Abstract - Sempre que imaginamos o funcionamento de um banco ou da Bolsa de Valores possexistem polticas de segurana e controle que normatizam vrias das operaes realizadas nestes locais. Esta reviso terica busca apresentar a teoria bsiconhecida como Chinese Wall que atualmente largamente utilizada em instituies com fins comerciais.

Palavras-Chave: chinese wall, conflitos de interessecontrole de acesso, poltica de controle.

I. INTRODUO modelo de poltica para controle Wall, criada pelos pesquisadores Brewer e Nash, aplicao no universo comercial. Este modelo

conflitos de interesses2 dentro das corporaesconfidencialidade, assim sendo, deve ser visto comregra prtica a ser seguida pelos analistas e consultores que trabalham para instituies financeiras corporativos. Atualmente os mecanismos Wall esto incorporados na maioria das instituies financeirase so uma das principais ferramentas utilizadas para gerir os conflitos de interesses. Esta poltica, em conjunto com outramedidas e tcnicas, restringe o fluxo de infomaes entre as diferentes reas das instituies possibilitando a realizao de negcios sem a influncia de informaes confidenciais que estejam em poder das instituies e que podem causar conflitos de interesses[6].

II. A POLTICA CHINESE WALL (BREWERPara a poltica Chinese Wall composta por

de regras para que nenhum sujeito (um qualquer programa que age em seu favor)quaisquer objetos (dados) que sejam conflitantes.A. Classes de Conflitos de Interesses (COI)

Conforme Sandhu [3] o modelo das classes de Conflitos de Interesses (COI) agrupa todas as informaes corporativasquais so armazenadas em um sistema organizado de forma

L. M. Festa, especialista em Desenvolvimento Opet(2011), graduado em Cincia da Computaformado no curso Tcnico em Eletrnica pelo CEFETleidmar@gmail.com

1 O controle de acesso usado para garantir que um suje

apenas ao que est autorizado. As Polticas de controle de acesso regras para a concesso dos acessos [8]

2 O conflito de interesses definido como sendo uma situao na qual dois

ou mais interesses esto competindo ou conflitando [7]

Poltica de Controle de Acesso Chinese Wall

O

Sempre que imaginamos o funcionamento de possvel notar que

existem polticas de segurana e controle que normatizam vrias das operaes realizadas nestes locais. Esta reviso terica busca apresentar a teoria bsica sobre a poltica

que atualmente largamente em instituies com fins comerciais.

all, conflitos de interesses,

de acesso1 Chinese pelos pesquisadores Brewer e Nash, tem sua

aplicao no universo comercial. Este modelo evita os dentro das corporaes e busca a

ser visto como uma ser seguida pelos analistas e consultores que

trabalham para instituies financeiras provendo servios os mecanismos de poltica Chinese

instituies financeiras ma das principais ferramentas utilizadas para gerir os

, em conjunto com outras o fluxo de infomaes entre as

diferentes reas das instituies possibilitando a realizao de sem a influncia de informaes confidenciais que

estejam em poder das instituies e que podem causar

(BREWER-NASH) composta por um conjunto

um analista/usurio ou ) [9] consiga acessar

sejam conflitantes. Classes de Conflitos de Interesses (COI)

lasses de Conflitos de todas as informaes corporativas, as

so armazenadas em um sistema organizado de forma

especialista em Desenvolvimento Web pelas Faculdades a Computao pela UFPR (2006) e

nica pelo CEFET-PR (1999). E-mail:

O controle de acesso usado para garantir que um sujeito tenha acesso olticas de controle de acesso definem as

efinido como sendo uma situao na qual dois [7]

hierrquica, como mostrado na figura 1. existem trs nveis de significncia-Nvel 3:Aqui esto os arquivos individuais que cinformaes, cada um a respeito de uma nica corporao. Em consonncia com o modelo Bellarquivos sero chamados de objetos.-Nvel 2:Nele so agrupados todos os objetos quemesma corporao, os quais sero de Dados da Corporao ou C-Nvel 1:Aqui so agrupados todos os CDsconcorrentes. Cada um destes grupos denominado como Classe de COI (Classe de Conflito de Interesses ou Interest Class).

Figura 1: Composio das Classes COI, nas quais esto agrupados todos os objetos (informaes) sobre as corporaes

Associado a cada objeto, temos o nome do CD (que pode ser o nome da empresa) ao qual o objeto pertence e tambm o nome da Classe COI (que pode ser o das empresas) a qual o CD pertence.Axioma 1, a representao matemtica para as Classes COI4].

B. Simple Security Rule ou A base da poltica Chinese Wall

sujeito somente est autorizado a dentro da mesma Classe COI, evitando assim o conflito de interesses. Um usurio novo pode desejar, pois aquele no possui causem conflito de interesses. realizado, o sistema cria uma muralha este usurio ao redor do CDexpresso do lado errado dpertencente a mesma Classe COI muralha criada. O usurio ainda tem qualquer outro Conjunto de Classe COI, mas assim que um novo acesso for realizado, a

tica de Controle de Acesso Chinese WallLeidmar Magnus Festa

1

ica, como mostrado na figura 1. Nesta hierarquia xistem trs nveis de significncia [1]:

qui esto os arquivos individuais que contm de informaes, cada um a respeito de uma nica corporao. Em consonncia com o modelo Bell-LaPadula [9,10], estes

objetos. so agrupados todos os objetos que se referem a

sero chamados de CD (Conjunto Company Dataset)

qui so agrupados todos os CDs das corporaes concorrentes. Cada um destes grupos denominado como Classe de COI (Classe de Conflito de Interesses ou Conflict of

Classes COI, nas quais esto agrupados todos os orporaes. Adaptado de [1, 2]

Associado a cada objeto, temos o nome do CD (que pode ao qual o objeto pertence e tambm o

ome da Classe COI (que pode ser o nome do ramo comercial das empresas) a qual o CD pertence. Consta no Anexo

a representao matemtica para as Classes COI [1,

Read Rule Chinese Wall o princpio de que um

sujeito somente est autorizado a ler objetos de um nico CD a mesma Classe COI, evitando assim o conflito de

pode acessar qualquer CD que ele no possui outras informaes que

de interesses. Assim que o primeiro acesso realizado, o sistema cria uma muralha (Chinese Wall) para

usurio ao redor do CD escolhido. Desta maneira a do lado errado da muralha indica qualquer CD

lasse COI do CD que est dentro da usurio ainda tem a liberdade para acessar

onjunto de Dados que pertena uma outra Classe COI, mas assim que um novo acesso for realizado, a

tica de Controle de Acesso Chinese Wall

2

muralha passar a englobar o novo CD que foi acessado. Assim, possvel dizer que a poltica Chinese Wall uma combinao de livre escolha e controle obrigatrio [1].

Para que o sistema identifique quais objetos O um sujeito S j acessou, utilizada a matriz booleana N (modelo formal no Anexo Definio 1) constituda de uma linha para cada sujeito e uma coluna para cada objeto do sistema. A matriz N(sujeito , objeto) inicializada em todas as posies com o valor falso e quando o usurio Su acessa o objeto Or , a posio N(u,r) recebe o valor verdadeiro [1] . Com esta matriz controlando os acessos, possvel falar sobre a Simple Security Rule da poltica Chinese Wall que, est demonstada matematicamente no Anexo A Axioma 2, afirma que um sujeito S pode ler um objeto O somente se [4]:

O estiver no mesmo CD do objeto acessado anteriormente por S, OU

O pertence a uma Classe COI da qual S ainda no tenha acessado qualquer objeto [8]

C. Informaes Delimitadas (Sanitized Information) Na aplicao da Chinese Wall algumas vezes existem

informaes relevantes sobre as corporaes que so teis quando comparadas com outras corporaes, mas devido a Simple Security Rule isso no pode ser feito. Para estes casos so utilizados os formulrios com informaes delimitadas, os quais escondem a identidade da corporao evitando o conflito de interesses. As informaes delimitadas podem ser acessadas por qualquer sujeito [1].

D. *-Property Security Rule ou Write Rule Esta regra anloga a Write Rule do modelo Bell-LaPadula

[9] e previne contra o vazamento de informaes (cavalos de tria). O modelo formal est no Anexo Axioma 6. Ela diz que um sujeito S pode escrever no objeto O somente se [4]:

S pode ler O atravs da Simple Security Rule, E Nenhum objeto O que pode ser lido pertence a um

CD diferente daquele para o qual foi solicitado acesso de escrita E contm informao NO delimitada (unsanitized information) [1,8].

III. CONCLUSO Existem vrias publicaes que questionam esta poltica de

controle de acesso e afirmam que o modelo muito restrivo quando implementado em um sistema real. Um dos trabalhos mais significativo afirma que estas restries aparecem pois o modelo no faz distino entre usurios e sujeitos, devido a isso, o modelo no consegue distinguir entre as polticas de segurana aplicadas aos usurios humanos e aos usurios computacionais (processos executados pelo sistema) [3].

Por outro lado o modelo j tradicional, principalmente em instituies financeiras, e existem publicaes sobre aplicaes adaptando a Chinese Wall e sanando as falhas em cada caso [6]. Como exemplos temos a Segurana Multilateral [11], a qual visa um balanceamento entre os requisitos de segurana de diferentes partes ou entidades considerando todas as partes envolvidas em uma interao, ainda que

todas as entidades possam ser potenciais intrusos [12]. Tambm destacam-se as aplicaes em Cloud Computing para centralizao do controle e mitigao de risco dos ataques VM (Virtual Machine) [13].

O modelo apresentado por Brewer e Nash uma poltica de segurana comercial a qual amplamente utlizada em sistemas corporativos e que tambm deve ser adotada como regra prtica pelos profissionais que prestam servios corporativos , principalmente aqueles que atuam em instituies financeiras. Os pesquisadores apresentam um modelo formal que pode ser utilizado em qualquer corporao com o objetivo de evitar os conflitos de interesses e manter a confidencialidade.

ANEXO

MODELO FORMAL [1] Modelo Bsico Sejam: S um conjunto de sujeitos, O um conjunto de objetos,

L um conjunto de security labels (x , y) . Existe um security label que est associado a cada objeto. Considerando tambm que:

as funes X(O) e Y(O) determinam respectivamente os componentes x e y de um security label para um dado objeto O.

x utilizado para referenciar as Classes COI (Conflitos de Interesses) e y para referenciar os CD (Conjuntos de Dados da Corporao).

A notao xj , yj significa X(Oj) e Y(Oj) respectivamente. Assim, para um dado objeto Oj , temos que: xj indica a Classe COI e yj indica o CD.

Axioma 1 (definio das Classes COI) y1 = y2 x1 = x2 , ou seja: se dois objetos quaisquer O1 e O2

pertencem ao mesmo CD, ento eles tambm pertencem a mesma Classe COI.

Corolrio 1 x1 < > x2 y1 < > y2 , ou seja: se dois objetos quaisquer O1 e O2 pertencem a diferentes Classes COI, ento eles devem pertencer a diferentes CDs

Definio 1: N uma matriz booleana com elementos N(v,c) que corresponde

aos membros SxO (Sujeitos x Objetos), os quais recebem o valor verdadeiro se o sujeito Sv teve ou tem acesso ao objeto Oc . Uma vez que uma requisio R(u,r) feita por um sujeito Su para acessar algum novo objeto Or foi garantida, ento N(u,r) deve receber o valor verdadeiro para mostrar o fato de que o acesso foi garantido. Mantendo a generalizao, qualquer requisio R(u,r) causa alterao no estado onde N substitudo por um novo N, N

Axioma 2 O acesso a qualquer objeto Or por qualquer sujeito Su garantido

se e somente se para todo N(u,c) = verdadeiro. Ento ((xc < > xr) or (yc = yr))

Axioma 3 N(v,c) = falso , para todo (v,c) que representa um estado inicial

seguro (inicializao da matriz N)

Axioma 4

3

Se N(u,c) falso em todas as posies da matriz para um determinado Su, ento qualquer requisio R(u,r) garantida

Teorema 1 Uma vez que um sujeito acessou um objeto, os nicos outros

objetos acessveis por aquele sujeito so aqueles que se encontram dentro do mesmo CD ou dentro de uma Classe COI diferente.

Teorema 2 Um sujeito pode ter acesso a no mximo um CD em cada Classe

COI.

Teorema 3 Se alguma Classe COI x possuir xy Conjuntos de Dados(CDs),

ento o nmero mnimo de sujeitos que permitir que todos os objetos sejam acessados pelo menos uma vez Xy. Exemplo: pela Simple Security Rule o mesmo sujeito NO pode acessar informaes de dois (ou mais) CDs da mesma Classe COI. Ento, se uma Classe COI possui 5 CDs, para que todos estes sejam acessados, so necessrios no mnimo 5 usurios diferentes.

Informaes Delimitadas (Sanitized Information) Definio 2 Para qualquer objeto Os ,

ys = yo implica que Os contm Informaes Delimitadas ys < > yo implica que Os contm informaes NO

delimitadas

Axioma 5 yo xo , ou seja: se um objeto carrega o security label yo ,

ento ele deve tambm carregar o label xo e vice versa.

Axioma 6 (*-Property Security Rule) O acesso de escrita a qualquer objeto Ob por qualquer sujeito Su

permitido se, e somente se, N(u,b) = verdadeiro and no existe qualquer objeto Oa (N(u,a) = verdadeiro), que pode ser lido por Su para os quais: ya < > yb and ya < > yo

Teorema 4 O fluxo de informaes NO delimitadas (unsanitized)

confinado ao seu prprio CD. No entanto, as informaes delimitadas tem fluxo livre atravs do sistema.

REFERNCIAS [1] D. F. C. Brewer e M. J. Nash (1989). The Chinese Wall Security Policy.

Pginas 215-228. Apresentado na IEEE Symposium on Security and Privacy. [Online] Disponvel: http://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf

[2] R. S. Sandhu (1992). The Brewer-Nash Model. Pginas 329-334. Apresentado na National Computer Security Conference Proceedings - Information Systems [Online] Disponvel: Google Books http://books.google.com.br/books?id=rHDscDmBEB4C&pg=PA339&lpg=PA339&dq=Brewer+and+Nash+The+Chinese+Wall+Security+Policy+IEEE+Symposium+on+Security+and+Privacy,+215-228+1989&source=bl&ots=fs1Fnbq0XF&sig=t4KUIuM318YUaP_5fXIIEsFqIrY&hl=pt-BR&sa=X&ei=bx8BUpKAGITr8QG3pYGgBg&ved=0CHoQ6AEwCQ#v=onepage&q&f=false

[3] R. S. Sandhu, Lattice-Based Enforcement of Chinese Walls. Computers & Security, vol 11, n 8, pp 753-763, Dez/1992 - George Mason University Virginia

[4] M. Anaconda, W. Cazzola e E. B. Fernandes (2005). A History-Dependent Access Control Mechanism Using Reflection. [Online] Disponvel: http://cazzola.di.unimi.it/pubs/ewmos99-www.pdf

[5] M. V. Ribeiro. Analistas de Investimento: Aspectos Econmicos e Regulatrios. Universidade Federal do Rio de Janeiro Instituto de Economia. [Online] Disponvel: http://www.cvm.gov.br/port/public/publ/ie_ufrj_cvm/Marcelo_Vieira_Ribeiro.pdf

[6] Poltica Global de Conflito de Interesses, Deutsche Bank, Frankfurt, Hesse, Alemanha. Out/2012. [Online] Disponvel: http://www.deutsche-bank.pt/db_pt/downloads/Conflito_de_Interesses__20070928__-_Portugues.pdf

[7] G. Teixeira e H. Freire, Conflitos de Interesses. Working Papers, vol 1, Jan/2009 Observatrio de Economia e gesto de Fraude. Edies Humus, 1 edio, ISBN 978-989-8139-07-8 [Online] Disponvel: http://www.fep.up.pt/repec/por/obegef/files/wp001.pdf

[8] A. C. Lima, Sacm : um Modelo de Controle de Acesso baseado em Estado Sensvel ao Contexto. Universidade Estadual do Cear Dissertao de Mestrado [Online] Disponvel: https://ins3rt.s3.amazonaws.com/media/papers/sacm.pdf

[9] D. E. BELL e L. J. LaPadula (maro/1976). Secure Computer Systems: Unified Exposition and Multics Interpretation. ESD-TR-75-306, MTR 2997, Rev 1. The Mitre Corporation

[10] J. McLean (Abril/1988). The Algebra of Security. Apresentado na IEEE Symposium of Security and Privacy, Oakland

[11] A. P. C. Silva, C. M. Westphall e C. B. Westphal. ChiWa: Implementao da Segurana Multilateral atravs do Refinamento da Poltica Chinese Wall. Laboratrio de Redes e Gerncia UFSC

[12] A. Pfitzmann, Multilateral Security: Enabling Technologies and Their Evaluation. Informatics: 10 Years Back. 10 Years Ahead , pp 50-62, Nov/2001 - Computer Science 2000

[13] T. H. Tsai, Y. C. Chen, H. C. Huang, P. M. Huang e K. S. Chou. A Practical Chinese Wall Security Model in Cloud Computing. Information & Communication Security Lab - Chunghwa Telecom Laboratories - Taoyuan, R.O.C.

[14] V. Gupta (Dez/2009). Chinese Wall Security Policy Dissertao de Mestrado Department of Computer Science San Jose State University [Online] Disponvel http://scholarworks.sjsu.edu/etd_projects/

Leidmar M. Festa Atualmente atua no ramo de consultoria imobiliria e creditcia no Banco do Brasil S.A. especialista em Desenvolvimento de Sistemas Web pelas Faculdades Opet (2011), possui Certificao em Investimentos pela ANBID (2011), graduado em Bacharelado em Cincia da Computao pela Universidade Federal do Paran (2005) e tambm formado

Tcnico em Eletrnica pelo CEFET-PR(1999). Em sua atividade acadmica, abordou principalmente temas relacionados a melhoria de mtodos de afinamento de imagens (thinning) de Zhang-Suen, Stentiford, Holt e Mb, criao de projetos de armazenamento de dados de urnas eletrnicas simplificadas para pequenos grupos (latches e demais circuitos eletrnicos digitais) e tambm Cloud Computing com possveis aplicaes com fins sociais.