Brewer-Nash-Modell

Das Brewer-Nash-Modell (auch Chinese-Wall-Modell) beschreibt ein IT-Sicherheitsmodell zum Schutz von Daten. Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Damit setzt es das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll eine „unzulässige Ausnutzung von Insiderwissen bei der Abwicklung von Bank- oder Börsentransaktionen“ oder die Weitergabe von unternehmensspezifischen Insiderinformationen an konkurrierende Unternehmungen durch einen Berater verhindern.<ref name="Eckert_6te" details="260">Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 6., überarbeitete und erweiterte Auflage. Oldenbourg, 2009, ISBN 978-3-486-58999-3</ref>

Seine Ursprünge hat das Modell in der Finanzbranche und bezeichnet bestimmte Regeln, die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird (siehe auch Chinese Wall (Finanzwelt)).

Das Brewer-Nash-Modell wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben<ref name=":0">{{#if:|{{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}| |}}}}{{#if:David F.C. Brewer, Michael J. Nash|David F.C. Brewer, Michael J. Nash: }}{{#if:|{{#if:The Chinese Wall Security Policy|[{{#invoke:Vorlage:Internetquelle|archivURL|1={{#invoke:URLutil|getNormalized|1={{{archiv-url}}}}}}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel=The Chinese Wall Security Policy}}]{{#if:PDF; 791 kB| (PDF; 791 kB)}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}|{{#if:https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf%7C{{#if:{{#invoke:TemplUtl%7Cfaculty%7C}}%7C{{#invoke:Vorlage:Internetquelle%7CTitelFormat%7Ctitel={{#invoke:WLink%7CgetEscapedTitle%7C1=The Chinese Wall Security Policy}}}}|[{{#invoke:URLutil|getNormalized|1=https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{#invoke:WLink|getEscapedTitle|1=The Chinese Wall Security Policy}}}}]}}{{#if:PDF; 791 kB| (PDF; 791 kB{{#if:Gamma Secure Systems Limited1989{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}

          | )
          | {{#if:{{#ifeq:en|de||{{#if:en|1}}}}| ; 
              | )}}}}}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}}}{{#if:https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf%7C{{#if:{{#invoke:URLutil%7CisResourceURL%7C1=https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}}%7C%7C URL ungültig}}}}{{#if:The Chinese Wall Security Policy|{{#if:{{#invoke:WLink|isValidLinktext|1=The Chinese Wall Security Policy|lines=0}}|| Linktext ungültig}}}}{{#if: | In: {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{{werk}}}}}}}{{#if: Gamma Secure Systems Limited| Gamma Secure Systems Limited{{#if: 1989|,|{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: 1989| {{#if:{{#invoke:DateTime|format|1989|noerror=1}}
            |{{#invoke:DateTime|format|1989|T._Monat JJJJ}}
            |{{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, datum=1989|class=Zitationswartung}} }}{{#if: |,|{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: | S. {{{seiten}}}{{#if: |,|{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: {{#invoke:TemplUtl|faculty|}}| {{#if:1989Gamma Secure Systems Limited|{{#if:|archiviert|ehemals}}|{{#if:|Archiviert|Ehemals}}}} {{#if:|vom|im}} Vorlage:Referrer{{#if:{{#invoke:TemplUtl|faculty|}}| (nicht mehr online verfügbar)}}{{#if: | am {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}|{{{archiv-datum}}}{{#if:1262459||(?)}}}}}}{{#if: 2017-11-03|;}}}}{{#if: 2017-11-03| {{#if:1989Gamma Secure Systems Limited{{#invoke:TemplUtl|faculty|}}|abgerufen|Abgerufen}} {{#switch: {{#invoke:Str|len| {{#invoke:DateTime|format| 2017-11-03 |ISO|noerror=1}} }}
       |4=im Jahr
       |7=im
       |10=am
       |#default={{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, abruf=2017-11-03|class=Zitationswartung}} }} {{#invoke:DateTime|format|2017-11-03|T._Monat JJJJ}}
    | {{#invoke:TemplUtl|failure|1=Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}} Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}}{{#if:{{#ifeq:en|de||{{#if:en|1}}}}|{{#if:Gamma Secure Systems Limited1989{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
       |  (
       | {{#if:PDF; 791 kB | |  (}}
       }}{{#ifeq:{{#if:en|en|de}}|de||
          {{#invoke:Multilingual|format|en|slang=!|split=[%s,]+|shift=m|separator=, }}}}{{#if: |{{#ifeq:{{#if:en|en|de}}|de||, }}{{{kommentar}}}}})}}{{#if: 1989{{#if: 2017-11-03 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}} }}en|{{#if: |: {{
 #if: 
 | „{{
     #ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
     | Vorlage:Str trim
     | {{#invoke:Vorlage:lang|flat}}
     }}“
 | {{#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
     | „Vorlage:Str trim“
     | {{#invoke:Text|quote
         |1={{#if: 
              | {{#invoke:Vorlage:lang|flat}}
              | {{#invoke:Vorlage:lang|flat}} }}
         |2={{#if: {{#invoke:TemplUtl|faculty|}}|de-CH|de}}
         |3=1}} }}

}}{{#if:

   |  (<templatestyles src="Person/styles.css" />{{#if:  | :  }}{{#if:  | , deutsch: „“ }})
   | {{#if: 
       |  ({{#if:  | , deutsch: „“ }})
       | {{#if:  |  (deutsch: „“) }}
 }}

}}{{#if: {{{zitat}}}

   | {{#if: 
       | {{#if: {{{zitat}}}
           | Vorlage:": Text= und 1= gleichzeitig, bzw. Pipe zu viel }} }}
   | Vorlage:": Text= fehlt }}{{#if:  | {{#if: {{#invoke:Text|unstrip|{{{ref}}}}}
             | Vorlage:": Ungültiger Wert: ref=
             | {{{ref}}} }}

}}|.{{#if:{{#invoke:TemplUtl|faculty|}}|{{#if:||{{#ifeq: | JaKeinHinweis |{{#switch:

   |0|=Vorlage:Toter Link/Core{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
       | {{#if:  | [1] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive (T)){{#if: 
           | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
    }}{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
      | {{#if:{{#invoke:URLutil|isWebURL|https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
      | {{#if: 
           |  Fehler bei Vorlage:Toter Link: 'text' angegeben, aber 'url'' fehlt.{{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 
       | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
         }}
    }}{{#switch: deadurl
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 
            | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
       }}{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
       | {{#if:{{#invoke:URLutil|isWebURL|https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
    }}{{#if: 
         | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
           }}
    }}{{#switch: deadurl
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}[https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf }}|{{#switch: 
   |0|=Vorlage:Toter Link/Core{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
       | {{#if:  | [2] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive (T)){{#if: 
           | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
    }}{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
      | {{#if:{{#invoke:URLutil|isWebURL|https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
      | {{#if: 
           |  Fehler bei Vorlage:Toter Link: 'text' angegeben, aber 'url'' fehlt.{{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 
       | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
         }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 
            | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
       }}{{#if: https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
       | {{#if:{{#invoke:URLutil|isWebURL|https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
    }}{{#if: 
         | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
           }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}[https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf }} }}}}}}}}}}{{#if:|
        {{#invoke:Vorlage:Internetquelle|archivBot|stamp={{{archiv-bot}}}|text={{#if:|Vorlage:Webarchiv/archiv-bot}}

}}}} {{#invoke:TemplatePar|check |all= url= titel= |opt= autor= hrsg= format= sprache= titelerg= werk= seiten= datum= abruf= zugriff= abruf-verborgen= archiv-url= archiv-datum= archiv-bot= kommentar= zitat= AT= CH= offline= |cat= {{#ifeq: 0 | 0 | Wikipedia:Vorlagenfehler/Vorlage:Internetquelle}} |template= Vorlage:Internetquelle |format=0 |preview=1 }}</ref>

Formale Definition

Die Menge der Subjekte <math>S</math> modelliert die Akteure, also z. B. die tätigen Berater in einer Unternehmensberatung, während die Menge der Objekte <math>O</math> die Schutzobjekte darstellt, also zum Beispiel sensible Dokumente einer Bank oder eines Unternehmens.

Zugriffshistorie

Beim Brewer-Nash-Modell betrachtet man eine Zugriffshistorie, welche durch eine Matrix <math>N_t : S \times O \rightarrow 2^R</math> gegeben ist. Dabei gilt, dass <math>N_t (s, o) = \{r_1, \ldots, r_n\}</math> genau dann, wenn es Zeitpunkte <math>t' < t</math> gibt, an denen das Subjekt <math>s</math> auf das Objekt <math>o</math> mit Berechtigungen <math>r_1, \ldots, r_n</math> zugegriffen hat.<ref name=":0" />

Objektbaum

Die Objekte werden in einem Objektbaum der Tiefe 3 strukturiert: Die Schutzobjekte sind die Blätter des Baumes. Die Elternknoten der Schutzobjekte stellen die Unternehmen oder Bereiche dar, zu denen die Objekte gehören. Für ein Objekt <math>o</math> wird das Unternehmen, dem es zugeordnet ist, mit <math>y(o)</math> bezeichnet. Die Unternehmen wiederum haben als Elternknoten die Interessenskonfliktklassen, welche für ein gegebenes Objekt durch <math>x(o)</math> gekennzeichnet wird. Intuitiv heißt das, dass wenn zwei Unternehmen A und B in der gleichen Interessenskonfliktklasse sind, Subjekte nicht gleichzeitig in Kenntnis von sensiblen Informationen (Objekten) sowohl über A als auch über B kommen dürfen.

Zusätzlich markiert man Objekte, die allen Subjekten öffentlich zugänglich sein sollen, mit <math>y_0</math> und definiert für diese Objekte entsprechend die Interessenskonfliktklasse <math>x_0 = \{y_0\}</math>.

Leseregel

Nun müssen die systembedingten Zugriffsbeschränkungen definiert werden. Die erste Regel, die Leseregel, besagt, dass ein Subjekt genau dann lesenden Zugriff auf ein Objekt <math>o</math> erhält, wenn für alle Objekte, auf die es bereits (mit einem beliebigen Recht) Zugriff hatte, gilt, dass sie öffentlich sind, sie dem gleichen Unternehmen wie <math>o</math> zugeordnet sind oder sie einer anderen Interessenskonfliktklasse als <math>o</math> angehören. Formal heißt das

<math> \forall o' \in O: \big( N_t(s, o') \neq \emptyset \rightarrow y(o') = y_0 \vee y(o) = y(o') \vee x(o) \neq x(o') \big) </math>

Schreibregel

Nur mit der Leseregel lässt sich kein ungewünschter Informationsfluss ausschließen. Es besteht nämlich die Möglichkeit, dass ein Subjekt <math>s_1</math> auf ein Objekt <math>o_1</math> lesend zugreift und dessen Inhalt daraufhin in ein Objekt <math>o_3</math> schreibt, welches in einer anderen Interessenskonfliktklasse als <math>o_1</math> liegt. Ein zweites Subjekt <math>s_2</math> könnte nun zuerst auf ein Objekt <math>o_2</math> zugreifen, welches in der gleichen Interessenskonfliktklasse wie <math>o_1</math> liegt, allerdings einem anderen Unternehmen angehört. Nun könnte sich <math>s_2</math> durch Lesen von <math>o_3</math> unzulässiges Insiderwissen über <math>y(o_1)</math> aneignen, da die Inhalte von <math>o_3</math> und <math>o_1</math> übereinstimmen.

Um diesen Informationsfluss zu verhindern, definieren wir folgende Schreibregel, welche besagt, dass ein Subjekt genau dann schreibenden Zugriff auf ein Objekt <math>o</math> erhält, wenn für alle Objekte, auf welches das Subjekt bereits lesenden Zugriff ausgeübt hat, gilt, dass sie öffentlich oder dem gleichen Unternehmen wie <math>o</math> zugeordnet sind. Formal heißt das

<math> \forall o' \in O: \big( read \in N_t(s, o') \rightarrow y(o') = y_0 \vee y(o) = y(o') \big) </math>

Es wird durch diese Regel also genau der oben beschriebene Fall unterbunden, dass ein Subjekt Insiderinformationen über eine andere Interessenskonfliktklasse an einen Konkurrenten weitergibt.

Siehe auch

• Clark-Wilson-Modell
• Role Based Access Control
• Mandatory Access Control

Einzelnachweise

<references />

Literatur

• Heinrich Kersten: Einführung in die Computersicherheit. Oldenbourg, München u. a. 1991, ISBN 3-486-21873-5 (Sicherheit in der Informationstechnik. 3, Schriftenreihe Bd. 1).
• Claudia Eckert: IT-Sicherheit. Konzepte – Verfahren – Protokolle. 5. überarbeitete Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2008, ISBN 978-3-486-58270-3.

Weblinks

• {{#invoke:Vorlage:Literatur|f}}