Polticas de Segurana

O que uma poltica de segurana e por que ter um?

As decises relacionadas com a segurana que voc faz, como administrador , em grande parte
determina como seguro ou inseguro a sua rede , quanto a funcionalidade da sua rede, e como
fcil a sua rede de usar. No entanto, voc no pode fazer boas decises sobre segurana, sem
antes determinar quais so seus objetivos de segurana.
At que voc determinar quais so seus objetivos de segurana, voc no pode fazer uso efetivo
de qualquer coleo de ferramentas de segurana, porque voc simplesmente no sabe o que
verificar se h e quais restries a impor. Por exemplo, seus objetivos provavelmente sero
muito diferente dos objetivos de um fornecedor do produto. Os fornecedores esto tentando
fazer configurao e operao de seus produtos o mais simples possvel, o que implica que as
configuraes padres, muitas vezes, so mais abertas (ou seja , inseguras ).

Enquanto isto faz com que seja mais fcil de instalar novos produtos, mas tambm deixa o
acesso queles sistemas e outros sistemas atravs deles, aberto a qualquer usurio. Seus
objetivos sero , em grande parte determinados pelos seguintes compromissos fundamentais:
1. Servios oferecidos versus segurana - Cada servio oferecido aos usurios carrega seus
prprios riscos de segurana. Para alguns servios o risco supera o benefcio do servio
e o administrador pode optar por eliminar o servio em vez de tentar prend-lo.

2. Facilidade de utilizao versus segurana -O sistema mais fcil de usar que permite o
acesso a qualquer usurio e no necessita de senhas ; isto , no haveria segurana.
Exigir senhas torna o sistema um pouco menos conveniente, mas mais seguro . Exigir
senhas de uso nico gerada pelo dispositivo torna o sistema ainda mais difcil de usar,
mas muito mais seguro.
3. custo da segurana contra risco de perda. - H muitos custos diferentes para segurana
(ou seja, o custo de aquisio de hardware e software de segurana, como firewalls
e um tempo de geradores de senha ), o desempenho (ou seja , a criptografia e
descriptografia levar tempo ) , e facilidade de utilizao ( como mencionado acima ) . H
tambm muitos nveis de risco : perda de privacidade (ou seja, o a leitura de informaes
por pessoas no autorizadas ), perda de de dados (isto , os danos ou o apagamento de
informao), e a perda de servio (por exemplo, o enchimento do espao de
armazenamento de dados, o uso de recursos computacionais , e negao de acesso
rede ). cada tipo de custo deve ser pesado contra cada tipo de perda.
Seus objetivos devem ser comunicados a todos os usurios, a equipe de operaes e gerentes
atravs de um conjunto de regras de segurana , chamada de "poltica de segurana". Ns
estamos usando esse termo, ao invs do mais estreito "poltica de segurana do computador",
j que o escopo inclui todos tipos de tecnologias de informao e as informaes armazenados
e manipulados pela tecnologia .


Poltica de Segurana
Polticas de alto nvel so afirmaes gerais de gesto de inteno. As polticas so geralmente
obrigatrias; no entanto, algumas polticas ou recomendaes so fortes e outras so
informativas. A poltica deve ser aplicada em toda a organizao em um forma consistente e
fornecer uma referncia para os trabalhadores em a conduo de suas atividades cotidianas. A
poltica fornece proteo de responsabilidade para uma organizao e sua gerncia.
Polticas esto no topo da hierarquia de polticas, normas, diretrizes, linhas de base, e
procedimentos.

Declarao Poltica De Gesto
A declarao de poltica da alta administrao define o tom e orientao para os padres,
diretrizes, linhas de base e os procedimentos a serem seguidos pela organizao. para
uma poltica de segurana, esta declarao declara a importncia de garantir as redes
e recursos de computao de comprometimento da organizao, da administrao a segurana
do sistema de informaes, e autorizao para o desenvolvimento de normas, procedimentos,
e diretrizes.

Polticas de Assessoria
Mesmo que as polticas so geralmente consideradas obrigatrias, as polticas de segurana de
assessoria so recomendaes fortes. Estas polticas recomendam cursos de ao. A
poltica consultiva pode fornecer orientaes quanto sua aplicao e indicar as circunstncias
onde ele pode no ser o caso, por exemplo, durante uma emergncia.
As Polticas Regulatrias
As polticas regulatrias tm como objetivo garantir que uma organizao implementa a
procedimentos padres e melhores prticas de sua indstria . Estas polticas se aplicam a
instituies como bancos, seguradoras , empresas de investimento, utilitrios pblicas e assim
por diante.
Polticas Informativas
Polticas informativas fornecem, informaes e , em geral, no requerem nenhuma ao pelos
indivduos afetados. Uma poltica informativa, no entanto, pode proibir e especificar
penalidades para determinadas atividades, como o download de material censurvel em um
computador da organizao. A poltica seria, portanto, informa o usurio do
actividades e as consequncias resultantes da prtica dessas atividades proibidas .

Tipos de polticas do governo dos EUA
O NIST fornece orientao na rea de sistema de informao e segurana de rede
polticas para as agncias governamentais. NIST divide as polticas de segurana de sistema de
computador em trs categorias :
Regulamentos do programa so declaraes centrados em computador de uma
organizao e um programa de segurana da rede.
polticas especficas - esto preocupados com os aspectos tcnicos de um determinado
computador , rede ou tipo de dispositivo.
polticas especficas do incidente se concentram em situaes especficas no- tcnicas,
estratgicas base . Um exemplo de uma poltica especfica do problema seria directivas
relativas a utilizao no licenciada de pacotes de software.
Normas, Diretrizes, Procedimentos e Linhas de Base
Normas, diretrizes , procedimentos e linhas de base fluir a partir da poltica de alto nvel
declaraes e servem para realizar a poltica de alto nvel .
Padres so obrigatrios e geralmente se referem a hardware e / ou software
especfico. Por exemplo , uma organizao pode especificar um sistema operacional
padro ou plataforma padro que deve ser usado por todos os seus funcionrios.
empregando normas, uma organizao pode implementar controles de segurana de
forma eficaz para a empresa.
Diretrizes so sugestes para o pessoal da organizao sobre como efetivamente
proteger suas redes e computadores. Diretrizes proporcionam flexibilidade e permitem
que os usurios a implementar controles de segurana em mais de uma maneira. Elas
tambm podem ser usadas para garantir que as medidas de segurana importantes no
sejam esquecidas .
Procedimentos so passos obrigatrios, detalhados a serem seguidos para realizar
tarefas especficas . As actividades de passo-a - passo de um procedimento descrito em
servir para implementar a declarao de mais alto nvel da poltica, normas e diretrizes.
Exemplos de procedimentos so aqueles utilizados na preparao de novas contas de
usurio ou atribuio de privilgios.
As linhas de base so semelhantes aos padres e representam um nvel de
implementao de controles de segurana que fornece proteo que equivalente
proteco disponvel para outras entidades de referncia semelhantes. A linha de base
de controle deve ser aplicada de forma consistente em toda a organizao, e fornece a
base para desenvolvimento das arquiteturas de computadores e segurana da rede. A
linha de base
nvel de proteo obrigatrio e pode ser usado para desenvolver o necessrio de
normas de segurana do sistema de informao.

Sensibilizao para a Segurana
A alta administrao tem a obrigao de garantir que os funcionrios de uma organizao
esto cientes de suas responsabilidades na proteo de computadores e redes da organizao.
Da mesma forma , os funcionrios devem ser diligentes em sua hbitos e trabalho todos os dias,
abraar as boas prticas de segurana do sistema de informao.
Conscientizao de segurana refere-se conscincia coletiva de uma organizao de
empregados relativos a controlos de segurana e sua aplicao para a proteo das informao
crtica e sensvel da organizao.
Sensibilizao para a segurana do funcionrio pode ter um impacto significativo na deteco
de fraudes , reduzindo - actividades no autorizadas relacionadas com a rede, e impedindo
o comprometimento da segurana em geral.
Trabalhadores encontrados em violao da poltica de segurana devem ser emitidos um aviso
, ser repreendidos , ou , em casos extremos, demitidos por comprometer computador da
organizao ou a segurana da rede. Conscincia de segurana pode tambm ser reforado
atravs de boletins , informativos, incentivos, reconhecimento e lembretes em forma de
banners de log - , palestras e vdeos.

Treinamento.
O treinamento uma ferramenta que pode aumentar a sensibilizao para a segurana dos
funcionrios e capacidades na identificao , elaborao de relatrios e manipulao de
compromissos de confidencialidade , integridade e disponibilidade de sistemas de informao.

Gerenciamento da Configurao
O gerenciamento de configurao o processo de acompanhamento e aprovao de alteraes
a um sistema. Trata-se de identificar, controlar e auditar todas as alteraes feitas ao sistema .
Ela pode lidar com mudanas de hardware e software, mudanas de rede , ou qualquer outra
alterao que afecte a segurana. O gerenciamento de configurao tambm pode ser usada
para proteger um sistema de confiana enquanto ela est sendo projetada e desenvolvida .
O objetivo do gerenciamento de configurao de segurana assegurar que mudar
o sistema e no acidentalmente diminuir a segurana. Por exemplo, a configurao de gesto
pode impedir que uma verso mais antiga de um sistema seja ativada como
o sistema de produo. O gerenciamento de configurao tambm torna possvel com preciso
reverter para uma verso anterior de um sistema em caso de um novo sistema encontrado
estar com defeito. Outro objetivo do gerenciamento de configurao garantir que alteraes
do sistema so refletidas na documentao atual para ajudar a mitigar o impacto que
uma mudana pode ter sobre a segurana de outros
.
O gerenciamento de configurao uma disciplina a aplicao tcnica e administrativa
para fazer o seguinte :
Identificar e documentar as caractersticas funcionais e fsicas de cada item de
configurao para o sistema
Gerenciar todas as alteraes a estas caractersticas
Registrar e relatar o status do processamento e implementao da mudana
O gerenciamento de configurao envolve o monitoramento de processos, controle de verso,
informaes captura, controle de qualidade, contabilidade, e uma estrutura organizacional para
apoiar essas atividades.


Principais Funes De Gerenciamento De Configurao
As principais funes de gerenciamento de configurao ou de controle de mudanas so as
seguintes:
Para garantir que a mudana implementada de uma forma ordenada e formalizada
Para garantir que a base de usurios informado da mudana iminente
Para analisar o efeito da mudana no sistema aps a implementao
Para reduzir o impacto negativo que a mudana poderia ter tido sobre a computao de
servios e recursos

Continuidade de Negcios e Planejamento de Recuperao de Desastres
Planejamento de continuidade de negcios aborda a preservao do negcio em face
de grandes rupturas para as operaes normais. Continuidade de negcios inclui a preparao ,
testes e atualizao das aes necessrias para proteger processos de negcios crticos
contra os efeitos de grandes falhas do sistema e da rede. Um evento perturbador qualquer
ocorrncia , intencional ou no , que suspende as operaes normais . O objetivo do
planejamento de continuidade de negcios o de minimizar o efeitos de um evento perturbador
em uma empresa.
O principal objetivo da continuidade do negcio planos reduzir o risco de perda financeira e
aumentar a capacidade de uma empresa para recuperar de um acontecimento perturbador
prontamente .

Planejamento de recuperao dos desastres preocupado com a restaurao do funcionamento
do negcio de sistemas de informao na sequncia de um evento danoso . As definies a
seguir esclarecer algumas das terminologias relevantes :
plano de contingncia, plano organizado documentado para emergncias e respostas ,
as operaes de backup e recuperao mantido por uma atividade como parte
do seu programa de segurana que ir garantir a disponibilidade de recursos crticos
e facilita a continuidade das operaes em situao de emergncia .
plano de recuperao de desastres, O plano e os procedimentos que tm sido
desenvolvidos para se recuperar de um desastre que tem interferido com a rede e outro
operaes do sistema de informao.
Planos de Continuidade das operaes, Os planos e procedimentos documentados para
garantir operaes crticas continuaram durante todo o perodo em que as operaes
normais o impossveis.
plano de continuidade de Negcios, O plano e os procedimentos desenvolvidos para
identificar e priorizar as funes crticas de negcios que devem ser preservadas e
procedimentos associados de operaes continuadas daqueles negcios crticos.

Planejamento de recuperao dos desastres
Planejamento de recuperao dos desastres est preocupado com a proteo dos processos de
negcios crticos contra os efeitos de grandes falhas do sistema de informao e de rede, por
rapidamente se recuperando de uma emergncia com um mnimo impacto para a organizao.
metas
Um plano de recuperao de desastres uma declarao abrangente de aes consistentes para
ser feita antes , durante e depois de um evento de ruptura que causa uma perda significativa de
recursos de sistemas de informao. Planos de recuperao de desastres so os procedimentos
para responder a uma emergncia , fornecendo as operaes de backup durante a interrupo
Outro objetivo de um plano de recuperao fornecer a capacidade de implementar processos
crticos em um local alternativo e retorno para o site principal e processamento normal dentro
de um prazo que minimiza a perda para a organizao.

Segurana Fsica
Segurana fsica preocupa-se com a proteco do pessoal, informaes confidenciais,
instalaes e equipamentos atravs do uso de controles fsicos. Salvaguardas tal
como cercas, iluminao, ces de guarda, a biometria para identificao, circuito fechado de
televiso, e dispositivos de bloqueio fsico so exemplos de medidas de controle fsicas.
Para proteger a confidencialidade, integridade e disponibilidade das redes e associado sistemas
de informao, os controles so aplicadas de acordo com as consideraes de custo e melhores
prticas.

Controles
Controles em segurana fsica pode ser dividida em fsica, tcnica e administrativa. Estes tipos
de controles se complementam na prestao eficaz da segurana da rede.
Os controlos fsicos
Os controlos fsicos so os tipos mais conhecidos de controles. Eles costumam controlar o acesso
e envolvem itens tradicionais de dissuaso , como guardas , iluminao , cercas, movimento
detectores, e assim por diante. Estes tipos de controles esto listados a seguir :
Guardas - Guardas pode aplicar o julgamento humano para interpretar apresentaes de
sensores alm de fornecer capacidades de dissuaso , de resposta e controle.
Ces -Ces so usados principalmente para o controle fsico de permetro.
Esgrima - Esgrima o principal meio de permetro / instalaes de fronteira
controle de acesso. Cercas impedir invaso ocasional , controlando o acesso a entradas.
Mantrap -A armadilha um mtodo de controle de acesso fsico onde a entrada
a uma instalao ou a rea encaminhado atravs de um conjunto de portas duplas . Uma porta
deve ser fechado para a prxima porta para abrir. Ele pode ou no ser acompanhada por um
guarda .
iluminao Lighting- Proteo de entradas ou reas de estacionamento pode desencorajar
prowlers ou intrusos casuais. Os tipos comuns de iluminao incluem refletores ,
postes , luzes de Fresnel , e holofotes .
Locks - Locks podem ser divididos em dois tipos: predefinidos e programveis.
fechaduras predefinidos fechaduras - chave predefinidas incluem -in- maaneta, encaixe e
fechaduras de sobrepor . Todos estes consistem em variaes de trincos , cilindros e parafusos
mortos .
Estes bloqueios programveis os podem ser mecanicamente ou eletronicamente. Um
bloqueio programvel mecnica muitas vezes um mostrador tpico
fechamento de combinao. Outro tipo de bloqueio programvel mecnica a
comum de cinco tecla de bloqueio de boto de presso que requer que o usurio digite uma
combinao de nmeros . Este um bloqueio muito popular para centros de operaes de TI .
Um bloqueio programvel eletrnico exige que o usurio digite um
padro de digitos no teclado numrico de estilo , e pode exibir a
dgitos em ordem aleatria de cada vez para evitar ombro surf para entrada
padres. tambm conhecido como um bloqueio de cifra ou de controlo de acesso do teclado
.
dispositivos de circuito fechado de vigilncia ou de gravao Visual- televiso como
circuito fechado de televiso so utilizados em conjunto com guardas de forma a
reforar a sua capacidade de vigilncia e para registrar eventos para anlise futura ou
acusao.

Os detectores de intruso perimetral: dois tipos mais comuns de detectores de permetro
baseiam-se em sensores fotoeltricos ou contato seco interruptores.
sensores pticos sensores fotoeltricos - receber um feixe de luz a partir de um dispositivo
emissor de luz, criando uma grelha de luz branca, quer visveis, ou luz infravermelha invisvel.
Um alarme ativado quando as vigas esto quebrados.
chaves de contato de contato seca e fita seca so provavelmente a maior parte dos tipos mais
comuns de deteco de permetro . Este pode consistir em metlico fita de alumnio nas janelas
ou interruptores de contato de metal em aros .
controles PC fsicas: Devido proliferao de computao distribuda e, particularmente ,
laptops , controle de estoque para PCs crtica. Controles que abordar esta questo incluem o
seguinte:
travas de um cabo de bloqueio de cabo composto por um cabo de ao revestido de vinil
ancorando o PC ou perifricos para a mesa. Eles muitas vezes consistem em parafuso
kits , fechaduras slot, e armadilhas de cabos.
controles de porta controles porturios so dispositivos que as portas de dados seguros (tais
como uma unidade de disquete ou uma porta serial ou paralela) e impedir a sua utilizao .
A Chave de controle do interruptor uma cobertura para o interruptor on / off , que
impede que um usurio desligar o poder do servidor de arquivos.
controles Peripheral tipos de controles so bloqueveis interruptores que impedem um
teclado de ser usado .



controles tcnicos
Controles tcnicos complementar controles fsicos e administrativos e so tipicamente
utilizado em instalaes de alta segurana . Exemplos de controles tcnicos so cartes
inteligentes e dispositivos biomtricos.
smart Cards
Um carto inteligente utilizado para controle de acesso tambm chamado de um carto de
acesso de segurana. este carto compreende os seguintes tipos :
Photo- imagem cartes cartes - Foto - imagem so os cartes de identificao simples, com
a foto do portador para a identificao.
cartes digitalmente codificados contm chips ou tiras codificadas magneticamente
(possivelmente em adio a uma foto do portador). O leitor de carto pode ser programado
para aceitar ou recusar a entrada com base em um controle de acesso on-line computador que
tambm pode fornecer informaes sobre a data e a hora de entrada . Estes cartes tambm
podem ser capazes de criar agrupamentos de acesso multi-nvel.
Leitores de proximidade sem fio: no requer que o usurio inserir fisicamente o carto de
acesso. Este carto pode tambm ser referido como um fio carto de segurana . O leitor de
carto detecta o carto em posse de um usurio em a rea geral ( de proximidade) e permite o
acesso.
Os dispositivos biomtricos
Dispositivos de controle de acesso biomtrico so aplicaes tcnicas em segurana fsica.
As tecnologias biomtricas pode ser utilizada para a identificao ou autenticao.
A seguir, so caractersticas biomtricas tpicas usadas para identificar ou
autenticar um indivduo :
Fingerprints
Scans Retina
scans Iris
scans faciais
palma scans
A geometria da mo
voz
dinmica assinatura manuscrita

Os controles administrativos
Os controles administrativos esto relacionados com pessoal e questes de facilidade. incluem
procedimentos de emergncia , controle de pessoal , planejamento e implementao de
polticas.
Os controles administrativos so compostos das seguintes opes:
controles administrativos de pessoal
planejamento Facilidade
gesto de segurana Facilidade
Controles administrativos de pessoal
Controles administrativos de pessoal incluem processos de pessoal relacionadas comumente
aplicadas durante a contratao de funcionrios e demisso . Exemplos destes controlos incluem
o seguinte :
de triagem pr -emprego, incluindo o emprego , referncias, ou educacional
cheques de histria e investigao de antecedentes ou de classificao de crdito verifica
sensvel posies
cheques de funcionrios em curso , tais como autorizaes de segurana , geradas somente
se o empregado ter acesso aos documentos classificados , e as classificaes de funcionrios
ou avaliaes de seu supervisor
procedimentos ps-emprego, tais como entrevistas de sada, a remoo de rede
acesso e troca de senhas, e devoluo de equipamentos da empresa, incluindo a
meios magnticos, documentos e computador aps o trmino





















Controle de Acesso

Controlar o acesso a uma rede e seus associados recursos a pedra angular da segurana da
rede. Em ambiente de computao distribuda de hoje, onde grande
quantidades de poder computacional e de propriedade intelectual sensvel residir em mesas
individuais , controle de acesso fundamental para qualquer organizao.

Modelos de controle
O controle de acesso projetado para reduzir as vulnerabilidades relacionadas ao acesso que
pode ser explorada por ameaas a uma rede. A ameaa um evento ou uma actividade que tem
o potencial para causar danos na rede. Neste caso, a ameaa teria potencial para contornar ou
mecanismos de controle de acesso e permitir que um invasor obter acesso no autorizado a
uma rede. A vulnerabilidade uma fraqueza que pode ser explorada por uma ameaa,
causando danos rede . A probabilidade de que uma ameaa vai materializar e resultar em
danos rede definida como de risco.

Modelos de controle de acesso pode ser classificado como discricionrio , obrigatrio, e no
discricionria .
Controle de acesso discricionrio
Uma entidade oramental ou o sujeito tem a autoridade, dentro de certos limitaes , para
especificar os objetos que podem ser acessados. Um meio de especificar o controle de acesso
discricionria atarves uma tabela

Um usurio que tem o direito de alterar os privilgios de acesso a determinados objetos opera
sob o controle de acesso discricionrio dirigido pelo usurio. Outro controle de acesso
discricionrio tipo com base na identidade de um indivduo conhecido como controle de
acesso baseado em identidade .



Controle de acesso obrigatrio
No controle de acesso obrigatrio , os meios devem ser encontrados para corresponder
formalmente as autorizaes atribuda ao sujeito sensibilidade dos objectos que so o alvo
do pedido de acesso. Uma abordagem a utilizao de rtulos . A autorizao do assunto
pode estar na forma de uma folga que para ser comparado com a classificao do
objeto. Nos Estados Unidos , os militares classifica os documentos como no classificada ,
confidencial, secreto, e top secret . De modo semelhante , um indivduo pode receber uma
recarga de acesso confidencial , secreto ou ultra-secreto , e pode ter osdocumentos classificados
no ou abaixo de seu nvel de folga especificada. Assim, um indivduo com uma folga segredo
pode acessar documentos secretos e confidenciais , mas com uma restrio chamada
precisa saber. Precisa saber significa que o sujeito deve ter a necessidade de acessar o
solicitado documento classificado para executar suas funes. Acesso baseado em regras
um tipo de controle de acesso obrigatrio em que as regras determinam o acesso
privilgios (como a correspondncia de etiquetas de apuramento para os rtulos de
classificao), em vez de a identidade dos sujeitos e os objectos sozinhos .

Controle de acesso no-discricionria
No controle de acesso no discricionria, privilgios de acesso pode ser baseado no papel do
indivduo na organizao (role-based) ou responsabilidades e deveres do sujeito (baseado em
tarefas). Controle de acesso baseado em funo frequentemente usado em uma organizao
onde existe mudanas freqentes de pessoal para eliminar a necessidade de alterar os
privilgios sempre uma nova pessoa assume esse papel. O controle de acesso tambm pode ser
caracterizada como ou dependentes de contedo dependente do contexto.
Controle de acesso dependente do contexto uma funo de fatores como localizao, hora do
dia, e histria acesso anterior. Est relacionada com o ambiente ou contexto do
dados. No controle de acesso dependente do contedo, o acesso determinado pela
informao contida no item que est sendo acessado.

Tipos de Implementaes de Controle de Acesso
Os controles de acesso so usados para prevenir ataques, para determinar se os ataques tm
ocorrido ou sido tentado , e para trazer a rede volta ao seu estado pr- ataque , se um ataque
foi bem sucedida . Estes trs tipos de controles so chamados preventiva, detetive e
corretiva, respectivamente. Para afetar esses controles, administrativo, tcnico ( lgica),
e meios fsicos so empregados . Os controlos administrativos incluem atividades como
a criao de polticas e procedimentos , treinamento de conscientizao de segurana, e de
fundo cheques. Os controles tcnicos (lgico ) envolve a utilizao de abordagens que incluem
criptografia, cartes inteligentes , e protocolos de transmisso . Os controlos fsicos so mais
guardas familiares e compem , segurana do edifcio e laptops de fixao . Ao juntar-se
os tipos de controle e meios de implementao, diferentes combinaes de controle so
obtida . Exemplos de combinaes de teclas esto listados nas sees seguintes .


Preventiva / administrativo
Controles preventivos e administrativos incluem o seguinte:
polticas e procedimentos organizacionais
As verificaes do fundo
procedimentos de resciso de funcionrios
acordos de Emprego e Treinamento de conscientizao
Segurana
Rotulagem de materiais sensveis
agendamentode frias

Preventiva / Tcnico
Controles preventivos e tcnicos: aplicar a tecnologia para evitar violaes de
poltica de segurana de uma organizao. Controles tcnicos tambm so conhecidos como
controles lgicos e pode ser incorporado ao sistema operacional, pode ser aplicaes de
software, ou pode ser suplementar unidades de hardware ou software. Exemplos de controles
preventivos e tcnicos incluem o seguinte :
Protocolos
Biometria para autenticao
Encryption
Os cartes inteligentes
Menus
interfaces de usurio restrita
As senhas
teclados limitados

Preventiva / Fsica
Esta categoria est preocupado com a restrio de acesso fsico s reas com sistemas de
segurando informaes confidenciais. Controles preventivos e fsicas incluem o seguinte:
Guards
Homem - armadilha (com duas portas fisicamente separados de modo que um indivduo
pode ser " preso " no espao entre as portas depois de entrar numa das portas )
Fences
biometria para identificao
controles ambientais ( temperatura, umidade , eltrica)
Badges

Detective / Administrativo
controles de Detetive e administrativos incluem o seguinte :
reviso de registro de auditoria
compartilhamento de responsabilidades
polticas e procedimentos organizacionais
As verificaes do fundo
frias agendamento
Rotulagem de materiais sensveis
conscincia Comportamento

Detective / Tcnico
Controles de detetive e tcnicas aplicam meios tcnicos para identificar a ocorrncia de uma
intruso ou outras violaes da poltica de segurana de uma organizao. essas medidas
incluem o seguinte :
sistemas de deteco de intruso ( IDSs) - Estes dispositivos so caracterizados pela A
tecnologia usada para detectar uma intruso ou a sua localizao . Por exemplo , um Host based
Sistema de identificao reside em um host centralizado e tem um bom desempenho na
deteco de ataques contra o exrcito . No entanto , este tipo de IDS no eficaz na deteco
de intruses de rede. Por outro lado , um IDS baseado em rede um detector passivo de tempo
real intruses e consome menos recursos do que um IDS baseado em host. IDSs
detectam intruses por dois mtodos principais . Uma abordagem o perfil de um "normal"
estado de utilizao para uma rede ou host e , em seguida, detectar desvios a partir desta
Estado. A outra abordagem a aquisio de "assinaturas" de ataques e , em seguida,
monitorar o sistema para estas assinaturas quando ocorre um ataque.
autos de infrao gerados a partir da trilha de auditoria de informao - Estes relatrios
pode indicar variaes de funcionamento "normal" ou detectar assinaturas conhecidas de
episdios acesso no autorizado. Nveis de recorte ou de limite pode ser empregada
para limitar a quantidade de informaes de auditoria sinalizados e relatado pelo automatizado
anlise violao e mecanismos de comunicao . Nveis de recorte pode definir um limiar
sobre o nmero de ocorrncias de um evento , abaixo da qual o evento no est
relatado .
Detective / Fsica
Controles de deteno e fsicas normalmente requerem um ser humano para avaliar a entrada
a partir de sensores para uma ameaa potencial. Exemplos destes tipos de mecanismos de
controlo incluem :
As cmeras de vdeo
detectores de movimento
detectores trmicos

Controles de acesso centralizados / descentralizados
Controle de acesso centralizado geralmente caracterizado por recursos gerenciados
centralmente e profissionais experientes, com experincia nos vrios tipos de controlo
mecanismos. Sistemas de controle de acesso centralizado e protocolos , como o RADIUS e
TACACS + , so discutidos mais tarde. Por outro lado , os controles de acesso descentralizado
esto mais prximos do usurio e ,conseqentemente, devem refletir as preocupaes e
exigncias dos usurios. Um paradigma para controle de acesso descentralizado o
estabelecimento de domnios de segurana , em que os participantes
esto sob a mesma gesto e acompanhamento de polticas de segurana comuns.
Sistemas descentralizados tm a necessidade de forte controle de acesso. Um exemplo seria
ser uma organizao usando a World Wide Web para facilitar as comunicaes e
cooperao entre os seus subentidades . Geralmente , estes sistemas apresentam a seguinte
caractersticas :
criptografia de senhas e IDs.
regras de controle de acesso formal.
Cada subentity autentica seus respectivos clientes .
subentidades adicionais podem ser adicionados rede .
Identificao e Autenticao
Identificao o ato de um usurio que professam uma identidade a um sistema, geralmente
na forma de um ID de logon. Identificao estabelece prestao de contas de usurio para o seu
aes no sistema . A autenticao a verificao de que a identidade reivindicada do usurio
vlido , e geralmente implementado atravs de uma senha de usurio em tempo de logon.
A autenticao fornecida atravs de uma variedade de meios de senhas secretas para
utilizando caractersticas biomtricas . Em geral , a autenticao feita por testar um ou mais
dos seguintes itens :
Algo que voc sabe , como um nmero de identificao pessoal (PIN) ou senha;
este fator conhecido como Tipo 1 autenticao.
Algo que voc tem , como um carto Multibanco ou carto inteligente ; este fator conhecido
como autenticao do tipo 2 .
Algo que voc (fisicamente) , como uma impresso digital ou verificao de retina ; este
fator conhecido como autenticao de tipo 3 .
Obviamente, o uso de mais de um fator acrescenta credibilidade adicional para a autenticao
processo . Por exemplo, a autenticao de dois fatores se refere ao uso de dois dos trs
fatores, tais como um nmero PIN ( algo que voc sabe ) em conjunto com um ATM
carto (algo que voc tem) .
Aps a autenticao , um usurio concedido direitos e permisses para aceder a determinados
recursos do computador e informaes . Essa alocao conhecido como autorizao de
o utilizador .
senhas
As senhas so , de longe , o fator mais popular usado para autenticao. Portanto , proteger
senhas de compromisso e uso no autorizado crucial. Semelhante a um one-time pad em
criptografia , uma senha de uso nico proporciona o mais alto nvel de segurana da senha .
Porque uma nova senha necessria cada vez que um usurio registra sobre a rede, um atacante
no pode usar uma senha previamente comprometida. Uma senha que muda freqentemente
chamado de senha dinmica . Uma senha que o mesmo para cada incio de sesso chamada
de senha esttica . Uma organizao pode exigir que senhas mudar mensal , trimestral ou em
outros intervalos , dependendo da sensibilidade das informaes protegidas e frequncia da
senha de uso. Em alguns casos, uma senha pode ser usada uma vez. A senha uma seqncia
de caracteres que geralmente maior do que o nmero estipulado de caracteres uma senha. A
senha convertida em uma senha virtual, o sistema . As senhas podem ser geradas
automaticamente pelo tamanho do carto de crdito , cartes de memria , cartes inteligentes
ou dispositivos que se assemelham a pequenas calculadoras. Alguns destes dispositivos so
referido como fichas . Estes geradores de senha so do tipo 2 dispositivos , algo voc tem.

Biometria
A biometria definido como um meio automatizado de identificao ou autenticao do
identidade de uma pessoa que com base nas caractersticas fisiolgicas ou comportamentais . A
biometria um mecanismo de autenticao do tipo 3 , pois com base no que a pessoa "".
Biometria til tanto na identificao e modos de autenticao . Para a identificao, dados
biomtricos aplicada como uma busca de um - para-muitos de um indivduo de caractersticas
de um banco de dados de caractersticas armazenadas de uma grande populao . uma exemplo
de uma pesquisa de um-para -muitos tenta combinar as impresses digitais de um suspeito de
um banco de dados de impresses digitais de pessoas que vivem nos Estados Unidos . Por outro
lado , a autenticao em biometria uma busca de um -para-um para verificar a reivindicao
de uma identidade feita por um pessoa . Um exemplo deste modo combinar as impresses
digitais de um funcionrio contra o impresses digitais previamente cadastradas em um banco
de dados de funcionrios da empresa . Em relao ao controle de acesso , biometria usado
para identificao de controles fsicos e para autenticao de comandos lgicos .
A seguir, so caractersticas tpicas biomtricos:
Scans Retina
scans Iris
Fingerprints
scans faciais
scans palma
A geometria da mo
voz
dinmica assinatura manuscrita

Single Sign-On
Em Single Sign-On (SSO), um usurio fornece um ID e senha por sesso de trabalha e
automaticamente conectado a todos os recursos de rede necessrios . Sem SSO, um usurio
normalmente deve digitar vrias senhas para acessar diferentes recursos de rede. Ao aplicar
SSO, as senhas devem ser transmitidas ou armazenadas em forma criptografada para fins de
segurana. Com SSO, a administrao da rede simplificada, uma senha forte pode ser usado,
e os recursos podem ser acessados em menos tempo.
o acesso ao sistema por meio do logon inicial , o usurio pode circular livremente na rede
recursos sem quaisquer restries. SSO pode ser implementado nas seguintes formas:

Atravs de scripts que replay vrios logins dos usurios.
Atravs Empresa Acesso Management ( EAM ) . EAM fornece controle de acesso servios de
gesto de SSO , incluindo , para os sistemas corporativos baseados na web. Em uma abordagem,
SSO implementado em aplicaes Web que residem em diferentes servidores no mesmo
domnio , usando no persistentes , cookies criptografados no interface do cliente .
Usar servidores de autenticao para verificar a identidade do usurio e autenticao
criptografada bilhetes para permitir o acesso aos servios do sistema. Uma abordagem de
servidor de autenticao popular que pode implementar SSO o Kerberos sistema .

Kerberos
Kerberos o nome de um co de trs cabeas que guarda a entrada para o submundo
na mitologia grega. Kerberos baseado em criptografia de chave simtrica e
foi desenvolvido no mbito do Projeto Athena no Instituto de Tecnologia de Massachusetts.
um protocolo de autenticao de confiana, de terceiros que autentica os clientes
outras entidades em uma rede e fornece meios seguros para esses clientes para o acesso
recursos na rede.
Kerberos assume que os computadores clientes e os cabos de rede so acessveis ao pblico
em locais inseguros. Assim, as mensagens transmitidas em uma rede Kerberos pode ser
interceptado . No entanto, Kerberos tambm assume que alguns locais especficos e
servidores podem ser protegidos para operar os mecanismos de autenticao como confiveis
para cada cliente e o servio na rede. Esses servidores centralizados implementam o
Kerberos confivel Key Distribution Center (KDC) , Kerberos Ticket Concesso de servio
( TGS ) e de servio de autenticao Kerberos (AS) . Os princpios bsicos do Kerberos
operao esto resumidos a seguir :
1. o KDC conhece as chaves secretas de todos os clientes e servidores na rede.
2. A troca de informaes inicialmente com o cliente e servidor usando
estas chaves secretas .
3. Kerberos autentica um cliente para um servio solicitado em um servidor atravs do
TGS e emitindo sesso chaves simtricas temporrios para as comunicaes entre o cliente eo
KDC , o servidor eo KDC , eo cliente e servidor .
4 . Comunicao , em seguida, ocorre entre o cliente e o servidor usando essas chaves de sesso
temporrias.