Princípios de Modelos de Segurança

5/22/2018 Princpios de Modelos de Segurana

1/31

Page 1

1.AbstractNos princpios de 1970, notou-se que os sistemas comerciais no forneciam uma boa

segurana, sendo que ate usurios inexperientes podiam facilmente usufluir das falhas

que os sistemas ofereciam naquela altura.

Foi ai em que tal como vrios dos avanos tecnolgicos, o modelo de BPD (Bell-

LaPadula) foi formulado em ambiente militar. Este modelo atendia a apenas um dos

requisitos de segurana- a confidencialidade. Este modelo foi muito importante pois

introduziu conceitos importantes que serviram de base para a criao de outros modelos.

Logo asseguir a criao do modelo de BPD outros modelos de segurana foram criados.

Sendo que cada modelo foi criado sempre para atender a certo (s) requisito (s) de

segurana.


2/31

Page 2

ndice

1. Abstract .................................................................................................................................. 1

2. Introduo .............................................................................................................................. 4

3. Objectivo ................................................................................................................................ 5

Geral ........................................................................................................................................... 5

Especficos: ................................................................................................................................. 5

4. Metodologia ........................................................................................................................... 5

5. Princpios de modelos de segurana ...................................................................................... 6

5.1. Conceitos importantes ................................................................................................... 6

5.2. Mecanismos de Segurana ............................................................................................. 8

5.3. Modelos de polticas de segurana ................................................................................ 8

5.3.1. Historial dos modelos de polticas de segurana ................................................... 9

5.3.2. Modelo de matriz de acesso ................................................................................ 10

5.3.3. O modelo de Bell-LaPadula .................................................................................. 10

5.3.4. Harrison-Ruzzo-Ullman ........................................................................................ 12

5.3.5. Muralha chinesa ................................................................................................... 15

5.3.6. Modelo de integridade BIBA ................................................................................ 19

5.3.7. Modelo GoguenMeseguer ................................................................................ 22

5.3.8. Modelo Sutherland............................................................................................... 23

5.3.9. Modelo de clarck wilson ....................................................................................... 23

6. Concluso ............................................................................................................................. 29

7. Bibliografia ........................................................................................................................... 30


3/31

Page 3

ndice de figuras

Figura 1: Representao top down da proteo de um sistema de computadores (Anderson,

Stajano, & Lee, s/d) ........................................................................................................................ 6

Figura 2: Matriz de acesso (Teigo, 2006) ................................................................................... 10

Figura 3: Hierarquia de rtulos (Anderson, Stajano, & Lee, s/d)................................................. 11

Figura 4: Revogao sem cascata (Carneiro, 2002) ..................................................................... 14

Figura 5: A revoga permisso a D (Carneiro, 2002) .................................................................... 14

Figura 6:Revogao Com Cascata (Carneiro, 2002) .................................................................... 15

Figura 7: A revoga direito de D (Carneiro, 2002) ........................................................................ 15

Figura 8: Exemplo (Crespo, 2004) ............................................................................................... 17

Figura 9: Acesso a informao dos TAP (Crespo, 2004) ............................................................. 19

Figura 10: Regras de Modelo Obrigatrio de Integridade BIBA (Seidel, 2006) ......................... 21

Figura 11: Modelo BIBA da Marca de gua baixa do Sujeito (Seidel, 2006) .............................. 22
http://d/Henriques/4%20Ano/1%20semestre/Criptografia/2014/work/Princ%C3%ADpios%20de%20modelos%20de%20seguran%C3%A7a.docx%23_Toc387663618http://d/Henriques/4%20Ano/1%20semestre/Criptografia/2014/work/Princ%C3%ADpios%20de%20modelos%20de%20seguran%C3%A7a.docx%23_Toc387663618http://d/Henriques/4%20Ano/1%20semestre/Criptografia/2014/work/Princ%C3%ADpios%20de%20modelos%20de%20seguran%C3%A7a.docx%23_Toc387663618http://d/Henriques/4%20Ano/1%20semestre/Criptografia/2014/work/Princ%C3%ADpios%20de%20modelos%20de%20seguran%C3%A7a.docx%23_Toc387663618


4/31

Page 4

2.IntroduoProvar que um programa correto por meio formal caro, sempre que possvel, tal

abordagem para a garantia rentvel em apenas algumas reas. Uma das mais

importantes delas a rea de segurana, onde o custo de um erro pode ser de bilhes dedlares e, pelo menos na rea de segurana nacional, e a vida humana. Infelizmente,

provar formalmente que um programa seguro especialmente difcil. No que as

provas formais sobre a segurana so intrinsecamente mais difcil do que as provas

sobre outras propriedades, mas sim que o conceito de segurana, em si, mais difcil de

explicar formalmente. Por esta razo, tem havido uma grande quantidade de foco na

explicitao formalmente da segurana atravs da construo de modelos formais de

segurana. (McLean, 1984; Young, 2009)

Se assumirmos que a existncia de um conjunto de objectos, que podem ser

intuitivamente vistos como consistindo de recipientes de informao, e um conjunto de

indivduos, o que pode ser intuitivamente visto como consistindo de agentes que podem

operar em objectos de vrias maneiras, a segurana o problema de governar

adequadamente o acesso dos sujeitos aos objetos. A nossa preocupao neste trabalho

com os requisitos que restringem o acesso que um usurio legtimo pode ter aos

arquivos.

Este artigo descreve modelos de segurana de sistemas de computadores, em geral.

Veremos que a segurana fornece uma rea de pesquisa frutfera para aqueles com um

interesse geral na especificao do software uma vez que algumas das questes mais

difceis que surgem na especificao de segurana tm analogias em outros domnios.


5/31

Page 5

3.ObjectivoGeral:

Fazer uma anlise transversal de princpio de modelos de seguranas; Fornecer uma base para avaliar modelos de segurana no mbito do

desenvolvimento de sistemas de computador seguros. Um nmero de modelos

existentes so resumidos, e algumas consideraes gerais para a concepo e

utilizao de modelos de segurana so apresentados.

Especficos:

Analisar o conceito de princpio de segurana Dar a entender os mecanismos e modelos de princpio de seguranas Descrever os modelos

4.MetodologiaCom vista a materializar os objectivos previamente definidos para o presente trabalho,

vrios mtodos para elaborao de este trabalho foram levados a cabo:

Anlise comparativa das fontes de informao nas quais o grupo baseou-se paraestruturar e compor o trabalho;

Repartio de tarefas de investigao pelos integrantes do grupo, com vista adinamizar a realizao do trabalho. Coube a cada integrante, investigar os contedos que

lehe foram efectados do trabalho, e aps uma discusso e censura, fez-se a integrao

dos mesmos;

As informaes colectadas e posteriormente compiladas tiveram como fontes abiblioteca virtual (internet) e Leitura de livros relacionados com principio de modelo

de segurana e recurso a um um dicionrio (software) eletrnico;

Recolha de dados; Foram tambm feitas anlises dos contedos e tiradas concluses que constam

no presente trabalho.


6/31

Page 6

5.Princpios de modelos de segurana5.1. Conceitos importantes

Segurana

-Segundo (Teigo, 2006) segurana no contexto da palavra em ingls security o

processo que garante as caractersticas de confidencialidade, integridade e

disponibilidade, alm de autenticidade e no-repdio.

Modelo (Para este caso Modelo de Sistema)

Segundo algumas definies tiradas do dicionrio eletrnico (Software) (Babylon)

modelo pode ser:

-Um padro, um exemplo, ou ainda uma abstrao ou aproximao da realidade.

Poltica de segurana

(Anderson, Stajano, & Lee, s/d) Mostra-nos uma representao top down da proteo de

um sistema de computadores e afirma que consiste de 3 nveis, como mostra a figura

abaixo:

Politicas

Middleware

Mecanismos

Figura 1: Representao top down da proteo de um sistema de computadores (Anderson, Stajano, & Lee, s/d)


7/31

Page 7

Onde:

Politicas- este nvel de abstrao representa todo o sistema por metas do sistema de

segurana e requisitos para esse sistema de segurana concisos e formalizados.

Mecanismos- nvel de abstrao que representa mecanismos como hardware de

computao, as primitivas criptogrficas, bem como itens de processos, tais como

verificao biomtrica de indivduos (ris, impresso digital, etc) para fins de

autenticao.

Middleware-este nvel conecta os mecanismos uns com os outros para a construo de

um sistema conforme as politicas.

Podemos ver na figura 1 que as polticas de segurana de um sistema consistem nos

princpios de segurana, visto que as politicas se encontram no topo da pirmide.

Antes da implementao de qualquer sistema de segurana necessrio que sejam

definidas as metas (isto , para qual objectivo o sistema foi desenhado), e os requisitos

para atingir tais metas.

(Anderson, Stajano, & Lee, s/d)Define uma poltica de seguranacomo um conjunto de

documentos de alto nvel que anunciam com preciso que objectivos os mecanismos de

proteo querem alcanar.

(Teigo, 2006) Contribui para a nossa literatura dizendo que uma poltica de segurana

descreve as regras para um sujeito poder exercer um direito sobre um objeto.

(Teigo, 2006)Afirma tambm que as polticas devem indicar, tambm, o que deve ser

feito caso elas sejam violadas. Por exemplo, caso estejamos interessados em manter aintegridade de um sistema, uma poltica poderia definir que, caso o sistema seja violado,

os objetos protegidos que foram afetados devem ser marcados como no chonveis,

indicando que estes objetos no podem mais ser tratados como ntegros.


8/31

Page 8

5.2. Mecanismos de SeguranaSegundo (Teigo, 2006) existem os seguintes tipos de mecanismos de segurana:

Discricionrios ou baseados em identidade-estes mecanismos controlam

individualmente quais sujeitos possuem direitos sobre objetos, e quais estes direitos so.

Duas implementaes deste mecanismo so as Listas de Controle de Acesso (Access

Control ListsACL) e Capacidades (Capabilities- ou direitos)

Mandatrios- os mecanismos mandatrios categorizam sujeitos e objetos e descrevem

como as categorias interagem, e esta interao permite sempre os mesmos direitos para

as mesmas categorias, no sistema inteiro.

Baseado em papis -O controle de acesso baseado em papis est fortemente ligado `a

funo do sujeito dentro de uma organizao; cada papel do sujeito est vinculado a um

tipo de atividade, e a um conjunto de direitos.

5.3. Modelos de polticas de seguranaSegundo (Anderson, Stajano, & Lee, s/d) um modelo de poltica de segurana uma

declarao sucinta das propriedades de proteo que um determinado sistema, ou um

tipo generalizado de sistema deve ter.

O mesmos modelos de politicas de segurana so abordados por outros autores como

sendo modelos de controle de acesso, ou ainda modelos de segurana. Na verdade com o

controle de acesso podemos oferecer um certo nvel de segurana, j que segundo

(Loureiro, 2009) um mtodo utilizado para conceder ou proibir acesso (leitura, escrita,

etc.) a determinados recursos de um sistema.


9/31

Page 9

5.3.1. Historial dos modelos de polticas de seguranaHistoricamente, o conceito de um modelo de poltica de segurana veio do sector

militar. O primeiro a aparecer, Bell-LaPadula, foi introduzido em 1973, em resposta s

preocupaes da Fora Area dos EUA sobre a confidencialidade dos dados em sistemasmainframe de tempo compartilhado. Este modelo ainda simples e influente baseado

em restringir o fluxo de informaes entre os nveis de iseno rotulados como

"Confidencial" e "Top Secret".

Segundo (Harrisson et all; 1976) citado por (Bruce, CISSP, PMP, & FITSP-D, 2010)Um

pouco logo asseguir surgiu em 1976 surgiu o medelo de Harrisson Ruzzo-Ullman.

Sendo este uma extenso do modelo Graham-Denning de 1972 segundo (Graham et all,

1972) citado tambm por (Bruce, CISSP, PMP, & FITSP-D, 2010).

Uma segunda onda de modelos de polticas surgiu na dcada de 1980 a partir de

formalizao de prticas bem estabelecidas no setor empresarial. Uma abstrao dos

sistemas de contabilidade de dupla entrada utilizada na contabilidade e bancrio deu luz

em 1987 para o modelo de poltica de segurana Clark-Wilson (Wilson et all, 1987)

citado por (Anderson, Stajano, & Lee, s/d). Ento (Brewer, et all,1989) citado por

(Anderson, Stajano, & Lee, s/d) introduziram o modelo Chinese Wall em 1989. E

segundo (Anderson, Stajano, & Lee, s/d)este modelo era para representar as restriesde confidencialidade interna de uma empresa profissional cujos parceiros pode estar

servindo clientes concorrentes e devem evitar conflitos de interesse.

A terceira onda veio com o desenvolvimento de modelos de polticas para aplicaes em

vrios outros campos, como o modelo BMA, Jikzi, etc.


10/31

Page 10

5.3.2. Modelo de matriz de acessoSegundo (Teigo, 2006) este modelo define uma matriz de S sujeitos por O objetos,

mapeados sobre um conjunto de direitos D, tais que:

Ilustrada pela figura abaixo:

s2

Sujeitos Direitos

sS

o1 o2 Objectos oO

Figura 2: Matriz de acesso (Teigo, 2006)

Onde o direito que se encontra na clula indexada pelo sujeito e objeto aquele que ser

concedido durante a requisio de acesso.

Com isso conclui-se que os mecanismos usados para este modelo so discricionrios.

5.3.3. O modelo de Bell-LaPadulaAt o incio dos anos 1970 segundo (Anderson, Stajano, & Lee, s/d), as pessoas

perceberam que a proteo oferecida por sistemas operacionais comerciais era pobre, e

no melhorava. Assim que um bug do sistema operacional era fixado, alguma outra

vulnerabilidade era descoberta. Mesmo os usurios no qualificados descobririam

brechas para us-las de forma oportunista.

Como muitos grandes avanos na rea tecnolgica, o surgimento deste modelo estarelacionado a rea militar. Segundo (Bell, et all, 1974.) citado por (Anderson, Stajano, &

Lee, s/d) o modelo Bell-LaPadula foi formulado em 1973, sendo que este estava

relacionado com a preocupao das Foras Areas Norte Americanas em relao a

confidencialidade de dados em sistemas de mainframe de tempo compartilhado).


11/31

Page 11

A segunda guerra mundial e a guerra fria que levaram o governo da NATO a mover

para um esquema de proteo de marcao, para rotular a sensitividade de documentos.

Segundo este esquema a informao teria rtulos de classificaes hierrquica como a

figura asseguir ilustra:

Super secreta

Secreta

Confidencial

Pblica

Figura 3: Hierarquia de rtulos (Anderson, Stajano, & Lee, s/d)

Este esquema hierrquico esta relacionado ao nvel de danos que a revelao de certa

informao pode trazer para certa organizao, ou pas, etc.

Sendo que normalmente o nvel de segurana eleva-se a medida que subimos um degrau

no esquema hierrquico, isto e se por exemplo para aceder dados secretos usa-se um

mecanismo de controle de acesso atravs de impresses digitais, para super secreta para

alem disso podia-se usar mais um outro mecanismo.

O esquema hierrquico pode variar, pois para certa organizao ou pas existem os seus

prprios rtulos, assim como uma organizao hierrquica para os seus rtulos. Ex: Para

UK existe um rtulo a mais que fica entre confidenciale pblica, este nvel e chamado

restricto.

Com o que esta acima consegue-se ver que: diferentemente do modelo de matriz de

acesso, para este modelo so usados mecanismos de acesso mandatrios.

(Teigo, 2006) da uma breve e resumida explicao de como funciona este modelo em

sistemas: quando um sujeito requisita um acesso, seu nnvel de segurana e

confrontado com a classificao do objeto. O BLP define trs propriedades de segurana

que devem ser respeitadas:


12/31

Page 12

1. A Propriedade Simples de Segurana garante que um sujeito no pode ler uma

informao classificada acima do seu nvel de segurana (no read-up).

2. A Propriedade * (estrela)impede que um sujeito escreva informaes em um objeto

classificado abaixo de seu nnvel (no write-down).

3. A Propriedade de Segurana Discricionria utiliza uma matriz de acesso para

especificar um DAC (controle de acesso discricionrio).

Um administrador pode, quando necessrio, mover informaes de uma classificao

maior para outra menor (violando a propriedade *).

Segundo (Ferrando, 2010) este modelo importante porque introduziu as propriedades 1

(Propriedade Simples de Segurana) e 2 (A Propriedade * (estrela)). Sendo que a maiscritica inovao segundo (Anderson, Stajano, & Lee, s/d) foi a propriedade estrela. Que

foi conduzida pelo medo de ataques usando cdigos maliciosos:

Um usurio qualquer pode escrever um trojan e deixa-lo em um local onde este pode

pode ser executado por um administrador de sistemas com permisso para ler dados

secretos; sendo assim este podia criar cpias dele mesmo na rea secreta e escrever

dados secretos em objectos pblicos.

5.3.4. Harrison-Ruzzo-UllmanSegundo (Mamede, 2006) o modelo Bell-Lapadula (BLP), apresentado anteriormente,

no define polticas para a alterao de direitos de acesso, nem para a criao e

eliminao de indivduos e objectos. O presente modelo Harrison-Ruzzo-Ullman (HRU)

define sistemas de autorizao que endeream essas lacunas [Harrison & Russo &

Ullman, 1976].

Na mesma perspectiva (Mamede, 2006) considera que este modelo HRU opera num

conjunto de sujeitos S, num conjunto de objectos O, num conjunto de permisses A e

numa matriz de controlo de acessos M.


13/31

Page 13

Este modelo comea por identificar os objectos a ser protegidos, os sujeitos que

executam actividades que exigem acesso aos objectos e as aces que podem ser

executadas sobre os objectos e que devem ser controladas. Ou seja o modelo define um

sistema de autorizao recorrendo utilizao de uma linguagem de comandos, em que

cada comando envolve condies e operaes primitivas. Estas so:

Criar sujeito spermite a introduo de um novo sujeito no sistema; Criar objecto opermite a introduo de um novo objecto no sistema; Destruir sujeito spermite ao controlador de um sujeito elimin-lo do sistema; Destruir objecto opermite ao dono de um objecto a sua eliminao do sistema; Dar permisso a M [s, o] permite ao dono de um objecto estabelecer

permisses a outros sujeitos sobre aquele objecto; Eliminar permisso a de M [S, O] permite a um sujeito retirar permisso de

outro sujeito sobre um objecto, desde que o ltimo sujeito no seja o dono do

objecto ou controle o sujeito a quem se pretende retirar a permisso.

Confiabilidade

Pode um sujeito S obter permisses P sobre um objecto O atravs de propagao dedireitos?

Segundo (Carneiro, 2002) no modelo HRU s possvel responder pergunta se:

O nmero de operaes em cada comando for 1.Ou se o nmero de sujeitos for finito.

Revogao

Propagao de permisses Revogao em cascata. Problema: A d acesso discricionrio a B sobre O


14/31

Page 14

B d acesso a O,a C A d acesso a O,a C A revoga acesso de C a O Deve A revogar o acesso dado por B?

Revogao sem cascata

Figura 4: Revogao sem cascata (Carneiro, 2002)

A revoga permisso a D

Figura 5: A revoga permisso a D (Carneiro, 2002)


15/31

Page 15

Revogao Com Cascata

Figura 6:Revogao Com Cascata (Carneiro, 2002)

A revoga direito de D

Figura 7: A revoga direito de D (Carneiro, 2002)

5.3.5. Muralha chinesaSegundo (Wiipedia, 2000) um modelo hbrido, proposto em 1989 por David Brewer e

Michael Nash, cobrindo aspectos de integridade e de confidencialidade. Concebido para

fornecer controlos que minimizam os conflitos de interesses em organizaes

comerciais, e construdo sobre um modelo de fluxo de informaes.


16/31

Page 16

conhecida como a parede de China, porque se baseia na criao de uma parede lgica

entre um usurio e as informaes no devem ser acedidos. Se dois usurios tenham o

mesmo nvel de acesso, isso no significa que eles podem ler a mesma informao.

(Crespo, 2004) Explica mais sobre o modelo Muralha Chinesa mostrando que ele

envolve, para alm dos tradicionais conjuntos {S,O,A}, o conjunto C.

Sujeitos: elementos activos que acedem a informao protegida.

Companhias: empresas existentes no mercado.

Objectos: dados (ex: ficheiros) respeitantes a uma companhia, que so organizados

em 3 nveis de integridade.

Regras de acessode leitura e escrita.

Definio: Dado um sujeito sS, PR(s)O o conjunto de objectos acedidos pelo

sujeito.

De incio, para todos os sujeitos se tem PR(s)=. Os direitos de acesso so dinmicos e

so re-examinados em todas as transies.

Nveis de segurana

Os dados so armazenados em 3 nveis de segurana:

Nvel inferior guarda os dados individuais de uma dada empresa;

Nvel intermdio agrupa os dados associados a uma mesma empresa (CD-Company

Dataset).

Nvel superior colecciona os CDs de empresas que competem entre si (classe COI-

Conflict of Interest).


17/31

Page 17

Cada objecto pertence a um nico CD e cada CD pertence a nica classe COI. So

definidas duas funes:

cd :OC - indica a que empresa o dado pertence. cic :OClista as empresas concorrentes, que esto interditadas a aceder ao

objecto.

Definio:O nvel de segurana de um objecto o dado por (cic(o),cd(o)).

Figura 8: Exemplo (Crespo, 2004)

Os analistas necessitam de recolher informao no confidencial de empresas

concorrentes (ex: relatrios publicadosna bolsa de valores).

Definio: Informao esterelizada (sanitized) informao de empresa concorrente

expurgada de informao sensvel.


18/31

Page 18

Propriedades

Propriedade segurana simples:

Um sujeito sS pode ler um objecto oO, sse forem satisfeitas uma dasseguintes condies:

J leu objectos na mesma classe de conflito de interesses.(oPR(s)oo) cd(o) = cd(o)

sapenas leu objectos de outras classes que no so conflito de interesses.(oPR(s)oo) cd(o) coi(c(o))

informao esterelizada (sanitized). Um sujeito apenas pode aceder a objectos que no entrem em conflito de

interesse com outros objectos j acedidos.

Quando o sujeito s l um objecto o, PR(s) PR(s){o}.

Exemplo:

1. De incio, qualquer objecto pode ser acedido.

2. Se um consultor aceder ao plano de investimentos da CGD, deixa de poder poder

aceder a qualquer informao de outro banco (por exemplo, BCP). No entanto, o

consultor pode continuar a aceder a quaisquer objectos da CGD (por exemplo, a

gesto dos recursos humanos).Tem permisso para aceder a um objecto da JM,Sonae

ou dos TAP.

3. Acesso a informao dos TAP no impede de aceder a quaisquer outros objectos.


19/31

Page 19

Figura 9: Acesso a informao dos TAP (Crespo, 2004)

Propriedade segurana *(*-property):Um sujeito sS pode escrever um objectooO, sse forem satisfeitas ambas condies:

Objecto o satisfaz a propriedade simples; Para todos os objectos expurgados de informao sensvel o, se o puder ser

lido ento cd(o)=cd(o) ou cd(o)cdi(o). O fluxo de informao fica

confinado ao mesmo CD.

5.3.6. Modelo de integridade BIBA

Segundo (kenneth, 1977) O modelo Biba, baseia-se no modelo de segurana BLP.

No modelo Biba so definidos nveis de integridade (nota: modelo BLP define nveis de

segurana, mas os objectivos so distintos).

No modelo Biba so definidas polticas de integridade duais do BLP: integridade

esttica, integridade dinmica, inovao.

Os conjuntos bsicos do Biba so:

Sujeitos: elementos activos do sistema que acedem a informao (ex: processosque actuam em nome dos utilizadores que os lanam)

Objectos: elementos passivos do sistema, sobre os quais solicitado acesso (ex:ficheiros, programas)


20/31

Page 20

Modos de acesso:

Modificar: o sujeito escreve no objecto; Observar: o sujeito l o objecto; Invocar: o sujeito comunica com outro sujeito; Executar: o sujeito executa o objecto;

O modelo Biba citado por (Seidel, 2006) enderea, principalmente, a integridade em termos

de acesso por indivduos a objectos, baseando-se numa mquina de estados, de forma muito

semelhante ao modelo BLP(Bell-LaPadula). Este foi mesmo o primeiro modelo a enderear

a integridade em sistemas computacionais, baseado num esquema hierrquico de nveis.

O modelo de integridade Biba similar ao modelo BLP para confidencialidade, na medida

em que tambm recorre utilizao de sujeitos e objectos.

No entanto, contrariamente ao modelo referido no ponto anterior, ao invs de definir apenas

uma poltica de integridade de alto nvel, define uma srie de aproximaes possveis.

Segundono modelo de BIBA so definidas regras onde um sujeito estando em um nvel

de integridade mais elevado no pode ler/executar um objecto que esteja em um nvel de

integridade inferior ao seu (no read downNRD).

Tambm estabelece que um sujeito estando em um baixo nvel de integridade no

poder escrever/modificar em um objecto em um nvel de integridade superior ao seu

(no write upNWU).

O modelo BIBA pode ser representado atravs de um diagrama de nveis de maneira

mais objectiva. As linhas horizontais do diagrama representam os nveis de integridade e

as aces que so negadas pelo contexto geral do modelo. O diagrama do modelo BIBA

pode ser melhor visualizado na Figura asseguir:


21/31

Page 21

Figura 10: Regras de Modelo Obrigatrio de Integridade BIBA (Seidel, 2006)

Uma das vantagens do modelo BIBA, a incorporao de algumas caractersticas das

regras do modelo BLP incluindo a simplicidade e atributos intuitivos. Isto , os

desenvolvedores de sistemas podem facilmente entender as regras de NWD e NRU,

podendo incorpor-las em projectos de decises de sistemas.

O Modelo da marca de gua baixa do sujeito introduz um leve relaxamento nas regras de

leitura de sujeito mais ntegros em objectos menos ntegros. A reviso do modeloobrigatrio BIBA de integridade no permite que os sujeitos de alta integridade leiam os

objectos de baixa integridade. Isto pretende assegurar que a informao do sujeito de

alta integridade, no seja corrompida pela baixa integridade do objecto. Entretanto no

modelo da marca dgua baixa do sujeito permitida a leitura de objectos de menor

integridade por sujeitos mais ntegros, mas o resultado de tal leitura o rebaixamento do

nvel de integridadedo sujeito ao nvel do objecto lido. As caractersticas deste modelo

so mostradas na Figura asseguir.


22/31

Page 22

Figura 11: Modelo BIBA da Marca de gua baixa do Sujeito (Seidel, 2006)

5.3.7. Modelo GoguenMeseguerSegundo (Mamede, 2006) o modelo Goguen-Meseguer, publicado originalmente em

1982, baseia-se nos princpios matemticos que governam os autmatos, um mecanismo

de controlo concebido para seguir de forma automtica uma sequncia predeterminada

de operaes, ou respondera instrues devidamente codificadas. O modelo inclui,

ainda, a separao de domnios.

Neste contexto, (Mamede 2006) afirma que um domnio a lista de objectos a que um

sujeito pode aceder. Os sujeitos podem ser agrupados de acordo com os seus domnios

definidos. A separao de sujeitos por diferentes domnios assegura que uns no

interferem com as actividades dos outros. Toda a informao sobre as actividades que os

sujeitos esto autorizados a executar includa na tabela de capacidades.

Adicionalmente, o sistema contm informao no relacionada com permisses, como

sejam programas do utilizador, dados e mensagens. combinao de toda esta

informao d-se o nome de estado do sistema. A teoria dos autmatos, utilizada como

base para este modelo, pr--define todos os estados e transies entre os mesmos, o que

previne utilizadores no autorizados de executarem alteraes ou modificaes em

dados ou programas (Mamede 2006).


23/31

Page 23

5.3.8. Modelo SutherlandSegundo (Mamede 2006) o modelo Sutherland foi publicado originalmente em 1986

[Sutherland, 1986] e enderea a problemtica da integridade focando-se no problema da

inferncia, ou seja, a utilizao de canais dissimulados para influenciar os resultados de

um processo. Em relao ao mesmo autor este modelo baseado numa mquina de

estados e, como tal, consiste num conjunto de estados, um outro conjunto de estados

iniciais possveis e uma funo de transformao que mapeia os estados do estado inicial

para o estado actual (Mamede 2006).

Ainda afirma que no obstante o facto de este modelo no invocar directamente um

mecanismo de proteco, contm restries de acesso relacionadas com os sujeitos e

restries de fluxo de informao entre objectos. Assim, o modelo previne que

utilizadores no autorizados possam modificar dados ou programas (Mamede 2006).

5.3.9. Modelo de clarck wilsonAo contrrio dos sistemas de segurana militar, a principal preocupao dos sistemas desegurana comercial garantir que a integridade dos dados protegida de modificaes

imprprias e aes inadequadas realizadas por usurios no autorizados. A confidencialidade

igualmente importante dentro do ambiente comercial, no entanto, David D. Clark e David R.

Wilson argumentam que a integridade da informao mais importante do que a sua

confidencialidade na maioria dos sistemas comerciais. Uma vez que grande parte da ateno na

rea de segurana tem sido dedicada ao desenvolvimento de modelos sofisticados (por exemplo,

modelo Bell-LaPadula) e mecanismos de confidencialidade, os recursos para garantir a

confidencialidade em sistemas de informao so consideravelmente mais avanada do queaqueles que fornecem integridade. Assim, esforos recentes do Instituto Nacional de Cincia e

Tecnologia (NIST) esto focados na questo de integridade. Neste artigo, vamos explorar a

natureza e o alcance do modelo de Clark-Wilson (CW).


24/31

Page 24

Princpios da Integridade

Princpios de segurana so simplesmente uma coleo de padres geralmente aceitos de boa

prtica que pensado para promover a execuo de polticas de segurana. Cada organizao

diferente e a interpretao e a adoo de princpios depender de circunstncias especficas. H

vrios princpios para alcanar e manter a integridade da informao, mas vamo-nos focar em

dois princpios bsicos que Clark e Wilson sugerem ser os mais importantes. Os princpios so a

transao bem-formada e separao de tarefas, que so abstrados dos papis Clark e Wilson [8].

O princpio da separao de responsabilidades afirma que nenhuma pessoa deveexecutar uma tarefa do comeo ao fim, mas que a tarefa deve ser dividida entre duas ou

mais pessoas para evitar fraudes por uma pessoa agindo sozinha. Preserva a consistncia

externa de dados, garantindo que os dados no sistema refletem os dados do mundo real

que ela representa.

O princpio transao bem-formada definido como uma operao em que o usurio incapaz manipular dados de forma arbitrria, mas apenas em formas restritas (limitaes

ou limites) que preservam ou garantem a integridade dos dados. Um sistema de

segurana em que as transaes so bem formadas garante que apenas aes legtimas

sejam executadas. Garante que os dados internos so precisos e consistentes com o que

eles representam no mundo real.

A poltica construda em termos das seguintes categorias:

Itens de dados restrita: CDIs so os objetos cuja integridade protegida (Young, 2009)

Itens de dados sem restries: UDIs so objetos no abrangidos pela a poltica de integridade

(Young, 2009)

Procedimentos de transformao:TPs so os nicos procedimentos permitidos para modificar

CDIs, ou tirar arbitrariamente a entrada do usurio e criar novos CDIs. Projetado para levar o

sistema de um estado vlido para outro. (Young, 2009)

Procedimentos de verificao de integridade:IVPs so procedimentos destinados a verificar a

manuteno da integridade dos CDIs. (Young, 2009)


25/31

Page 25

Um Modelo de Segurana para a Integridade

Modelos de integridade so usados para descrever o que precisa ser feito para reforar as

polticas de integridade das informaes. H trs objetivos da integridade: (Summers, p.142)

Impedir modificaes no autorizadas Manter a consistncia interna e externa Impedir modificaes autorizadas, mas imprprias

Para atingir esses objetivos, necessrio um conjunto de servios de segurana que incorporam

as propriedades necessrias para a integridade, bem como uma estrutura para comp-las. As

propriedades de segurana necessrios para a integridade incluem integridade, controle de

acesso, auditoria e prestao de contas.

O modelo de Clark-Wilson (CW) um modelo de integridade de nvel de aplicativo que tenta

garantir as propriedades de integridade de dados comerciais e fornece uma estrutura para avaliar

a segurana em aplicativos de sistemas comerciais. Foi publicado em 1987 e atualizado em 1989

por David D. Clark e David R. Wilson (um cientista da computao e um contador).

Clark e Wilson particionaram todos os dados em um sistema em dois itens de dados (CDI) eitens sem restries (UDI), itens de dados para o qual deve ser assegurada a integridade. Os

(CDI) so objetos que o modelo de integridade aplicada e (UDI) so objetos que no so

abrangidos pela poltica de integridade (por exemplo, informaes digitadas pelo usurio no

teclado). Dois procedimentos so ento aplicados a estes itens de dados para proteco. O

primeiro procedimento de verificao de integridade (IVP), verifica se que os itens de dados

esto em um estado vlido (ou seja, eles so o que os usurios ou os proprietrios acreditam que

eles sejam, porque eles no foram alterados). O segundo procedimento o procedimento de

transformao (PT) ou transao bem-formada, o que altera os itens de dados de um estadovlido para outro. Se apenas um procedimento de transformao capaz de alterar os elementos

de dados, a integridade dos dados mantida. Os sistemas de execuo Integridade geralmente

exigem que todos os procedimentos de transformao de estar conectado, para fornecer uma

trilha de auditoria das alteraes de itens de dados. (National Computer Security Center, 1987)


26/31

Page 26

Para fornecer uma compreenso clara do que isso significa exatamente, suficientemente

importante para ter um olhar para um exemplo do mundo real:

1. Adquirindo funcionrio cria uma ordem para o fornecimento, com cpia para ofornecedor e o departamento de recepo.

2. Ao receber a mercadoria, um funcionrio de recepo verifica a entrega e, se tudoestiver bem, assina um formulrio de entrega. O Formulrio de entrega e ordem original

vo para o departamento de contabilidade.

3. O Fornecedor envia uma fatura para o departamento de contabilidade. Assistente decontabilidade compara a fatura com a ordem original e o formulrio de entrega e emite

um cheque para o fornecedor.

Este exemplo apresentado em termos de itens de dados constrangidosque so processados

por procedimentos de transformao. Os itens de dados so alterados apenas porprocedimentos de transformao, mantendo assim a sua integridade. Os procedimentos de

transformao (PT) so criar ordem, enviar ordem, criar forma de entrega, envie um formulrio

de entrega, assinar o formulrio de entrega, criar faturas, enviar fatura, comparar fatura a ordem,

e assim por diante. Os itens de dados so limitados ordem, forma de entrega, fatura e cheque. Os

usurios s podem invocar alguns procedimentos de transformao, e um conjunto pr-

especificado de objetos de dados ou CDIs.

Para garantir que a integridade alcanada e mantida, Clark e Wilson declararam que so

necessrias determinadas regras de monitoramento de integridade (regras de certificao) de

preservao da integridade (regras de execuo). As regras de monitoramento de integridade so

impostas pelo administrador e as regras de preservao da integridade so regras de aplicao da

garantia do sistema.

Na formulao nove regras do modelo de Clark-Wilson so:

Regras de Certificao

C1 (Certificao IVP) -O sistema ter um IVP para validar a integridade de qualquer CDI.

Todos IVPs devem garantir adequadamente que todos os CDIs esto em um estado vlido no

momento que VPI executado


27/31

Page 27

C2 (Validade)- A aplicao de um TP a qualquer CDI deve manter a integridade desse CDI.

CDIs devem ser certificados para assegurar que eles resultam em um CDI vlido.

C3 - A CDI s pode ser alterado por um TP. TPs devem ser certificados para assegurar que

aplicar os princpios da separao de funes e menos privilgio

C4 (Jornal Certification) - TPs devem ser certificados para assegurar que suas aes so

registradas

C5 -TPs que atuam sobre UDIs devem ser certificados para assegurar que eles resultam em

um CDI vlido

Regras de Execuo

E1 (Execuo de Validade) - Apenas TPs certificadas podem operar em CDIs . O sistemadeve manter a lista de relaes especificadas na regra c2, e deve garantir que a nica

manipulao de qualquer CDI ocorre por um TP, onde o TP est a funcionar no CDI, conforme

especificado em alguma relao.

E2 (Execuo de Separao do dever)- Os usurios s podem acessar TPs atravs de CDIs

para o qual so autorizadas. o sistema deve manter a lista de relaes da forma: (UserID, TPI,

(CDIA, CDIB, CDIC,...)), que relaciona um usurio, um TP, e os dados de objetos que TP pode

fazer referncia em nome desse usurio. Deve assegurar que apenas as execues descritas numa

das relaes so realizados.

E3 (identidade do usurio)- O sistema deve autenticar a identidade de cada usurio que est

tentando executar um TP

E4 (Iniciao) - Somente o administrador pode especificar as autorizaes TP

O modelo CW difere de outros modelos que permitem a indivduos ter acesso aos objectos

directamente, em vez de por meio de programas, o que impede que os usurios no autorizados

modifiquem dados ou programas.

A partir do que apresentado acima, vemos que o modelo CW mostra que as regras procuram

impor as propriedades de segurana necessrios para a integridade, que so descritos a seguir:


28/31

Page 28

Integridade

Uma garantia de que CDIs s pode ser modificado de modo constrangido a produzir CDIs

vlidos. Esta propriedade assegurada pelas regras: C1, C2, C5, E1 e E4.

O controlo de acesso

A capacidade de controlar o acesso aos recursos. Isto apoiado pelas regras: C3, E2 e E3.

Auditoria

A capacidade para determinar as alteraes feitas para CDIs e assegurar que o sistema est num

estado vlido. Isto assegurado pelas regras C1 e C4.

Responsabilidade

A capacidade de associar exclusivamente aos usurios com suas aes. Isso requer autenticao

desses usurios, que imposta pela regra E3


29/31

Page 29

6.Concluso

Apesar de certos modelos terem sido criados em certos ambientes a sua aplicabilidade

estende-se a muitos outros ambientes nesse caso organizaes empresariais, pases, etc

Porque cada modelo foi criado para atender a certas necessidades de segurana, nada

impede que para certas necessidades de segurana no se possam a partir dos j

existentes criar outros modelos de segurana que estejam adequados a realidade

enfrentada. Sendo que tambm podemos associar vrios modelos a um sistema- tudo isto

e para atender as necessidades de segurana.

Claro que para implementao de qualquer deve-se no s avaliar quais so as reais

necessidades de segurana como tambm deve-se olhar para outros aspetos, como a

acessibilidade de implementao do prprio modelo.

E tem que se avaliar, se existe mesmo necessidade de certo nvel de segurana para

determinada informao. Pois sempre mais sempre deve-se fazer um uso timo dos

recursos que determinada organizao detm. Para o bom progresso da empresa e do

trabalhador da rea de segurana de sistemas.


30/31

Page 30

7. BibliografiaAnderson, R., Stajano, F., & Lee, J.-H. (s/d). Security Policies. Obtido em 17 de Abril de 2014, de

http://www.cl.cam.ac.uk/~rja14/Papers/security-policies.pdf

Babylon. (s.d.). Babylon. (Babylon Verso Limitada(apenas para uso pessoal) verso 1.0.2 r(13)).

Babylon Ltd.

Bruce, A., CISSP, PMP, & FITSP-D. (11 de Abril de 2010). Formal Security Models and the

Modern Organization-How Security Models affect Todays DoD Contractors. Obtido em

11 de Maio de 2014, de https://www.softwareab.net/wordpress/wp-

content/uploads/2013/03/Formal-Security-Models-and-Our-Organization.pdf

Carneiro, A. (2002). Introducao segurana dos Sistemas de Informao, Segurana um factor

de sucesso-Auditoria, Politicas e Beneficios da Segurana, Lisboa. FCA-Editora de

Informatica.

Crespo, P. R. (Junho de 2004). Criptografia e Segurana das Comunicaes.Obtido em 03-05-14

de Maio de 2014, de comp.ist.utl.pt: comp.ist.utl.pt/ec-csc/Acetatos/5.../53-

PoliticasIntegridade.pdf

Ferrando, F. (2010). Computer Security : Models and Techniques of Access Control. Techline z

Series. IBM Corporation. Obtido em 28 de Abril de 2014, de http://www-

01.ibm.com/support/docview.wss?uid=tss1wp101649&aid=1

kenneth. (1977). (P. R. Crespo, Ed.) Obtido em 21 de 04 de 2014, de www.comp.ist.utl.pt:

http://www.comp.ist.utl.pt

Loureiro, B. (2009). Obtido em 16 de Abril de 2014, de

http://web.fe.up.pt/~jmcruz/ssi/ssi.0910/trabs-als/apres.5-bruno.loureiro.pdf

Mamede. (2006). (C. F. Andrade, Ed.) Obtido em 21 de 04 de 2014, de

http://bdigital.unipiaget.cv:8080/jspui/bitstream/10964/58/1/Crispina%20Andrade.pdf

McLean, J. (1984). The Specification and Modeling of Computer Security.Washington, D.C.:

Center for High Assurance Computer Systems, Naval Research Laboratory.

National Computer Security Center, N. (1987).A Guide to Understanding Audit in Trusted

Systems.Washington DC. Obtido de http://www.fas.org/irp/nsa/rainbow/tg001.htm


31/31

Page 31

Seidel, F. (2006). (F. A. Seidel, Ed.) Obtido em 21 de 04 de 2014, de

http://www.ppgia.pucpr.br/lib/exe/fetch.php?media=dissertacoes:2005:2005_fabio_s

eidel.pdf

Teigo, R. C. (2006). Mini-Curso Cotrole de Acesso. Obtido em 16 de Abril de 2014, de

http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/so:seguranca-teigao.pdf

Wiipedia. (Abril de 2000). Muralha da China - Wiipedia.Obtido em 03 de Maio de 2014, de

pt.wikipedia.org: pt.wikipedia.org/wiki/Muralha_da_China

Young, D. B. (15 de 05 de 2009). Fondations of Computer Security.Obtido em 2014

Princípios de Modelos de Segurança

Documents

Transcript of Princípios de Modelos de Segurança