Controlo De Acessos

Controlo De Acessos
Outubro 22, 2019 No Comments Noticias Alexandre Silva

Em segurança, especialmente segurança física, o termo controle de acesso em BR ou controlo de acesso PT é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala, apenas para pessoas autorizadas. O controlo físico de acesso pode ser obtido através de pessoas (um guarda, segurança ou rececionistas); através de meios mecânicos como fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados em cartões de acesso.

Na segurança da informação:

O controlo de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). Neste contexto o controlo de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acede ao sistema, a autorização determina o que um utilizador autenticado pode fazer, e a auditoria diz o que o utilizador fez.

Identificação e autenticação:

A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode aceder a determinado sistema. Durante a identificação o utilizador diz ao sistema quem ele é (normalmente através de um nome de utilizador). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo utilizador. Atualmente, com a popularização tecnológica, reconhecimento por impressão digital, smartcard, MiFare, RFID  ou Biometria estão substituindo, por exemplo, o método de credencial (nome e senha). Dispositivos com sensores que fazem a leitura, a verificação e a identificação de características físicas únicas de um indivíduo aplicam a biometria e fazem agora a maior parte dos reconhecimentos. A identificação biométrica por impressão digital é a mais conhecida e utilizada atualmente por sua fiabilidade alta e baixo custo.

Autorização:

A autorização define quais direitos e permissões tem o utilizador do sistema. Após o utilizador ser autenticado o processo de autorização determina o que ele pode fazer no sistema.

Auditoria:

A auditoria (accounting) é uma referência à recolha da informação relacionada à utilização, pelos utilizadores, dos recursos de um sistema. Esta informação pode ser utilizada para gestão, planeamento, cobrança  etc. A auditoria em tempo real ocorre quando as informações relativas aos utilizadores são Transferidas no momento do consumo dos recursos. Na auditoria em batch as informações são gravadas e enviadas posteriormente. As informações que são tipicamente relacionadas com este processo são a identidade do utilizador, a natureza do serviço entregue, o momento em que o serviço se inicia e o momento do seu término.

Técnicas de controlo de acesso:

As técnicas de controlo de acesso são normalmente categorizadas em discricionárias e obrigatórias.

Controlo de acesso discricionário:

O controlo de acesso discricionário  (discretionary access control ou DAC) é uma política de controlo de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.

O DAC tem dois conceitos importantes:

Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido.

Direitos de acesso são estabelecidos pelo proprietário do recurso, que pode inclusive transferir essa propriedade.

Um exemplo de DAC são as permissões tradicionais do sistema UNIX, implementadas também no Linux.

Controlo de acesso obrigatório:

No controlo de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controlo é utilizado em sistemas de cujos dados são altamente sensíveis, como governamentais e militares.

Rótulos de sensibilidade. Em sistemas de controlo de acesso obrigatório, todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de sensibilidade de um objeto define o nível de confiança necessário para aceder . Para aceder um determinado objeto, o sujeito deve ter um rótulo de sensibilidade igual ou superior ao requisitado pelo objeto.

Importação e exportação de dados. O controlo de importação e exportação de dados para outros sistemas (incluindo impressoras) é uma função crítica de um sistema baseado em MAC. O sistema precisa garantir que os rótulos de sensibilidade são mantidos e implementados de maneira apropriada, de forma que a informação sensível seja protegida a todo momento.

Dois métodos são comummente utilizados na aplicação de controlo de acesso obrigatório:

Controlos baseados em regras. Todos os sistemas MAC implementam uma forma simples de controlo de acesso baseado em regras que define que o acesso deve ser dado ou negado com base no:

rótulo de sensibilidade do objecto

rótulo de sensibilidade do sujeito

Controlos de acesso baseados no modelo lattice. Estes controlos podem ser utilizados em decisões complexas envolvendo múltiplos objetos e/ou sujeitos. O modelo lattice corresponde basicamente a um grafo dirigido sem ciclos. Um lattice define uma ordenação parcial (ex.: filho->pai->avô) que pode ser usada para definir níveis de prioridade.

Sistemas usando MAC podem ser implementados por meio das seguintes técnicas:

Listas de controlo de acesso (ACLs) definem os direitos e permissões que são dados a um sujeito sobre determinado objeto. As listas de controlo de acesso disponibilizam um método flexível de adoção de controlos de acesso discricionários.

Controlos de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado utilizador desempenha na organização. Esta estratégia simplifica o gestão das permissões dadas aos utilizadors.

Permissões de acesso e direitos sobre objetos são dados para qualquer grupo ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos. Os indivíduos podem adquirir permissões cumulativas ou desqualificado para qualquer permissão que não faz parte de todo grupo a qual ele pertence.

Poucos sistemas implementam o MAC. O XTS-400 é um exemplo.

 Em telecomunicações, o termo controlo de acesso tem os seguintes significados:

Uma funcionalidade ou técnica utilizada para permitir ou negar a utilização de componentes de um sistema de comunicações.

Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou aplicações de obter dados de, ou colocar dados em, um dispositivo de armazenagem.

O processo de limitar o acesso a recursos de um sistema de auditoria para utilizadores autorizados, programas, processos e outros sistemas.

A função realizada por um controlador de recursos que aloca recursos de sistema para satisfazer requisições de utilizadores de telecomunicações.

Controlo de acesso em política pública:

Em política pública, o acesso de controlo é utilizado em sistemas confiáveis para restringir o acesso (“autorização”) ou para gravar e monitorar o comportamento (“auditoria”). Os sistemas confiáveis são utilizados em segurança ou controlo social. 

Consulte-nos para mais informações ou orçamentos.

Leave a reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *