Segurança da Informação

Transcrição

1 Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação Fabrícia Sobral [email protected]

2 AULA 7 Segurança Física e Lógica 21:21 2

3 Segurança Física A segurança física tem por objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. Baseia-se em perímetros predefinidos nas imediações dos recursos computacionais, podendo ser explícita como uma sala cofre, ou implícita, como áreas de acesso restrito. 21:21 3

4 Segurança Física Deve-se instituir formas de identificação capazes de distinguir visitantes de funcionários, e categorias diferenciadas de funcionários, se for o caso. Por exemplo, solicitar a devolução de bens de propriedade da empresa (crachás, chaves, etc.), quando o visitante se retira ou quando o funcionário é retirado de suas funções. É importante instalar sistemas de proteção e vigilância 24 x 7. 21:21 4

5 Segurança Física Itens de avaliação para riscos: Incêndios; Treinamento de pessoal; Danos pela água; Danos por fumaça ou fuligem; Climatização; Eletricidade; Controle de acesso 21:21 5

6 Segurança Física Abrange todo o ambiente onde os sistemas de informação estão instalados: prédio portas de acesso trancas piso salas computadores 21:21 6

7 Segurança Física A norma NBR ISO/IEC 17799:2001 divide a segurança física em três áreas: Áreas de segurança perímetro da segurança física controles de entrada física segurança em escritórios, salas e instalações de processamento trabalhando em áreas de segurança isolamento das áreas de expedição e carga 21:21 7

8 Segurança Física Segurança dos equipamentos instalação e proteção de equipamentos fornecimento de energia segurança do cabeamento manutenção de equipamentos segurança de equipamentos fora das instalações reutilização e alienação segura de equipamentos Controles gerais política de mesa e tela limpa remoção de propriedade 21:21 8

9 Segurança Física Para a sala de equipamentos, se possível, deve ser usado o conceito de sala cofre! 21:21 9

10 Segurança Física Redundância São comuns as falhas de hardware, causadas por acidentes ou fadiga de componentes mecânicos e eletrônicos. O mecanismo mais importante para tolerar falhas é a redundância Redundância de servidores Redundância de fonte de alimentação Redundância de discos (RAID) Redundância de equipamentos Redundância de ventilação Redundância de interfaces de rede 21:21 10

11 Segurança Física Fornecimento de energia Geralmente o fornecimento de energia é de responsabilidade da concessionária, e pode apresentar: Variação de tensão Interrupção do fornecimento Para garantir a disponibilidade da informação é preciso garantir o fornecimento constante de energia e que ela esteja dentro da tensão recomendada. Use: Filtro de linha Estabilizador de tensão No-break Solução mista Gerador 21:21 11

12 Segurança Física 21:21 12

13 A segurança lógica é um processo em que um sujeito ativo deseja acessar um objeto passivo. O sujeito é um usuário ou um processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora, etc.). A segurança lógica compreende um conjunto de medidas e procedimentos, adotados pela empresa ou intrínsecos aos sistemas utilizados. O objetivo é proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas. 21:21 13

14 Compreende os mecanismos de proteção baseados em software: Firewall Senhas Listas de controle de acesso Sistemas de detecção de intrusão Redes virtuais privadas Criptografia 21:21 14

15 Firewalls Referência as portas corta fogo responsáveis por evitar que um incêndio em uma parte do prédio se espalhe facilmente pelo prédio inteiro Na Informática: previne que os perigos da Internet (ou de qualquer rede não confiável) se espalhem para dentro de sua rede interna Um firewall deve sempre ser instalado em um ponto de entrada/saída de sua rede interna Este ponto de entrada/saída deve ser único O firewall é capaz de controlar todos os acessos de e para a sua rede 21:21 15

16 21:21 16

17 21:21 17

18 Objetivos específicos de um firewall: Restringe a entrada a um ponto cuidadosamente controlado Previne que atacantes cheguem perto de suas defesas mais internas Restringe a saída a um ponto cuidadosamente controlado O firewall pode estar em: Computadores Roteadores Configuração de redes Software especifico 21:21 18

19 Autenticação e Autorização Autenticação consiste no processo de estabelecer a identidade de um indivíduo, identificação e prova desta identificação. A prova consiste em três categorias: Algo que você sabe Algo que você tem Algo que você é 21:21 19

20 Algo que você sabe: Mais simples de se implementar Menor nível de segurança Por exemplo: login/senha Não requer hardware especial 21:21 20

21 Algo que você tem Um nível a mais de segurança Usuário deve possuir algo para se autenticar Exemplos: cartão magnético, token. Um invasor pode se fazer passar por um usuário legitimo caso esteja de posse do item necessário Requer hardware especial 21:21 21

22 21:21 22

23 Algo que você é Mais segura Trata-se de características específicas do indivíduo Exs: impressão digital, leitura de Iris, reconhecimento de voz. Uso de dispositivos biométricos: custo elevado 21:21 23

24 Possibilidade de se combinar métodos de autenticação distintos: Bancos geralmente tem um processo associado ao que você sabe (login com senha) em conjunto com um processo associado ao que você tem (token, cartão com tabela codificada, confirmação de código por celular, etc.) E, também, um processo associado ao que você sabe (login com senha) em conjunto com um processo associado ao que você é (identificação biométrica) 21:21 24

25 IDENTIFICAÇÃO BIOMÉTRICA 21:21 25

26 Autorização estabelece o que o usuário pode fazer após a autenticação: ACL's (lista de controle de acesso) e perfis (permissões) Aplica-se a qualquer acesso sobre qualquer recurso: Arquivo Dispositivo Rede Chamada de sistema de programação Criação de perfil: contem todas as permissões para cada recurso que um usuário poderá utilizar 21:21 26

27 21:21 27

28 21:21 28

29 Detectores de intruso IDS (Intrusion Detection Systems) é responsável por analisar o comportamento de uma rede ou sistema em busca de tentativas de invasão HIDS (Host IDS): monitora um host especifico NIDS (Network IDS): monitora um segmento de rede Um IDS utiliza dois métodos distintos: Detecção por assinaturas Detecção por comportamento 21:21 29

30 21:21 30

31 Detecção por assinaturas: Semelhante às assinaturas de antivírus Associam um ataque a um determinado conjunto de pacotes ou chamadas de sistema Não só detecta o ataque como também o identifica Exige atualizações frequentes do fabricante 21:21 31

32 Detecção por comportamento: Observa o comportamento da rede em um período normal, e o compara com o comportamento atual da rede. Diferença significativa entre os comportamentos, o IDS assume que um ataque está em andamento Utiliza métodos estatísticos ou inteligência artificial Detecta ataques desconhecidos Não sabe informar qual ataque está em andamento 21:21 32

33 Redes virtuais privadas VPN (Virtual Private Networks): forma barata de interligar duas redes privadas através da Internet Ligação entre dois firewalls ou entre dois servidores de VPN para interligar duas redes inteiras Ligação entre uma estação na Internet e serviços localizados Dentro da rede interna VPN emprega criptografia em cada pacote trafegado A criptografia deve ser rápida o suficiente para não comprometer o desempenho entre as redes A criptografia deve ser segura o suficiente para impedir ataques 21:21 33

34 21:21 34

35 Redes virtuais privadas Vantagens: Substituição de linhas dedicadas a custo baixo Uso de infraestrutura já existente Desvantagens: Dados sensíveis trafegando em rede pública Sensível aos congestionamentos e interrupções que ocorrem na Internet. 21:21 35

36 Backup Backup Processo de realizar cópias de dados em outro dispositivo/mídia diferente do original que contém os dados. O processo de backup envolve segurança física e lógica Física: armazenamento das mídias Lógica: software de backup Backup é o último recurso no caso de perda de informações, portanto: Garanta que ele não vá falhar Garanta que ele esteja disponível e acessível quando necessário 21:21 36

37 Backup 21:21 37

38 Backup 21:21 38

39 Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação Fabrícia Sobral [email protected]