1

Poltica tica de Controle de Acesso Chinese Wall

Leidmar Magnus Festa

Abstract - Sempre que imaginamos o funcionamento de um banco ou da Bolsa de Valores possvel poss notar que existem polticas de segurana e controle que normatizam vrias das operaes realizadas nestes locais. Esta reviso terica busca apresentar a teoria bsi bsica sobre a poltica conhecida como Chinese Wall que atualmente largamente utilizada em instituies com fins comerciais. Palavras-Chave: chinese wall, all, conflitos de interesse interesses, controle de acesso, poltica de controle. I. INTRODUO modelo de poltica para controle de acesso1 Chinese Wall, criada pelos pesquisadores Brewer e Nash, tem sua aplicao no universo comercial. Este modelo evita os conflitos de interesses2 dentro das corporaes e busca a confidencialidade, assim sendo, deve ser visto como com uma regra prtica a ser seguida pelos analistas e consultores que trabalham para instituies financeiras provendo servios corporativos. Atualmente os mecanismos de poltica Chinese Wall esto incorporados na maioria das instituies financeiras e so uma ma das principais ferramentas utilizadas para gerir os conflitos de interesses. Esta poltica, , em conjunto com outras outra medidas e tcnicas, restringe o fluxo de infomaes entre as diferentes reas das instituies possibilitando a realizao de negcios sem a influncia de informaes confidenciais que estejam em poder das instituies e que podem causar conflitos de interesses[6].

hierrquica, ica, como mostrado na figura 1. Nesta hierarquia existem xistem trs nveis de significncia [1]: -Nvel 3:Aqui qui esto os arquivos individuais que contm c de informaes, cada um a respeito de uma nica corporao. Em consonncia com o modelo Bell-LaPadula Bell [9,10], estes arquivos sero chamados de objetos. -Nvel 2:Nele so agrupados todos os objetos que se referem a mesma corporao, os quais sero chamados de CD (Conjunto de Dados da Corporao ou Company C Dataset) -Nvel 1:Aqui qui so agrupados todos os CDs das corporaes concorrentes. Cada um destes grupos denominado como Classe de COI (Classe de Conflito de Interesses ou Conflict of Interest Class).

Figura 1: Composio das Classes COI, nas quais esto agrupados todos os objetos (informaes) sobre as corporaes orporaes. Adaptado de [1, 2]

II. A POLTICA CHINESE WALL (BREWER-NASH) (BREWER Para a poltica Chinese Wall composta por um conjunto de regras para que nenhum sujeito (um um analista/usurio ou qualquer programa que age em seu favor) ) [9] consiga acessar quaisquer objetos (dados) que sejam conflitantes. A. Classes de Conflitos de Interesses (COI) Conforme Sandhu [3] o modelo das classes lasses de Conflitos de Interesses (COI) agrupa todas as informaes corporativas, corporativas as quais so armazenadas em um sistema organizado de forma

Associado a cada objeto, temos o nome do CD (que pode ser o nome da empresa) ao qual o objeto pertence e tambm o nome ome da Classe COI (que pode ser o nome do ramo comercial das empresas) a qual o CD pertence. Consta no Anexo Axioma 1, a representao matemtica para as Classes COI [1, 4]. B. Simple Security Rule ou Read Rule A base da poltica Chinese Wall o princpio de que um sujeito somente est autorizado a ler objetos de um nico CD dentro da a mesma Classe COI, evitando assim o conflito de interesses. Um usurio novo pode acessar qualquer CD que ele desejar, pois aquele no possui outras informaes que causem conflito de interesses. Assim que o primeiro acesso realizado, o sistema cria uma muralha (Chinese Wall) para este usurio ao redor do CD escolhido. Desta maneira a expresso do lado errado da d muralha indica qualquer CD pertencente a mesma Classe lasse COI do CD que est dentro da muralha criada. O usurio ainda tem a liberdade para acessar qualquer outro Conjunto onjunto de Dados que pertena uma outra Classe COI, mas assim que um novo acesso for realizado, a

L. M. Festa, especialista em Desenvolvimento Web pelas Faculdades Opet(2011), graduado em Cincia da a Computao Computa pela UFPR (2006) e formado no curso Tcnico em Eletrnica nica pelo CEFET-PR CEFET (1999). E-mail: leidmar@gmail.com 1 O controle de acesso usado para garantir que um suje sujeito tenha acesso apenas ao que est autorizado. As Polticas olticas de controle de acesso definem as regras para a concesso dos acessos [8] 2 O conflito de interesses definido efinido como sendo uma situao na qual dois ou mais interesses esto competindo ou conflitando [7]

2 muralha passar a englobar o novo CD que foi acessado. Assim, possvel dizer que a poltica Chinese Wall uma combinao de livre escolha e controle obrigatrio [1]. Para que o sistema identifique quais objetos O um sujeito S j acessou, utilizada a matriz booleana N (modelo formal no Anexo Definio 1) constituda de uma linha para cada sujeito e uma coluna para cada objeto do sistema. A matriz N(sujeito , objeto) inicializada em todas as posies com o valor falso e quando o usurio Su acessa o objeto Or , a posio N(u,r) recebe o valor verdadeiro [1] . Com esta matriz controlando os acessos, possvel falar sobre a Simple Security Rule da poltica Chinese Wall que, est demonstada matematicamente no Anexo A Axioma 2, afirma que um sujeito S pode ler um objeto O somente se [4]: O estiver no mesmo CD do objeto acessado anteriormente por S, OU O pertence a uma Classe COI da qual S ainda no tenha acessado qualquer objeto [8] C. Informaes Delimitadas (Sanitized Information) Na aplicao da Chinese Wall algumas vezes existem informaes relevantes sobre as corporaes que so teis quando comparadas com outras corporaes, mas devido a Simple Security Rule isso no pode ser feito. Para estes casos so utilizados os formulrios com informaes delimitadas, os quais escondem a identidade da corporao evitando o conflito de interesses. As informaes delimitadas podem ser acessadas por qualquer sujeito [1]. D. *-Property Security Rule ou Write Rule Esta regra anloga a Write Rule do modelo Bell-LaPadula [9] e previne contra o vazamento de informaes (cavalos de tria). O modelo formal est no Anexo Axioma 6. Ela diz que um sujeito S pode escrever no objeto O somente se [4]: S pode ler O atravs da Simple Security Rule, E Nenhum objeto O que pode ser lido pertence a um CD diferente daquele para o qual foi solicitado acesso de escrita E contm informao NO delimitada (unsanitized information) [1,8]. III. CONCLUSO Existem vrias publicaes que questionam esta poltica de controle de acesso e afirmam que o modelo muito restrivo quando implementado em um sistema real. Um dos trabalhos mais significativo afirma que estas restries aparecem pois o modelo no faz distino entre usurios e sujeitos, devido a isso, o modelo no consegue distinguir entre as polticas de segurana aplicadas aos usurios humanos e aos usurios computacionais (processos executados pelo sistema) [3]. Por outro lado o modelo j tradicional, principalmente em instituies financeiras, e existem publicaes sobre aplicaes adaptando a Chinese Wall e sanando as falhas em cada caso [6]. Como exemplos temos a Segurana Multilateral [11], a qual visa um balanceamento entre os requisitos de segurana de diferentes partes ou entidades considerando todas as partes envolvidas em uma interao, ainda que todas as entidades possam ser potenciais intrusos [12]. Tambm destacam-se as aplicaes em Cloud Computing para centralizao do controle e mitigao de risco dos ataques VM (Virtual Machine) [13]. O modelo apresentado por Brewer e Nash uma poltica de segurana comercial a qual amplamente utlizada em sistemas corporativos e que tambm deve ser adotada como regra prtica pelos profissionais que prestam servios corporativos , principalmente aqueles que atuam em instituies financeiras. Os pesquisadores apresentam um modelo formal que pode ser utilizado em qualquer corporao com o objetivo de evitar os conflitos de interesses e manter a confidencialidade.

ANEXO MODELO FORMAL [1]

Modelo Bsico Sejam: S um conjunto de sujeitos, O um conjunto de objetos, L um conjunto de security labels (x , y) . Existe um security label que est associado a cada objeto. Considerando tambm que: as funes X(O) e Y(O) determinam respectivamente os componentes x e y de um security label para um dado objeto O. x utilizado para referenciar as Classes COI (Conflitos de Interesses) e y para referenciar os CD (Conjuntos de Dados da Corporao). A notao xj , yj significa X(Oj) e Y(Oj) respectivamente. Assim, para um dado objeto Oj , temos que: xj indica a Classe COI e yj indica o CD. Axioma 1 (definio das Classes COI) y1 = y2 x1 = x2 , ou seja: se dois objetos quaisquer O1 e O2 pertencem ao mesmo CD, ento eles tambm pertencem a mesma Classe COI. Corolrio 1 x1 < > x2 y1 < > y2 , ou seja: se dois objetos quaisquer O1 e O2 pertencem a diferentes Classes COI, ento eles devem pertencer a diferentes CDs Definio 1: N uma matriz booleana com elementos N(v,c) que corresponde aos membros SxO (Sujeitos x Objetos), os quais recebem o valor verdadeiro se o sujeito Sv teve ou tem acesso ao objeto Oc . Uma vez que uma requisio R(u,r) feita por um sujeito Su para acessar algum novo objeto Or foi garantida, ento N(u,r) deve receber o valor verdadeiro para mostrar o fato de que o acesso foi garantido. Mantendo a generalizao, qualquer requisio R(u,r) causa alterao no estado onde N substitudo por um novo N, N Axioma 2 O acesso a qualquer objeto Or por qualquer sujeito Su garantido se e somente se para todo N(u,c) = verdadeiro. Ento ((xc < > xr) or (yc = yr)) Axioma 3 N(v,c) = falso , para todo (v,c) que representa um estado inicial seguro (inicializao da matriz N) Axioma 4

3
Se N(u,c) falso em todas as posies da matriz para um determinado Su, ento qualquer requisio R(u,r) garantida Teorema 1 Uma vez que um sujeito acessou um objeto, os nicos outros objetos acessveis por aquele sujeito so aqueles que se encontram dentro do mesmo CD ou dentro de uma Classe COI diferente. Teorema 2 Um sujeito pode ter acesso a no mximo um CD em cada Classe COI. Teorema 3 Se alguma Classe COI x possuir xy Conjuntos de Dados(CDs), ento o nmero mnimo de sujeitos que permitir que todos os objetos sejam acessados pelo menos uma vez Xy. Exemplo: pela Simple Security Rule o mesmo sujeito NO pode acessar informaes de dois (ou mais) CDs da mesma Classe COI. Ento, se uma Classe COI possui 5 CDs, para que todos estes sejam acessados, so necessrios no mnimo 5 usurios diferentes. Informaes Delimitadas (Sanitized Information) Definio 2 Para qualquer objeto Os , ys = yo implica que Os contm Informaes Delimitadas ys < > yo implica que Os contm informaes NO delimitadas Axioma 5 yo xo , ou seja: se um objeto carrega o security label yo , ento ele deve tambm carregar o label xo e vice versa. Axioma 6 (*-Property Security Rule) O acesso de escrita a qualquer objeto Ob por qualquer sujeito Su permitido se, e somente se, N(u,b) = verdadeiro and no existe qualquer objeto Oa (N(u,a) = verdadeiro), que pode ser lido por Su para os quais: ya < > yb and ya < > yo Teorema 4 O fluxo de informaes NO delimitadas (unsanitized) confinado ao seu prprio CD. No entanto, as informaes delimitadas tem fluxo livre atravs do sistema.
[4] M. Anaconda, W. Cazzola e E. B. Fernandes (2005). A HistoryDependent Access Control Mechanism Using Reflection. [Online] Disponvel: http://cazzola.di.unimi.it/pubs/ewmos99-www.pdf M. V. Ribeiro. Analistas de Investimento: Aspectos Econmicos e Regulatrios. Universidade Federal do Rio de Janeiro Instituto de Economia. [Online] Disponvel: http://www.cvm.gov.br/port/public/publ/ie_ufrj_cvm/Marcelo_Vieira_R ibeiro.pdf Poltica Global de Conflito de Interesses, Deutsche Bank, Frankfurt, Hesse, Alemanha. Out/2012. [Online] Disponvel: http://www.deutschebank.pt/db_pt/downloads/Conflito_de_Interesses__20070928___Portugues.pdf G. Teixeira e H. Freire, Conflitos de Interesses. Working Papers, vol 1, Jan/2009 Observatrio de Economia e gesto de Fraude. Edies Humus, 1 edio, ISBN 978-989-8139-07-8 [Online] Disponvel: http://www.fep.up.pt/repec/por/obegef/files/wp001.pdf A. C. Lima, Sacm : um Modelo de Controle de Acesso baseado em Estado Sensvel ao Contexto. Universidade Estadual do Cear Dissertao de Mestrado [Online] Disponvel: https://ins3rt.s3.amazonaws.com/media/papers/sacm.pdf D. E. BELL e L. J. LaPadula (maro/1976). Secure Computer Systems: Unified Exposition and Multics Interpretation. ESD-TR-75-306, MTR 2997, Rev 1. The Mitre Corporation

[5]

[6]

[7]

[8]

[9]

[10] J. McLean (Abril/1988). The Algebra of Security. Apresentado na IEEE Symposium of Security and Privacy, Oakland [11] A. P. C. Silva, C. M. Westphall e C. B. Westphal. ChiWa: Implementao da Segurana Multilateral atravs do Refinamento da Poltica Chinese Wall. Laboratrio de Redes e Gerncia UFSC [12] A. Pfitzmann, Multilateral Security: Enabling Technologies and Their Evaluation. Informatics: 10 Years Back. 10 Years Ahead , pp 5062, Nov/2001 - Computer Science 2000 [13] T. H. Tsai, Y. C. Chen, H. C. Huang, P. M. Huang e K. S. Chou. A Practical Chinese Wall Security Model in Cloud Computing. Information & Communication Security Lab - Chunghwa Telecom Laboratories - Taoyuan, R.O.C. [14] V. Gupta (Dez/2009). Chinese Wall Security Policy Dissertao de Mestrado Department of Computer Science San Jose State University [Online] Disponvel http://scholarworks.sjsu.edu/etd_projects/

REFERNCIAS
[1] D. F. C. Brewer e M. J. Nash (1989). The Chinese Wall Security Policy. Pginas 215-228. Apresentado na IEEE Symposium on Security and Privacy. [Online] Disponvel: http://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewe r_nash_89.pdf R. S. Sandhu (1992). The Brewer-Nash Model. Pginas 329-334. Apresentado na National Computer Security Conference Proceedings Information Systems [Online] Disponvel: Google Books http://books.google.com.br/books?id=rHDscDmBEB4C&pg=PA339&lp g=PA339&dq=Brewer+and+Nash+The+Chinese+Wall+Security+Policy +IEEE+Symposium+on+Security+and+Privacy,+215228+1989&source=bl&ots=fs1Fnbq0XF&sig=t4KUIuM318YUaP_5fXI IEsFqIrY&hl=ptBR&sa=X&ei=bx8BUpKAGITr8QG3pYGgBg&ved=0CHoQ6AEwCQ #v=onepage&q&f=false R. S. Sandhu, Lattice-Based Enforcement of Chinese Walls. Computers & Security, vol 11, n 8, pp 753-763, Dez/1992 - George Mason University Virginia

[2]

Leidmar M. Festa Atualmente atua no ramo de consultoria imobiliria e creditcia no Banco do Brasil S.A. especialista em Desenvolvimento de Sistemas Web pelas Faculdades Opet (2011), possui Certificao em Investimentos pela ANBID (2011), graduado em Bacharelado em Cincia da Computao pela Universidade Federal do Paran (2005) e tambm formado Tcnico em Eletrnica pelo CEFET-PR(1999). Em sua atividade acadmica, abordou principalmente temas relacionados a melhoria de mtodos de afinamento de imagens (thinning) de Zhang-Suen, Stentiford, Holt e Mb, criao de projetos de armazenamento de dados de urnas eletrnicas simplificadas para pequenos grupos (latches e demais circuitos eletrnicos digitais) e tambm Cloud Computing com possveis aplicaes com fins sociais.

[3]