Modelo de control de acceso para sistemas de información basados en tecnologías web
Barra lateral del artículo
Contenido principal del artículo
Resumen
La seguridad de los Sistemas de Información se ha convertido en uno de los temas de investigación más activos en los últimos años, debido al entorno hostil donde se desempeñan. Los principales retos están encaminados a lograr la confidencialidad, integridad, disponibilidad y trazabilidad de los recursos patrimoniales de personas u organizaciones, gestionados por Sistemas de Información. Con este objetivo, varios especialistas y organizaciones líderes en el tema han propuesto modelos, estándares, protocolos, entre otras soluciones que permiten desarrollar sistemas de control de acceso con un nivel de seguridad adecuado. La necesidad creciente de utilizar los Sistemas de Información en entornos distribuidos, ha provocado que las soluciones existentes en la bibliografía no cuenten con la robustez y escalabilidad necesaria para guiar el desarrollo de sistemas seguros de control de acceso para este tipo de escenarios. Partiendo de las limitaciones existentes, se desarrolló un modelo de control de acceso que integra de manera armónica los procesos de identificación y autenticación, autorización y auditoría para preservar la seguridad de los recursos gestionados por Sistemas de Información en entornos multidominios.
Descargas
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial 4.0.
Los miembros que conforman el Comité Editorial de la Revista Científica ECOCIENCIA, realizan una labor transparente en los diferentes procesos de gestión de la misma garantizando la elevada calidad de cada uno de los artículos que quedan publicados a disposición de la comunidad académica y científica. Dicho Comité verifica que cada artículo enviado por su autor/es, carezca de plagio y para ello se emplea el software antiplagio COMPILATIO.
El reporte que URKUND envía como respuesta al editor evaluador, permite que este pueda visualizar si ha habido similitudes o plagio (en su defecto) lo cual comúnmente sucede por errores en la forma de citar o referenciar por parte del autor del artículo. Igualmente, el evaluador gracias al reporte de URKUND, puede visualizar de cuáles fuentes o documentos originales ha incurrido en plagio el autor del trabajo. Una vez que sea constatada la ausencia de plagio en cada artículo, se da inicio al proceso de revisión por parte de los pares ciegos. Si se detecta plagio en el artículo, automáticamente este es rechazado y se notifica el veredicto al autor/es.
Cuando un artículo es aprobado, el/los autor/es conservan los derechos de autor y cede(n) a la Revista Científica ECOCIENCIA, el derecho de ser la primera que pueda editarlo, reproducirlo, exhibirlo y comunicarlo mediante medios impresos y electrónicos.
La Revista Científica ECOCIENCIA opera bajo una bajo una licencia Creative Commons Reconocimiento-No Comercial 4.0 Internacional (CC-BY-NC 4.0).
BY: la dirección de la revista, así como el Comité Editorial, tienen atribución para compartir, copiar y redistribuir el material de la revista en cualquier medio o formato, así como adaptar, remezclar y transformar las secciones de la revista no causando alteración en el contenido de los artículos publicados o previo a publicar por parte de los autores.
NC: el material de la revista no puede ser manejado con fines comerciales por lo cual ninguna de sus secciones ni artículos publicados por los autores, está disponible para la venta o actividad comercial.
Se autoriza la reproducción, parcial o total, de los artículos publicados en la Revista Científica ECOCIENCIA, siempre que se cite apropiadamente la fuente y se use sin propósitos comerciales.
Citas
Al-Janabi, S.T.F. & M.A.-s. Rasheed. Public-Key Cryptography Enabled Kerberos Authentication. Developments in E-systems Engineering, IEEE Computer Society, Dubai, 2011, p. 209-214.
Buijs, J.C.A.M. (2010). Mapping Data Sources to XES in a Generic Way, in Department of Mathematics and Computer Science. Technische Universiteit: Eindhoven, Nederland. p. 1-123.
Canfora, G., et al. (2011). How Long does a Bug Survive? An Empirical Study. 18th Working Conference on Reverse Engineering, IEEE Computer Society, p. 191-200.
Cantor, S., et al. (2005). Bindings for the OASIS Security Assertion Markup Language
(SAML), O. Open, p. 1-46. Disponible en:
Cover, R. (2009). Extensible Access Control Markup Language (XACML). OASIS: USA. p. 1-
89.
Downs, D.D., et al. (1985). Issues in Discretionary Access Control. Symposium on Security and Privacy, IEEE Computer Society, Oakland, USA, p. 208-218.
Davis, G.B. and M. (1985). Olson, Management Information Systems. Conceptual Foundations, Methods and Development, N.Y. McGraw-Hill.
Echavarría, I.C.S. (2007). Contribución a la Validación de Certificados en Arquitecturas de Autenticación y Autorización. Universidad Politécnica de Cataluña: España. p. 231.
Ferraiolo, D.F., et al. (2001). Proposed NIST Standard for Role-Based Access Control, U. National Institute of Standards and Technology (NIST). ACM Transactions on Information and System Security, p. 224-274.
Gerhards, R. & GmbH, A. (2009). Request for Comments 5424: The Syslog Protocol, in 5432, I.E.T.F. (IETF). Disponible en:
Günther, C.W. (2009). Extensible Event Stream (XES), F.P. Laboratories. 2009: Eindhoven. p. 1-22.
Hernández, P., I. Garrigós, & J.N. Mazón. (2010). Modeling Web logs to enhance the analysis of Web usage data. Workshops on Database and Expert Systems Applications, IEEE Computer Society, Bilbao, España, 2010, p. 297-301.
Hodge, J. and R. Morgan, Lightweight Directory Access Protocol (v3): Technical Specification, I.N.W. Group. 2002. p. 1-6.
ISO & IEC. (2007). International Standard ISO/IEC 27002, ISO/IEC. Switzerland.
ITGI, et al. (2008). Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio de la empresa, I. ITGI, OGC, TSO, p. 1 - 130. Disponible en:
Jianxiao, C., Yimin, W. & Zongkun, W. (2010). The applied research of access control model in scientific data sharing platform. Second WRI Global Congress on Intelligent Systems, IEEE Computer Society, Wuhan, p. 158-161.
Kamal, M. (2011). An Approach to Designing IT Interventions in Micro-Enterprises to Facilitate Development. 44th Hawaii International Conference on System Sciences, IEEE Computer Society, USA, p. 1-10.
Karjoth, G., A. Schade, & Herreweghen, E.V. (2008). Implementing ACL-based Policies in XACML. Annual Computer Security Applications Conference, IEEE Computer Society, Anaheim, CA 2008, p. 183 - 192.
Li, C. & Liao, Z. (2009). An extended ACL for solving authorization conflicts. Second International Symposium on Electronic Commerce and Security, IEEE Computer Society, Nanchang, p. 30 - 34.
Li, N. (2008). How to make Discretionary Access Control Secure Against Trojan Horses. Parallel and Distributed Processing Symposium, International, IEEE Computer Society, Miami, FL, p. 1-3.
McIntyre, J.B., Luterroth, C. & Weber, G. (2011). OpenID and the Enterprise: A Model-based Analysis of Single Sign-On Authentication. 15th IEEE International Enterprise Distributed Object Computing Conference, IEEE Computer Society, Helsinki, p. 129 - 138.
Medero, G.S. (2010). Los Estados y la Ciberguerra. Dialnet, Vol. 317, p. 63-76.
Min, Q. & Fei, X. (2008). The Impact of Information System Usage on Performance: Based on the innovation perspective. International Conference on Information Management, Innovation Management and Industrial Engineering, IEEE Computer Society, Taipei, p. 137 - 140.
Na, C., et al. (2010). A value-added service model of mining right information. International Conference on E-Business and E-Government, IEEE Xplore, Beijing, China, p. 2292 - 2296.
Neuman, C., et al. (2005). The Kerberos Network Authentication Service (V5), I.E.T.F.
(IETF), p. 1-16. Disponible en:
O’Connor, A.C. & R.J. Loomis, R.J. (2010). Economic Analysis of Role-Based Access Control Final Report. 2010, National Institute of Standards and Technology (NIST):
Gaithersburg, USA. p. 1-132.
Potter, C. & Beard, A. (2010). Information Security Breaches Survey 2010: Technical report.
Infosecurity Europe: Earl’s Court, London, p. 5.
Santos, H. (2011). Ciberterrorismo. La guerra del siglo XXI. Dialnet, Vol. 242, p. 14-23.
Suhendra, V. A. (2011). Survey on Access Control Deployment. Springer Berlin Heidelberg, Vol. 259, p. 11-20.
Wang, G., W. & Li, W. (2010). Research On Validity Evaluation Of Mandatory Access Control
Policy Under LSM Framework. International Conference on Computational Intelligence and Security, IEEE Computer Society, Nanning, China, p. 306 - 309.
Wei, L.K. and S. Jarzabek. A Generic Discretionary Access Control System for Reuse Frameworks. COMPSAC '98, IEEE Computer Society, Vienna, Austria, 1998, p. 356 - 361.
Xu, et al. (2009). Research on Mandatory Access Control Model for Application System. International Conference on Networks Security, Wireless Communications and Trusted Computing, IEEE Computer Society, p. 159-163.
Yongsheng, Z., et al. (2010). Web Services Security Policy. International Conference on Multimedia Information Networking and Security, IEEE Computer Society, Nanjing, Jiangsu, 2010, p. 236 - 239.
Yuan, E. & Tong, J. (2005). Attributed Based Access Control (ABAC) for Web Services.
International Conference on Web Services, IEEE Computer Society, USA, p. 1-9.
Zhang, Y. & Joshi, J.B.D. (2007). A Request-Driven Secure Interoperation Framework in Loosely-Coupled Multi-domainEnvironments Employing RBAC Policies. Collaborative Computing: Networking, Applications and Worksharing, IEEE Computer Society, New York, p. 25 - 32.