Clark-Wilson模型定義

Clark-Wilson模型將數據劃分為兩類：限制數據項(Cons trained Data Items，CDI)和非限制數據項( Unconstrainecl Data Items，UDI)，CDI是需要進行完整性控制的客體，而UDI 則不需要進行完整性控制。

Clark-Wilson模型還定義了兩種過程，一個是完整性驗證過程(Integrity Verification Procedure，IVP)，確認限制數據項處于一種有效狀態，如果IVP檢驗CDI符合完整性約束，

則稱系統處于一個有效狀態；另一個是轉換過程( Transformation Procedure，TP)，將數據項從一種有效狀態改變至另一種有效狀態。

為了達到并保持完整性，Clark-Wilson模型提出了證明規則和實施規則，證明規則由管理員來執行，實施規則是由系統執行。

證明規則l( CRl)：當任意一個IVP在運行時，它必須保證所有的CDI都處于有效狀態

證明規則2( CR2)：對于某些相關聯的CDI集合，TP必須將那些CDI從一個有效狀態轉換到另一個有效狀態

實施規則l( ERl)：系統必須維護所有的證明關系，且必須保證只有經過證明可以運行該CDI的TP才-能操作該CDI

實施規則2( ER2)：系統必須將用戶與每個TP及一組相關的CDI關聯起來。TP可以代表相關用戶來訪問這些CDI。如果用戶沒有與特定的TP及CDI相關聯，那么這個TP將不臺黽代表那個用戶對CDI進行訪問

證明規則3( CR3)：被允許的關系必須滿足職責分離原則所提出的要求實施規則3( ER3)：系統必須對每一個試圖執行TP的用戶進行認證

證明規則4( CR4)：所有的TP必須添加足夠多的信息來重構對一個只允許添加的CDI的操作

證明規則5( CR5)：任何以UDI為輸入的TP，列‘于該UDI的所有可能值，只禽＆執行有效的轉換，或者不進行轉換。這種轉換要么是拒絕該UDI，要么是將其轉化為一個CDI

實施規則4( ER4)：只有TP的證明者可以改變與該TP相關的一個實體列表。TP的證明者，或與TP相關的實體的證明者都不會有對該實體的執行許可

Clark-Wilson模型分析

Clark-Wilson模型確保完整性的安全屬性如下：

(1)完整性：確保CDI只能由限制的方法來改變并生成另一個有效的CDI，該屬性由規則CR1、CR2、CR5、ER1和ER4來保證；

(2)訪問控制：控制訪問資源的能力由規則CR3、ER2和ER3來提供；

(3)審計：確定CDI的變化及系統處于有效狀態的功能由規則CR1和CR4來保證；

(4)責任：確保用戶及其行為唯一對應由規則ER3來保證。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業