Brewer-Nash-Modell

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Brewer-Nash-Modell (auch Chinese-Wall-Modell) beschreibt ein IT-Sicherheitsmodell zum Schutz von Daten. Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Damit setzt es das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll eine „unzulässige Ausnutzung von Insiderwissen bei der Abwicklung von Bank- oder Börsentransaktionen“ oder die Weitergabe von unternehmenspezifischen Insiderinformationen an konkurrierende Unternehmungen durch einen Berater verhindern.[1]:260

Seine Ursprünge hat das Modell in der Finanzbranche und bezeichnet bestimmte Regeln, die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird (siehe auch Chinese Wall (Finanzwelt)).

Das Brewer-Nash-Modell wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben[2] und verfolgt eine benutzerbestimmbare Zugriffskontrollstrategie, welche insofern um systembestimmbare Zugriffskontrollen erweitert wird, als dass zukünftige Zugriffsmöglichkeiten eines Subjekts durch seine in der Vergangenheit durchgeführten Zugriffe beschränkt werden.[1]:265

Formale Definition[Bearbeiten]

Die Menge der Subjekte S modelliert die Akteure, also z. B. die tätigen Berater in einer Unternehmensberatung, während die Menge der Objekte O die Schutzobjekte darstellt, also zum Beispiel sensible Dokumente einer Bank oder eines Unternehmens.

Zugriffsmatrix und Zugriffshistorie[Bearbeiten]

Dem Brewer-Nash-Modell liegt eine Zugriffsmatrix M_t: S \times O \rightarrow 2^R zugrunde, welche angibt, welche Rechte r \in R ein Subjekt s \in S an einem Objekt o \in O zum Zeitpunkt t hat. Dabei sind die Rechte im Brewer-Nash-Modell durch R = \{ read, write, execute \} festgelegt.

Zusätzlich betrachtet man eine Zugriffshistorie, welche durch eine Matrix N_t : S \times O \rightarrow 2^R gegeben ist. Dabei gilt, dass N_t (s, o) = \{r_1, \ldots, r_n\} genau dann, wenn es Zeitpunkte t' < t gibt, an denen das Subjekt s auf das Objekt o mit Berechtigungen r_1, \ldots, r_n zugegriffen hat.

Objektbaum[Bearbeiten]

Die Objekte werden in einem Objektbaum der Tiefe 3 strukturiert: Die Schutzobjekte sind die Blätter des Baumes. Die Elternknoten der Schutzobjekte stellen die Unternehmen oder Bereiche dar, zu denen die Objekte gehören. Für ein Objekt o wird das Unternehmen, dem es zugeordnet ist, mit y(o) bezeichnet. Die Unternehmen wiederum haben als Elternknoten die Interessenskonfliktklassen, welche für ein gegebenes Objekt durch x(o) gekennzeichnet wird. Intuitiv heißt das, dass wenn zwei Unternehmen A und B in der gleichen Interessenskonfliktklasse sind, Subjekte nicht gleichzeitig in Kenntnis von sensiblen Informationen (Objekten) sowohl über A, als auch über B kommen dürfen.

Zusätzlich markiert man Objekte, die allen Subjekten öffentlich zugänglich sein sollen, mit y_0 und definiert für diese Objekte entsprechend die Interessenskonfliktklasse x_0 = \{y_0\}.

Leseregel[Bearbeiten]

Nun müssen die systembedingten Zugriffsbeschränkungen definiert werden. Die erste Regel, die Leseregel, besagt, dass ein Subjekt genau dann lesenden Zugriff auf ein Objekt o erhält, wenn das Subjekt Leserecht auf das Objekt hat und für alle Objekte, auf die es bereits (mit einem beliebigen Recht) Zugriff hatte, gilt, dass sie öffentlich sind, sie dem gleichen Unternehmen wie o zugeordnet sind oder sie einer anderen Interessenskonfliktklasse als o angehören. Formal heißt das


read \in M_t(s, o) \wedge \forall o' \in O:
N_t(s, o') \neq \emptyset \rightarrow y(o') = y_0 \vee y(o) = y(o') \vee x(o) \neq x(o')

Schreibregel[Bearbeiten]

Nur mit der Leseregel lässt sich kein ungewünschter Informationsfluss ausschließen. Es besteht nämlich die Möglichkeit, dass ein Subjekt s_1 auf ein Objekt o_1 lesend zugreift und dessen Inhalt daraufhin in ein Objekt o_3 schreibt, welches in einer anderen Interessenskonfliktklasse als o_1 liegt. Ein zweites Subjekt s_2 könnte nun zuerst auf ein Objekt o_2 zugreifen, welches in der gleichen Interessenskonfliktklasse wie o_1 liegt, allerdings einem anderen Unternehmen angehört. Nun könnte sich s_2 durch Lesen von o_3 unzulässiges Insiderwissen über y(o_1) aneignen, da die Inhalte von o_3 und o_1 übereinstimmen.

Um diesen Informationsfluss zu verhindern, definieren wir folgende Schreibregel, welche besagt, dass ein Subjekt genau dann schreibenden Zugriff auf ein Objekt o erhält, wenn es ein Schreibrecht für o besitzt und wenn für alle Objekte, auf welches das Subjekt bereits lesenden Zugriff ausgeübt hat, gilt, dass sie öffentlich oder dem gleichen Unternehmen wie o zugeordnet sind. Formal heißt das


write \in M_t(s, o) \wedge \forall o' \in O:
read \in N_t(s, o') \vee y(o') = y_0 \vee y(o) = y(o')

Es wird durch diese Regel also genau der oben beschriebene Fall unterbunden, dass ein Subjekt Insiderinformationen über eine andere Interessenskonfliktklasse an einen Konkurrenten weitergibt.

Siehe auch[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. a b Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3
  2. Dr. David F.C. Brewer, Dr. Michael J. Nash: The Chinese Wall Security Policy. Gamma Secure Systems Limited, 1989, abgerufen am 2008 (PDF; 791 kB, englisch).

Weblinks[Bearbeiten]

  • Dr. David F.C. Brewer and Dr. Michael J. Nash: The Chinese Wall Security Policy. In: IEEE (Hrsg.): Proceedings of IEEE Symposium on Security and Privacy. 1989, S. 206–214.

Literatur[Bearbeiten]

  • Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
  • Claudia Eckert: IT-Sicherheit. Konzepte – Verfahren – Protokolle. 5. überarbeitete Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2008, ISBN 978-3-486-58270-3.