Modelos de controlo de acesso são criados para garantir e forçar as regras e objetivos de uma política de segurança instaurada, e para ditar como os utilizadores podem aceder aos objetos, entendendo-se estes como acessos físicos, dados de um sistema computacional, ou outros.[1]
Noutra perspetiva, eles são definidos como um conjunto de critérios que o adminis- trador utiliza para definir e gerir as permissões dos utilizadores. Existem muitos modelos deste tipo, mas essencialmente três se demarcam de todo o resto, sendo eles o Discretio- nary Access Control (DAC), Mandatory Access Control model (MACM), e o Role-Based Access Control (RBAC).[10]
Mais uma vez, estes modelos foram desenvolvidos para sistemas computacionais para gerir pedidos e a ações sobre objetos de sistemas de informação, estando na base da gestão de controlo de acessos de alguns dos mais conhecidos sistemas operativos, na maior parte das vezes sendo o objeto um dado ficheiro. Repare-se que da mesma forma que na secção anterior, estes modelos são aplicáveis em sistemas de controlo de acesso físicos, pensando-se no objeto como um ponto na rede de acessos destes. Seja cada porta de uma corporação, às fechaduras dos carros de um parque automóvel de uma empresa, aos cacifos de um dado polidesportivo, a verdade é que estes acessos podem ser geridos com a mesma metodologia, da mesma forma que existem diferentes ficheiros, caracterizando-se as suas permissões pela sua importância ou confidencialidade, existem portas numa corporação que dão acesso a espaço mais ou menos importantes, carros no parque automóvel da empresa de mais alta gama apenas para administradores, e cacifos de maior dimensão nos polidesportivos para sócios privilegiados.
2.3.1 Discretionary Access Control - DAC
Deve definir e controlar o acesso de utilizadores a objetos, possibilitar que um utilizador permita ou revogue o direito de acesso de outros utilizadores sobre os recursos controlados pelo primeiro, e, por fim, proteger os objetos contra acessos não autorizados.[11] Basica- mente este modelo baseia-se no facto de um utilizador definir e gerir as permissões a um objeto que ele originou, sendo o acesso inteiramente definido com base na identidade do utilizador que tenta aceder, ou no papel deste dentro da empresa/instituição/corporação. [12]
Uma abordagem comumente utilizada para prover este modelo prevê a utilização de uma matriz de controlo de acessos. Essa matriz tem, em uma das suas dimensões, os sujeitos que desejam aceder a um objeto, ou seja, indivíduos ou grupos destes, e na segunda dimensão tem a lista de objetos que podem ser acedidos.[11]
Na prática essa matriz é decomposta e utilizada no sistema em uma das seguintes formas: Access Control List’s (ACL’s) ou “capabilities-lists”. ACL’s são obtidas ao se dividir a matriz em colunas, ou seja, para cada objeto a lista de controlo de acesso fornece o sujeito e o nível de permissão ao acesso. Além disso, as ACL’s podem possuir uma entrada padrão ou pública, permitindo que ela contenha apenas os utilizadores que de facto possuem permissões diferenciadas, e uma única entrada para todos os outros.[11] • Exemplo 1: “Dan creates a share on his system containing documents and WAVE- form audio format (WAV) files, he can control and dictate who can access this share
and the items within it. This is typically done through ACL’s, where permission is granted on a “need-to-know” basis.”[1]
• Exemplo 2: “O Alberto adquire um cofre para o gabinete de contabilidade da sua empresa que é implementado como um objeto do sistema de controlo de acessos mo- delizado por DAC. Apenas os integrantes deste gabinete têm permissões registadas pelo Alberto nas ACL’s para aceder a este objeto.”
2.3.2 Mandatory Access Control - MAC
Este modelo é distinto do anterior porque cada objeto tem um “rótulo” associado, muitas vezes designado na literatura por “security labels”, em que estas são designadas com base na classificação da importância do objeto (e.g. informação, acesso físico), por exemplo, “top secret”, “secret”, e outros níveis que possam ser especificados. Por isso se diz que MACM é muito popular em ambientes altamente secretos, como por exemplo a indústria da defesa, onde a fuga de um arquivo pode comprometer a segurança nacional.[10] Ao nível dos utilizadores o processo é semelhante, designando-se a estes um nível de acesso dentro da corporação que aplica modelos deste tipo nos seus sistemas de controlo de acessos.
A validação é feita comparando o nível designado ao objeto de acesso com o nível apontado ao utilizador que o tenta aceder, sendo que, por exemplo, um sujeito com permissões de acesso a dados “top-secret” tem automaticamente permissão para todos os outros de confidencialidade mais baixa.
Posto isto, os MACMs não permitem que os acessos sejam geridos diretamente pelo proprietário do objeto, mas em vez disso o modelo compara diretamente o nível de autorizações dos utilizadores e a classificação do objeto no sistema. Com base nessa comparação o nível de acesso é verificado e garantido se o “match” for apurado.
2.3.3 Role-based Access Control - RBAC
Modelos RBAC, ou modelos não discricionários, criam as decisões de acesso baseadas nos direitos e permissões atribuídos a um papel ou grupos. Não a um único utilizador. Os administradores definem papéis ou grupos, que funcionam como um contentor de utilizadores. Os administradores conferem direitos de acesso e permissões a um dos dois tipos de contentores e não diretamente a um utilizador. Os utilizadores são associados a um papel ou grupo e herdam as permissões e direitos designados pelos administradores a estes.[1]
Este modelo de controlo de acesso funciona eficazmente em organizações reais, pois aos arquivos e recursos são atribuídas permissões de acordo com os papéis que necessitam destes. Por exemplo, um administrador do sistema pode criar uma função de acesso para gerentes, exclusivamente. Assim, um utilizador precisaria ser atribuído ao papel de um gerente para ter acesso aos recursos a estes atribuídos.[10]
Outra vantagem é que a nível empresarial, ou de instituições que tenham de gerir o mais variado tipo e número de permissões, definidos os papéis ou grupos da organização, este modelo permite flexibilizar as operações de troca, atribuição e remoção de permis- sões. Por exemplo, quando uma empresa contrata um novo trabalhador ou pretender mudar o posto de trabalho de um empregado, basta associar a sua identidade ao papel
que ele representa na empresa, obtendo este de imediato acesso a todos os recursos que a sua função carece para o seu bom desempenho.