Sistemas de Controle de Acesso

Prévia do material em texto

Segurança de Controle de Acesso
• Profª. Alex Casañas, M.Sc.
• brulex@bol.com.br 1
2
@@brulexbrulex
@@casanasdfcasanasdf
@@sabadotecsabadotec
3
Prof. M.Sc. Alex Casañas +55(61) 98413­0351 (OI)
­ SKYPE ­ casanasdf ­
Páginas oficiais:
Redes Sociais e Parcerias
Facebook: Brulex https://www.facebook.com/alex.casanas1
LinkedIn: Brulex http://br.linkedin.com/in/brulex
Twitter: @brulex https://twitter.com/#!/brulex
Compre com Segurança Aqui ­ Parceria  entre o Professor Alex com 
o site Submarino desde 1999
http://www.submarino.com.br/menu/1060/Livros/?franq=131531
4
/alex.casanas1in/brulex casanasdf
brulex@bol.com.br
Contatos
5
Unidade 03
• Objetivos a serem alcançados:
UNIDADE III –
Modelos de Controle de Acesso
Discricionários (discretionary)
Mandatórios (mandatory)
Baseados em regras (role­based)
6
Unidade 03
• Bibliografia:
1. KUROSE, James F. E ROSS, Keith W. Redes de 
Computadores e a Internet: uma abordagem top­down
3 ed. São Paulo Pearson
2. FARREL, Adrian A internet e seus protocolos: uma 
análise comparativa ? 1ª. Edição Rio de Janeiro, Elseiver
3. COMER, Douglas E. Redes de Computadores e 
Internet. 4. ed Bookman, Porto Alegre.
4. Material do professor Gustavo Motta.
7
Referências (1)
• BELL, D. e LAPADULA L. Secure Computer System: Unified Exposition and Multics 
Interpretation. Technical Report MTR­2997 Rev. 1, MITRE Corporation, Bedford, 
MA.
• CLARK, D.; WILSON, D. A comparison of commercial and military computer security 
policies. In: IEEE SYMPOSIUM ON SECURITY AND POLICY. Proceedings... p. 184­194.
• LIPNER, S. Non­Discretionary Controls for Commercial Applications. In: THE 2016 
SYMPOSIUM ON PRIVACY AND SECURITY. Proceedings... p. 2–10. 
• BREWER, D. F. C.; NASH, M. J. The Chinese wall security policy. In: IEEE SYMPOSIUM 
ON SECURITY AND POLICY. Proceedings... p. 206­214.
• FERRAIOLO, D. F.; SANDHU, R.; GAVRILA, S.; KUHN, D. R.; CHANDRAMOULI, R. 
Proposed NIST standard for role­based access control. ACM Transactions on 
Information and System Security, v. 4, n. 3, p. 224­274.
8
Unidade 03
• WEB+Bibliografia:
. http://www.watchguard.com/ Site especializado em 
soluções de segurança
9
Políticas, Modelos e Mecanismos de 
Segurança
• O papel do controle de acesso
• Matriz de controle de acesso
• Resultados fundamentais
• Políticas de segurança
•• Modelos de segurançaModelos de segurança
• Mecanismos e implementação
10
Tipos de controle de Acesso
• Mandatórios (mandatory)
• Discricionários (discretionary)
• Baseados em regras (role­based
11
Mandatory access control (MAC) 
Em ciência da computação, controle de acesso 
obrigatório, do inglês mandatory access 
control (MAC), refere­se a um tipo de controle de 
acesso pelo qual o sistema operacional restringe a 
capacidade de um sujeito ou iniciador de acessar ou 
geralmente realizar algum tipo de operação em 
um objeto ou destino.
12
Mandatory access control (MAC) 
• Na prática, um sujeito é normalmente 
um processo ou thread, e objetos são construções 
como arquivos, diretórios, portas TCP/UDP, 
segmentos de memória compartilhada, dispositivos 
de Entrada e Saída. Sujeitos e objetos possuem um 
conjunto de atributos de segurança.
13
Mandatory access control (MAC), 
• Sempre que um sujeito tenta acessar um objeto, 
uma regra de autorização imposta pelo kernel do 
sistema operacional examina esses atributos de 
segurança e decide se o acesso pode ocorrer. 
Qualquer operação por qualquer sujeito sobre 
qualquer objeto, é testada com o conjunto de 
regras de autorização (também conhecidas 
como políticas ­ policy) para determinar se a 
operação é permitida.
14
Discretionary access control ou DAC
O controle de acesso discricionário (discretionary
access control ou DAC) é uma política de controle 
de acesso determinada pelo proprietário (owner) 
do recurso (um arquivo, por exemplo);
O proprietário do recurso decide quem tem 
permissão de acesso em determinado recurso e 
qual privilégio ele tem.
15
• O DAC tem dois conceitos importantes:
• Todo objeto em um sistema deve ter um 
proprietário. A política de acesso é determinada 
pelo proprietário do recurso. Teoricamente um 
objeto sem um proprietário é considerado não 
protegido.
16
Discretionary access control ou DAC
• Direitos de acesso são estabelecidos pelo 
proprietário do recurso, que pode inclusive 
transferir essa propriedade;
• Um exemplo de DAC são as permissões tradicionais 
do sistema UNIX, implementadas também no Linux.
17
Discretionary access control ou DAC
Controle baseado em papéis (RBAC)
Um controle baseado em papéis (RBAC) é uma 
abordagem para restringir o acesso a usuários 
autorizados. Controles de acesso baseados em 
papéis (roles) definem os direitos e permissões 
baseados no papel que determinado usuário 
desempenha na organização. Esta estratégia 
simplifica o gerenciamento das permissões dadas 
aos usuários.
18
Controle baseado em papéis (RBAC)
Permissões de acesso e direitos sobre objetos são 
dados para qualquer grupo ou, em adição, 
indivíduos. Os indivíduos podem pertencer a um ou 
mais grupos. Os indivíduos podem adquirir 
permissões cumulativas ou desqualificado para 
qualquer permissão que não faz parte de todo 
grupo a qual ele pertence.
19
• Em sistemas de segurança de computadores, role-
based access control (RBAC), em 
português controle de acesso baseado em funções, 
é uma abordagem para restringir o acesso ao 
sistema para usuários autorizados; 
• Ele é usado pela maioria das empresas com mais de 
500 empregados baseada em funções.
20
Controle baseado em papéis (RBAC)
• E pode ser implementado por controle de acesso 
obrigatório (mandatory access control ­ MAC) 
ou controle de acesso discricionário (discretionary 
access control ­ DAC). RBAC é algumas vezes 
referido como segurança baseada em funções.
21
Controle baseado em papéis (RBAC)
Modelos de segurança (1)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975)
• Modelo Clark­Wilson (Clark & Wilson, 1987)
• Modelo Chinese Wall (Brewer & Nash, 1989)
• Controle de acesso controlado pelo originador (ORCON)
• Controle de Acesso Baseado em Papéis (Ferraiolo et al., 2001)
22
Modelos de segurança (2)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (1)
–– Política de confidencialidadePolítica de confidencialidade
• Lida com o fluxo da informação
• Prevenir a liberação não autorizada da informação
– Modelo de segurança multinível
• Classificação no estilo militar
– Influência para muitos outros modelos e também no 
desenvolvimento de tecnologias de segurança computacional
23
Modelos de segurança (3)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (2)
– Versão preliminar (2)
• Níveis (liberações ou clearance) de segurança dispostos em ordem linear
–– Super secretoSuper secreto: mais alto
–– SecretoSecreto
–– ConfidencialConfidencial
–– Não classificadoNão classificado: mais baixo
• Níveis são associados a sujeitos e objetos
–Um sujeito s tem liberação de segurançaliberação de segurança L(s)
–Um objeto tem classificação de segurançaclassificação de segurança L(o)
24
Modelos de segurança (4)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (3)
– Versão preliminar (2) – exemplo 
Nível de 
segurança
Sujeito objeto
Super secretoSuper secreto Tamara Arquivos pessoais
SecretoSecreto Samuel Arquivos de e-mail
ConfidencialConfidencial Clara Logs de atividade
Não classificadoNão classificado Leo Lista telefônica
• Tamara pode ler todos os arquivos
• Clara não pode ler arquivos pessoais ou de e-mail
• Leo somente pode ler a lista telefônica
25
Modelos de segurança (5)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (4)
– Versão preliminar (2) - Leiturada informação
• A informação flui para cima e não para baixo
––““ReadsReads upup” proibido, “” proibido, “readsreads downdown” permitido” permitido
• Condição de segurança simples
–– Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((oo) ≤ ) ≤ LL((ss) e ) e ss tem tem 
permissão permissão para ler para ler oo
» Nota: combina o controle de acesso compulsório (relacionamentos 
dos níveis de segurança) com controle de acesso discricionário (a 
permissão requerida para leitura)
– Também chamada de regra “no reads up” 26
Modelos de segurança (6)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (5)
– Versão preliminar (3) - Escrita da informação
• A informação flui para cima e não para baixo
––““WritesWrites upup” permitido, “” permitido, “writeswrites downdown” proibido” proibido
• Propriedade­*
–– Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((ss) ≤ ) ≤ LL((oo) e ) e ss tem tem 
permissão para escrever em permissão para escrever em oo
» Nota: combina o controle de acesso compulsório (relacionamentos 
dos níveis de segurança) com controle de acesso discricionário (a 
permissão requerida para escrita)
– Também chamada de regra “no writes down” 27
Modelos de segurança (7)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (6)
– Versão preliminar (4)
• Teorema básico da segurança
–Seja � um sistema com um estado inicial seguro 
�0 e seja T um conjunto de transformações de 
estado. Se cada elemento de T preservapreserva a a 
condição de segurança simplescondição de segurança simples e a
propriedadepropriedade­­**, então cada �i, i � 0, é seguro
»Prova: indução no número de transições 28
Modelos de segurança (8)
Modelo Bell­LaPadula (Bell & LaPadula, 1975) (7)
–Versão estendida (1)
• Expande a noção de nível de segurança para incluir categoriascategorias
• Um nível de segurança tem a forma (liberação, conjunto de categorias)
• Exemplos
– (Super secreto, {NUC, EUR, ASI })
– (Confidencial, {EUR, ASI })
– (Secreto, {NUC, ASI })
• As categorias geram um reticulado
– Linhas representam a relação de 
ordem induzida por �
{NUC, EUR, US}
{NUC, EUR} {NUC, US} {EUR, US}
{US}{EUR}{NUC}
29
Modelos de segurança (9)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (8)
–Versão estendida (2)
• Níveis e reticulados definem a relação dom (domina)
–O nível de segurança (L, C) dom (domina) o nível de 
segurança (L�, C�) se e somente se L� ≤ L and C� � C
• Exemplos
– (Super Secreto, {NUC, US}) dom (Secreto, {NUC})
– (Secreto, {NUC, EUR}) dom (Confidencial,{NUC, EUR})
– (Super Secreto, {NUC}) �dom (Confidencial, {EUR})
• Sejam C o conjunto de classificações e K o conjunto de categorias. O 
conjunto de níveis de segurança L = C � K, e a relação dom formam um 
reticulado
– lub(L) = (max(A), C)
– glb(L) = (min(A), �) 30
Modelos de segurança (10)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (9)
–Versão estendida (3)
• Níveis e ordenação
– Níveis de segurança são parcialmente ordenados
» Pares quaisquer de níveis de segurança podem ou 
não serem relacionados por dom
– A relação “domina” tem o mesmo papel que a relação 
“maior que” � na versão preliminar do modelo 
» Embora, � seja uma relação de ordem total e não 
parcial 31
Modelos de segurança (11)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (10)
– Versão estendida (4) ­ Leitura da informação
• A informação flui para cima e não para baixo
–– ““ReadsReads upup” proibido, “” proibido, “readsreads downdown” permitido” permitido
• Condição de segurança simples
–– Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((ss) dom ) dom LL((oo) e ) e ss tem permissãotem permissão
para ler de para ler de oo
» Nota: combina o controle de acesso compulsório (relacionamentos dos níveis 
de segurança) com controle de acesso discricionário (a permissão requerida 
para leitura)
– Também chamada de regra “no reads up”
32
Modelos de segurança (12)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (11)
– Versão estendida (5) - Escrita da informação
• A informação flui para cima e não para baixo
––““WritesWrites upup” permitido, “” permitido, “writeswrites downdown” proibido” proibido
• Propriedade­*
–– Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((oo) dom ) dom LL(s) e (s) e ss
tem permissão para escrever em tem permissão para escrever em oo
» Nota: combina o controle de acesso compulsório (relacionamentos 
dos níveis de segurança) com controle de acesso discricionário (a 
permissão requerida para leitura)
– Também chamada de regra “no writes down” 33
Modelos de segurança (13)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (12)
– Versão estendida (6)
• Teorema básico da segurança
– Seja � um sistema com um estado inicial seguro �0 e seja T um 
conjunto de transformações de estado. Se cada elemento de T
preservapreserva a condição de segurança simplesa condição de segurança simples e a propriedadepropriedade­­**, 
então cada �i, i � 0, é seguro
» Prova: indução no número de transições
34
Modelos de segurança (14)
• Modelo Bell­LaPadula (Bell & LaPadula, 1975) (13)
– Problema
• Um coronel tem nível (Secreto, {NUC, EUR})
• Um major tem nível (Secreto, {EUR})
–O major pode falar com o coronel (“write 
up” ou “read down”)
–O coronel não pode falar com o major (“read 
up” ou “write down”)
• Obviamente, isto é um absurdo!
35
Modelos de segurança (15)
Modelo Bell­LaPadula (Bell & LaPadula, 1975) (14)
– Solução
• Definir os níveis máximo e corrente para um sujeito
– nível_max(s) dom nível_corrente(s)
• Exemplo
– Tratar o major como um objeto (o coronel está escrevendo para ele)
– O coronel tem nível_max (Secreto, { NUC, EUR })
– O coronel define seu nível_corrente para (Secreto, { EUR })
– Agora L(Major) dom nível_corrente(Coronel)
» O coronel pode escrever para o major sem violar a regra “no 
writes down”
– L(s) significa nível_corrente(s) or nível_max(s)?
» Precisa­se de uma notação mais precisa e formal
36
Modelos de segurança (16)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (1)
–– Política de integridadePolítica de integridade
• Difere das políticas militares por enfatizar a preservação da integridade dos dados
• Requisitos (Lipner, 1982)
1. Usuários não escrevem seus próprios programas, mas usam programas 
e bancos de dados de produção 
2. Programadores desenvolvem e testam programas em sistemas que 
não são de produção. Caso necessitem de dados de produção, esses 
serão fornecidos por um processo especial para serem usados no 
ambiente de desenvolvimento
3. Um processo especial deve ser seguido para instalar um programa do 
ambiente de desenvolvimento para o ambiente de produção
4. O processo especial no requisito 3 deve ser controlado e auditado
5. Os administradores e auditores devem ter acesso tanto ao estado do 
sistema, quanto aos logs de sistema gerados
• Estes requisitos sugerem vários princípios de operaçãoprincípios de operação 37
Modelos de segurança (17)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (2)
•• PrincípiosPrincípios
–– Separação de responsabilidadesSeparação de responsabilidades
» Caso dois ou mais passos sejam requeridos para realizar uma 
função crítica, pelo menos duas pessoas diferentes devem 
executar os passos
– Separação de função
» Desenvolvedores não devem desenvolver novos programas 
em ambientes de produção, nem processar dados de 
produção em ambientes de desenvolvimento
– Auditoria
» Sistemas comerciais devem permitir auditorias abrangentes, 
requerendo, portanto, logs também abrangentes
– Necessidade de saber
» Se um indivíduo necessita saber umainformação específica 
para desempenhar sua função, o acesso a informação é 
concedido
• Políticas comerciais geralmente demandam uma administração 
descentralizada, enquanto as militares requerem administração centralizada
38
Modelos de segurança (18)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (3)
– Foco nas transações das aplicações comerciais e na 
separação de responsabilidades
– Integridade definida por um conjunto de restrições
• Os dados estão em estado consistenteconsistente (válido) quando as restrições são satisfeitas
– Exemplo: banco
• D depósitos diários, SQ saques, SA saldo do dia anterior, SH saldo de hoje
– Restrição de integridade: SH = D + SA – SQ
– Transações bem formadas (TBF) levam o sistema de um 
estado consistente para outro estado consistente
– Questão: quem examina, certifica que elas foram definidas quem examina, certifica que elas foram definidas 
corretamente?corretamente?
39
Modelos de segurança (19)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (4)
– O modelo (1)
• Entidades
– CDIs: itens de dados constrangidos
» Dados sujeitos a restrições de integridade
– UDIs: itens de dados não constrangidos
» Dados não sujeitos a restrições de integridade
– IVPs: procedimentos de verificação de integridade
» Procedimentos que verificam se os CDIs estão em 
conformidade com as restrições de integridade
– TPs: procedimentos transacionais
» Procedimentos que levam o sistema de um estado válido para 
outro estado válido
40
Modelos de segurança (20)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (5)
– O modelo (2)
• Regras de certificação 1 e 2
CR1: quando qualquer IVP executa, ele deve assegurar que todos os CDIs estão 
num estado válido
CR2: para algum conjunto de CDIs associados, uma TP deve transformar tais 
CDIs de um estado válido para um outro estado (possivelmente diferente) 
também válido
» Define a relação certificadacertificada que associa um conjunto de CDIs com uma 
TP específica
» Exemplo: TP saldo, CDIs contas­correntes, num banco
41
Modelos de segurança (21)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (6)
– O modelo (3)
• Regras de coerção 1 e 2
ER1: o sistema deve manter as relações certificadas e deve assegurar que somente 
as TPs certificadas para uma CDI possam operar sobre essa CDI
ER2: o sistema deve associar um usuário a cada TP e conjunto de CDIs. A TP pode 
acessar tais CDIs em benefício do usuário associado. A TP não pode acessar as 
CDIs em benefício de um usuário não associado àquela TP e para estas CDIs
» O sistema deve manter e impor a relação certificadacertificada
» O sistema também deve restringir o acesso baseado na identidade do 
usuário (relação permitidapermitida)
42
Modelos de segurança (22)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (5)
– O modelo (4)
• Usuários e regras
CR3: a relação permitida deve atender os requisitos impostos pelo princípio da 
separação de responsabilidades
» A relação permitida é definida por um conjunto de triplas (usuário, TP, 
{conjunto de CDIs})
ER3: o sistema deve autenticar todo usuário que tente exexcutar uma TP
» O tipo de autenticação não é especificado e depende de instanciações 
do modelo
» A autenticação não é necessária antes do uso do sistema, mas é 
requerida antes da manipulação de CDIs (que requer o uso de TPs) 43
Modelos de segurança (23)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (6)
– O modelo (5)
• Logging
CR4: todas as TPs devem anexar numa CDI (que permite apenas append) 
informação suficiente para reconstruir uma operação realizada
» Esta CDI é o log
» O auditor dever ser capaz de determinar o que aconteceu durante a 
revisão das transações
• Lidando com entradas não confiáveis
CR5: qualquer TP que recebe como entrada uma UDI pode realizar apenas 
transformações válidas, ou nenhuma transformação, para todos os valores 
possíveis da UDI. A transformação ou rejeita a UDI ou a transforma numa 
CDI
» Num banco, números entrados pelo teclado são UDIs, logo podem ser 
entradas de TPs. TPs devem validar estes números (para torná­los uma 
CDI) antes de serem usados; caso a validação falhe, a TP rejeita a UDI
44
Modelos de segurança (24)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (7)
– O modelo (6)
• Separação de responsabilidades no modelo
ER4: apenas o certificador de uma TP pode modificar a 
lista de entidades associadas com essa TP. Nenhum certificador 
de TP, ou de uma entidade associada a essa TP, pode, jamais, ter 
permissão de execução em relação a essa entidade
»» Impõe a separação de responsabilidades para as relações Impõe a separação de responsabilidades para as relações 
permitida e certificadapermitida e certificada
45
Modelos de segurança (25)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (8)
– Contribuições do modelo
•• Captura o modo como as organizações empresariais trabalham com dadosCaptura o modo como as organizações empresariais trabalham com dados
– Empresas não classificam dados usando um esquema multinível
– Empresas impõem a separação de responsabilidades
•• Separa a noção de certificação da noção de coerçãoSepara a noção de certificação da noção de coerção
– Assumindo projeto e implementação corretos, um sistema seguindo esta 
política assegura que as regras de coerção são obedecidas
– Entretanto, as regras de certificação requerem intervenção externa e o 
processo de certificação é, em geral, complexo, e sujeito a erros e a 
incompletudes
» Certificadores fazem suposições sobre o que pode ser confiável
46
Modelos de segurança (26)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (9)
– Exemplo: implementação UNIX (1)
• Considera­se a relação permitidapermitida
(usuário, TP, { conjunto de CDIs})
• Cada TP tem um usuário proprietário distinto
– Estes “usuários” são, na realidade, contas bloqueadas, logo nenhum 
usuário real pode efetuar login nelas; mas isto fornece a cada TP um 
UID único para o controle dos direitos de acesso
– O TP executa com dos direitos de acesso do proprietário e não com 
os do usuário que executa a TP
• O grupo de cada TP contém o conjunto de usuários autorizados a executá­lo 
• Cada TP é executável apenas pelo grupo, e não por todo mundo
47
Modelos de segurança (27)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (10)
– Exemplo: implementação UNIX (2)
• Configurações dos CDIs
– CDIs são propriedade do root ou de algum usuário único com conta bloqueada
– O grupo de cada CDI contem os usuários donos de TPs autorizados a manipular a 
CDI
– Cada TP pode manipular CDIs para um único usuário
• Exemplos:
– Acesso à CDI restringido apenas por usuário
» Na tripla certificada, TP pode ser qualquer TP
» Coloque as CDIs num grupo contendo todos os usuários autorizados a 
manipular a CDI
– Acesso à CDI restringido apenas por TP
» Na tripla permitida, o usuário pode ser qualquer um
» As CDIs permitem acesso ao proprietário, o usuário dono da TP
» A TP autorizada a acessar a CDI pode ser executada por qualquer um
48
Modelos de segurança (28)
• Modelo Clark­Wilson (Clark & Wilson, 1987) (11)
– Exemplo: implementação UNIX (3)
• Problemas
– 2 usuários diferentes não podem usar a mesma TP para acessar 2 conjuntos de 
CDIs distintos
» Necessita de 2 cópias separadas do TP (uma para cada usuário e conjunto de 
CDIs)
– TPs são programas programas setuidsetuid
» Maior ameaça de modificar privilégios inadequadamente, logo necessita­se 
reduzir seu número
– O root pode assumir a identidade dos usuários donos das TPs, portanto, não pode 
ser separado dos certificadores
» A resolução deste problema implica numa mudança radical da natureza do 
root
49
Modelos de segurança (29)
• Modelo Chinese Wall (Brewer & Nash, 1989) (1)
– Foco em conflito de interessesconflito de interessesencontrados em ambientes 
empresariais
• Considera igualmente a confidencialidade e a integridade
– Problema:
– João é consultor de investimentos para o banco A
– Ele é convidado para prestar consultoria para o banco B
• A aceitação do convite cria uma situação de conflito de interesses
– O conselho para um banco pode afetar o seu conselho para outros bancos
» Os interesses do bancos são conflitantes
50
Modelos de segurança (30)
• Modelo Chinese Wall (Brewer & Nash, 1989) (2)
– Organização
•• Entidades em conflito de interesses são dispostas em classesEntidades em conflito de interesses são dispostas em classes
• O acesso dos sujeitos para cada classe é controlado
– A escrita em cada classe é controlada para assegurar que 
informações não sejam repassadas violando regras
• Permite que dados “limpos” sejam vistos por qualquer um
51
Modelos de segurança (31)
• Modelo Chinese Wall (Brewer & Nash, 1989) (3)
– Definições
• Objetos: itens de informação relacionados a uma empresa
• Dataset empresarial (CD): contêiner de objetos relacionado a uma única 
companhia
– Denotado por CD(O)
• Classe de conflito de interesses (COI): contém datasets de empresas competidoras
– Denotado por COI(O)
– Assume­se que cada objeto pertence a exatamente uma classe COI 
Bank of America
Citibank Bank of the West
Classe COI de bancos
Shell Oil
Union ’76
Standard Oil
ARCO
Classe COI de cias de petróleo
52
Modelos de segurança (32)
• Modelo Chinese Wall (Brewer & Nash, 1989) (4)
– Elemento temporal
• Caso João leia qualquer CD numa COI, ele jamaisjamais poderá ler outro CD nessa COI
– Possivelmente, a informação apreendida anteriormente poderá 
influenciar suas decisões futuras
– Define­se PR(S) como sendo o conjunto de objetos lidos pelo sujeito S
– Condição de segurança simples
• s pode ler o, se e somente se, uma das condições seguintes for verdadeira:
1. Existe um objeto o� tal que s tenha acessado o� e CD(o�) = CD(o)
– Significa que s leu alguma coisa no dataset de o’
2. Para todo o� � O, o� � PR(s) � COI(o�) ≠ COI(o)
– Significa que s não leu nenhum objeto da classe de conflito de 
interesses de o
• Ignora dados “limpos”
• Inicialmente, PR(s) = �, logo, a acesso para primeira leitura é concedido
Modelos de segurança (33)
• Modelo Chinese Wall (Brewer & Nash, 1989) (5)
• Supondo que um único COI tenha n CDs, então pelo menos n sujeitos são necessários para 
acessar cada CD
– “Limpeza” de dados
• Informações públicas podem pertencer a um CD
– Como são disponíveis para todos, os conflitos de interesses não emergem
– Logo, não deveriam afetar a capacidade de um consultor lê­los, por exemplo
– Tipicamente, dados que tiveram toda informação sensível removida podem ser 
liberados publicamente e são chamados de dados “limpos” (sanitized)
• Adiciona­se então uma terceira condição à condição de segurança simples:
3. o é um objeto “limpo”
54
Modelos de segurança (34)
• Modelo Chinese Wall (Brewer & Nash, 1989) (6)
– Escrita
• João e Ana trabalham na mesma corretora 
• João pode ler o CD do Citibank e o CD da cia de petróleo Shell
• Ana pode ler o CD do Bank of America e o CD da cia de petróleo Shell
• Caso João possa escrever no CD da cia de petróleo Shell, Ana poderá ler esta 
informação
–– Logo, indiretamente, ela pode ler informação do CD do Citibank, Logo, indiretamente, ela pode ler informação do CD do Citibank, 
um claro conflito de interessesum claro conflito de interesses
55
Modelos de segurança (35)
• Modelo Chinese Wall (Brewer & Nash, 1989) (7)
– Propriedade­*
• s pode escrever em o, se e somente se, as seguintes condições forem verdadeiras
1. A condição de segurança simples permite s ler o; e
2. Para todo objeto o� não “limpo”, se s pode ler o�, então CD(o�) = CD(o)
• Diz­se que s pode escrever para um objeto se todos os objetos (não “limpos”) que ele 
pode ler estão no mesmo dataset
–– O fluxo de informações não “limpas” fica confinado ao O fluxo de informações não “limpas” fica confinado ao 
datasetdataset de uma mesma empresade uma mesma empresa
– Informações “limpas” podem fluir livremente pelo sistema
56
Modelos de segurança (36)
Modelo Chinese Wall (Brewer & Nash, 1989) (8)
– Discussão dos modelos Bell­LaPadula e Chinese­Wall
•• Fundamentalmente diferentesFundamentalmente diferentes
– O ChineseChinese­­WallWall não tem rótulos de segurançanão tem rótulos de segurança, enquanto o Bell­LaPadula tem
– O ChineseChinese­­WallWall tem a noção de acesso passadotem a noção de acesso passado, enquanto o Bell­LaPadula não tem
•• BellBell­­LaPadulaLaPadula pode capturar um estado do pode capturar um estado do ChineseChinese­­WallWall em qualquer momento
– Cada par (COI, CD) tem uma categoria de segurança atribuída
– Duas liberações, S (“sanitized”) and U (“unsanitized”) são definidas
»» U dom SU dom S
– São atribuídos níveis de segurança para sujeitos, desde que para compartimentos 
sem múltiplas categorias correspondendo a CDs numa mesma classe COI
» O nível de segurança (UU, {BankBank ofof AmericaAmerica, ARCOARCO}) é atribuído para João, de 
modo que ele possa acessar CDs de COIs distintos
» Embora o Bell­LaPadula possibilite o nível (UU, {BankBank ofof AmericaAmerica, CitibankCitibank)}, o 
modelo Chinese­Wall o proíbe de existir, porque as categorias (CDs) estão num 
mesmo COI
» No exemplo visto, o modelo Chinese­Wall permite a existência de 12 níveis de 
segurança
57
Modelos de segurança (37)
• Modelo Chinese Wall (Brewer & Nash, 1989) (9)
– Discussão dos modelos Bell-LaPadula e Chinese-Wall
•• BellBell--LaPadulaLaPadula não é capaz de acompanhar mudanças que ocorrem com o passar do temponão é capaz de acompanhar mudanças que ocorrem com o passar do tempo
– Susana fica doente, Anna precisa substituí­la
» A historia dos acessos de Ana no Chinese Wall indica se ela pode ou não 
substituí­la
» Não há como o Bell­LaPadula capturar isto
•• Restrições de acesso se modificam com o passar do tempoRestrições de acesso se modificam com o passar do tempo
– Inicialmente, sujeitos no modelo Chinese­Wall podem ler qualquer objeto
– O modelo Bell­LaPadula restringe o conjunto de objetos que um sujeito pode ler
» Uma solução, seria, inicialmente, liberar todos os sujeitos para todas as 
categorias 
» Porém, isto violaria a condição de segurança simples do modelo Chinese­
Wall
» Necessita de uma entidade confiável para modificação dos níveis de 
segurança no modelo Bell­LaPadula
• Conclusão: o modelo Bell­LaPadula não pode emular o modelo Chinese Wall fielmente, 
implicando que os dois modelos são distintos
58
Modelos de segurança (38)
• Modelo Chinese Wall (Brewer & Nash, 1989) (10)
– Discussão dos modelos Clark-Wilson e Chinese-Wall
• O modelo Clark­Wilson cobre vários aspectos de integridade, como validação e 
verificação, assim como aspectos de controle de acesso
– Como o modelo Chinese­Wall lida exclusivamente com controle de 
acesso, não pode emular o modelo Clark­Wilson completamente
– Considera­se apenas os aspectos de controle de acesso
• O modelo Chinese Wall trata sujeitos como usuários humanos que executam ou 
tentam executar transações num sistema
• Uma única pessoa poderia usar múltiplos processos para violar a condição de 
segurança simples do modelo Chinese Wall
– Mas, ainda assim, estaria em conformidade com o modelo Clark­
Wilson
– Entretanto, o modelo Chinese­Wall é consistente com o modelo 
Clark­Wilson, quando se requer que um “sujeito” seja uma pessoa 
específica, assim como os processos que atuem em seu benefício
59
Modelos de segurança (39)
• Controle de acesso controlado pelo originador (ORCON) (1)
– Problema
• Uma organização que crie um documento, deseja controlar sua disseminaçãodisseminação
• Exemplo:
– Uma empresa de desenvolvimento de software crioue distribui para 
empresas parceiras o código fonte de um programa. Qualquer 
disseminação futura deste código deve ser autorizado pelo criador. Ou 
seja, o acesso é controlado pelo criador (originador)
– Requisitos
• Sujeito s � S marca objeto o � O como ORCON em benefício da organização X. X
permite a distribuição de o para sujeitos atuando em benefício da organização Y com as 
seguintes restrições:
1. o não pode ser liberado para sujeitos atuando em benefício de outras 
organizações sem a permissão de X, e
2. Quaisquer cópias de o devem ter as mesmas restrições colocadas para ele
60
Modelos de segurança (40)
• Controle de acesso controlado pelo originador (ORCON) (2)
– O controle de acesso discricionáriocontrole de acesso discricionário falhafalha em atender estes 
requisitos
• O proprietário pode modificar quaisquer permissões
– Não se pode impor a restrição do item 2 anterior
– O controle de acesso compulsóriocontrole de acesso compulsório também falhafalha
• Primeiro problema: explosão de categorias
– Categoria C contém o, X, Y, nada mais. Se um sujeito y � Y deseja ler o, x � X faz 
uma cópia o� de o. Note que o� tem categoria C. Se y deseja conceder para z � Z
uma cópia, z deve estar em Y—por definição, ele não está. Caso x deseje 
conceder para w � W o direito de ler o documento, então uma nova categoria C�
contendo o, X, W é necessária
• Segundo problema: abstração
– A classificação no MAC, assim como as categorias, são controladas centralmente, 
e o acesso também é controlado por uma política centralizada
– ORCON é controlado localmente
61
Modelos de segurança (41)
• Controle de acesso controlado pelo originador 
(ORCON) (3)
– O ORCON combina ambos os enfoques – DAC e MAC
• O proprietário de um objeto não pode modificar os controles de acesso do 
objeto
• Quando um objeto é copiado, as restrições de controle de acesso desta fonte 
também são copiados e anexados à cópia
• Estas regras são compulsórias – MAC – o proprietário não tem controle
• O criador (originador) pode alterar as restrições de controle de acesso por 
sujeito e por objeto
– O proprietário tem o controle, como no DAC
62
Modelos de segurança (42)
• Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) 
(1)
– Acesso regulado segundo os papéis exercidos pelo usuário
• Um papel denota uma função organizacional
– Autoridade
– Responsabilidade
– Autorizações de acesso são atribuídas para papéis e não usuários
63
Modelos de segurança (43)
• Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) 
(1)
– Papéis são atribuídos para usuários de acordo com suas funções
• Princípio da necessidade de saber/fazer é inerente ao modelo
– Separação de responsabilidades estática e dinâmica
– Facilita a administração da política de acesso
• Visão organizacional
• Mudanças de pessoal têm baixo impacto
– Facilita procedimentos de admissão/demissão
64
Modelos de segurança (44)
• Controle de acesso baseado em papéis (RBAC) 
(Ferraiolo et al., 2001) (1)
– Padrão estabelecido pelo NIST 
• ANSI/INCITS 359­2004. Information Technology: Role Based Access Control. InterNational 
Committee for Information Technology Standards, Feb. 2004. 56 p.
• Slide Presentation on Proposed RBAC Standard
• Presentation on RBAC standard (courtesy Wilfredo Alvarez) 
Unidade#2
Exercícios
66
Considerações Finais
• Existem soluções de modelos de controle de acesso
para todos os tamanhos de organizações;
• Temos que entender qual a dimensão do projeto, e
preparar a política, antes de selecionar o modelo de
controle de acesso;
• Cada projeto deverá ser revisto periodicamente,
sendo possível, a todo momento, realizar
atualização da política e modelo de segurança.
67
Questões para debate
• Banca: CESPE Órgão: TRE­GO Prova: Técnico Judiciário ­
• Os três tipos de controle de acesso lógico utilizados em 
segurança de informação são
• a) discrecional, mandatório e RBAC (role based access
control).
• b) hierárquico, discrecional e mandatório.
• c) individual, de grupo e biométrico.
• d) conceitual, físico e hierárquico. 68
Questões para debate
• Banca: CESPE Órgão: TRE­GO Prova: Técnico Judiciário ­
• Os três tipos de controle de acesso lógico utilizados em 
segurança de informação são
• a) discrecional, mandatório e RBAC (role based access control).
• b) hierárquico, discrecional e mandatório.
• c) individual, de grupo e biométrico.
• d) conceitual, físico e hierárquico.
69
Questões para debate
• Banca: CESPE Órgão: INPI Prova: Analista em TI
• No modelo RBAC (role-based access control), o acesso a 
objetos do sistema é definido pela identidade do 
usuário ou do grupo que tenta acessar o sistema.
• Certo
• Errado
70
Questões para debate
• Banca: CESPE Órgão: INPI Prova: Analista em TI
• No modelo RBAC (role-based access control), o acesso a 
objetos do sistema é definido pela identidade do 
usuário ou do grupo que tenta acessar o sistema.
• Certo
• Errado
71
Questões para debate
• Banca: VUNESP Órgão: SAEG Prova: Analista de Serviços
• Um administrador de domínio optou por organizar as 
permissões de acesso dos funcionários da empresa, 
criando grupos que correspondiam às funções dos funcionários 
e controlando o acesso aos recursos com base nesses grupos. Esse 
modelo de controle de acesso é chamado de
• a)Controle de acesso baseado em papéis (RBAC).
• b)Controle de acesso discricional (DAC).
• c)Controle de acesso mandatório (MAC).
• d)Controle de acesso baseado em tarefas (TBAC).
• e)Controle de acesso espacial (SAC).
72
Questões para debate
• Banca: VUNESP Órgão: SAEG Prova: Analista de Serviços
• Um administrador de domínio optou por organizar as 
permissões de acesso dos funcionários da empresa, 
criando grupos que correspondiam às funções dos funcionários 
e controlando o acesso aos recursos com base nesses grupos. Esse 
modelo de controle de acesso é chamado de
• a)Controle de acesso baseado em papéis (RBAC).
• b)Controle de acesso discricional (DAC).
• c)Controle de acesso mandatório (MAC).
• d)Controle de acesso baseado em tarefas (TBAC).
• e)Controle de acesso espacial (SAC).
73
• Banca: FCC Órgão: INFRAERO Prova: Analista de Sistemas ­ Segurança 
• Com relação aos mecanismos de controle de acesso,
• a) o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em 
que cada usuário é associado a um nível de segurança e que permite ao 
proprietário do recurso decidir quem tem permissão de acesso em determinado 
recurso e qual privilégio ele terá.
• b) no Discretionary Access Control (DAC), a política de acesso é determinada pelo 
sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de 
segurança, isto é, o potencial de risco que poderia resultar de um acesso não 
autorizado a informação.
• c) o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em 
que as permissões são associadas a papéis e os usuários são mapeados para esses 
papéis.
• d) o Role-Based Access Control (RBAC) possibilita ao administrador de sistema criar 
papéis, definir permissões para esses papéis e, então, associar usuários para os 
papéis com base nas responsabilidades associadas a uma determinada atividade.
• e) o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e 
facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no 
ambiente. 74
• Banca: FCC Órgão: INFRAERO Prova: Analista de Sistemas ­ Segurança 
• Com relação aos mecanismos de controle de acesso,
• a) o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em 
que cada usuário é associado a um nível de segurança e que permite ao 
proprietário do recurso decidir quem tem permissãode acesso em determinado 
recurso e qual privilégio ele terá.
• b) no Discretionary Access Control (DAC), a política de acesso é determinada pelo 
sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de 
segurança, isto é, o potencial de risco que poderia resultar de um acesso não 
autorizado a informação.
• c) o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em 
que as permissões são associadas a papéis e os usuários são mapeados para esses 
papéis.
• d) o Role-Based Access Control (RBAC) possibilita ao administrador de sistema 
criar papéis, definir permissões para esses papéis e, então, associar usuários para 
os papéis com base nas responsabilidades associadas a uma determinada 
atividade.
• e) o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e 
facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no 
ambiente. 75
• Banca: FUNCAB Órgão: PRF Prova: Agente 
• As medidas de segurança da informação envolvem 
três tipos de defesas, que são organizadas em 
camadas: a segurança de perímetro, a autenticação 
e a autorização. É uma medida de segurança 
apropriada para a camada de autorização:
• a) Rede Privada Virtual (VPN)
• b) Controle de acesso baseado em regras
• c) Infraestrutura de Chave Pública (PKI)
• d) Tokens
• e) Biometria
76
• Banca: FUNCAB Órgão: PRF Prova: Agente 
• As medidas de segurança da informação envolvem 
três tipos de defesas, que são organizadas em 
camadas: a segurança de perímetro, a autenticação 
e a autorização. É uma medida de segurança 
apropriada para a camada de autorização:
• a)Rede Privada Virtual (VPN)
• b)Controle de acesso baseado em regras
• c) Infraestrutura de Chave Pública (PKI)
• d) Tokens
• e) Biometria
77
Questões para debate
• . Banca: FCC Órgão: TCE­GO Prova: Analista 
• Considere as afirmações abaixo.
I. Consiste na separação entre as funções de 
autorização, aprovação de operações, execução, 
controle e contabilização, de tal maneira que 
nenhum funcionário detenha poderes e atribuições 
em desacordo com este princípio de controle 
interno.
78
• . Banca: FCC Órgão: TCE­GO Prova: Analista 
• Considere as afirmações abaixo.
II. Está relacionado com o RBAC (Role Based Access 
Control), que denomina um projeto do NIST/INCITS, 
cujo objetivo é padronizar um modelo para prover e 
administrar privilégios de acesso em uma 
organização.
III. Proíbe o usuário de, exercendo certa atividade, 
executar outra atividade ao mesmo tempo que 
implique em risco operacional para o negócio; a 
hierarquia organizacional reflete a estrutura dos 
papéis desempenhados pelos colaboradores dentro 
da organização. 79
• . Banca: FCC Órgão: TCE­GO Prova: Analista 
• Considere as afirmações abaixo.
IV. Refere­se ao controle de acesso baseado no 
papel, na atividade ou na função que o colaborador 
exerce dentro da organização; possibilita ter uma 
visão do privilégio de acesso de forma corporativa e 
não apenas por sistema.
Sabendo que SF refere­se à Segregação de 
Funções e PF refere­se à Perfil por Função, as 
afirmativas de I a IV são correta e respectivamente, 
relacionadas a:
• 80
• . Banca: FCC Órgão: TCE­GO Prova: Analista 
• Considere as afirmações abaixo.
a) SF; SF; PF; PF.
• b) PF; PF; SF; SF.
• c) PF; SF; SF; SF.
• d) SF; PF; SF; PF.
• e) SF; PF; PF; PF.
81
• . Banca: FCC Órgão: TCE­GO Prova: Analista 
• Considere as afirmações abaixo.
a) SF; SF; PF; PF.
• b) PF; PF; SF; SF.
• c) PF; SF; SF; SF.
• d) SF; PF; SF; PF.
• e) SF; PF; PF; PF.
82
Questões para debate
• Banca: FUNCAB Órgão: MDA Prova: Tecnologia 
• São medidas de segurança na autenticação:
• a) Tokens e IDS.
• b) Firewalls e varredura de vírus.
• c) VPN e Biometria.
• d) Biometria e PKI.
• e) Sincronização de rede e controle de acesso 
baseado em regras.
83
Questões para debate
• Banca: FUNCAB Órgão: MDA Prova: Tecnologia 
• São medidas de segurança na autenticação:
• a) Tokens e IDS.
• b) Firewalls e varredura de vírus.
• c) VPN e Biometria.
• d) Biometria e PKI.
• e) Sincronização de rede e controle de acesso 
baseado em regras.
84
Questões para debate
• . Banca: FUNRIO Órgão: IF­PA Prova: Adminstrador
• Entre as dimensões da gestão de sistemas de 
informação encontra­se a integridade que é 
entendida como a confirmação de que os dados 
enviados, recebidos ou armazenados estão 
completos e inalterados. Uma das formas de 
manter a integridade são os denominados modelos 
de controle que definem as características 
primitivas de um determinado conjunto de regras 
de autorização a serem utilizadas. Essas 
características influenciam os limites da semântica 
de autorização (SORDI e MEIRELES, 2010).
85
Questões para debate
• As indicações a seguir são modelos de controle de 
acesso.
• (1) Discretionary Access Control;
• (2) Mandatory Acess Control; e
• (3) Role- Based Acess Control.
• Assinale a alternativa correta quanto ao(s) 
modelo(s) de controle de acesso, conforme 
apresentado pelos autores.
• a) 1, 2 e 3. b) 1 e 2. c) 1 e 3.
• d) 2 e 3. e) 2. 86
Questões para debate
• As indicações a seguir são modelos de controle de 
acesso.
• (1) Discretionary Access Control;
• (2) Mandatory Acess Control; e
• (3) Role- Based Acess Control.
• Assinale a alternativa correta quanto ao(s) 
modelo(s) de controle de acesso, conforme 
apresentado pelos autores.
• a) 1, 2 e 3. b) 1 e 2. c) 1 e 3.
• d) 2 e 3. e) 2. 87
Explicação
• DAC (Discretionary Access Control) ­ Controle de Acesso 
Discricionário. A política de acesso é determinada pelo 
proprietário do recurso.
•
• MAC (Mandatory Access Control) ­ Controle de Acesso 
Mandatório. A política de acesso é determinada pelo 
sistema.
•
• RBAC (Role­Based Access Control) ­ Controle de Acesso 
Baseado em Papéis. Perfil por Função. Os privilégios e 
outras permissões são associados a papéis 
organizacionais, em vez de usuários individuais. 88
Questões para debate
• Banca: INSTITUTO AOCP Órgão: EBSERH
• Prova: Analista 
• As normas da família ISO 27000 estabelecem 
padrões para a Gestão da Segurança da 
Informação. Uma das recomendações é que a 
informação seja classificada em vários níveis de 
proteção, além de determinar os controles 
necessários para cada nível. Qual é a alternativa 
correta com relação à classificação da informação 
estabelecida nessa norma? 89
Questões para debate
• Banca: INSTITUTO AOCP Órgão: EBSERH
• Prova: Analista 
• As normas da família ISO 27000 estabelecem 
padrões para a Gestão da Segurança da 
Informação. Uma das recomendações é que a 
informação seja classificada em vários níveis de 
proteção, além de determinar os controles 
necessários para cada nível. Qual é a alternativa 
correta com relação à classificação da informação 
estabelecida nessa norma? 90
Questões para debate
• A) A norma estabelece que a classificação deve ser 
realizada em quatro níveis: confidencial; restrito; 
uso interno; público.
• b) A norma estabelece que a classificação deve ser 
realizada em seis níveis: ultrassecreto; secreto; 
confidencial; restrito; não classificado; público.
• c) A norma estabelece que a informação deve ser 
classificada com base no modelo de controle de 
acesso baseado em papéis (RBAC – Role Based 
Access Control). se adéqua à sua realidade. 91
Questões para debate
• d) A norma estabelece que a informação deve ser 
classificada com base no modelo de controle de 
acesso discricionário (DAC – Discretionary Access 
Control).
• e) A norma não obriga a fazer uso de um modelo 
específico de classificação da informação que deve 
ser utilizado estritamente, ou seja, cada organização 
pode utilizar um modelo de classificação e 
nomenclatura que mais se adéqua à sua realidade.92
Questões para debate
• d) A norma estabelece que a informação deve ser 
classificada com base no modelo de controle de 
acesso discricionário (DAC – Discretionary Access 
Control).
• e) A norma não obriga a fazer uso de um modelo 
específico de classificação da informação que deve 
ser utilizado estritamente, ou seja, cada 
organização pode utilizar um modelo de 
classificação e nomenclatura que mais se adéqua à 
sua realidade.
93
• Ao término desta Unidade você deverá ser capaz de
explanar sobre:
UNIDADE III
Modelos de Controle de Acesso
Discricionários (discretionary)
Mandatórios (mandatory)
Baseados em regras (role­based)
Unidade 03
94
���������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������