O documento descreve um planejamento de segurança para um website, incluindo testes de vulnerabilidade e desempenho, além de detalhes sobre o sistema operacional, serviços, frameworks e ferramentas que serão utilizados, como OpenBSD, PHP, Apache, MySQL, Joomla e adequações para acessibilidade e padrões e-GOV.

2. Levantamento Inicial
- Website Performance and Optimization Test (http://www.webpagetest.org/)
- Avaliador de Acessibilidade E-MAG (Extensão Google Chrome - eScanner)
- Scan de Vulnerabilidades Web (Acunetix Web Vulnerability Scanner)
- SEO, Mídia Social, Otimização de Rede Móvel e Usabilidade (http://www.woorank.com/pt/)
- Cross Browser Compatibility e Cross Platform Browser Test (http://browsershots.org/)
- Análise de Performance (http://gtmetrix.com/)
- Application Load Testing (https://loader.io)
- Load Impact On Demand (http://loadimpact.com/)

3. Levantamento Inicial
- Pesquisa de aplicações úteis locais dos servidores web, homologações, lixos e banco de
dados.
- Scan de Vulnerabilidades (OpenVAS)
- Navegação nos portais e comentando com possíveis inadequação W3C + e-GOV.
- Documentação atual para histórico.
- Catálogo das últimas invasões e pesquisa forense dos incidentes ocorridos.

4. Planejamento
Sistema Operacional - OpenBSD - Características do Projeto
● Foi pensado por muitos profissionais de segurança para ser o sistema operacional mais seguro
da família UNIX.
● Integra uma tecnologia de ponta em segurança, adequado para a criação de firewalls e serviços
de redes privados em um ambiente distribuído.
● Beneficia um forte encaminhamento de desenvolvimento em diversas áreas, oferecendo
oportunidades de trabalho de diversas tecnologias para a comunidade internacional de
programadores e usuários finais.
● Oferece a oportunidade de qualquer pessoa tecnicamente capacitada trabalhar no
desenvolvimento e testes de produtos.

5. Honeypot é uma ferramenta que tem a função de
propositalmente simular falhas de segurança de um
sistema e colher informações sobre o invasor. É um
espécie de armadilha para invasores.
Honeypots de pesquisa: acumular o máximo de
informações dos Invasores e suas ferramentas.
Baixa Interatividade : Serviços Falsos – Listener
TCP/UDP – Respostas Falsas.

6. Planejamento
Serviços - PHP 5.5.10 Estável + Suhosin
Suhosin é um módulo avançado de proteção para servidores de aplicação rodando PHP, e foi
desenvolvido para proteger tanto os servidores como os próprios desenvolvedores de
vulnerabilidades que podem estar presentes nas aplicações desenvolvidas utilizando a plataforma e
no próprio core do PHP.
Um dos recursos mais interessantes deste módulo é a encriptação transparente de cookies e
dados de sessão, evitando inúmeros ataques de “session hijacking” muito comuns hoje em dia na
internet. O módulo também realiza inúmeros tipos de filtragem de dados em tempo real, evitando
ataques “DOS”, “SQL Injection” e a execução de scripts maliciosos no servidor.

7. Planejamento
APACHE
Para garantir segurança nas transações HTTP, o servidor dispõe de um módulo chamado mod_ssl, o
qual adiciona a capacidade do servidor atender requisições utilizando o protocolo HTTPS. Este
protocolo utiliza uma camada SSL para criptografar todos os dados transferidos entre o cliente e o
servidor, provendo maior grau de segurança, confidencialidade e confiabilidade dos dados. A camada
SSL é compatível com certificados X.509, que são os certificados digitais fornecidos e assinados por
grandes entidades certificadoras no mundo.
MySQL
Fácil integração com o PHP, quase que obrigatoriamente, nos pacotes de hospedagem de sites da
Internet oferecidos atualmente. Empresas como Yahoo! Finance, MP3.com, Motorola, NASA, Silicon
Graphics e Texas Instruments usam o MySQL em aplicações de missão crítica.
A Wikipédia é um exemplo de utilização do MySQL em sites de grande audiência.

8. Planejamento
JOOMLA!
O Joomla vem sendo amplamente utilizado, e com muito sucesso, por entidades sérias que buscam
um alto grau de segurança de dados e informações, prova e exemplo disso é do Exército Brasileiro
que possui mais de duzentos sites desenvolvidos em Joomla e quer institucionalizar a ferramenta
para suportar suas operações e a tornar padrão para uso na Força Terrestre através do seu Centro
de Desenvolvimento de Sistemas, o CDS, dados esses apresentados em uma das palestras do
Joomla! Day Brasil 2012, por Ivânio Rosa, Subtenente do Exército competente da área.
O projeto Identidade Digital de Governo busca padronizar os portais dos órgãos públicos federais e
alinhar as informações para otimizar a comunicação com o cidadão. Os órgãos têm à disposição a
estrutura do Portal Padrão que reúne o que há de mais adequado em soluções digitais de
acessibilidade e de divulgação de informações nos mais variados formatos.
A Secretaria de Comunicação da Presidência - SECOM desenvolve atualmente pacotes
padronizados em PLONE, JOOMLA e DRUPAL.

9. Implementações
- Monitoramento de Disponibilidade (uptimeROBOT nos serviços http)
- Monitoramento do Google Analytics (https://www.google.com/analytics)
- Pesquisa de adequação e-GOV nos CMS de Software Livre.
- e-PING (PADRÕES DE INTEROPERABILIDADE) Definição do novo servidor web, Sistema
Operacional, Serviços, Hardening e Administração.
- e-MAG (MODELO DE ACESSIBILIDADE) Adequação do CMS com as recomendações e-GOV.
- e-PWG (ADMINISTRAÇÃO, CODIFICAÇÃO, REDAÇÃO WEB E USABILIDADE) Correção de
artigos publicados e padronização dos novos artigos.

10. Adequações
Padrões Nativos do JOOMLA!
As configurações de layout permitem
gerenciar o posicionamento de
diferentes partes por blocos.
Estrutura Responsiva
Definem que dispositivos os widgets
ou módulos ocupam toda a largura ou
empilham verticalmente.

11. URL escalável
por categoria
e facilitado
para
mapeamento
em sistemas
de buscas.
Menus com
ícones
vetoriais,
mouse_over
contrastante
e rolamento
do menu em
todo o site.

12. Módulos
ativos com
automação de
conteúdo e
animações
crossbrowser Sistema de
busca
inteligente,
exite os
principais
itens em
tempo real.

13. Extensões
interativas e
vínculos com
as principais
ferramentas
sociais.
Adequação de
acessibilidade.
(W3C + e-
GOV)
Conteúdo
disponibilizado
de acordo com
o usuário final.
(Google
Analytics)

14. Core do
sistema já
automatizado
para busca
de
atualizações
do Joomla e
suas
extensões.
Organização
dos níveis e
privilégios de
usuários.
Classificação
por categoria
dos artigos.
Interface
intuitiva para
novos
usuários.

15. Controle de
conteúdo por
Nível de
acesso, Idioma,
ID, Estado de
publicação,
Categorização,
Filtros de
exibição e
Edições.
Editores de
Textos
WYSIWYG:
O documento,
enquanto
manipulado na
tela de
administração,
terá a mesma
aparência de
sua utilização
pelo usuário
final.

16. Após o padrão
e-GOV
definido, todos
os outros
portais
seguirão a
infraestrutura
proposta. No caso da
intranet,
podemos
incluir níveis
de acesso
para que
externamente
todos possam
acompanhar
informações
ao se
autenticar no
site.

17. Inclusão de
todas as
ferramentas
operacionais
na intranet.
Planejamento
de novas
extensões de
interatividade
na intranet.
Adequação de
conteúdos em:
- Administração
- Codificação
- Redação web
- Usabilidade

18. Outros Projetos
Implementação de ferramentas opensource
que agilizará os processos, documentações,
interatividades, usabilidade e padronização e-
GOV.