida en tareas, se trabaje de esa 

forma y que cada tarea sea 

cumplida por personas diferentes 

permitiendo así que no se trastorne 

el funcionamiento normal de la 

actividad.[2] 

 

 

4.  Aplicación del Modelo CW 



 

Bajo la premisa de que todo proceso es 

analizable en términos de transacciones 

aplicables a un conjunto de datos, es 

posible aplicar el modelo Clark-Wilson a 

una serie de procesos definidos en 

términos de sistema. El Modelo CW 

puede ser aplicado a las tres capas de 

la pirámide de seguridad por debajo de 

la capa de política. [4] 

 

[4] 


 

El modelo CW está enfocado a tratar 

con procesos de seguridad en los 

negocios. Dado que los procesos del 

negocio dependen de aplicaciones e 

infraestructuras de sistemas, se deduce 

que el modelo CW puede ser usado 

para proporcionar seguridad y control 

en estos niveles inferiores. [6] 

 

4.1.   Implantación en Windows NT 



 

Un tema en Windows NT es la 

combinación del acceso de usuario más 

el programa que actúa en favor del 

usuario.  Windows NT usa sujetos para 

seguir la pista y manejar los permisos  

para cada programa que utiliza el 

usuario.  Un objeto en Windows NT es 

un archivo, bases de datos, impresoras, 

procesos, etcétera.  El objetivo del 

modelo de seguridad de Windows NT es 

supervisar y controlar quién tiene 

acceso sobre cuales objetos.  Controla 

no solamente cuales de los sujetos 

pueden tener acceso y también cómo 

pueden ser accedidos. [10] Esta 

implantación del modelo de Clark-

Wilson, se detalla más profundamente 

en el anexo 1. 

 

 



5.  Ventajas del Modelo [9] 

 

5.1.   Comparación con Orange 



Book

 

 



El modelo Clark-Wilson no se plantea 

en términos de autorizar a los usuarios 

para leer o escribir objetos asociados a 

un nivel particular de seguridad, como 

lo hace el Orange Book, sino se basa en 

dar permisos de ejecución a ciertos 

programas que tienen embebidos los 

permisos sobre los objetos. La 

diferencia entre estos mecanismos es 

muy clara ya que con los controles 

planteados por el Orange Book, los 

usuarios que tienen determinados 

permisos sobre un objeto pueden 

utilizarlos de cualquier forma, mientras 

que en Clark-Wilson los usuarios se 

someten a lo que los programas 

ejecuten , esto se refleja en la 

separación de obligaciones, donde un 

usuario modifica un objeto solo a través 

de un conjunto de transacciones 

definidas para ese usuario (programas), 

y otros  usuarios con otras obligaciones 

tendrán acceso a un conjunto diferente 

de transacciones. Esta forma de 

modelar las cosas se adecua de mejor 

manera a las necesidades de las 

organizaciones comerciales, ya que se 

acerca mucho mas a la forma en como 

manejan sus asuntos. 

 

 





5.2.  

 

Comparación con Biba

 

 

El modelo de Clark-Clark-Wilson tiene 

dos niveles de integridad: el UDIs de 

nivel inferior y el nivel más alto CDIs. 

Estos últimos se consideran de nivel 

más alto debido a  que la modificación 

de los datos implica el uso de  TPs y 

porque los valores de los datos se 

puede verificar usando un IVP. En el 

modelo de Biba, cualquier conversión 

de un UDI a un CDI se podría hacer 

solamente por un oficial de seguridad. 

Debido a lo anterior con Biba ninguna 

entrada es un UDI sino un CDI desde su 

inicio.  

 

El modelo de Clark-Clark-Wilson 



permite que el oficial de seguridad 

certifique el método para la mejora de 

la integridad,  en otras palabras, que 

los TPs toman UDIs como valores de 

entrada. De esta manera Clark-Wilson 

reconoce el papel fundamental del TP, 

mientras que  el modelo de Biba carece 

cualquier equivalente de la regla E1 

(CDIs cambian solamente por el TP 

autorizado), y no puede proporcionar 

así la idea específica de datos limitados. 

 

 



6.  Limitaciones del Modelo [9] 

 

6.1.    Comparación con Orange 

Book 

 

El modelo Clark-Wilson al tener un 



conjunto de programas que son quienes 

modifican los objetos, los datos se 

encuentran más accesibles y el riesgo 

que algún otro usuario que usa un otro 

programa, o el mismo si la autorización 

crece. 


 

6.2.   Comparación con Biba

 

 



El modelo Biba posee una mayor 

granularidad en la noción de la 

autorización, como resultado de la 

flexibilidad del tener un lattice lleno de 

niveles de seguridad disponibles como 

niveles de integridad. Sin embargo esta 

ventaja en el ámb ito de trabajo 

comercial no es de mucha significancia. 

 

 

7.  Glosario 



 

 



Política de Seguridad 

 

El objetivo de todo sistema de 



información es el de controlar o 

administrar el acceso de sujetos 

(Usuarios o procesos) a objetos 

(Datos o programas). Este tipo 

de control es gobernado por un 

conjunto de reglas y objetivos 

conocidos como la política de 

seguridad. Las Políticas de 

Seguridad son principios de 

control adoptados por las 

organizaciones. Estos capturan 

los requerimientos de seguridad 

de una organización específica y 

detallan las propiedades de 

seguridad que un sistema debe 

proporcionar describiendo los 

pasos que la organización debe 

llevar a cabo para alcanzar la 

seguridad. [4] 

 



 

Modelos de Seguridad 

 

Los modelos de seguridad no son 



más que representaciones 

formales de la política de 

seguridad de un sistema. Estos 

son usados para verificar la 

completitud y consistencia de 

una política de seguridad. 

Adicionalmente, describen los 

mecanismos necesarios para la 

implementación de la política de 

seguridad. [4] 

 



 



Mecanismos de Seguridad 

 

Un mecanismo de seguridad 



ejecuta o implementa algún 

componente de la política de 

seguridad. [4] 

 


 



Integridad 

 

Es un principio de la seguridad 

informática que requiere que la 

información sólo pueda ser 

modificada por las entidades 

autorizadas. La modificación 

incluye escritura, cambio, 

borrado y creación de los 

mensajes transmitidos. La 

integridad de datos asegura que 

los datos recibidos no han sido 

modificados de ninguna manera. 

[8] 

 

 



Confidencialidad 

 

Es un principio que requiere que 



la información sea accesible 

únicamente por las entidades 

autorizadas. [8] 

 



 

Disponibilidad 

 

Este principio requiere que los 



recursos del sistema informático 

estén disponibles o en 

funcionamiento a las entidades 

autorizadas cuando los 

necesiten. [8] 

 



 

Control de Acceso 

 

Es un control que implementa 



que sólo aquellos usuarios 

autorizados accedan a los 

recursos del sistema o a la red. 

Un ejemplo de este tipo de 

mecanismo podría ser el uso de 

contraseñas de acceso. [7]  

 



 



Auditabilidad (Auditing) 

 

Control para identificación y 



rastreo de operaciones a través 

de bitácoras. [8] 

 



 



Responsabilidad 

(Accountability) 

 

Característica que permite 



asociar usuarios a acciones. [4] 

 

 



8.  Conclusiones 

 

Los modelos de integridad se pueden 



implementar de diversas formas, de tal 

manera que satisfagan los 

requerimientos de integridad de las 

políticas de seguridad. Las 

implementaciones de los modelos 

describen mecanismos específicos que 

pueden ser usados en el sistema para 

garantizar que los objetivos de la 

política de seguridad sean alcanzados. 

El modelo Clark-Wilson (CW) enfatiza 

en como la integridad es un factor clave 

en el medio comercial y busca el 

desarrollo de mejores sistemas de 

seguridad para dicho medio. [1] 

 

En general, es importante reconocer 



que por si solo, un modelo de seguridad 

no es la panacea en aspectos 

relacionados con seguridad ya que 

cuentan con límites teóricos, dejando 

descubiertos algunos aspectos de 

seguridad.  

 

Los modelos de seguridad no se usan 



para implementar seguridad si no para 

evaluar los diseños de seguridad de un 

sistema. Estos modelos se constituyen 

como medios efectivos para verificar 

seguridad. El basarse únicamente en 

modelos de seguridad puede conllevar a 

falsos sentimientos de seguridad. [4] 

 

La confidencialidad, integridad y 



disponibilidad constituyen aspectos 

relacionados y muy importantes en 

términos de seguridad. Para alcanzar 

estas metas, la estrategia debe buscar 

un balance entre la aplicación de 

modelos de seguridad aprobados y la 

incorporación de las últimas técnicas y 

productos de seguridad. [1] 

 

La búsqueda de seguridad es un 



proceso continuo. [3] 

 

El sector comercial se interesa por 



modelos en los cuales existan: mejores 

facilidades para la autentificación de 

usuarios finales; segregación de 

obligaciones dentro de las funciones del 

equipo de seguridad,  encabezado por 

el oficial de seguridad; restricción de la 

función de la seguridad de contraseñas 

de los usuarios; entre otras. Para el 

mundo comercial, estos cambios serían 

mucho más valiosos que hacer usos de 

sistemas operativos y aplicativos con 

niveles de seguridad B o de A según lo 

definido en el Orange Book. [9] 

 

9. 



Autores  

 

Cesar Beltrán. Ingeniero de Sistemas, 

Escuela Colombiana de Ingeniería. 

Estudiante de magíster en Ingeniería de 

Sistemas, Universidad de los Andes. 

 

Sergio García.  Ingeniero de Sistemas 

Universidad EAFIT Medellín, Estudiante 

de magíster en Ingeniería de Sistemas 

Universidad de los Andes. 

 

Mauricio Gómez. Ingeniero electrónico, 

Universidad de los Andes. Estudiante de 

magíster en Ingeniería de Sistemas, 

Universidad de los Andes. 

 

Andrea Herrera. Ingeniero de Sistemas, 

Universidad de los Andes. Estudiante de 

magíster en Ingeniería de Sistemas, 

Universidad de los Andes. 



 

 

10. Referencias 

 

[1] J. Gutiérrez, J. Ibáñez Y J.A. 



Elorriaga “Políticas y Modelos de 

Seguridad.” Octubre de 2001. 

http://scsx01.sc.ehu.es/jiwibmaj/Apunt

esCastellano/TEMA_12-politicas-.pdf 

(2003-02-07) 

 

[2] Ing. Cintia Quezada Reyes, Ing. 



Sergio A. Gutiérrez Rodríguez  

“Fundamentos de Seguridad en Redes.” 

Octubre de 2001, Universidad 

Autónoma de Mexico. 

http://mx.geocities.com/fundamentosd

eseguridad/SEMINARIO/TEMA_6.htm 

(2003-02-07) 

 

[3] David D. Clark y David R. Wilson "A 



Comparison of Commercial and Military 

Computer Security Policies." IEEE 

Symposium of Security and Privacy, 

1987, pages 184-194. 

 

[4] Sonya Q. Blake “The Clark-Wilson 



Security Model.” May 17, 2000. 

http://www.sans.org/rr/policy/clark-

wilson.php (2003-02-07) 

 

[5] Micki Krause, Harold F. Tipton 



“Handbook of Information Security 

Management.” Capítulo 23, 

http://www.cccure.org/Documents/HIS

M/023-026.html (2003-02-09) 

 

[6] Ken Lindup “A Unified Model for 



Information Security.” Febrero de 2001.  

http://www.chi-

publishing.com/isb/backissues/ISB_200

1/ISB0601/ISB0601KL.pdf (2003-02-

11) 

 

[7] Gonzale Alvarez Marañon 



“Mecanismos de Seguridad” CSIC, 

2000, 


http://www.iec.csic.es/criptonomicon/s

eguridad/mecanism.html (2003-02-08) 

 

[8] Gonzale Alvarez Marañon “Servicios 



de Seguridad” CSIC, 2000, 

http://www.iec.csic.es/criptonomicon/s

eguridad/servicio.html (2003-02-08) 

 

[9] Stewart Lee.  “ESSAYS ABOUT 



COMPUTER SECURITY” 

http://www.cl.cam.ac.uk/~mgk25/lee-

essays.pdf (2003-02-13) 

 

[10] Lei Xiao.  “Clark-Wilson in Unix or 



NT” http://www.tml.hut.fi/Opinnot/Tik-

110.401/1999/Tehtavat/answer3.html 

(2003-02-14)


10 

ANEXO 1 

 

Vistazo al Modelo de Seguridad de Windows NT 

 

 



Modelo de Se guridad de Windows NT 

 

Microsoft Windows NT fue desarrollado para incorporar manejo de redes, seguridad y 

reportes de auditoria como servicios del sistema operativo. El modelo de seguridad de 

Windows NT se diseñó para monitorear y controlar el acceso a los objetos, 

manteniendo así datos de seguridad para cada usuario, grupo u objeto.  

 

A continuación se describirán los componentes básicos del modelo de seguridad de 



Windows NT. 

 



 

Proceso de Autenticación 

 

Autoridad local de Seguridad (LSA) 



 

Administrador de Seguridad de Cuentas (SAM) 



 

Monitor de Referencia de Seguridad (SRM) 



 

Proceso de Autenticación: Proceso que acepta la solicitud de autenticación por parte 

de los usuarios. Es el proceso encargado de recibir como parámetros de entrada el 

nombre de usuario y la contraseña. Autentica los datos del usuario y otorga el acceso 

al sistema. 

 

El  LSA es el corazón del subsistema de seguridad. Verifica la información de la 



autenticación desde la base de datos SAM y se asegura que el usuario posea permisos 

para acceder al  sistema. Genera los Tickets de acceso, administra la política de 

seguridad local definida en el sistema y es el responsable de auditar y registrar 

eventos de seguridad. 

 

Administrador de Seguridad de Cuentas (SAM):  Es la base de datos donde se 

almacena la información sobre las cuentas de usuarios y grupos. 

 

Monitor de Referencia de Seguridad (SRM):  Proporciona servicios en tiempo-real 

para validar cada objeto de acceso y  acción realizada por los usuarios para garantizar 

que el acceso o acción este autorizada. El monitor de referencia se encarga de ejecutar 

la validación de acceso y la política de generación de auditoria definida en el LSA. 

 

Recursos tales como procesos, archivos, impresoras, etc., se representan en Windows 



NT como objetos. Los usuarios no poseen acceso directo a los objetos, Windows NT 

actúa como un intermediario controlando el acceso y uso de dichos objetos. Un usuario 

en Windows NT es la combinación del ticket de usuario con un programa que actúa por 

parte del usuario. Windows NT hace uso de los usuarios para rastrear y administrar los 

permisos de los programas ejecutados por los usuarios. 

 

Windows NT hace uso de identificadores de Seguridad (SIDs), los cuales son una serie 



de números usados por el sistema Windows NT para describir en forma  única a un 

usuario o grupo entre otros usuarios o grupos dentro del sistema. A los dueños, 

usuarios y grupos se les asignan permisos a los objetos y se identifican a través de sus 


11 

SIDs. La información de seguridad de un objeto se codifica con una estructura especial 

de datos conocida como el Descriptor de Seguridad  (SD). El SD para un objeto 

contiene los siguientes componentes: 

 

 



 

ID del Dueño: SID del usuario o grupo dueño del objeto. 

 



ID del Grupo: Grupo primario asociado con el objeto (Opcional). 

 



Listas de Control de Acceso Discrecional: Identifican los SIDs de usuarios y 

grupos a los cuales se les concede o niega acceso al objeto. 

 

ACL del Sistema: Controla el mensaje de auditoria que el sistema genera. 



 

Cada usuario en Windows NT posee un número único de identificación (SID). Cuando 

un usuario se autentica al sistema, Windows NT crea un tiquete de acceso. El tiquete 

contiene información acerca de la cuenta del usuario como el SID del usuario, el SID 

del grupo al cual pertenece el usuario y permisos asignados al usuario. El tiquete de 

seguridad de acceso creado para un usuario autenticado es adherido a todos los 

procesos iniciados por dicho usuario. Cuando el proceso trata de acceder un objeto en 

particular, el SRM verifica que los SIDs en el tiquete de seguridad adherido al proceso 

coincidan con la lista de control de acceso (ACL) también adherida al proceso. La lista 

de control de acceso contiene entradas para cada usuario autorizado a acceder al 

objeto. 

 

Windows NT posee un mecanismo de auditoria que puede ser usado para auditar 



intentos exitosos o fracasados de operaciones sobre directorios u archivos. Este 

mecanismo permite monitorear eventos relacionados al sistema de seguridad, 

identificar infracciones a la seguridad y determinar la extensión y localización del daño. 

 

 

Interpretación de Windows NT del Modelo Clark-Wilson 

 

A continuación se presenta la interpretación del modelo Clark-Wilson (CW) en el 

sistema Windows NT: 

 

Clark-Wilson Model Windows NT Security Model 

Regla #1. El sistema debe tener un 

IVP para validar la integridad de 

cualquier CDI. 

Windows NT posee el LSA, Autoridad de 

Seguridad Local, el cual verifica la 

información de seguridad en el tiquete de 

acceso del usuario en el descriptor de 

seguridad del objeto. 



Regla #2. La aplicación de un TP a un 

CDI debe conservar la integridad de 

dicho CDI. 

En Windows NT, la mayoría de sujetos no 

pueden modificar los atributos de un 

objeto. Usuarios con este privilegio se les 

conoce como Administradores. 

Regla #3. Un CDI solo puede ser 

modificado por un TP. 

Como se mencionó en el punto anterior, 

algunos usuarios especiales pueden 

modificar los atributos de un objeto. En 


12 

Windows NT no hay otra forma o método 

para modificar los atributos de un objeto. 

Regla #4.  Los sujetos solo pueden 

iniciar ciertos TPs para ciertos CDIs. 

En Windows NT, el tiquete de acceso de un 

sujeto incluye las operaciones permitidas 

para ese usuario. Únicamente cuando la 

información del tiquete de acceso del 

usuario es consistente con la del descriptor 

de seguridad del objeto, la operación es 

permitida. 

Regla #5.  Las tripletas CW deben 

ejecutar políticas de separación de 

obligaciones apropiadas en los sujetos. 

En Windows NT, el usuario administrador 

puede hacer cualquier cosa. Motivo por el 

cual esta regla jamás es usada. 



Regla #6.    Algunos TPs aplicados a 

ciertos UIDs pueden producir como 

salida CDIs. 

En Windows NT, un usuario puede 

modificar un objeto de un estado no ACL a 

un estado ACL. Por lo general, esta tarea 

es realizada por el Administrador del 

sistema. 



Regla #7.  Cada aplic ación de un TP 

debe producir la información suficiente 

para reconstruir la aplicación. 

En Windows NT, los servicios de auditoria 

recolectan información acerca de cómo el 

sistema esta siendo usado. 



Regla #8.  El sistema debe autenticar 

usuarios tratando de iniciar un TP. 

En Windows NT, cada usuario posee un 

SID. Cualquier proceso realizado por dicho 

usuario copia dicho SID.  

Regla #9.  El sistema debe permitir 

que solo sujetos especiales crear las 

listas de autorización. 

En Windows NT, solo el usuario 

Administrador puede visualizar ciertos 

eventos de alta seguridad. 

 

Basándose en la anterior información se puede deducir con facilidad que los 



mecanismos de seguridad de Windows NT satisfacen los axiomas del modelo CW. El 

modelo CW puede ser fácilmente implementado haciendo uso de los mecanismos de 



seguridad de Windows NT. [4] 


Compartir con tus amigos:


La base de datos está protegida por derechos de autor ©absta.info 2019
enviar mensaje

    Página principal