Controle de Acesso • Define se um USUARIO pode fazer determinada OPERAÇÃO em uma INFORMAÇÃO; • Usuário pode acessar a informações por diferentes caminhos. • Como garantir que todos controlam o acesso? • Aproximar o controle da informação!!! Tipos de Controle de Acesso Controle por Níveis Universais: • Classifica informação e usuário; • Publico, interno, restrito, confidencial ou secreto; • Cada usuário pode acessar seu nível e os inferiores; Tipos de Controle de Acesso Controle por Dono e Grupo: • Define um acesso para o dono; • Outro nível para um grupo; • E um nível mais restrito para todos os outros usuários; Tipos de Controle de Acesso Controle ACLs: • Define exatamente o que cada usuário ou grupo pode acessar; • Especifica grupo, recurso e operação • Modelo de autorização: só pode fazer o que foi explicitamente autorizado; • Modelo de negação: pode fazer tudo, exceto o que foi negado; • Modelo Misto; Quando usar ? • Usuário não deve ver todas as informações; • Usuário não pode alterar determinadas informações; • Facilitar o uso para o usuário, pois ele não vê tudo; • Prevenção contra erros do usuário, se este alterasse certas informações; ISO 15408 • Para auditoria: – Mínimo: requisições com acesso = sucesso; – Básico: todas as requisições; – Detalhado: incluir as regras que foram consideradas no momento da requisição; Outros controles • Limitação de acesso: altera o acesso sob determinadas condições. Ex. horário ou origem da conexão; • Acesso autorizado por múltiplos usuários; • Mensagem de acesso: aviso informando o usuário sobre o acesso ou uso indevido do sistema. – Usuário deve confirmar que leu; – Pode ser útil para questões jurídicas; • Histórico de acesso: – Informar quem é o usuário; – Quando foi feito o último acesso; – Próprio usuário pode detectar fraudes; • Travamento de sessão: – Permitir ao usuário bloquear o console; – Sem encerrar a sessão;