2 pol ticas modelos e mecanismos de seguran a
Download
Skip this Video
Download Presentation
2 Políticas, Modelos e Mecanismos de Segurança

Loading in 2 Seconds...

play fullscreen
1 / 46

2 Políticas, Modelos e Mecanismos de Segurança - PowerPoint PPT Presentation


  • 95 Views
  • Uploaded on

2 Políticas, Modelos e Mecanismos de Segurança. O papel do controle de acesso Matriz de controle de acesso Resultados fundamentais Políticas de segurança Modelos de segurança Mecanismos e implementação. Modelos de segurança (1). Modelo Bell-LaPadula ( Bell & LaPadula, 1975 )

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 2 Políticas, Modelos e Mecanismos de Segurança' - brygid


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
2 pol ticas modelos e mecanismos de seguran a
2Políticas, Modelos e Mecanismos de Segurança
  • O papel do controle de acesso
  • Matriz de controle de acesso
  • Resultados fundamentais
  • Políticas de segurança
  • Modelos de segurança
  • Mecanismos e implementação

(C) 2005 Gustavo Motta

modelos de seguran a 1
Modelos de segurança(1)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975)
  • Modelo Clark-Wilson (Clark & Wilson, 1987)
  • Modelo Chinese Wall (Brewer & Nash, 1989)
  • Controle de acesso controlado pelo originador (ORCON)
  • Controle de Acesso Baseado em Papéis (Ferraiolo et al., 2001)

(C) 2005 Gustavo Motta

modelos de seguran a 2
Modelos de segurança(2)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (1)
    • Política de confidencialidade
      • Lida com o fluxo da informação
      • Prevenir a liberação não autorizada da informação
    • Modelo de segurança multinível
      • Classificação no estilo militar
    • Influência para muitos outros modelos e também no desenvolvimento de tecnologias de segurança computacional

(C) 2005 Gustavo Motta

modelos de seguran a 3
Modelos de segurança(3)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (2)
    • Versão preliminar (2)
      • Níveis (liberações ou clearance) de segurança dispostos em ordem linear
        • Super secreto: mais alto
        • Secreto
        • Confidencial
        • Não classificado: mais baixo
      • Níveis são associados a sujeitos e objetos
        • Um sujeito s tem liberação de segurança L(s)
        • Um objeto tem classificação de segurança L(o)

(C) 2005 Gustavo Motta

modelos de seguran a 4
Modelos de segurança(4)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (3)
    • Versão preliminar (2) – exemplo
  • Tamara pode ler todos os arquivos
  • Clara não pode ler arquivos pessoais ou de e-mail
  • Lila somente pode ler a lista telefônica

(C) 2005 Gustavo Motta

modelos de seguran a 5
Modelos de segurança(5)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (4)
    • Versão preliminar (2) - Leitura da informação
      • A informação flui para cima e não para baixo
        • “Reads up” proibido, “reads down” permitido
      • Condição de segurança simples
        • Um sujeito s pode ler o objeto o se e somente se, L(o) ≤ L(s) e s tem permissão para ler o
          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)
        • Também chamada de regra “no reads up”

(C) 2005 Gustavo Motta

modelos de seguran a 6
Modelos de segurança(6)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (5)
    • Versão preliminar (3) - Escrita da informação
      • A informação flui para cima e não para baixo
        • “Writes up” permitido, “writes down” proibido
      • Propriedade-*
        • Um sujeito s pode escrever no objeto o se e somente se, L(s) ≤ L(o) e s tem permissão para escrever em o
          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para escrita)
        • Também chamada de regra “no writes down”

(C) 2005 Gustavo Motta

modelos de seguran a 7
Modelos de segurança(7)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (6)
    • Versão preliminar (4)
      • Teorema básico da segurança
        • Seja  um sistema com um estado inicial seguro 0 e seja T um conjunto de transformações de estado. Se cada elemento de Tpreservaa condição de segurança simples e a propriedade-*, então cada i, i 0, é seguro
          • Prova: indução no número de transições

(C) 2005 Gustavo Motta

modelos de seguran a 8

{NUC, EUR, US}

{NUC, EUR}

{NUC, US}

{EUR, US}

{NUC}

{EUR}

{US}

Modelos de segurança(8)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (7)
    • Versão estendida (1)
      • Expande a noção de nível de segurança para incluir categorias
      • Um nível de segurança tem a forma (liberação, conjunto de categorias)
      • Exemplos
        • (Super secreto, {NUC, EUR, ASI })
        • (Confidencial, {EUR, ASI })
        • (Secreto, {NUC, ASI })
      • As categorias geram um reticulado
        • Linhas representam a relação de ordem induzida por 

(C) 2005 Gustavo Motta

modelos de seguran a 9
Modelos de segurança(9)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (8)
    • Versão estendida (2)
      • Níveis e reticulados definem a relação dom (domina)
        • O nível de segurança (L, C) dom (domina) o nível de segurança (L, C) se e somente se L ≤ L and CC
      • Exemplos
        • (Super Secreto, {NUC, US}) dom (Secreto, {NUC})
        • (Secreto, {NUC, EUR}) dom (Confidencial,{NUC, EUR})
        • (Super Secreto, {NUC}) dom (Confidencial, {EUR})
      • Sejam C o conjunto de classificações e K o conjunto de categorias. O conjunto de níveis de segurança L = C  K, e a relação dom formam um reticulado
        • lub(L) = (max(A),C)
        • glb(L) = (min(A), )

(C) 2005 Gustavo Motta

modelos de seguran a 10
Modelos de segurança(10)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (9)
    • Versão estendida (3)
      • Níveis e ordenação
        • Níveis de segurança são parcialmente ordenados
          • Pares quaisquer de níveis de segurança podem ou não serem relacionados por dom
        • A relação “domina” tem o mesmo papel que a relação “maior que”  na versão preliminar do modelo
          • Embora,  seja uma relação de ordem total e não parcial

(C) 2005 Gustavo Motta

modelos de seguran a 11
Modelos de segurança(11)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (10)
    • Versão estendida (4) - Leitura da informação
      • A informação flui para cima e não para baixo
        • “Reads up” proibido, “reads down” permitido
      • Condição de segurança simples
        • Um sujeito s pode ler o objeto o se e somente se, L(s) dom L(o) e s tem permissão para ler de o
          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)
        • Também chamada de regra “no reads up”

(C) 2005 Gustavo Motta

modelos de seguran a 12
Modelos de segurança(12)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (11)
    • Versão estendida (5) - Escrita da informação
      • A informação flui para cima e não para baixo
        • “Writes up” permitido, “writes down” proibido
      • Propriedade-*
        • Um sujeito s pode escrever no objeto o se e somente se, L(o) dom L(s) e s tem permissão para escrever em o
          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)
        • Também chamada de regra “no writes down”

(C) 2005 Gustavo Motta

modelos de seguran a 13
Modelos de segurança(13)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (12)
    • Versão estendida (6)
      • Teorema básico da segurança
        • Seja  um sistema com um estado inicial seguro 0 e seja T um conjunto de transformações de estado. Se cada elemento de Tpreservaa condição de segurança simples e a propriedade-*, então cada i, i 0, é seguro
          • Prova: indução no número de transições

(C) 2005 Gustavo Motta

modelos de seguran a 14
Modelos de segurança(14)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (13)
    • Problema
      • Um coronel tem nível (Secreto, {NUC, EUR})
      • Um major tem nível (Secreto, {EUR})
        • O major pode falar com o coronel (“write up” ou “read down”)
        • O coronel não pode falar com o major (“read up” ou “write down”)
      • Obviamente, isto é um absurdo!

(C) 2005 Gustavo Motta

modelos de seguran a 15
Modelos de segurança(15)
  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (14)
    • Solução
      • Definir os níveis máximo e corrente para um sujeito
        • nível_max(s) domnível_corrente(s)
      • Exemplo
        • Tratar o major como um objeto (o coronel está escrevendo para ele)
        • O coronel tem nível_max (Secreto, { NUC, EUR })
        • O coronel define seu nível_corrente para (Secreto, { EUR })
        • Agora L(Major) dom nível_corrente(Coronel)
          • O coronel pode escrever para o major sem violar a regra “no writes down”
        • L(s) significa nível_corrente(s) or nível_max(s)?
          • Precisa-se de uma notação mais precisa e formal

(C) 2005 Gustavo Motta

modelos de seguran a 16
Modelos de segurança(16)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (1)
    • Política de integridade
      • Difere das políticas militares por enfatizar a preservação da integridade dos dados
      • Requisitos (Lipner, 1982)
        • Usuários não escrevem seus próprios programas, mas usam programas e bancos de dados de produção
        • Programadores desenvolvem e testam programas em sistemas que não são de produção. Caso necessitem de dados de produção, esses serão fornecidos por um processo especial para serem usados no ambiente de desenvolvimento
        • Um processo especial deve ser seguido para instalar um programa do ambiente de desenvolvimento para o ambiente de produção
        • O processo especial no requisito 3 deve ser controlado e auditado
        • Os administradores e auditores devem ter acesso tanto ao estado do sistema, quanto aos logs de sistema gerados
      • Estes requisitos sugerem vários princípios de operação

(C) 2005 Gustavo Motta

modelos de seguran a 17
Modelos de segurança(17)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (2)
      • Princípios
        • Separação de responsabilidades
          • Caso dois ou mais passos sejam requeridos para realizar uma função crítica, pelo menos duas pessoas diferentes devem executar os passos
        • Separação de função
          • Desenvolvedores não devem desenvolver novos programas em ambientes de produção, nem processar dados de produção em ambientes de desenvolvimento
        • Auditoria
          • Sistemas comerciais devem permitir auditorias abrangentes, requerendo, portanto, logs também abrangentes
        • Necessidade de saber
          • Se um indivíduo necessita saber uma informação específica para desempenhar sua função, o acesso a informação é concedido
      • Políticas comerciais geralmente demandam uma administração descentralizada, enquanto as militares requerem administração centralizada

(C) 2005 Gustavo Motta

modelos de seguran a 18
Modelos de segurança(18)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (3)
    • Foco nas transações das aplicações comerciais e na separação de responsabilidades
    • Integridade definida por um conjunto de restrições
      • Os dados estão em estado consistente (válido) quando as restrições são satisfeitas
    • Exemplo: banco
      • D depósitos diários, SQ saques, SA saldo do dia anterior, SH saldo de hoje
        • Restrição de integridade: SH = D + SA – SQ
    • Transações bem formadas (TBF) levam o sistema de um estado consistente para outro estado consistente
    • Questão: quem examina, certifica que elas foram definidas corretamente?

(C) 2005 Gustavo Motta

modelos de seguran a 19
Modelos de segurança(19)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (4)
    • O modelo (1)
      • Entidades
        • CDIs: itens de dados constrangidos
          • Dados sujeitos a restrições de integridade
        • UDIs: itens de dados não constrangidos
          • Dados não sujeitos a restrições de integridade
        • IVPs: procedimentos de verificação de integridade
          • Procedimentos que verificam se os CDIs estão em conformidade com as restrições de integridade
        • TPs: procedimentos transacionais
          • Procedimentos que levam o sistema de um estado válido para outro estado válido

(C) 2005 Gustavo Motta

modelos de seguran a 20
Modelos de segurança(20)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (5)
    • O modelo (2)
      • Regras de certificação 1 e 2

CR1: quando qualquer IVP executa, ele deve assegurar que todos os CDIs estão num estado válido

CR2: para algum conjunto de CDIs associados, uma TP deve transformar tais CDIs de um estado válido para um outro estado (possivelmente diferente) também válido

          • Define a relação certificada que associa um conjunto de CDIs com uma TP específica
          • Exemplo: TP saldo, CDIs contas-correntes, num banco

(C) 2005 Gustavo Motta

modelos de seguran a 21
Modelos de segurança(21)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (6)
    • O modelo (3)
      • Regras de coerção 1 e 2

ER1: o sistema deve manter as relações certificadas e deve assegurar que somente as TPs certificadas para uma CDI possam operar sobre essa CDI

ER2: o sistema deve associar um usuário a cada TP e conjunto de CDIs. A TP pode acessar tais CDIs em benefício do usuário associado. A TP não pode acessar as CDIs em benefício de um usuário não associado àquela TP e para estas CDIs

          • O sistema deve manter e impor a relação certificada
          • O sistema também deve restringir o acesso baseado na identidade do usuário (relação permitida)

(C) 2005 Gustavo Motta

modelos de seguran a 22
Modelos de segurança(22)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (5)
    • O modelo (4)
      • Usuários e regras

CR3: a relação permitida deve atender os requisitos impostos pelo princípio da separação de responsabilidades

          • A relação permitida é definida por um conjunto de triplas (usuário, TP, {conjunto de CDIs})

ER3: o sistema deve autenticar todo usuário que tente exexcutar uma TP

          • O tipo de autenticação não é especificado e depende de instanciações do modelo
          • A autenticação não é necessária antes do uso do sistema, mas é requerida antes da manipulação de CDIs (que requer o uso de TPs)

(C) 2005 Gustavo Motta

modelos de seguran a 23
Modelos de segurança(23)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (6)
    • O modelo (5)
      • Logging

CR4: todas as TPs devem anexar numa CDI (que permite apenas append) informação suficiente para reconstruir uma operação realizada

          • Esta CDI é o log
          • O auditor dever ser capaz de determinar o que aconteceu durante a revisão das transações
      • Lidando com entradas não confiáveis

CR5: qualquer TP que recebe como entrada uma UDI pode realizar apenas transformações válidas, ou nenhuma transformação, para todos os valores possíveis da UDI. A transformação ou rejeita a UDI ou a transforma numa CDI

          • Num banco, números entrados pelo teclado são UDIs, logo podem ser entradas de TPs. TPs devem validar estes números (para torná-los uma CDI) antes de serem usados; caso a validação falhe, a TP rejeita a UDI

(C) 2005 Gustavo Motta

modelos de seguran a 24
Modelos de segurança(24)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (7)
    • O modelo (6)
      • Separação de responsabilidades no modelo

ER4: apenas o certificador de uma TP pode modificar a lista de entidades associadas com essa TP. Nenhum certificador de TP, ou de uma entidade associada a essa TP, pode, jamais, ter permissão de execução em relação a essa entidade

          • Impõe a separação de responsabilidades para as relações permitida e certificada

(C) 2005 Gustavo Motta

modelos de seguran a 25
Modelos de segurança(25)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (8)
    • Contribuições do modelo
      • Captura o modo como as organizações empresariais trabalham com dados
        • Empresas não classificam dados usando um esquema multinível
        • Empresas impõem a separação de responsabilidades
      • Separa a noção de certificação da noção de coerção
        • Assumindo projeto e implementação corretos, um sistema seguindo esta política assegura que as regras de coerção são obedecidas
        • Entretanto, as regras de certificação requerem intervenção externa e o processo de certificação é, em geral, complexo, e sujeito a erros e a incompletudes
          • Certificadores fazem suposições sobre o que pode ser confiável

(C) 2005 Gustavo Motta

modelos de seguran a 26
Modelos de segurança(26)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (9)
    • Exemplo: implementação UNIX (1)
      • Considera-se a relação permitida

(usuário, TP, { conjunto de CDIs})

      • Cada TP tem um usuário proprietário distinto
        • Estes “usuários” são, na realidade, contas bloqueadas, logo nenhum usuário real pode efetuar login nelas; mas isto fornece a cada TP um UID único para o controle dos direitos de acesso
        • O TP executa com dos direitos de acesso do proprietário e não com os do usuário que executa a TP
      • O grupo de cada TP contém o conjunto de usuários autorizados a executá-lo
      • Cada TP é executável apenas pelo grupo, e não por todo mundo

(C) 2005 Gustavo Motta

modelos de seguran a 27
Modelos de segurança(27)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (10)
    • Exemplo: implementação UNIX (2)
      • Configurações dos CDIs
        • CDIs são propriedade do root ou de algum usuário único com conta bloqueada
        • O grupo de cada CDI contem os usuários donos de TPs autorizados a manipular a CDI
        • Cada TP pode manipular CDIs para um único usuário
      • Exemplos:
        • Acesso à CDI restringido apenas por usuário
          • Na tripla certificada, TP pode ser qualquer TP
          • Coloque as CDIs num grupo contendo todos os usuários autorizados a manipular a CDI
        • Acesso à CDI restringido apenas por TP
          • Na tripla permitida, o usuário pode ser qualquer um
          • As CDIs permitem acesso ao proprietário, o usuário dono da TP
          • A TP autorizada a acessar a CDI pode ser executada por qualquer um

(C) 2005 Gustavo Motta

modelos de seguran a 28
Modelos de segurança(28)
  • Modelo Clark-Wilson (Clark & Wilson, 1987) (11)
    • Exemplo: implementação UNIX (3)
      • Problemas
        • 2 usuários diferentes não podem usar a mesma TP para acessar 2 conjuntos de CDIs distintos
          • Necessita de 2 cópias separadas do TP (uma para cada usuário e conjunto de CDIs)
        • TPs são programas setuid
          • Maior ameaça de modificar privilégios inadequadamente, logo necessita-se reduzir seu número
        • O root pode assumir a identidade dos usuários donos das TPs, portanto, não pode ser separado dos certificadores
          • A resolução deste problema implica numa mudança radical da natureza do root

(C) 2005 Gustavo Motta

modelos de seguran a 29
Modelos de segurança(29)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (1)
    • Foco em conflito de interesses encontrados em ambientes empresariais
      • Considera igualmente a confidencialidade e a integridade
    • Problema:
        • João é consultor de investimentos para o banco A
        • Ele é convidado para prestar consultoria para o banco B
      • A aceitação do convite cria uma situação de conflito de interesses
        • O conselho para um banco pode afetar o seu conselho para outros bancos
          • Os interesses do bancos são conflitantes

(C) 2005 Gustavo Motta

modelos de seguran a 30
Modelos de segurança(30)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (2)
    • Organização
      • Entidades em conflito de interesses são dispostas em classes
      • O acesso dos sujeitos para cada classe é controlado
        • A escrita em cada classe é controlada para assegurar que informações não sejam repassadas violando regras
      • Permite que dados “limpos” sejam vistos por qualquer um

(C) 2005 Gustavo Motta

modelos de seguran a 31

Classe COI de cias de petróleo

Classe COI de bancos

Bank of

America

Shell Oil

Standard Oil

Citibank

Bank of the

W

est

ARCO

Union ’76

Modelos de segurança(31)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (3)
    • Definições
      • Objetos: itens de informação relacionados a uma empresa
      • Dataset empresarial (CD): contêiner de objetos relacionado a uma única companhia
        • Denotado por CD(O)
      • Classe de conflito de interesses (COI): contém datasets de empresas competidoras
        • Denotado por COI(O)
        • Assume-se que cada objeto pertence a exatamente uma classe COI

(C) 2005 Gustavo Motta

modelos de seguran a 32
Modelos de segurança(32)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (4)
    • Elemento temporal
      • Caso João leia qualquer CD numa COI, ele jamais poderá ler outro CD nessa COI
        • Possivelmente, a informação apreendida anteriormente poderá influenciar suas decisões futuras
        • Define-se PR(S) como sendo o conjunto de objetos lidos pelo sujeito S
    • Condição de segurança simples
      • s pode ler o, se e somente se, uma das condições seguintes for verdadeira:
        • Existe um objeto o tal que s tenha acessado o e CD(o) = CD(o)
          • Significa que s leu alguma coisa no dataset de o’
        • Para todo o O,o PR(s) COI(o) ≠ COI(o)
          • Significa que s não leu nenhum objeto da classe de conflito de interesses de o
      • Ignora dados “limpos”
      • Inicialmente, PR(s) = , logo, a acesso para primeira leitura é concedido

(C) 2005 Gustavo Motta

modelos de seguran a 33
Modelos de segurança(33)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (5)
      • Supondo que um único COI tenha n CDs, então pelo menos n sujeitos são necessários para acessar cada CD
    • “Limpeza” de dados
      • Informações públicas podem pertencer a um CD
        • Como são disponíveis para todos, os conflitos de interesses não emergem
        • Logo, não deveriam afetar a capacidade de um consultor lê-los, por exemplo
        • Tipicamente, dados que tiveram toda informação sensível removida podem ser liberados publicamente e são chamados de dados “limpos” (sanitized)
      • Adiciona-se então uma terceira condição à condição de segurança simples:

3. o é um objeto “limpo”

(C) 2005 Gustavo Motta

modelos de seguran a 34
Modelos de segurança(34)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (6)
    • Escrita
      • João e Ana trabalham na mesma corretora
      • João pode ler o CD do Citibank e o CD da cia de petróleo Shell
      • Ana pode ler o CD do Bank of America e o CD da cia de petróleo Shell
      • Caso João possa escrever no CD da cia de petróleo Shell, Ana poderá ler esta informação
        • Logo, indiretamente, ela pode ler informação do CD do Citibank, um claro conflito de interesses

(C) 2005 Gustavo Motta

modelos de seguran a 35
Modelos de segurança(35)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (7)
    • Propriedade-*
      • s pode escrever em o, se e somente se, as seguintes condições forem verdadeiras
        • A condição de segurança simples permite s ler o; e
        • Para todo objeto o não “limpo”, se s pode ler o, então CD(o) = CD(o)
      • Diz-se que s pode escrever para um objeto se todos os objetos (não “limpos”) que ele pode ler estão no mesmo dataset
    • O fluxo de informações não “limpas” fica confinado ao dataset de uma mesma empresa
    • Informações “limpas” podem fluir livremente pelo sistema

(C) 2005 Gustavo Motta

modelos de seguran a 36
Modelos de segurança(36)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (8)
    • Discussão dos modelos Bell-LaPadula e Chinese-Wall
      • Fundamentalmente diferentes
        • O Chinese-Wall não tem rótulos de segurança, enquanto o Bell-LaPadula tem
        • O Chinese-Wall tem a noção de acesso passado, enquanto o Bell-LaPadula não tem
      • Bell-LaPadula pode capturar um estado do Chinese-Wall em qualquer momento
        • Cada par (COI, CD) tem uma categoria de segurança atribuída
        • Duas liberações, S (“sanitized”) and U (“unsanitized”) são definidas
          • U dom S
        • São atribuídos níveis de segurança para sujeitos, desde que para compartimentos sem múltiplas categorias correspondendo a CDs numa mesma classe COI
          • O nível de segurança (U, {Bank of America, ARCO}) é atribuído para João, de modo que ele possa acessar CDs de COIs distintos
          • Embora o Bell-LaPadula possibilite o nível (U, {Bank of America, Citibank)}, o modelo Chinese-Wall o proíbe de existir, porque as categorias (CDs) estão num mesmo COI
          • No exemplo visto, o modelo Chinese-Wall permite a existência de 12 níveis de segurança

(C) 2005 Gustavo Motta

modelos de seguran a 37
Modelos de segurança(37)
  • Modelo ChineseWall (Brewer & Nash, 1989) (9)
    • Discussão dos modelos Bell-LaPadula e Chinese-Wall
      • Bell-LaPadula não é capaz de acompanhar mudanças que ocorrem com o passar do tempo
        • Susana fica doente, Anna precisa substituí-la
          • A historia dos acessos de Ana no ChineseWall indica se ela pode ou não substituí-la
          • Não há como o Bell-LaPadula capturar isto
      • Restrições de acesso se modificam com o passar do tempo
        • Inicialmente, sujeitos no modelo Chinese-Wall podem ler qualquer objeto
        • O modelo Bell-LaPadula restringe o conjunto de objetos que um sujeito pode ler
          • Uma solução, seria, inicialmente, liberar todos os sujeitos para todas as categorias
          • Porém, isto violaria a condição de segurança simples do modelo Chinese-Wall
          • Necessita de uma entidade confiável para modificação dos níveis de segurança no modelo Bell-LaPadula
      • Conclusão: o modelo Bell-LaPadula não pode emular o modelo ChineseWall fielmente, implicando que os dois modelos são distintos

(C) 2005 Gustavo Motta

modelos de seguran a 38
Modelos de segurança(38)
  • Modelo Chinese Wall (Brewer & Nash, 1989) (10)
    • Discussão dos modelos Clark-Wilson e Chinese-Wall
      • O modelo Clark-Wilson cobre vários aspectos de integridade, como validação e verificação, assim como aspectos de controle de acesso
        • Como o modelo Chinese-Wall lida exclusivamente com controle de acesso, não pode emular o modelo Clark-Wilson completamente
        • Considera-se apenas os aspectos de controle de acesso
      • O modelo Chinese Wall trata sujeitos como usuários humanos que executam ou tentam executar transações num sistema
      • Uma única pessoa poderia usar múltiplos processos para violar a condição de segurança simples do modelo Chinese Wall
        • Mas, ainda assim, estaria em conformidade com o modelo Clark-Wilson
        • Entretanto, o modelo Chinese-Wall é consistente com o modelo Clark-Wilson, quando se requer que um “sujeito” seja uma pessoa específica, assim como os processos que atuem em seu benefício

(C) 2005 Gustavo Motta

modelos de seguran a 39
Modelos de segurança(39)
  • Controle de acesso controlado pelo originador (ORCON) (1)
    • Problema
      • Uma organização que crie um documento, deseja controlar sua disseminação
      • Exemplo:
        • Uma empresa de desenvolvimento de software criou e distribui para empresas parceiras o código fonte de um programa. Qualquer disseminação futura deste código deve ser autorizado pelo criador. Ou seja, o acesso é controlado pelo criador (originador)
    • Requisitos
      • Sujeito sS marca objeto oO como ORCON em benefício da organização X. X permite a distribuição de o para sujeitos atuando em benefício da organização Y com as seguintes restrições:
        • o não pode ser liberado para sujeitos atuando em benefício de outras organizações sem a permissão de X, e
        • Quaisquer cópias de o devem ter as mesmas restrições colocadas para ele

(C) 2005 Gustavo Motta

modelos de seguran a 40
Modelos de segurança(40)
  • Controle de acesso controlado pelo originador (ORCON) (2)
    • O controle de acesso discricionáriofalha em atender estes requisitos
      • O proprietário pode modificar quaisquer permissões
        • Não se pode impor a restrição do item 2 anterior
    • O controle de acesso compulsório também falha
      • Primeiro problema: explosão de categorias
        • Categoria C contém o, X, Y, nada mais. Se um sujeito yY deseja ler o, xX faz uma cópia o de o. Note que o tem categoria C. Se y deseja conceder para zZ uma cópia, z deve estar em Y—por definição, ele não está. Caso x deseje conceder para wW o direito de ler o documento, então uma nova categoria C contendo o, X, W é necessária
      • Segundo problema: abstração
        • A classificação no MAC, assim como as categorias, são controladas centralmente, e o acesso também é controlado por uma política centralizada
        • ORCON é controlado localmente

(C) 2005 Gustavo Motta

modelos de seguran a 41
Modelos de segurança(41)
  • Controle de acesso controlado pelo originador (ORCON) (3)
    • O ORCON combina ambos os enfoques – DAC e MAC
      • O proprietário de um objeto não pode modificar os controles de acesso do objeto
      • Quando um objeto é copiado, as restrições de controle de acesso desta fonte também são copiados e anexados à cópia
      • Estas regras são compulsórias – MAC – o proprietário não tem controle
      • O criador (originador) pode alterar as restrições de controle de acesso por sujeito e por objeto
        • O proprietário tem o controle, como no DAC

(C) 2005 Gustavo Motta

modelos de seguran a 42
Modelos de segurança(42)
  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)
    • Acesso regulado segundo os papéis exercidos pelo usuário
      • Um papel denota uma função organizacional
        • Autoridade
        • Responsabilidade
    • Autorizações de acesso são atribuídas para papéis e não usuários

(C) 2005 Gustavo Motta

modelos de seguran a 43
Modelos de segurança(43)
  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)
    • Papéis são atribuídos para usuários de acordo com suas funções
      • Princípio da necessidade de saber/fazer é inerente ao modelo
    • Separação de responsabilidades estática e dinâmica
    • Facilita a administração da política de acesso
      • Visão organizacional
      • Mudanças de pessoal têm baixo impacto
        • Facilita procedimentos de admissão/demissão

(C) 2005 Gustavo Motta

modelos de seguran a 44
Modelos de segurança(44)
  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)
    • Padrão estabelecido pelo NIST
      • ANSI/INCITS 359-2004. Information Technology: Role Based Access Control. InterNational Committee for Information Technology Standards, Feb. 2004. 56 p.
      • Slide Presentation on Proposed RBAC Standard
      • Presentation on RBAC standard (courtesy Wilfredo Alvarez)

(C) 2005 Gustavo Motta

refer ncias 1
Referências (1)
  • BELL, D. e LAPADULA L. Secure Computer System: Unified Exposition and Multics Interpretation. Technical Report MTR-2997 Rev. 1, MITRE Corporation, Bedford, MA (Março 1975).
  • CLARK, D.; WILSON, D. A comparison of commercial and military computer security policies. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1987. Proceedings...p. 184-194.
  • LIPNER, S. Non-Discretionary Controls for Commercial Applications. In: THE 1982 SYMPOSIUM ON PRIVACY AND SECURITY, 1982. Proceedings... p. 2–10.
  • BREWER, D. F. C.; NASH, M. J. The Chinese wall security policy. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1989. Proceedings...p. 206-214.
  • FERRAIOLO, D. F.; SANDHU, R.; GAVRILA, S.; KUHN, D. R.; CHANDRAMOULI, R. Proposed NIST standard for role-based access control. ACM Transactions on Information and System Security, v. 4, n. 3, p. 224-274, ago. 2001.

(C) 2005 Gustavo Motta

ad