Controle de acesso

Origem: Wikipédia, a enciclopédia livre.

Em segurança, especialmente segurança física, o termo controle de acesso é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala, apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através de pessoas (um guarda, segurança ou recepcionista); através de meios mecânicos como fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados em cartões de acesso.

Índice 1 Na segurança da informação 1.1 Identificação e autenticação 1.2 Autorização 1.3 Contabilidade 1.4 Técnicas de controle de acesso 1.4.1 Controle de acesso discricionário 1.4.2 Controle de acesso obrigatório 1.4.3 Controle de acesso baseado em papéis 2 Telecomunicações 3 Controle de acesso em política pública

[editar] Na segurança da informação

O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e contabilidade (accounting). Neste contexto o controle de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a contabilidade diz o que o usuário fez.

[editar] Identificação e autenticação

Ver artigo principal: Autenticação.

A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário.

[editar] Autorização

Ver artigo principal: Autorização.

A autorização define quais direitos e permissões tem o usuário do sistema. Após o usuário ser autenticado o processo de autorização determina o que ele pode fazer no sistema.

[editar] Contabilidade

Ver artigo principal: Contabilidade.

A contabilidade (accounting) é uma referência à coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Esta informação pode ser utilizada para gerenciamento, planejamento, cobrança e etc. A contabilidade em tempo real ocorre quando as informações relativas aos usuários são trafegadas no momento do consumo dos recursos. Na contabilidade em batch as informações são gravadas e enviadas posteriormente. As informações que são tipicamente relacionadas com este processo são a identidade do usuário, a natureza do serviço entregue, o momento em que o serviço se inicia e o momento do seu término.

[editar] Técnicas de controle de acesso

As técnicas de controle de acesso são normalmente categorizadas em discricionárias e obrigatórias.

[editar] Controle de acesso discricionário

O controle de acesso discricionário (discretionary access control ou DAC) é uma política de controle de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.

O DAC tem dois conceitos importantes:

• Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido.
• Direitos de acesso e permissões são dadas pelo proprietário do recurso a usuários individuais ou grupos de usuários.

Controles de acesso discricionários podem ser aplicados através das seguintes técnicas:

• Listas de controle de acesso (ACLs) definem os direitos e permissõs que são dados a um sujeito sobre determinado objeto. As listas de controle de acesso disponibilizam um método flexível de adoção de controles de acesso discricionários.
• Controles de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado usuário desempenha na organização. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários.

Permissões de acesso e direitos sobre objetos são dados para qualquer grupo ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos. Os indivíduos podem adquirir permissões cumulativas ou desqualificado para qualquer permissão que não faz parte de todo grupo a quel ele pertence.

[editar] Controle de acesso obrigatório

No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de múltiplos níveis cujos dados são altamente sensíveis, como algumas informações governamentais e militares. Um sistema de múltiplos níveis é constituído de um computador que manipula múltiplos níveis de classificação entre sujeitos e objetos.

• Rótulos de sensibilidade. Em sistemas de controle de acesso obrigatório, todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de sensibilidade de um objeto define o nível de confiança necessário para acessá-lo. Para acessar um determinado objeto, o sujeito deve ter um rótulo de sensibilidade igual ou superior ao requisitado pelo objeto.
• Importação e exportação de dados. O controle de importação e exportação de dados para outros sistemas (incluíndo impressoras) é uma função crítica de um sistema baseado em MAC. O sistema precisa garantir que os rótulos de sensibilidade são mantidos e implementados de maneira apropriada, de forma que a informação sensível seja protegida a todo momento.

Dois métodos são comumente utilizados na aplicação de controle de acesso obrigatório:

• Controles baseados em regras. Todos os sistemas MAC implementam uma forma simples de controle de acesso baseado em regras que define que o acesso deve ser dado ou negado com base no:
  • rótulo de sensibilidade do objeto
  • rótulo de sensibilidade do sujeito
• Controles de acesso baseados no modelo lattice. Estes controles podem ser utilizados em decisões complexas envolvendo múltiplos objetos e/ou sujeitos. O modelo lattice é uma estrutura matemática que define o valor de um par de elementos, como um sujeito e um objeto.

Poucos sistemas implementam o MAC. O XTS-400 é um exemplo.

[editar] Controle de acesso baseado em papéis

Um controle baseado em papéis (RBAC) é uma abordagem para restringir o acesso a usuários autorizados. É uma abordagem nova e uma alternativa aos sistemas de controles de acesso do tipo MAC e DAC.

[editar] Telecomunicações

Em telecomunicações, o termo controle de acesso tem os seguintes significados:

• Uma funcionalidade ou técnica utilizada para permitir ou negar a utilização de componentes de um sistema de comunicações.
• Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou aplicações de obter dados de, ou colocar dados em, um dispositivo de armazenagem.
• O processo de limitar o acesso a recursos de um sistema de contabilidade para usuários autorizados, programas, processos e outros sistemas.
• A função realizada por um controlador de recursos que aloca recursos de sistema para satisfazer requisições de usuários de telecomunicações.

[editar] Controle de acesso em política pública

Em política pública, o acesso de controle é utilizado em sistemas confiáveis para restringir o acesso ("autorização") ou para gravar e monitorar o comportamento ("contabilidade"). Os sistemas confiáveis são utilizados em segurança ou controle social.