查看“︁布魯爾-納什模型”︁的源代码

{{multiple issues|
{{Copyedit|time=2012-07-02T11:24:50+00:00}}
{{Nofootnotes|time=2012-07-02T11:24:50+00:00}}
{{Refimprove|time=2012-07-02T11:24:50+00:00}}
}}
'''布魯爾-納什模型'''（{{lang-en|'''Brewer and Nash model'''}}）是一種提供動態變更可[[存取控制]]以及[[資訊安全]]的架構。這個資訊模式又稱為“'''[[中國長城]]模式'''”（Chinese wall model），建立成[[資訊流模型]]，是為了降低商業組織的[[利益衝突]]。

在布魯爾-納什模型中，區隔了會產生利益衝突的主體（subject）和對象（object）。

==正式定義==

<math>S</math> 模式表示主體，例如，在一家諮詢公司工作的顧問；而 <math>O</math> 表示受保護的對象，例如，銀行或公司的敏感文件。

=== 存取矩陣和存取歷史 ===

布魯爾-納什模型是一個存取矩陣。 <math>M_t: S \times O \rightarrow 2^R</math>。<math>r \in R</math>表示權力，<math>s \in S</math>表示主體，<math>o \in O</math>表示對象，<math>t</math>表示時間。這是表示布魯爾-納什模型的方式： <math>R = \{ read, write, execute \}</math>。

另外，當我們考慮存取歷史， 提供<math>N_t : S \times O \rightarrow 2^R</math>，成立時，<math>N_t (s, o) = \{r_1, \ldots, r_n\}</math> ，如果時間 <math>t' < t</math> ， 主體 <math>s</math> 有對象 <math>o</math> 的權限 <math>r_1, \ldots, r_n</math> 可以讀取。

=== 對象樹 ===

對象被架構在三層的對象樹：保護的對象是樹的葉子，保護對象的父節點代表的公司或部門，其中包括對象。對對象 <math>o</math> 被承諾、分配到 <math>y(o)</math>，反過來說，公司有一個父節點，有利益衝突，對一個給定的對象 <math>x(o)</math>。直觀地說，這意味著如果這兩家公司 A 和 B 在相同的權益類別，而不是與有敏感信息（對象）相同主體時，A 和 B 也可能遇到同一類別的同一衝突。

此外，它標誌著所有主體應該公開的對象，與 <math>y_0</math> 對這些主體根據 <math>x_0 = \{y_0\}</math> 利益類別定義衝突。

=== 閱讀規則 ===

現在系統相關的存取限制已經定義，所以：

第一條規則，如果主體接收和讀取一個對象 <math>o</math> 的閱讀規則狀態，如果主體讀取訪問對象和所有對象已經套用（任何法律）讀取規則了，那他們就是公開的，它們都屬於同一家公司 <math>o</math> 分配或任何其他利益衝突的同一類別 <math>o</math> 。在形式上，這意味著

<math>
read \in M_t(s, o) \wedge \forall o' \in O:
N_t(s, o') \neq \emptyset \rightarrow y(o') = y_0 \vee y(o) = y(o') \vee x(o) \neq x(o')
</math>

=== 重讀規則 ===

如果只透過閱讀規則，並不能排除不必要的資訊流。

也就是說，有可能一個主體 <math>s_1</math> 讀存一個對象 <math>o_1</math> 和寫不同於 <math>o_1</math> 利益類型衝突的對象 <math>o_3</math>。第二個主體 <math>s_2</math> 現在可以優先存取對象 <math>o_2</math> ，這是和對象 <math>o_1</math>同一類型的利益衝突，因為這一間公司也是前一間公司的子公司。現在，<math>s_2</math> 可以藉由非法閱讀 <math>o_3</math> 獲得 <math>y(o_1)</math> 的內幕知識，因為 <math>o_3</math> 和 <math>o_1</math> 的內容相同。

要預防這種情況的資訊流，我們定義下面的重寫規則，其中，如果一個主體接收和讀寫一個對象 <math>o</math>，如果它有讀取 <math>o</math> 的權限，如果任何對象已申請的主體已經是只有讀取的權限，適用於公開的公司或相同於其他被分配的 <math>o</math>。在形式上，這意味著

<math>
write \in M_t(s, o) \wedge \forall o' \in O:
read \in N_t(s, o') \vee y(o') = y_0 \vee y(o) = y(o')
</math>

此規則如此貼切的描述實際案例，一個主體對另一個競爭對手傳遞關於其他利益類別衝突的內幕資訊。

==參見==
* [[Biba model]]
* [[Clark-Wilson model]]
* [[Graham-Denning model]]
* [[Bell-La Padula model]]
* [[利益衝突]]
* [[內線交易]]
* [[格拉斯-斯蒂格尔法案]]

==參考資料==
*Harris, Shon, All-in-one CISSP Exam Guide, Third Edition, McGraw Hill Osborne, Emeryville, California, 2005.

==外部連結==
*{{cite paper
| author = Dr. David F.C. Brewer and Dr. Michael J. Nash
| title = The Chinese Wall Security Policy
| publisher = IEEE
| date = 1989
| booktitle = in: Proceedings of IEEE Symposium on Security and Privacy, 1989, pp. 206-214
| url = http://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
| access-date = 2012-07-02
| archive-date = 2020-09-29
| archive-url = https://web.archive.org/web/20200929202853/https://www.cs.purdue.edu/homes/ninghui/readings/AccessControl/brewer_nash_89.pdf
| dead-url = no
}}

[[Category:计算机安全模型]]