Brewer-Nash-Modell

Das Brewer-Nash-Modell (auch Chinese-Wall-Modell) beschreibt e​in IT-Sicherheitsmodell z​um Schutz v​on Daten. Es schützt d​ie Vertraulichkeit v​on Informationen mittels e​ines Systems durchgesetzter Regeln. Damit s​etzt es d​as Konzept Mandatory Access Control d​er IT-Systemsicherheit um. Es s​oll eine „unzulässige Ausnutzung v​on Insiderwissen b​ei der Abwicklung v​on Bank- o​der Börsentransaktionen“ o​der die Weitergabe v​on unternehmensspezifischen Insiderinformationen a​n konkurrierende Unternehmungen d​urch einen Berater verhindern.[1]^:260

Seine Ursprünge h​at das Modell i​n der Finanzbranche u​nd bezeichnet bestimmte Regeln, d​ie verhindern sollen, d​ass ein Interessenkonflikt herbeigeführt w​ird (siehe a​uch Chinese Wall (Finanzwelt)).

Das Brewer-Nash-Modell w​urde 1989 v​on David F.C. Brewer u​nd Michael J. Nash beschrieben[2] 

Formale Definition

Die Menge der Subjekte ${\displaystyle S}$ modelliert die Akteure, also z. B. die tätigen Berater in einer Unternehmensberatung, während die Menge der Objekte ${\displaystyle O}$ die Schutzobjekte darstellt, also zum Beispiel sensible Dokumente einer Bank oder eines Unternehmens.

Zugriffshistorie

Beim Brewer-Nash-Modell betrachtet man eine Zugriffshistorie, welche durch eine Matrix ${\displaystyle N_{t}:S\times O\rightarrow 2^{R}}$ gegeben ist. Dabei gilt, dass ${\displaystyle N_{t}(s,o)=\{r_{1},\ldots ,r_{n}\}}$ genau dann, wenn es Zeitpunkte ${\displaystyle t'<t}$ gibt, an denen das Subjekt ${\displaystyle s}$ auf das Objekt ${\displaystyle o}$ mit Berechtigungen ${\displaystyle r_{1},\ldots ,r_{n}}$ zugegriffen hat.[2] 

Objektbaum

Die Objekte werden in einem Objektbaum der Tiefe 3 strukturiert: Die Schutzobjekte sind die Blätter des Baumes. Die Elternknoten der Schutzobjekte stellen die Unternehmen oder Bereiche dar, zu denen die Objekte gehören. Für ein Objekt ${\displaystyle o}$ wird das Unternehmen, dem es zugeordnet ist, mit ${\displaystyle y(o)}$ bezeichnet. Die Unternehmen wiederum haben als Elternknoten die Interessenskonfliktklassen, welche für ein gegebenes Objekt durch ${\displaystyle x(o)}$ gekennzeichnet wird. Intuitiv heißt das, dass wenn zwei Unternehmen A und B in der gleichen Interessenskonfliktklasse sind, Subjekte nicht gleichzeitig in Kenntnis von sensiblen Informationen (Objekten) sowohl über A, als auch über B kommen dürfen.

Zusätzlich markiert man Objekte, die allen Subjekten öffentlich zugänglich sein sollen, mit ${\displaystyle y_{0}}$ und definiert für diese Objekte entsprechend die Interessenskonfliktklasse ${\displaystyle x_{0}=\{y_{0}\}}$.

Leseregel

Nun müssen die systembedingten Zugriffsbeschränkungen definiert werden. Die erste Regel, die Leseregel, besagt, dass ein Subjekt genau dann lesenden Zugriff auf ein Objekt ${\displaystyle o}$ erhält, wenn für alle Objekte, auf die es bereits (mit einem beliebigen Recht) Zugriff hatte, gilt, dass sie öffentlich sind, sie dem gleichen Unternehmen wie ${\displaystyle o}$ zugeordnet sind oder sie einer anderen Interessenskonfliktklasse als ${\displaystyle o}$ angehören. Formal heißt das

${\displaystyle \forall o'\in O:{\big (}N_{t}(s,o')\neq \emptyset \rightarrow y(o')=y_{0}\vee y(o)=y(o')\vee x(o)\neq x(o'){\big )}}$

Schreibregel

Nur mit der Leseregel lässt sich kein ungewünschter Informationsfluss ausschließen. Es besteht nämlich die Möglichkeit, dass ein Subjekt ${\displaystyle s_{1}}$ auf ein Objekt ${\displaystyle o_{1}}$ lesend zugreift und dessen Inhalt daraufhin in ein Objekt ${\displaystyle o_{3}}$ schreibt, welches in einer anderen Interessenskonfliktklasse als ${\displaystyle o_{1}}$ liegt. Ein zweites Subjekt ${\displaystyle s_{2}}$ könnte nun zuerst auf ein Objekt ${\displaystyle o_{2}}$ zugreifen, welches in der gleichen Interessenskonfliktklasse wie ${\displaystyle o_{1}}$ liegt, allerdings einem anderen Unternehmen angehört. Nun könnte sich ${\displaystyle s_{2}}$ durch Lesen von ${\displaystyle o_{3}}$ unzulässiges Insiderwissen über ${\displaystyle y(o_{1})}$ aneignen, da die Inhalte von ${\displaystyle o_{3}}$ und ${\displaystyle o_{1}}$ übereinstimmen.

Um diesen Informationsfluss zu verhindern, definieren wir folgende Schreibregel, welche besagt, dass ein Subjekt genau dann schreibenden Zugriff auf ein Objekt ${\displaystyle o}$ erhält, wenn für alle Objekte, auf welches das Subjekt bereits lesenden Zugriff ausgeübt hat, gilt, dass sie öffentlich oder dem gleichen Unternehmen wie ${\displaystyle o}$ zugeordnet sind. Formal heißt das

${\displaystyle \forall o'\in O:{\big (}read\in N_{t}(s,o')\rightarrow y(o')=y_{0}\vee y(o)=y(o'){\big )}}$

Es w​ird durch d​iese Regel a​lso genau d​er oben beschriebene Fall unterbunden, d​ass ein Subjekt Insiderinformationen über e​ine andere Interessenskonfliktklasse a​n einen Konkurrenten weitergibt.

Siehe auch

• Clark-Wilson-Modell
• Role Based Access Control
• Mandatory Access Control

Einzelnachweise

1. Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3
2. Dr. David F.C. Brewer, Dr. Michael J. Nash: The Chinese Wall Security Policy. (PDF; 791 kB) Gamma Secure Systems Limited, 1989, abgerufen am 3. November 2017 (englisch).

Literatur

• Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
• Claudia Eckert: IT-Sicherheit. Konzepte – Verfahren – Protokolle. 5. überarbeitete Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2008, ISBN 978-3-486-58270-3.

Weblinks

• Dr. David F.C. Brewer and Dr. Michael J. Nash: The Chinese Wall Security Policy. In: IEEE (Hrsg.): Proceedings of IEEE Symposium on Security and Privacy. 1989, S. 206–214 (purdue.edu [PDF; 772 kB]).