La politica di sicurezza della Muraglia cinese

1
La politica di sicurezza della Muraglia cinese

• Pietro Mazzoleni

Corso di Basi di Dati
Lunedi 10 Dicembre 2001
2
Sommario

• Conflitto di Interessi
• Politica della Muraglia Cinese
• Classificazione delle informazioni
• Regola di Lettura
• Regola di Scrittura
• Confronto con Bell-LaPadula
• Una Critica al Modello (R. Sandu)
• Estensione della muraglia cinese per un DWMFS
• Workflow Centralizzato e decentralizzato
• Regola di Lettura/Scrittura
• Conclusioni / Bibliografia

3
Conflitto di Interessi

• Consulenti Finanziari
• Gli analisti aziendali consigliano veramente
  al meglio i propri clienti????
• Crisi del 1929
• DotCom
• Consulenti aziendali
• Quali informazioni devono essere messe a
  disposizione dei consulenti esterni e quali
  devono rimanere riservate????
• Consulenti impegnati in piu progetti

4
Politica della Chinese Wall
Introdotta da Brewer e Nash nel 1989
Evitare che informazioni riservate di una società
possano giungere in maniera incontrollata ad
unazienda concorrente a seguito del lavoro
svolto da consulenti aziendali

• Politica usata in ambito Commerciale
• Stabilisce dinamicamente le regole per limitare
  laccesso ai dati
• Risolve un problema non trattabile con
  Bell-LaPadula

5
Classificazione dei dati/Oggetti
Insieme di tutti gli oggetti
COI 2
COI 1
COI 3
Bank A
Bank B
Gas A
Oil A
Oil B
Info
Info
Info
Info
Info
Info
Info
Info
Info
6
Politica della Muraglia Cinese

• Soggetti Consulenti Aziendali
• Oggetti Dati suddivisi in 3 livelli
• Informazioni
• DataSet
• Classi di COI
• Regole di Accesso
• Regola di Lettura
• Regola di Scrittura (o property)

7
Regola di Lettura
John
Insieme di tutti gli oggetti
COI 2
COI 1
COI 3
Bank A
Gas A
Oil A
Info
Info
Info
Info
Info
8
Regola di Lettura

• Regola di Lettura Un Soggetto S puo leggere un
• oggetto O se
• O e nello stesso Dataset di uno gia letto da S
• O e in una Classe di COI per cui S non ha
• ancora letto alcuna informazione

Consulente
Bank B
Bank A
Gas A
Oil B
9
Regola di Scrittura
John
Insieme di tutti gli oggetti
COI 2
COI 1
COI 3
COI 1
Bank A
Bank A
Gas A
Oil A
Info
Info
Info
Info
Info
Info
ABC
10
Regola di Scrittura
Jane
Insieme di tutti gli oggetti
COI 2
COI 1
COI 3
COI 1
Gas A
Oil A
Bank B
Info
Info
Info
11
Regola di Scrittura

• Regola di Scrittura Un Soggetto S puo scrivere
  un
• oggetto O se
• S puo leggere O in base alla regola di lettura
• Non e stato letto alcun oggetto appartenente ad
  un Dataset diverso a quello contenente O

ConsulenteA
X
Bank B
Oil B
X
ConsulenteB
Bank A
12
Confronto con il modello Bell-LaPadula

• Oggetto
• Classe Tipo di Informazione (Pubblica,Riservata
  )
• Cat Categoria del dato
• Soggetto
• Classe Massima Classe dei dati che il
  soggetto e abilitato a leggere
• NTK Need to know somma delle categorie di
  oggetti a cui viene permesso laccesso

13
Classificazione degli Oggetti
Categorie degli oggetti
A
B
C
1
2
3
(A,e)
(B,g)
(C,m)
4
5
(A,f)
(C,n)
m
n
g
e
f
Possibili NTK Need to Know
Tutte le combinazioni di categorie con al piu un
dataset per ogni Classe di COI

• Utente John NTK 1,2,3
• Utente Jane NTK 4,2,3

Es
14
Regola di Lettura/Scrittura

• Regola di Lettura Un Soggetto S puo leggere un
• oggetto O se
• La classe del soggetto e maggiore della classe
  delloggetto
• Il NTK del soggetto include la categoria
  delloggetto

• Regola di Scrittura Un Soggetto S puo scrivere
  un
• oggetto se
• La classe delloggetto di output e maggiore di
  quella di input
• La categoria delloggetto su cui scrivere
  (output) contiene tutte le categorie degli
  oggetti di input

15
Problema

• Non risponde a particolari esigenze tipiche del
  mondo commerciale
• Non viene mantenuta la discrezionalita nella
  scelta dei dataset da leggere

La politica della Muraglia cinese combina
liberta di accesso ai dati e Regole di Sicurezza
16
Critica al Modello (R. Sandhu)

• Non tiene conto della differenza tra persone
  fisiche e utenti .

PERSONA
JOHN
John.Oil1
John.Oil2
UTENTE
UTENTE
Regola di Scrittura di BN

• Un utente che ha letto oggetti da piu di un
  dataset non puo scrivere alcun dato
• Lutente puo solo leggere e scrivere dati da un
  singolo DataSet

17
Cosa è un Workflow?
Lautomazione, parziale o totale, di processi
aziendali durante i quali informazioni o attività
passano da un soggetto (task) ad un altro al fine
di realizzare particolari azioni, tutto nel
rispetto di un insieme di regole (dipendenze) che
ne gestiscono i flussi.
WFMC
Es prenotazione di una vacanza
DELTA
AVIS
Inserisci Input
bs
RiservaVolo
Noleggia Auto
bf or pgt400
bs
bs
bs and plt400
bs and Date lt3/21/01
bs
Noleggia Auto
Notifica allutente
Riserva Albergo
RiservaVolo
MARRIOT
HERTZ
CONTINENTAL

• Task un e-mail, una transizione, un programma,
  un meeting, ecc
• Agenti Una persona, un DBMS, unapplicazione,
  ecc
• Dipendenze di flusso, di valore ed esterne

18
WFMS Centralizzato
DELTA
AVIS
MARRIOT
CONTINENTAL

• Collo di Bottiglia
• Non adatto a sistemi che sono autonomi,
  distribuiti e eterogenei per natura

19
Workflow Decentralizzato
Specifica del WF
DELTA
AVIS
3
5
Inserisci Input
bs
1
Riserva volo
Noleggia Auto
bf or pgt400
bs
bs
Bs and plt400
bs and Date lt3/21/01
Noleggia Auto
RiservaVolo
2
bs
Riserva albergo
Notificaallutente
4
6
7
CONTINENTAL
HERTZ
MARRIOT
20
Sistema di Workflow Decentralizzato - DWFMS

• Self-describing Workflow
• Workflow Stub

WFMS server
21
Problema del Conflitto di Interessi
Problema

• Gli agenti possono creare un conflitto di
  interessi
• Un agente può alterare il flusso del workflow a
  proprio vantaggio

AVIS
DELTA
Inserisci Input
RiservaVolo
Noleggia Auto
bs
bf or pgt400
bs
bs
Bs and plt400
Bs and Date lt3/21/01
Noleggia Auto
bs
Riserva Albergo
RiservaVolo
Notifica allutente
CONTINENTAL
MARRIOT
HERTZ
Continental può offrire un prezzo tale da
escludere Delta dallesecuzione del workflow
22
Non cé conflitto di Interessi con un Controllo
Centralizzato
DELTA
AVIS
MARRIOT
CONTINENTAL
I valori degli output di un precedente task e le
dipendenze del Workflow NON sono disponibili ai
singoli agenti che quindi non possono trarne
vantaggi
23
Politica della Muraglia Cinese per il sistema di
Workflow Decentralizzato

• Soggetto, S Agenti responsabili dellesecuzione
  dei task
• Oggetto, O Input/output di un task, dipendenze
  del Workflow
• Oggetti sensibili e non sensibili
• Non-Sensibili
• Oggetti non inclusi in alcuna dipendenza
• Sensibili
• Oggetti inclusi in dipendenze di valore che
  possono
• modificare lesecuzione del Workflow

24
Regole di lettura e scrittura

• Regola di Lettura/Valutazione
• S può leggere un oggetto O
• O non è sensibile per S, OPPURE
• Non cé un soggetto S in W tale che
  COI(S)COI(S)
• Un soggetto S può leggere e valutare un
  oggetto O se non e
• sensibile per S oppure se nel Workflow non
  esiste un altro
• soggetto S in conflitto di interessi con S
• Regola di Scrittura/Partizione
• S può scrivere un oggetto O se e in grado di
  leggerlo
• Un soggetto S non è abilitato a costruire dei
  Self con oggetti
• sensibili che sono in Conflitto di interessi nel
  workflow

25
Bibliografia

• Rick Wayman
• What is the Chinese Wall and why is it in the
  News
• ResearchStorck.com, 2001.
• D.Brewer e Dr. M. Nash
• The Chinese Wall Policy
• Proc. In IEEE Symposium on Research in Security
  and Privacy
• May 1989, California
• Ravi S. Sandhu
• A lattice Interpretation of the Chinese Wall
  Policy
• Proc. Of 15th NIST-NCSC National Computer
  Security Conference
• Ottobre 1992, Baltimore USA
• V. Atluri, S. Chun, P. MazzoleniA Chinese Wall
  Security Model for Decentralized Workflow
  SystemsProc. of 8th ACM Conference on Computer
  and Communications Security (CCS-8),
• Novembre 2001 Philadelphia, USA

mazzolen_at_cimic.rutgers.edu