Estado da arte do controle de acesso

Universidade Estácio de Sá
Pós-Graduação Segurança em Redes de Computadores

Estado da Arte do Controle de Acesso – Domínio A.11- ISO 27002

Diego dos Santos Souza
Igor Antonio
Leandro Alberto
Rafael Sampaio

Rio de Janeiro
2012

Universidade Estácio de Sá
Pós-Graduação Segurança em Redes de Computadores

Estado da Arte do Controle de Acesso – Domínio A.11- ISO 27002

Diego dos Santos Souza
Igor Antonio
Leandro Alberto
Rafael Sampaio

Trabalho apresentado em cumprimento à
disciplina, Práticas e Modelos de Segurança,
do curso de Pós-Graduação em Segurança de
Redes de Computadores, com pré-requisito
para aprovação da mesma.
Orientador, Profª Sheila de Góes Monteiro.

Rio de Janeiro
2012

RESUMO

De nada adiantaria um grande aparato de componentes tecnológicos para
incrementar a segurança de um ambiente se os mesmos não fossem regidos por uma
política de segurança. Dentro destas políticas de segurança existem certas áreas que
controlam a forma em que os dados devem ser acessados. Esta área é chamada de
controle de acesso. Apesar de parecer um tema simplório e de simples entendimento
geral do público, esta tem se tornado uma área de bastante atenção devido ás más
práticas de gerenciamento de controle de acesso. Um problema muito comum que causa
esta área ser tão crítica é o acúmulo errado de privilégios. Nesse artigo iremos mostrar
algumas tecnologias de controle de acesso.

Palavras-Chave: (Controle de Acesso, Sistemas de Segurança da Informação).

ABSTRACT

Optimization a large apparatus of technological components to increase the
security of an environment if they were not governed by a security policy. Within these
areas there are certain security policies that control the way in which the data should be
accessed. This area is called access control. Although it seems a simpleton theme simple
and general understanding of the public, this has become an area of much attention due
to the bad practices of access control management. A very common problem that causes
this area be so critical is the wrong accumulation of privileges. In this article we will
show some access control technologies.

Keywords: (access control, information security Systems)

Sumário
1.1 – Controle de Acesso - Biometria ............................................................................ 7
1.2 – Porque usar biometria? ........................................................................................ 8
1.3 – Tipos de identificação biométrica ........................................................................ 8
1.4 – Identificador por biométrica de mão ................................................................... 9
1.5 –Identificação por impressão digital ..................................................................... 10
1.6- Identificação pela leitura da Iris .......................................................................... 10
2. Propostas Tecnológicas ............................................................................................ 11
2.1 –Terminal biométrico WXS-B0210D .................................................................... 11
2.2 – Integração ............................................................................................................. 11
2.3 – Versatilidade ........................................................................................................ 12
2.4 – Alta confiabilidade............................................................................................... 12
2.5 – Projeto industrial ................................................................................................. 12
2.6 – Alto Desempenho ................................................................................................. 12
2.7– Fácil de instalar..................................................................................................... 12
2.8 – Modelo Biométrico .............................................................................................. 13
3. Software de Gestão ................................................................................................... 13
3.1 – O software ............................................................................................................ 13
3.2 – Especificações técnicas ........................................................................................ 13
3.3– Segurança .............................................................................................................. 14
3.4 – Controle de acesso ............................................................................................... 14
4. Resultados Obtidos ................................................................................................... 17
4.1 – Resultado .............................................................................................................. 17
4.2 – Conclusão ............................................................................................................. 17
Referências Bibliográficas ........................................................................................... 18

Lista de Figuras

1.1 – Biometria pela mão ............................................................................................09
1.2 – Impressão digital .................................................................................................10
1.3 – Leitura pela íris ...................................................................................................11
1.4 – Aparelho Biométrico............................................................................................13
1.5 – Software de gestão................................................................................................17
1.6 – Software de gestão................................................................................................17

7

1. Introdução
1.1 – Controle de Acesso - Biometria

Em segurança, especialmente segurança física, o termo controle de acesso
é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala,
apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através de
pessoas (um guarda, segurança ou recepcionista); através de meios mecânicos como
fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados
em cartões de acesso.
Na segurança da informação o controle de acesso é composto dos processos de
autenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso
pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto
(uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade
ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o
sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria
diz o que o usuário fez.
Dentro de controle de acesso existe a Biometria, é o que vamos abordar neste
artigo dando ênfase no que é e quais as tecnologias são usadas atualmente.
Em poucas palavras, Biometria (do grego Bios = vida, metron = medida) é o uso
de características biológicas em mecanismos de identificação. Entre essas características
tem-se a íris (parte colorida do olho), a retina (membrana interna do globo ocular), a
impressão digital, a voz, o formato do rosto e a geometria da mão. Há ainda algumas
características físicas que poderão ser usadas no futuro, como DNA
(DeoxyribonucleicAcid) e odores do corpo.
O uso de características biológicas para identificação se mostra como uma ideia
viável porque cada pessoa possui as características mencionadas diferentes das outras.
Por exemplo, não há ninguém com a voz igual, com a mesma impressão digital ou com
olhos exatamente idênticos, até mesmo entre irmãos gêmeos muito parecidos há
diferenças.

8

1.2 – Porque usar biometria?
Até os dias de hoje, uma das formas de identificação mais usadas é a
aplicação de senhas. Por exemplo, o acesso a um site de banco requer que o usuário
informe o número de sua agência, o número de sua conta e uma senha. Dependendo da
operação a ser feita, outra senha pode ser requerida.
Há também o uso de cartões com chips ou com dispositivos magnéticos
que permitem a identificação de um indivíduo através de uma simples leitura. Isso é
comum, por exemplo, em crachás ou em lugares cuja porta só se abre se o cartão lido
tiver privilégios para tal.

O grande problema desses métodos é que qualquer pessoa pode conseguir
a senha ou o cartão. Por exemplo, um funcionário pode esquecer seu crachá em cima de
uma mesa e outro pode capturá-lo para ter acesso a áreas proibidas. Uma pessoa pode
ser forçada por um assaltante a fornecer um cartão de banco e a senha de sua conta.
Neste caso, para o sistema bancário, o proprietário é que o estará acessando. Em
resumo, não há como garantir a exclusividade dessas informações de identificação
porque qualquer pessoa pode capturá-las.
Com a biometria, esse problema é extinto ou, pelo menos, amenizado.
Embora nada impeça os dispositivos de identificação biométrica de serem enganados, é
muito difícil copiar uma característica física e, dependendo do que é usado na
identificação, a cópia é impossível (como a íris do olho).

1.3 – Tipos de identificação biométrica

Existem várias características biológicas que podem ser usadas em um
processo de identificação. Vejamos as principais:

9

1.4 – Identificador por biométrica de mão

A foto abaixo mostra um dispositivo que faz identificação por meio de
geometria de mão. Seu funcionamento é simples: o indivíduo digita um número único
(número de funcionário, número de matrícula ou qualquer outro) e, em seguida,
posiciona sua mão em um painel. Este possui pinos que indicam onde cada dedo deve
ficar posicionado. Com isso, a posição da mão sempre vai ser a mesma e assim o
aparelho consegue medir sua geometria e comparar com os dados gravados em seu
banco de dados. Esse tipo de aparelho pode ser aplicado, por exemplo, em catracas e no
controle de abertura de portas. Alguns dispositivos aceitam o uso de cartões (como
crachás) ao invés da digitação de números, o que tem como vantagem a possibilidade do
usuário não ter que decorar uma combinação, e como desvantagem o risco de perda do
cartão;

Figura 1.1 – Biometria pela mão
Fonte: W-acess

Segundo Roberto sckovi, Analista de Segurança da W-acess:

“[...] A identificação criminal é o uso da tecnologia
biométrica para determinar a identidade de suspeitos, ou indivíduos
em aplicações de segurança pública. O principal papel da biometria é
identificar o indivíduo para que as funções da segurança pública
(investigações policiais, processos judiciais) possam ser conduzidas.
[...]”.

10

1.5 –Identificação por impressão digital

O aparelho visto abaixo funciona de maneira semelhante ao do tópico 1,
porém faz identificação por impressão digital ao invés de utilizar a geometria da mão.
Esse tipo de dispositivo também vem sendo usado como substituto de senhas. Por
exemplo, já existem soluções onde ao invés de digitar uma senha para acessar seu
computador de trabalho, o usuário posiciona seu dedo indicador em um leitor ligado à
máquina. Em estudo, encontra-se a possibilidade de se usar impressão digital no acesso
a sites e serviços na Web. Assim, se você tiver que acessar uma área restrita de Algum
site bastará usar um dispositivo leitor em seu computador que enviará os dados ao site.

Figura 1.2 – Impressão digital
Fonte: W-acess

1.6- Identificação pela leitura da Iris

A imagem abaixo é um teste que mostra um processo de identificação pela íris.
O indivíduo deve olhar de maneira fixa para um ponto do aparelho enquanto este faz a
leitura. Sua aplicação é comumente feita no controle de acesso a áreas restritas, pois se
trata de uma tecnologia cara para ser usada em larga escala. Uma das vantagens de seu
uso é que nem sempre o usuário precisa informar um número, pois a identificação pelo
olho costuma ser tão precisa que tal procedimento se faz desnecessário.

11

Figura 1.3 – Leitura pela íris
Fonte: W-acess

2. Propostas Tecnológicas
2.1 –Terminal biométrico WXS-B0210D

Depois de várias pesquisas encontramos softwares e tecnologias que fazem
bem o esse controle de acesso. Vamos citar abaixo especificações técnicas sobre este
software.
WXS-B0210D

2.2 – Integração
Em modo integrado, o WXS-B210 atua como um módulo de expansão do
gerenciador WXSC300 ou do gerenciador virtual. A comunicação é feita por meio de
rede TCP/IP.

12

2.3 – Versatilidade

Possui saída a relé, interface wiegand para leitora de saída, interface para
módulo biométrico de saída e entradas para botão de saída e sensor de porta.

2.4 – Alta confiabilidade
Com a adoção de componentes industriais, sensor ótico de excelente
qualidade além das técnicas de manufatura mais avançadas, temos um produto
totalmente confiável.

2.5 – Projeto industrial

Desde um projeto do circuito eletrônico com proteções contra surtos e
descargas elétricas, até componentes que suportam altas temperaturas, fazem do WXS-
B210 um produto de classe industrial.

2.6 – Alto Desempenho

Com a adoção do mundialmente famoso algoritmo ZKfinger e uma CPU
de 64 Bits, este controlador pode processar 500 templates em modo off-line em menos
de 1 segundo. Fácil de utilizar, confiável e preciso.

2.7– Fácil de instalar

O WXS-B210 é fácil de instalar e utilizar. Todas as ligações são similares
aos tradicionais controladores de acesso do mercado.

13

2.8 – Modelo Biométrico

Figura 1.4 – Aparelho Biométrico
Fonte: W-acess

3. Software de Gestão
3.1 – O software
O W-Access é um sistema que veio a suprir o mercado mundial com uma
solução extremamente adequada em termos de hardware e software. Este sistema foi
desenvolvido após 12 anos de experiência em implementações de diversos sistemas dos
mais variados fabricantes, o que possibilitou adquirir a experiência necessária para
projetar um sistema inovador, flexível e completo. Utilizando as tecnologias mais
modernas e contando com suporte técnico incomparável, este sistema que já nasceu
completo, permite diversas customizações para atender as mais diversas necessidades,
sendo que a equipe W-Access está sempre sintonizada com as novas tendências e
demandas do mercado brasileiro e mundial.

3.2 – Especificações técnicas

• Interface Web desenvolvida em ASP.NET AJAX
• Base de dados SQL Server 2005 ou SQL Express

14

• Até quatro idiomas selecionáveis por operador com ferramentas de tradução
integradas.
• Multi-site: controle automático de fuso-horário e horário de verão
• Relatórios completos, totalmente customizáveis, com exportação para diversos
formatos.

3.3– Segurança

• Administração completa e integrada de operadores e senhas
Horários e estações permitidos de login
• Complexidade e validade de senhas configuráveis
• Autenticação simultânea em mais de uma estação (selecionável)
• Perfis de acesso ao sistema ilimitado e detalhado
• Base de dados particionada, possibilitando o compartilhamento do sistema entre
diferentes clientes
• Auditoria completa das ações do operador

3.4 – Controle de acesso

• Permissões de acesso através de local e horário, com combinações ilimitadas
• Níveis de acesso temporários e feriados
• Ações que podem ser iniciadas a partir de eventos
• Formatos de cartões configuráveis
• 3 tipos de anti-passback, que podem impedir o acesso, gerar um alarme ou
ambos
• Contagem máxima e mínima de usuários em uma zona
• Impedir o acesso, gerar um alarme ou ambos.
• Contagem de marcações
• Número de refeições
• Escolta e acompanhante
• Controle de ronda
• Rastreamento de usuários
• Controle de ponto

15

3.5–Cadastros de usuários
• Cadastro com campos customizáveis
• Campos para busca rápida configuráveis por tipo de usuário
• Busca avançada de usuários com edição em lotes até quatro fotos por usuário
• Ferramenta de design integrada para lay-out da tela de cadastro
• Tela auxiliar de cadastro totalmente customizável
• Controle cadastral flexível: do mais simples ao mais rígido

3.6–O sistema pode controlar

• Visitantes, Funcionários, Contratados, Estagiários, Alunos, Sócios. Ativos,
Veículos, Empresas, Entrada e saída de materiais.
• Usuários e empresas com restrições de acesso (lista negra)
• Datas de validade de usuários e cartões, além de cartões provisórios
• Diferentes situações para controle de usuários (ativos, inativos, férias,
desligados, etc)

3.7–Supervisão
• Supervisão e controle de todos os dispositivos do sistema através de telas
gráficas customizáveis por ferramenta de design integrada
• Alarmes configuráveis em diversos níveis e individualmente para controladores,
leitoras, entradas, saídas e usuários
• Tela que permite o acompanhamento em tempo real de todas as transações de
cartões e eventos do sistema
• Tela de alarmes em tempo real com registro de reconhecimento e diversos níveis
de prioridade
• Configuração de envio de e-mails em caso de eventos ou alarmes

3.8–Supervisão

Permite integração com sistemas de terceiros, como softwares ERP, sistemas de
CFTV e outros.

16

Figura 1.5 – Software de gestão Biométrico
Fonte: W-acess

Figura 1.6 – Software de gestão Biométrico
Fonte: W-acess

17

4. Resultados Obtidos

4.1 – Resultado
Essa pesquisa nos resulta em um trabalho que demostra uma tecnologia
avançada voltada para biometria. Visamos mostrar uma de muitas propostas
tecnológicas que podem ser uteis para muitas organizações.

4.2 – Conclusão
Neste artigo apresentamos uma de muitas tecnologias relacionadas a controle de
acesso e biometria, podemos observar a importância que se tem nesse domínio da ISO
27002 são necessários às organizações se conscientizarem ao máximo quanto à questão
da segurança da informação e investir nas tecnologias que ajudam a manter as
informações seguras.
Essa pesquisa tem a intenção de apresentar umas das tecnologias mais usadas
em todo o mundo e o avanço da mesma. É necessário o interesse das organizações
buscarem cada vez mais o que existe em termos top de linha no mercado e
implementarem da forma correta assim podendo mitigar os riscos existentes, assim
tornando as organizações cada vez menos vulneráveis.

18

Referências Bibliográficas

[1] IBG Professional Services
https://ibgweb.com/sites/default/files/IBG%20Overview.pdf

< Página visitada em 16/11/2012>

[2] National Science & Technology Council Subcommittee on Biometrics
Documentation
http://www.biometrics.org/publications.php


[3] Controle de Acesso W- Access
http://www.w-access.com/controle-de-acesso-detalhe.php


[4] YURI DIOGENES - Daniel Mauser
Certificação Security+ - Da Prática ao Exame SY0-301
Página consultada nº 237
Número de Páginas: 416 - ISBN: 978-85-61893-03-3

Estado da arte do controle de acesso

Mais conteúdo relacionado

Semelhante a Estado da arte do controle de acesso

Mais de Diego Souza

Estado da arte do controle de acesso