INSTITUTO POLITÉCNICO DE BEJA Escola Superior de Tecnologia e Gestão Mestrado em Engenharia de Segurança Informática Análise do Controlo de Acesso num Sistema de Gestão de Base de Dados Luís Miguel Pires Banha Sobral Beja 2015 INSTITUTO POLITÉCNICO DE BEJA Escola Superior de Tecnologia e Gestão Mestrado em Engenharia de Segurança Informática Análise do Controlo de Acesso num Sistema de Gestão de Base de Dados Dissertação de Mestrado apresentada na Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Beja Elaborado por: Luís Miguel Pires Banha Sobral Orientado por: Prof. Doutora Isabel Sofia Sousa Brito Beja 2015 Resumo A sociedade moderna depende cada vez mais da utilização de sistemas informáticos, sendo crucial garantir que os dados que estes sistemas tratam e armazenam estejam protegidos contra fugas de informação. É importante garantir que os dados que são protegidos pelos sistemas somente são utilizados para os fins a que se destinam e por quem de direito. Os sistemas de gestão de bases de dados são os principais guardiões de dados, armazenando e gerindo o acesso a estes dados nos sistemas informáticos. É sobre estes que incidem ameaças e riscos no que respeita a fugas de informação. Nesta tese são apresentados os principais conceitos ao nível do controlo de acesso nos Sistemas de Gestão de Bases de Dados (SGBDs), assim como os modelos de controlo de acesso, o discricionário e o não discricionário e suas características. O Microsoft SQL Server 2012 foi o sistema de gestão de bases de dados escolhido para a implementação dos principais modelos de controlo de acesso tendo como objetivo verificar, através de testes, que características dos modelos de controlo de acesso são suportadas por ele. Com base nesta implementação aplicamos as métricas de avaliação propostas pelo National Institute of Standards and Technology (NIST) para análise de segurança nos sistemas de controlo de acesso. Estas métricas, definidas para qualquer sistema de controlo de acesso, foram aplicadas para auditar e servir de guia para a segurança dos processos e operações das empresas. Consideramos assim, que este trabalho pode ser um guia para aqueles que pretendem implementar um sistema de controlo de acesso baseado num dos modelos abordados e que, necessitem de apoio na escolha do sistema de gestão de bases de dados que melhor se adapta às suas necessidades de segurança. Também para aqueles que necessitem de efetuar uma aplicação prática das métricas de avaliação do NIST, dado não existir documentação com exemplos práticos da aplicação das métricas. Palavras-chave: Sistemas de gestão de bases de dados; Modelos de controlo de acesso; Métricas de avaliação; Segurança da informação; Avaliação de sistemas de controlo de acesso. i ii Abstract Modern society relies more and more on information systems, so it is crucial to ensure that the data processed and stored are protected against information leaks. It’s important to make sure that the data protected by these systems are only used for its purposes and by its legitimate users. Database management systems are the main repositories of data, storing and managing the access to those data in information systems. The major threats and risks concerning information leaks reside on these systems. In this thesis, it is presented the state of the art of access control in database management systems (DBMS), as well as the main access control models, discretionary and non discretionary and its features. The Microsoft SQL Server 2012 was the database management system chosen to implement the main access control models, so that, through tests, it’s verified which access control features are supported by the database management system itself. Based on implemented models, we present and apply evaluation metrics suggested by the National Institute of Standards and Technology, in order to assess the security in access control systems. These metrics, defined for any access control system, were applied to audit and guide the security of enterprises processes and operations. We consider that this paper could be a guide for those who wish to implement an access control system based on one of the addressed models and need some support to choose the database management system best suited to their security requirements. It could also be useful for those who need to perform a pratical execution of NIST evaluation metrics, since there aren’t any documents available, using pratical examples. Keywords: Database management systems; Access control models; Evaluation metrics; Information security; Access Control systems evaluation. iii iv Agradecimentos Em primeiro lugar queria agradecer à minha orientadora, Professora Doutora Isabel Sofia Sousa Brito, pelo apoio concedido, que sem ele não teria conseguido finalizar esta etapa da minha vida académica. À minha família, em especial à minha esposa Isabel, pela força dada nos momentos mais difíceis. A todos aqueles que de uma maneira ou de outra contribuíram para o trabalho aqui apresentado. Um muito obrigado. v vi