Controle de acesso

Origem: Wikipédia, a enciclopédia livre.

Em segurança, especialmente segurança física de instalações , o termo controle de acesso  é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala, apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através de pessoas (um guarda, segurança, controlador  ou recepcionista); através de meios mecânicos como fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados em cartões de acesso.

Índice

• 1 Na segurança da informação
  • 1.1 Identificação e autenticação
  • 1.2 Autorização
  • 1.3 Auditoria
  • 1.4 Técnicas de controle de acesso
    • 1.4.1 Controle de acesso discricionário
    • 1.4.2 Controle de acesso obrigatório
    • 1.4.3 Controle de acesso baseado em papéis
• 2 Telecomunicações
• 3 Controle de acesso em política pública
• 4 Controle de acesso na segurança eletrônica

Na segurança da informação

O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.

Identificação e autenticação

A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário. Atualmente, com a popularização tecnológica, reconhecimento por impressão digital, smartcard, MiFare ou RFID estão substituindo, por exemplo, o método de credencial (nome e senha). Dispositivos com sensores que fazem a leitura, a verificação e a identificação de características físicas únicas de um indivíduo aplicam a biometria e fazem agora a maior parte dos reconhecimentos. A identificação biométrica por impressão digital é a mais conhecida e utilizada atualmente por sua fiabilidade alta e baixo custo. [1]

Autorização

A autorização define quais direitos e permissões tem o usuário do sistema. Após o usuário ser autenticado o processo de autorização determina o que ele pode fazer no sistema.

Auditoria

A auditoria (accounting) é uma referência à coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Esta informação pode ser utilizada para gerenciamento, planejamento, cobrança e etc. A auditoria em tempo real ocorre quando as informações relativas aos usuários são trafegadas no momento do consumo dos recursos. Na auditoria em batch as informações são gravadas e enviadas posteriormente. As informações que são tipicamente relacionadas com este processo são a identidade do usuário, a natureza do serviço entregue, o momento em que o serviço se inicia e o momento do seu término.

Técnicas de controle de acesso

As técnicas de controle de acesso são normalmente categorizadas em discricionárias e obrigatórias.

Controle de acesso discricionário

O controle de acesso discricionário (discretionary access control ou DAC) é uma política de controle de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.
O DAC tem dois conceitos importantes:

• Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido.
• Direitos de acesso são estabelecidos pelo proprietário do recurso, que pode inclusive transferir essa propriedade.

Um exemplo de DAC são as permissões tradicionais do sistema UNIX, implementadas também no Linux.

Controle de acesso obrigatório

No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de cujos dados são altamente sensíveis, como governamentais e militares.

• Rótulos de sensibilidade. Em sistemas de controle de acesso obrigatório, todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de sensibilidade de um objeto define o nível de confiança necessário para acessá-lo. Para acessar um determinado objeto, o sujeito deve ter um rótulo de sensibilidade igual ou superior ao requisitado pelo objeto.

• Importação e exportação de dados. O controle de importação e exportação de dados para outros sistemas (incluindo impressoras) é uma função crítica de um sistema baseado em MAC. O sistema precisa garantir que os rótulos de sensibilidade são mantidos e implementados de maneira apropriada, de forma que a informação sensível seja protegida a todo momento.

Dois métodos são comumente utilizados na aplicação de controle de acesso obrigatório:

• Controles baseados em regras. Todos os sistemas MAC implementam uma forma simples de controle de acesso baseado em regras que define que o acesso deve ser dado ou negado com base no:
  • rótulo de sensibilidade do objeto
  • rótulo de sensibilidade do sujeito
• Controles de acesso baseados no modelo lattice. Estes controles podem ser utilizados em decisões complexas envolvendo múltiplos objetos e/ou sujeitos. O modelo lattice corresponde basicamente a um grafo dirigido sem ciclos. Um lattice define uma ordenação parcial (ex.: filho->pai->avô) que pode ser usada para definir níveis de prioridade.

Sistemas usando MAC podem ser implementados por meio das seguintes técnicas:

• Listas de controle de acesso (ACLs) definem os direitos e permissões que são dados a um sujeito sobre determinado objeto. As listas de controle de acesso disponibilizam um método flexível de adoção de controles de acesso discricionários.

Poucos sistemas implementam o MAC. O XTS-400 é um exemplo.

Controle de acesso baseado em papéis

Um controle baseado em papéis (RBAC) é uma abordagem para restringir o acesso a usuários autorizados. Controles de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado usuário desempenha na organização. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários.
Permissões de acesso e direitos sobre objetos são dados para qualquer grupo ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos. Os indivíduos podem adquirir permissões cumulativas ou desqualificado para qualquer permissão que não faz parte de todo grupo a qual ele pertence.

Telecomunicações

Em telecomunicações, o termo controle de acesso tem os seguintes significados:

• Uma funcionalidade ou técnica utilizada para permitir ou negar a utilização de componentes de um sistema de comunicações.
• Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou aplicações de obter dados de, ou colocar dados em, um dispositivo de armazenagem.
• O processo de limitar o acesso a recursos de um sistema de auditoria para usuários autorizados, programas, processos e outros sistemas.
• A função realizada por um controlador de recursos que aloca recursos de sistema para satisfazer requisições de usuários de telecomunicações.

Controle de acesso em política pública

Em política pública, o acesso de controle é utilizado em sistemas confiáveis para restringir o acesso ("autorização") ou para gravar e monitorar o comportamento ("auditoria"). Os sistemas confiáveis são utilizados em segurança ou controle social.

Controle de acesso na segurança eletrônica

Na segurança eletrônica, o controle de acesso desempenha um papel importante para identificar as pessoas presentes em uma determinada área controlada. O controle de acesso de pessoas em áreas restritas, como condomínios, empresas, centro de processamento de dados (CPD), entre outros, é feito através de equipamentos como portas eletrônicas, catracas, torniquetes e cancelas. Todos os acessos são registrados em um software e banco de dados desenvolvidos para este fim. Com isto é possível rastrear todas as pessoas que estão, ou estiveram presentes na área controlada. Para autenticar e autorizar uma pessoa são utilizadas diversas tecnologias como: cartão de proximidade, biometria e senha.