©2002-2004 Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso

©2002-2004 Matt Bishop(C) 2005 Gustavo Motta 1

2Políticas, Modelos e Mecanismos de

Segurança

O papel do controle de acesso

Matriz de controle de acesso

Resultados fundamentais

Políticas de segurança

Modelos de segurançaModelos de segurança

Mecanismos e implementação


Modelos de segurança (1)

Modelo Bell-LaPadula (Bell & LaPadula, 1975)

Modelo Clark-Wilson (Clark & Wilson, 1987)

Modelo Chinese Wall (Brewer & Nash, 1989)

Controle de acesso controlado pelo originador (ORCON)

Controle de Acesso Baseado em Papéis (Ferraiolo et al., 2001)



Modelo Bell-LaPadula (Bell & LaPadula, 1975) (1)

• Política de confidencialidadePolítica de confidencialidade

– Lida com o fluxo da informação

– Prevenir a liberação não autorizada da informação

• Modelo de segurança multinível

– Classificação no estilo militar

• Influência para muitos outros modelos e também no desenvolvimento de

tecnologias de segurança computacional




• Versão preliminar (2)

– Níveis (liberações ou clearance) de segurança dispostos em ordem linear

Super secretoSuper secreto: mais alto

SecretoSecreto

ConfidencialConfidencial

Não classificadoNão classificado: mais baixo

– Níveis são associados a sujeitos e objetos

Um sujeito s tem liberação de segurançaliberação de segurança L(s)

Um objeto tem classificação de segurançaclassificação de segurança L(o)




• Versão preliminar (2) – exemplo

Nível de segurança Sujeito objeto

Super secretoSuper secreto Tamara Arquivos pessoais

SecretoSecreto Samuel Arquivos de e-mail

ConfidencialConfidencial Clara Logs de atividade

Não classificadoNão classificado Lila Lista telefônica

• Tamara pode ler todos os arquivos• Clara não pode ler arquivos pessoais ou de e-mail• Lila somente pode ler a lista telefônica




• Versão preliminar (2) - Leitura da informação

– A informação flui para cima e não para baixo

““Reads up” proibido, “reads down” permitidoReads up” proibido, “reads down” permitido

– Condição de segurança simples

Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((oo) ≤ ) ≤ LL((ss) e ) e ss tem permissão tem permissão

para ler para ler oo

» Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança)

com controle de acesso discricionário (a permissão requerida para leitura)

Também chamada de regra “no reads up”




• Versão preliminar (3) - Escrita da informação


““Writes up” permitido, “writes down” proibidoWrites up” permitido, “writes down” proibido

– Propriedade-*

Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((ss) ≤ ) ≤ LL((oo) e ) e ss tem tem

permissão para escrever em permissão para escrever em oo


com controle de acesso discricionário (a permissão requerida para escrita)

Também chamada de regra “no writes down”




• Versão preliminar (4)

– Teorema básico da segurança

Seja um sistema com um estado inicial seguro 0 e seja T um conjunto de

transformações de estado. Se cada elemento de T preservapreserva a condição de segurança a condição de segurança

simplessimples e a propriedade-* propriedade-*, então cada i, i 0, é seguro

» Prova: indução no número de transições




• Versão estendida (1)

– Expande a noção de nível de segurança para incluir categoriascategorias

– Um nível de segurança tem a forma (liberação, conjunto de categorias)

– Exemplos

(Super secreto, {NUC, EUR, ASI })

(Confidencial, {EUR, ASI })

(Secreto, {NUC, ASI })

– As categorias geram um reticulado

Linhas representam a relação de

ordem induzida por

{NUC, EUR, US}

{NUC, EUR} {NUC, US} {EUR, US}

{US}{EUR}{NUC}





– Níveis e reticulados definem a relação dom (domina)

O nível de segurança (L, C) dom (domina) o nível de segurança (L, C) se e somente se L ≤ L and C C

– Exemplos

(Super Secreto, {NUC, US}) dom (Secreto, {NUC})

(Secreto, {NUC, EUR}) dom (Confidencial,{NUC, EUR})

(Super Secreto, {NUC}) dom (Confidencial, {EUR})

– Sejam C o conjunto de classificações e K o conjunto de categorias. O conjunto de níveis de segurança L = C K, e a relação dom formam um reticulado

lub(L) = (max(A), C)

glb(L) = (min(A), )





– Níveis e ordenação

Níveis de segurança são parcialmente ordenados

» Pares quaisquer de níveis de segurança podem ou não serem relacionados por dom

A relação “domina” tem o mesmo papel que a relação “maior que” na versão

preliminar do modelo

» Embora, seja uma relação de ordem total e não parcial




• Versão estendida (4) - Leitura da informação


““Reads up” proibido, “reads down” permitidoReads up” proibido, “reads down” permitido

– Condição de segurança simples

Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((ss) dom ) dom LL((oo) e ) e ss tem permissão tem permissão

para ler de para ler de oo



Também chamada de regra “no reads up”




• Versão estendida (5) - Escrita da informação


““Writes up” permitido, “writes down” proibidoWrites up” permitido, “writes down” proibido

– Propriedade-*

Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((oo) dom ) dom LL(s) e (s) e ss tem tem

permissão para escrever em permissão para escrever em oo



Também chamada de regra “no writes down”





– Teorema básico da segurança

Seja um sistema com um estado inicial seguro 0 e seja T um conjunto de

transformações de estado. Se cada elemento de T preservapreserva a condição de segurança a condição de segurança

simplessimples e a propriedade-* propriedade-*, então cada i, i 0, é seguro

» Prova: indução no número de transições




• Problema

– Um coronel tem nível (Secreto, {NUC, EUR})

– Um major tem nível (Secreto, {EUR})

O major pode falar com o coronel (“write up” ou “read down”)

O coronel não pode falar com o major (“read up” ou “write down”)

– Obviamente, isto é um absurdo!




• Solução

– Definir os níveis máximo e corrente para um sujeito

nível_max(s) dom nível_corrente(s)

– Exemplo

Tratar o major como um objeto (o coronel está escrevendo para ele)

O coronel tem nível_max (Secreto, { NUC, EUR })

O coronel define seu nível_corrente para (Secreto, { EUR })

Agora L(Major) dom nível_corrente(Coronel)

» O coronel pode escrever para o major sem violar a regra “no writes down”

L(s) significa nível_corrente(s) or nível_max(s)?

» Precisa-se de uma notação mais precisa e formal



Modelo Clark-Wilson (Clark & Wilson, 1987) (1)

• Política de integridadePolítica de integridade

– Difere das políticas militares por enfatizar a preservação da integridade dos dados

– Requisitos (Lipner, 1982)

1. Usuários não escrevem seus próprios programas, mas usam programas e bancos de

dados de produção

2. Programadores desenvolvem e testam programas em sistemas que não são de produção. Caso necessitem de dados de produção, esses serão fornecidos por um processo especial para serem usados no ambiente de desenvolvimento

3. Um processo especial deve ser seguido para instalar um programa do ambiente de desenvolvimento para o ambiente de produção

4. O processo especial no requisito 3 deve ser controlado e auditado

5. Os administradores e auditores devem ter acesso tanto ao estado do sistema, quanto aos logs de sistema gerados

– Estes requisitos sugerem vários princípios de operaçãoprincípios de operação



Modelo Clark-Wilson (Clark & Wilson, 1987) (2)– PrincípiosPrincípios

Separação de responsabilidadesSeparação de responsabilidades

» Caso dois ou mais passos sejam requeridos para realizar uma função crítica, pelo menos duas pessoas diferentes devem executar os passos

Separação de função

» Desenvolvedores não devem desenvolver novos programas em ambientes de produção, nem processar dados de produção em ambientes de desenvolvimento

Auditoria

» Sistemas comerciais devem permitir auditorias abrangentes, requerendo, portanto, logs também abrangentes

Necessidade de saber

» Se um indivíduo necessita saber uma informação específica para desempenhar sua função, o acesso a informação é concedido

– Políticas comerciais geralmente demandam uma administração descentralizada, enquanto as militares requerem administração centralizada




• Foco nas transações das aplicações comerciais e na separação de

responsabilidades

• Integridade definida por um conjunto de restrições

– Os dados estão em estado consistenteconsistente (válido) quando as restrições são satisfeitas

• Exemplo: banco

– D depósitos diários, SQ saques, SA saldo do dia anterior, SH saldo de hoje

Restrição de integridade: SH = D + SA – SQ

• Transações bem formadas (TBF) levam o sistema de um estado consistente para

outro estado consistente

• Questão: quem examina, certifica que elas foram definidas corretamente?quem examina, certifica que elas foram definidas corretamente?




• O modelo (1)

– Entidades

CDIs: itens de dados constrangidos

» Dados sujeitos a restrições de integridade

UDIs: itens de dados não constrangidos

» Dados não sujeitos a restrições de integridade

IVPs: procedimentos de verificação de integridade

» Procedimentos que verificam se os CDIs estão em conformidade com as restrições de

integridade

TPs: procedimentos transacionais

» Procedimentos que levam o sistema de um estado válido para outro estado válido




• O modelo (2)

– Regras de certificação 1 e 2

CR1: quando qualquer IVP executa, ele deve assegurar que todos os

CDIs estão num estado válido

CR2: para algum conjunto de CDIs associados, uma TP deve transformar tais CDIs de um

estado válido para um outro estado (possivelmente diferente) também válido

» Define a relação certificadacertificada que associa um conjunto de CDIs com uma TP específica

» Exemplo: TP saldo, CDIs contas-correntes, num banco




• O modelo (3)

– Regras de coerção 1 e 2

ER1: o sistema deve manter as relações certificadas e deve assegurar que

somente as TPs certificadas para uma CDI possam operar sobre essa CDI

ER2: o sistema deve associar um usuário a cada TP e conjunto de CDIs. A TP pode acessar

tais CDIs em benefício do usuário associado. A TP não pode acessar as CDIs em benefício

de um usuário não associado àquela TP e para estas CDIs

» O sistema deve manter e impor a relação certificadacertificada

» O sistema também deve restringir o acesso baseado na identidade do usuário (relação permitidapermitida)




• O modelo (4)

– Usuários e regras

CR3: a relação permitida deve atender os requisitos impostos pelo

princípio da separação de responsabilidades

» A relação permitida é definida por um conjunto de triplas (usuário, TP, {conjunto de CDIs})

ER3: o sistema deve autenticar todo usuário que tente exexcutar uma TP

» O tipo de autenticação não é especificado e depende de instanciações do modelo

» A autenticação não é necessária antes do uso do sistema, mas é requerida antes da manipulação

de CDIs (que requer o uso de TPs)




• O modelo (5)

– Logging

CR4: todas as TPs devem anexar numa CDI (que permite apenas append)

informação suficiente para reconstruir uma operação realizada

» Esta CDI é o log

» O auditor dever ser capaz de determinar o que aconteceu durante a revisão das transações

– Lidando com entradas não confiáveis

CR5: qualquer TP que recebe como entrada uma UDI pode realizar

apenas transformações válidas, ou nenhuma transformação, para todos os valores

possíveis da UDI. A transformação ou rejeita a UDI ou a transforma numa CDI

» Num banco, números entrados pelo teclado são UDIs, logo podem ser entradas de TPs. TPs

devem validar estes números (para torná-los uma CDI) antes de serem usados; caso a validação

falhe, a TP rejeita a UDI




• O modelo (6)

– Separação de responsabilidades no modelo

ER4: apenas o certificador de uma TP pode modificar a lista de

entidades associadas com essa TP. Nenhum certificador de TP, ou de uma entidade

associada a essa TP, pode, jamais, ter permissão de execução em relação a essa entidade

» Impõe a separação de responsabilidades para as relações permitida e certificadaImpõe a separação de responsabilidades para as relações permitida e certificada




• Contribuições do modelo

– Captura o modo como as organizações empresariais trabalham com dadosCaptura o modo como as organizações empresariais trabalham com dados

Empresas não classificam dados usando um esquema multinível

Empresas impõem a separação de responsabilidades

– Separa a noção de certificação da noção de coerçãoSepara a noção de certificação da noção de coerção

Assumindo projeto e implementação corretos, um sistema seguindo esta política assegura

que as regras de coerção são obedecidas

Entretanto, as regras de certificação requerem intervenção externa e o processo de

certificação é, em geral, complexo, e sujeito a erros e a incompletudes

» Certificadores fazem suposições sobre o que pode ser confiável




• Exemplo: implementação UNIX (1)

– Considera-se a relação permitidapermitida

(usuário, TP, { conjunto de CDIs})

– Cada TP tem um usuário proprietário distinto

Estes “usuários” são, na realidade, contas bloqueadas, logo nenhum usuário real pode

efetuar login nelas; mas isto fornece a cada TP um UID único para o controle dos direitos

de acesso

O TP executa com dos direitos de acesso do proprietário e não com os do usuário que

executa a TP

– O grupo de cada TP contém o conjunto de usuários autorizados a executá-lo

– Cada TP é executável apenas pelo grupo, e não por todo mundo



Modelo Clark-Wilson (Clark & Wilson, 1987) (10)• Exemplo: implementação UNIX (2)

– Configurações dos CDIs

CDIs são propriedade do root ou de algum usuário único com conta bloqueada

O grupo de cada CDI contem os usuários donos de TPs autorizados a manipular a CDI

Cada TP pode manipular CDIs para um único usuário

– Exemplos:

Acesso à CDI restringido apenas por usuário

» Na tripla certificada, TP pode ser qualquer TP

» Coloque as CDIs num grupo contendo todos os usuários autorizados a manipular a CDI

Acesso à CDI restringido apenas por TP

» Na tripla permitida, o usuário pode ser qualquer um

» As CDIs permitem acesso ao proprietário, o usuário dono da TP

» A TP autorizada a acessar a CDI pode ser executada por qualquer um




• Exemplo: implementação UNIX (3)

– Problemas

2 usuários diferentes não podem usar a mesma TP para acessar 2 conjuntos de CDIs

distintos

» Necessita de 2 cópias separadas do TP (uma para cada usuário e conjunto de CDIs)

TPs são programas programas setuidsetuid

» Maior ameaça de modificar privilégios inadequadamente, logo necessita-se reduzir seu número

O root pode assumir a identidade dos usuários donos das TPs, portanto, não pode ser

separado dos certificadores

» A resolução deste problema implica numa mudança radical da natureza do root



Modelo Chinese Wall (Brewer & Nash, 1989) (1)

• Foco em conflito de interessesconflito de interesses encontrados em ambientes empresariais

– Considera igualmente a confidencialidade e a integridade

• Problema:

João é consultor de investimentos para o banco A

Ele é convidado para prestar consultoria para o banco B

– A aceitação do convite cria uma situação de conflito de interesses

O conselho para um banco pode afetar o seu conselho para outros bancos

» Os interesses do bancos são conflitantes




• Organização

– Entidades em conflito de interesses são dispostas em classesEntidades em conflito de interesses são dispostas em classes

– O acesso dos sujeitos para cada classe é controlado

A escrita em cada classe é controlada para assegurar que informações não sejam

repassadas violando regras

– Permite que dados “limpos” sejam vistos por qualquer um



Modelo Chinese Wall (Brewer & Nash, 1989) (3)• Definições

– Objetos: itens de informação relacionados a uma empresa

– Dataset empresarial (CD): contêiner de objetos relacionado a uma única companhia Denotado por CD(O)

– Classe de conflito de interesses (COI): contém datasets de empresas competidoras Denotado por COI(O)

Assume-se que cada objeto pertence a exatamente uma classe COI

Bank of America

Citibank Bank of the West

Classe COI de bancos

Shell Oil

Union ’76

Standard Oil

ARCO

Classe COI de cias de petróleo




• Elemento temporal

– Caso João leia qualquer CD numa COI, ele jamaisjamais poderá ler outro CD nessa COI

Possivelmente, a informação apreendida anteriormente poderá influenciar suas decisões futuras

Define-se PR(S) como sendo o conjunto de objetos lidos pelo sujeito S

• Condição de segurança simples

– s pode ler o, se e somente se, uma das condições seguintes for verdadeira:

1. Existe um objeto o tal que s tenha acessado o e CD(o) = CD(o)

– Significa que s leu alguma coisa no dataset de o’

2. Para todo o O, o PR(s) COI(o) ≠ COI(o)

– Significa que s não leu nenhum objeto da classe de conflito de interesses de o

– Ignora dados “limpos”

– Inicialmente, PR(s) = , logo, a acesso para primeira leitura é concedido




– Supondo que um único COI tenha n CDs, então pelo menos n sujeitos são

necessários para acessar cada CD

• “Limpeza” de dados

– Informações públicas podem pertencer a um CD

Como são disponíveis para todos, os conflitos de interesses não emergem

Logo, não deveriam afetar a capacidade de um consultor lê-los, por exemplo

Tipicamente, dados que tiveram toda informação sensível removida podem ser liberados

publicamente e são chamados de dados “limpos” (sanitized)

– Adiciona-se então uma terceira condição à condição de segurança simples:

3. o é um objeto “limpo”




• Escrita

– João e Ana trabalham na mesma corretora

– João pode ler o CD do Citibank e o CD da cia de petróleo Shell

– Ana pode ler o CD do Bank of America e o CD da cia de petróleo Shell

– Caso João possa escrever no CD da cia de petróleo Shell, Ana poderá ler esta

informação

Logo, indiretamente, ela pode ler informação do CD do Citibank, um claro conflito Logo, indiretamente, ela pode ler informação do CD do Citibank, um claro conflito

de interessesde interesses




• Propriedade-*

– s pode escrever em o, se e somente se, as seguintes condições forem verdadeiras

1. A condição de segurança simples permite s ler o; e

2. Para todo objeto o não “limpo”, se s pode ler o, então CD(o) = CD(o)

– Diz-se que s pode escrever para um objeto se todos os objetos (não “limpos”) que

ele pode ler estão no mesmo dataset

• O fluxo de informações não “limpas” fica confinado ao dataset de uma O fluxo de informações não “limpas” fica confinado ao dataset de uma

mesma empresamesma empresa

• Informações “limpas” podem fluir livremente pelo sistema



Modelo Chinese Wall (Brewer & Nash, 1989) (8)• Discussão dos modelos Bell-LaPadula e Chinese-Wall

– Fundamentalmente diferentesFundamentalmente diferentes

O Chinese-Wall não tem rótulos de segurançaChinese-Wall não tem rótulos de segurança, enquanto o Bell-LaPadula tem

O Chinese-Wall tem a noção de acesso passadoChinese-Wall tem a noção de acesso passado, enquanto o Bell-LaPadula não tem

– Bell-LaPadula pode capturar um estado do Chinese-WallBell-LaPadula pode capturar um estado do Chinese-Wall em qualquer momento

Cada par (COI, CD) tem uma categoria de segurança atribuída

Duas liberações, S (“sanitized”) and U (“unsanitized”) são definidas

» U dom SU dom S

São atribuídos níveis de segurança para sujeitos, desde que para compartimentos sem múltiplas categorias correspondendo a CDs numa mesma classe COI

» O nível de segurança (UU, {Bank of AmericaBank of America, ARCOARCO}) é atribuído para João, de modo que ele possa acessar CDs de COIs distintos

» Embora o Bell-LaPadula possibilite o nível (UU, {Bank of AmericaBank of America, CitibankCitibank)}, o modelo Chinese-Wall o proíbe de existir, porque as categorias (CDs) estão num mesmo COI

» No exemplo visto, o modelo Chinese-Wall permite a existência de 12 níveis de segurança



Modelo Chinese Wall (Brewer & Nash, 1989) (9)• Discussão dos modelos Bell-LaPadula e Chinese-Wall

– Bell-LaPadula não é capaz de acompanhar mudanças que ocorrem com o Bell-LaPadula não é capaz de acompanhar mudanças que ocorrem com o passar do tempopassar do tempo

Susana fica doente, Anna precisa substituí-la

» A historia dos acessos de Ana no Chinese Wall indica se ela pode ou não substituí-la

» Não há como o Bell-LaPadula capturar isto

– Restrições de acesso se modificam com o passar do tempoRestrições de acesso se modificam com o passar do tempo

Inicialmente, sujeitos no modelo Chinese-Wall podem ler qualquer objeto

O modelo Bell-LaPadula restringe o conjunto de objetos que um sujeito pode ler

» Uma solução, seria, inicialmente, liberar todos os sujeitos para todas as categorias

» Porém, isto violaria a condição de segurança simples do modelo Chinese-Wall

» Necessita de uma entidade confiável para modificação dos níveis de segurança no modelo Bell-LaPadula

– Conclusão: o modelo Bell-LaPadula não pode emular o modelo Chinese Wall fielmente, implicando que os dois modelos são distintos



Modelo Chinese Wall (Brewer & Nash, 1989) (10)• Discussão dos modelos Clark-Wilson e Chinese-Wall

– O modelo Clark-Wilson cobre vários aspectos de integridade, como validação e verificação, assim como aspectos de controle de acesso

Como o modelo Chinese-Wall lida exclusivamente com controle de acesso, não pode emular o modelo Clark-Wilson completamente

Considera-se apenas os aspectos de controle de acesso

– O modelo Chinese Wall trata sujeitos como usuários humanos que executam ou tentam executar transações num sistema

– Uma única pessoa poderia usar múltiplos processos para violar a condição de segurança simples do modelo Chinese Wall

Mas, ainda assim, estaria em conformidade com o modelo Clark-Wilson

Entretanto, o modelo Chinese-Wall é consistente com o modelo Clark-Wilson, quando se requer que um “sujeito” seja uma pessoa específica, assim como os processos que atuem em seu benefício



Controle de acesso controlado pelo originador (ORCON) (1)

• Problema

– Uma organização que crie um documento, deseja controlar sua disseminaçãodisseminação

– Exemplo:

Uma empresa de desenvolvimento de software criou e distribui para empresas parceiras o

código fonte de um programa. Qualquer disseminação futura deste código deve ser

autorizado pelo criador. Ou seja, o acesso é controlado pelo criador (originador)

• Requisitos

– Sujeito s S marca objeto o O como ORCON em benefício da organização X. X permite a distribuição de o para sujeitos atuando em benefício da organização Y com as seguintes restrições:

1. o não pode ser liberado para sujeitos atuando em benefício de outras organizações sem a permissão de X, e

2. Quaisquer cópias de o devem ter as mesmas restrições colocadas para ele




• O controle de acesso discricionáriocontrole de acesso discricionário falhafalha em atender estes requisitos

– O proprietário pode modificar quaisquer permissões

Não se pode impor a restrição do item 2 anterior

• O controle de acesso compulsóriocontrole de acesso compulsório também falhafalha

– Primeiro problema: explosão de categorias

Categoria C contém o, X, Y, nada mais. Se um sujeito y Y deseja ler o, x X faz uma cópia o de o. Note que o tem categoria C. Se y deseja conceder para z Z uma cópia, z deve estar em Y—por definição, ele não está. Caso x deseje conceder para w W o direito de ler o documento, então uma nova categoria C contendo o, X, W é necessária

– Segundo problema: abstração

A classificação no MAC, assim como as categorias, são controladas centralmente, e o acesso também é controlado por uma política centralizada

ORCON é controlado localmente




• O ORCON combina ambos os enfoques – DAC e MAC

– O proprietário de um objeto não pode modificar os controles de acesso do

objeto

– Quando um objeto é copiado, as restrições de controle de acesso desta

fonte também são copiados e anexados à cópia

– Estas regras são compulsórias – MAC – o proprietário não tem controle

– O criador (originador) pode alterar as restrições de controle de acesso por

sujeito e por objeto

O proprietário tem o controle, como no DAC



Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1)

• Acesso regulado segundo os papéis exercidos pelo usuário

– Um papel denota uma função organizacional

Autoridade

Responsabilidade

• Autorizações de acesso são atribuídas para papéis e não usuários




• Papéis são atribuídos para usuários de acordo com suas funções

– Princípio da necessidade de saber/fazer é inerente ao modelo

• Separação de responsabilidades estática e dinâmica

• Facilita a administração da política de acesso

– Visão organizacional

– Mudanças de pessoal têm baixo impacto

Facilita procedimentos de admissão/demissão




• Padrão estabelecido pelo NIST

– ANSI/INCITS 359-2004. Information Technology: Role Based Access Control. InterNational

Committee for Information Technology Standards, Feb. 2004. 56 p.

– Slide Presentation on Proposed RBAC Standard

– Presentation on RBAC standard (courtesy Wilfredo Alvarez)


Referências (1)

BELL, D. e LAPADULA L. Secure Computer System: Unified Exposition and Multics Interpretation. Technical Report MTR-2997 Rev. 1, MITRE Corporation, Bedford, MA (Março 1975).

CLARK, D.; WILSON, D. A comparison of commercial and military computer security policies. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1987. Proceedings...

p. 184-194.

LIPNER, S. Non-Discretionary Controls for Commercial Applications. In: THE 1982 SYMPOSIUM ON PRIVACY AND SECURITY, 1982. Proceedings... p. 2–10.

BREWER, D. F. C.; NASH, M. J. The Chinese wall security policy. In: IEEE SYMPOSIUM ON SECURITY AND POLICY, 1989. Proceedings... p. 206-214.

FERRAIOLO, D. F.; SANDHU, R.; GAVRILA, S.; KUHN, D. R.; CHANDRAMOULI, R. Proposed NIST standard for role-based access control. ACM Transactions on Information and System Security, v. 4, n. 3, p. 224-274, ago. 2001.

Documents

©2002-2004 Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso