ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
Conceitos BáSicos Sobre SegurançA Parte 4
1. http://olinux.uol.com.br/artigos/320/print_preview.html
Conceitos Básicos sobre Segurança - Parte IV
Por: Elias Barenboim ( 17/05/2001 )
Conceitos Básicos
O intuito desse artigo é prover as informações relativas a segurança voltadas ao administrador e não ao
usuário final. Em futuros artigos enfocaremos este ponto, mas nada impede a leitura deste por qualquer
pessoa. Um dos mais comuns guias básicos, para se começar a fazer a segurança de uma rede, são os
seguintes passos :
Identificar o que você esta tentando proteger
Identificar contra quem está se protegendo
Como as ameaças se caracterizam
Implementar medidas no qual protejam seus recursos através de um custo/benefício satisfatório
Fazer uma revisão do processo continuamente e correções cada vez que uma vulnerabilidade for
detectada
Tudo costuma girar em torno de implementar medidas no qual protejam seus recursos através de um bom
custo/benefício, mas os outros procedimentos não devem ser esquecidos de forma alguma.
É importante salientar que é indispensável que você responda essas perguntas. Fica muito complicado
determinar políticas e técnicas de segurança que reduzam os riscos sem essas informações(preferencialmente
isso deve ser feito antes de qualquer implementação bruta).
Existe uma idéia em relação a segurança que diz que: "O custo de proteger você, contra a ameaça, deve ser
menor que o custo de recuperar caso algo realmente se concretize contra você". Custo nesse caso quer dizer
dinheiro gasto com isso, reputação, confiança de terceiros, além de outros menos visíveis. Ressaltando, sem o
conhecimentos dos passos posteriores fica difícil seguir alguma regra pré-determinada e obter sucesso.
Avaliação de Risco
Uma das mais importantes razões para criar uma política de segurança e análise de rendimento, é assegurar
que os esforços gastos com a segurança trará benefícios efetivos a organização. Embora isso possa parecer
óbvio, às vezes pode se tornar obscuro, onde o esforço é gasto em questões secundárias.
A análise de risco determina o que você precisa proteger, de quem e como. É o processo de análise de todos
os riscos e classificação por grau de importância. Esse processo envolve uma análise de custo/benefício em
relação ao que você precisa proteger.
Duas coisas se tornam claramente necessárias de se fazer nesta tarefa de esboço de criação de uma política
de segurança :
Identificar os recursos
Identificar as ameaças
Cada recursos deve ser visto, com os objetivos básicos de segurança. Eles são : disponibilidade,
confidenciabilidade e integridade ( caso não tenha entendido, releia artigos anteriores ).
Identificando os recursos
Como dito anteriormente, é fundamental identificar todos os recursos que devem ser protegidos. Alguns são
bastante naturais e outros nem tanto. Inicialmente devemos fazer uma lista com todos que achamos
relevantes, tanto os concretos(que se pode tocar) como as abstratos(não se pode pegar) .
É importante, posteriormente a esta fase, identificar o grau de importância do "bem". Isso é feito
1 de 2 06-12-2009 12:46
2. http://olinux.uol.com.br/artigos/320/print_preview.html
identificando qual será o custo caso aconteça uma perda ou danificação, seja o gasto em rendimento de
produtividade, tempo, e custo para reparar ou substituir.
Hardware: processador, placa mãe, teclado, terminal, impressora, disco, etc
Software: programa fonte, códigoobjeto, utilitário, diagnóstico, etc
Dados: durante a execução, gravação online, programas, sistemas operacionais e programas de
comunicação
Pessoal: usuários, administradores e mantenedores do hardware.
Documentação: dos programas, hardware, sistemas e tarefas de administração.
Suprimentos: papéis, formulários, fitas e tinta
Identificando as ameaças
É também muito interessante poder identificar, para escolhido um determinado recurso, quais ameaças são
possíveis(e quais você quer se proteger).
As ameaças então podem ser examinadas e mediante a isso, determinar qual a probabilidade de perda
realmente existe no sistema. As seguintes ameaças são as clássicas, já comentadas em artigos
anteriores(dependendo de sua rede, essas ameaças podem ser diminuidas, trocadas ou acrescentadas).
Acesso não autorizados a recursos e/ou informações
Divulgação de informações não autorizadas
Negação de Serviços(Denial of service)
Bibliografia
Vale salientar que essa bibliografia serve para um estudo mais aprofundado do que foi falado por aqui.
CERT
RFC (2196)
Practical Unix & Internet Security
Continuem mandando emails e utilizem nossos fóruns !
Até a próxima,
Elias Bareinboim
Copyright (C) 1999-2000 Linux Solutions
2 de 2 06-12-2009 12:46