布魯爾-納什模型

布魯爾-納什模型（英語：Brewer and Nash model）是一種提供動態變更可存取控制以及資訊安全的架構。這個資訊模式又稱為“中國長城模式”（Chinese wall model），建立成資訊流模型，是為了降低商業組織的利益衝突。

在布魯爾-納什模型中，區隔了會產生利益衝突的主體（subject）和對象（object）。

正式定義[编辑]

$S$ 模式表示主體，例如，在一家諮詢公司工作的顧問；而 $O$ 表示受保護的對象，例如，銀行或公司的敏感文件。

存取矩陣和存取歷史[编辑]

布魯爾-納什模型是一個存取矩陣。 $M_{t}:S\times O\rightarrow 2^{R}$ 。 $r\in R$ 表示權力， $s\in S$ 表示主體， $o\in O$ 表示對象， $t$ 表示時間。這是表示布魯爾-納什模型的方式： $R=\{read,write,execute\}$ 。

另外，當我們考慮存取歷史，提供 $N_{t}:S\times O\rightarrow 2^{R}$ ，成立時， $N_{t}(s,o)=\{r_{1},\ldots ,r_{n}\}$ ，如果時間 $t'<t$ ，主體 $s$ 有對象 $o$ 的權限 $r_{1},\ldots ,r_{n}$ 可以讀取。

對象樹[编辑]

對象被架構在三層的對象樹：保護的對象是樹的葉子，保護對象的父節點代表的公司或部門，其中包括對象。對對象 $o$ 被承諾、分配到 $y(o)$ ，反過來說，公司有一個父節點，有利益衝突，對一個給定的對象 $x(o)$ 。直觀地說，這意味著如果這兩家公司 A 和 B 在相同的權益類別，而不是與有敏感信息（對象）相同主體時，A 和 B 也可能遇到同一類別的同一衝突。

此外，它標誌著所有主體應該公開的對象，與 $y_{0}$ 對這些主體根據 $x_{0}=\{y_{0}\}$ 利益類別定義衝突。

閱讀規則[编辑]

現在系統相關的存取限制已經定義，所以：

第一條規則，如果主體接收和讀取一個對象 $o$ 的閱讀規則狀態，如果主體讀取訪問對象和所有對象已經套用（任何法律）讀取規則了，那他們就是公開的，它們都屬於同一家公司 $o$ 分配或任何其他利益衝突的同一類別 $o$ 。在形式上，這意味著

$read\in M_{t}(s,o)\wedge \forall o'\in O:N_{t}(s,o')\neq \emptyset \rightarrow y(o')=y_{0}\vee y(o)=y(o')\vee x(o)\neq x(o')$

重讀規則[编辑]

如果只透過閱讀規則，並不能排除不必要的資訊流。

也就是說，有可能一個主體 $s_{1}$ 讀存一個對象 $o_{1}$ 和寫不同於 $o_{1}$ 利益類型衝突的對象 $o_{3}$ 。第二個主體 $s_{2}$ 現在可以優先存取對象 $o_{2}$ ，這是和對象 $o_{1}$ 同一類型的利益衝突，因為這一間公司也是前一間公司的子公司。現在， $s_{2}$ 可以藉由非法閱讀 $o_{3}$ 獲得 $y(o_{1})$ 的內幕知識，因為 $o_{3}$ 和 $o_{1}$ 的內容相同。

要預防這種情況的資訊流，我們定義下面的重寫規則，其中，如果一個主體接收和讀寫一個對象 $o$ ，如果它有讀取 $o$ 的權限，如果任何對象已申請的主體已經是只有讀取的權限，適用於公開的公司或相同於其他被分配的 $o$ 。在形式上，這意味著

$write\in M_{t}(s,o)\wedge \forall o'\in O:read\in N_{t}(s,o')\vee y(o')=y_{0}\vee y(o)=y(o')$

此規則如此貼切的描述實際案例，一個主體對另一個競爭對手傳遞關於其他利益類別衝突的內幕資訊。

參見[编辑]

參考資料[编辑]

Harris, Shon, All-in-one CISSP Exam Guide, Third Edition, McGraw Hill Osborne, Emeryville, California, 2005.

外部連結[编辑]

Dr. David F.C. Brewer and Dr. Michael J. Nash. The Chinese Wall Security Policy (PDF). IEEE. 1989 [2012-07-02]. （原始内容存档 (PDF)于2020-09-29）. |booktitle=被忽略 (帮助)