Conceitos de segurança
Segurança da Informação Tópico 02 e 03 • • • Conceitos e Princípios da Segurança da Informação. Arquitetura de Segurança OSI. Ataques a Segurança. Mecanismos de Segurança. Serviços de Segurança. Motivação A Internet: Infra-Estrutura A Internet: os Usuários A Internet: Aplicaçõe A Internet: Prestado Provedores de comu OF6 dz – p ornecem serviços de comunicação de dados. Provedores de acesso: montam uma rede com grande capilaridade com o intuito de atingir uma gama enorme de usuários finais.
Provedores de “backbone”: grandes organizações oferecendo as uas infra-estruturas de comunicação de dados como “espinha dorsal” para acesso a Internet. Provedores de Informação: prestadores de serviço que se utilizam da Internet para atingir os seus clientes oferecendo o seu produto. Economia na Internet O compartilhamento de recursos permite obter uma grande economia nos sistemas baseados na Internet. O provedor de custos envolvidos na transação. O Problema da Segurança Ameaças As informações que circulam na Internet devem passar por roteadores de terceiros podendo percorrer caminhos diferentes a cada transação realizada.
Estas informações pode ser facilmente observadas quando stão em trânsito pela rede (softwares especialistas). A enorme facilidade de acesso a Internet propicia um grande número de pessoas com facilidade de acesso, e consequentemente podendo, em princípio, interferir negativamente no sistema transacional on-line, (hackers e crackers) Dilema Requisitos de Segurança •Requisitos de Segurança de Informações tem sido alterados constantemente, nos tempos atuais. ??Tradicionalmente, são providos por mecanismos administrativos e físicos. •Computadores utilizam requisitos automatizados por ferramentas para proteger arquivos e outras informações armazenadas. ??O uso de redes e canais de comunicação requerem medidas para proteger dados durante a transmissão Definição de Sistema Seguro Computer Security Network Security Internet Security • Define uma forma sistemática de definição de requisitos de segurança, fornecendo uma visão conceitual que sera estudada. ?? São considerados 3 aspectos da segurança da informação — Ataque à segurança – Mecanismos de segurança – Serviços de Segurança Ataque à Segurança Qualquer ação que compromete a segurança das informações proprietárias de uma organização. Segurança de informação é obre como prevenir ataques, ou na sua impossibilidade, como detectar ataques a sistemas baseados em informações. Muitas vezes ameaça e ataque são utilizados com o mesmo significado.
Passivo — Interrupção – Interceptação – Análise de Tráfego – Replay – Mod’ficação de Mensagem – Ativo – Mascaramento Deny of service (DOS) Ataque à Segurança Interrupção Ataque à Segurança Interceptação Ataque à Segurança Análise de Tráfego Ataque à Segurança Fabricação Ataque à Segurança Replay Ataque à Segurança Modi 3 nsaeem apropriada a fim de oferecer algum dos serviços de segurança ?? Mecanismos de segurança pervasivos -Mecanismos que não são específicos a qualquer serviço de segurança OSI ou camada de protocolo específica. Mecanismos de Segurança (X. 00) Cifragem Uso de algoritmos matemáticos para transformar os dados em um formato que não seja prontamente decifrável. A transformação e a subsequente recuperação dos dados depende de um algoritmo, em conjunto ou não com chaves de criptografia. Mecanismos de Segurança (X. 800) Assinatura Digital Dados anexados de (ou uma transformação criptográfica de) uma unidade de dados que permite que um destinatário da nidade de dados comprove a origem a a integridade da unidade de dados e proteja-se contra falsificação (por exemplo, pelo destinatário) Mecanismos de Segurança (X. 00) Controle de Acesso Um série de mecanismos que impões direitos de acesso aos recursos. Mecanismos de Segurança (X. 800) Integridade de Dados Um série de mecanismos utilizados para garantir a Integridade de uma unidade de dados ou fluxo entre unidades de dados. Mecanismos de Seguranç a de Informações de de uma terceira entidade confiável para garantir certas propriedades de uma troca de dados. Mecanismos de Segurança (X. 00) Funcionalidade Confiável Aquela que é considerada como sendo correta em relação a alguns critérios (por exemplo, conforme estabelecida por uma política de segurança) Mecanismos de Segurança (X. 00) Rótulo de Segurança A marcação vinculada a um recursos (que pode ser uma unidade de dados), que nomeia ou designa os atributos de segurança desse recurso. Mecanismos de Segurança (X. 800) Detecção de Evento Detecção de eventos relevantes à segurança. Mecanismos de Segurança (X. 800) Registros de Auditoria de Dados coletados e potencialmente utilizados para facilitar ma auditoria de segurança, que é uma revisão e exame independentes dos registros e atividades dos sistemas. Mecanismos de Segurança (X. 00) Recuperação de Segurança Lida com solicitações de mecanismos, como funções de tratamento e gerenciamento de eventos, e toma medidas de recuperaçao. Serviços de Segurança – Visam aumentar a segurança de sistemas informáticos e as transferências de informação de uma organizaçao S fornecido por um sistema para dar um tipo especifico de proteção aos recursos desse sistema. ” Serviços de Segurança Confidencialidade Garante que as informações armazenadas num sistema de omputação ou transmitidas via rede de computadores sejam acessadas ou manipuladas somente pelos usuários devidamente autorizados.
Pode ser – confidencialidade da conexão – confidencialidade sem conexão – confidencialidade por campo selecionado – confidencialidade do fluxo de tráfego Serviços de Segurança Autenticação Garante que os participantes de uma comunicação sejam corretamente identificados, tendo-se certeza absoluta das identidades dos mesmos. pode ser: – autenticação da entidade par – autenticação da origem dos dados Serviços de Segurança Integridade Garante que a informação processada ou transmitida chegue ao seu destino exatamente da mesma forma em que partiu da origem, ou de quando foi arquivada.
Pode ser: – integridade da conexão com recuperação – integridade da conexão sem recuperação – integridade da conexão com campo selecionado – integridade sem conexão – integridade sem conexão com campo seletivo Serviços de Segurança Irretratabilidade Garante que nem o originador nem o destinatário das informações possam negar a sua transmissão, recepção ou posse. Pode ser: – irretratabilidade de origem – irretratabilidade de destino