LA POLÍTICA DE SEGURIDAD DE LA MURALLA CHINA

Dr. David FC Brewer y el Dr. Michael J. Nash

SISTEMAS DE SEGURIDAD GAMMA LIMITADOS

9 Glenhurst Close, Backwater, Camberley, Surrey, GUI 7 9BQ, Reino Unido

ABSTRACT
Cualquiera que haya visto la película Wall Street habrá visto una política de seguridad comercial en
acción.

El trabajo reciente de Clark y Wilson y la iniciativa WIPCIS (el Taller sobre Políticas de Integridad
para Sistemas Informáticos de Información) ha llamado la atención sobre la existencia de una
amplia gama de políticas comerciales de seguridad que son significativamente diferentes entre sí y
bastante ajenas a las actuales. “Military” thin king implementado en productos para el mercado de
la seguridad.

Este artículo presenta una teoría matemática básica que implementa una de esas políticas, la
Muralla China, y muestra que no se puede representar correctamente mediante un modelo de Bell-
LaPadula

La política de la Muralla China combina la discreción comercial con controles obligatorios

legalmente exigibles. Se requiere en la operación de muchas organizaciones de servicios financieros
y, por lo tanto, es quizás tan importante para el mundo financiero

Introducción

Hasta hace poco, el pensamiento de la política de seguridad militar ha dominado la dirección de la

investigación de seguridad informática tanto en los EE. UU. como en el Reino Unido. Sin embargo,
el artículo seminal de Clark y Wilson [1] ha llamado la atención sobre el hecho de que las
necesidades de seguridad comercial son tan importantes como las de la comunidad de defensa y, a
través de la iniciativa WIPCIS [2], que los problemas de la comunidad comercial son al menos tan
diversa y relevante para el informático.

Hay muchas políticas de seguridad comercial bien definidas que cubren todos los aspectos del
modelo de Clark y Wilson [3]. Uno de ellos, la política de seguridad del Muro Chino, es quizás tan
importante para algunas partes del mundo comercial como las políticas de Bell y LaPadula [4, 5] lo
son para el ejército. Se puede visualizar más fácilmente como el código de práctica que debe seguir
un analista de mercado que trabaja para una institución financiera que brinda servicios comerciales
corporativos.
Dicho analista debe mantener la confidencialidad de la información que le proporcionen los clientes
de su empresa; esto significa que no puede asesorar a corporaciones donde tiene conocimiento
interno de los planes, el estado o la posición de un competidor.

Sin embargo, el analista es libre de asesorar a las empresas que no compiten entre sí, y también de
recurrir a la información general del mercado. Muchos otros casos de murallas chinas se
encuentran en el mundo financiero.

A diferencia de Bell y LaPadula, el acceso a los datos no está limitado por los atributos de los datos
en cuestión, sino por los datos a los que el sujeto ya tiene derechos de acceso. Esencialmente, los
conjuntos de datos se agrupan en "clases de conflicto de intereses" y, mediante una decisión
obligatoria, todos los sujetos tienen permitido el acceso a un conjunto de datos como máximo
perteneciente a cada clase de conflicto de intereses; la elección real del conjunto de datos es
totalmente ilimitada siempre que se cumpla esta regla obligatoria. Afirmamos que tales políticas no
pueden ser correctamente modeladas por Bell-LaPadula.

Cabe señalar que en el Reino Unido los requisitos de la Muralla China de la Bolsa de Valores del
Reino Unido [6] tienen autoridad de ley [7] y, por lo tanto, representan una política de seguridad
obligatoria, ya sea implementada por medios manuales o automatizados.

Además, la implementación correcta de esta política es importante para las Instituciones

Financieras Inglesas ya que proporciona una defensa legítima contra ciertas clases penales de
delitos bajo su ley.

Murallas Chinas.
Un modelo
Es útil idear un modelo de la política de la Muralla China, no solo para facilitar un razonamiento
sólido de sus propiedades, sino también para permitir la comparación con modelos de otras
políticas.

Dado que, en particular, deseamos compararlo con el modelo Bell-LaPadula (BLP), adoptaremos los
conceptos de sujetos, objetos y etiquetas de seguridad de este último.

Luego, nuestro modelo se desarrolla definiendo primero lo que queremos decir con un muro chino
y luego, diseñando un conjunto de reglas de modo que ninguna persona (sujeto) pueda acceder a
los datos (objetos) en el lado equivocado de ese muro.
organización de la base de datos
Comenzamos definiendo informalmente el concepto de Muralla China y, en particular, lo que
significa estar en el lado equivocado de la misma. Una especificación formal se encuentra en el
Anexo A.

Toda la información corporativa se almacena en un sistema de archivo ordenado jerárquicamente

como el que se muestra en la figura 1. Hay tres niveles de importancia:

a) en el nivel más bajo, consideramos elementos de información individuales, cada uno relacionado
con una sola corporación. De acuerdo con BLP, nos referiremos a los archivos en los que se
almacena dicha información como objetos

b) en el nivel intermedio, agrupamos todos los objetos que conciernen a la misma corporación en lo
que llamaremos un conjunto de datos de la empresa.

c) al más alto nivel, agrupamos todos los conjuntos de datos de empresas cuyas corporaciones
están en competencia. Nos referiremos a cada grupo como una clase de conflicto de interés.

Asociado con cada objeto está el nombre del conjunto de datos de la empresa al que pertenece y el
nombre de la clase de conflicto de intereses a la que pertenece ese conjunto de datos de la
empresa. Por ejemplo, los nombres de las clases de conflicto de intereses podrían ser los
encabezados del sector comercial que se encuentran en los listados de la bolsa de valores
(petroquímica, servicios financieros, etc.); los nombres del conjunto de datos de la empresa podrían
ser los nombres de las empresas enumeradas bajo esos encabezados. Por conveniencia llamemos al
objeto r-ésimo o y referirse a su conjunto de datos de empresa y como y. y su clase de conflicto de
interés como Xr.

Por lo tanto, si nuestro sistema mantuviera información, digamos sobre Eank-A, Oil Company-A y
Oil Company-B:

a) todos los objetos pertenecerían a uno de los tres conjuntos de datos de la empresa (es decir, el
año sería "13ank-A", "Oil Company-A" o "Oil Company-B") y

b) habría dos clases de conflicto de intereses, una para los bancos (que contiene el conjunto de
datos del Banco-A) y otra para las compañías petroleras (que contiene los conjuntos de datos de la
Compañía Petrolera-A y la Compañía Petrolera-B), es decir, x. serían “bancos” o “compañías
petroleras”

Esta estructura es de gran importancia para el modelo y se representa en el anexo como un axioma
(A1).
Seguridad Simple
La base de la política de la Muralla China es que a las personas solo se les permite el acceso a la
información que no entra en conflicto con ninguna otra información que ya posean. En lo que
respecta al sistema informático, la única información que ya posee un usuario debe ser información
que:

a) se mantiene en la computadora, y

b) que el usuario haya accedido previamente.

Por lo tanto, considerando los conjuntos de datos del Banco-A, la Compañía Petrolera-A y la
Compañía Petrolera-B mencionados anteriormente, un nuevo usuario puede elegir libremente
acceder a cualquier conjunto de datos que desee; en cuanto a la computadora

se refiere a que un nuevo usuario no posee ninguna información y por lo tanto no puede existir
ningún conf i icto.

Algún tiempo después, sin embargo, tal conflicto puede existir.

Supongamos que nuestro usuario accede primero al conjunto de datos de Oil Company-A; decimos
que nuestro usuario ahora posee información sobre el conjunto de datos de Oil Company-A.

Algún tiempo después, solicita acceso al conjunto de datos del Banco-A. Esto es bastante permisible
ya que los conjuntos de datos Bank-A y Oi I Company-A pertenecen a diferentes clases de conflicto
de intereses y, por lo tanto, no existe ningún conflicto. Sin embargo, si solicita acceso al conjunto de
datos de Oil Company-B, la solicitud debe ser denegada ya que existe un conflicto entre el conjunto
de datos solicitado (Oi I Company-B) y uno que ya posee (Oil Company-A).
Hacemos notar que no importa si se accedió al conjunto de datos de Oil Company-A antes o
después del conjunto de datos de Bank-A. Sin embargo, si se accediera a Oil Company-B antes de la
solicitud de acceso a Oil Company-B

conjunto de datos Company-A, las restricciones serían bastante diferentes. En este caso, se
denegaría el acceso al conjunto de datos de Oil Company-A y nuestro usuario poseería {"Oil
Company-B", "Bank-A"} (a diferencia de

a la solicitud de acceso al conjunto de datos de Oil Company-B que se deniega y el usuario posee
{“Oil Company-A”, “Bank-A’’]).

Lo que acabamos de describir es una Muralla China. Observamos, en primera instancia, que nuestro
usuario tiene total libertad para acceder a lo que quiera elegir. Sin embargo, una vez que se ha
hecho esa elección inicial, se crea un muro chino para ese usuario alrededor de ese conjunto de
datos y podemos pensar en "el lado equivocado de este muro" como cualquier conjunto de datos
dentro de la misma clase de conflicto de intereses que ese conjunto de datos dentro del Muro. Sin
embargo, el usuario aún tiene la libertad de acceder a cualquier otro conjunto de datos que se
encuentre en una clase diferente de conflicto de intereses, pero tan pronto como se haga esa
elección, el Muro cambia de forma para incluir el nuevo conjunto de datos. Así vemos que la
política de la Muralla China es una sutil combinación de libre elección y control obligatorio.
Más formalmente, podemos introducir el concepto de ELP de un sujeto para representar a un
usuario y, de hecho, cualquier programa que pueda actuar en su nombre. Nuevamente, es
conveniente poder identificar cualquier sujeto en particular, llamémoslo su por el u-ésimo sujeto.

Sin embargo, concluimos que es necesario que la computadora recuerde quién ha accedido a qué.
El Anexo A introduce un dispositivo formalizado (D I ), N, para hacer esto. Esencialmente, N es una
matriz con una Columnas para cada objeto en el sistema y una fila para cada sujeto; por lo tanto,
cualquier celda particular corresponde a un par particular (sujeto, objeto). N simplemente registra
quién ha accedido a qué, en otras palabras, quién posee qué. Por ejemplo, si un sujeto, SU, ha
accedido a algún objeto o entonces, N(u, r) se establecería como verdadero, de lo contrario, se
establecería como falso. Una vez que se concede alguna solicitud de, digamos, SU, para acceder a
algún objeto nuevo, digamos OG, ~, por supuesto, debe actualizarse; en particular, N debe ser
reemplazado por algún nuevo N' en el que ,N'(u, t) toma el valor verdadero.

Dado esto, podemos definir una regla de seguridad (axioma A2 en el Anexo A). Esta regla significa
que:

El acceso solo se otorga si el objeto solicitado:

a) está en el mismo conjunto de datos de la empresa que un objeto al que ya accedió

ese tema, es decir, dentro del Muro, o

b) pertenece a una clase de conflicto de intereses completamente diferente

Esta regla es, sin embargo, insuficiente en sí misma; es necesario asegurarse de que inicialmente, es
decir, antes de que cualquier sujeto haya solicitado acceso a cualquier objeto, que N se haya
inicializado correctamente (falso en todas partes).

Además, es necesario definir IY formalmente la noción de que, dado dicho estado inicial, se
otorgará el primer acceso. Estos dos requisitos se establecen como axiomas AZ y A4
(respectivamente) en el Anexo A.

Esta regla es análoga a la regla de seguridad simple definida en el modelo BLP y dado que estas dos
reglas se compararán entre sí, también llamaremos a nuestra regla (A2) la regla de seguridad
simple. (No es sorprendente que también definamos una regla de propiedad *, vea más adelante).

Accesibilidad
Se expresa la formulación básica de la política de la Muralla China. i en el Anexo A como axiomas Al
-A4. Dados estos, podemos probar algunos teoremas útiles sobre la política. El Anexo A hace esto.
Los dos primeros teoremas simplemente confirman que nuestros conceptos informales de una
muralla china están implícitos en estas reglas, en particular:
T1 ) Una vez que un sujeto ha accedido a un objeto, los únicos otros objetos accesibles por ese
sujeto se encuentran dentro del mismo conjunto de datos de la empresa o dentro de una clase
diferente de conflicto de intereses.

T2) Un sujeto puede tener acceso como máximo a un conjunto de datos de la empresa en cada
clase de conflicto de intereses.

Un tercer teorema se refiere a la consecuencia más pragmática de una política de muralla china, y
es ¿cuántas personas se necesitan para operar una?

T3) Si para alguna clase de conflicto de interés X hay conjuntos de datos de Xv ccinpany, entonces el
número mínimo de sujetos que permitirá que cada objeto sea acceeado por al menos un sujeto es
Xv.

Esto nos dice que es la clase de conflicto de interés con el mayor número de conjuntos de datos de
empresas miembro (L, digamos) la que nos dará la respuesta. Sin embargo, debido a la naturaleza
de libre elección de la política, si dos o más usuarios deciden acceder al mismo conjunto de datos,
este número debe aumentarse.

Además, si tuviéramos una clase de automóviles con 5 empresas de motores (LY = 5) y cinco
usuarios, cada uno con acceso a diferentes empresas de motores, pero todos eligen acceder a la
misma empresa petrolera, Oil Company-A, entonces, ¿quién puede acceder a Oil Company-? ¿B?

Por lo tanto, en la práctica, no es necesariamente la clase de mayor conflicto de intereses la que

nos presenta un problema de accesibilidad. Sin embargo, Lv es el número mínimo de sujetos que se
requiere y, por lo tanto, el número mínimo de analistas que debe emplear la casa de finanzas.

Sanitized Information
Es habitual en la aplicación de la política de la Muralla China que los conjuntos de datos de
empresas contengan datos confidenciales relacionados con empresas individuales, siendo las clases
de conflicto de intereses en los sectores comerciales generales.

Sin embargo, se considera importante poder comparar en general dicha información con la relativa
a otras sociedades. Claramente surge un problema si el acceso a cualquier corporación está
prohibido por la regla de seguridad simple debido a algún acceso previo (un usuario nunca puede
comparar los datos de la Compañía Petrolera-A con los datos de la Compañía Petrolera B, ni puede
comparar los datos del Banco-A con los datos de la Compañía Petrolera- los datos de A si ha tenido
acceso previo a los datos de la Compañía Petrolera-B). Sin embargo, esta restricción puede
eliminarse si utilizamos una forma desinfectada de la información requerida.

La desinfección toma la forma de ocultar la información de una corporación, en particular para

evitar que se descubra la identidad de esa corporación. Obviamente, la desinfección efectiva no
puede funcionar a menos que haya datos suficientes para evitar la inferencia retrospectiva del
origen. Dado que no es el objetivo de este artículo discutir el problema de la inferencia,
supondremos que la desinfección es posible. En la práctica, se ha encontrado que este es el caso
[3].
Parece sensato, por lo tanto, considerar que todos los conjuntos de datos de la empresa, excepto
uno, contienen información confidencial que pertenece a alguna corporación en particular.

Reservamos el conjunto de datos restante, Yo (digamos), para información depurada relacionada

con todas las corporaciones (D2 en el Anexo A).

No es necesario restringir el acceso a dicha información depurada. Esto se puede lograr sin
necesidad de reelaborar ninguno de los gritos anteriores al afirmar que este conjunto de datos de la
empresa distinguida, yo., es el único miembro de alguna clase de conflicto de intereses distinguida,
Xo (A5). En otras palabras, si un objeto lleva la etiqueta de seguridad Yo, también debe llevar la
etiqueta Xo y viceversa. T2 nos dice que todos los sujetos pueden acceder a este conjunto de datos
de la empresa.

Propiedad
Supongamos que dos sujetos, Usuario-A y Usuario-B, tienen entre ellos acceso a los tres conjuntos
de datos, Oi ICompany-A, Oil Company-B y Bank-A, en particular, User-A tiene acceso a Oil
Company-A y Bank- A y el Usuario-B tienen acceso a Oil Company-B y Bank-A. Si el Usuario-A lee
información de Oi I Company-A y la escribe en el Banco-A, entonces el Usuario-B puede leer la
información de Oil Company-A. Sin embargo, esto no debería permitirse debido al conflicto de
intereses entre la Compañía Petrolera-A y la Compañía Petrolera-B.

Por lo tanto, son posibles violaciones indirectas de la política de la Muralla China.

Podemos prevenir tales violaciones insistiendo en que:

El acceso de escritura solo está permitido si

a) los accesos permitidos por la regla de seguridad simple, y

b) no se puede leer ningún objeto que se encuentre en un conjunto de datos de una empresa
diferente a aquel para el que se solicita acceso de escritura y que contenga información sin
depurar.

(A6).

Dada esta regla podemos demostrar que:

T4) El flujo de información no desinfectada se limita a los datos de su propia empresa. Sin embargo,
la información desinfectada puede fluir libremente por todo el sistema.

La regla es análoga a la regla de seguridad de propiedad * definida en el modelo BLP; por lo tanto,
llamaremos a nuestra regla (A6) también la regla de seguridad de la propiedad *.
BELL-LAPADULA
Es instructivo comparar la política de la Muralla China con la del modelo Bell-LaPadula [4, 5]. Ambas
políticas se describen en términos similares: la composición y los atributos de seguridad de los
objetos en cuestión y las reglas de acceso, tanto con respecto a la seguridad simple como a la
propiedad *.

Tomamos cada uno de estos temas a la vez e identificamos una transformación que permite que el
modelo Bell-LaPadula (BLP) describa ese aspecto de la política de la Muralla China con la mayor
fidelidad posible.

Composición de objetos
El modelo BLP no impone restricciones a las interrelaciones entre objetos, en particular, no
requiere que estén organizados jerárquicamente en conjuntos de datos de empresas y clases de
conflicto de intereses. En su lugar, impone una estructura sobre los propios atributos de seguridad.

Cada objeto dentro del modelo BLP [4] tiene una etiqueta de seguridad de la forma (c/ass, {cat})
donde

a) class es la clasificación de la información (por ejemplo, sin clasificar, confidencial, secreta)

b) cat es la categoría formal de la información (por ejemplo, NOFOR).

A diferencia de la política de la Muralla China, BLP también asigna atributos de seguridad a los
sujetos. Son complementarios a las etiquetas de objetos y tienen la forma (claro, NTK) donde:

a) clara es la habilitación del sujeto, es decir, la clasificación máxima a la que se le permite acceder

b) NTK es la necesidad de saber del sujeto, es decir, ¡la suma total! de todas las categorías a las que
se le permita el acceso.

Aunque este esquema de etiquetado aparentemente es bastante diferente del de la figura 1, las
dos composiciones de objetos se pueden unir de manera bastante simple mediante:

a) reservar una clasificación BLP para información desinfectada y otra para información no
desinfectada

b) asignar cada etiqueta de Muralla china (x, y) a una categoría única de BLP

c) Etiquetar cada objeto que contenga información no desinfectada con la categoría BLP
correspondiente a su etiqueta (x, y) y la categoría BLP del conjunto de datos desinfectado (Xo, Yo).
Reglas de acceso

BLP también tiene una regla de seguridad simple y una regla de propiedad *:

a) Seguridad simple: el acceso se otorga solo si la autorización del sujeto es mayor que la
clasificación del objeto y la necesidad de saber del sujeto incluye la(s) categoría(s) del objeto

b) Propiedad *: el acceso de escritura se otorga solo si la clasificación del objeto de salida es mayor
que la clasificación de todos los objetos de entrada y su categoría incluye la categoría (les) de todos
los objetos de entrada.

Hacemos notar que, en contraste con la política de la Muralla China, estas reglas no restringen el
acceso por los objetos que ya posee un sujeto, sino por los atributos de seguridad de los objetos en
cuestión.

Aun así, existe una transformación:

a) dar a todos los sujetos acceso a objetos desinfectados y no desinfectados

b) definir una categoría de necesidad de saber para todas las combinaciones posibles de categoría
de objeto que satisfagan T2

c) asigne una categoría de necesidad de saber a cada tema desde el principio.

Haciendo referencia a la figura 2, por ejemplo, tendríamos 27 combinaciones:

luego asignamos uno de estos a cada sujeto, p. si tuviéramos tres sujetos, Usuario-A, Usuario-B y
Usuario-C, podríamos asignarlos:

Ahora, la regla de seguridad simple de BLP funcionará, ya que hemos otorgado a los sujetos las
combinaciones necesarias de conjuntos de datos de la empresa para los que no existe ningún
conflicto de intereses. La *-propiedad BLP también funciona. La categoría de los objetos de entrada
debe estar incluida en la categoría de los objetos de salida; por lo tanto, los objetos de entrada
deben contener información depurada o ser del mismo conjunto de datos de la empresa que el
objeto de salida.

Además, la información no desinfectada domina la información desinfectada.

Conclusión
Estas transformaciones dan buena cuenta de la capacidad de BLP para modelar la política de
seguridad del Muro Chino; sin embargo, no son del todo satisfactorias.

Por ejemplo, suponga que en el mundo real la administración de repente requiere que el Usuario-A
tenga acceso al conjunto de datos de la empresa-g porque el Usuario-B se enfermó; ¿entonces
que? No podemos simplemente cambiar la necesidad del Usuario-A de-

saber a {O, 1, 8, 3] a menos que sepamos con certeza que aún no ha accedido al conjunto de datos
de la empresa-2; de lo contrario violaríamos la Muralla China. El modelo BLP no proporciona la
información necesaria para responder a esta pregunta.
En segundo lugar, BLP solo funciona si los sujetos no tienen la libertad de elegir a qué conjuntos de
datos de la empresa desean acceder. En otras palabras, estas transformaciones ignoran por
completo la naturaleza de libre elección de la política de la Muralla China. Esta libertad de elección
se puede restaurar (por ejemplo, ampliando la necesidad de saber del sujeto para cubrir todos los
conjuntos de datos de la empresa), pero solo a expensas de no expresar los controles obligatorios.

Por lo tanto, podemos usar BLP para modelar la parte obligatoria o la parte de libre elección de la
política de la Muralla China, pero no ambas al mismo tiempo. ¡Esta es una restricción algo
fundamental ya que la política de la Muralla China requiere ambos! Por lo tanto, el modelo de la
Muralla China debe considerarse distinto de BLP e importante por derecho propio.

CLARK Y WILSON

Es interesante considerar la política de la Muralla China a la luz del trabajo de Clark y Wilson. El
modelo de Clark-Wilson [1] define un conjunto de reglas, basadas en prácticas comerciales de
procesamiento de datos, que juntas tienen el objetivo de mantener la integridad de los datos.

Una de estas reglas (E2), observada en muchos sistemas comerciales [3], describe un grado más
fino de control de acceso que el requerido por BLP.

La compatibilidad del modelo de la Muralla China con E2 es importante debido a la importancia

práctica de esa regla; no sería útil si para satisfacer E2 un sistema no pudiera satisfacer también la
política de la Muralla China.

La regla E2 requiere que el acceso sea controlado sobre la base de un conjunto de relaciones de la
forma (usuario, programa, objeto) que relaciona un usuario, un programa y los objetos a los que
ese programa puede hacer referencia en nombre de ese usuario. De mayor interés es la
observación de que si a todos los usuarios se les permite el acceso a un proceso dado, que a su vez
puede acceder a cualquier objeto, entonces no se sigue que a todos los usuarios se les permita el
acceso a todos los objetos. Esto puede aplicarse en el caso de una política de Muro chino en la que,
por ejemplo, algunos usuarios pueden tener acceso a un paquete de hoja de cálculo, pero es
posible que no se les permita usarlo en todos los conjuntos de datos de la empresa a los que tienen
permiso de acceso.

Una exposición refinada de la política de la muralla china

La política de la Muralla China descrita hasta ahora se refiere a los usuarios del sistema. Así
podemos interpretar el uso de la palabra sujeto en los diversos axiomas, definiciones y teoremas
como usuarios. Para ser más explícitos, definimos usuario como un ser humano que causa o intenta
causar una transacción en un sistema. En particular, es incorrecto asociar sujeto con un par
(usuario, proceso) como arroz, A2 por ejemplo, implicaría que cualquier usuario en particular podría
obtener acceso a dos conjuntos de datos dentro de la misma clase de conflicto de intereses
simplemente accediendo a ellos a través de diferentes procesos.

Entonces podemos acomodar la observación de Clark y Wilson simplemente requiriendo que:

a) los usuarios solo pueden ejecutar ciertos procesos con nombre (A7)

b) esos procesos solo pueden acceder a ciertos objetos (A8).

El axioma A8 se define de tal manera que mantiene la independencia entre lo que se le permite
hacer a un usuario y lo que se le permite hacer a un proceso. Esto permite que la observación de
Clark y Wilson se incorpore a nuestro modelo:

a) sin cambios a ninguna de las teorías anteriores (en particular, simplemente reafirmamos todos
los axiomas, definiciones y teoremas reemplazando sujeto con usuario)

b) redefinir las reglas generales de seguridad simple y de propiedad .* para que sean la conjunción
lógica de todos los permisos de objeto de usuario, acceso de usuario y objeto de proceso.

Por lo tanto, un proceso puede acceder a un objeto si el usuario que lo solicita puede ejecutarlo y
ese usuario, según la política de la Muralla China, puede acceder a ese objeto y ese proceso
también puede acceder a ese objeto; Entonces se permite el acceso de escritura solo si se cumple
la regla de propiedad ,* (A6).

Por lo tanto, concluimos que el modelo de la Muralla China no difiere de las observaciones de Clark
y Wilson.

CONCLUSIONES GENERALES

En este artículo hemos explorado una política de seguridad comercial que representa el
comportamiento requerido de aquellas personas que realizan análisis corporativos para
instituciones financieras. Se puede distinguir de las políticas similares a Bell-LaPadula por la forma
en que los accesos permitidos de un usuario están restringidos por el historial de sus accesos
anteriores.

Hemos demostrado que la representación formal de la política permite correctamente que un

analista de mercado hable con cualquier corporación, lo que no crea un conflicto de intereses con
asignaciones anteriores.

El incumplimiento de esta política se consideraría, en el mejor de los casos, poco profesional y

potencialmente criminalmente fraudulento. En algunos países, demostrar que la política se ha
aplicado es suficiente para brindar protección legal contra los cargos de uso de información
privilegiada.

Por lo tanto, esta es una política comercial real que se puede modelar formalmente, pero no
utilizando un enfoque basado en Bell-LaPadula. Sin embargo, las observaciones de control de
acceso de Clark y Wilson no difieren ni de la política ni de su modelo desarrollado en este
documento.
 ANEXO A
MODELO FORMAL

Sea S un conjunto de sujetos, O un conjunto de objetos y L un conjunto de etiquetas de seguridad

(x, y). Una de estas etiquetas está asociada con cada objeto. Introducimos las funciones X(o) e Y(o)
que determinan respectivamente los componentes x e y de esta etiqueta de seguridad para un
objeto dado o.

Nos referiremos a x como clases de conflicto de intereses, a y como conjuntos de datos de

empresas e introduciremos la notación Xj, Yj para significar X(oj) e Y(oj) respectivamente. Por lo
tanto, para algún objeto yj, xj es su clase de conflicto de intereses e yj es su conjunto de datos de la
empresa.

en otras palabras, si dos objetos O1 y 02 pertenecen al mismo conjunto de datos de la empresa,

también pertenecen a la misma clase de conflicto de intereses.

en otras palabras, si dos objetos 01 y 02 pertenecen a diferentes clases de conflicto de intereses,

entonces deben pertenecer a diferentes conjuntos de datos de empresas.
Definición 1
N, una matriz booleana con elementos ,N(v, c) correspondientes a los miembros de SXO que toman
el valor verdadero si el sujeto sv tiene o ha tenido acceso al objeto Oc o el valor falso si sv no ha
tenido acceso al objeto OQ Una vez que alguna solicitud R(u, r) por parte del sujeto su para acceder
a algún objeto nuevo o ha sido otorgada, entonces N(U, r) debe establecerse como verdadero para
reflejar

el hecho de que ahora se ha concedido el acceso. Por lo tanto, sin pérdida de generalidad, cualquier
solicitud R(u, r) provoca una transición de estado en la que N es reemplazado por algún nuevo N,
N’.

Axioma 2:
El acceso a cualquier objeto Or por cualquier sujeto Su se otorga si y solo si para todo N(u, c) =
verdadero (es decir, por D1 Su ha tenido acceso a Oc)

Axioma 3
N(V, c) = falso, pues todo(v, c) representa un estado inicialmente seguro.

Axioma 4
Si N(u, c) es correcto en todas partes para algún Su, entonces se concede cualquier solicitud R(u, r).

Teorema 1:
Una vez que un sujeto ha accedido a un objeto, los únicos otros objetos accesibles por ese sujeto se
encuentran dentro del mismo conjunto de datos de la empresa o dentro de un tipo de conflicto de
interés diferente.

Prueba
Si esta proposición no es cierta, entonces es posible que algún sujeto su tenga acceso a dos objetos,
Oa y Ob, que tienen el mismo conflicto de intereses pero diferentes conjuntos de datos de la
empresa, es decir,
Supongamos sin pérdida de generalidad que el acceso a Oa se concedió primero. Entonces, cuando
se concedió el acceso a Ob, N(u, a) ya era verdadero y, por lo tanto, por A2 (Xa <> Xb) o (Ya = Yb).
Entonces para que existan nuestros dos objetos Oa y Ob:

que siempre es falso.

Teorema 2:
Un sujeto puede tener acceso como máximo a un conjunto de datos de la empresa en cada clase de
conflicto de interés.

Prueba:

Un sujeto no necesita tener acceso a ningún conjunto de datos ya que por A3, N es inicialmente
falso en todas partes. Supongamos que s“ luego solicita acceso a Op. Esta solicitud tiene éxito en A4
y el sujeto actual tiene acceso a un objeto dentro de un conjunto de datos de la empresa.

Por T1, los únicos objetos accesibles para su iie dentro del mismo conjunto de datos de la empresa
o dentro de una clase diferente de conflicto de intereses, Xq <> Xp. Por lo tanto, como máximo, solo
un conjunto de datos de una empresa dentro de un determinado

la clase de conflicto de intereses es accesible a un solo sujeto.

Teorema 3:
Si para alguna clase de conflicto de intereses X hay conjuntos de datos de empresas Xy, entonces el
número mínimo de sujetos que permitirá que al menos un sujeto acceda a cada objeto es Xy.

Prueba
Supongamos que hay sujetos ?J y para alguna clase de conflicto de interés, X, hay conjuntos de
datos de empresas XV.
Deje que todos estos sujetos tengan acceso al mismo conjunto de datos de la empresa, es decir, N
sujetos tienen acceso al conjunto de datos de la empresa (x, 1); y, por T2, ningún sujeto tiene
acceso a los conjuntos de datos de la empresa (X, 2)... (X, Xy).

Podemos acceder a uno de estos, digamos (X, 2), reasignando uno de los sujetos con acceso a (X, 1)
a (X, 2), es decir, N - 1 sujetos con acceso a (X, 1), uno con acceso a (X, 2) y Xy - 2 conjuntos de datos
inaccesibles.

Por inducción, después de n reasignaciones similares tenemos N - n sujetos con acceso a (X, 1), cne
cada uno para (X, 2)... (X, n + 1) y Xv - (n + 1) conjuntos de datos inaccesibles . Para que todos los
conjuntos de datos sean accesibles, requerimos Xv = (n + 1) siempre que, por supuesto, el número
de sujetos con acceso a (X, 1) sea al menos uno, es decir, N - n > 0. Por lo tanto, requerimos el
menor valor de N tal que:

que tiene un mínimo cuando

Es decir, cuando

SANITIZAR INFORMACIÓN
Definición 2:

Para cualquier objeto Os,

En otras palabras, si un objeto lleva la etiqueta de seguridad Yo entonces también debe llevar la
etiqueta Xo y viceversa. T2 nos dice que todos los sujetos pueden acceder a este conjunto de datos
de la empresa.

Axioma 6:
El acceso de escritura a cualquier objeto Ob por parte de cualquier sujeto Su está permitido si y solo
si N'(u, b) = verdadero y no existe ningún objeto Oa (N'(u, a) = verdadero) que pueda ser leído por
Su para cual:

Teorema 4:

El flujo de información sin desinfectar se limita a su propio conjunto de datos de la empresa; Sin
embargo, la información depurada puede fluir libremente por todo el sistema.

Prueba
lo que significa que la información puede fluir de Oa a Ob.

La clausura transitiva reflexiva T* define entonces todos los flujos de información posibles.

Este es el conjunto de todos los pares de objetos excluidos por A6

Por lo tanto, los únicos flujos de información posibles que quedan después de la introducción de A6
vienen dados por C = T* menos B:

Por lo tanto, la información solo puede fluir entre objetos que pertenecen al mismo conjunto de
datos de la empresa o se originan en el conjunto de datos desinfectado.

EXTENSIÓN PARA CLARK Y WILSON

Ahora presentamos formalmente el conjunto P, el conjunto de procesos que podemos interpretar

como aquellos programas o subprogramas que un usuario puede utilizar para acceder a cualquier
objeto al que la política de la Muralla China le conceda acceso. Dejamos que A sea una relación de
SXP, que representa aquellos procesos que un usuario puede ejecutar. De este modo:

Axioma 7
Un usuario, SU, puede ejecutar un proceso, Of, si y solo si (u, f) es miembro de A.
Aumentamos L para incluir un tercer atributo, z (es decir, L = {(x, y, z)}, donde z es miembro de
algún conjunto Z. Z(oj) es la función que determina el componente Z de la etiqueta de seguridad de
un objeto dado Oj (Zj para abreviar) e introducir PZ para representar el conjunto potencia de Z.
Luego asociamos con todos y cada uno de los procesos, Pf, un miembro de PZ, determinado por la
función PZ(pf), o Pzf para abreviar Afirmamos que los precesos solo pueden acceder a objetos cuyo
atributo z está incluido en los del proceso, es decir.

Axioma 8
Un proceso Pf solo puede acceder a un objeto Or si

Las reglas de acceso ahora se rigen por A2-A4 y A6-A8. En particular, existe un estado inicialmente
seguro cuando ningún usuario ha accedido nunca a ningún objeto (A3) y el primer acceso de
cualquier usuario a cualquier objeto es totalmente libre (A4).

Sin embargo, los usuarios solo pueden acceder a ese objeto (digamos Su y O respectivamente) a
través de algún proceso pf donde (u, f) en A y para el cual Zr subconjunto de Pzf (A7, A8).

Entonces, los usuarios pueden acceder a algún otro objeto O = a través de Pf si y solo si para todos,
N (u, c) q verdadero:

y, finalmente, los usuarios solo pueden escribir información en un objeto Ob siempre que el acceso
no esté prohibido por ninguna de las reglas anteriores y que no exista ningún objeto Oa que se
pueda leer para el cual: