Jump to content
Fórum Script Brasil
  • 0
Sign in to follow this  
[LINKIN PARK]

Politicas E Formas De Segurança

Question

Ta aí para vocês:

------------------------------------------------------------

Politicas de Segurança-

Uma política de segurança é um

conjunto de leis, regras e práticas que regulam como uma organização gerencia,

protege e distribui suas informações e recursos.

um dado sistema é considerado seguro em relação a uma política de segurança,

caso garanta o comprimento das leis,

regras e práticas definidas nessa política.

Uma política de segurança deve incluir regras detalhadas definindo como as

informações e recursos da organização

deve ser manipulados ao longo do seu ciclo de vida, ou seja, desde o momento que

passam a existir

no contexto da organização até quando deixam de existir. A política de segurança

define o que é,

e o que não é permitido em termos de segurança, durante a operação de um dado

sistema.

Uma política de segurança poderá

ser denominada das seguintes formas:

· Política de Segurança baseada em regras -> Apóia-se em informações sobre

sensibilidade, ou seja, em um sistema

seguro, os dados ou recursos devem ser marcados com rótulos de segurança

que indicam seu nível de sensibilidade.

· Política de Segurança baseada na identidade -> Representam o tipo de controle

de acesso mais encontrado nos computadores atuais.

A base desse tipo de segurança é que um indivíduo, ou processo operando sob seu

controle, pode especificar explicitamente os tipos de acesso que outros

indivíduos podem Ter

às informações e recursos sob seu controle.

Formas de Segurança-

Uma política de segurança pode ser

implementada com a utilização de vários mecanismos.

Nesta seção mostraremos alguns dos principais mecanismos de segurança adequados

a ambientes de comunicação de dados.

CRIPTOGRAFIA -> Surgiu da

necessidade de se enviar informações sensíveis através de meios de comunicação

não confiáveis, ou seja, em meios onde não é possível garantir que um intruso

não irá interceptar o fluxo de dados

para leitura (intruso passivo) ou para modificá-lo (intruso ativo). A forma de

contornar esse problema é utilizar

um método que modifique o texto original da mensagem a ser transmitida(texto

normal), gerando texto criptografado na origem,

através de um processo de codificação definido por um método de criptografia. O

texto (ou a mensagem) criptografado é então transmitido e,

no destino, o processo inverso ocorre, isto é, o método de criptografia é

aplicado agora para decodificar o texto criptografado transformando-o

no texto normal original, como mostra a figura abaixo:

Da forma como foi apresentado,

sempre que um intruso conseguisse descobrir o método utilizado (quebrasse o

código de criptografia),

seria necessário substituir o método de criptografia. Essa substituição envolve

o desenvolvimento e a instalação dos procedimentos

que implementam o novo método, treinamento do pessoal envolvido etc. Esse revés

levou ao desenvolvimento do modelo apresentado a seguir.

No modelo acima o texto criptografado, gerado a partir do texto normal, varia de

acordo com a chave de codificação utilizada para o mesmo

método de criptografia. Isto é, para um mesmo texto normal e um mesmo método de

criptografia, chaves diferentes produzem textos criptografados diferentes.

Assim o fato de um intruso conhecer o método de criptografia não é condição

suficiente para que ele possa recuperar o texto original a partir do texto

criptografado,

pois, para recuperar o texto original corretamente, é necessário fornecer ao

procedimento responsável pela decodificação, tanto o texto criptografado quanto

a chave de decodificação.

Falaremos agora sobre alguns tipos

de criptografia, salientando que existem outros :

Criptografia com chave secreta

-> Consiste em substituir as letras de uma mensagem

pela terceira letra após sua posição no alfabeto (considerando o a como sucessor

do z).

Uma generalização desse método

seria substituir as letras pela n-ésima letra após sua posição

no alfabeto. Nesse caso, o texto criptografado produzido para um mesmo texto

normal vai variar de acordo

com o valor de n, que é a chave utilizada nos procedimentos de codificação e

decodificação do método.

Criptografia com chave pública

-> Baseia-se na utilização de chaves distintas: uma para a codificação e

outra para a decodificação , escolhidas de forma que a derivação de D a

partir de E seja, em termos práticos,

senão impossível, pelo menos muito difícil de ser realizada.

ASSINATURA DIGITAL - > Envolve dos

procedimentos: assinatura de uma unidade de dados e verificação da assinatura em

uma

unidade de dados, ou seja, o primeiro procedimento baseia-se em informação

privada (única e secreta) do signatário.

O segundo utiliza informação pública para reconhecer a assinatura.

A característica essencial do

mecanismo de assinatura digital é que ele deve garantir que uma mensagem

assinada só pode Ter sido

gerada com informações privadas do signatário. Portanto, uma vez verificada a

assinatura com a chave pública, é possível posteriormente

provar para um terceiro (juiz em um tribunal) que só o proprietário da chave

privada poderia ter gerado a mensagem.

COMPROMISSO DE TERCEIRO - >

Baseia-se no conceito de um terceiro parceiro de confiança (uma espécie de

tabelião ou notário)

que atesta certas propriedades da informação intercambiada entre duas entidades,

como sua origem, sua integridade, ou mesmo em

que ela foi enviada ou recebida.

AUTENTICAÇÃO - > A escolha do

mecanismo de autenticação apropriado depende do ambiente onde se dará a

autenticação. Em uma primeira situação,

os parceiros e os meios de comunicação são todos de confiança. Nesse caso, a

identificação de uma entidade par pode ser confirmada por uma senha(password).

Cabe mencionar que as senhas não protegem contra uso mal intencionado.

Autenticação mútua pode ser implementada com a utilização de uma senha distinta

em cada

direção da comunicação. Na Segunda situação, cada entidade confia em seu

parceiro, porém não confia no meio de comunicação.

Nesse caso a proteção contra ataques pode ser fornecida com o emprego de métodos

de criptografia, como por exemplo,

utilização de chave pública. Na terceira situação, as entidades não confiam nos

seus parceiros (ou sentem que não poderão confiar no futuro)

nem no meio de comunicação. Nesse caso, deves ser usadas técnicas que impeçam

que uma entidade negue que enviou ou recebeu uma unidade de dados.

Ou seja, devem ser empregados mecanismos de assinatura digital, ou mecanismos

que envolvam o compromisso de um terceiro

confiável (notarization).

CONTROLE DE ACESSO - > Os

mecanismos de controle de acesso são usados para garantir que o acesso a um

recurso é limitado

aos usuários devidamente autorizados. As técnicas utilizadas incluem a

utilização de listas ou matrizes de controles de acesso,

que associam recursos a usuários autorizados, ou passwords, capabilities e

tokens associadas aos recursos, cuja posse determina os direitos

de acesso do usuário que as possui.

INTEGRIDADE DE DADOS - > Os

mecanismos de controle de integridade atuam em dois níveis: controle da

integridade de unidade de

dados isoladas e controle da integridade de uma conexão, isto é, das unidade de

dados e da seqüência de unidades de dados transmitidas no contexto da conexão.

Para garantir a integridade dos dados, podem ser usadas as técnicas de detecção

de modificações, normalmente associadas com a detecção de erros em bits,

em blocos, ou erros de seqüência introduzidos por enlaces e redes de

comunicação. Entretanto, se os cabeçalhos e fechos carregando as informações de

controle

não forem protegidas contra modificações, um intruso, que conheça as técnicas,

pode contornar a verificação. Portanto, para

garantir a integridade é necessário manter confidenciais e íntegras as

informações de controle usadas na detecção de modificações.

Para controlar modificações na seqüência de unidades de dados transmitidas em

uma conexão, deve-se usar técnicas que garantam a

integridade das unidades de dados (garantindo que as informações de controle não

sejam corrompidas) em conjunto com informações

de controle de seqüência. Esses cuidados, embora não evitem a modificação da

cadeia de unidades de dados, garantem a detecção notificação dos ataques.

CONTROLE DE ROTEAMENTO - > A

possibilidade de controlar o roteamento, especificando rotas preferenciais (ou

obrigatórias) para a transferência de dados,

pode ser utilizada para garantir que os dados sejam transmitidos em rotas

fisicamente seguras ou para garantir que informação sensível seja transportada

em

rotas cujos canais de comunicação forneçam os níveis apropriados de proteção.

SEGURANÇA FÍSICA E DE PESSOAL - >

Medidas que garantam a integridade física dos recursos de um sistema são

indispensáveis para garantir a segurança do sistema

como um todo. Procedimentos operacionais devem ser definidos para delinear as

responsabilidades do pessoal que interage com um dado sistema.

A segurança de qualquer sistema depende, em última instância, da segurança

física dos seus recursos e do grau de confiança do pessoal que opera o sistema.

ou seja, não adianta utilizar mecanismos sofisticados de segurança se os

intrusos puderem acessar fisicamente os recursos do sistema. Por exemplo,

não adianta usar um esquema sofisticado de autenticação para impedir acessos

remotos aos arquivos em um disco, se o intruso puder Ter acesso físico

à máquina e roubar seu disco rígido.

DETECÇÃO E INFORME DE EVENTOS - >

A detecção de eventos relevantes no contexto da segurança inclui a detecção de

aparentes violações à segurança e deve incluir,

adicionalmente, a detecção de eventos normais, como um acesso bem-sucedido ao

sistema(login). Esse mecanismo necessita do apoio de uma função de gerenciamento

que determina quais são os eventos que devem ser detectados.

A detecção de um evento relevante

do ponto de vista da segurança pode, por exemplo, provocar uma das seguintes

ações: informe local ou remoto do evento,

registro do evento em um arquivo ou a execução de uma ação de recuperação.

REGISTRO DE EVENTOS - > O registro

de eventos que podem significar ameaças à segurança de um sistema constitui-se

em um importante mecanismo de segurança, pois possibilita a detecção e

investigação de possíveis violações da segurança de um sistema, além de tornar

possível a realização de auditorias de segurança. Uma auditoria de segurança é

uma revisão e exame dos registros de atividades do sistema feita com o objetivo

de testar a eficácia dos mecanismos de controle do sistema para:

garantir a compatibilidade entre a política de segurança e os procedimentos

operacionais, auxiliar na avaliação de danos e recomendar modificações nos

mecanismos de controle, na política de segurança e nos procedimentos

operacionais de um sistema, visando aumentar seu grau de proteção.

A auditoria de segurança envolve duas tarefas: o registro dos eventos relevantes

no arquivo de auditoria de segurança (security audit log) e a análise das

informações armazenadas nesse arquivo para geração de relatórios. Cabe

esclarecer que a Segunda tarefa é uma função de gerenciamento de segurança,

e não um mecanismo.O mecanismo de arquivamento de informações para auditoria de

segurança deve permitir a definição de qual informação deve ser registrada, sob

que condições a informação deve ser registrada, além da definição da sintaxe e

semântica que devem ser usadas para representá-las.

Espero que gostem. ;)

Share this post


Link to post
Share on other sites

8 answers to this question

Recommended Posts

  • 0

Muito bom o texto, alias, gostei tb do banner na assinatura

:)

Share this post


Link to post
Share on other sites
  • 0

Eu também...

Mas o dns você não conseguiu acertar... Não é net.br hehehe <!--emo&:)--><img src='http://scriptbrasil.com.br/forum/html/emoticons/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /><!--endemo-->

Detalhes...

Você fez em que linguagem? PHP?

Desculpem por sair do assunto...

E quanto a segurança...

Acho que as políticas de segurança podiam mudar...

Share this post


Link to post
Share on other sites
  • 0
Eu também...

Mas o dns você não conseguiu acertar... Não é net.br hehehe <!--emo&:)--><img src='http://scriptbrasil.com.br/forum/html/emoticons/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /><!--endemo-->

Detalhes...

Você fez em que linguagem? PHP?

Desculpem por sair do assunto...

E quanto a segurança...

Acho que as políticas de segurança podiam mudar...

www.danasoft.com é aqui.

bom tb acho q deveria mudar

Share this post


Link to post
Share on other sites
  • 0

Não seria necessariamente mudar as politicas de segurança.. e sim serem revisadas...

mas tb não adianta termos boas politicas de segurança.. se os admin não implantas e nem faz em r evisões periódicas...

uma boa politica de segurança não é aquela que possui bons atributos de condulta, mas sim aquela que periodicamente é revisada e reformulada...

É como um anti-virus.. não adianta ter o melhor se você não faz update periodicamente !!!!

:P

Share this post


Link to post
Share on other sites
  • 0

Realmente muita gente por aí se diz admin...

Esse tipo de admin nem se importa com segurança, é aquele velho "nunca vai acontecer", que sempre acontece...

Share this post


Link to post
Share on other sites
  • 0

Concerteza.... é muito facil instalar um bom anti-virus da uma configurada, instala um firewall, e dexa rola...

como eu já citei em um outro post... existe o fator humano dos ataques.. a grande engenharia social.. que na maioria dos caso.. é o tipo ataque que mais se obtem sucesso...

Politica de segurança revisada periodicamente..

Atualizações dos softs

Treinamento do pessoal responsavel pelo CPD

Uma boa politicagem de senhas

Manter-se atualizado das novas ameaças e vunerabilidades..

juntando isso tudo.. eu diria que a segurança estaria em média de 50% a 80% segura...

lembrando que.. nenhuma rede ou sistema é 100% segura... a não ser que esteja desligado, não conectado a cabo algum, lacrada, e colocada debaixo da cama...

uhauauhauhuhauhaa !!!! :P :P :P :P

Share this post


Link to post
Share on other sites
  • 0

E assim mesmo pode ter problemas de segurança... nada é 100% seguro... alias, ainda bem que não... porque se fosse seguro, a gente não teria trabalho :)

Share this post


Link to post
Share on other sites
  • 0

Concerteza...

é a velha história da funerária "sua morte é nossa alegria"

hehehehe...

:blink: :blink: :blink: :blink:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  



  • Forum Statistics

    • Total Topics
      148588
    • Total Posts
      644154
×
×
  • Create New...