copyright © atech 2004 Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 -...
17
copyright © atech 2004 Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7318 - Fax: (011) 3040.7400 Sistemas de Informação para a Gestão da Saúde
Transcript of copyright © atech 2004 Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 -...
copyright © atech 2004
Fundação Aplicações de Tecnologias Críticas - AtechRua do Rocio, 313 - 11º andar
04552-000 - Vila Olímpia -São Paulo/SPTel.: (011) 3040.7318 - Fax: (011) 3040.7400
Sistemas de Informaçãopara a Gestão da Saúde
copyright © atech 2004
SCAI-Sistema de Controlede Acesso para os
Requisitos da Saúde
Aldisney Martins1 – Fundação Atech/Vidatis
Einar Saukas2 – Summa Technologies
Juliano Zanardo3 - Fundação Atech/Vidatis
1,3Atech / Vidatis - Sistemas de Informação em Saúde,2Summa Technologies
copyright © atech 2004
A Realidade
Firewalls não são infalíveis40% das quebras de segurança na Internet ocorrem em sites protegidos por Firewalls.
A maioria das quebras de segurança são provocadas por HackersPerda dos dados e roubo de informações.
Criptografia não dá toda a segurança necessáriaA maioria dos algorítimos já foram quebrados.
Tecnologia ajuda, mas…
É necessário definir processos metodológicos e uma boa política de segurança.
copyright © atech 2004
SBIS-CFM
“Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.”
ICP - provê um sistema de identificação em que cada usuário, servidor ou sistema recebe um certificado digital.
copyright © atech 2004
Princípios da Segurança
Autenticação - Processo pelo qual a identidade de uma entidade é verificada
Autorização - Associar uma identidade a uma lista de direitos, privilégios, ou áreas de acesso
Controle de Acesso- Garantir que usuários não autorizados serão mandados embora
Confidencialidade- Proteger informações sensíveis de forma que estas não sejam vistas indiscriminadamente
Integridade- Assegurar que recursos ou dados não sejam alterados por entidades não autorizadas
Não repudiação- Quando não se pode negar a autenticidade de um documento, a sua assinatura ou o seu envio
Disponibilidade- Legitimar que os usuários tenham acesso quando necessitarem
copyright © atech 2004
Requisitos Comuns
• Módulo de Gerenciamento de usuários, grupos,
perfis e permissões
• Autenticação
• Autorização
• Criptografia “Função de Hashing”
• Geração de menus dinâmicos
• Restrição de acesso por permissão
copyright © atech 2004
Requisitos Críticos para Saúde
•Controle de Sessão do Usuário •(data e hora, IP, empresa, aplicativo,…)
•Monitoração
•Auditoria
•Senhas que expiram automaticamente
•Gerenciamente por Delegação Hierárquica
•Suporte a Autenticação via cartão SUS
•Certificados Digitais •Chaves públicas (cifra) e privadas (decifra)
copyright © atech 2004
Papéis Hierárquicos
• Modelo adotado no InCor/HCFMUSP• Hierarquia de papéis (herança de permissões)• Regras conflitantes: ganha ou perde permissão?• Controle de Alçada: perfis restritos por ocupações• Resolução de conflitos
autorizacao = < perfil, tipo-privilegio, operacao, tipo-autorizacao >
(+ / -) (Forte / Fraca)
copyright © atech 2004
O que é o SCAI?
• Sistema de Controle de Acesso Integrado
• Solução multi-plataforma (100% Java)• Ferramentas open-source e gratuitas
• Segurança de Aplicações na Internet em Ambiente
Distribuído
• Acesso x Confidencialidade
• Suporte a gerência de grande número de usuários
• Baseado nas normas de segurança da SBIS.
copyright © atech 2004
Visao Geral
copyright © atech 2004
Visão Conceitual
Usuário
Grupo
Permissão
Autorização
Aplicativo
Perfil
OcupaçãoEmpresa
Alçada
copyright © atech 2004
Principais Módulos
• Web Filter
Validar as regras de acesso a páginas web
• EJB Filter
2o Nível de segurança, valida regras de acesso aos métodos
• API
Utilizada pelas aplicações, para controles mais específicos
• Log
Armazenamento de informações de execução da aplicação
• Módulo de Gerenciamento
Interface web para configuração e monitoração de todas as aplicações integradas ao SCAI.
copyright © atech 2004
Arquitetura
Servlet
WebFilter
Web Layer
Database
API / LOG
EJ B Layer
Servlets
JSPs
JavaBeansJavaBeansEJBs
EJ BFilter
copyright © atech 2004
Login
copyright © atech 2004
Módulo Administrativo
copyright © atech 2004
Utilização do SCAI
Sistemas da Secretaria Municipal de
Saúde de São Paulo
(Agendamento, Regulação, APAC, CNS e outros)
700 Estabelecimentos (atendem SUS)
40 mil profissionais de saúde
40 mil consultas/dia
5 milhões de procedimentos
ambulatoriais por mês
Sistemas da Secretaria Municipal de
Saúde de São Paulo
(Agendamento, Regulação, APAC, CNS e outros)
700 Estabelecimentos (atendem SUS)
40 mil profissionais de saúde
40 mil consultas/dia
5 milhões de procedimentos
ambulatoriais por mês
copyright © atech 2004
Fundação Aplicações de Tecnologias Críticas - AtechRua do Rocio, 313 - 11º andar
04552-000 - Vila Olímpia -São Paulo/SPTel.: (011) 3040.7300 - Fax: (011) 3040.7400
