bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q

5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com

http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 1/66

BC-1523 - Segurança de DadosBC-1523 - Segurança de Dados

Aula 01Aula 01Apresentação da disciplinaApresentação da disciplina

Introdução a Segurança de dadosIntrodução a Segurança de dados

Elaborada: Carlos Alberto Kamienski

Adaptações: Marcelo Zanchetta do Nascimento

c o n f i d e

n c i a l i d

a d e

i n t e g

r i d a d e

disponibilidade

dadose

serviços



2

RoteiroRoteiro

Apresentação:

Motivação

Objetivos

Apresentação

Programa

Avaliação

CronogramaRegras de comportamento

Introdução a Segurança de dados:



3

Apresentação da disciplinaApresentação da disciplina



MotivaçãoMotivação

Ataques na Internet tem sido cada vez mais frequentes e sofisticados=> quantidade de estratégia e conhecimento requerido tem decaido.




Po r q ue e s t á o

co r re ndo u m

a u me n to no

n ú me ro de a

t a q ue s ? ? ?

Aumento na complexidade:

– Protocolos;

– Aplicações

–

Internet




Estimativa de prejuizo causado por vários tipos de ataques devido abaixa segurança dos sistemas computacionais.



Objetivo GeralObjetivo Geral

Visão geral sobre segurança, para que oaluno saiba como prevenir, defender eresolver incidentes de segurança

Do ponto de vista de um profissional de segurança

Alerta: não é um curso para hackers!

A maneira como as informações serão utilizadas é deresponsabilidade de cada aluno



Objetivos EspecíficosObjetivos Específicos

Compreender os principais riscos evulnerabilidades de segurança;Conhecer as normas, procedimentos e

políticas para gerenciamento de segurança dainformação;

Conhecer os principais aplicativos relacionadoscom segurança;

Conhecer os principais problemas e soluções nodesenvolvimento de aplicações seguras;

Utilizar ferramentas de segurança de dados.



Objetivos EspecíficosObjetivos Específicos

Explorar conceitos básicos, princípios emecanismos de segurança de dados.

Conceitos básicos de segurança

CriptografiaAutenticação

Controle de acesso

IPsecFirewall



EmentaEmenta

Introdução e MotivaçãoPolíticas e normas de segurança da informação

Sistemas de Gestão de Segurança da Informação

Ferramentas, Vulnerabilidades e Ataques

Códigos maliciosos (malware), programas de varredura (scanners),Quebradores (crackers) de senhas; “Farejadores" (sniffers)

Firewalls, proxies e NATs (middleboxes)

Ferramentas de log e auditoriaDetecção de vulnerabilidades

Segurança no Desenvolvimento de Aplicações

Demonstração e práticas com ferramentas de segurança.



MetodologiaMetodologia

Aulas expositivas e demonstrativas (professor)Apresentações com PowerPoint e quadro

Demonstrações de softwares

Apresentação de sites

Aulas práticas / Relatórios Técnicos (professor e alunos)Ferramentas e técnicas usadas por hackers

Ferramentas e técnicas de proteção

Seminário (alunos)

Tema relacionado a segurança

Pesquisa constante

Pesquisa de livros, sites, técnicas, ferramentas, incidentes, etc.

Preparação de resumos

Discussão em aula



Cada disciplina na UFABC é representada por três algarismos: T – P – I. Para a disciplina BC-1523, temos:

T: 3h - Número de horas semanais de aulas expositivas

presenciais da disciplina (Teóricas);

P: 1h – Número de horas semanais de trabalho de laboratório,aulas práticas ou de aulas de exercícios, realizadas em sala de

aula (Práticas);

I: 4h - Estimativa de horas semanais adicionais de trabalhonecessárias para o bom aproveitamento da disciplina (estudos etrabalhos Individuais).

CréditosCréditos



A: desempenho excepcional, demonstrando excelentecompreensão da disciplina

B: bom desempenho, demonstrando capacidade boa de uso

dos conceitos da disciplina

C: desempenho adequado, demonstrando capacidade de uso

dos conceitos da disciplina e capacidade para seguir em

estudos mais avançados

D: aproveitamento mínimo dos conceitos da disciplina, comfamiliaridade parcial do assunto, mas demonstrando

deficiências que exigem trabalho adicional para prosseguir em

estudos avançados

ConceitosConceitos



F: reprovado. A disciplina deve ser cursada novamente paraa obtenção de crédito

O: reprovado por falta. A disciplina deve ser cursadanovamente para a obtenção de crédito

I: incompleto. Indica que uma pequena parte dosrequerimentos do curso precisa ser completada

T: disciplinas equivalentes cursadas em outras escolas eadmitidas pela UFABC

ConceitosConceitos



15

oOs alunos serão considerados “adultos”:

oEntrar e sair da sala freqüentemente não é permitido

oChegar no final da aula é desencorajado

oManifestações excessivamente efusivas (barulhentas)sobre assuntos não pertinentes à aula são dispensadas

oDurante as explicações recomenda-se o silêncio

oEspera-se iniciativa e responsabilidade na execuçãoiniciativa e responsabilidade na execução dastarefas

oEspero dedicação a disciplina

Regras de comportamentoRegras de comportamento



16

Uso do Laboratório:

Não é permitido comer ou beber no laboratório

Os equipamentos devem ser preservados

Celular: por favor, desligue ou ative o modo silenciosodurante as aulas

Regras de comportamentoRegras de comportamento



17

Aulas: BLOCO BQuinta-feira: 21-23 h – L604 (Bloco B)

Divisão

Teórica: 3 horas

Prática: 1 horas

Laboratório: Sala 409-2 (Bloco A – Torre CMCC)

•

Terça-feira: 19-21 h

ATENÇÃO: Existem horários disponíveis para eventuaisreposições?

HoráriosHorários



18

AvaliaçõesAvaliações

1. Provas

2. Seminário

3. Aula prática – Relatório Técnico

4. Mini-atividades

Resumos e discussões em aula

Mini-testes

Práticas

Avaliação subjetiva (Presença em aula e Participaçãoem aula)



19

Calendário de avaliações:Calendário de avaliações:

♦ Provas: 22/03 (P1) e 26/04 (P2)

AvaliaçõesAvaliações

2 Prova dissertativa (Peso = 70%) Prova substitutiva Engloba todos os itens do programa da disciplina

Só para quem perdeu uma prova

Relatório de Atividades em Laboratório

Seminários: Os tópicos serão tratados nos próximos slides(Peso = 30%)



20

Critérios de avaliação

Relatórios e atividades•Será permitido uma definição da equipe de trabalho (máximo02 alunos).

•

Colaboração: Você pode discutir as atividades com outroscolegas. Porém, os códigos ou documentos devem ser deautoria própria. Cópia de código ou documento de outrosestudantes não serão tolerados.

•

Os relatórios que apresentarem sinais de cópia de trabalhosde outros alunos, independente de tratarem-se do originalou da cópia (Conceito F).



21


Relatórios e atividades:•Modelo: disponível na Aba da disciplina – aula 00 modelosde documentos.

•Atraso na submissão: Uma atividade ou relatório

submetido:

• em até 24 horas após a data de entrega serádecrementado um conceito,

• após 48 horas da data de entrega não será maisaceito e será atribuído o conceito F.



22

Seminário:•Quando tratar-se de seminários o trabalho deverá serentregue seguindo o modelo (obedecendo às normas dametodologia científica).

•A apresentação (slide) deverá ser entregue na forma digital juntamente com trabalho escrito (artigo).

•Só serão aceitos os trabalhos na data prevista.

•Será permitido a definição da equipe de trabalho (máximo03 alunos).

•Os modelos estão disponíveis no tidia-ae




23

Seminário:•Os seminários deverão ser divididos entre os alunos de cadagrupo;

• Os temas de seminário serão fornecidos pelo professor;

•Todos os membros devem apresentar uma parte do trabalho:

• O conceito final para cada estudante do grupo de seminário emgrupo poderá ser diferente;

• Duração miníma: 50 minutos;

• Lembre-se o conceito final dessa etapa é composto do documento eapresentação.

• Lembre-se esse material será utilizados por todos para a segundaavaliação.




24

SeminárioSeminárioTópicos: Algoritmos de criptografia:

– 1 - Criptografia de chave pública (G1) – 2 - Função hash (G2) – Data 29/03

Segurança em Banco de Dados (G3): – Requisitos de segurança, – controle de acesso e autenticação – Criptografia em Banco de dados – Data: 05/04



25

SeminárioSeminário

Tópicos: Segurança em Sistemas Operacionais (G4): – Métodos de proteção, – Proteção de memória e endereçamento – Controle de acesso – Mecanismo de proteção de arquivos – Autenticação e Sistema confiável – Data: 05/04

Linux e Windows (G5) – Modelo de segurança ou arquitetura – Vulnerabilidade, – Segurança em arquivos – Controle de acesso, – Serviço de criptografia – Data: 12/04



26

SeminárioSeminárioTópicos: Segurança em redes (G6):

– Email – PGP – S/MINE –

Arquitetura SSL – Segurança na camada de transporte – IPsec – IKE (Internet Key Exchange) – Data: 12/04



27

Cronograma (preliminar)Cronograma (preliminar)Semana Terça-feita Quinta -feira

1 07/02 - Apresentação e introdução

a segurança de dados

09/02 – Introdução a segurança de

dados / criptografia

2 14/02 – Vulnerabilidade de

programas - Prática1:

Vulnerabilidade Set-UID

16/02 - Criptografia

3 21/02 - Feriado 23/02 - Criptografia

4 28/02 – Criptografia – Prática2:

Algoritmos de criptografia

01/03 – Autenticação de usuário

5 06/03 – Redes- Prática3: Sniffer 08/03 – Autenticação de usuário

6 13/03 – Programação segura 15/03 – Programação segura

7 20/03 - Programação segura

Pratica4: Buffer overflow

22/03 – Prova 1



28

Cronograma (preliminar)Cronograma (preliminar)Seman

a

8 27/03 – Redes de computadores e

Firewall - Redes/vpn

29/03 – Seminários- G1 e G2

9 03/04 – Gerenciamento baseado em

politicas

05/04 – Seminários – G3 e G4

10 10/04 - Redes: varredura de portas

Pratica5: nmap

12/04- Seminários – G5 e G6

11 17/04 – Linux -firewall

Laboratorio6: Iptable

19/04 – Certificação de segurança e

normas ISO (27001 e 27002)

12 24/04 – Softwares maliciosos 26/04 – Prova 2

13 03/05 - Prova - Sub



29

Referências básicas:Referências básicas:

Stallings, W., Brown, L. ComputerSecurity: Principles and Practice, ed.Prentice Hall, ISBN-13:9780136004240

Stallings, W. Criptografia e segurançade redes – Princípios e Práticas, 4

edição, ed Prentice Hall - ISBN8576051192



30

Referência complementar:Referência complementar:

Charlie Kaufman, Radia Perlman, and MikeSpeciner, Network Security: PrivateCommunication in a Public World, 2nd Edition,Prentice Hall, ISBN: 0-13-046019-2.

Charles P. Pfleeger and Shari L. Pfleeger.Security in Computing (3 nd edition). Prentice-

Hall. 2003. ISBN: 0-13-035548-8.

Referências: Páginas naReferências: Páginas na



31

Referências: Páginas naReferências: Páginas naInternetInternet

http://www.cert.org/CERT® Coordination Center (CERT/CC) , localizado na SEI (SoftwareEngineering Institute) da Universidade Carnegie Mellon

http://www.securityfocus.com/Importante centro de segurança da informação da Internet

“o mais abrangente e confiável” (segundo ele mesmo)http://slashdot.org/

Site pra hackers e nerdshttp://csrc.nist.gov/

NIST Computer Security Division

http://www.first.org/Forum of Incident Response na Security Teamshttp://isc.sans.org/

Internet Storm Centerhttp://www.intrusions.org/

Incident Detections, Honeypots and Incident Handling Resources

Referências: Páginas noReferências: Páginas no



32

Referências: Páginas noReferências: Páginas noBrasilBrasil

http://www.modulo.com.br/Empresa brasileira com muita experiência em produtos eserviços

http://www.cais.rnp.br/

Centro de Atendimento de Incidentes de Segurança da RNPhttp://www.cert.br/

CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Segurança no Brasil



33

Referências: FerramentasReferências: Ferramentas

http://www.wireshark.com/Wireshark: A Network Protocol Analyzer

http://nmap.orgNmap Security Scanner

http://www.nessus.orgNessus: The Network Vulnerability Scanner

http://www.snort.orgSnort: Network Intrusion Prevention and Detection System(IDS/IPS)

http://www.netfilter.org/projects/iptables

iptables: configuration of packet filter rules (firewall)http://www.openwall.com/john/John the Ripper password cracker

http://www.gnupg.org/GNU Privacy Guard; encrypt and sign data and communication

ó



34

Ferramenta: LaboratórioFerramenta: Laboratório

Laboratório do projeto SEED

Este laboratório foi desenvolvido noprojeto SEED da Universidade deSyracuse com o apoio da National ScienceFoundation (NSF).

O objetivo do projeto SEED é desenvolverum ambiente de laboratório e exercíciospara o ensino de segurança dos dados emsistemas computacionais.

Os experimentos de laboratório foramfornecidos pelo Dr. Wenliang Du daUniversidade de Syracuse.

ó



35

Ferramenta: LaboratórioFerramenta: Laboratório

Cadastro no sistema tidia-ae: http://ae.ufabc.edu.br

Vmware:

Verificar e instalar o vmware player para execução damáquina virtual SEED

Máquina virtual disponível com o professor ou direto pelosite do Vmware:

–

http://www.vmware.com/products/player/. – No Linux:

– sudo sh VMware-Player-4.0.0-471780.x86_64.bundle

http://www.vmware.com/products/player/

http://www.vmware.com/products/player/



36

Introdução a Segurança deIntrodução a Segurança deDadosDados

fO i ifi ?



37

O que significa segurança ?O que significa segurança ?

Como podemos proteger os nossos bens valiosos? Bancos?

Antigamente: os bancos mantinham grandes quantidades dedinheiro em mão, bem como ouro e prata, que não pudiam ser

rastreados. Comunicações e transportes eram primitivas

Hoje:proteção de ativos é mais fácil, com muitos fatorestrabalhando contra o criminoso.

–

Exemplo: sistemas de alarme e câmera - as técnicas de investigaçãocriminal tornaram-se tão eficaz que uma pessoa pode ser identificado pormaterial genético (DNA), as impressões digitais, os padrões da retina, voz,etc.

A ti vos: Dados - Informação

D fi i ãD fi i ã



38

Definição:Definição:

O National Institute of Standards and Technology (NIST)

Computer Security Handbook define o termo Segurança de

dados:

Proteção a um sistema de informação automatizado, a fim de

atingir os objetivos aplicáveis de preservar a integridade,

disponibilidade e confidencialidade das fontes de informação do

sistema (inclui hardware, software, firmware,

informações/dados e de telecomunicações).

A l i P V lA l i P t V l



39

Analogia: Proteger ValoresAnalogia: Proteger Valores•

Em computação, busca-se proteger dados, ou seja, criarmecanismos de segurança para um sistema computacionalgarantido.

• Analogia:

– Bancos – pode-se aprender muito com a forma como se protege osobjetos de valor.

• Exemplo: Tamanho e portabilidade:

– Banco: Locais que armazenam dinheiro são grandes e nem todos são

portáteis com muitos níveis de segurança física para proteger o dinheiro.

– Sistema: Os dispositivos físicos em computação podem ser tão pequenasque permite milhares de dólares (sistemas) serem confortavelmentetransportados em uma maleta.

A l i P t V lA l i P t V l



40

Analogia: Proteger ValoresAnalogia: Proteger Valores• Analogia:

– Bancos – pode-se aprender muito com a forma como se protege osobjetos de valor.

• Exemplo: Ativos:

– Banco: alto

– Sistema: Variável (muito alta até muito baixa).

• Algumas informações, como histórico médico, pagamentos deimpostos, investimentos, ou formação educacional, é confidencial.

• Outras informações, sobre as estratégias de vendas, padrões decompra, pode ser desprezíveis .

• Ainda outras informações, como endereço e número de telefone, podeser de nenhuma consequência e facilmente acessível por outros meios.

Ti d i f ãTi d i f ã



41

Tipo de informaçãoTipo de informação

Pública – informação que pode vir a público sem maioresconsequências danosas ao funcionamento normal da empresa;

Interna – o acesso a esse tipo de informação deve ser evitado,embora as consequências do uso não autorizado não sejam por

demais sérias;Confidencial – informação restrita aos limites da empresa, cujadivulgação ou perda pode levar a desequilíbrio operacional, eeventualmente, perdas financeiras;

Secreta – informação crítica para as atividades da empresa,cuja integridade deve ser preservada a qualquer custo e cujoacesso deve ser restrito a um número bastante reduzido depessoas.

O f tO f t



42

Os fatoresOs fatores

Falta de consciência das ameaças e riscos do sistema deinformação:

As medidas de segurança muitas vezes não são considerados atéque um Empresa é invadida por usuários mal-intencionados;

Políticas de rede

Muitos sites permitem acessos sem controle

A grande maioria do tráfego da rede não é criptografado

O tráfego de rede pode ser monitorado e captura

Ameaças, vulnerabilidade eAmeaças, vulnerabilidade e



43

Ameaças, vulnerabilidade eç ,controlescontroles

Vulnerabilidade Fraqueza no sistema de segurança que pode ser explorado para

causar perda ou dano Exemplo: nenhuma autenticação para acesso aos dados

Ameaça Um conjunto de circunstâncias que tem o potencial para causar

perda ou dano Riscos: a possibilidade de ameaça de causar danos

Controle Uma medida de proteção Uma ação, procedimento, técnica que remove ou reduz uma

vulnerabilidade

Ameaças, vulnerabilidade eAmeaças, vulnerabilidade e



44

m ç ,ç ,controlescontroles

Uma parede está segurando a água. O que pode acontecer com o homem?

Uma ameaça é bloqueada pelo controle de

vulnerabilidade

Ameaças a segurançaAmeaças a segurança



45

Ameaças a segurançaAmeaças a segurança

Acesso nãoautorizado:

Cópias ilegais deProgramas ou escutas

Perda de umarquivo:

Destruição dehardware

Modificação

Não autorizada:Mudança do

Banco de dados

Criação não

autorizada:adiciona umRegistro no BD

Interceptação Interrupção

Modificação Fabricação

As ameaças pode ser vistas de 4 formas

Oportunidades



46

OportunidadesUm atacante deve ter três coisas:

– Método: as competências, conhecimentos, ferramentas eoutras coisas com o qual é capaz de obter sucesso noataque

– Oportunidade: o tempo e acesso para realizar o ataque

– Motivo: uma razão para querer executar este ataquecontra o sistema

(Pense na sigla "MOM".)

Negar qualquer uma dessas três coisas pode permitir que o

ataque não ocorrerá. No entanto, não é fácil controlá-los

Exemplo: Mercado de sistemas (como a Microsoft ou a Appleou sistemas operacionais Unix) disponibilizam informaçõesdos aplicativos.

Sistema Seguro



47

Sistema SeguroConfiabilidade (Secrecy)

–

A informação somente pode ser acessada por pessoasexplicitamente autorizadas; é a proteção de sistemas deinformação para impedir que pessoas não autorizadastenham acesso ao mesmo.

Integridade

– A informação deve ser restaurada em sua forma originalno momento em que foi armazenada.

Disponibilidade – A informação ou sistema de computador deve estar

disponível no momento em que a mesma for necessária;

Desafio: para um sistema seguro é necessário encontrar umDesafio: para um sistema seguro é necessário encontrar umcerto equilibrio entre esses objetivos, o qual frequentemente écerto equilibrio entre esses objetivos, o qual frequentemente é

conflitanteconflitante

Relação entre os objetivos



48

jde segurança

(Confiabilidade)

IntegridadeDisponibilidade

Os 3 objetivospode ser independente,

pode se sobrepor e podeser multuamente

exclusivo

Seguro

Exemplo: Aplicaçãoi l



49

p pcomercial

Confiabilidade - O empregado não deve saber osalário do empresário;

Integridade - Um funcionário não deve ser capazde modificar o próprio salário;

Disponibilidade - Os pagamentos deverão seremitidos a qualquer momento conformeestipulado por lei

Exemplo: Aplicação militar



50

Exemplo: Aplicação militar

Confiabilidade - As coordenadas do alvo de ummíssil não deve ser indevidamente divulgados

Integridade - As coordenadas de um míssil não

deve ser modificado indevidamente

Disponibilidade - Quando o comando apropriado éenviado o míssil deve ser disparado

Vulnerabilidades de sistemas



51

computacionais

A t i v o

s

Vulnerabilidades de sistemas



52

computacionais

Vulnerabilidades de sistemasi i



53

computacionais

Software:

Confiabilidade – uma cópia não autorizada dosoftware é realizada

Integridade – um programa é modificado paracausar falha durante execução

Disponibilidade – programas são apagados, assimcomo acesso negado.

Dados ? ?

Vulnerabilidades de sistemast i i



54

computacionaisHardware – Que tipo de ataques podemos ter?Os computadores portáteis são mais vulneráveis, porque eles sãoprojetados para serem fáceis de transporta

Software -Pode ser substituído, alterado, destruído, modificado, excluídoou extraviado acidentalmente. Se intencional ou não, essesataques exploram vulnerabilidades do software.

Exemplo: Um empregado de um banco percebeu que softwaretrunca o interesse fracionada em cada conta, ou seja, se os jurosmensais em uma conta é calculada em 14,5467 reais, o softwarecreditava apenas R$ 14,54 e ignorava os 0,0067. (modificou oaplicativo permitindo receber o (0,0067) em sua própria conta.

Crimes computacionais



55

Amadores –

Pessoas normais que descobrem ter acesso a “algo” valioso – Costuma ser principal fonte para crimes computacionais

Crackers

– Pessoas que “Quebram” a segurança de um sistema com

objetivos ilegaisProfissionais criminosos

– Profissionais em computação ou grupo envolvidos em crimescomputacionais

– Spam, phishing emails (falso) /websites, blackmail, crimes decartão de crédito, …

– Atualmente, um dos principais fonte de crimes decomputação

Crackers =! Hackers

Objetivos de segurança



56

jPolíticas de segurança — Quais?

Mecanismo de segurança (controle) — Como?Garantia de Segurança — Como assim?

Objetivos de segurança



57

Políticas de segurança — Quais?

Taxinomia de ataques incidentes em rede e computadores

Políticas de segurança



58

g ç

Política da organização Política de automação deSistema de informação

Envolvem todos os controles da organização,manuais e automatizados, que afetam as

atividades dos SI!

Mecanismo de segurança



59

g çPrevenção — controle de acesso

Detecção— auditoria e detecção de intrusosTolerância — prática

Mecanismo de segurança



60

Mecanismo de segurança implementa funções que ajuda a

prevenção , detecção e resposta para possíveis ataquesPrevenção é fundamental

– Detecção busca previnir ameaças de ação punitiva

– Detecção busca auditar e proteger de alterações

As vezes a detecção é apenas uma opção,

– Uso de autorização de previlegios

– Modificação de mensagem em uma rede

Funções de segurança são normalmente disponibilizados paraos usuários como um conjunto de serviços de segurançaatravés de APIs ou interfaces integradas

Criptografia é fundamental para (quase) todos os mecanismos

de segurança

g ç

Mecanismo de segurança(Controles)



61

(Controles)Criptografia

Software de controle

– Exemplo: Controles de sistemas operacionais

Hardware de controle

– Exemplo: firewalls

Políticas e procedimentos

– Exemplo: requer frequentes mudanças de senha deacesso

Controle físico

– Exemplo: guardas e portas trancadas

Eficiência dos controles



62

Consciência do problema –

Profissionais que usam mecanismos de controle devemestar convicto de sua necessidade para segurança

Probabilidade de uso – Controles devem ser eficients, fáceis de usar e

apropriado para o problema

Sobreposição de controles – Poucos controles são permanentemente eficients – Avaliar a eficiência do controel é uma tarefa contínua

• Revisões periodicas – Combinação de controles para solucionar uma simples

vulnerabilidade• Camadas de defesa

Garantia da segurança



63

Com que eficiência o seu mecanismo de segurança

garante a política determinada?

Todos busca ter alta garantia

Mas alta garantia implica e elevação de custo

– Talvez isso não seja possível

Escolhas são necessárias

Leituras Sugeridas



64

Stallings, W., Brown, L. Computer

Security: Principles and Practice, ed.Prentice Hall, ISBN-13:9780136004240.

Charles P. Pfleeger and Shari L.Pfleeger. Security in Computing (3 ndedition). Prentice-Hall. 2003. ISBN:0-13-035548-8.

BC 1523BC 1523



BC-1523BC-1523

Segurança de DadosSegurança de Dados

c o n f i d

e n c i a l i d

a d e

i n t e g

r i d a d e

disponibilidade

dadose

serviços

ISO 27001ISO 27001 ISO 27002ISO 27002

Questões



66

1- Diferencie: vulnerabilidade, ameaça e controle.

2-Em relação aos ativos de um sistema computacional podemoscategorizar hardware, software, dados, linha de comunicação e redesde computadores. Descreva os elementos em relação aos conceitos deintegridade, confiabilidade e disponibilidade.

3-Roubo normalmente resulta em algum tipo de dano. Por exemplo, sealguém rouba o seu carro, você pode sofrer perdas financeiras,inconveniente (por perder o seu modo de transporte), e distúrbiosemocionais (por causa da invasão de sua propriedade pessoal eespaço). Liste três tipos de danos que uma empresa pode ter de roubode equipamento informática.

4-Dê um exemplo de uma situação em que um compromisso deconfiabilidade conduz a um compromisso de integridade.

5–Relacione e defina resumidamente as categorias de serviço de

segurança

bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q

Documents

Transcript of bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q