Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança computacional
Definição Segurança computacional
“Prevenir que atacantes alcancem seus objetivos através
do acesso não autorizado ou uso não autorizado dos
computadores e suas redes” (Howard, 1997)
“A segurança em um sistema de informação (SI) visa
protegê-lo contra ameaças à confidencialidade,
confidencialidade à
integridade e à disponibilidade das informações e dos
recursos sob sua responsabilidade” (Brinkley & Schell,
1995; Joshi et al., 2001)
Acesso não autorizado:
autorizado ocorre quando um indivíduo tenta acessar informações
ou recursos sem a devida autoridade
Uso não autorizado:
autorizado ocorre quando um indivíduo com autoridade para acessar
informações ou recursos de um certo modo tenta acessá-las de outras formas
Segurança computacional
Atacantes Objetivos
Grampo de
Dados
Confidencialidade
É a manutenção do sigilo das informações ou dos recursos
Integridade de dados
Integridade de origem
Buscam reportar que a integridade dos dados não é mais confiável, em parte
ou no todo
A criptografia pode ser usada para detectar violações de integridade
Prevenção Confidencialidade
Disponibilidade
Autenticação
Integridade
origem destino
Ameaças Fabricação
Interceptação
Modificação
Fluxo
Interrupção
normal
1
Ameaças
Classes de ameaças (Shirey, 1994)
Disclosure: acesso não autorizado à informação
Snooping (bisbilhotar): ataque passivo – o grampo telefônico é o exemplo
clássico
Deception: aceitação de dados falsos, indução ao erro
Modificação (alteração), spoofing (masquerading ou logro), repudiação de
origem, repudiação de recebimento
Disruption: interrupção ou prevenção da operação correta de um sistema
Modificação
Usurpação
Modificação, spoofing, delay, recusa de serviço
Politicas e mecanismos
Política de segurança
• É uma diretriz de alto nível que determina o que permitido e o que é proibido
– Em geral, são expressas em linguagem natural – ambigüidades e incompletudes
– Brinkley & Schell (1995) definem o conceito de “política técnica” como sendo a interpretação
da “política de alto nível” em termos dos relacionamentos formais entre as entidades ativas
(sujeitos),
sujeitos as entidades passivas (objetos)
objetos e os modos de acesso (operações)
operações permitidos
Matemática – precisa, mas difícil de trabalhar e de entender: descrita em termos de
estados permitidos (seguros) e proibidos (não seguros)
Linguagens para expressar políticas – alia precisão com facilidade de uso
Mecanismo de segurança
• É um método,
método ferramenta ou procedimento que pode ser usado para impor uma política de
segurança
– Técnico: aquele no qual os controles de um sistema impõem a política
Obrigar um usuário a fornecer uma senha para autenticá-lo antes de utilizar um recurso
– Procedimental: aquele no qual controles externos ao sistema impõem a política
Sanções contra aqueles que violam a política de segurança
Politicas e mecanismos
Exemplo: distinção entre políticas e mecanismos
l íti ca
o s
P v i ç
•Criptografia
Objetivos re requisitoso •Assinatura
e e s Eletrônica
S n o
l
Regrase procedimentos
o g
c Autenticação
Autenticação
i
•CABP ...
Inclui
legislação
Auditoria
a
T e
Definição
de domínios
s
Controle de
os
Definição de autoridades
acesso
acesso
m
Pa
n is
dr
Planejamento de implantação
õe
ca
s
Me
Acompanhamento
Confidencialidade
•X.509 Não
•LDAP
•NIST repudiação
CABP ... Integridade
1
FIN