2 pol ticas modelos e mecanismos de seguran a
This presentation is the property of its rightful owner.
Sponsored Links
1 / 46

2 Políticas, Modelos e Mecanismos de Segurança PowerPoint PPT Presentation


  • 57 Views
  • Uploaded on
  • Presentation posted in: General

2 Políticas, Modelos e Mecanismos de Segurança. O papel do controle de acesso Matriz de controle de acesso Resultados fundamentais Políticas de segurança Modelos de segurança Mecanismos e implementação. Modelos de segurança (1). Modelo Bell-LaPadula ( Bell & LaPadula, 1975 )

Download Presentation

2 Políticas, Modelos e Mecanismos de Segurança

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


2 pol ticas modelos e mecanismos de seguran a

2Políticas, Modelos e Mecanismos de Segurança

  • O papel do controle de acesso

  • Matriz de controle de acesso

  • Resultados fundamentais

  • Políticas de segurança

  • Modelos de segurança

  • Mecanismos e implementação

(C) 2005 Gustavo Motta


Modelos de seguran a 1

Modelos de segurança(1)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975)

  • Modelo Clark-Wilson (Clark & Wilson, 1987)

  • Modelo Chinese Wall (Brewer & Nash, 1989)

  • Controle de acesso controlado pelo originador (ORCON)

  • Controle de Acesso Baseado em Papéis (Ferraiolo et al., 2001)

(C) 2005 Gustavo Motta


Modelos de seguran a 2

Modelos de segurança(2)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (1)

    • Política de confidencialidade

      • Lida com o fluxo da informação

      • Prevenir a liberação não autorizada da informação

    • Modelo de segurança multinível

      • Classificação no estilo militar

    • Influência para muitos outros modelos e também no desenvolvimento de tecnologias de segurança computacional

(C) 2005 Gustavo Motta


Modelos de seguran a 3

Modelos de segurança(3)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (2)

    • Versão preliminar (2)

      • Níveis (liberações ou clearance) de segurança dispostos em ordem linear

        • Super secreto: mais alto

        • Secreto

        • Confidencial

        • Não classificado: mais baixo

      • Níveis são associados a sujeitos e objetos

        • Um sujeito s tem liberação de segurança L(s)

        • Um objeto tem classificação de segurança L(o)

(C) 2005 Gustavo Motta


Modelos de seguran a 4

Modelos de segurança(4)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (3)

    • Versão preliminar (2) – exemplo

  • Tamara pode ler todos os arquivos

  • Clara não pode ler arquivos pessoais ou de e-mail

  • Lila somente pode ler a lista telefônica

(C) 2005 Gustavo Motta


Modelos de seguran a 5

Modelos de segurança(5)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (4)

    • Versão preliminar (2) - Leitura da informação

      • A informação flui para cima e não para baixo

        • “Reads up” proibido, “reads down” permitido

      • Condição de segurança simples

        • Um sujeito s pode ler o objeto o se e somente se, L(o) ≤ L(s) e s tem permissão para ler o

          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)

        • Também chamada de regra “no reads up”

(C) 2005 Gustavo Motta


Modelos de seguran a 6

Modelos de segurança(6)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (5)

    • Versão preliminar (3) - Escrita da informação

      • A informação flui para cima e não para baixo

        • “Writes up” permitido, “writes down” proibido

      • Propriedade-*

        • Um sujeito s pode escrever no objeto o se e somente se, L(s) ≤ L(o) e s tem permissão para escrever em o

          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para escrita)

        • Também chamada de regra “no writes down”

(C) 2005 Gustavo Motta


Modelos de seguran a 7

Modelos de segurança(7)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (6)

    • Versão preliminar (4)

      • Teorema básico da segurança

        • Seja  um sistema com um estado inicial seguro 0 e seja T um conjunto de transformações de estado. Se cada elemento de Tpreservaa condição de segurança simples e a propriedade-*, então cada i, i 0, é seguro

          • Prova: indução no número de transições

(C) 2005 Gustavo Motta


Modelos de seguran a 8

{NUC, EUR, US}

{NUC, EUR}

{NUC, US}

{EUR, US}

{NUC}

{EUR}

{US}

Modelos de segurança(8)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (7)

    • Versão estendida (1)

      • Expande a noção de nível de segurança para incluir categorias

      • Um nível de segurança tem a forma (liberação, conjunto de categorias)

      • Exemplos

        • (Super secreto, {NUC, EUR, ASI })

        • (Confidencial, {EUR, ASI })

        • (Secreto, {NUC, ASI })

      • As categorias geram um reticulado

        • Linhas representam a relação de ordem induzida por 

(C) 2005 Gustavo Motta


Modelos de seguran a 9

Modelos de segurança(9)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (8)

    • Versão estendida (2)

      • Níveis e reticulados definem a relação dom (domina)

        • O nível de segurança (L, C) dom (domina) o nível de segurança (L, C) se e somente se L ≤ L and CC

      • Exemplos

        • (Super Secreto, {NUC, US}) dom (Secreto, {NUC})

        • (Secreto, {NUC, EUR}) dom (Confidencial,{NUC, EUR})

        • (Super Secreto, {NUC}) dom (Confidencial, {EUR})

      • Sejam C o conjunto de classificações e K o conjunto de categorias. O conjunto de níveis de segurança L = C  K, e a relação dom formam um reticulado

        • lub(L) = (max(A),C)

        • glb(L) = (min(A), )

(C) 2005 Gustavo Motta


Modelos de seguran a 10

Modelos de segurança(10)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (9)

    • Versão estendida (3)

      • Níveis e ordenação

        • Níveis de segurança são parcialmente ordenados

          • Pares quaisquer de níveis de segurança podem ou não serem relacionados por dom

        • A relação “domina” tem o mesmo papel que a relação “maior que”  na versão preliminar do modelo

          • Embora,  seja uma relação de ordem total e não parcial

(C) 2005 Gustavo Motta


Modelos de seguran a 11

Modelos de segurança(11)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (10)

    • Versão estendida (4) - Leitura da informação

      • A informação flui para cima e não para baixo

        • “Reads up” proibido, “reads down” permitido

      • Condição de segurança simples

        • Um sujeito s pode ler o objeto o se e somente se, L(s) dom L(o) e s tem permissão para ler de o

          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)

        • Também chamada de regra “no reads up”

(C) 2005 Gustavo Motta


Modelos de seguran a 12

Modelos de segurança(12)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (11)

    • Versão estendida (5) - Escrita da informação

      • A informação flui para cima e não para baixo

        • “Writes up” permitido, “writes down” proibido

      • Propriedade-*

        • Um sujeito s pode escrever no objeto o se e somente se, L(o) dom L(s) e s tem permissão para escrever em o

          • Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura)

        • Também chamada de regra “no writes down”

(C) 2005 Gustavo Motta


Modelos de seguran a 13

Modelos de segurança(13)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (12)

    • Versão estendida (6)

      • Teorema básico da segurança

        • Seja  um sistema com um estado inicial seguro 0 e seja T um conjunto de transformações de estado. Se cada elemento de Tpreservaa condição de segurança simples e a propriedade-*, então cada i, i 0, é seguro

          • Prova: indução no número de transições

(C) 2005 Gustavo Motta


Modelos de seguran a 14

Modelos de segurança(14)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (13)

    • Problema

      • Um coronel tem nível (Secreto, {NUC, EUR})

      • Um major tem nível (Secreto, {EUR})

        • O major pode falar com o coronel (“write up” ou “read down”)

        • O coronel não pode falar com o major (“read up” ou “write down”)

      • Obviamente, isto é um absurdo!

(C) 2005 Gustavo Motta


Modelos de seguran a 15

Modelos de segurança(15)

  • Modelo Bell-LaPadula (Bell & LaPadula, 1975) (14)

    • Solução

      • Definir os níveis máximo e corrente para um sujeito

        • nível_max(s) domnível_corrente(s)

      • Exemplo

        • Tratar o major como um objeto (o coronel está escrevendo para ele)

        • O coronel tem nível_max (Secreto, { NUC, EUR })

        • O coronel define seu nível_corrente para (Secreto, { EUR })

        • Agora L(Major) dom nível_corrente(Coronel)

          • O coronel pode escrever para o major sem violar a regra “no writes down”

        • L(s) significa nível_corrente(s) or nível_max(s)?

          • Precisa-se de uma notação mais precisa e formal

(C) 2005 Gustavo Motta


Modelos de seguran a 16

Modelos de segurança(16)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (1)

    • Política de integridade

      • Difere das políticas militares por enfatizar a preservação da integridade dos dados

      • Requisitos (Lipner, 1982)

        • Usuários não escrevem seus próprios programas, mas usam programas e bancos de dados de produção

        • Programadores desenvolvem e testam programas em sistemas que não são de produção. Caso necessitem de dados de produção, esses serão fornecidos por um processo especial para serem usados no ambiente de desenvolvimento

        • Um processo especial deve ser seguido para instalar um programa do ambiente de desenvolvimento para o ambiente de produção

        • O processo especial no requisito 3 deve ser controlado e auditado

        • Os administradores e auditores devem ter acesso tanto ao estado do sistema, quanto aos logs de sistema gerados

      • Estes requisitos sugerem vários princípios de operação

(C) 2005 Gustavo Motta


Modelos de seguran a 17

Modelos de segurança(17)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (2)

    • Princípios

      • Separação de responsabilidades

        • Caso dois ou mais passos sejam requeridos para realizar uma função crítica, pelo menos duas pessoas diferentes devem executar os passos

      • Separação de função

        • Desenvolvedores não devem desenvolver novos programas em ambientes de produção, nem processar dados de produção em ambientes de desenvolvimento

      • Auditoria

        • Sistemas comerciais devem permitir auditorias abrangentes, requerendo, portanto, logs também abrangentes

      • Necessidade de saber

        • Se um indivíduo necessita saber uma informação específica para desempenhar sua função, o acesso a informação é concedido

    • Políticas comerciais geralmente demandam uma administração descentralizada, enquanto as militares requerem administração centralizada

(C) 2005 Gustavo Motta


Modelos de seguran a 18

Modelos de segurança(18)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (3)

    • Foco nas transações das aplicações comerciais e na separação de responsabilidades

    • Integridade definida por um conjunto de restrições

      • Os dados estão em estado consistente (válido) quando as restrições são satisfeitas

    • Exemplo: banco

      • D depósitos diários, SQ saques, SA saldo do dia anterior, SH saldo de hoje

        • Restrição de integridade: SH = D + SA – SQ

    • Transações bem formadas (TBF) levam o sistema de um estado consistente para outro estado consistente

    • Questão: quem examina, certifica que elas foram definidas corretamente?

(C) 2005 Gustavo Motta


Modelos de seguran a 19

Modelos de segurança(19)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (4)

    • O modelo (1)

      • Entidades

        • CDIs: itens de dados constrangidos

          • Dados sujeitos a restrições de integridade

        • UDIs: itens de dados não constrangidos

          • Dados não sujeitos a restrições de integridade

        • IVPs: procedimentos de verificação de integridade

          • Procedimentos que verificam se os CDIs estão em conformidade com as restrições de integridade

        • TPs: procedimentos transacionais

          • Procedimentos que levam o sistema de um estado válido para outro estado válido

(C) 2005 Gustavo Motta


Modelos de seguran a 20

Modelos de segurança(20)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (5)

    • O modelo (2)

      • Regras de certificação 1 e 2

        CR1:quando qualquer IVP executa, ele deve assegurar que todos os CDIs estão num estado válido

        CR2: para algum conjunto de CDIs associados, uma TP deve transformar tais CDIs de um estado válido para um outro estado (possivelmente diferente) também válido

        • Define a relação certificada que associa um conjunto de CDIs com uma TP específica

        • Exemplo: TP saldo, CDIs contas-correntes, num banco

(C) 2005 Gustavo Motta


Modelos de seguran a 21

Modelos de segurança(21)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (6)

    • O modelo (3)

      • Regras de coerção 1 e 2

        ER1: o sistema deve manter as relações certificadas e deve assegurar que somente as TPs certificadas para uma CDI possam operar sobre essa CDI

        ER2: o sistema deve associar um usuário a cada TP e conjunto de CDIs. A TP pode acessar tais CDIs em benefício do usuário associado. A TP não pode acessar as CDIs em benefício de um usuário não associado àquela TP e para estas CDIs

        • O sistema deve manter e impor a relação certificada

        • O sistema também deve restringir o acesso baseado na identidade do usuário (relação permitida)

(C) 2005 Gustavo Motta


Modelos de seguran a 22

Modelos de segurança(22)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (5)

    • O modelo (4)

      • Usuários e regras

        CR3: a relação permitida deve atender os requisitos impostos pelo princípio da separação de responsabilidades

        • A relação permitida é definida por um conjunto de triplas (usuário, TP, {conjunto de CDIs})

          ER3: o sistema deve autenticar todo usuário que tente exexcutar uma TP

        • O tipo de autenticação não é especificado e depende de instanciações do modelo

        • A autenticação não é necessária antes do uso do sistema, mas é requerida antes da manipulação de CDIs (que requer o uso de TPs)

(C) 2005 Gustavo Motta


Modelos de seguran a 23

Modelos de segurança(23)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (6)

    • O modelo (5)

      • Logging

        CR4: todas as TPs devem anexar numa CDI (que permite apenas append) informação suficiente para reconstruir uma operação realizada

        • Esta CDI é o log

        • O auditor dever ser capaz de determinar o que aconteceu durante a revisão das transações

    • Lidando com entradas não confiáveis

      CR5: qualquer TP que recebe como entrada uma UDI pode realizar apenas transformações válidas, ou nenhuma transformação, para todos os valores possíveis da UDI. A transformação ou rejeita a UDI ou a transforma numa CDI

      • Num banco, números entrados pelo teclado são UDIs, logo podem ser entradas de TPs. TPs devem validar estes números (para torná-los uma CDI) antes de serem usados; caso a validação falhe, a TP rejeita a UDI

(C) 2005 Gustavo Motta


Modelos de seguran a 24

Modelos de segurança(24)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (7)

    • O modelo (6)

      • Separação de responsabilidades no modelo

        ER4: apenas o certificador de uma TP pode modificar a lista de entidades associadas com essa TP. Nenhum certificador de TP, ou de uma entidade associada a essa TP, pode, jamais, ter permissão de execução em relação a essa entidade

        • Impõe a separação de responsabilidades para as relações permitida e certificada

(C) 2005 Gustavo Motta


Modelos de seguran a 25

Modelos de segurança(25)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (8)

    • Contribuições do modelo

      • Captura o modo como as organizações empresariais trabalham com dados

        • Empresas não classificam dados usando um esquema multinível

        • Empresas impõem a separação de responsabilidades

      • Separa a noção de certificação da noção de coerção

        • Assumindo projeto e implementação corretos, um sistema seguindo esta política assegura que as regras de coerção são obedecidas

        • Entretanto, as regras de certificação requerem intervenção externa e o processo de certificação é, em geral, complexo, e sujeito a erros e a incompletudes

          • Certificadores fazem suposições sobre o que pode ser confiável

(C) 2005 Gustavo Motta


Modelos de seguran a 26

Modelos de segurança(26)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (9)

    • Exemplo: implementação UNIX (1)

      • Considera-se a relação permitida

        (usuário, TP, { conjunto de CDIs})

      • Cada TP tem um usuário proprietário distinto

        • Estes “usuários” são, na realidade, contas bloqueadas, logo nenhum usuário real pode efetuar login nelas; mas isto fornece a cada TP um UID único para o controle dos direitos de acesso

        • O TP executa com dos direitos de acesso do proprietário e não com os do usuário que executa a TP

      • O grupo de cada TP contém o conjunto de usuários autorizados a executá-lo

      • Cada TP é executável apenas pelo grupo, e não por todo mundo

(C) 2005 Gustavo Motta


Modelos de seguran a 27

Modelos de segurança(27)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (10)

    • Exemplo: implementação UNIX (2)

      • Configurações dos CDIs

        • CDIs são propriedade do root ou de algum usuário único com conta bloqueada

        • O grupo de cada CDI contem os usuários donos de TPs autorizados a manipular a CDI

        • Cada TP pode manipular CDIs para um único usuário

      • Exemplos:

        • Acesso à CDI restringido apenas por usuário

          • Na tripla certificada, TP pode ser qualquer TP

          • Coloque as CDIs num grupo contendo todos os usuários autorizados a manipular a CDI

        • Acesso à CDI restringido apenas por TP

          • Na tripla permitida, o usuário pode ser qualquer um

          • As CDIs permitem acesso ao proprietário, o usuário dono da TP

          • A TP autorizada a acessar a CDI pode ser executada por qualquer um

(C) 2005 Gustavo Motta


Modelos de seguran a 28

Modelos de segurança(28)

  • Modelo Clark-Wilson (Clark & Wilson, 1987) (11)

    • Exemplo: implementação UNIX (3)

      • Problemas

        • 2 usuários diferentes não podem usar a mesma TP para acessar 2 conjuntos de CDIs distintos

          • Necessita de 2 cópias separadas do TP (uma para cada usuário e conjunto de CDIs)

        • TPs são programas setuid

          • Maior ameaça de modificar privilégios inadequadamente, logo necessita-se reduzir seu número

        • O root pode assumir a identidade dos usuários donos das TPs, portanto, não pode ser separado dos certificadores

          • A resolução deste problema implica numa mudança radical da natureza do root

(C) 2005 Gustavo Motta


Modelos de seguran a 29

Modelos de segurança(29)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (1)

    • Foco em conflito de interesses encontrados em ambientes empresariais

      • Considera igualmente a confidencialidade e a integridade

    • Problema:

      • João é consultor de investimentos para o banco A

      • Ele é convidado para prestar consultoria para o banco B

    • A aceitação do convite cria uma situação de conflito de interesses

      • O conselho para um banco pode afetar o seu conselho para outros bancos

        • Os interesses do bancos são conflitantes

(C) 2005 Gustavo Motta


Modelos de seguran a 30

Modelos de segurança(30)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (2)

    • Organização

      • Entidades em conflito de interesses são dispostas em classes

      • O acesso dos sujeitos para cada classe é controlado

        • A escrita em cada classe é controlada para assegurar que informações não sejam repassadas violando regras

      • Permite que dados “limpos” sejam vistos por qualquer um

(C) 2005 Gustavo Motta


Modelos de seguran a 31

Classe COI de cias de petróleo

Classe COI de bancos

Bank of

America

Shell Oil

Standard Oil

Citibank

Bank of the

W

est

ARCO

Union ’76

Modelos de segurança(31)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (3)

    • Definições

      • Objetos: itens de informação relacionados a uma empresa

      • Dataset empresarial (CD): contêiner de objetos relacionado a uma única companhia

        • Denotado por CD(O)

      • Classe de conflito de interesses (COI): contém datasets de empresas competidoras

        • Denotado por COI(O)

        • Assume-se que cada objeto pertence a exatamente uma classe COI

(C) 2005 Gustavo Motta


Modelos de seguran a 32

Modelos de segurança(32)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (4)

    • Elemento temporal

      • Caso João leia qualquer CD numa COI, ele jamais poderá ler outro CD nessa COI

        • Possivelmente, a informação apreendida anteriormente poderá influenciar suas decisões futuras

        • Define-se PR(S) como sendo o conjunto de objetos lidos pelo sujeito S

    • Condição de segurança simples

      • s pode ler o, se e somente se, uma das condições seguintes for verdadeira:

        • Existe um objeto o tal que s tenha acessado o e CD(o) = CD(o)

          • Significa que s leu alguma coisa no dataset de o’

        • Para todo o O,o PR(s) COI(o) ≠ COI(o)

          • Significa que s não leu nenhum objeto da classe de conflito de interesses de o

      • Ignora dados “limpos”

      • Inicialmente, PR(s) = , logo, a acesso para primeira leitura é concedido

(C) 2005 Gustavo Motta


Modelos de seguran a 33

Modelos de segurança(33)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (5)

    • Supondo que um único COI tenha n CDs, então pelo menos n sujeitos são necessários para acessar cada CD

  • “Limpeza” de dados

    • Informações públicas podem pertencer a um CD

      • Como são disponíveis para todos, os conflitos de interesses não emergem

      • Logo, não deveriam afetar a capacidade de um consultor lê-los, por exemplo

      • Tipicamente, dados que tiveram toda informação sensível removida podem ser liberados publicamente e são chamados de dados “limpos” (sanitized)

    • Adiciona-se então uma terceira condição à condição de segurança simples:

      3.o é um objeto “limpo”

(C) 2005 Gustavo Motta


Modelos de seguran a 34

Modelos de segurança(34)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (6)

    • Escrita

      • João e Ana trabalham na mesma corretora

      • João pode ler o CD do Citibank e o CD da cia de petróleo Shell

      • Ana pode ler o CD do Bank of America e o CD da cia de petróleo Shell

      • Caso João possa escrever no CD da cia de petróleo Shell, Ana poderá ler esta informação

        • Logo, indiretamente, ela pode ler informação do CD do Citibank, um claro conflito de interesses

(C) 2005 Gustavo Motta


Modelos de seguran a 35

Modelos de segurança(35)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (7)

    • Propriedade-*

      • s pode escrever em o, se e somente se, as seguintes condições forem verdadeiras

        • A condição de segurança simples permite s ler o; e

        • Para todo objeto o não “limpo”, se s pode ler o, então CD(o) = CD(o)

      • Diz-se que s pode escrever para um objeto se todos os objetos (não “limpos”) que ele pode ler estão no mesmo dataset

    • O fluxo de informações não “limpas” fica confinado ao dataset de uma mesma empresa

    • Informações “limpas” podem fluir livremente pelo sistema

(C) 2005 Gustavo Motta


Modelos de seguran a 36

Modelos de segurança(36)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (8)

    • Discussão dos modelos Bell-LaPadula e Chinese-Wall

      • Fundamentalmente diferentes

        • O Chinese-Wall não tem rótulos de segurança, enquanto o Bell-LaPadula tem

        • O Chinese-Wall tem a noção de acesso passado, enquanto o Bell-LaPadula não tem

      • Bell-LaPadula pode capturar um estado do Chinese-Wall em qualquer momento

        • Cada par (COI, CD) tem uma categoria de segurança atribuída

        • Duas liberações, S (“sanitized”) and U (“unsanitized”) são definidas

          • U dom S

        • São atribuídos níveis de segurança para sujeitos, desde que para compartimentos sem múltiplas categorias correspondendo a CDs numa mesma classe COI

          • O nível de segurança (U, {Bank of America, ARCO}) é atribuído para João, de modo que ele possa acessar CDs de COIs distintos

          • Embora o Bell-LaPadula possibilite o nível (U, {Bank of America, Citibank)}, o modelo Chinese-Wall o proíbe de existir, porque as categorias (CDs) estão num mesmo COI

          • No exemplo visto, o modelo Chinese-Wall permite a existência de 12 níveis de segurança

(C) 2005 Gustavo Motta


Modelos de seguran a 37

Modelos de segurança(37)

  • Modelo ChineseWall (Brewer & Nash, 1989) (9)

    • Discussão dos modelos Bell-LaPadula e Chinese-Wall

      • Bell-LaPadula não é capaz de acompanhar mudanças que ocorrem com o passar do tempo

        • Susana fica doente, Anna precisa substituí-la

          • A historia dos acessos de Ana no ChineseWall indica se ela pode ou não substituí-la

          • Não há como o Bell-LaPadula capturar isto

      • Restrições de acesso se modificam com o passar do tempo

        • Inicialmente, sujeitos no modelo Chinese-Wall podem ler qualquer objeto

        • O modelo Bell-LaPadula restringe o conjunto de objetos que um sujeito pode ler

          • Uma solução, seria, inicialmente, liberar todos os sujeitos para todas as categorias

          • Porém, isto violaria a condição de segurança simples do modelo Chinese-Wall

          • Necessita de uma entidade confiável para modificação dos níveis de segurança no modelo Bell-LaPadula

      • Conclusão: o modelo Bell-LaPadula não pode emular o modelo ChineseWall fielmente, implicando que os dois modelos são distintos

(C) 2005 Gustavo Motta


Modelos de seguran a 38

Modelos de segurança(38)

  • Modelo Chinese Wall (Brewer & Nash, 1989) (10)

    • Discussão dos modelos Clark-Wilson e Chinese-Wall

      • O modelo Clark-Wilson cobre vários aspectos de integridade, como validação e verificação, assim como aspectos de controle de acesso

        • Como o modelo Chinese-Wall lida exclusivamente com controle de acesso, não pode emular o modelo Clark-Wilson completamente

        • Considera-se apenas os aspectos de controle de acesso

      • O modelo Chinese Wall trata sujeitos como usuários humanos que executam ou tentam executar transações num sistema

      • Uma única pessoa poderia usar múltiplos processos para violar a condição de segurança simples do modelo Chinese Wall

        • Mas, ainda assim, estaria em conformidade com o modelo Clark-Wilson

        • Entretanto, o modelo Chinese-Wall é consistente com o modelo Clark-Wilson, quando se requer que um “sujeito” seja uma pessoa específica, assim como os processos que atuem em seu benefício

(C) 2005 Gustavo Motta


Modelos de seguran a 39

Modelos de segurança(39)

  • Controle de acesso controlado pelo originador (ORCON) (1)

    • Problema

      • Uma organização que crie um documento, deseja controlar sua disseminação

      • Exemplo:

        • Uma empresa de desenvolvimento de software criou e distribui para empresas parceiras o código fonte de um programa. Qualquer disseminação futura deste código deve ser autorizado pelo criador. Ou seja, o acesso é controlado pelo criador (originador)

    • Requisitos

      • Sujeito sS marca objeto oO como ORCON em benefício da organização X. X permite a distribuição de o para sujeitos atuando em benefício da organização Y com as seguintes restrições:

        • o não pode ser liberado para sujeitos atuando em benefício de outras organizações sem a permissão de X, e

        • Quaisquer cópias de o devem ter as mesmas restrições colocadas para ele

(C) 2005 Gustavo Motta


Modelos de seguran a 40

Modelos de segurança(40)

  • Controle de acesso controlado pelo originador (ORCON) (2)

    • O controle de acesso discricionáriofalha em atender estes requisitos

      • O proprietário pode modificar quaisquer permissões

        • Não se pode impor a restrição do item 2 anterior

    • O controle de acesso compulsório também falha

      • Primeiro problema: explosão de categorias

        • Categoria C contém o, X, Y, nada mais. Se um sujeito yY deseja ler o, xX faz uma cópia o de o. Note que o tem categoria C. Se y deseja conceder para zZ uma cópia, z deve estar em Y—por definição, ele não está. Caso x deseje conceder para wW o direito de ler o documento, então uma nova categoria C contendo o, X, W é necessária

      • Segundo problema: abstração

        • A classificação no MAC, assim como as categorias, são controladas centralmente, e o acesso também é controlado por uma política centralizada

        • ORCON é controlado localmente

(C) 2005 Gustavo Motta


Modelos de seguran a 41

Modelos de segurança(41)

  • Controle de acesso controlado pelo originador (ORCON) (3)

    • O ORCON combina ambos os enfoques – DAC e MAC

      • O proprietário de um objeto não pode modificar os controles de acesso do objeto

      • Quando um objeto é copiado, as restrições de controle de acesso desta fonte também são copiados e anexados à cópia

      • Estas regras são compulsórias – MAC – o proprietário não tem controle

      • O criador (originador) pode alterar as restrições de controle de acesso por sujeito e por objeto

        • O proprietário tem o controle, como no DAC

(C) 2005 Gustavo Motta


Modelos de seguran a 42

Modelos de segurança(42)

  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)

    • Acesso regulado segundo os papéis exercidos pelo usuário

      • Um papel denota uma função organizacional

        • Autoridade

        • Responsabilidade

    • Autorizações de acesso são atribuídas para papéis e não usuários

(C) 2005 Gustavo Motta


Modelos de seguran a 43

Modelos de segurança(43)

  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)

    • Papéis são atribuídos para usuários de acordo com suas funções

      • Princípio da necessidade de saber/fazer é inerente ao modelo

    • Separação de responsabilidades estática e dinâmica

    • Facilita a administração da política de acesso

      • Visão organizacional

      • Mudanças de pessoal têm baixo impacto

        • Facilita procedimentos de admissão/demissão

(C) 2005 Gustavo Motta


Modelos de seguran a 44

Modelos de segurança(44)

  • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)

    • Padrão estabelecido pelo NIST

      • ANSI/INCITS 359-2004. Information Technology: Role Based Access Control. InterNational Committee for Information Technology Standards, Feb. 2004. 56 p.

      • Slide Presentation on Proposed RBAC Standard

      • Presentation on RBAC standard (courtesy Wilfredo Alvarez)

(C) 2005 Gustavo Motta


Refer ncias 1

Referências (1)

  • BELL, D. e LAPADULA L. Secure Computer System: Unified Exposition and Multics Interpretation. Technical Report MTR-2997 Rev. 1, MITRE Corporation, Bedford, MA (Março 1975).

  • CLARK, D.; WILSON, D. A comparison of commercial and military computer security policies. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1987. Proceedings...p. 184-194.

  • LIPNER, S. Non-Discretionary Controls for Commercial Applications. In: THE 1982 SYMPOSIUM ON PRIVACY AND SECURITY, 1982. Proceedings... p. 2–10.

  • BREWER, D. F. C.; NASH, M. J. The Chinese wall security policy. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1989. Proceedings...p. 206-214.

  • FERRAIOLO, D. F.; SANDHU, R.; GAVRILA, S.; KUHN, D. R.; CHANDRAMOULI, R. Proposed NIST standard for role-based access control. ACM Transactions on Information and System Security, v. 4, n. 3, p. 224-274, ago. 2001.

(C) 2005 Gustavo Motta


  • Login