布鲁尔-纳什模型(英语:Brewer and Nash model)是一种提供动态变更可存取控制以及资讯安全的架构。这个资讯模式又称为“中国长城模式”(Chinese wall model),建立成资讯流模型,是为了降低商业组织的利益冲突。
在布鲁尔-纳什模型中,区隔了会产生利益冲突的主体(subject)和对象(object)。
正式定义
模式表示主体,例如,在一家咨询公司工作的顾问;而 表示受保护的对象,例如,银行或公司的敏感文件。
存取矩阵和存取历史
布鲁尔-纳什模型是一个存取矩阵。 。表示权力,表示主体,表示对象,表示时间。这是表示布鲁尔-纳什模型的方式: 。
另外,当我们考虑存取历史, 提供,成立时, ,如果时间 , 主体 有对象 的权限 可以读取。
对象树
对象被架构在三层的对象树:保护的对象是树的叶子,保护对象的父节点代表的公司或部门,其中包括对象。对对象 被承诺、分配到 ,反过来说,公司有一个父节点,有利益冲突,对一个给定的对象 。直观地说,这意味着如果这两家公司 A 和 B 在相同的权益类别,而不是与有敏感信息(对象)相同主体时,A 和 B 也可能遇到同一类别的同一冲突。
此外,它标志着所有主体应该公开的对象,与 对这些主体根据 利益类别定义冲突。
阅读规则
现在系统相关的存取限制已经定义,所以:
第一条规则,如果主体接收和读取一个对象 的阅读规则状态,如果主体读取访问对象和所有对象已经套用(任何法律)读取规则了,那他们就是公开的,它们都属于同一家公司 分配或任何其他利益冲突的同一类别 。在形式上,这意味着
重读规则
如果只透过阅读规则,并不能排除不必要的资讯流。
也就是说,有可能一个主体 读存一个对象 和写不同于 利益类型冲突的对象 。第二个主体 现在可以优先存取对象 ,这是和对象 同一类型的利益冲突,因为这一间公司也是前一间公司的子公司。现在, 可以借由非法阅读 获得 的内幕知识,因为 和 的内容相同。
要预防这种情况的资讯流,我们定义下面的重写规则,其中,如果一个主体接收和读写一个对象 ,如果它有读取 的权限,如果任何对象已申请的主体已经是只有读取的权限,适用于公开的公司或相同于其他被分配的 。在形式上,这意味着
此规则如此贴切的描述实际案例,一个主体对另一个竞争对手传递关于其他利益类别冲突的内幕资讯。
参见
参考资料
- Harris, Shon, All-in-one CISSP Exam Guide, Third Edition, McGraw Hill Osborne, Emeryville, California, 2005.
外部链接