Universidade Federal da Paraba Centro de Cincias Exatas e da Natureza Departamento de Informtica Programa de Ps-Graduao em Informtica - PPGI Disciplina: Segurana

Computacional Professor: Gustavo Motta Perodo: 2011.2

Aluna: Andrea Fernanda

Lista de exerccios - 3 Questes
1. Por que sem sentido a existncia de compartimentos (categorias) no nvel NO CLASSIFICADO, como (NO CLASSIFICADO, {NUC}) e (NO CLASSIFICADO, {EUR})? Porque no h como categorizar o que no tem liberaes, se o nvel no classificado, sabe-se apenas que ele diferente e inferior ou no domina os demais nveis.

2. Considerando os nveis de segurana SUPER SECRETO, SECRETO, CONFIDENCIAL e NO CLASSIFICADO (ordenados do maior para o menor); e as categorias A, B e C, especifique que tipo de acesso (leitura, escrita, leitura/escrita, nenhum) permitido em cada uma das seguintes situaes. Assuma que os controles de acesso discricionrios permitem o acesso para todos, exceto quando especificado em contrrio. a. Paulo, liberado com (SUPER SECRETO, {A, C}), deseja acessar um documento classificado como (SECRETO, {B, C}); NENHUM, pois Paulo NOT dom documento visto que {A, C} no subconjunto de {B, C}. b. Ana, liberada com (CONFIDENCIAL, {C}), deseja acessar um documento classificado como (CONFIDENCIAL, {B}); NENHUM, pois Ana NOT dom documento visto que {C} no subconjunto de {B}. c. Jane, liberada com (SECRETO, {C}), deseja acessar um documento classificado como (CONFIDENCIAL, {C}); LEITURA, pois Jane dom documento e {C} subconjunto de {C}. d. Susana, liberada com (SUPER SECRETO, {A, C}), deseja acessar um documento classificado como (CONFIDENCIAL, {A}); LEITURA, pois Susana dom documento e {A} subconjunto de {A, C}. e. Renato, que no tem liberaes (trabalha, portanto, no nvel NO CLASSIFICADO), deseja acessar um documento classificado como (CONFIDENCIAL, {B}). ESCRITA, pois a nica operao permitida para o NO-CONFIDENCIAL.

3. No sistema DG/UX, por que a regio de preveno de vrus situa-se abaixo da regio do usurio? No sistema DG/UX, reading up e writing up esto desabilitados. Como a execuo requer acesso de leitura, usurios podem executar os programas que esto abaixo na hierarquia; ainda, nenhum processo de usurio, no caso, pode alterar processos da regio de preveno de vrus (no writes down). Se a regio de preveno de vrus se situasse acima da dos usurios, eles no poderiam executar os programas (reading up desabilitado). 4. No sistema DG/UX, por que a regio administrativa situa-se acima da regio do usurio? No sistema DG/UX, como reading up e writing up esto desabilitados, a regio acima da regio do usurio est isolada do mesmo (a administrativa), o que protege processos e dados administrativos.

5. Declassification efetivamente viola a *-property do modelo Bell-LaPadula. Elevar a classificao de um objeto violaria alguma das propriedades do modelo? Justifique. No, pois o modelo no define como determinar a classificao apropriada da informao, mas apenas descreve como manipular um objeto contendo a informao uma vez que tenha sido atribuda a classificao ao objeto. Assume-se que a informao contida num determinado objeto seja conhecida por todos que podem acess-lo e, ento, elevar sua classificao no altera o acesso informao.

6. O teorema bsico de segurana do modelo Bell-LaPadula baseia-se numa definio axiomtica de segurana? Justifique a sua resposta.
Theorem 52. Basic Security Theorem: Let S be a system with a secure initial state s0, and let T be a set of state transformations. If every element of T preserves the simple security condition and the *property, then every si, i is greater/equals 0, is secure.

//Um axioma uma hiptese inicial da qual outros enunciados so logicamente derivados. Sim, pois considerando o referido teorema (acima, teorema 5-2), faz-se uma suposio de que cada elemento do conjunto de transformaes de estado, T, preserva a simple security question e a *property de modo que, a partir disto, deduz-se que o sistema seguro. 7. No modelo Clark-Wilson, as TPs devem ser executadas serialmente ou elas podem ser executadas em paralelo? Se for serialmente, por qu? Se puder ser em paralelo, quais restries seriam impostas sua execuo? Em serial e em paralelo , respectivamente, como quando numa empresa pessoas diferentes so responsveis por fazer um pedido, receber pagamento, aceitar entrega, por exemplo, e quando uma transferncia de alta quantia deve ser aprovada por mais de um gerente em um banco. Em paralelo, deve-se evitar acesso concorrente a um mesmo CDI, evitando inconsistncias possveis. 8. As relaes certificada (certified) (ver ER1) e permitida (allowed) (ver ER2) podem ser combinadas numa nica relao. Faa isso estabelecendo uma nova relao ao modelo. Explique por que o modelo Clark-Wilson no faz isso.
Enforcement rule 1 (ER1): The system must maintain the certified relations, and must ensure that only TPs certified to run on a CDI manipulate that CDI. Enforcement rule 2 (ER2): The system must associate a user with each TP and set of CDIs. The TP may access those CDIs on behalf of the associated user. If the user is not associated with a particular TP and CDI, then the TP cannot access that CDI on behalf of that user.
1

Para que uma TP possa executar sobre um CDI, ela deve ser certificada e um usurio associado a ela deve ter permisso sobre o CDI, caso contrrio, a TP no pode operar.

9. Desenvolva uma construo para mostrar que um sistema implementando o modelo Chinese Wall pode suportar o modelo Bell-LaPadula. Atribuir categorias de segurana para cada COI e CD; Definir dois nveis de segurana para informaes limpas (inferior) e informaes sensveis (superior). 10. Considere utilizar o controle de acesso compulsrio e compartimentos (categorias) para implementar o controle ORCON. Assuma que existam k organizaes distintas. Uma organizao i produzir n(i, j) documentos (e. g., um vdeo) para ser compartilhados com outra organizao j.

They can operate in parallel (as when two bank managers are needed to approve a transaction over a certain amount) or in series (as when different people in a company are responsible for raising an order, accepting delivery, paying an invoice and balancing a departmental budget)

http://www.cl.cam.ac.uk/~rja14/Papers/security-policies.pdf

a.

Quantos compartimentos so necessrios para permitir que uma organizao qualquer compartilhe documentos com qualquer outra organizao? k compartimentos.

b.

Agora suponha que a organizao i necessitar compartilhar nm(i, i1, ..., im) documentos com as organizaes i1, ..., im. Quantos compartimentos sero necessrios? K x i compartimentos.