Brewer-Nash-Modell

Das Brewer-Nash-Modell (auch Chinese-Wall-Modell) beschreibt ein IT-Sicherheitsmodell zum Schutz von Daten. Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Damit setzt es das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll eine „unzulässige Ausnutzung von Insiderwissen bei der Abwicklung von Bank- oder Börsentransaktionen“ oder die Weitergabe von unternehmensspezifischen Insiderinformationen an konkurrierende Unternehmungen durch einen Berater verhindern.^[1]^:260

Seine Ursprünge hat das Modell in der Finanzbranche und bezeichnet bestimmte Regeln, die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird (siehe auch Chinese Wall (Finanzwelt)).

Das Brewer-Nash-Modell wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben^[2]

Formale Definition

Die Menge der Subjekte $S$ modelliert die Akteure, also z. B. die tätigen Berater in einer Unternehmensberatung, während die Menge der Objekte $O$ die Schutzobjekte darstellt, also zum Beispiel sensible Dokumente einer Bank oder eines Unternehmens.

Zugriffshistorie

Beim Brewer-Nash-Modell betrachtet man eine Zugriffshistorie, welche durch eine Matrix $N_{t}:S\times O\rightarrow 2^{R}$ gegeben ist. Dabei gilt, dass $N_{t}(s,o)=\{r_{1},\ldots ,r_{n}\}$ genau dann, wenn es Zeitpunkte $t'<t$ gibt, an denen das Subjekt $s$ auf das Objekt $o$ mit Berechtigungen $r_{1},\ldots ,r_{n}$ zugegriffen hat.^[2]

Objektbaum

Die Objekte werden in einem Objektbaum der Tiefe 3 strukturiert: Die Schutzobjekte sind die Blätter des Baumes. Die Elternknoten der Schutzobjekte stellen die Unternehmen oder Bereiche dar, zu denen die Objekte gehören. Für ein Objekt $o$ wird das Unternehmen, dem es zugeordnet ist, mit $y(o)$ bezeichnet. Die Unternehmen wiederum haben als Elternknoten die Interessenskonfliktklassen, welche für ein gegebenes Objekt durch $x(o)$ gekennzeichnet wird. Intuitiv heißt das, dass wenn zwei Unternehmen A und B in der gleichen Interessenskonfliktklasse sind, Subjekte nicht gleichzeitig in Kenntnis von sensiblen Informationen (Objekten) sowohl über A, als auch über B kommen dürfen.

Zusätzlich markiert man Objekte, die allen Subjekten öffentlich zugänglich sein sollen, mit $y_{0}$ und definiert für diese Objekte entsprechend die Interessenskonfliktklasse $x_{0}=\{y_{0}\}$ .

Leseregel

Nun müssen die systembedingten Zugriffsbeschränkungen definiert werden. Die erste Regel, die Leseregel, besagt, dass ein Subjekt genau dann lesenden Zugriff auf ein Objekt $o$ erhält, wenn für alle Objekte, auf die es bereits (mit einem beliebigen Recht) Zugriff hatte, gilt, dass sie öffentlich sind, sie dem gleichen Unternehmen wie $o$ zugeordnet sind oder sie einer anderen Interessenskonfliktklasse als $o$ angehören. Formal heißt das

$\forall o'\in O:{\big (}N_{t}(s,o')\neq \emptyset \rightarrow y(o')=y_{0}\vee y(o)=y(o')\vee x(o)\neq x(o'){\big )}$

Schreibregel

Nur mit der Leseregel lässt sich kein ungewünschter Informationsfluss ausschließen. Es besteht nämlich die Möglichkeit, dass ein Subjekt $s_{1}$ auf ein Objekt $o_{1}$ lesend zugreift und dessen Inhalt daraufhin in ein Objekt $o_{3}$ schreibt, welches in einer anderen Interessenskonfliktklasse als $o_{1}$ liegt. Ein zweites Subjekt $s_{2}$ könnte nun zuerst auf ein Objekt $o_{2}$ zugreifen, welches in der gleichen Interessenskonfliktklasse wie $o_{1}$ liegt, allerdings einem anderen Unternehmen angehört. Nun könnte sich $s_{2}$ durch Lesen von $o_{3}$ unzulässiges Insiderwissen über $y(o_{1})$ aneignen, da die Inhalte von $o_{3}$ und $o_{1}$ übereinstimmen.

Um diesen Informationsfluss zu verhindern, definieren wir folgende Schreibregel, welche besagt, dass ein Subjekt genau dann schreibenden Zugriff auf ein Objekt $o$ erhält, wenn für alle Objekte, auf welches das Subjekt bereits lesenden Zugriff ausgeübt hat, gilt, dass sie öffentlich oder dem gleichen Unternehmen wie $o$ zugeordnet sind. Formal heißt das

$\forall o'\in O:{\big (}read\in N_{t}(s,o')\rightarrow y(o')=y_{0}\vee y(o)=y(o'){\big )}$

Es wird durch diese Regel also genau der oben beschriebene Fall unterbunden, dass ein Subjekt Insiderinformationen über eine andere Interessenskonfliktklasse an einen Konkurrenten weitergibt.

Siehe auch

Einzelnachweise

↑ Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3
↑ ^a ^b David F.C. Brewer, Michael J. Nash: The Chinese Wall Security Policy. (PDF; 791 kB) Gamma Secure Systems Limited, 1989, abgerufen am 3. November 2017 (englisch).

Literatur

Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
Claudia Eckert: IT-Sicherheit. Konzepte – Verfahren – Protokolle. 5. überarbeitete Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2008, ISBN 978-3-486-58270-3.

Weblinks

David F.C. Brewer, Michael J. Nash: The Chinese Wall Security Policy. In: IEEE (Hrsg.): Proceedings of IEEE Symposium on Security and Privacy. 1989, S. 206–214 (purdue.edu [PDF; 772 kB]).

[Eckert_6te-1] Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3

[:0-2] David F.C. Brewer, Michael J. Nash: The Chinese Wall Security Policy. (PDF; 791 kB) Gamma Secure Systems Limited, 1989, abgerufen am 3. November 2017 (englisch).

[1]

[2]