Controle de Acesso
• Define se um USUARIO pode fazer
determinada OPERAÇÃO em uma
INFORMAÇÃO;
• Usuário pode acessar a informações por
diferentes caminhos.
• Como garantir que todos controlam o
acesso?
• Aproximar o controle da informação!!!
Tipos de Controle de Acesso
Controle por Níveis Universais:
• Classifica informação e usuário;
• Publico, interno, restrito, confidencial ou
secreto;
• Cada usuário pode acessar seu nível e os
inferiores;
Tipos de Controle de Acesso
Controle por Dono e Grupo:
• Define um acesso para o dono;
• Outro nível para um grupo;
• E um nível mais restrito para todos os
outros usuários;
Tipos de Controle de Acesso
Controle ACLs:
• Define exatamente o que cada usuário ou
grupo pode acessar;
• Especifica grupo, recurso e operação
• Modelo de autorização: só pode fazer o
que foi explicitamente autorizado;
• Modelo de negação: pode fazer tudo,
exceto o que foi negado;
• Modelo Misto;
Quando usar ?
• Usuário não deve ver todas as
informações;
• Usuário não pode alterar determinadas
informações;
• Facilitar o uso para o usuário, pois ele não
vê tudo;
• Prevenção contra erros do usuário, se
este alterasse certas informações;
ISO 15408
• Para auditoria:
– Mínimo: requisições com acesso = sucesso;
– Básico: todas as requisições;
– Detalhado: incluir as regras que foram
consideradas no momento da requisição;
Outros controles
• Limitação de acesso: altera o acesso sob
determinadas condições. Ex. horário ou
origem da conexão;
• Acesso autorizado por múltiplos usuários;
• Mensagem de acesso: aviso informando o
usuário sobre o acesso ou uso indevido
do sistema.
– Usuário deve confirmar que leu;
– Pode ser útil para questões jurídicas;
• Histórico de acesso:
– Informar quem é o usuário;
– Quando foi feito o último acesso;
– Próprio usuário pode detectar fraudes;
• Travamento de sessão:
– Permitir ao usuário bloquear o console;
– Sem encerrar a sessão;
Download

2.2-Controle de Aces..