Gestão de Regras de Autorização Usando Modelo Conceitual
Resumo
Segurança da informação é um importante aspecto para construção de sistemas de informação. A gestão e execução das regras de autorização, que restringem a quem é permitido realizar uma ação na organização e sobre quais informações, são aspectos cruciais. Este trabalho apresenta uma ferramenta para gestão de regras de autorização de um framework para controle de acesso baseado em perfis de usuário. Através deste módulo, usuários do negócio são capazes de especificar regras de autorização utilizando um modelo baseado no metamodelo entidade-relacionamento. O módulo foi implementado empregando tecnologias de código aberto em um cenário de uma organização real que gerencia o acesso de vários sistemas de informação a uma mesma base de dados corporativa. Um exemplo de seu uso é apresentado, ilustrando a sua viabilidade e eficácia.
Referências
Baader, F., Calvanese, D., Mcguinness, D. L., Nardi, D., Atelschneider, P. F. (2003) The Description Logic Handbook: Theory, Implementation, Applications. Cambridge University Press, Cambridge, UK, 2003.
Calì, A., Martinenghi, D (2008). Querying data under access limitations. In Proceedings of IEEE 24th International Conference on Data Engineering, pp. 50 – 59, 2008.
Chen, P (1976). The entity-relationship model—toward a unified view of data. ACM Transactions on Database Systems,Vol. 1 Issue 1, p. 9-36, USA.
Choobineh, J. (1997) A meta ERM and its relational translation for a database design system. In Proceedings of the 30th Hawaii International Conference on System Sciences: Advanced Technology, vol 5., Washington, DC.
Ferraiolo, D.F. e Khun, D. R. (1992) Role-Based Access Control. 15th National Computer Security Conference, pp. 554-563, Baltimore, Maryland, USA.
Heuser, C.A. (2009) Projeto de banco de dados. Bookman.
Leao, F., Azevedo, l. G., Santana, T, Baião, F., Cappelli, C. (2014) Controle de Acesso a Dados com Propagação de Identidade em Aplicações Web baseadas em Serviços. iSys: Revista Brasileira de Sistemas de Informação, v. 7, p. 48-65.
Murthy, R., Sedlar, E (2007). Flexible and efficient access control in Oracle. ACM SIGMOD 2007, pp. 973-980.
Olson, L. E.; Gunter, C. A.; E. Madhusudan, P. (2008) A formal framework for reflective database access control policies. In Proceedings of the 15th ACM Conference on Computer and Communications Security, pp. 289-298.
OMG (2007) OMG Unified Modeling Language (OMG UML), Infrastructure, v. 2.1.2, 2007. Disponível em:
Puntar, S., Azevedo, L., Baião, F., Cappelli, C. (2011) Implementing Flexible and Efficient Authorization Business Rules in Information Systems. In Proceedings of IADIS Applied Computing, v. 1., p. 1-8, Rio de Janeiro, Brasil.
Rizvi, S., Mendelzon, A., Sudarshan, S., Roy, P. (2004) Extending Query Rewriting Techniques for Fine Grained Access Control. In Proceedings of the 2004 ACM SIGMOD International Conference on Management of Data, pp. 551- 562, New York, USA.
Sandhu, R.S., Coyne, E.J., Feinstein, H.L., Youman, C.E. (1996) Role-based access control models. IEEE Computer, vol. 29, no. 2, pp 38-47..
TPC Council, 2008. TPC Benchmark H Standard Specification Revision 2.8.0. Transaction Processing Perfermance Council. Disponível em
Yang, L. 2009. Teaching database security and auditing. In Proceedings of the 40th ACM Technical Symposium on Computer Science Education, v.1, issue 1, pp. 241—245.
