问题7：安全工程

Rymar Tech将以82.4亿美元收购一家体育代理公司。CFO将创建这家体育代理公司的有形和无形资产、商誉、负债和总购买价格的财务报表。这些文件将被发送给两家公司的法律和会计团队，他们将进行尽职调查（due diligence）。协议达成后，这些文件将由两家公司的CEO正式批准。安全方面要求是保护所有财务报表、记录和合同不被更改（alteration）。任何一方不得自行直接修改（directly modify）、发送或接收任何文件。目前正在创建一个定制的应用系统程序，以促进此过程并满足安全目标。

这个应用系统应该采用哪种安全模型？

A、Clark-Wilson (CW)

B、Bell-LaPadula (BLP)

C、Brewer and Nash(B&N)

D、Biba

考试策略和心态

安全专业人员和未来的CISSP应该对这些模型是如何设计的有深刻的理解。如果您不知道“安全模型”这个术语，那么这个题目选项已经向您展示了。有时考试不仅考验我们，也教会我们很多东西。也许您研究了所有的选项，但不知道它们被称为安全模型。或者也许你学过BLP和Biba，但不能完全理解CW和B&N。这些模型的核心是传授安全实施的两个基本原理：1、防止数据泄露(保密性)。2、禁止未经授权的主体更改客体，保持数据的准确性，并保持我们计算机上的数据与我们自己的现实数据的一致性(完整性)。

每个安全模型都拥有自己的特殊属性：机密性、完整性、职责分离或解决利益冲突。这次金融收购最重要的财产是什么？安全策略要求是否需要声明确保没有人看到购买价格和其他财务数字？是否需要确保资产负债表上的财务报表准确？在履行职责时，是否需要确保双方不能获得太多的权力？利益冲突是否会完全导致收购失败？

无论哪种情况，请注意核心原则没有改变，安全模型的方法并不严格。根据公司安全策略的不同，可以采用不同的方法。

线索：看看“更改altered”和“直接修改direct modify”这两个术语。提供这两个术语的组合的安全模型将是正确的答案。

是否有一个选项是明显错误的？是否有两个选项采用相同的原则，但只有一个选项进一步强化了额外的原则？您能否确定其中一个选项适用于这种类型的财务要求，但不完全符合对安全要求？在您的职业生涯中，您可能从未遇到过这些模型，或者在不知情的情况下使用它们。无论哪种方式，理解它们的主要目的将对安全领域和考试提供更多的了解。哪个选项能够确保财务数据保持一致呢？

问题解析：

A、Clark-Wilson(CW)（正确答案）

Clark-Wilson模型有一些复杂的术语，但它是一个需要理解的特殊安全模型。以下是组成部分：

User：用户，想要访问对象的主体；

Transformation Procedure (TP)：转换过程，用于执行有限制的读、写和变更操作；

Constrained Data Item (CDI)：受约束数据项，只能由TP修改，而不能由用户修改。CDI是非常重要的对象，需要在任何时候都维护它们的完整性。

Unconstrained Data Item (UDI)：无约束数据项，没有CDI重要，可以有用户直接修改。

Integrity Verification Procedure (IVP)：完整性验证过程 确认修改后CDI的完整性和一致性。审计TP并记录日志。

当说到CW，就需要想到它的访问模型。经过身份验证的主体(用户)只能通过中间接口(TP)访问或更改一个重要对象(CDI)，这强制了职责的分离。然后IVP审计TP的工作，检查CDI上的内部更改与外部期望的一致性。Clark-Wilson致力于维护完整性的三个要求，即完整性本身、访问控制和审计。

这个模型应该用在这个新应用系统上，因为CFO(用户)将创建并向不同的实体发送(TP)财务报表(CDI)。然后CEO(用户)将批准(TP)文件(CDI)。如果有文件被认为是UDI，CEO和CFO就可以直接修改它们，而不需要通过TP。无论是大规模的企业收购还是简单的账单发票，不一致的数字将会毁掉整个交易。

CISSP核心概念：

安全策略使用概念语言来表述业务需求。安全模型接受这些需求，并使用数学和编程将策略与系统匹配。管理人员需要它，程序员提供它。

B、Bell-LaPadula(BLP)

这个选择是可以马上被排除的，因为Bell-LaPadula模型只维护机密性。它主要用于军事或政府部门，在这些部门保守秘密对国家有重要意义。对于BLP来说，防止信息泄露比变更信息更重要。以下是BLP如何工作的：