Avaliação de Ferramentas para Gestão e Execução de Regras de Autorização
Resumo
Segurança da informação é um tema essencial em organizações comerciais e governamentais, e sua operacionalização requer a existência de ferramentas de suporte, tanto em tempo de edição e manutenção das regras quanto em tempo de execução das aplicações que realizam acesso aos dados corporativos, quando se deve assegurar que as regras previamente definidas sejam respeitadas. Em cenários reais, este suporte computacional é tipicamente definido por atividades de prospecção da área de Arquitetura de TI. A avaliação de ferramentas de regras de autorização, no entanto, não é trivial. Este trabalho relata a avaliação de ferramentas de gestão e execução de regras de autorização, seguindo o framework composto por uma arquitetura genérica e um processo de avaliação propostos anteriormente. Além disso, são propostos uma taxonomia de critérios de avaliação e uma metodologia de cálculo das notas atribuídas aos critérios. A avaliação foi realizada em um cenário real de uma organização, e os resultados mostraram ser possível adotar um BRMS para suporte à gestão de regras de autorização, e às funcionalidades inerentes a SGBD como o Oracle tanto para armazenamento quanto para execução de regras de autorização.
Referências
AZEVEDO, L. G., SOUZA, J., LOPES, M., SIQUEIRA, S., CAPPELLI, C., BAIAO, F.A., et al. 2008b. “Inspeção de Ferramentas de Ontologias”. Relatório Técnico 0003/2008, Departamento de Informática Aplicada da UNIRIO, Rio de Janeiro.
Azevedo, L. G., Puntar, S., Thiago, R., Baião, F., Cappelli, C., 2010. “A Flexible Framework for Applying Data Access Authorization Business Rules”. In: 12th International Conference on Enterprise Information Systems (ICEIS 2010), Funchal, Madeira, Portugal.
BRCOMMUNITY (2009) “Business Rules Community”. http://www.brcommunity.com.
BRG (2009) “The Business Rules Group”. http://www.businessrulesgroup.org.
CALÌ, A. E MARTINENGHI, D. (2008). Querying data under access limitations. In Proc. of ICDE, Cancun.
CHEN, L. e CRAMPTOM, J. (2009) “Set Covering Problems in Role-Based Access Control”. In: Proceedings of 14th European Symposium on Research in Computer Security, Saint-Malo, France.
COMELLA-DORA, S., DEAN, J., LEWIS, G., MORRIS, E., OBERNDORF, P., HARPER, E. (2004) “A Process for COTS Software”. Technical Report CMU/SEI-2003-TR-017. Carnegie Mellon Software Engineering Institute.
DEITERT, E., MCCOY, D. (2007) “The Anatomy of a Business Rule Management System”. Gartner Research.
DoD (1983) “Trusted Computer Security Evaluation Criteria”. Department of Defense, DoD 5200.28-STD.
FERRAIOLO, D.F. e KHUN, D. R. (1992) “Role-Based Access Control”. In: 15th National Computer Security Conference, pp. 554—563, Baltimore, MD.
FERRAIOLO, D.F., SANDHU, R., GAVRILA, S., KUHN, D.R., CHANDRAMOULI, R. (2001) “Proposed NIST standard for role-based access control”. ACM Transactions on Information and System Security (TISSEC) 4 (3), pp. 224—274.
KITCHENHAM, B. (1996) “DESMET: A method for evaluating software engineering methods and tools”. http://www.osel.co.uk/desmet.pdf.
MURTHY, R. E SEDLAR, E. (2007). Flexible and efficient access control in oracle. In ACM SIGMOD 2007, pp. 973-980, Beijing.
RYMER, J., GUALTIERI, M. (2008) “The Forrester WaveTM: Business Rules Plataform, Q2”. Forrester Research, http://www.forrester.com/go?docid=39088.
SANDHU, R.S., COYNE, E.J., FEINSTEIN, H.L., YOUMAN, C.E. (1996) “Role- based access control models”. IEEE Computer, vol. 29, no. 2, pp 38-47.
SINUR, J. (2005) “Magic Quadrant for Business Rule Engines”, Gartner Research.
TARIQ, N.A. e AKHTER, N. (2005) “Comparison of Model Driven Architecture (MDA) based tools”. In: Proceedings of 13th Nordic Baltic Conference (NBC), v. 9.
YANG, L. (2009) “Teaching database security and auditing”. ACM SIGCSE’09, v.1,issue 1, pp. 241—245.