La politica di
sicurezza della
Muraglia cinese
Pietro Mazzoleni
Corso di Basi di Dati
Lunedi’ 10 Dicembre 2001
Sommario
Conflitto di Interessi
Politica della Muraglia Cinese



Classificazione delle informazioni
Regola di Lettura
Regola di Scrittura
Confronto con Bell-LaPadula
Una Critica al Modello (R. Sandu)
Estensione della muraglia cinese per un DWMFS


Workflow Centralizzato e decentralizzato
Regola di Lettura/Scrittura
Conclusioni / Bibliografia
2
Conflitto di Interessi
Consulenti Finanziari
Gli analisti aziendali consigliano veramente
al meglio i propri clienti????
Crisi del 1929
DotCom
Consulenti aziendali
Quali informazioni devono essere messe a
disposizione dei consulenti esterni e quali
devono rimanere riservate????
Consulenti impegnati in piu’ progetti…
3
Politica della Chinese Wall
Introdotta da Brewer e Nash nel 1989
Evitare che informazioni riservate di una società
possano giungere in maniera incontrollata ad
un’azienda concorrente a seguito del lavoro
svolto da consulenti aziendali
Politica usata in ambito Commerciale
Stabilisce dinamicamente le regole per limitare
l’accesso ai dati
Risolve un problema non trattabile con
Bell-LaPadula
4
Classificazione dei dati/Oggetti
Insieme di tutti gli oggetti
COI 2
COI 1
Bank A
Info
5
Info
Info
Bank B
Info
Info
COI 3
Gas A
Oil A
Info
Info
Oil B
Info
Info
Politica della Muraglia Cinese
Soggetti : Consulenti Aziendali
Oggetti : Dati suddivisi in 3 livelli
Informazioni
DataSet
Classi di COI
Regole di Accesso
Regola di Lettura
Regola di Scrittura (o * property)
6
Regola di Lettura
= John
Insieme di tutti gli oggetti
COI 2
COI 1
Bank A
Info
7
Info
Info
Bank B
Info
Info
COI 3
Gas A
Oil A
Info
Info
Oil B
Info
Info
Regola di Lettura
Regola di Lettura: Un Soggetto S puo’ leggere un
oggetto O se:
O e’ nello stesso Dataset di uno gia’ letto da S
O e’ in una Classe di COI per cui S non ha
ancora letto alcuna informazione
Bank A
R
R
8
Gas A
Consulente
R
X
R
R
Oil B
Bank B
Regola di Scrittura
= John
COI 1
Bank A
Info Info
ABC
9
Info
Insieme di tutti gli oggetti
COI 2
Gas A
Info
COI 3
Oil A
ABC Info
Regola di Scrittura
= Jane
Insieme di tutti gli oggetti
COI 2
COI 1
Bank B
ABC Info
10
Info
Gas A
Info
COI 3
Oil A
ABC Info
Regola di Scrittura
Regola di Scrittura: Un Soggetto S puo’ scrivere un
oggetto O se:
S puo’ leggere O in base alla regola di lettura
Non e’ stato letto alcun oggetto appartenente
ad un Dataset diverso a quello contenente O
Bank B
Bank A
11
X
Consulente
A
R
Consulente
B
W
R
X
W
Oil B
Confronto con il modello
Bell-LaPadula
Oggetto
Classe = Tipo di Informazione (Pubblica,Riservata…)
Cat = Categoria del dato
Soggetto
Classe = Massima Classe dei dati che il soggetto e’
abilitato a leggere
NTK = “Need to know” somma delle categorie di
oggetti a cui viene permesso l’accesso
12
Classificazione degli Oggetti
A
e
C
B
f
Categorie degli oggetti
g m
n
1 (A,e) 2 (B,g)
3 (C,m)
4 (A,f)
5 (C,n)
Possibili NTK “Need to Know”
Tutte le combinazioni di categorie con al piu’ un dataset per ogni
Classe di COI
Es:
13
• Utente John NTK= {1,2,3}
• Utente Jane NTK= {4,2,3}
Regola di Lettura/Scrittura
Regola di Lettura: Un Soggetto S puo’ leggere un
oggetto O se:
La classe del soggetto e’ maggiore della classe
dell’oggetto
Il NTK del soggetto include la categoria dell’oggetto
Regola di Scrittura: Un Soggetto S puo’ scrivere un
oggetto se:
La classe dell’oggetto di output e’ maggiore di quella di
input
La categoria dell’oggetto su cui scrivere (output)
contiene tutte le categorie degli oggetti di input
14
Problema
Non risponde a particolari esigenze tipiche del
mondo commerciale
Non viene mantenuta la discrezionalita’ nella
scelta dei dataset da leggere
La politica della Muraglia cinese combina
liberta’ di accesso ai dati e Regole di
Sicurezza
15
Critica al Modello (R. Sandhu)
Non tiene conto della differenza tra “persone
fisiche” e “utenti ”.
PERSONA
UTENTE
UTENTE
JOHN
John.Oil1 John.Oil2
Regola di Scrittura di BN:
16
Un utente che ha letto oggetti da piu’ di un dataset non
puo’ scrivere alcun dato
L’utente puo’ solo leggere e scrivere dati da un singolo
DataSet
Cosa è un Workflow?
L’automazione, parziale o totale, di processi aziendali durante i
quali informazioni o attività passano da un soggetto (task) ad
un altro al fine di realizzare particolari azioni, tutto nel rispetto
di un insieme di regole (dipendenze) che ne gestiscono i flussi.
WFMC
Es: prenotazione di una vacanza:
DELTA
Inserisci
Input
bf or
p>$400
Riserva
Volo
AVIS
bs
Noleggia
Auto
bs
bs
Riserva
Volo
bs and
p<=$400
CONTINENTAL


17 
Noleggia
Auto
HERTZ
bs
Riserva
Albergo
bs and
Date <3/21/01
MARRIOT
Task: un’ e-mail, una transizione, un programma, un meeting, ecc
Agenti: Una persona, un DBMS, un’applicazione, ecc
Dipendenze: di flusso, di valore ed esterne
Notifica
all’utente
WFMS Centralizzato
DELTA
Inserisci
Input
bs
Riserva
volo
bf or
p>$400
Riserva
Volo
CONTINENTAL
bs and
p<=$400
AVIS
bs
Noleggia
Auto
bs
Noleggia
Auto
HERTZ
bs
Riserva
albergo
18
DELTA
Bs and
Date <3/21/01
Notifica
all’utente
MARRIOT
Sistema Centralizzato
CONTINENTAL
Specifica del WF
AVIS
Esecuzione del
Workflow
MARRIOT
Collo di Bottiglia
Non adatto a sistemi che sono autonomi,
distribuiti e eterogenei per natura
Workflow Decentralizzato
1
DELTA
3
Inserisci
Input
bs
Riserva
Volo
2
4
CONTINENTAL
AVIS
Noleggia
Auto
bs
6
HERTZ
Riserva
albergo
7
Sistema Centralizzato
CONTINENTAL
3
6
3
5
6
Notifica
all’utente
Notify
AVIS
7
5
6
7
MARIOTTE
5
2
19
bs and
Date <3/21/01
MARRIOT
DELTA
4
Specifica del WF
Noleggia
Auto
bs
Bs and
p<=$400
enter
input
bs
Riserva
volo
bf or
p>$400
5
7
6
7
Sistema di Workflow
Decentralizzato - DWFMS
Self-describing Workflow
Workflow Stub
WFMS server
t1
bs
Self Describing Workflow
t4
t3 bs
t2
t1
t4
bs
t2
WFMS Stub
t1, A1, Input (t1)
bs
bs
t3
WFMS Stub
bs
WFMS Stub
A(t1)
A(t2)
WFMS Stub
(t2, A2, Input (t2),
A(t4)
t2
(t4, A4, Input (t4),
(t3, A3, Input (t3),
t3
20
bs
t4
WFMS Stub
A(t3)
t4
Problema del Conflitto di Interessi
Problema:
Gli agenti possono creare un conflitto di interessi

Un agente può alterare il flusso del workflow a proprio
vantaggio
AVIS
DELTA
Inserisci
Input
bf or
p>$400
Riserva
Volo
bs
Noleggia
Auto
bs
Riserva
Volo
Bs and
p<=$400
CONTINENTAL
21
bs
Noleggia
Auto
HERTZ
bs
Riserva
Albergo
Bs and
Date <3/21/01
Notifica
all’utente
MARRIOT
Continental può offrire un prezzo tale da escludere Delta
dall’esecuzione del workflow
Non c’é conflitto di Interessi con
un Controllo Centralizzato
DELTA
Inserisci
Input
bs
Riserva
volo
bf or
p>$400
Riserva
Volo
bs and
p<=$400
AVIS
bs
Noleggia
Auto
bs
Noleggia
Auto
CONTINENTAL
HERTZ
bs
Riserva
albergo
Specifica del WF
Bs and
Date <3/21/01
Notifica
all’utente
MARRIOT
Sistema Centralizzato
CONTINENTAL
DELTA
AVIS
MARRIOT
I valori degli output di un precedente task e le dipendenze del
Workflow NON sono disponibili ai singoli agenti che quindi
22 non possono trarne vantaggi
Politica della Muraglia Cinese per il
sistema di Workflow Decentralizzato
Soggetto, S: Agenti responsabili dell’esecuzione
dei task
Oggetto, O : Input/output di un task, dipendenze del
Workflow
Oggetti sensibili e non sensibili

Non-Sensibili
Oggetti non inclusi in alcuna dipendenza

Sensibili
Oggetti inclusi in dipendenze di valore che possono
modificare l’esecuzione del Workflow
23
Regole di lettura e scrittura
Regola di Lettura/Valutazione:
S può leggere un oggetto O
O non è sensibile per S, OPPURE
Non c’é un soggetto S’ in W tale che COI(S)=COI(S’)
Un soggetto S può leggere e valutare un oggetto O se non e’
sensibile per S oppure se nel Workflow non esiste un altro
soggetto S’ in conflitto di interessi con S
Regola di Scrittura/Partizione:
S può scrivere un oggetto O se e’ in grado di leggerlo
Un soggetto S non è abilitato a costruire dei Self con oggetti
sensibili che sono in Conflitto di interessi nel workflow
24
Bibliografia
Rick Wayman
What is the “Chinese Wall” and why is it in the News”
ResearchStorck.com, 2001.
D.Brewer e Dr. M. Nash
The Chinese Wall Policy
Proc. In IEEE Symposium on Research in Security and Privacy
May 1989, California
Ravi S. Sandhu
A lattice Interpretation of the Chinese Wall Policy
Proc. Of 15th NIST-NCSC National Computer Security Conference
Ottobre 1992, Baltimore USA
V. Atluri, S. Chun, P. Mazzoleni
A Chinese Wall Security Model for Decentralized Workflow Systems
Proc. of 8th ACM Conference on Computer and Communications Security (CCS-8),
Novembre 2001 Philadelphia, USA
25
[email protected]