Download
1 / 56
560 likes | 756 Views
Università G.D’Annunzio Chieti-Pescara. CHINESE WALL. Sommario. Sicurezza Chinese Wall Classificazione delle informazioni Regole di lettura Regole di scrittura Confronto con BLP model Confronto Clark-Willson model Alcune applicazioni del modello. Sicurezza.
E N D
Università G.D’AnnunzioChieti-Pescara CHINESE WALL Claudia Salomone
Sommario • Sicurezza • Chinese Wall • Classificazione delle informazioni • Regole di lettura • Regole di scrittura • Confronto con BLP model • Confronto Clark-Willson model • Alcune applicazioni del modello Claudia Salomone
Sicurezza Gli obiettivi di una politica di sicurezza sono: • Confidenzialità: impedire l’accesso non autorizzato e il furto delle informazioni. • Integrità: impedire le modificazioni delle informazioni. • Autenticazione: assicurare che gli utenti siano effettivamente chi dichiarino di essere Claudia Salomone
Le politiche di sicurezza più importanti sono: DAC(Discretionary Access Control):gli utilizzatori possono concedere o revocare gli accessi ai propri oggetti; MAC(Mandatory Access Control):le decisioni di accesso sono prese basandosi su etichette sicure di oggetti e soggetti. Le etichette sono assegnate esternamente e non sono determinate dal proprietario. Claudia Salomone
MAC Ci sono diverse tipologie di modelli MAC: • Confidentiality: BLP • Integrity: Biba, Clark-Wilson • Hybrid: ChineseWall Claudia Salomone
Chinese Wall Claudia Salomone
CHINESE WALL • La politica di sicurezza Chinese Wall è un modello ibrido: in quanto, combina elementi di DAC e MAC • Politica usata in ambito commerciale • E’ stata presentata da Brewer a Nash nel 1989 Claudia Salomone
CHINESE WALL • La politica di sicurezza della Muraglia Cinese è una politica di sicurezza che garantisce la confidenzialità e l’integrità delle informazioni attraverso regole di lettura e scrittura. • L’idea base: controllare il flusso di dati tra aziende concorrenti, limitando l’accesso alle informazioni riservate di una data compagnia da parte di consulenti finanziari. Ovvero impedire che sorgano conflitti d’interesse. Claudia Salomone
Conflitti di interesse… C’è conflitto di interesse quando un soggetto compie un’azione che potrebbe produrre un vantaggio per l’attore dell’azione stessa. Esempio: Borsa e società di investimento In tale contesto l‘obiettivo del modello è evitare che il consulente rappresentando due clienti con finalità differenti tra loro possa trovarsi in un conflitto d’interesse… Claudia Salomone
…segue …lo scopo è impedire che il singolo consulente possa accedere a informazioni riservate di due società operanti nello stesso settore (COI class), evitando che: • il suddetto soggetto sia indotto ad abusare di tale conoscenza per profitto personale, • e che generi,conseguentemente, un disservizio per i clienti. Claudia Salomone
La politica di sicurezza Chinese Wall distingue pertanto le informazioni in due aree: …segue Insider area contenente informazioni riservate sulla società, al quale possono accedere solo alcuni soggetti (unsanitized date). Public area contenente informazioni che le società distribuiscono obbligatoriamente e quindi accessibili a tutti, ad es. l’annuale rendiconto degli stackholder (sanitized date). Claudia Salomone
Quindi, la Muraglia Cinese funge da barriera per il passaggio delle informazioni confidenziali e riservate. Claudia Salomone
Classificazione delle informazioni All’interno della muraglia tutte le informazioni riservate sono archiviate gerarchicamente in 3 livelli: -Al livello più basso, troviamo gli OGGETTI -Nel livello intermedio, si posizionano i CD (Company dataset) -Al livello più alto, le c.d COI (Conflict Of Interest ) class. Claudia Salomone
…In particolare OGGETTI: files contenenti singoli dati delle società. Ad ogni oggetto è associato il nome della CD al quale si riferisce e il nome della COI class al quale la CD appartiene. CD: tutti gli oggetti che si riferiscono ad una data società vengono raggruppati insieme in un database. COI: tutte le CD delle società in concorrenza tra loro vengono raggruppate insieme e costituiscono la c.d. Classe di conflitti d’interesse. Claudia Salomone
Classificazione dei dati/Oggetti Claudia Salomone
esempio Per convenzione assumiamo che: O: indica gli oggetti,ognuno dei quali appartiene esattamente a una COI class; Y: le CD; X: le COI class e immaginiamo che il nostro sistema contenga le informazioni di tre società, Banca A, Banca B e Compagnia petrolifera A, avremo che: Claudia Salomone
Y può riferirsi alla Banca A, la Banca B o la Compagnia petrolifera A, cioè può contenere tutti gli oggetti riguardanti una di queste tre aziende; • Ci sono due classi di conflitto d’interesse, una per le la banche (contenente i dataset della Banca A e della Banca B) e una per la compagnia petrolifera (contenete il dataset dalla Compagnia A), cioè X può essere “Banca” oppure “Compagnia petrolifera”. Claudia Salomone
Sicurezza semplice L’idea base della politica della Muraglia Cinese consiste nel far in modo che le persone entrino in possesso di informazioni che non siano in conflitto con quelle già possedute dallo stesso (i soggetti per poter accedere alle informazioni non devono essere dalla parte sbagliata del muro). “Tale politica è un mix di scelte libere e di controlli obbligatori” Regole di accesso: Regole di lettura Regole di scrittura Claudia Salomone
R R X R Regole di lettura Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se: • O e’ nello stesso Dataset di uno gia’ letto da S, sono cioè all’interno del muro • O appartiene a una Classe di COI diversa in cui S non ha ancora letto alcuna informazione Consulente Bank B Bank A Oil A Claudia Salomone
Regole di lettura COI 1 COI 3 Bank B Bank C Oil B Bank A Oil A Info Info Info Info Info Info Info Info = John Insieme di tutti gli oggetti COI 1 COI 3 Bank A Oil A Info Info Info Claudia Salomone
…segue • Inizialmente un soggetto può liberamente scegliere a quali dataset accedere,ad es. Banca A; • Un soggetto può accedere al più ad un CD in ogni COI class,e questo perché, nel momento in cui egli entra in possesso di alcune informazioni in una COI class, si crea un muro intorno a tutti gli altri dati che sono nella stessa COI class (che sono quindi, in conflitto tra loro). • Da ciò deriva che, gli unici altri dati che il soggetto può leggere nella stessa COI class sono quelli contenuti nello stesso dataset dell’oggetto già letto. Claudia Salomone
Il numero minimo di soggetti che potranno accedere ad ogni dato in una COI class è dato dal numero delle CD che vi fanno parte. Esempio: database del modello Chinese Wall Classe COI Banca Classe COI Comp.petrolifera Banca A a Comp.B e Comp.A d Banca B b Banca C c Claudia Salomone
Regole di scrittura Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto O se: • S puo’ leggere O in base alla regola di lettura • Non e’ stato letto alcun oggetto appartenente ad un Dataset diverso a quello contenente O Claudia Salomone
COI 3 Oil A ABC ABC Info Regole di Scrittura = John Insieme di tutti gli oggetti COI 1 COI 1 COI 1 COI 3 Bank A Bank A Bank A Oil A Info Info Info Claudia Salomone
Sanitized Information … • Brewer and Nash riconoscono la necessità che gli analisti hanno di dover confrontare le informazioni riservate a loro disposizione con quelle relative alle altre società. • Chiaramente il problema sorge se l’accesso per alcune aziende è vietato dalle regole di sicurezza semplice (un utente non potrà mai confrontare i dati di due aziende che si trovano nella stessa COI class, ad es. Compagnia petrolifera A e Compagnia petrolifera B, e neppure i dati della Banca A con quelli della Compagnia petrolifera A se egli ha avuto precedentemente accesso ai dati della Compagnia B). Claudia Salomone
…sanitized information Queste limitazioni possono essere rimosse se si usa una forma purificata per le informazioni richieste La forma purificata delle informazioni funge da maschera per la società, ha infatti, lo scopo di evitare che si scopra l’identità della società alla quale le informazioni si riferiscono. Claudia Salomone
esempio Supponiamo che due soggetti John e Jane possano entrambi accedere ai dataset dell’esempio precedente,(Compagnia petrolifera A, Compagnia petrolifera B e Banca A), in particolar modo che: • John ha accesso (R) alla Compagnia A e acceso (W) alla Banca A • Jane può accedere alla Compagnia B e alla Banca A Jane può leggere indirettamente le informazioni della Compagnia A, anche se ciò dovrebbe essere vietato perché c’è conflitto d’interesse tra la Compagnia A e la Compagnia B. Violazione indiretta della Muraglia Cinese.. Claudia Salomone
Evitare e le violazioni indirette aumentando le condizioni di sicurezza semplice, *-property, sostenendo che: L’accesso scritto è permesso solo se: • L’accesso è permesso dalle semplici regole di sicurezza, ovvero,la condizione che permette ad un soggetto S di leggere l’oggetto O; Claudia Salomone
Per tutti gli oggetti non purificati O’, il soggetto S può leggere O’ solo se appartiene alla CD dell’oggetto a cui ha avuto accesso precedentemente CD(O’)=CD(O). • quindi, nessuno oggetto può essere letto se appartiene al dataset di una compagnia diversa per il quale l’accesso scritto è stato richiesto e se contiene informazioni non purificate. Claudia Salomone
Nell’esempio sopra John può accedere alla CD della Comp.A e a quella della Banca A,quindi la condizione 1 è verificata. Cmq, assumendo che la CD della Comp.A contiene oggetti non purificati, perché John possa accedervi la condizione 2 è falsa. Da ciò, deriva che John non può scrivere nel CD BancaA Claudia Salomone
…segue Data questa regola possiamo provare che: Che il flusso delle informazioni non purificate è limitato all’interno della propria Company dataset,mentre le informazioni purificate possono comunque circolare liberamente attraverso il sistema. Questa regola è analoga alle proprietà delle regole di sicurezza definite nel modello BLP. Perciò chiameremo le regole del modello della muraglia cinese come property security Claudia Salomone
Confronto con BLP model In entrambi i modelli la composizione e gli attributi di sicurezza degli oggetti e le regole per l’accesso rispettano le condizioni della sicurezza semplice e la *-property, pur avendo differenze fondamentali tra loro. Claudia Salomone
Caratteristiche BLP • OGGETTO: - BLP non richiede che gli oggetti siano archiviati gerarchicamente all’interno di una CD e di una COI class; esige invece, una struttura per gli attributi degli oggetti(etichettatura sicura) della forma (class , [cat]) dove: • Classe = Tipo di Informazione (Pubblica,Riservata…) • Cat = Categoria del dato Claudia Salomone
Caratteristiche BLP • SOGGETTO: -Nel modello BLP ai soggetti sono assegnate delle etichette sicure,mentre nel modello della Muraglia Cinese no. La forma delle etichette è del tipo (clear, [NKT]), dove: • Classe = Massima Classe dei dati che il soggetto e’ abilitato a leggere • NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso Claudia Salomone
Differenze • Vedremo che le regole di scrittura/lettura nel modello BLP non impongono l’accesso ai dati in base alle informazioni alle quali il soggetto aveva avuto precedentemente accesso, ma dalla sicurezza degli attributi degli oggetti in questione . • BPL non ha la nozione di “accessi passati”, centrale invece nel modello di controllo CW. • Non tiene traccia dei cambiamenti: Es.Susan si ammala e Anna deve prendere il suo posto, nel BLP non possiamo sapere se Susan può farlo Claudia Salomone
…segue Fissa per ogni coppia (COI,CD) del Chinese Wall un’ unica categoria BLP BLP effettua una classificazione per le informazioni purificate e una per quelle non purificate Etichetta ogni oggetto contenente informazioni non purificate con l’etichetta (x,y) e con l’etichetta (x’,y’) la categoria BLP dei dataset purificati Claudia Salomone
Composizione degli oggetti in BLP Claudia Salomone
Possibili NTK “Need to Know”: Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COI Es: • Utente John NTK= {1,2,3} • Utente Jane NTK= {4,2,3} Claudia Salomone
Sicurezza semplice L’accesso è garantito solo se: Regola di Lettura:Un Soggetto S puo’ leggere un oggetto O se: • La classe del soggetto e’ maggiore della classe dell’oggetto • Il NTK del soggetto include la categoria dell’oggetto Claudia Salomone
*-property Regola di Scrittura:Un Soggetto S puo’ scrivere un oggetto se: • La classe dell’oggetto di output e’ maggiore di quella di input • La categoria dell’oggetto su cui scrivere (output) contiene tutte le categorie degli oggetti di input Claudia Salomone
Problemi di BLP • Non risponde a particolari esigenze tipiche del mondo commerciale • Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggere: -Nel CW un soggetto può inizialmente accedere liberamente ad alcuni oggetti; - BLP comprime gli oggetti a cui un soggetto può accedere. Altrimenti si viola il principio del CW Claudia Salomone
Confronto con Clark -Wilson Applicazioni: sistema di sicurezza militare; sistema di sicurezza commerciale Tale modello separa le operazioni in sottoparti che sono eseguite obbligatoriamente da persone diverse. Tale modello definisce un insieme di regole con l’obiettivo di conservare l’integrità dei dati, come la convalida, la verifica e il controllo d’accesso. Poiché il modello CW considera solo l’accesso controllato esso non può emulare il modelloClark-Wilson completamente. Claudia Salomone
Clark-Wilson La regola d’accesso richiede un controllo basato su una prestabilita relazione del tipo (utente,programma,oggetto) nel quale relazionare un utente, un programma e gli oggetti che il programma può consultare a beneficio dell’utente, nelle diverse CD -Se, uno considera che il soggetto e il processo sono intercambiabili allora una singola persona può utilizzare più processi per accedere agli oggetti di più CD nella stessa COI class; violazione CW. -mentre, richiedendo che il soggetto sia un persona ben precisa ed includendo tutti i processi da lui eseguiti, la CW è coerente con il modello Clark-Wilson Claudia Salomone
ALCUNE APPLICAZIONI Claudia Salomone
Applicazioni CW • Politica della Muraglia Cinese per la sicurezza di un Workflow decentralizzato: problema del conflitto di interessi che può sorgere tra aziende concorrenti quando l’esecuzione del flusso lavorativo viene decentrallizato • Approccio della Muraglia Cinese nel WWW per la sicurezza nel commercio elettronico. Claudia Salomone
Workflow decentralizzato L’approccio utilizzato consiste nell’individuare oggetti sensibili in grado di manipolare il flusso del lavoro e contenenti informazioni tali che, se portate a conoscenza di una data organizzazione o azienda, potrebbero proporla alla concorrenza. Claudia Salomone
…work flow • Soggetto, S: Agenti responsabili dell’esecuzione dei task • Oggetto, O : Input/output di un task, dipendenze del Workflow Regola lettura:Un soggetto S può leggere e valutare un oggetto O se non e’ sensibile per S oppure se nel Workflow non esiste un altro soggetto S’ in conflitto di interessi con S Regola scrittura:Un soggetto S non è abilitato a costruire dei Self, partizioni del flusso di lavoro, con oggetti sensibili che sono in Conflitto di interessi nel workflow Claudia Salomone
CW nel WWW Per realizzare la politica di sicurezza Chinese Wall in Internet dobbiamo utilizzare delle etichette che contengono informazioni sull’identità dell’utilizzatore e sugli oggetti aquali egli ha avuto accesso precedentemente. Per fare ciò, abbiamo bisogno di meccanismi che provvedono all’autenticazione e autorizzazione dell’utente nel WWW. Claudia Salomone
Meccanismi di autenticazione Gli standards più comuni sono: Basic Authentication: è inclusa nel protocollo HTTP. L’ utente deve identificarsi attraverso un USER-ID e una PASSWORD quando richiedono un documento protetto. Digest Access Authentication: è un’estensione del protocollo HTTP, sviluppatosi per integrare i difetti del precedente modello. SSL(Secure Socket Layer):è il protocollo proposto dalla Netscape progettato per fornire la cifratura e l’autenticazione fra un client Wed e un server Web. Claudia Salomone
Basic Authentication Claudia Salomone
