Politiche, modelli e meccanismi

Politica di sicurezza: stabilisce cosa è permesso o vietato in un sistema. È simile a un insieme di leggi e di solito viene definita in termini di regole o requisiti di alto livello. Una politica di sicurezza descrive le restrizioni di accesso, cioè le relazioni tra soggetti (utenti, processi, etc.) e oggetti (risorse, dati, etc.).
Modello di sicurezza: fornisce una rappresentazione formale di una politica di sicurezza o di una famiglia di politiche. È una specifica più strutturata che aiuta a comprendere, analizzare e implementare le politiche di sicurezza.
Meccanismo di sicurezza: è ciò che implementa concretamente i controlli definiti dalla politica e formalizzati nel modello. Include funzioni a basso livello, sia software che hardware, che contribuiscono all'applicazione pratica delle regole di sicurezza.

Politiche di sicurezza con esempi (extra)

Politica di sicurezza: Uno studente ha accesso completo alle informazioni che ha creato. Gli studenti non hanno accesso alle informazioni di altri studenti a meno che non sia stato espressamente concesso. Gli studenti possono accedere ed eseguire una selezione predefinita di file e/o applicazioni. ...

E-Banking: Un cliente bancario può visualizzare i saldi del suo conto e le transazioni recenti. Può trasferire fondi dai suoi conti a condizione che il suo totale di scoperto sia inferiore a 10.000 euro. I trasferimenti che comportano scoperti più elevati devono essere approvati dal suo responsabile del conto. ...

Oggetti: In questo contesto, gli oggetti includono sia dati che processi.

Politiche sulla privacy: Un soggetto può accedere solo ai dati personali se questo accesso è necessario per svolgere il suo compito attuale e solo se il soggetto è autorizzato a svolgere questo compito. Inoltre, lo scopo del suo compito attuale deve corrispondere agli scopi per cui sono stati ottenuti i dati personali, oppure il consenso deve essere fornito dai soggetti interessati. Combina condizioni con obblighi su come i dati verranno utilizzati.

Politiche di sicurezza (importante)

Le politiche di controllo dell'accesso possono essere raggruppate in tre classi principali:

Discretionary (DAC) - Politiche basate sull'autorizzazione:

Le politiche DAC controllano l'accesso in base all'identità del richiedente e alle regole di accesso che specificano cosa i richiedenti sono (o non sono) autorizzati a fare.
Mandatory (MAC) - Politiche basate su obblighi:

Le politiche MAC controllano l'accesso in base a regolamentazioni imposte da un'autorità centrale determinata.
Role-based (RBAC) - Politiche basate sui ruoli:

Le politiche RBAC controllano l'accesso in base ai ruoli che gli utenti ricoprono nel sistema e alle regole che specificano quali accessi sono consentiti agli utenti in determinati ruoli.

Le politiche DAC e RBAC sono di solito accoppiate con (o includono) una politica amministrativa che definisce chi può specificare autorizzazioni/regole che governano il controllo dell'accesso.

Controllo dell'accesso - architettura di riferimento

Il sistema conosce l'identità dell'utente, cioè l'autenticazione è stata completata.

Ogni richiesta passa attraverso un componente affidabile chiamato monitor di riferimento, che deve godere delle seguenti proprietà:

Untitled

Integrità inviolabile:

Non dovrebbe essere possibile modificarlo (o almeno le modifiche dovrebbero essere rilevate);