En seguridad informática , control de acceso basado en la organización ( OrBAC ) es un control de acceso modelo presentado por primera vez en 2003. La corriente se acerca del control de acceso de descanso en las tres entidades ( sujeto , acción , objeto ) para controlar el acceso a las políticas especifica que algunas el sujeto tiene permiso para realizar alguna acción sobre algún objeto.
OrBAC permite al diseñador de políticas definir una política de seguridad independientemente de la implementación. El método elegido para cumplir con este objetivo es la introducción de un nivel abstracto.
- Los sujetos se abstraen en roles. Un rol es un conjunto de sujetos a los que se aplica la misma regla de seguridad.
- De manera similar, una actividad es un conjunto de acciones a las que se aplica la misma regla de seguridad.
- Y una vista es un conjunto de objetos a los que se aplica la misma regla de seguridad.
Cada política de seguridad está definida por y para una organización. Así, la especificación de la política de seguridad es completamente parametrizada por la organización de modo que es posible manejar simultáneamente varias políticas de seguridad asociadas a diferentes organizaciones. El modelo no está restringido a permisos, sino que también incluye la posibilidad de especificar prohibiciones y obligaciones. A partir de las tres entidades abstractas ( roles, actividades, vistas ), se definen los privilegios abstractos. Y de estos privilegios abstractos, se derivan privilegios concretos.
OrBAC es sensible al contexto, por lo que la política podría expresarse de forma dinámica. Además, OrBAC posee conceptos de jerarquía ( organización , rol , actividad , vista , contexto ) y restricciones de separación.
Ver también
- Lista de control de acceso
- Control de acceso basado en atributos (ABAC)
- Control de acceso basado en contexto (CBAC)
- Control de acceso discrecional (DAC)
- Control de acceso basado en gráficos (GBAC)
- Control de acceso basado en celosía (LBAC)
- Control de acceso obligatorio (MAC)
- Control de acceso basado en roles (RBAC)
- Control de acceso basado en reglas (RSBAC)
- Seguridad basada en capacidad
- Autenticación basada en la ubicación
- Autenticación basada en riesgos
- Modelo Bell – LaPadula