Chinese Wall安全模型在商业利益冲突管制中实现.docVIP

Chinese Wall安全模型在商业利益冲突管制中实现 　　【 摘 要 】 利益冲突是一种不正当的商业竞争行为，经常出现在咨询业等商业领域中，通过内幕信息交易的方式造成巨大的商业损失。本文分析了在商业环境中，用户对不可公开信息进行访问而导致了利益冲突问题的行为，并详细探讨Chinese Wall安全模型策略如何有效地避免商业利益冲突产生。该模型主要特点是能追溯用户的历史访问记录，决定该用户对信息的访问权限，从而达到保护商业信息的目的，这也是其它安全模型策略所不具备的。 【 关键词 】 信息安全； Chinese Wall；利益冲突 1 引言 近年来，信息化时代的飞速发展，各领域信息安全问题已成为国家安全、社会稳定和经济发展的重要组成部分。很长一段时间计算机军事安全策略一直是信息安全领域研究的重点，然而，随着商业主体竞争愈演愈烈，人们开始意识到商业信息安全也与军事安全有着同等重要的地位，这些具体表现在对信息的保密性和完整性要求上。现阶段，商业信息化的结合需要严谨的信息安全系统为其提供符合各种级别要求的安全保障，以此来约束不法分子的各种非授权访问行为，例如侵犯个人隐私、泄露商业机密等。 商业安全策略首要目标是确保信息的保密性和完整性。在商业领域中，特别是投资咨询业，如何防止有竞争关系的企业主体之间因信息泄露或内幕交易而产生利益冲突而造成损失，这是对信息安全领域一个严峻的考验，由于现有的安全模型对商业安全保障的支持都是有限的，商业安全策略在实际应用中更多地要求安全模型能同时兼顾到系统中信息的保密性和完整性。因此，为了能符合商业安全要求，就必须建立混合型的信息安全模型策略，确保信息的完整性和保密性能被同时兼顾到位。 现有安全模型中， Chinese Wall和Clark-wilson模型都是关注商业信息保护的安全策略，其中，Chinese Wall 更受咨询业等商业领域的偏爱和关注，原因在于该模型具有记录历史访问信息的机制，通过跟踪用户的历史访问记录，动态地决定该用户当前是否具有访问权限。本文首先简单介绍Chinese Wall模型策略被提出来的背景，接下来将着重分析该模型如何利用安全规则，结合用户对信息的历史访问记录，对用户访问权限做出限制，就像在不可公开的机密信息周围筑起一道坚固的“城墙”，从而实现对商业利益冲突的管制，更好地满足实际的商业安全需求。 2 商业中的利益冲突 Chinese Wall模型最初是由Brewer 和Nash[1]提出的，根据商业安全需求中保护信息的机密性和完整性来定义，模型策略的构想来源于证券机构，此类商业机构的客户类型涵盖了多个领域，难免有些公司客户会同属于相同的业务领域，他们之间就是互为竞争关系。比如在一个企业投资顾问公司里，一个咨询师大部分是同时为若干个企业提供投资咨询服务的，该咨询师就掌握了他所服务的所有企业的全部信息，包括企业的内部机密信息。如果该咨询师所服务的若干企业中有两家企业是在同一行业内的竞争对手，那么我们可以联想到，该咨询师可能会在给一家企业提供咨询过程中，有意或者无意地透露一些自己知道的有关另一家竞争企业的内部信息，使得一方得到利益，另一方遭受损失，这就导致了利益冲突。 每一个投资咨询公司所有企业客户的相关记录以及内部保密数据都会被存储在公司系统里的信息数据库，便于该咨询公司的咨询师们利用这些记录来指导企业管理运营战略或做投资计划，但是当一个投资顾问同时为两家手机厂商做投资计划时，如果这两家手机商的所有信息都可以被该投资顾问访问的情况下，就很有可能造成这两家厂商在投资上存在利益冲突。因此，保证每一个投资咨询师在与不同的客户打交道、提供信息或交易时不会产生内幕交易、引起利益冲突是Chinese Wall安全模型策略需要解决的首要问题。 3 Chinese Wall 模型描述 Chinese Wall安全策略主要包括三大信息存储模块：某家企业的单位信息（C）；该家企业的所有信息集合（Company Data，CD）；该家企业与互为竞争关系企业的全部信息集合（Conflict of Interest，COI ）。该模型规定，每个C只能唯一对应一个CD；每个CD只能唯一对应一个利益冲突类COI；一个COI类却可以同时包含多个CD。假如一家咨询公司的客户有汽车厂商宝马、奔驰，电脑厂商联想、宏碁、华硕，家电制造商海尔、格力、松下，那么该咨询公司需要将这些客户所有的信息存储在Chinese Wall数据库中，以上的客户数据将分为8个信息集合，3个利益冲突类，汽车厂商利益冲突类（宝马、奔驰），电脑制造商利益冲突类（联想、宏碁、华硕），家电制造商利益冲突类（海尔、格力、松下）。 Chinese Wall安全策略对于无任何历史访问记录的