Trabalho Final Auditoria
MBIS Segurança da Informação
Professora: Luciana Akemi Nakabayashi
AUDITORIA EM SIST.DE TI COM FOCO EM SEGURANCA
Texto - Auditoria controle de Acesso
Osvaldo Moreira Júnior 076286
São Paulo
2014
Sumário
Texto - Auditoria controle de Acesso 3
Texto - Case - Auditoria controle de Acesso
O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema.
Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário. A auditoria (accounting) é uma referência à coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Esta informação pode ser utilizada para gerenciamento, planejamento, cobrança e etc. As técnicas de controle de acesso são normalmente categorizadas em discricionárias e obrigatórias. O controle de acesso discricionário (discretionary access control ou DAC) é uma política de controle de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.
O DAC tem dois conceitos importantes: Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido. Um exemplo de DAC são as permissões tradicionais do sistema UNIX, implementadas também no Linux.
No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de cujos dados são altamente