La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Claudia Salomone1 Università G.DAnnunzio Chieti-Pescara CHINESE WALL.

Presentazioni simili


Presentazione sul tema: "Claudia Salomone1 Università G.DAnnunzio Chieti-Pescara CHINESE WALL."— Transcript della presentazione:

1 Claudia Salomone1 Università G.DAnnunzio Chieti-Pescara CHINESE WALL

2 Claudia Salomone2 Sommario Sicurezza Chinese Wall Classificazione delle informazioni Regole di lettura Regole di scrittura Confronto con BLP model Confronto Clark-Willson model Alcune applicazioni del modello

3 Claudia Salomone3 Sicurezza Gli obiettivi di una politica di sicurezza sono: Confidenzialità : impedire laccesso non autorizzato e il furto delle informazioni. Integrità : impedire le modificazioni delle informazioni. Autenticazione : assicurare che gli utenti siano effettivamente chi dichiarino di essere

4 Claudia Salomone4 Le politiche di sicurezza più importanti sono: DAC(Discretionary Access Control): gli utilizzatori possono concedere o revocare gli accessi ai propri oggetti; MAC(Mandatory Access Control): le decisioni di accesso sono prese basandosi su etichette sicure di oggetti e soggetti. Le etichette sono assegnate esternamente e non sono determinate dal proprietario.

5 Claudia Salomone5 MAC Ci sono diverse tipologie di modelli MAC: Confidentiality: BLP Integrity: Biba, Clark-Wilson Hybrid: ChineseWall

6 Claudia Salomone 6 Chinese Wall

7 Claudia Salomone7 CHINESE WALL La politica di sicurezza Chinese Wall è un modello ibrido: in quanto, combina elementi di DAC e MAC Politica usata in ambito commerciale E stata presentata da Brewer a Nash nel 1989

8 Claudia Salomone8 CHINESE WALL La politica di sicurezza della Muraglia Cinese è una politica di sicurezza che garantisce la confidenzialità e lintegrità delle informazioni attraverso regole di lettura e scrittura. Lidea base: controllare il flusso di dati tra aziende concorrenti, limitando laccesso alle informazioni riservate di una data compagnia da parte di consulenti finanziari. Ovvero impedire che sorgano conflitti dinteresse.

9 Claudia Salomone9 Conflitti di interesse… Cè conflitto di interesse quando un soggetto compie unazione che potrebbe produrre un vantaggio per lattore dellazione stessa. Esempio: Borsa e società di investimento In tale contesto lobiettivo del modello è evitare che il consulente rappresentando due clienti con finalità differenti tra loro possa trovarsi in un conflitto dinteresse…

10 Claudia Salomone10 …segue … lo scopo è impedire che il singolo consulente possa accedere a informazioni riservate di due società operanti nello stesso settore (COI class), evitando che: il suddetto soggetto sia indotto ad abusare di tale conoscenza per profitto personale, e che generi,conseguentemente, un disservizio per i clienti.

11 Claudia Salomone11 …segue La politica di sicurezza Chinese Wall distingue pertanto le informazioni in due aree: Insider areacontenente informazioni riservate sulla società, al quale possono accedere solo alcuni soggetti (unsanitized date). Public area contenente informazioni che le società distribuiscono obbligatoriamente e quindi accessibili a tutti, ad es. lannuale rendiconto degli stackholder (sanitized date).

12 Claudia Salomone12 Quindi, la Muraglia Cinese funge da barriera per il passaggio delle informazioni confidenziali e riservate.

13 Claudia Salomone13 Classificazione delle informazioni Allinterno della muraglia tutte le informazioni riservate sono archiviate gerarchicamente in 3 livelli: -Al livello più basso, troviamo gli OGGETTI -Nel livello intermedio, si posizionano i CD (Company dataset) -Al livello più alto, le c.d COI (Conflict Of Interest ) class.

14 Claudia Salomone14 …In particolare OGGETTIOGGETTI: files contenenti singoli dati delle società. Ad ogni oggetto è associato il nome della CD al quale si riferisce e il nome della COI class al quale la CD appartiene. CD: tutti gli oggetti che si riferiscono ad una data società vengono raggruppati insieme in un database. COI: tutte le CD delle società in concorrenza tra loro vengono raggruppate insieme e costituiscono la c.d. Classe di conflitti dinteresse.

15 Claudia Salomone15 Classificazione dei dati/Oggetti

16 Claudia Salomone16 esempio Per convenzione assumiamo che: O O: indica gli oggetti,ognuno dei quali appartiene esattamente a una COI class; Y Y: le CD; X: le COI class e immaginiamo che il nostro sistema contenga le informazioni di tre società, Banca A, Banca B e Compagnia petrolifera A, avremo che:

17 Claudia Salomone17 Y può riferirsi alla Banca A, la Banca B o la Compagnia petrolifera A, cioè può contenere tutti gli oggetti riguardanti una di queste tre aziende; Ci sono due classi di conflitto dinteresse, una per le la banche (contenente i dataset della Banca A e della Banca B) e una per la compagnia petrolifera (contenete il dataset dalla Compagnia A), cioè X può essere Banca oppure Compagnia petrolifera.

18 Claudia Salomone18 Sicurezza semplice Lidea base della politica della Muraglia Cinese consiste nel far in modo che le persone entrino in possesso di informazioni che non siano in conflitto con quelle già possedute dallo stesso (i soggetti per poter accedere alle informazioni non devono essere dalla parte sbagliata del muro). Tale politica è un mix di scelte libere e di controlli obbligatori Regole di accesso: Regole di lettura Regole di scrittura

19 Claudia Salomone19 Regole di lettura Regola di Lettura: Un Soggetto S puo leggere un oggetto O se: O e nello stesso Dataset di uno gia letto da S, sono cioè allinterno del muro O appartiene a una Classe di COI diversa in cui S non ha ancora letto alcuna informazione Bank A Consulente Bank B Oil A R XR R

20 Claudia Salomone20 Info Bank A Oil A Info Bank B Info Oil B COI 1 Insieme di tutti gli oggetti Info Oil A COI 3 Info Bank C = John = John Info Bank A COI 1 COI 3 Regole di lettura

21 Claudia Salomone21 …segue Inizialmente un soggetto può liberamente scegliere a quali dataset accedere,ad es. Banca A; Un soggetto può accedere al più ad un CD in ogni COI class,e questo perché, nel momento in cui egli entra in possesso di alcune informazioni in una COI class, si crea un muro intorno a tutti gli altri dati che sono nella stessa COI class (che sono quindi, in conflitto tra loro). Da ciò deriva che, gli unici altri dati che il soggetto può leggere nella stessa COI class sono quelli contenuti nello stesso dataset delloggetto già letto.

22 Claudia Salomone22 Il numero minimo di soggetti che potranno accedere ad ogni dato in una COI class è dato dal numero delle CD che vi fanno parte. Esempio: database del modello Chinese Wall Banca A a Banca B b Banca C c Comp.A d Comp.B e Classe COI BancaClasse COI Comp.petrolifera

23 Claudia Salomone23 Regole di scrittura Regola di Scrittura: Un Soggetto S puo scrivere un oggetto O se: S puo leggere O in base alla regola di lettura Non e stato letto alcun oggetto appartenente ad un Dataset diverso a quello contenente O

24 Claudia Salomone24 Regole di Scrittura Info Bank A Oil A COI 1 COI 3 Insieme di tutti gli oggetti Info Oil A COI 3 Bank A COI 1 ABC ABC = John COI 1 Bank A

25 Claudia Salomone25 Sanitized Information … Brewer and Nash riconoscono la necessità che gli analisti hanno di dover confrontare le informazioni riservate a loro disposizione con quelle relative alle altre società. Chiaramente il problema sorge se laccesso per alcune aziende è vietato dalle regole di sicurezza semplice (un utente non potrà mai confrontare i dati di due aziende che si trovano nella stessa COI class, ad es. Compagnia petrolifera A e Compagnia petrolifera B, e neppure i dati della Banca A con quelli della Compagnia petrolifera A se egli ha avuto precedentemente accesso ai dati della Compagnia B).

26 Claudia Salomone26 …sanitized information Queste limitazioni possono essere rimosse se si usa una forma purificata per le informazioni richieste La forma purificata delle informazioni funge da maschera per la società, ha infatti, lo scopo di evitare che si scopra lidentità della società alla quale le informazioni si riferiscono.

27 Claudia Salomone27 esempio Supponiamo che due soggetti John e Jane possano entrambi accedere ai dataset dellesempio precedente,(Compagnia petrolifera A, Compagnia petrolifera B e Banca A), in particolar modo che: John ha accesso (R) alla Compagnia A e acceso (W) alla Banca A Jane può accedere alla Compagnia B e alla Banca A Jane può leggere indirettamente le informazioni della Compagnia A, anche se ciò dovrebbe essere vietato perché cè conflitto dinteresse tra la Compagnia A e la Compagnia B. Violazione indiretta della Muraglia Cinese..

28 Claudia Salomone28 Evitare e le violazioni indirette aumentando le condizioni di sicurezza semplice, *- property, sostenendo che: Laccesso scritto è permesso solo se: 1.Laccesso è permesso dalle semplici regole di sicurezza, ovvero,la condizione che permette ad un soggetto S di leggere loggetto O;

29 Claudia Salomone29 Per tutti gli oggetti non purificati O, il soggetto S può leggere O solo se appartiene alla CD delloggetto a cui ha avuto accesso precedentemente CD(O)=CD(O). 2.quindi, nessuno oggetto può essere letto se appartiene al dataset di una compagnia diversa per il quale laccesso scritto è stato richiesto e se contiene informazioni non purificate.

30 Claudia Salomone30 Nellesempio sopra John può accedere alla CD della Comp.A e a quella della Banca A,quindi la condizione 1 è verificata. Cmq, assumendo che la CD della Comp.A contiene oggetti non purificati, perché John possa accedervi la condizione 2 è falsa. Da ciò, deriva che John non può scrivere nel CD BancaA

31 Claudia Salomone31 …segue Data questa regola possiamo provare che: Che il flusso delle informazioni non purificate è limitato allinterno della propria Company dataset,mentre le informazioni purificate possono comunque circolare liberamente attraverso il sistema. Questa regola è analoga alle proprietà delle regole di sicurezza definite nel modello BLP. Perciò chiameremo le regole del modello della muraglia cinese come property security

32 Claudia Salomone32 Confronto con BLP model In entrambi i modelli la composizione e gli attributi di sicurezza degli oggetti e le regole per laccesso rispettano le condizioni della sicurezza semplice e la *-property, pur avendo differenze fondamentali tra loro.

33 Claudia Salomone33 Caratteristiche BLP OGGETTO: - BLP non richiede che gli oggetti siano archiviati gerarchicamente allinterno di una CD e di una COI class; esige invece, una struttura per gli attributi degli oggetti(etichettatura sicura) della forma (class, [cat]) dove: Classe = Tipo di Informazione (Pubblica,Riservata…) Cat = Categoria del dato

34 Claudia Salomone34 SOGGETTO: -Nel modello BLP ai soggetti sono assegnate delle etichette sicure,mentre nel modello della Muraglia Cinese no. La forma delle etichette è del tipo (clear, [NKT]), dove: Classe = Massima Classe dei dati che il soggetto e abilitato a leggere NTK = Need to know somma delle categorie di oggetti a cui viene permesso laccesso Caratteristiche BLP

35 Claudia Salomone35 Differenze Vedremo che le regole di scrittura/lettura nel modello BLP non impongono laccesso ai dati in base alle informazioni alle quali il soggetto aveva avuto precedentemente accesso, ma dalla sicurezza degli attributi degli oggetti in questione. BPL non ha la nozione di accessi passati, centrale invece nel modello di controllo CW. Non tiene traccia dei cambiamenti: Es.Susan si ammala e Anna deve prendere il suo posto, nel BLP non possiamo sapere se Susan può farlo

36 Claudia Salomone36 …segue Fissa per ogni coppia (COI,CD) del Chinese Wall un unica categoria BLP BLP effettua una classificazione per le informazioni purificate e una per quelle non purificate Etichetta ogni oggetto contenente informazioni non purificate con letichetta (x,y) e con letichetta (x,y) la categoria BLP dei dataset purificati

37 Claudia Salomone37 Composizione degli oggetti in BLP

38 Claudia Salomone38 Tutte le combinazioni di categorie con al piu un dataset per ogni Classe di COI Es: Utente John NTK= {1,2,3} Utente John NTK= {1,2,3} Utente Jane NTK= {4,2,3}Utente Jane NTK= {4,2,3} Possibili NTK Need to Know:

39 Claudia Salomone39 Sicurezza semplice Laccesso è garantito solo se: Regola di Lettura: Un Soggetto S puo leggere un oggetto O se: La classe del soggetto e maggiore della classe delloggetto Il NTK del soggetto include la categoria delloggetto

40 Claudia Salomone40 *-property Regola di Scrittura: Un Soggetto S puo scrivere un oggetto se: La classe delloggetto di output e maggiore di quella di input La categoria delloggetto su cui scrivere (output) contiene tutte le categorie degli oggetti di input

41 Claudia Salomone41 Problemi di BLP Non risponde a particolari esigenze tipiche del mondo commerciale Non viene mantenuta la discrezionalita nella scelta dei dataset da leggere: -Nel CW un soggetto può inizialmente accedere liberamente ad alcuni oggetti; - BLP comprime gli oggetti a cui un soggetto può accedere. Altrimenti si viola il principio del CW

42 Claudia Salomone42 Confronto con Clark -Wilson Applicazioni: sistema di sicurezza militare; sistema di sicurezza commerciale Tale modello separa le operazioni in sottoparti che sono eseguite obbligatoriamente da persone diverse. Tale modello definisce un insieme di regole con lobiettivo di conservare lintegrità dei dati, come la convalida, la verifica e il controllo daccesso. Poiché il modello CW considera solo laccesso controllato esso non può emulare il modelloClark-Wilson completamente.

43 Claudia Salomone43 Clark-Wilson La regola daccesso richiede un controllo basato su una prestabilita relazione del tipo (utente,programma,oggetto) nel quale relazionare un utente, un programma e gli oggetti che il programma può consultare a beneficio dellutente, nelle diverse CD -Se, uno considera che il soggetto e il processo sono intercambiabili allora una singola persona può utilizzare più processi per accedere agli oggetti di più CD nella stessa COI class; violazione CW. -mentre, richiedendo che il soggetto sia un persona ben precisa ed includendo tutti i processi da lui eseguiti, la CW è coerente con il modello Clark-Wilson

44 Claudia Salomone 44 ALCUNE APPLICAZIONI

45 Claudia Salomone45 Applicazioni CW Politica della Muraglia Cinese per la sicurezza di un Workflow decentralizzato: p roblema del conflitto di interessi che può sorgere tra aziende concorrenti quando lesecuzione del flusso lavorativo viene decentrallizato Approccio della Muraglia Cinese nel WWW per la sicurezza nel commercio elettronico.

46 Claudia Salomone46 Workflow decentralizzato Lapproccio utilizzato consiste nellindividuare oggetti sensibili in grado di manipolare il flusso del lavoro e contenenti informazioni tali che, se portate a conoscenza di una data organizzazione o azienda, potrebbero proporla alla concorrenza.

47 Claudia Salomone47 …work flow Soggetto, S: Agenti responsabili dellesecuzione dei task Oggetto, O : Input/output di un task, dipendenze del Workflow Regola lettura:Un soggetto S può leggere e valutare un oggetto O se non e sensibile per S oppure se nel Workflow non esiste un altro soggetto S in conflitto di interessi con S Regola scrittura:Un soggetto S non è abilitato a costruire dei Self, partizioni del flusso di lavoro, con oggetti sensibili che sono in Conflitto di interessi nel workflow

48 Claudia Salomone48 CW nel WWW Per realizzare la politica di sicurezza Chinese Wall in Internet dobbiamo utilizzare delle etichette che contengono informazioni sullidentità dellutilizzatore e sugli oggetti aquali egli ha avuto accesso precedentemente. Per fare ciò, abbiamo bisogno di meccanismi che provvedono allautenticazione e autorizzazione dellutente nel WWW.

49 Claudia Salomone49 Meccanismi di autenticazione Gli standards più comuni sono: Basic AuthenticationBasic Authentication: è inclusa nel protocollo HTTP. L utente deve identificarsi attraverso un USER-ID e una PASSWORD quando richiedono un documento protetto. Digest Access Authentication: è unestensione del protocollo HTTP, sviluppatosi per integrare i difetti del precedente modello. SSL(Secure Socket Layer):è il protocollo proposto dalla Netscape progettato per fornire la cifratura e lautenticazione fra un client Wed e un server Web.

50 Claudia Salomone50 Basic Authentication

51 Claudia Salomone51 SSL… È la base del protocollo di sicurezza dello strato di trasporto(TLS). Può essere considerato come uno strato che giace tra lo strato dellapplicazione e quello di trasporto. LSSL fornisce le seguenti caratteristiche: autenticazione del server SSL, permette ad un utente di confermare lidentità del server. autenticazione del client SSL,permette ad un server di confermare lidentità di un utente. una sessione SSL cifrata, nella quale tutte le informazione inviate fra browser e server sono cifrate al software di spedizione (browser o server Web) e decifrate dal software di ricezione

52 Claudia Salomone52 handshake Cè una fase di handshake tra il client e il server che serve ad autenticare il server e a generare una chiave simmetrica condivisa. Tale fase consiste di messaggi attraverso i quali i soggetti concordano le preferenze di crittografia,affinché si accordino sullalgoritmo a chiave simmetrica che dovranno usare, linvio del certificato dal server al browser che ha un elenco di CA possibili,.. alla fine della fase di handshake si crea un canale sicuro su cui poter comunicare.

53 Claudia Salomone53 …segue

54 Claudia Salomone54 autorizzazioni Un requisito necessario per stabilire la connessione tra client e server è il possesso di un certificato chiamato CA(Certification authority). Nella fase di handshake se il browser non ha nel suo elenco tale certificato laccesso alla compagnia è negato. La ragione per cui tale certificato può rappresentare le regole di una politica di sicurezza CW è rappresentata dal fatto che ad es: Il numero di serie dei certificati invalidi sono pubblicati nella Lista dei Certificati Revocati, client e server;

55 Claudia Salomone55 Limiti dellSSL nel e-commerce LSSL non era stato pensato per operazioni di e-commerce,ma per la comunicazione sicura tra client e server,quindi ha una progettazione generica che non soddisfa tutte le caratteristiche richieste in tale settore.

56 Claudia Salomone56 Bibliografia The Chinese Wall Security Policy ArticoloThe Chinese Wall Security Policy D.Brewer e Dr. M. Nash ArticoloLattice-Based Enforcement of Chinese Walls ArticoloLattice-Based Enforcement of Chinese Walls Ravi S.Sandhu Ravi S.Sandhu A Chinese Wall Security Model for Decentralized Workflow Systems P. Mazzoleni


Scaricare ppt "Claudia Salomone1 Università G.DAnnunzio Chieti-Pescara CHINESE WALL."

Presentazioni simili


Annunci Google