❖ 简称为CW模型
❖ Clark-Wilson模型着重研究与保护信息和系 统完整性，即组织完善的事务和清晰的责 任划分。
❖ 组织完善的事务意味着用户对信息的处理 必须限定在一定的权力和范围之内进行， 以保证数据完整性。
❖ 责任划分意味着任务需要两个以上的人完 成，需要进行任务划分，避免个人欺骗行 为发生。
第二部分 安全模型
信息系统的安全目标是控制和管理主体 （Subjects，包括用户和进程）对客体 （Objects, 包括数据和程序）的访问。
❖安全模型：
准确地描述安全的重要方面及 其与系统行为的关系。源自高对成功 实现安全需求的理解层次。
一、多级安全模型
❖ 支持军用系统和数据库的安全保密。 ❖ 多级安全的信息结构示意；
21
Protection（保护）
❖ 保护通常是通过采用一些传统的静态 安全技术及方法来实现的，主要有防火 墙、加密、认证等方法。通过防火墙监 视限制进出网络的数据包，可以防范外 对内及内对外的非法访问，提高了网络 的防护能力，当然需要根据安全策略制 定合理的防火墙策略；也可以利用 SecureID这种一次性口令的方法来增加 系统的安全性等等。
检测
安全=风险分析+执行策略+系统实施+漏洞检测+实时响
应
20
Policy(安全策略)
❖ 由于安全策略是安全管理的核心，所以 要想实施动态网络安全循环过程，必须 首先制定安全策略，所有的防护、检测 、响应都是依据安全策略实施的，安全 策略为安全管理提供管理方向和支持手 段。
❖ 对于一个策略体系的建立包括：安全策 略的制订、安全策略的评估、安全策略 的执行等。
•随着计算机安全理论和技术的发展，BLP 模型已经不能满足人们的需要。
2、Clark-Wilson模型
❖ Clark-Wilson模型是一个确保商业数据完整性 且在商业应用系统中提供安全评估框架的完 整性及应用层的模型，由计算机科学家David D.Clark和会计师David R.Wilson发表于1987 年，在1989年进行了修正。
绝密级 机密级
秘密级 开放级
1、Bell-LaPadula 模型
❖ Bell-LaPadula模型是第一个也是最著名的安 全策略模型，由David Bell和len LaPadula在 1973年提出，简称BLP模型
❖ BLP模型是可信系统的状态-转换（StateTransition)模型，主要任务是定义使得系统获 得“安全”的状态集合，检查系统的初始是 否为“安全状态”，检查所有状态的变化均 始于一个“安全状态”并终止于另一个“安 全状态”。
保证完整性有3项任务：
❖ 防止非授权修改 ❖ 维护内部和外部的一致性 ❖ 防止授权但不适当的修改。
Clark-Wilson模型考虑以下几点：
❖ 主体必须被识别和认证 ❖ 客体只能通过一组规定的程序进行操作 ❖ 主体只能执行一组规定的程序。 ❖ 必须维护一个正确的审计日志 ❖ 系统必须被证明能够正确工作
Biba模型基于两种规则来保障数 据的完整性：
——下读(NRu)属性，主体不能读取安全级别低 于它的数据。 ——上写(NwD)属性，主体不能写入安全级别高 于它的数据。
二、多边安全模型
❖ 多边安全的信息结构示意
ABCDE 共享数据
❖ 目的是阻止信息在不同部分的横向流动
1、Chinese Wall 模型
3、Biba模型
❖ Biba模型是涉及计算机系统完整性的的第一 个模型，1977年发布。
❖ Biba模型将完整性威胁分为来源于子系统内 部和外部的威胁。如果子系统的一个组件是 恶意或不正确，则产生内部威胁；如果一个 子系统企图通过错误数据或不正确调用函数 来修改另一个子系统，则产生外部威胁。
❖ Biba认为内部威胁可以通过程序测试或检验 来解决。所以模型主要针对外部威胁。
Chinese Wall 模型的策略
第一，专业性强，实施起来需要大量专家； 第二，需要清洁的信息
三 其它安全模型
1、P2DR安全模型（美国国际互连网安全系统 公司ISS提出）（动态信息安全理论的主要模型 ）
响应
防护
政策
Policy（安全策略）、 Protection（防护） Detection（检测） Response （响应）
Bell-LaPadula 模型
❖ BLP模型定义了系统中的主体（Subjects)访 问客体（Objects)的操作规则。 每个主体有一个安全级别，通过众多条例约束 其对每个具有不同密级的客体的访问操作。
BLP模型的安全策略
•采用了自主访问控制和强制访问控制相结 合的方法，能够有效地保证系统内信息的 安全，支持信息的保密性，但却不能保证 信息的完整性。
B
C
中层：公司数据集 F G H
I JK
LMN
底层：客体
各层定义如下：
❖ 底层由独立的数据项组成，每项涉及一个独立 的公司法人
❖ 中层将涉及同一公司法人的所有客体组织起来， 称为“公司数据集”
❖ 上层将公司数据集结合成组，每个组之间互为 竞争对手，称为“兴趣冲突组”
Chinese Wall 模型安全访问定理
22
Detection（检测）
❖ 在网络安全循环过程中，检测是非常重 要的一个环节，检测是动态响应的依据 ，它也是强制落实安全策略的有力工具 ，通过不断地检测和监控网络和系统， 来发现新的威胁和弱点，通过循环反馈 来及时作出有效的响应。
❖ 访问数据受限于主体已经获得的对数据的访 问权限，而不是数据的属性（密级）。
❖ 该模型的思想是将一些可能会产生访问冲突 的数据分成不同的数据集，强制所有主体最 多只能访问一个数据集，但访问哪个数据集 并未受强制规则的限制。
Chinese Wall 模型系统结构
全部客体的集合
O
顶层；兴趣冲突组 A
❖ 定理1：一个主体一旦已经访问过一个客体， 则该主体只能访问位于同一公司数据集中的 客体或在不同兴趣冲突组中的信息
❖ 定律2：在一个兴趣冲突组中，一个主体最多 只能访问一个公司数据集。
应用例子
❖ 在软件公司里Microsoft和Netscape属于同一 个利益冲突类，若某人充当了其中一个公司 的财务顾问则不能再担当另一公司的同类工 作。