La politica di sicurezza della Muraglia cinese Pietro Mazzoleni Lunedi’ 10 Dicembre 2001 Lunedi’ 10 Dicembre 2001 Corso di Basi di Dati Corso di Basi di Dati

2 Sommario Conflitto di Interessi Politica della Muraglia Cinese Classificazione delle informazioni Classificazione delle informazioni Regola di Lettura Regola di Lettura Regola di Scrittura Regola di Scrittura Confronto con Bell-LaPadula Una Critica al Modello (R. Sandu) Estensione della muraglia cinese per un DWMFS Workflow Centralizzato e decentralizzato Workflow Centralizzato e decentralizzato Regola di Lettura/Scrittura Regola di Lettura/Scrittura Conclusioni / Bibliografia

3 Conflitto di Interessi Consulenti Finanziari Consulenti Finanziari Gli analisti aziendali consigliano veramente al meglio i propri clienti???? Crisi del 1929 DotCom Consulenti aziendali Consulenti aziendali Quali informazioni devono essere messe a disposizione dei consulenti esterni e quali devono rimanere riservate???? Consulenti impegnati in piu’ progetti…

4 Politica della Chinese Wall Politica usata in ambito Commerciale Stabilisce dinamicamente le regole per limitare l’accesso ai dati Risolve un problema non trattabile con Bell-LaPadula Introdotta da Brewer e Nash nel 1989 Evitare che informazioni riservate di una società possano giungere in maniera incontrollata ad un’azienda concorrente a seguito del lavoro svolto da consulenti aziendali

5 Classificazione dei dati/Oggetti Info Bank A Bank B Gas A Oil A Oil B COI 1 COI 2 COI 3 Insieme di tutti gli oggetti

6 Politica della Muraglia Cinese Soggetti : Consulenti Aziendali Soggetti : Consulenti Aziendali Oggetti : Dati suddivisi in 3 livelli Oggetti : Dati suddivisi in 3 livelli Informazioni Informazioni DataSet DataSet Classi di COI Classi di COI Regole di Accesso Regole di Accesso Regola di Lettura Regola di Lettura Regola di Scrittura (o * property) Regola di Scrittura (o * property)

7 Regola di Lettura Info Bank A Gas A Oil A Info Bank B Info Oil B COI 1 COI 2 COI 3 Insieme di tutti gli oggetti = John Info Oil A COI 3 Info Bank A COI 1

8 Regola di Lettura Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se: oggetto O se: O e’ nello stesso Dataset di uno gia’ letto da S O e’ nello stesso Dataset di uno gia’ letto da S O e’ in una Classe di COI per cui S non ha O e’ in una Classe di COI per cui S non ha ancora letto alcuna informazione ancora letto alcuna informazione Bank A Consulente Bank B Gas A Oil B R RRR XR

9 Regola di Scrittura Info Bank A Gas A Oil A COI 1 COI 2 COI 3 Insieme di tutti gli oggetti = John Info Oil A COI 3 Info Bank A COI 1 ABC ABC

10 Regola di Scrittura Info Gas A Oil A Info Bank B COI 1 COI 2 COI 3 Insieme di tutti gli oggetti = Jane Info Oil A COI 3 Info Bank B COI 1 ABCABC

11 Regola di Scrittura Consulente A Consulente B W W R RX Oil B Bank B Bank A Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto O se: oggetto O se: S puo’ leggere O in base alla regola di lettura S puo’ leggere O in base alla regola di lettura Non e’ stato letto alcun oggetto appartenente ad un Dataset diverso a quello contenente O Non e’ stato letto alcun oggetto appartenente ad un Dataset diverso a quello contenente O X

12 Confronto con il modello Bell-LaPadula Oggetto Oggetto Classe = Tipo di Informazione (Pubblica,Riservata…) Classe = Tipo di Informazione (Pubblica,Riservata…) Cat = Categoria del dato Cat = Categoria del dato Soggetto Soggetto Classe = Massima Classe dei dati che il soggetto e’ abilitato a leggere Classe = Massima Classe dei dati che il soggetto e’ abilitato a leggere NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso

13 Classificazione degli Oggetti A B C ef g m n Categorie degli oggetti (A,e) 1 (A,f) 4 (B,g) 2 (C,m) 3 (C,n) 5 Possibili NTK “Need to Know” Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COI Es: Utente John NTK= {1,2,3} Utente John NTK= {1,2,3} Utente Jane NTK= {4,2,3 } Utente Jane NTK= {4,2,3 }

14 Regola di Lettura/Scrittura Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se: oggetto O se: La classe del soggetto e’ maggiore della classe dell’oggetto La classe del soggetto e’ maggiore della classe dell’oggetto Il NTK del soggetto include la categoria dell’oggetto Il NTK del soggetto include la categoria dell’oggetto Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto se: oggetto se: La classe dell’oggetto di output e’ maggiore di quella di input La classe dell’oggetto di output e’ maggiore di quella di input La categoria dell’oggetto su cui scrivere (output) contiene tutte le categorie degli oggetti di input La categoria dell’oggetto su cui scrivere (output) contiene tutte le categorie degli oggetti di input

15 Problema Non risponde a particolari esigenze tipiche del mondo commerciale Non risponde a particolari esigenze tipiche del mondo commerciale Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggere La politica della Muraglia cinese combina liberta’ di accesso ai dati e Regole di Sicurezza La politica della Muraglia cinese combina liberta’ di accesso ai dati e Regole di Sicurezza

16 Critica al Modello (R. Sandhu) Non tiene conto della differenza tra “persone fisiche” e “utenti ”. Non tiene conto della differenza tra “persone fisiche” e “utenti ”. PERSONA UTENTEUTENTE JOHN John.Oil1John.Oil2 Un utente che ha letto oggetti da piu’ di un dataset non puo’ scrivere alcun dato Un utente che ha letto oggetti da piu’ di un dataset non puo’ scrivere alcun dato L’utente puo’ solo leggere e scrivere dati da un singolo DataSet L’utente puo’ solo leggere e scrivere dati da un singolo DataSet Regola di Scrittura di BN:

17 Cosa è un Workflow? Task: un’ , una transizione, un programma, un meeting, ecc Task: un’ , una transizione, un programma, un meeting, ecc Agenti: Una persona, un DBMS, un’applicazione, ecc Agenti: Una persona, un DBMS, un’applicazione, ecc Dipendenze: di flusso, di valore ed esterne Dipendenze: di flusso, di valore ed esterne Es: prenotazione di una vacanza : DELTAAVIS MARRIOT Inserisci Input Riserva Volo Noleggia Auto bs bs HERTZ bs and p<=$400 Notifica all’utente bs Riserva Albergo Riserva Volo bs bf or p>$400 CONTINENTAL bs and Date <3/21/01 WFMC L’automazione, parziale o totale, di processi aziendali durante i quali informazioni o attività passano da un soggetto (task) ad un altro al fine di realizzare particolari azioni, tutto nel rispetto di un insieme di regole (dipendenze) che ne gestiscono i flussi.

18 WFMS Centralizzato Collo di Bottiglia Non adatto a sistemi che sono autonomi, distribuiti e eterogenei per natura DELTAAVISMARRIOT Sistema Centralizzato Esecuzione del Workflow CONTINENTAL Specifica del WF DELTAAVIS MARRIOT Inserisci Input Riserva volo Noleggia Auto Noleggia Auto bs HERTZ bs and p<=$400 Notifica all’utente bs Riserva albergo Riserva Volo bs bf or p>$400 CONTINENTAL Bs and Date <3/21/01

19 Workflow Decentralizzato 3567 DELTA 567 AVIS 67 MARIOTTE Sistema Centralizzato CONTINENTAL enter input Notify Specifica del WF DELTAAVIS MARRIOT Inserisci Input Riserva volo Noleggia Auto Noleggia Auto bs HERTZ Bs and p<=$400 bs Riserva albergo Riserva Volo bs bf or p>$400 CONTINENTAL bs and Date <3/21/01 7 Notifica all’utente

20 Sistema di Workflow Decentralizzato - DWFMS Self-describing Workflow Workflow Stub WFMS server t1 t2 t3 t4 bs WFMS Stub A(t1) t1, A1, Input (t1) t1 t2 t3 t4 bs Self Describing Workflow (t2, A2, Input (t2), t2 WFMS Stub A(t3) A(t2) (t3, A3, Input (t3), t3 t4 bs (t4, A4, Input (t4), (t4, A4, Input (t4), t4 WFMS Stub A(t4)

21 Problema del Conflitto di Interessi Gli agenti possono creare un conflitto di interessi Gli agenti possono creare un conflitto di interessi Un agente può alterare il flusso del workflow a proprio vantaggio Un agente può alterare il flusso del workflow a proprio vantaggio Problema: Continental può offrire un prezzo tale da escludere Delta dall’esecuzione del workflow DELTA AVIS MARRIOT Inserisci Input Riserva Volo Noleggia Auto Noleggia Auto bs bs HERTZ Bs and p<=$400 Notifica all’utente bs Riserva Albergo Riserva Volo bs bf or p>$400 CONTINENTAL Bs and Date <3/21/01

22 Non c’é conflitto di Interessi con un Controllo Centralizzato I valori degli output di un precedente task e le dipendenze del Workflow NON sono disponibili ai singoli agenti che quindi non possono trarne vantaggi Specifica del WF DELTAAVIS MARRIOT Inserisci Input Riserva volo Noleggia Auto Noleggia Auto bs HERTZ bs and p<=$400 Notifica all’utente bs Riserva albergo Riserva Volo bs bf or p>$400 CONTINENTAL Bs and Date <3/21/01 DELTAAVISMARRIOTCONTINENTAL Sistema Centralizzato

23 Politica della Muraglia Cinese per il sistema di Workflow Decentralizzato Soggetto, S: Agenti responsabili dell’esecuzione dei task Oggetto, O : Input/output di un task, dipendenze del Workflow Oggetti sensibili e non sensibili Non-Sensibili Non-Sensibili Oggetti non inclusi in alcuna dipendenza Oggetti non inclusi in alcuna dipendenza Sensibili Sensibili Oggetti inclusi in dipendenze di valore che possono Oggetti inclusi in dipendenze di valore che possono modificare l’esecuzione del Workflow modificare l’esecuzione del Workflow

24 Regole di lettura e scrittura Regola di Lettura/Valutazione : S può leggere un oggetto O S può leggere un oggetto O O non è sensibile per S, OPPURE O non è sensibile per S, OPPURE Non c’é un soggetto S’ in W tale che COI(S)=COI(S’) Non c’é un soggetto S’ in W tale che COI(S)=COI(S’) Un soggetto S può leggere e valutare un oggetto O se non e’ Un soggetto S può leggere e valutare un oggetto O se non e’ sensibile per S oppure se nel Workflow non esiste un altro sensibile per S oppure se nel Workflow non esiste un altro soggetto S’ in conflitto di interessi con S soggetto S’ in conflitto di interessi con S Regola di Scrittura/Partizione: S può scrivere un oggetto O se e’ in grado di leggerlo S può scrivere un oggetto O se e’ in grado di leggerlo Un soggetto S non è abilitato a costruire dei Self con oggetti sensibili che sono in Conflitto di interessi nel workflow

25 Bibliografia Rick Wayman What is the “Chinese Wall” and why is it in the News” ResearchStorck.com, D.Brewer e Dr. M. Nash The Chinese Wall Policy Proc. In IEEE Symposium on Research in Security and Privacy May 1989, California Ravi S. Sandhu A lattice Interpretation of the Chinese Wall Policy Proc. Of 15 th NIST-NCSC National Computer Security Conference Ottobre 1992, Baltimore USA A Chinese Wall Security Model for Decentralized Workflow Systems V. Atluri, S. Chun, P. Mazzoleni A Chinese Wall Security Model for Decentralized Workflow Systems Proc. of 8th ACM Conference on Computer and Communications Security (CCS-8), Novembre 2001 Philadelphia, USA