Clark-Wilson模型定義

Clark-Wilson模型將數(shù)據(jù)劃分為兩類：限制數(shù)據(jù)項(Cons trained Data Items，CDI)和非限制數(shù)據(jù)項( Unconstrainecl Data Items，UDI)，CDI是需要進(jìn)行完整性控制的客體，而UDI 則不需要進(jìn)行完整性控制。

Clark-Wilson模型還定義了兩種過程，一個是完整性驗證過程(Integrity Verification Procedure，IVP)，確認(rèn)限制數(shù)據(jù)項處于一種有效狀態(tài)，如果IVP檢驗CDI符合完整性約束，

則稱系統(tǒng)處于一個有效狀態(tài)；另一個是轉(zhuǎn)換過程( Transformation Procedure，TP)，將數(shù)據(jù)項從一種有效狀態(tài)改變至另一種有效狀態(tài)。

為了達(dá)到并保持完整性，Clark-Wilson模型提出了證明規(guī)則和實施規(guī)則，證明規(guī)則由管理員來執(zhí)行，實施規(guī)則是由系統(tǒng)執(zhí)行。

證明規(guī)則l( CRl)：當(dāng)任意一個IVP在運行時，它必須保證所有的CDI都處于有效狀態(tài)

證明規(guī)則2( CR2)：對于某些相關(guān)聯(lián)的CDI集合，TP必須將那些CDI從一個有效狀態(tài)轉(zhuǎn)換到另一個有效狀態(tài)

實施規(guī)則l( ERl)：系統(tǒng)必須維護(hù)所有的證明關(guān)系，且必須保證只有經(jīng)過證明可以運行該CDI的TP才-能操作該CDI

實施規(guī)則2( ER2)：系統(tǒng)必須將用戶與每個TP及一組相關(guān)的CDI關(guān)聯(lián)起來。TP可以代表相關(guān)用戶來訪問這些CDI。如果用戶沒有與特定的TP及CDI相關(guān)聯(lián)，那么這個TP將不臺黽代表那個用戶對CDI進(jìn)行訪問

證明規(guī)則3( CR3)：被允許的關(guān)系必須滿足職責(zé)分離原則所提出的要求實施規(guī)則3( ER3)：系統(tǒng)必須對每一個試圖執(zhí)行TP的用戶進(jìn)行認(rèn)證

證明規(guī)則4( CR4)：所有的TP必須添加足夠多的信息來重構(gòu)對一個只允許添加的CDI的操作

證明規(guī)則5( CR5)：任何以UDI為輸入的TP，列‘于該UDI的所有可能值，只禽＆執(zhí)行有效的轉(zhuǎn)換，或者不進(jìn)行轉(zhuǎn)換。這種轉(zhuǎn)換要么是拒絕該UDI，要么是將其轉(zhuǎn)化為一個CDI

實施規(guī)則4( ER4)：只有TP的證明者可以改變與該TP相關(guān)的一個實體列表。TP的證明者，或與TP相關(guān)的實體的證明者都不會有對該實體的執(zhí)行許可

Clark-Wilson模型分析

Clark-Wilson模型確保完整性的安全屬性如下：

(1)完整性：確保CDI只能由限制的方法來改變并生成另一個有效的CDI，該屬性由規(guī)則CR1、CR2、CR5、ER1和ER4來保證；

(2)訪問控制：控制訪問資源的能力由規(guī)則CR3、ER2和ER3來提供；

(3)審計：確定CDI的變化及系統(tǒng)處于有效狀態(tài)的功能由規(guī)則CR1和CR4來保證；

(4)責(zé)任：確保用戶及其行為唯一對應(yīng)由規(guī)則ER3來保證。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)