Avaliação de Ferramentas para Gestão e Execução de Regras de Autorização

  • Leonardo Azevedo UNIRIO
  • Diego Duarte UNIRIO
  • Fernanda Araujo Baião UNIRIO
  • Claudia Cappelli UNIRIO

Resumo


Segurança da informação é um tema essencial em organizações comerciais e governamentais, e sua operacionalização requer a existência de ferramentas de suporte, tanto em tempo de edição e manutenção das regras quanto em tempo de execução das aplicações que realizam acesso aos dados corporativos, quando se deve assegurar que as regras previamente definidas sejam respeitadas. Em cenários reais, este suporte computacional é tipicamente definido por atividades de prospecção da área de Arquitetura de TI. A avaliação de ferramentas de regras de autorização, no entanto, não é trivial. Este trabalho relata a avaliação de ferramentas de gestão e execução de regras de autorização, seguindo o framework composto por uma arquitetura genérica e um processo de avaliação propostos anteriormente. Além disso, são propostos uma taxonomia de critérios de avaliação e uma metodologia de cálculo das notas atribuídas aos critérios. A avaliação foi realizada em um cenário real de uma organização, e os resultados mostraram ser possível adotar um BRMS para suporte à gestão de regras de autorização, e às funcionalidades inerentes a SGBD como o Oracle tanto para armazenamento quanto para execução de regras de autorização.

Palavras-chave: Avaliação, Ferramentas, Gestão, Regras de Autorização

Referências

AZEVEDO, L. G., LOPES, M., SOUZA, J., SIQUEIRA, S., CAPPELLI, C., BAIAO, F.A., 2008a. “Uma metodologia de avaliação de ferramentas para gestão de ontologias”. In: Seminário de Pesquisa em Ontologia no Brasil, Niterói.

AZEVEDO, L. G., SOUZA, J., LOPES, M., SIQUEIRA, S., CAPPELLI, C., BAIAO, F.A., et al. 2008b. “Inspeção de Ferramentas de Ontologias”. Relatório Técnico 0003/2008, Departamento de Informática Aplicada da UNIRIO, Rio de Janeiro.

Azevedo, L. G., Puntar, S., Thiago, R., Baião, F., Cappelli, C., 2010. “A Flexible Framework for Applying Data Access Authorization Business Rules”. In: 12th International Conference on Enterprise Information Systems (ICEIS 2010), Funchal, Madeira, Portugal.

BRCOMMUNITY (2009) “Business Rules Community”. http://www.brcommunity.com.

BRG (2009) “The Business Rules Group”. http://www.businessrulesgroup.org.

CALÌ, A. E MARTINENGHI, D. (2008). Querying data under access limitations. In Proc. of ICDE, Cancun.

CHEN, L. e CRAMPTOM, J. (2009) “Set Covering Problems in Role-Based Access Control”. In: Proceedings of 14th European Symposium on Research in Computer Security, Saint-Malo, France.

COMELLA-DORA, S., DEAN, J., LEWIS, G., MORRIS, E., OBERNDORF, P., HARPER, E. (2004) “A Process for COTS Software”. Technical Report CMU/SEI-2003-TR-017. Carnegie Mellon Software Engineering Institute.

DEITERT, E., MCCOY, D. (2007) “The Anatomy of a Business Rule Management System”. Gartner Research.

DoD (1983) “Trusted Computer Security Evaluation Criteria”. Department of Defense, DoD 5200.28-STD.

FERRAIOLO, D.F. e KHUN, D. R. (1992) “Role-Based Access Control”. In: 15th National Computer Security Conference, pp. 554—563, Baltimore, MD.

FERRAIOLO, D.F., SANDHU, R., GAVRILA, S., KUHN, D.R., CHANDRAMOULI, R. (2001) “Proposed NIST standard for role-based access control”. ACM Transactions on Information and System Security (TISSEC) 4 (3), pp. 224—274.

KITCHENHAM, B. (1996) “DESMET: A method for evaluating software engineering methods and tools”. http://www.osel.co.uk/desmet.pdf.

MURTHY, R. E SEDLAR, E. (2007). Flexible and efficient access control in oracle. In ACM SIGMOD 2007, pp. 973-980, Beijing.

RYMER, J., GUALTIERI, M. (2008) “The Forrester WaveTM: Business Rules Plataform, Q2”. Forrester Research, http://www.forrester.com/go?docid=39088.

SANDHU, R.S., COYNE, E.J., FEINSTEIN, H.L., YOUMAN, C.E. (1996) “Role- based access control models”. IEEE Computer, vol. 29, no. 2, pp 38-47.

SINUR, J. (2005) “Magic Quadrant for Business Rule Engines”, Gartner Research.

TARIQ, N.A. e AKHTER, N. (2005) “Comparison of Model Driven Architecture (MDA) based tools”. In: Proceedings of 13th Nordic Baltic Conference (NBC), v. 9.

YANG, L. (2009) “Teaching database security and auditing”. ACM SIGCSE’09, v.1,issue 1, pp. 241—245.
Publicado
16/06/2010
AZEVEDO, Leonardo; DUARTE, Diego; BAIÃO, Fernanda Araujo; CAPPELLI, Claudia. Avaliação de Ferramentas para Gestão e Execução de Regras de Autorização. In: SIMPÓSIO BRASILEIRO DE SISTEMAS DE INFORMAÇÃO (SBSI), 6. , 2010, Marabá. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2010 . p. 25-36. DOI: https://doi.org/10.5753/sbsi.2010.14698.

Artigos mais lidos do(s) mesmo(s) autor(es)