在商業系統中,資料遭內部人員竄改往往比外部攻擊更具破壞力。Clark-Wilson 模型正是為此而生,透過受控程序與職務分掌,從根本上杜絕未授權的資料修改。
核心架構:CDI、UDI 與 TP 三元組
Clark-Wilson 模型將資料分為兩類:受限資料項目(CDI)代表需嚴格保護的商業資料(如帳務記錄),非受限資料項目(UDI)則為外部輸入的原始資料。模型的關鍵在於轉換程序(TP),使用者絕對無法直接存取 CDI,所有修改必須透過經過驗證的 TP 執行。系統還透過完整性驗證程序(IVP)定期確認 CDI 狀態合法。這種「程序作為守門員」的設計,使資料完整性由流程本身來保障,而非仰賴存取標籤的分類。
職務分掌:讓單一人員無法完成敏感操作
Clark-Wilson 的另一支柱是職務分掌(Separation of Duty)。模型透過授權三元組 (User, TP, CDI) 明確定義「誰能用哪個程序操作哪筆資料」。關鍵限制是:同一位使用者不得同時被授權執行某筆交易的建立與審核 TP。例如財務人員可輸入請款單,但必須由另一人審批,兩者的 TP 授權彼此互斥。這與 Biba 模型著重機密等級截然不同,Clark-Wilson 強調的是商業流程控制,更貼近真實企業的稽核需求。
💡 重點整理
- 使用者不可直接修改 CDI,所有操作必須透過受控的 TP 執行。
- IVP 負責驗證系統在任意時間點的 CDI 狀態符合完整性規則。
- 職務分掌透過授權三元組確保單一人員無法獨立完成高風險操作。
- 強調程序控制而非標籤分類,與 Bell-LaPadula(機密性)、Biba(完整性等級)模型互補。
Clark-Wilson 模型以「受控程序」與「職務分掌」兩把鑰匙,為商業資料完整性提供嚴謹的理論基礎。理解其三元組架構,是設計企業稽核系統與存取控制策略不可或缺的一步。
📚 參考文獻
- David D. Clark & David R. Wilson, A Comparison of Commercial and Military Computer Security Policies, IEEE Symposium on Security and Privacy, 1987 — 模型原始論文。
- NIST SP 800-192, Verification and Test Methods for Access Control Policies/Models — 存取控制模型驗證的權威指引。
- Ross Anderson, Security Engineering (3rd ed.), Wiley, 2020 — Chapter 8 對 Clark-Wilson 有深入的實務分析。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言