La politica di La politica di

sicurezza dellasicurezza della Muraglia cineseMuraglia cinese

Pietro MazzoleniPietro Mazzoleni

Lunedi’ 10 Dicembre 2001Lunedi’ 10 Dicembre 2001 Corso di Basi di DatiCorso di Basi di Dati

2

SommarioSommario

Conflitto di InteressiConflitto di Interessi

Politica della Muraglia CinesePolitica della Muraglia Cinese Classificazione delle informazioniClassificazione delle informazioni Regola di LetturaRegola di Lettura Regola di ScritturaRegola di Scrittura

Confronto con Bell-LaPadulaConfronto con Bell-LaPadula

Una Critica al ModelloUna Critica al Modello (R. Sandu) (R. Sandu)

Estensione della muraglia cinese per un DWMFSEstensione della muraglia cinese per un DWMFS Workflow Centralizzato e decentralizzatoWorkflow Centralizzato e decentralizzato Regola di Lettura/ScritturaRegola di Lettura/Scrittura

Conclusioni / BibliografiaConclusioni / Bibliografia

3

Conflitto di InteressiConflitto di Interessi Consulenti FinanziariConsulenti Finanziari

Gli analisti aziendali consigliano veramente Gli analisti aziendali consigliano veramente al meglio i propri clienti????al meglio i propri clienti????

Crisi del 1929Crisi del 1929DotComDotCom

Consulenti aziendaliConsulenti aziendaliQuali informazioni devono essere Quali informazioni devono essere messe a messe a disposizione dei consulenti esterni e quali disposizione dei consulenti esterni e quali devono rimanere riservate????devono rimanere riservate????

Consulenti impegnati in piu’ progetti…Consulenti impegnati in piu’ progetti…

4

Politica della Chinese WallPolitica della Chinese Wall

Politica usata in ambito Commerciale Stabilisce dinamicamente le regole per limitare l’accesso ai dati Risolve un problema non trattabile con Bell-LaPadula

Introdotta da Brewer e Nash nel 1989Introdotta da Brewer e Nash nel 1989

Evitare che informazioni riservate di una societEvitare che informazioni riservate di una societàà possano giungere in maniera incontrollata ad possano giungere in maniera incontrollata ad un’azienda concorrente a seguito del lavoro un’azienda concorrente a seguito del lavoro svolto da consulenti aziendalisvolto da consulenti aziendali

5

Classificazione dei dati/OggettiClassificazione dei dati/Oggetti

InfoInfoInfo InfoInfoInfo InfoInfoInfo

Bank ABank A Bank BBank B Gas AGas A Oil AOil A Oil BOil B

COI 1COI 1 COI 2COI 2 COI 3COI 3

Insieme di tutti gli oggettiInsieme di tutti gli oggetti

6

Politica della Muraglia CinesePolitica della Muraglia Cinese

Soggetti : Consulenti AziendaliSoggetti : Consulenti Aziendali

Oggetti : Dati suddivisi in 3 livelliOggetti : Dati suddivisi in 3 livelli InformazioniInformazioni

DataSetDataSet

Classi di COIClassi di COI

Regole di AccessoRegole di Accesso Regola di LetturaRegola di Lettura

Regola di Scrittura (o * property)Regola di Scrittura (o * property)

7

Regola di LetturaRegola di Lettura

InfoInfoInfo Info Info

Bank ABank A Gas AGas A Oil AOil A

InfoInfo

Bank BBank B

Info Info

Oil BOil B

COI 1COI 1 COI 2COI 2 COI 3COI 3

Insieme di tutti gli oggettiInsieme di tutti gli oggetti= John= John

Info

Oil AOil A

COI 3COI 3

Info

Bank ABank A

COI 1COI 1

8

Regola di LetturaRegola di Lettura

Regola di Lettura: Regola di Lettura: Un Soggetto S puo’ Un Soggetto S puo’ leggereleggere un un

oggetto O se:oggetto O se:

O e’ nello stesso Dataset di uno gia’ letto da SO e’ nello stesso Dataset di uno gia’ letto da S

O e’ in una Classe di COI per cui S non ha O e’ in una Classe di COI per cui S non ha

ancora letto alcuna informazioneancora letto alcuna informazione

Bank ABank AC

on

sulen

teC

on

sulen

teBank BBank B

Gas AGas A Oil BOil B

RR

RR

RR

RR

XX RR

9

Regola di ScritturaRegola di Scrittura

InfoInfoInfo Info Info

Bank ABank A Gas AGas A Oil AOil A

COI 1COI 1 COI 2COI 2 COI 3COI 3

Insieme di tutti gli oggettiInsieme di tutti gli oggetti= John= John

Info

Oil AOil A

COI 3COI 3

InfoInfo

Bank ABank A

COI 1COI 1

ABCABCABCABC

10

Regola di ScritturaRegola di Scrittura

Info Info

Gas AGas A Oil AOil A

InfoInfo

Bank BBank B

COI 1COI 1 COI 2COI 2 COI 3COI 3

Insieme di tutti gli oggettiInsieme di tutti gli oggetti= Jane= Jane

Info

Oil AOil A

COI 3COI 3

Info

Bank BBank B

COI 1COI 1

ABCABCABCABC

11

Regola di ScritturaRegola di Scrittura

ConsulenteConsulenteAA

ConsulenteConsulenteBB

WW

WW

RR

RR

XXOil BOil B

Bank BBank B

Bank ABank A

Regola di Scrittura: Regola di Scrittura: Un Soggetto S puo’ Un Soggetto S puo’ scriverescrivere un un

oggetto O se:oggetto O se:

S puo’ leggere O in base alla regola di letturaS puo’ leggere O in base alla regola di lettura

Non e’ stato letto alcun oggetto appartenente Non e’ stato letto alcun oggetto appartenente ad un Dataset diverso a quello contenente Oad un Dataset diverso a quello contenente O

XX

12

Confronto con il modello Confronto con il modello Bell-LaPadulaBell-LaPadula

OggettoOggetto ClasseClasse = Tipo di Informazione (Pubblica,Riservata…) = Tipo di Informazione (Pubblica,Riservata…) CatCat = Categoria del dato = Categoria del dato

SoggettoSoggetto ClasseClasse = Massima Classe dei dati che il soggetto e’ = Massima Classe dei dati che il soggetto e’ abilitato a leggere abilitato a leggere NTKNTK = “Need to know” somma delle categorie di = “Need to know” somma delle categorie di

oggetti a cui viene permesso l’accesso oggetti a cui viene permesso l’accesso

13

Classificazione degli OggettiClassificazione degli Oggetti

AA BB CC

ee ff gg mm nn

Categorie degli oggettiCategorie degli oggetti

(A,e)11

(A,f)44

(B,g)22 (C,m)33

(C,n)55

Possibili NTK “Need to Know”Possibili NTK “Need to Know”Tutte le combinazioni di categorie con al piu’ un dataset per ogni Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COIClasse di COI

Es: • Utente John NTK= {1,2,3}Utente John NTK= {1,2,3}• Utente Jane NTK= {4,2,3Utente Jane NTK= {4,2,3}}

14

Regola di Lettura/ScritturaRegola di Lettura/ScritturaRegola di Lettura: Regola di Lettura: Un Soggetto S puo’ Un Soggetto S puo’ leggereleggere un un

oggetto O se:oggetto O se:

La classe del soggetto e’ maggiore della classe La classe del soggetto e’ maggiore della classe dell’oggettodell’oggetto

Il NTK del soggetto include la categoria dell’oggettoIl NTK del soggetto include la categoria dell’oggetto

Regola di Scrittura: Regola di Scrittura: Un Soggetto S puo’ Un Soggetto S puo’ scriverescrivere un un

oggetto se:oggetto se:

La classe dell’oggetto di output e’ maggiore di quella di La classe dell’oggetto di output e’ maggiore di quella di inputinput

La categoria dell’oggetto su cui scrivere (output) La categoria dell’oggetto su cui scrivere (output) contiene tutte le categorie degli oggetti di inputcontiene tutte le categorie degli oggetti di input

15

ProblemaProblema

Non risponde a particolari esigenze tipiche del Non risponde a particolari esigenze tipiche del mondo commercialemondo commerciale

Non viene mantenuta la discrezionalita’ nella Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggerescelta dei dataset da leggere

La politica della Muraglia cinese combina La politica della Muraglia cinese combina liberta’ di accesso ai dati e Regole di liberta’ di accesso ai dati e Regole di

SicurezzaSicurezza

16

Critica al Modello Critica al Modello (R. Sandhu)(R. Sandhu)

Non tiene conto della differenza tra “persone Non tiene conto della differenza tra “persone fisiche” e “utenti ”.fisiche” e “utenti ”.

PERSONAPERSONA

UTENTEUTENTE UTENTEUTENTE

JOHNJOHN

John.Oil1John.Oil1 John.Oil2John.Oil2

Un utente che ha letto oggetti da piu’ di un dataset non Un utente che ha letto oggetti da piu’ di un dataset non puo’ scrivere alcun dato puo’ scrivere alcun dato

L’utente puo’ solo leggere e scrivere dati da un singoloL’utente puo’ solo leggere e scrivere dati da un singolo DataSet DataSet

Regola di Scrittura di BN:Regola di Scrittura di BN:

17

Cosa è un Workflow?Cosa è un Workflow?

TaskTask: un’ e-mail, una transizione, un programma, un meeting, ecc: un’ e-mail, una transizione, un programma, un meeting, ecc AgentiAgenti: Una persona, un DBMS, un’applicazione, ecc: Una persona, un DBMS, un’applicazione, ecc DipendenzeDipendenze: di flusso, di valore ed esterne: di flusso, di valore ed esterne

Es: prenotazione di una vacanzaEs: prenotazione di una vacanza::

DELTADELTA AVISAVIS

MARRIOTMARRIOT

Inserisci Input Riserva

VoloNoleggia

Auto

Noleggia Auto

bsbs

bsbs

HERTZHERTZ

bs andbs andp<=$400p<=$400 Notifica

all’utente

bsbs RiservaAlbergo

RiservaVolo

bsbs

bf orbf orp>$400p>$400

CONTINENTALCONTINENTAL

bs andbs andDate <3/21/01Date <3/21/01

WFMCWFMC

L’automazione, parziale o totale, di L’automazione, parziale o totale, di processi aziendaliprocessi aziendali durante i durante i quali informazioni o attività passano da un soggetto (quali informazioni o attività passano da un soggetto (tasktask) ad ) ad un altro al fine di realizzare particolari azioni, tutto nel rispetto un altro al fine di realizzare particolari azioni, tutto nel rispetto di un insieme di regole (di un insieme di regole (dipendenzedipendenze) che ne gestiscono i flussi) che ne gestiscono i flussi..

18

WFMS CentralizzatoWFMS Centralizzato

Collo di BottigliaCollo di Bottiglia

Non adatto a sistemi che sono autonomi,Non adatto a sistemi che sono autonomi, distribuiti e eterogenei per natura distribuiti e eterogenei per natura

DELTA AVIS MARRIOT

Sistema Centralizzato Esecuzione del Esecuzione del Workflow Workflow

CONTINENTAL

Specifica del WFSpecifica del WFDELTA AVIS

MARRIOT

Inserisci Input

Riserva volo

NoleggiaAuto

Noleggia

Auto

bs

bs

HERTZ

bs andp<=$400 Notifica

all’utentebs Riserva

albergo

RiservaVolo

bs

bf orp>$400

CONTINENTAL

Bs andDate <3/21/01

19

Workflow DecentralizzatoWorkflow Decentralizzato

3 5 6 7

DELTA

5 6 7

AVIS

6 7

MARIOTTE

Sistema Centralizzato

3

4 67

5

2

CONTINENTAL

enterinput Notify

11

22

33

44 66

55 Specifica del WFSpecifica del WFDELTA AVIS

MARRIOT

Inserisci Input

Riserva volo

NoleggiaAuto

Noleggia

Auto

bs

bs

HERTZ

Bs andp<=$400 bs Riserva

albergo

RiservaVolo

bs

bf orp>$400

CONTINENTAL

bs andDate <3/21/01

77

Notificaall’utente

20

Sistema di Workflow Sistema di Workflow Decentralizzato - DWFMSDecentralizzato - DWFMS

Self-describing Workflow Self-describing Workflow

Workflow StubWorkflow StubWFMS serverWFMS server t1

t2

t3

t4bs

bs bs

WFMS StubWFMS Stub

A(t1)A(t1)

WFMS StubWFMS Stub

t1, A1, Input (t1) t1, A1, Input (t1)

t1t2

t3

t4bs

bs bs

Self Describing WorkflowSelf Describing Workflow

(t2, A2, Input (t2), (t2, A2, Input (t2),

t2

WFMS StubWFMS Stub

WFMS StubWFMS Stub

A(t3)A(t3)

A(t2)A(t2)

(t3, A3, Input (t3), (t3, A3, Input (t3),

t3 t4bs

(t4, A4, Input (t4), (t4, A4, Input (t4),

t4

WFMS StubWFMS Stub

A(t4)A(t4)

21

Problema del Conflitto di Interessi Problema del Conflitto di Interessi

Gli agenti possono creare un conflitto di interessiGli agenti possono creare un conflitto di interessi Un agente può alterare il flusso del workflow a proprio Un agente può alterare il flusso del workflow a proprio

vantaggiovantaggio

Problema:Problema:

Continental può offrire un prezzo tale da escludere Delta Continental può offrire un prezzo tale da escludere Delta dall’esecuzione del workflowdall’esecuzione del workflow

DELTADELTA AVISAVIS

MARRIOTMARRIOT

Inserisci Input

RiservaVolo

NoleggiaAuto

Noleggia

Auto

bsbs

bsbs

HERTZHERTZ

Bs andBs andp<=$400p<=$400 Notifica

all’utente

bsbs RiservaAlbergo

RiservaVolo

bsbs

bf orbf orp>$400p>$400

CONTINENTALCONTINENTAL

Bs andBs andDate <3/21/01Date <3/21/01

22

Non c’Non c’é conflitto di Interessi con é conflitto di Interessi con un Controllo Centralizzatoun Controllo Centralizzato

I valori degli output di un precedente task e le dipendenze del I valori degli output di un precedente task e le dipendenze del Workflow NON sono disponibili ai singoli agenti che quindi Workflow NON sono disponibili ai singoli agenti che quindi non possono trarne vantagginon possono trarne vantaggi

Specifica del WFSpecifica del WFDELTA AVIS

MARRIOT

Inserisci Input

Riserva volo

NoleggiaAuto

Noleggia

Auto

bs

bs

HERTZ

bs andp<=$400 Notifica

all’utentebs Riserva

albergo

RiservaVolo

bs

bf orp>$400

CONTINENTAL

Bs andDate <3/21/01

DELTA AVIS MARRIOTCONTINENTAL

Sistema Centralizzato

23

Politica della Muraglia Cinese per il Politica della Muraglia Cinese per il sistema di Workflow Decentralizzatosistema di Workflow Decentralizzato

Soggetto, S:Soggetto, S: Agenti responsabili dell’esecuzione Agenti responsabili dell’esecuzione dei task dei task

Oggetto, O :Oggetto, O : Input/output di un task, dipendenze del Input/output di un task, dipendenze del Workflow Workflow

Oggetti sensibili e non sensibiliOggetti sensibili e non sensibili Non-SensibiliNon-Sensibili

Oggetti non inclusi in alcuna dipendenzaOggetti non inclusi in alcuna dipendenza SensibiliSensibili

Oggetti inclusi in dipendenze di valore che possonoOggetti inclusi in dipendenze di valore che possono modificare l’esecuzione del Workflowmodificare l’esecuzione del Workflow

24

Regole di lettura e scritturaRegole di lettura e scritturaRegola di Lettura/ValutazioneRegola di Lettura/Valutazione::

S può leggere un oggetto OS può leggere un oggetto O O non è sensibile per S, OPPUREO non è sensibile per S, OPPURE Non c’Non c’éé un soggetto S’ in W tale che COI(S)=COI(S’) un soggetto S’ in W tale che COI(S)=COI(S’)

Un soggetto S può leggere e valutare un oggetto O se non e’ Un soggetto S può leggere e valutare un oggetto O se non e’ sensibile per S oppure se nel Workflow non esiste un altrosensibile per S oppure se nel Workflow non esiste un altro soggetto S’ in conflitto di interessi con Ssoggetto S’ in conflitto di interessi con S

Regola di Scrittura/Partizione:Regola di Scrittura/Partizione: S può scrivere un oggetto O se e’ in grado di leggerloS può scrivere un oggetto O se e’ in grado di leggerlo

Un soggetto S non è abilitato a costruire dei Self con oggettiUn soggetto S non è abilitato a costruire dei Self con oggettisensibili che sono in Conflitto di interessi nel workflowsensibili che sono in Conflitto di interessi nel workflow

25

BibliografiaBibliografia

Rick WaymanWhat is the “Chinese Wall” and why is it in the News”What is the “Chinese Wall” and why is it in the News”ResearchStorck.com, 2001.

D.Brewer e Dr. M. NashThe Chinese Wall PolicyThe Chinese Wall PolicyProc. In IEEE Symposium on Research in Security and PrivacyMay 1989, California

Ravi S. SandhuA lattice Interpretation of the Chinese Wall PolicyA lattice Interpretation of the Chinese Wall PolicyProc. Of 15th NIST-NCSC National Computer Security ConferenceOttobre 1992, Baltimore USA

V. Atluri, S. Chun, P. MazzoleniA Chinese Wall Security Model for Decentralized Workflow SystemsA Chinese Wall Security Model for Decentralized Workflow SystemsProc. of 8th ACM Conference on Computer and Communications Security (CCS-8),

Novembre 2001 Philadelphia, USA

mazzolen@cimic.rutgers.edumazzolen@cimic.rutgers.edu