Page 1

1. Abstract
Nos princpios de 1970, notou-se que os sistemas comerciais no forneciam uma boa
segurana, sendo que ate usurios inexperientes podiam facilmente usufluir das falhas
que os sistemas ofereciam naquela altura.
Foi ai em que tal como vrios dos avanos tecnolgicos, o modelo de BPD (Bell-
LaPadula) foi formulado em ambiente militar. Este modelo atendia a apenas um dos
requisitos de segurana- a confidencialidade. Este modelo foi muito importante pois
introduziu conceitos importantes que serviram de base para a criao de outros modelos.
Logo asseguir a criao do modelo de BPD outros modelos de segurana foram criados.
Sendo que cada modelo foi criado sempre para atender a certo (s) requisito (s) de
segurana.












Page 2

ndice
1. Abstract .................................................................................................................................. 1
2. Introduo .............................................................................................................................. 4
3. Objectivo ................................................................................................................................ 5
Geral ........................................................................................................................................... 5
Especficos: ................................................................................................................................. 5
4. Metodologia ........................................................................................................................... 5
5. Princpios de modelos de segurana ...................................................................................... 6
5.1. Conceitos importantes ................................................................................................... 6
5.2. Mecanismos de Segurana ............................................................................................. 8
5.3. Modelos de polticas de segurana ................................................................................ 8
5.3.1. Historial dos modelos de polticas de segurana ................................................... 9
5.3.2. Modelo de matriz de acesso ................................................................................ 10
5.3.3. O modelo de Bell-LaPadula .................................................................................. 10
5.3.4. Harrison-Ruzzo-Ullman ........................................................................................ 12
5.3.5. Muralha chinesa ................................................................................................... 15
5.3.6. Modelo de integridade BIBA ................................................................................ 19
5.3.7. Modelo Goguen Meseguer ................................................................................ 22
5.3.8. Modelo Sutherland ............................................................................................... 23
5.3.9. Modelo de clarck wilson ....................................................................................... 23
6. Concluso ............................................................................................................................. 29
7. Bibliografia ........................................................................................................................... 30







Page 3

ndice de figuras
Figura 1: Representao top down da proteo de um sistema de computadores (Anderson,
Stajano, & Lee, s/d) ........................................................................................................................ 6
Figura 2: Matriz de acesso (Teigo, 2006) ................................................................................... 10
Figura 3: Hierarquia de rtulos (Anderson, Stajano, & Lee, s/d)................................................. 11
Figura 4: Revogao sem cascata (Carneiro, 2002) ..................................................................... 14
Figura 5: A revoga permisso a D (Carneiro, 2002) .................................................................... 14
Figura 6:Revogao Com Cascata (Carneiro, 2002) .................................................................... 15
Figura 7: A revoga direito de D (Carneiro, 2002) ........................................................................ 15
Figura 8: Exemplo (Crespo, 2004) ............................................................................................... 17
Figura 9: Acesso a informao dos TAP (Crespo, 2004) ............................................................. 19
Figura 10: Regras de Modelo Obrigatrio de Integridade BIBA (Seidel, 2006) ......................... 21
Figura 11: Modelo BIBA da Marca de gua baixa do Sujeito (Seidel, 2006) .............................. 22













Page 4

2. Introduo
Provar que um programa correto por meio formal caro, sempre que possvel, tal
abordagem para a garantia rentvel em apenas algumas reas. Uma das mais
importantes delas a rea de segurana, onde o custo de um erro pode ser de bilhes de
dlares e, pelo menos na rea de segurana nacional, e a vida humana. Infelizmente,
provar formalmente que um programa seguro especialmente difcil. No que as
provas formais sobre a segurana so intrinsecamente mais difcil do que as provas
sobre outras propriedades, mas sim que o conceito de segurana, em si, mais difcil de
explicar formalmente. Por esta razo, tem havido uma grande quantidade de foco na
explicitao formalmente da segurana atravs da construo de modelos formais de
segurana. (McLean, 1984; Young, 2009)
Se assumirmos que a existncia de um conjunto de objectos, que podem ser
intuitivamente vistos como consistindo de recipientes de informao, e um conjunto de
indivduos, o que pode ser intuitivamente visto como consistindo de agentes que podem
operar em objectos de vrias maneiras, a segurana o problema de governar
adequadamente o acesso dos sujeitos aos objetos. A nossa preocupao neste trabalho
com os requisitos que restringem o acesso que um usurio legtimo pode ter aos
arquivos.
Este artigo descreve modelos de segurana de sistemas de computadores, em geral.
Veremos que a segurana fornece uma rea de pesquisa frutfera para aqueles com um
interesse geral na especificao do software uma vez que algumas das questes mais
difceis que surgem na especificao de segurana tm analogias em outros domnios.








Page 5

3. Objectivo
Geral:
Fazer uma anlise transversal de princpio de modelos de seguranas;
Fornecer uma base para avaliar modelos de segurana no mbito do
desenvolvimento de sistemas de computador seguros. Um nmero de modelos
existentes so resumidos, e algumas consideraes gerais para a concepo e
utilizao de modelos de segurana so apresentados.

Especficos:

Analisar o conceito de princpio de segurana
Dar a entender os mecanismos e modelos de princpio de seguranas
Descrever os modelos


4. Metodologia

Com vista a materializar os objectivos previamente definidos para o presente trabalho,
vrios mtodos para elaborao de este trabalho foram levados a cabo:
Anlise comparativa das fontes de informao nas quais o grupo baseou-se para
estruturar e compor o trabalho;
Repartio de tarefas de investigao pelos integrantes do grupo, com vista a
dinamizar a realizao do trabalho. Coube a cada integrante, investigar os contedos que
lehe foram efectados do trabalho, e aps uma discusso e censura, fez-se a integrao
dos mesmos;
As informaes colectadas e posteriormente compiladas tiveram como fontes a
biblioteca virtual (internet) e Leitura de livros relacionados com principio de modelo
de segurana e recurso a um um dicionrio (software) eletrnico;
Recolha de dados;
Foram tambm feitas anlises dos contedos e tiradas concluses que constam
no presente trabalho.
Page 6

5. Princpios de modelos de segurana
5.1. Conceitos importantes
Segurana
-Segundo (Teigo, 2006) segurana no contexto da palavra em ingls security o
processo que garante as caractersticas de condencialidade, integridade e
disponibilidade, alm de autenticidade e no-repdio.
Modelo (Para este caso Modelo de Sistema)
Segundo algumas definies tiradas do dicionrio eletrnico (Software) (Babylon)
modelo pode ser:
-Um padro, um exemplo, ou ainda uma abstrao ou aproximao da realidade.
Poltica de segurana
(Anderson, Stajano, & Lee, s/d) Mostra-nos uma representao top down da proteo de
um sistema de computadores e afirma que consiste de 3 nveis, como mostra a figura
abaixo:


Politicas
Middleware
Mecanismos
Figura 1: Representao top down da proteo de um sistema de computadores (Anderson, Stajano, & Lee, s/d)
Page 7

Onde:
Politicas- este nvel de abstrao representa todo o sistema por metas do sistema de
segurana e requisitos para esse sistema de segurana concisos e formalizados.
Mecanismos- nvel de abstrao que representa mecanismos como hardware de
computao, as primitivas criptogrficas, bem como itens de processos, tais como
verificao biomtrica de indivduos (ris, impresso digital, etc) para fins de
autenticao.
Middleware- este nvel conecta os mecanismos uns com os outros para a construo de
um sistema conforme as politicas.

Podemos ver na figura 1 que as polticas de segurana de um sistema consistem nos
princpios de segurana, visto que as politicas se encontram no topo da pirmide.
Antes da implementao de qualquer sistema de segurana necessrio que sejam
definidas as metas (isto , para qual objectivo o sistema foi desenhado), e os requisitos
para atingir tais metas.
(Anderson, Stajano, & Lee, s/d)Define uma poltica de segurana como um conjunto de
documentos de alto nvel que anunciam com preciso que objectivos os mecanismos de
proteo querem alcanar.
(Teigo, 2006) Contribui para a nossa literatura dizendo que uma poltica de segurana
descreve as regras para um sujeito poder exercer um direito sobre um objeto.
(Teigo, 2006)Afirma tambm que as polticas devem indicar, tambm, o que deve ser
feito caso elas sejam violadas. Por exemplo, caso estejamos interessados em manter a
integridade de um sistema, uma poltica poderia definir que, caso o sistema seja violado,
os objetos protegidos que foram afetados devem ser marcados como no chonveis,
indicando que estes objetos no podem mais ser tratados como ntegros.

Page 8

5.2. Mecanismos de Segurana
Segundo (Teigo, 2006) existem os seguintes tipos de mecanismos de segurana:
Discricionrios ou baseados em identidade-estes mecanismos controlam
individualmente quais sujeitos possuem direitos sobre objetos, e quais estes direitos so.
Duas implementaes deste mecanismo so as Listas de Controle de Acesso (Access
Control Lists ACL) e Capacidades (Capabilities- ou direitos)
Mandatrios- os mecanismos mandatrios categorizam sujeitos e objetos e descrevem
como as categorias interagem, e esta interao permite sempre os mesmos direitos para
as mesmas categorias, no sistema inteiro.
Baseado em papis -O controle de acesso baseado em papis est fortemente ligado `a
funo do sujeito dentro de uma organizao; cada papel do sujeito est vinculado a um
tipo de atividade, e a um conjunto de direitos.

5.3. Modelos de polticas de segurana
Segundo (Anderson, Stajano, & Lee, s/d) um modelo de poltica de segurana uma
declarao sucinta das propriedades de proteo que um determinado sistema, ou um
tipo generalizado de sistema deve ter.
O mesmos modelos de politicas de segurana so abordados por outros autores como
sendo modelos de controle de acesso, ou ainda modelos de segurana. Na verdade com o
controle de acesso podemos oferecer um certo nvel de segurana, j que segundo
(Loureiro, 2009) um mtodo utilizado para conceder ou proibir acesso (leitura, escrita,
etc.) a determinados recursos de um sistema.



Page 9

5.3.1. Historial dos modelos de polticas de segurana
Historicamente, o conceito de um modelo de poltica de segurana veio do sector
militar. O primeiro a aparecer, Bell-LaPadula, foi introduzido em 1973, em resposta s
preocupaes da Fora Area dos EUA sobre a confidencialidade dos dados em sistemas
mainframe de tempo compartilhado. Este modelo ainda simples e influente baseado
em restringir o fluxo de informaes entre os nveis de iseno rotulados como
"Confidencial" e "Top Secret".
Segundo (Harrisson et all; 1976) citado por (Bruce, CISSP, PMP, & FITSP-D, 2010)Um
pouco logo asseguir surgiu em 1976 surgiu o medelo de Harrisson Ruzzo-Ullman.
Sendo este uma extenso do modelo Graham-Denning de 1972 segundo (Graham et all,
1972) citado tambm por (Bruce, CISSP, PMP, & FITSP-D, 2010).
Uma segunda onda de modelos de polticas surgiu na dcada de 1980 a partir de
formalizao de prticas bem estabelecidas no setor empresarial. Uma abstrao dos
sistemas de contabilidade de dupla entrada utilizada na contabilidade e bancrio deu luz
em 1987 para o modelo de poltica de segurana Clark-Wilson (Wilson et all, 1987)
citado por (Anderson, Stajano, & Lee, s/d). Ento (Brewer, et all,1989) citado por
(Anderson, Stajano, & Lee, s/d) introduziram o modelo Chinese Wall em 1989. E
segundo (Anderson, Stajano, & Lee, s/d) este modelo era para representar as restries
de confidencialidade interna de uma empresa profissional cujos parceiros pode estar
servindo clientes concorrentes e devem evitar conflitos de interesse.
A terceira onda veio com o desenvolvimento de modelos de polticas para aplicaes em
vrios outros campos, como o modelo BMA, Jikzi, etc.




Page 10

5.3.2. Modelo de matriz de acesso
Segundo (Teigo, 2006) este modelo dene uma matriz de S sujeitos por O objetos,
mapeados sobre um conjunto de direitos D, tais que:

Ilustrada pela figura abaixo:
s2
Sujeitos Direitos
sS
o1 o2 Objectos oO

Figura 2: Matriz de acesso (Teigo, 2006)
Onde o direito que se encontra na clula indexada pelo sujeito e objeto aquele que ser
concedido durante a requisio de acesso.
Com isso conclui-se que os mecanismos usados para este modelo so discricionrios.

5.3.3. O modelo de Bell-LaPadula
At o incio dos anos 1970 segundo (Anderson, Stajano, & Lee, s/d), as pessoas
perceberam que a proteo oferecida por sistemas operacionais comerciais era pobre, e
no melhorava. Assim que um bug do sistema operacional era fixado, alguma outra
vulnerabilidade era descoberta. Mesmo os usurios no qualificados descobririam
brechas para us-las de forma oportunista.
Como muitos grandes avanos na rea tecnolgica, o surgimento deste modelo esta
relacionado a rea militar. Segundo (Bell, et all, 1974.) citado por (Anderson, Stajano, &
Lee, s/d) o modelo Bell-LaPadula foi formulado em 1973, sendo que este estava
relacionado com a preocupao das Foras Areas Norte Americanas em relao a
confidencialidade de dados em sistemas de mainframe de tempo compartilhado).
Page 11

A segunda guerra mundial e a guerra fria que levaram o governo da NATO a mover
para um esquema de proteo de marcao, para rotular a sensitividade de documentos.
Segundo este esquema a informao teria rtulos de classificaes hierrquica como a
figura asseguir ilustra:
Super secreta
Secreta
Confidencial
Pblica
Figura 3: Hierarquia de rtulos (Anderson, Stajano, & Lee, s/d)

Este esquema hierrquico esta relacionado ao nvel de danos que a revelao de certa
informao pode trazer para certa organizao, ou pas, etc.
Sendo que normalmente o nvel de segurana eleva-se a medida que subimos um degrau
no esquema hierrquico, isto e se por exemplo para aceder dados secretos usa-se um
mecanismo de controle de acesso atravs de impresses digitais, para super secreta para
alem disso podia-se usar mais um outro mecanismo.
O esquema hierrquico pode variar, pois para certa organizao ou pas existem os seus
prprios rtulos, assim como uma organizao hierrquica para os seus rtulos. Ex: Para
UK existe um rtulo a mais que fica entre confidencial e pblica, este nvel e chamado
restricto.
Com o que esta acima consegue-se ver que: diferentemente do modelo de matriz de
acesso, para este modelo so usados mecanismos de acesso mandatrios.
(Teigo, 2006) da uma breve e resumida explicao de como funciona este modelo em
sistemas: quando um sujeito requisita um acesso, seu nnvel de segurana e
confrontado com a classificao do objeto. O BLP dene trs propriedades de segurana
que devem ser respeitadas:
Page 12

1. A Propriedade Simples de Segurana garante que um sujeito no pode ler uma
informao classicada acima do seu nvel de segurana (no read-up).
2. A Propriedade * (estrela) impede que um sujeito escreva informaes em um objeto
classicado abaixo de seu nnvel (no write-down).
3. A Propriedade de Segurana Discricionria utiliza uma matriz de acesso para
especicar um DAC (controle de acesso discricionrio).
Um administrador pode, quando necessrio, mover informaes de uma classicao
maior para outra menor (violando a propriedade *).
Segundo (Ferrando, 2010) este modelo importante porque introduziu as propriedades 1
(Propriedade Simples de Segurana) e 2 (A Propriedade * (estrela)). Sendo que a mais
critica inovao segundo (Anderson, Stajano, & Lee, s/d) foi a propriedade estrela. Que
foi conduzida pelo medo de ataques usando cdigos maliciosos:
Um usurio qualquer pode escrever um trojan e deixa-lo em um local onde este pode
pode ser executado por um administrador de sistemas com permisso para ler dados
secretos; sendo assim este podia criar cpias dele mesmo na rea secreta e escrever
dados secretos em objectos pblicos.

5.3.4. Harrison-Ruzzo-Ullman
Segundo (Mamede, 2006) o modelo Bell-Lapadula (BLP), apresentado anteriormente,
no define polticas para a alterao de direitos de acesso, nem para a criao e
eliminao de indivduos e objectos. O presente modelo Harrison-Ruzzo-Ullman (HRU)
define sistemas de autorizao que endeream essas lacunas [Harrison & Russo &
Ullman, 1976].
Na mesma perspectiva (Mamede, 2006) considera que este modelo HRU opera num
conjunto de sujeitos S, num conjunto de objectos O, num conjunto de permisses A e
numa matriz de controlo de acessos M.
Page 13

Este modelo comea por identificar os objectos a ser protegidos, os sujeitos que
executam actividades que exigem acesso aos objectos e as aces que podem ser
executadas sobre os objectos e que devem ser controladas. Ou seja o modelo define um
sistema de autorizao recorrendo utilizao de uma linguagem de comandos, em que
cada comando envolve condies e operaes primitivas. Estas so:
Criar sujeito s permite a introduo de um novo sujeito no sistema;
Criar objecto o permite a introduo de um novo objecto no sistema;
Destruir sujeito s permite ao controlador de um sujeito elimin-lo do sistema;
Destruir objecto o permite ao dono de um objecto a sua eliminao do sistema;
Dar permisso a M [s, o] permite ao dono de um objecto estabelecer
permisses a outros sujeitos sobre aquele objecto;
Eliminar permisso a de M [S, O] permite a um sujeito retirar permisso de
outro sujeito sobre um objecto, desde que o ltimo sujeito no seja o dono do
objecto ou controle o sujeito a quem se pretende retirar a permisso.

Confiabilidade
Pode um sujeito S obter permisses P sobre um objecto O atravs de propagao de
direitos?
Segundo (Carneiro, 2002) no modelo HRU s possvel responder pergunta se:
O nmero de operaes em cada comando for 1.Ou se o nmero de sujeitos for finito.

Revogao
Propagao de permisses
Revogao em cascata.
Problema:
A d acesso discricionrio a B sobre O
Page 14

B d acesso a O,a C
A d acesso a O,a C
A revoga acesso de C a O
Deve A revogar o acesso dado por B?

Revogao sem cascata

Figura 4: Revogao sem cascata (Carneiro, 2002)
A revoga permisso a D

Figura 5: A revoga permisso a D (Carneiro, 2002)



Page 15



Revogao Com Cascata

Figura 6:Revogao Com Cascata (Carneiro, 2002)
A revoga direito de D

Figura 7: A revoga direito de D (Carneiro, 2002)

5.3.5. Muralha chinesa
Segundo (Wiipedia, 2000) um modelo hbrido, proposto em 1989 por David Brewer e
Michael Nash, cobrindo aspectos de integridade e de confidencialidade. Concebido para
fornecer controlos que minimizam os conflitos de interesses em organizaes
comerciais, e construdo sobre um modelo de fluxo de informaes.
Page 16

conhecida como a parede de China, porque se baseia na criao de uma parede lgica
entre um usurio e as informaes no devem ser acedidos. Se dois usurios tenham o
mesmo nvel de acesso, isso no significa que eles podem ler a mesma informao.

(Crespo, 2004) Explica mais sobre o modelo Muralha Chinesa mostrando que ele
envolve, para alm dos tradicionais conjuntos {S,O,A}, o conjunto C.
Sujeitos: elementos activos que acedem a informao protegida.
Companhias: empresas existentes no mercado.
Objectos: dados (ex: ficheiros) respeitantes a uma companhia, que so organizados
em 3 nveis de integridade.
Regras de acesso de leitura e escrita.

Definio: Dado um sujeito sS, PR(s)O o conjunto de objectos acedidos pelo
sujeito.
De incio, para todos os sujeitos se tem PR(s)=. Os direitos de acesso so dinmicos e
so re-examinados em todas as transies.

Nveis de segurana
Os dados so armazenados em 3 nveis de segurana:
Nvel inferior guarda os dados individuais de uma dada empresa;
Nvel intermdio agrupa os dados associados a uma mesma empresa (CD-Company
Dataset).
Nvel superior colecciona os CDs de empresas que competem entre si (classe COI-
Conflict of Interest).
Page 17


Cada objecto pertence a um nico CD e cada CD pertence a nica classe COI. So
definidas duas funes:
cd : OC - indica a que empresa o dado pertence.
cic : OC lista as empresas concorrentes, que esto interditadas a aceder ao
objecto.
Definio: O nvel de segurana de um objecto o dado por (cic(o),cd(o)).

Figura 8: Exemplo (Crespo, 2004)

Os analistas necessitam de recolher informao no confidencial de empresas
concorrentes (ex: relatrios publicadosna bolsa de valores).
Definio: Informao esterelizada (sanitized) informao de empresa concorrente
expurgada de informao sensvel.




Page 18

Propriedades
Propriedade segurana simples:
Um sujeito sS pode ler um objecto oO, sse forem satisfeitas uma das
seguintes condies:
J leu objectos na mesma classe de conflito de interesses.
(oPR(s)oo) cd(o) = cd(o)
s apenas leu objectos de outras classes que no so conflito de interesses.
(oPR(s)oo) cd(o) coi(c(o))
informao esterelizada (sanitized).
Um sujeito apenas pode aceder a objectos que no entrem em conflito de
interesse com outros objectos j acedidos.
Quando o sujeito s l um objecto o, PR(s) PR(s){o}.

Exemplo:
1. De incio, qualquer objecto pode ser acedido.
2. Se um consultor aceder ao plano de investimentos da CGD, deixa de poder poder
aceder a qualquer informao de outro banco (por exemplo, BCP). No entanto, o
consultor pode continuar a aceder a quaisquer objectos da CGD (por exemplo, a
gesto dos recursos humanos).Tem permisso para aceder a um objecto da JM,Sonae
ou dos TAP.
3. Acesso a informao dos TAP no impede de aceder a quaisquer outros objectos.
Page 19


Figura 9: Acesso a informao dos TAP (Crespo, 2004)

Propriedade segurana *(*-property): Um sujeito sS pode escrever um objecto
oO, sse forem satisfeitas ambas condies:
Objecto o satisfaz a propriedade simples;
Para todos os objectos expurgados de informao sensvel o, se o puder ser
lido ento cd(o)=cd(o) ou cd(o)cdi(o). O fluxo de informao fica
confinado ao mesmo CD.

5.3.6. Modelo de integridade BIBA

Segundo (kenneth, 1977) O modelo Biba, baseia-se no modelo de segurana BLP.
No modelo Biba so definidos nveis de integridade (nota: modelo BLP define nveis de
segurana, mas os objectivos so distintos).
No modelo Biba so definidas polticas de integridade duais do BLP: integridade
esttica, integridade dinmica, inovao.
Os conjuntos bsicos do Biba so:

Sujeitos: elementos activos do sistema que acedem a informao (ex: processos
que actuam em nome dos utilizadores que os lanam)
Objectos: elementos passivos do sistema, sobre os quais solicitado acesso (ex:
ficheiros, programas)

Page 20

Modos de acesso:
Modificar: o sujeito escreve no objecto;
Observar: o sujeito l o objecto;
Invocar: o sujeito comunica com outro sujeito;
Executar: o sujeito executa o objecto;

O modelo Biba citado por (Seidel, 2006) enderea, principalmente, a integridade em termos
de acesso por indivduos a objectos, baseando-se numa mquina de estados, de forma muito
semelhante ao modelo BLP (Bell-LaPadula). Este foi mesmo o primeiro modelo a enderear
a integridade em sistemas computacionais, baseado num esquema hierrquico de nveis.
O modelo de integridade Biba similar ao modelo BLP para confidencialidade, na medida
em que tambm recorre utilizao de sujeitos e objectos.
No entanto, contrariamente ao modelo referido no ponto anterior, ao invs de definir apenas
uma poltica de integridade de alto nvel, define uma srie de aproximaes possveis.
Segundo no modelo de BIBA so definidas regras onde um sujeito estando em um nvel
de integridade mais elevado no pode ler/executar um objecto que esteja em um nvel de
integridade inferior ao seu (no read down NRD).
Tambm estabelece que um sujeito estando em um baixo nvel de integridade no
poder escrever/modificar em um objecto em um nvel de integridade superior ao seu
(no write up NWU).
O modelo BIBA pode ser representado atravs de um diagrama de nveis de maneira
mais objectiva. As linhas horizontais do diagrama representam os nveis de integridade e
as aces que so negadas pelo contexto geral do modelo. O diagrama do modelo BIBA
pode ser melhor visualizado na Figura asseguir:
Page 21

Figura 10: Regras de Modelo Obrigatrio de Integridade BIBA (Seidel, 2006)

Uma das vantagens do modelo BIBA, a incorporao de algumas caractersticas das
regras do modelo BLP incluindo a simplicidade e atributos intuitivos. Isto , os
desenvolvedores de sistemas podem facilmente entender as regras de NWD e NRU,
podendo incorpor-las em projectos de decises de sistemas.
O Modelo da marca de gua baixa do sujeito introduz um leve relaxamento nas regras de
leitura de sujeito mais ntegros em objectos menos ntegros. A reviso do modelo
obrigatrio BIBA de integridade no permite que os sujeitos de alta integridade leiam os
objectos de baixa integridade. Isto pretende assegurar que a informao do sujeito de
alta integridade, no seja corrompida pela baixa integridade do objecto. Entretanto no
modelo da marca dgua baixa do sujeito permitida a leitura de objectos de menor
integridade por sujeitos mais ntegros, mas o resultado de tal leitura o rebaixamento do
nvel de integridade do sujeito ao nvel do objecto lido. As caractersticas deste modelo
so mostradas na Figura asseguir.
Page 22


Figura 11: Modelo BIBA da Marca de gua baixa do Sujeito (Seidel, 2006)

5.3.7. Modelo Goguen Meseguer
Segundo (Mamede, 2006) o modelo Goguen-Meseguer, publicado originalmente em
1982, baseia-se nos princpios matemticos que governam os autmatos, um mecanismo
de controlo concebido para seguir de forma automtica uma sequncia predeterminada
de operaes, ou respondera instrues devidamente codificadas. O modelo inclui,
ainda, a separao de domnios.
Neste contexto, (Mamede 2006) afirma que um domnio a lista de objectos a que um
sujeito pode aceder. Os sujeitos podem ser agrupados de acordo com os seus domnios
definidos. A separao de sujeitos por diferentes domnios assegura que uns no
interferem com as actividades dos outros. Toda a informao sobre as actividades que os
sujeitos esto autorizados a executar includa na tabela de capacidades.
Adicionalmente, o sistema contm informao no relacionada com permisses, como
sejam programas do utilizador, dados e mensagens. combinao de toda esta
informao d-se o nome de estado do sistema. A teoria dos autmatos, utilizada como
base para este modelo, pr--define todos os estados e transies entre os mesmos, o que
previne utilizadores no autorizados de executarem alteraes ou modificaes em
dados ou programas (Mamede 2006).
Page 23



5.3.8. Modelo Sutherland
Segundo (Mamede 2006) o modelo Sutherland foi publicado originalmente em 1986
[Sutherland, 1986] e enderea a problemtica da integridade focando-se no problema da
inferncia, ou seja, a utilizao de canais dissimulados para influenciar os resultados de
um processo. Em relao ao mesmo autor este modelo baseado numa mquina de
estados e, como tal, consiste num conjunto de estados, um outro conjunto de estados
iniciais possveis e uma funo de transformao que mapeia os estados do estado inicial
para o estado actual (Mamede 2006).
Ainda afirma que no obstante o facto de este modelo no invocar directamente um
mecanismo de proteco, contm restries de acesso relacionadas com os sujeitos e
restries de fluxo de informao entre objectos. Assim, o modelo previne que
utilizadores no autorizados possam modificar dados ou programas (Mamede 2006).

5.3.9. Modelo de clarck wilson
Ao contrrio dos sistemas de segurana militar, a principal preocupao dos sistemas de
segurana comercial garantir que a integridade dos dados protegida de modificaes
imprprias e aes inadequadas realizadas por usurios no autorizados. A confidencialidade
igualmente importante dentro do ambiente comercial, no entanto, David D. Clark e David R.
Wilson argumentam que a integridade da informao mais importante do que a sua
confidencialidade na maioria dos sistemas comerciais. Uma vez que grande parte da ateno na
rea de segurana tem sido dedicada ao desenvolvimento de modelos sofisticados (por exemplo,
modelo Bell-LaPadula) e mecanismos de confidencialidade, os recursos para garantir a
confidencialidade em sistemas de informao so consideravelmente mais avanada do que
aqueles que fornecem integridade. Assim, esforos recentes do Instituto Nacional de Cincia e
Tecnologia (NIST) esto focados na questo de integridade. Neste artigo, vamos explorar a
natureza e o alcance do modelo de Clark-Wilson (CW).

Page 24


Princpios da Integridade
Princpios de segurana so simplesmente uma coleo de padres geralmente aceitos de boa
prtica que pensado para promover a execuo de polticas de segurana. Cada organizao
diferente e a interpretao e a adoo de princpios depender de circunstncias especficas. H
vrios princpios para alcanar e manter a integridade da informao, mas vamo-nos focar em
dois princpios bsicos que Clark e Wilson sugerem ser os mais importantes. Os princpios so a
transao bem-formada e separao de tarefas, que so abstrados dos papis Clark e Wilson [8].

O princpio da separao de responsabilidades afirma que nenhuma pessoa deve
executar uma tarefa do comeo ao fim, mas que a tarefa deve ser dividida entre duas ou
mais pessoas para evitar fraudes por uma pessoa agindo sozinha. Preserva a consistncia
externa de dados, garantindo que os dados no sistema refletem os dados do mundo real
que ela representa.
O princpio transao bem-formada definido como uma operao em que o usurio
incapaz manipular dados de forma arbitrria, mas apenas em formas restritas (limitaes
ou limites) que preservam ou garantem a integridade dos dados. Um sistema de
segurana em que as transaes so bem formadas garante que apenas aes legtimas
sejam executadas. Garante que os dados internos so precisos e consistentes com o que
eles representam no mundo real.
A poltica construda em termos das seguintes categorias:
Itens de dados restrita: CDIs so os objetos cuja integridade protegida (Young, 2009)
Itens de dados sem restries: UDIs so objetos no abrangidos pela a poltica de integridade
(Young, 2009)
Procedimentos de transformao: TPs so os nicos procedimentos permitidos para modificar
CDIs, ou tirar arbitrariamente a entrada do usurio e criar novos CDIs. Projetado para levar o
sistema de um estado vlido para outro. (Young, 2009)
Procedimentos de verificao de integridade: IVPs so procedimentos destinados a verificar a
manuteno da integridade dos CDIs. (Young, 2009)
Page 25


Um Modelo de Segurana para a Integridade
Modelos de integridade so usados para descrever o que precisa ser feito para reforar as
polticas de integridade das informaes. H trs objetivos da integridade: (Summers, p.142)
Impedir modificaes no autorizadas
Manter a consistncia interna e externa
Impedir modificaes autorizadas, mas imprprias
Para atingir esses objetivos, necessrio um conjunto de servios de segurana que incorporam
as propriedades necessrias para a integridade, bem como uma estrutura para comp-las. As
propriedades de segurana necessrios para a integridade incluem integridade, controle de
acesso, auditoria e prestao de contas.

O modelo de Clark-Wilson (CW) um modelo de integridade de nvel de aplicativo que tenta
garantir as propriedades de integridade de dados comerciais e fornece uma estrutura para avaliar
a segurana em aplicativos de sistemas comerciais. Foi publicado em 1987 e atualizado em 1989
por David D. Clark e David R. Wilson (um cientista da computao e um contador).
Clark e Wilson particionaram todos os dados em um sistema em dois itens de dados (CDI) e
itens sem restries (UDI), itens de dados para o qual deve ser assegurada a integridade. Os
(CDI) so objetos que o modelo de integridade aplicada e (UDI) so objetos que no so
abrangidos pela poltica de integridade (por exemplo, informaes digitadas pelo usurio no
teclado). Dois procedimentos so ento aplicados a estes itens de dados para proteco. O
primeiro procedimento de verificao de integridade (IVP), verifica se que os itens de dados
esto em um estado vlido (ou seja, eles so o que os usurios ou os proprietrios acreditam que
eles sejam, porque eles no foram alterados). O segundo procedimento o procedimento de
transformao (PT) ou transao bem-formada, o que altera os itens de dados de um estado
vlido para outro. Se apenas um procedimento de transformao capaz de alterar os elementos
de dados, a integridade dos dados mantida. Os sistemas de execuo Integridade geralmente
exigem que todos os procedimentos de transformao de estar conectado, para fornecer uma
trilha de auditoria das alteraes de itens de dados. (National Computer Security Center, 1987)
Page 26

Para fornecer uma compreenso clara do que isso significa exatamente, suficientemente
importante para ter um olhar para um exemplo do mundo real:
1. Adquirindo funcionrio cria uma ordem para o fornecimento, com cpia para o
fornecedor e o departamento de recepo.
2. Ao receber a mercadoria, um funcionrio de recepo verifica a entrega e, se tudo
estiver bem, assina um formulrio de entrega. O Formulrio de entrega e ordem original
vo para o departamento de contabilidade.
3. O Fornecedor envia uma fatura para o departamento de contabilidade. Assistente de
contabilidade compara a fatura com a ordem original e o formulrio de entrega e emite
um cheque para o fornecedor.
Este exemplo apresentado em termos de itens de dados constrangidos que so processados
por procedimentos de transformao. Os itens de dados so alterados apenas por
procedimentos de transformao, mantendo assim a sua integridade. Os procedimentos de
transformao (PT) so criar ordem, enviar ordem, criar forma de entrega, envie um formulrio
de entrega, assinar o formulrio de entrega, criar faturas, enviar fatura, comparar fatura a ordem,
e assim por diante. Os itens de dados so limitados ordem, forma de entrega, fatura e cheque. Os
usurios s podem invocar alguns procedimentos de transformao, e um conjunto pr-
especificado de objetos de dados ou CDIs.

Para garantir que a integridade alcanada e mantida, Clark e Wilson declararam que so
necessrias determinadas regras de monitoramento de integridade (regras de certificao) de
preservao da integridade (regras de execuo). As regras de monitoramento de integridade so
impostas pelo administrador e as regras de preservao da integridade so regras de aplicao da
garantia do sistema.
Na formulao nove regras do modelo de Clark-Wilson so:
Regras de Certificao
C1 (Certificao IVP) - O sistema ter um IVP para validar a integridade de qualquer CDI.
Todos IVPs devem garantir adequadamente que todos os CDIs esto em um estado vlido no
momento que VPI executado
Page 27

C2 (Validade) - A aplicao de um TP a qualquer CDI deve manter a integridade desse CDI.
CDIs devem ser certificados para assegurar que eles resultam em um CDI vlido.
C3 - A CDI s pode ser alterado por um TP. TPs devem ser certificados para assegurar que
aplicar os princpios da separao de funes e menos privilgio
C4 (Jornal Certification) - TPs devem ser certificados para assegurar que suas aes so
registradas
C5 - TPs que atuam sobre UDIs devem ser certificados para assegurar que eles resultam em
um CDI vlido
Regras de Execuo
E1 (Execuo de Validade) - Apenas TPs certificadas podem operar em CDIs . O sistema
deve manter a lista de relaes especificadas na regra c2, e deve garantir que a nica
manipulao de qualquer CDI ocorre por um TP, onde o TP est a funcionar no CDI, conforme
especificado em alguma relao.
E2 (Execuo de Separao do dever) - Os usurios s podem acessar TPs atravs de CDIs
para o qual so autorizadas. o sistema deve manter a lista de relaes da forma: (UserID, TPI,
(CDIA, CDIB, CDIC,...)), que relaciona um usurio, um TP, e os dados de objetos que TP pode
fazer referncia em nome desse usurio. Deve assegurar que apenas as execues descritas numa
das relaes so realizados.
E3 (identidade do usurio) - O sistema deve autenticar a identidade de cada usurio que est
tentando executar um TP
E4 (Iniciao) - Somente o administrador pode especificar as autorizaes TP
O modelo CW difere de outros modelos que permitem a indivduos ter acesso aos objectos
directamente, em vez de por meio de programas, o que impede que os usurios no autorizados
modifiquem dados ou programas.
A partir do que apresentado acima, vemos que o modelo CW mostra que as regras procuram
impor as propriedades de segurana necessrios para a integridade, que so descritos a seguir:


Page 28

Integridade
Uma garantia de que CDIs s pode ser modificado de modo constrangido a produzir CDIs
vlidos. Esta propriedade assegurada pelas regras: C1, C2, C5, E1 e E4.
O controlo de acesso
A capacidade de controlar o acesso aos recursos. Isto apoiado pelas regras: C3, E2 e E3.

Auditoria
A capacidade para determinar as alteraes feitas para CDIs e assegurar que o sistema est num
estado vlido. Isto assegurado pelas regras C1 e C4.

Responsabilidade
A capacidade de associar exclusivamente aos usurios com suas aes. Isso requer autenticao
desses usurios, que imposta pela regra E3










Page 29

6. Concluso

Apesar de certos modelos terem sido criados em certos ambientes a sua aplicabilidade
estende-se a muitos outros ambientes nesse caso organizaes empresariais, pases, etc
Porque cada modelo foi criado para atender a certas necessidades de segurana, nada
impede que para certas necessidades de segurana no se possam a partir dos j
existentes criar outros modelos de segurana que estejam adequados a realidade
enfrentada. Sendo que tambm podemos associar vrios modelos a um sistema- tudo isto
e para atender as necessidades de segurana.
Claro que para implementao de qualquer deve-se no s avaliar quais so as reais
necessidades de segurana como tambm deve-se olhar para outros aspetos, como a
acessibilidade de implementao do prprio modelo.
E tem que se avaliar, se existe mesmo necessidade de certo nvel de segurana para
determinada informao. Pois sempre mais sempre deve-se fazer um uso timo dos
recursos que determinada organizao detm. Para o bom progresso da empresa e do
trabalhador da rea de segurana de sistemas.








Page 30


7. Bibliografia
Anderson, R., Stajano, F., & Lee, J.-H. (s/d). Security Policies. Obtido em 17 de Abril de 2014, de
http://www.cl.cam.ac.uk/~rja14/Papers/security-policies.pdf
Babylon. (s.d.). Babylon. (Babylon Verso Limitada(apenas para uso pessoal) verso 1.0.2 r(13)).
Babylon Ltd.
Bruce, A., CISSP, PMP, & FITSP-D. (11 de Abril de 2010). Formal Security Models and the
Modern Organization-How Security Models affect Todays DoD Contractors. Obtido em
11 de Maio de 2014, de https://www.softwareab.net/wordpress/wp-
content/uploads/2013/03/Formal-Security-Models-and-Our-Organization.pdf
Carneiro, A. (2002). Introducao segurana dos Sistemas de Informao, Segurana um factor
de sucesso-Auditoria, Politicas e Beneficios da Segurana, Lisboa. FCA-Editora de
Informatica.
Crespo, P. R. (Junho de 2004). Criptografia e Segurana das Comunicaes. Obtido em 03-05-14
de Maio de 2014, de comp.ist.utl.pt: comp.ist.utl.pt/ec-csc/Acetatos/5.../53-
PoliticasIntegridade.pdf
Ferrando, F. (2010). Computer Security : Models and Techniques of Access Control. Techline z
Series. IBM Corporation. Obtido em 28 de Abril de 2014, de http://www-
01.ibm.com/support/docview.wss?uid=tss1wp101649&aid=1
kenneth. (1977). (P. R. Crespo, Ed.) Obtido em 21 de 04 de 2014, de www.comp.ist.utl.pt:
http://www.comp.ist.utl.pt
Loureiro, B. (2009). Obtido em 16 de Abril de 2014, de
http://web.fe.up.pt/~jmcruz/ssi/ssi.0910/trabs-als/apres.5-bruno.loureiro.pdf
Mamede. (2006). (C. F. Andrade, Ed.) Obtido em 21 de 04 de 2014, de
http://bdigital.unipiaget.cv:8080/jspui/bitstream/10964/58/1/Crispina%20Andrade.pdf
McLean, J. (1984). The Specification and Modeling of Computer Security. Washington, D.C.:
Center for High Assurance Computer Systems, Naval Research Laboratory.
National Computer Security Center, N. (1987). A Guide to Understanding Audit in Trusted
Systems. Washington DC. Obtido de http://www.fas.org/irp/nsa/rainbow/tg001.htm
Page 31

Seidel, F. (2006). (F. A. Seidel, Ed.) Obtido em 21 de 04 de 2014, de
http://www.ppgia.pucpr.br/lib/exe/fetch.php?media=dissertacoes:2005:2005_fabio_s
eidel.pdf
Teigo, R. C. (2006). Mini-Curso Cotrole de Acesso. Obtido em 16 de Abril de 2014, de
http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/so:seguranca-teigao.pdf
Wiipedia. (Abril de 2000). Muralha da China - Wiipedia. Obtido em 03 de Maio de 2014, de
pt.wikipedia.org: pt.wikipedia.org/wiki/Muralha_da_China
Young, D. B. (15 de 05 de 2009). Fondations of Computer Security. Obtido em 2014