Académique Documents
Professionnel Documents
Culture Documents
Introduo ao Conceito de
Segurana da Informao
Prof. Afonso Bazolli
Detalhes da Informao
Para que serve a Informao ?
Detalhes da Informao
Conhecimento do Negcio
Este o ponto chave de qualquer Gerenciamento de Riscos
Responsvel
Quem executar as atividades para melhor gerir os riscos.
Identificao
Quais riscos podem afetar o projeto.
Anlise
Qual a probabilidade de uma ocorrncia e qual o impacto.
Definio das Respostas
Que aes podemos tomar para reduzir as ameaas e
Riscos
Pessoais
Negcio
Riscos de
Incidentes
potencializar as oportunidades.
Riscos da
Informao
Conceito de Backup
Desvantagens
Vantagens
Vantagens
Backup Diferencial
Backup Incremental
Vantagens
Uso eficiente do seu tempo - O processo de backup leva menos tempo pois
apenas os dados que foram criados ou modificados desde o ltimo backup total
ou incremental vo para a fita.
Uso eficiente da mdia de backup - O backup incremental utiliza menos fita
pois apenas os dados que foram modificados ou criados so copiados.
Desvantagens
Desvantagens
16
Vrus:
Malware:
Em Linguagem C
Main() {
system(format c:\);
}
17
18
Macro;
Cavalos de tria;
Spywares;
Backdoors;
Keyloggers.
19
20
Cavalo de Tria:
Spyware:
21
22
Teste:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
23
24
Segurana de Redes
Monitoramento de trfego
O Squid um popular servidor de Proxy desenvolvido em
software livre. Seu uso variado, ele pode esconder peties
repetidas, esconder www, DNS, e outros recursos de rede
compartilhados para um grupo de pessoas.
O MRTG (Multi Router Traffic Grapher) um programa
desenvolvida para acompanhar o trfego em links de rede. Ele
consiste de um script Perl para ler os contadores do trfego dos
seus roteadores e, um programa em C que loga o trfego dos
dados e cria os grficos que vo representar o trfego
monitorado. Esses grficos so inseridos numa webpage que
pode ser visualizada a partir de qualquer browser.
25
Segurana de Redes
Monitoramento de trfego
Sniffer de Rede
Sniffing, em redes de computadores, um procedimento realizado por
uma ferramenta conhecida como Sniffer. Esta ferramenta, constituda
de um software e/ou hardware, capaz de interceptar e registrar o
trfego de dados em uma rede de computadores. Ele captura cada
pacote e eventualmente pode decodificar e analisar o seu contedo de
acordo com o protocolo definido em um RFC ou uma outra
especificao.
26
Nveis de Segurana
Um dos primeiros pontos que temos que saber , aps
identificarmos um potencial de ataque, qual o nvel de segurana
a estabelecer para uma rede ou sistema os recursos fsicos e
lgicos.
Nveis de Segurana e
Conceito de Criptografia
Prof. Afonso Bazolli
Disponibilidade
A informao sempre deve estar disponvel para o uso
legtimo, ou seja, pelas pessoas (usurios) realmente com
essa permisso.
Consideramos um sistema de alta disponibilidade aquele
resistente a falha do software, energia e que tem como principal
objetivo manter o sistema o maior perodo possvel no ar.
Integridade
Autenticidade
Confiabilidade
Irretratabilidade
10
Privacidade
Criptografia (Do Grego krypts, "escondido", e grphein,
"escrita") o estudo dos princpios e tcnicas pelas quais a
informao pode ser transformada da sua forma original para
outra ilegvel, de forma que possa ser conhecida apenas por seu
destinatrio (detentor da "chave secreta"), o que a torna difcil de
ser lida por algum no autorizado. Assim sendo, s o receptor
da mensagem pode ler a informao com facilidade.*
11
12
Fonte: http://pt.wikipedia.org/wiki/Criptografia
Criptografia
Criptografia
13
14
Criptografia
Chaves de 64 Bits
Chaves de 128 Bits
Chaves de 256 Bits
16
Tipos de Criptografia
Tipos de Criptografia
18
Tipos de Criptografia
Tipos de Criptografia
Chaves Assimtricas
Chaves Assimtricas
19
20
Tipos de Criptografia
Assinatura Digital
Tcnica utilizada para provarmos que uma mensagem no foi violada.
Chaves Assimtricas
RSA: a mais utilizada. Nmeros primos (Que s podem ser divididos
por 1 e por ele mesmo) so utilizados assim: 2 nmeros primos so
multiplicados para se obter um terceiro valor. Desta forma, descobrir
os 2 primeiros nmeros com base em um terceiro muito trabalhoso.
Se ainda utilizarmos 2 nmeros primos grandes, ser necessrio
muito mais processamento para descobri-lo (quase invivel).
Basicamente, a chave privada no RSA so os nmeros multiplicados
e a chave pblica o valor obtido;
21
22
Certificado Digital
Certificado Digital
23
24
SSL
VPN
Funcionamento
O server do site que estiver sendo acessado enviar uma
chave pblica ao respectivo navegador, e este ltimo enviar
uma chave secreta, que gerada de forma aleatria. Assim,
fica estabelecida a existncia de uma troca de dados
criptografado e com segurana entre as mquinas.
25
26
Poltica, Padres/
Procedimentos de
Segurana da Informao
Prof. Afonso Bazolli
Informao.
Exemplos
Acompanhamento de Planos de Ao
Avaliao de Riscos de Segurana da Informao
Liberao de Acesso Rede
Participao de Segurana da Informao em Projetos
Resposta a Incidentes de Segurana da Informao
sem
SARBANES-OXLEY
Identificao de Instrutores;
Identificao de Pblico Alvo
Consultiva
Sugere a realizao de aes/atividades cotidianas na empresa.
Desvantagens: Falhas no processo de comunicao com a
alta administrao;
Informativa
Possui carater apenas informativo.
Mdio Prazo
Padronizao dos procedimentos
Adaptao segura de novos processos de negcios
Qualificao e quantificao do sistema de resposta a incidentes
Conformidade com os padres de segurana
Longo Prazo
Retorno de investimento devido a reduo de problemas
Consolidao da imagem institucional
Administrando Usurios
Objetivos
Ao concluir esta lio, voc ser capaz de:
Criando um Usurio
Selecione Users na pgina de propriedades
Administration. Clique no boto Create.
Perfis e Usurios
Os usurios
recebem apenas
um perfil em
qualquer
momento.
Perfis:
Controlar
o consumo
de recursos
Gerenciar
senhas
Copyright 2004, Oracle. Todos os direitos reservados.
Autenticando Usurios
Senha
External
Global
Esquema o conjunto
de objetos pertencentes
a um usurio.
S possvel associar
um usurio a um
esquema.
O nome de usurio e o
esquema so, em geral,
usados alternadamente.
Objetos do Esquema
Tabelas
Triggers
ndices
Views
Seqncias
Unidades de programa
armazenadas
Sinnimos
Tipos de dados definidos
pelo usurio
Vnculos de bancos
de dados
Selecione um perfil.
Privilgios
H dois tipos de privilgios de usurio:
Privilgios de Sistema
Privilgios de Objeto
Ilimitado
Um valor especfico em megabytes ou em kilobytes
Atribuies
Usurios
Atribuies
Privilgios
Neena
HR_MGR
Delete
employees
Girard
Vance
HR_CLERK
Selecione
employees
Inserir
employees
Atualizar
employees
Atribuies Predefinidas
CONNECT
RESOURCE
SCHEDULER_
ADMIN
DBA
SELECT_
CATALOG_
ROLE
Atribuies Seguras
As atribuies podem ser no-default.
SET ROLE vacationdba;
Sumrio
Nesta lio, voc dever ter aprendido a:
Exerccio 7:
Administrando Usurios
Este exerccio aborda o seguinte:
Objetivos
Ao concluir esta lio, voc ser capaz de fazer
o seguinte:
Categorias de Falhas
Em geral, possvel dividir as falhas nas seguintes
categorias:
Falha de instruo
Falha de processo do usurio
Falha de rede
Erro de usurio
Falha de instncia
Falha de mdia
Falhas de instruo
Problemas Comuns
Solues Possveis
Tentativa de executar
operaes com privilgios
insuficientes
Solues Possveis
Falha de Rede
Problemas Comuns
Solues Possveis
Falhas de listener
Configure um listerner de
backup e um failover de
tempo de conexo.
Configurar vrias placas
de rede.
Configurar um backup
de conexo de rede.
Erros do Usurio
Causas Comuns
Solues Possveis
O usurio modifica ou
deleta inadvertidamente
os dados.
O usurio elimina uma
tabela.
Falha de Instncia
Causas Comuns
Solues Possveis
Falta de energia
Falha de hardware
Falha de um dos
processos de
background
Procedimentos
de shutdown
de emergncia
Recuperao de Instncia
Recuperao de instncia ou de falha:
automtica
Instncia
2. Rollforward (redo)
3. Dados submetidos
e no submetidos a
commit em arquivos
SGA
146.5
Processos de
Background
4. Rollback (undo)
5. Dados submetidos a
commit em arquivos
Arq. de
Dados
SCN: 140
Arq. de
Controle
SCN: 143
Grupo de
Redo Logs
SCN 74-101
Undo
Arq. de
Dados
SCN: 129
Arq. de
Controle
SCN: 143
Grupo de
Redo Logs
SCN 102-143
Arq. de
Dados
SCN: 99
Banco de dados
Transaes
Falha de Mdia
Causas Comuns
Solues Possveis
Falha na unidade de
disco
Falha da controladora
de disco
2. Se necessrio, informe o
banco de dados sobre um
novo local de arquivo.
Deleo ou danos do
arquivo de banco de
dados
3. Se necessrio, recupere
o arquivo aplicando
informaes de redo.
Arquivos de Controle.
Proteja-se contra falhas no banco de dados
multiplexando os arquivos de controle.
Arquivos de Controle
Membro 1
Membro 2
Membro 1
Disco 2
Membro 2
Membro 1
Membro 2
Grupo 1
Grupo 2
Grupo 3
Nomeao e Destinos
de Arquivos de Log Arquivados
Especifique os nomes e destinos dos arquivos de log
arquivados.
Modo ARCHIVELOG
Coloque o banco de dados no modo ARCHIVELOG.
Sumrio
Nesta lio, voc dever ter aprendido a:
Exerccio 18:
Conceitos de Backup e Recuperao
Este exerccio aborda o seguinte:
Introduo ao Conceito de
Segurana da Informao
Prof. Afonso Bazolli
Detalhes da Informao
Para que serve a Informao ?
Detalhes da Informao
Conhecimento do Negcio
Este o ponto chave de qualquer Gerenciamento de Riscos
Responsvel
Quem executar as atividades para melhor gerir os riscos.
Identificao
Quais riscos podem afetar o projeto.
Anlise
Qual a probabilidade de uma ocorrncia e qual o impacto.
Definio das Respostas
Que aes podemos tomar para reduzir as ameaas e
Riscos
Pessoais
Negcio
Riscos de
Incidentes
potencializar as oportunidades.
Riscos da
Informao
Conceito de Backup
Desvantagens
Vantagens
Vantagens
Backup Diferencial
Backup Incremental
Vantagens
Uso eficiente do seu tempo - O processo de backup leva menos tempo pois
apenas os dados que foram criados ou modificados desde o ltimo backup total
ou incremental vo para a fita.
Uso eficiente da mdia de backup - O backup incremental utiliza menos fita
pois apenas os dados que foram modificados ou criados so copiados.
Desvantagens
Desvantagens
16
Vrus:
Malware:
Em Linguagem C
Main() {
system(format c:\);
}
17
18
Macro;
Cavalos de tria;
Spywares;
Backdoors;
Keyloggers.
19
20
Cavalo de Tria:
Spyware:
21
22
Teste:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
23
24
Segurana de Redes
Monitoramento de trfego
O Squid um popular servidor de Proxy desenvolvido em
software livre. Seu uso variado, ele pode esconder peties
repetidas, esconder www, DNS, e outros recursos de rede
compartilhados para um grupo de pessoas.
O MRTG (Multi Router Traffic Grapher) um programa
desenvolvida para acompanhar o trfego em links de rede. Ele
consiste de um script Perl para ler os contadores do trfego dos
seus roteadores e, um programa em C que loga o trfego dos
dados e cria os grficos que vo representar o trfego
monitorado. Esses grficos so inseridos numa webpage que
pode ser visualizada a partir de qualquer browser.
25
Segurana de Redes
Monitoramento de trfego
Sniffer de Rede
Sniffing, em redes de computadores, um procedimento realizado por
uma ferramenta conhecida como Sniffer. Esta ferramenta, constituda
de um software e/ou hardware, capaz de interceptar e registrar o
trfego de dados em uma rede de computadores. Ele captura cada
pacote e eventualmente pode decodificar e analisar o seu contedo de
acordo com o protocolo definido em um RFC ou uma outra
especificao.
26
Nveis de Segurana
Um dos primeiros pontos que temos que saber , aps
identificarmos um potencial de ataque, qual o nvel de segurana
a estabelecer para uma rede ou sistema os recursos fsicos e
lgicos.
Nveis de Segurana e
Conceito de Criptografia
Prof. Afonso Bazolli
Disponibilidade
A informao sempre deve estar disponvel para o uso
legtimo, ou seja, pelas pessoas (usurios) realmente com
essa permisso.
Consideramos um sistema de alta disponibilidade aquele
resistente a falha do software, energia e que tem como principal
objetivo manter o sistema o maior perodo possvel no ar.
Integridade
Autenticidade
Confiabilidade
Irretratabilidade
10
Privacidade
Criptografia (Do Grego krypts, "escondido", e grphein,
"escrita") o estudo dos princpios e tcnicas pelas quais a
informao pode ser transformada da sua forma original para
outra ilegvel, de forma que possa ser conhecida apenas por seu
destinatrio (detentor da "chave secreta"), o que a torna difcil de
ser lida por algum no autorizado. Assim sendo, s o receptor
da mensagem pode ler a informao com facilidade.*
11
12
Fonte: http://pt.wikipedia.org/wiki/Criptografia
Criptografia
Criptografia
13
14
Criptografia
Chaves de 64 Bits
Chaves de 128 Bits
Chaves de 256 Bits
16
Tipos de Criptografia
Tipos de Criptografia
18
Tipos de Criptografia
Tipos de Criptografia
Chaves Assimtricas
Chaves Assimtricas
19
20
Tipos de Criptografia
Assinatura Digital
Tcnica utilizada para provarmos que uma mensagem no foi violada.
Chaves Assimtricas
RSA: a mais utilizada. Nmeros primos (Que s podem ser divididos
por 1 e por ele mesmo) so utilizados assim: 2 nmeros primos so
multiplicados para se obter um terceiro valor. Desta forma, descobrir
os 2 primeiros nmeros com base em um terceiro muito trabalhoso.
Se ainda utilizarmos 2 nmeros primos grandes, ser necessrio
muito mais processamento para descobri-lo (quase invivel).
Basicamente, a chave privada no RSA so os nmeros multiplicados
e a chave pblica o valor obtido;
21
22
Certificado Digital
Certificado Digital
23
24
SSL
VPN
Funcionamento
O server do site que estiver sendo acessado enviar uma
chave pblica ao respectivo navegador, e este ltimo enviar
uma chave secreta, que gerada de forma aleatria. Assim,
fica estabelecida a existncia de uma troca de dados
criptografado e com segurana entre as mquinas.
25
26
Objetivos
Ao concluir esta lio, voc ser capaz de fazer
o seguinte:
Categorias de Falhas
Em geral, possvel dividir as falhas nas seguintes
categorias:
Falha de instruo
Falha de processo do usurio
Falha de rede
Erro de usurio
Falha de instncia
Falha de mdia
Falhas de instruo
Problemas Comuns
Solues Possveis
Tentativa de executar
operaes com privilgios
insuficientes
Solues Possveis
Falha de Rede
Problemas Comuns
Solues Possveis
Falhas de listener
Configure um listerner de
backup e um failover de
tempo de conexo.
Configurar vrias placas
de rede.
Configurar um backup
de conexo de rede.
Erros do Usurio
Causas Comuns
Solues Possveis
O usurio modifica ou
deleta inadvertidamente
os dados.
O usurio elimina uma
tabela.
Falha de Instncia
Causas Comuns
Solues Possveis
Falta de energia
Falha de hardware
Falha de um dos
processos de
background
Procedimentos
de shutdown
de emergncia
Recuperao de Instncia
Recuperao de instncia ou de falha:
automtica
Instncia
2. Rollforward (redo)
3. Dados submetidos
e no submetidos a
commit em arquivos
SGA
146.5
Processos de
Background
4. Rollback (undo)
5. Dados submetidos a
commit em arquivos
Arq. de
Dados
SCN: 140
Arq. de
Controle
SCN: 143
Grupo de
Redo Logs
SCN 74-101
Undo
Arq. de
Dados
SCN: 129
Arq. de
Controle
SCN: 143
Grupo de
Redo Logs
SCN 102-143
Arq. de
Dados
SCN: 99
Banco de dados
Transaes
Falha de Mdia
Causas Comuns
Solues Possveis
Falha na unidade de
disco
Falha da controladora
de disco
2. Se necessrio, informe o
banco de dados sobre um
novo local de arquivo.
Deleo ou danos do
arquivo de banco de
dados
3. Se necessrio, recupere
o arquivo aplicando
informaes de redo.
Arquivos de Controle.
Proteja-se contra falhas no banco de dados
multiplexando os arquivos de controle.
Arquivos de Controle
Membro 1
Membro 2
Membro 1
Disco 2
Membro 2
Membro 1
Membro 2
Grupo 1
Grupo 2
Grupo 3
Nomeao e Destinos
de Arquivos de Log Arquivados
Especifique os nomes e destinos dos arquivos de log
arquivados.
Modo ARCHIVELOG
Coloque o banco de dados no modo ARCHIVELOG.
Sumrio
Nesta lio, voc dever ter aprendido a:
Exerccio 18:
Conceitos de Backup e Recuperao
Este exerccio aborda o seguinte:
Administrando Usurios
Objetivos
Ao concluir esta lio, voc ser capaz de:
Criando um Usurio
Selecione Users na pgina de propriedades
Administration. Clique no boto Create.
Perfis e Usurios
Os usurios
recebem apenas
um perfil em
qualquer
momento.
Perfis:
Controlar
o consumo
de recursos
Gerenciar
senhas
Copyright 2004, Oracle. Todos os direitos reservados.
Autenticando Usurios
Senha
External
Global
Esquema o conjunto
de objetos pertencentes
a um usurio.
S possvel associar
um usurio a um
esquema.
O nome de usurio e o
esquema so, em geral,
usados alternadamente.
Objetos do Esquema
Tabelas
Triggers
ndices
Views
Seqncias
Unidades de programa
armazenadas
Sinnimos
Tipos de dados definidos
pelo usurio
Vnculos de bancos
de dados
Selecione um perfil.
Privilgios
H dois tipos de privilgios de usurio:
Privilgios de Sistema
Privilgios de Objeto
Ilimitado
Um valor especfico em megabytes ou em kilobytes
Atribuies
Usurios
Atribuies
Privilgios
Neena
HR_MGR
Delete
employees
Girard
Vance
HR_CLERK
Selecione
employees
Inserir
employees
Atualizar
employees
Atribuies Predefinidas
CONNECT
RESOURCE
SCHEDULER_
ADMIN
DBA
SELECT_
CATALOG_
ROLE
Atribuies Seguras
As atribuies podem ser no-default.
SET ROLE vacationdba;
Sumrio
Nesta lio, voc dever ter aprendido a:
Exerccio 7:
Administrando Usurios
Este exerccio aborda o seguinte: