As decises relacionadas com a segurana que voc faz, como administrador , em grande parte determina como seguro ou inseguro a sua rede , quanto a funcionalidade da sua rede, e como fcil a sua rede de usar. No entanto, voc no pode fazer boas decises sobre segurana, sem antes determinar quais so seus objetivos de segurana. At que voc determinar quais so seus objetivos de segurana, voc no pode fazer uso efetivo de qualquer coleo de ferramentas de segurana, porque voc simplesmente no sabe o que verificar se h e quais restries a impor. Por exemplo, seus objetivos provavelmente sero muito diferente dos objetivos de um fornecedor do produto. Os fornecedores esto tentando fazer configurao e operao de seus produtos o mais simples possvel, o que implica que as configuraes padres, muitas vezes, so mais abertas (ou seja , inseguras ).
Enquanto isto faz com que seja mais fcil de instalar novos produtos, mas tambm deixa o acesso queles sistemas e outros sistemas atravs deles, aberto a qualquer usurio. Seus objetivos sero , em grande parte determinados pelos seguintes compromissos fundamentais: 1. Servios oferecidos versus segurana - Cada servio oferecido aos usurios carrega seus prprios riscos de segurana. Para alguns servios o risco supera o benefcio do servio e o administrador pode optar por eliminar o servio em vez de tentar prend-lo.
2. Facilidade de utilizao versus segurana -O sistema mais fcil de usar que permite o acesso a qualquer usurio e no necessita de senhas ; isto , no haveria segurana. Exigir senhas torna o sistema um pouco menos conveniente, mas mais seguro . Exigir senhas de uso nico gerada pelo dispositivo torna o sistema ainda mais difcil de usar, mas muito mais seguro. 3. custo da segurana contra risco de perda. - H muitos custos diferentes para segurana (ou seja, o custo de aquisio de hardware e software de segurana, como firewalls e um tempo de geradores de senha ), o desempenho (ou seja , a criptografia e descriptografia levar tempo ) , e facilidade de utilizao ( como mencionado acima ) . H tambm muitos nveis de risco : perda de privacidade (ou seja, o a leitura de informaes por pessoas no autorizadas ), perda de de dados (isto , os danos ou o apagamento de informao), e a perda de servio (por exemplo, o enchimento do espao de armazenamento de dados, o uso de recursos computacionais , e negao de acesso rede ). cada tipo de custo deve ser pesado contra cada tipo de perda. Seus objetivos devem ser comunicados a todos os usurios, a equipe de operaes e gerentes atravs de um conjunto de regras de segurana , chamada de "poltica de segurana". Ns estamos usando esse termo, ao invs do mais estreito "poltica de segurana do computador", j que o escopo inclui todos tipos de tecnologias de informao e as informaes armazenados e manipulados pela tecnologia .
Poltica de Segurana Polticas de alto nvel so afirmaes gerais de gesto de inteno. As polticas so geralmente obrigatrias; no entanto, algumas polticas ou recomendaes so fortes e outras so informativas. A poltica deve ser aplicada em toda a organizao em um forma consistente e fornecer uma referncia para os trabalhadores em a conduo de suas atividades cotidianas. A poltica fornece proteo de responsabilidade para uma organizao e sua gerncia. Polticas esto no topo da hierarquia de polticas, normas, diretrizes, linhas de base, e procedimentos.
Declarao Poltica De Gesto A declarao de poltica da alta administrao define o tom e orientao para os padres, diretrizes, linhas de base e os procedimentos a serem seguidos pela organizao. para uma poltica de segurana, esta declarao declara a importncia de garantir as redes e recursos de computao de comprometimento da organizao, da administrao a segurana do sistema de informaes, e autorizao para o desenvolvimento de normas, procedimentos, e diretrizes.
Polticas de Assessoria Mesmo que as polticas so geralmente consideradas obrigatrias, as polticas de segurana de assessoria so recomendaes fortes. Estas polticas recomendam cursos de ao. A poltica consultiva pode fornecer orientaes quanto sua aplicao e indicar as circunstncias onde ele pode no ser o caso, por exemplo, durante uma emergncia. As Polticas Regulatrias As polticas regulatrias tm como objetivo garantir que uma organizao implementa a procedimentos padres e melhores prticas de sua indstria . Estas polticas se aplicam a instituies como bancos, seguradoras , empresas de investimento, utilitrios pblicas e assim por diante. Polticas Informativas Polticas informativas fornecem, informaes e , em geral, no requerem nenhuma ao pelos indivduos afetados. Uma poltica informativa, no entanto, pode proibir e especificar penalidades para determinadas atividades, como o download de material censurvel em um computador da organizao. A poltica seria, portanto, informa o usurio do actividades e as consequncias resultantes da prtica dessas atividades proibidas .
Tipos de polticas do governo dos EUA O NIST fornece orientao na rea de sistema de informao e segurana de rede polticas para as agncias governamentais. NIST divide as polticas de segurana de sistema de computador em trs categorias : Regulamentos do programa so declaraes centrados em computador de uma organizao e um programa de segurana da rede. polticas especficas - esto preocupados com os aspectos tcnicos de um determinado computador , rede ou tipo de dispositivo. polticas especficas do incidente se concentram em situaes especficas no- tcnicas, estratgicas base . Um exemplo de uma poltica especfica do problema seria directivas relativas a utilizao no licenciada de pacotes de software. Normas, Diretrizes, Procedimentos e Linhas de Base Normas, diretrizes , procedimentos e linhas de base fluir a partir da poltica de alto nvel declaraes e servem para realizar a poltica de alto nvel . Padres so obrigatrios e geralmente se referem a hardware e / ou software especfico. Por exemplo , uma organizao pode especificar um sistema operacional padro ou plataforma padro que deve ser usado por todos os seus funcionrios. empregando normas, uma organizao pode implementar controles de segurana de forma eficaz para a empresa. Diretrizes so sugestes para o pessoal da organizao sobre como efetivamente proteger suas redes e computadores. Diretrizes proporcionam flexibilidade e permitem que os usurios a implementar controles de segurana em mais de uma maneira. Elas tambm podem ser usadas para garantir que as medidas de segurana importantes no sejam esquecidas . Procedimentos so passos obrigatrios, detalhados a serem seguidos para realizar tarefas especficas . As actividades de passo-a - passo de um procedimento descrito em servir para implementar a declarao de mais alto nvel da poltica, normas e diretrizes. Exemplos de procedimentos so aqueles utilizados na preparao de novas contas de usurio ou atribuio de privilgios. As linhas de base so semelhantes aos padres e representam um nvel de implementao de controles de segurana que fornece proteo que equivalente proteco disponvel para outras entidades de referncia semelhantes. A linha de base de controle deve ser aplicada de forma consistente em toda a organizao, e fornece a base para desenvolvimento das arquiteturas de computadores e segurana da rede. A linha de base nvel de proteo obrigatrio e pode ser usado para desenvolver o necessrio de normas de segurana do sistema de informao.
Sensibilizao para a Segurana A alta administrao tem a obrigao de garantir que os funcionrios de uma organizao esto cientes de suas responsabilidades na proteo de computadores e redes da organizao. Da mesma forma , os funcionrios devem ser diligentes em sua hbitos e trabalho todos os dias, abraar as boas prticas de segurana do sistema de informao. Conscientizao de segurana refere-se conscincia coletiva de uma organizao de empregados relativos a controlos de segurana e sua aplicao para a proteo das informao crtica e sensvel da organizao. Sensibilizao para a segurana do funcionrio pode ter um impacto significativo na deteco de fraudes , reduzindo - actividades no autorizadas relacionadas com a rede, e impedindo o comprometimento da segurana em geral. Trabalhadores encontrados em violao da poltica de segurana devem ser emitidos um aviso , ser repreendidos , ou , em casos extremos, demitidos por comprometer computador da organizao ou a segurana da rede. Conscincia de segurana pode tambm ser reforado atravs de boletins , informativos, incentivos, reconhecimento e lembretes em forma de banners de log - , palestras e vdeos.
Treinamento. O treinamento uma ferramenta que pode aumentar a sensibilizao para a segurana dos funcionrios e capacidades na identificao , elaborao de relatrios e manipulao de compromissos de confidencialidade , integridade e disponibilidade de sistemas de informao.
Gerenciamento da Configurao O gerenciamento de configurao o processo de acompanhamento e aprovao de alteraes a um sistema. Trata-se de identificar, controlar e auditar todas as alteraes feitas ao sistema . Ela pode lidar com mudanas de hardware e software, mudanas de rede , ou qualquer outra alterao que afecte a segurana. O gerenciamento de configurao tambm pode ser usada para proteger um sistema de confiana enquanto ela est sendo projetada e desenvolvida . O objetivo do gerenciamento de configurao de segurana assegurar que mudar o sistema e no acidentalmente diminuir a segurana. Por exemplo, a configurao de gesto pode impedir que uma verso mais antiga de um sistema seja ativada como o sistema de produo. O gerenciamento de configurao tambm torna possvel com preciso reverter para uma verso anterior de um sistema em caso de um novo sistema encontrado estar com defeito. Outro objetivo do gerenciamento de configurao garantir que alteraes do sistema so refletidas na documentao atual para ajudar a mitigar o impacto que uma mudana pode ter sobre a segurana de outros . O gerenciamento de configurao uma disciplina a aplicao tcnica e administrativa para fazer o seguinte : Identificar e documentar as caractersticas funcionais e fsicas de cada item de configurao para o sistema Gerenciar todas as alteraes a estas caractersticas Registrar e relatar o status do processamento e implementao da mudana O gerenciamento de configurao envolve o monitoramento de processos, controle de verso, informaes captura, controle de qualidade, contabilidade, e uma estrutura organizacional para apoiar essas atividades.
Principais Funes De Gerenciamento De Configurao As principais funes de gerenciamento de configurao ou de controle de mudanas so as seguintes: Para garantir que a mudana implementada de uma forma ordenada e formalizada Para garantir que a base de usurios informado da mudana iminente Para analisar o efeito da mudana no sistema aps a implementao Para reduzir o impacto negativo que a mudana poderia ter tido sobre a computao de servios e recursos
Continuidade de Negcios e Planejamento de Recuperao de Desastres Planejamento de continuidade de negcios aborda a preservao do negcio em face de grandes rupturas para as operaes normais. Continuidade de negcios inclui a preparao , testes e atualizao das aes necessrias para proteger processos de negcios crticos contra os efeitos de grandes falhas do sistema e da rede. Um evento perturbador qualquer ocorrncia , intencional ou no , que suspende as operaes normais . O objetivo do planejamento de continuidade de negcios o de minimizar o efeitos de um evento perturbador em uma empresa. O principal objetivo da continuidade do negcio planos reduzir o risco de perda financeira e aumentar a capacidade de uma empresa para recuperar de um acontecimento perturbador prontamente .
Planejamento de recuperao dos desastres preocupado com a restaurao do funcionamento do negcio de sistemas de informao na sequncia de um evento danoso . As definies a seguir esclarecer algumas das terminologias relevantes : plano de contingncia, plano organizado documentado para emergncias e respostas , as operaes de backup e recuperao mantido por uma atividade como parte do seu programa de segurana que ir garantir a disponibilidade de recursos crticos e facilita a continuidade das operaes em situao de emergncia . plano de recuperao de desastres, O plano e os procedimentos que tm sido desenvolvidos para se recuperar de um desastre que tem interferido com a rede e outro operaes do sistema de informao. Planos de Continuidade das operaes, Os planos e procedimentos documentados para garantir operaes crticas continuaram durante todo o perodo em que as operaes normais o impossveis. plano de continuidade de Negcios, O plano e os procedimentos desenvolvidos para identificar e priorizar as funes crticas de negcios que devem ser preservadas e procedimentos associados de operaes continuadas daqueles negcios crticos.
Planejamento de recuperao dos desastres Planejamento de recuperao dos desastres est preocupado com a proteo dos processos de negcios crticos contra os efeitos de grandes falhas do sistema de informao e de rede, por rapidamente se recuperando de uma emergncia com um mnimo impacto para a organizao. metas Um plano de recuperao de desastres uma declarao abrangente de aes consistentes para ser feita antes , durante e depois de um evento de ruptura que causa uma perda significativa de recursos de sistemas de informao. Planos de recuperao de desastres so os procedimentos para responder a uma emergncia , fornecendo as operaes de backup durante a interrupo Outro objetivo de um plano de recuperao fornecer a capacidade de implementar processos crticos em um local alternativo e retorno para o site principal e processamento normal dentro de um prazo que minimiza a perda para a organizao.
Segurana Fsica Segurana fsica preocupa-se com a proteco do pessoal, informaes confidenciais, instalaes e equipamentos atravs do uso de controles fsicos. Salvaguardas tal como cercas, iluminao, ces de guarda, a biometria para identificao, circuito fechado de televiso, e dispositivos de bloqueio fsico so exemplos de medidas de controle fsicas. Para proteger a confidencialidade, integridade e disponibilidade das redes e associado sistemas de informao, os controles so aplicadas de acordo com as consideraes de custo e melhores prticas.
Controles Controles em segurana fsica pode ser dividida em fsica, tcnica e administrativa. Estes tipos de controles se complementam na prestao eficaz da segurana da rede. Os controlos fsicos Os controlos fsicos so os tipos mais conhecidos de controles. Eles costumam controlar o acesso e envolvem itens tradicionais de dissuaso , como guardas , iluminao , cercas, movimento detectores, e assim por diante. Estes tipos de controles esto listados a seguir : Guardas - Guardas pode aplicar o julgamento humano para interpretar apresentaes de sensores alm de fornecer capacidades de dissuaso , de resposta e controle. Ces -Ces so usados principalmente para o controle fsico de permetro. Esgrima - Esgrima o principal meio de permetro / instalaes de fronteira controle de acesso. Cercas impedir invaso ocasional , controlando o acesso a entradas. Mantrap -A armadilha um mtodo de controle de acesso fsico onde a entrada a uma instalao ou a rea encaminhado atravs de um conjunto de portas duplas . Uma porta deve ser fechado para a prxima porta para abrir. Ele pode ou no ser acompanhada por um guarda . iluminao Lighting- Proteo de entradas ou reas de estacionamento pode desencorajar prowlers ou intrusos casuais. Os tipos comuns de iluminao incluem refletores , postes , luzes de Fresnel , e holofotes . Locks - Locks podem ser divididos em dois tipos: predefinidos e programveis. fechaduras predefinidos fechaduras - chave predefinidas incluem -in- maaneta, encaixe e fechaduras de sobrepor . Todos estes consistem em variaes de trincos , cilindros e parafusos mortos . Estes bloqueios programveis os podem ser mecanicamente ou eletronicamente. Um bloqueio programvel mecnica muitas vezes um mostrador tpico fechamento de combinao. Outro tipo de bloqueio programvel mecnica a comum de cinco tecla de bloqueio de boto de presso que requer que o usurio digite uma combinao de nmeros . Este um bloqueio muito popular para centros de operaes de TI . Um bloqueio programvel eletrnico exige que o usurio digite um padro de digitos no teclado numrico de estilo , e pode exibir a dgitos em ordem aleatria de cada vez para evitar ombro surf para entrada padres. tambm conhecido como um bloqueio de cifra ou de controlo de acesso do teclado . dispositivos de circuito fechado de vigilncia ou de gravao Visual- televiso como circuito fechado de televiso so utilizados em conjunto com guardas de forma a reforar a sua capacidade de vigilncia e para registrar eventos para anlise futura ou acusao.
Os detectores de intruso perimetral: dois tipos mais comuns de detectores de permetro baseiam-se em sensores fotoeltricos ou contato seco interruptores. sensores pticos sensores fotoeltricos - receber um feixe de luz a partir de um dispositivo emissor de luz, criando uma grelha de luz branca, quer visveis, ou luz infravermelha invisvel. Um alarme ativado quando as vigas esto quebrados. chaves de contato de contato seca e fita seca so provavelmente a maior parte dos tipos mais comuns de deteco de permetro . Este pode consistir em metlico fita de alumnio nas janelas ou interruptores de contato de metal em aros . controles PC fsicas: Devido proliferao de computao distribuda e, particularmente , laptops , controle de estoque para PCs crtica. Controles que abordar esta questo incluem o seguinte: travas de um cabo de bloqueio de cabo composto por um cabo de ao revestido de vinil ancorando o PC ou perifricos para a mesa. Eles muitas vezes consistem em parafuso kits , fechaduras slot, e armadilhas de cabos. controles de porta controles porturios so dispositivos que as portas de dados seguros (tais como uma unidade de disquete ou uma porta serial ou paralela) e impedir a sua utilizao . A Chave de controle do interruptor uma cobertura para o interruptor on / off , que impede que um usurio desligar o poder do servidor de arquivos. controles Peripheral tipos de controles so bloqueveis interruptores que impedem um teclado de ser usado .
controles tcnicos Controles tcnicos complementar controles fsicos e administrativos e so tipicamente utilizado em instalaes de alta segurana . Exemplos de controles tcnicos so cartes inteligentes e dispositivos biomtricos. smart Cards Um carto inteligente utilizado para controle de acesso tambm chamado de um carto de acesso de segurana. este carto compreende os seguintes tipos : Photo- imagem cartes cartes - Foto - imagem so os cartes de identificao simples, com a foto do portador para a identificao. cartes digitalmente codificados contm chips ou tiras codificadas magneticamente (possivelmente em adio a uma foto do portador). O leitor de carto pode ser programado para aceitar ou recusar a entrada com base em um controle de acesso on-line computador que tambm pode fornecer informaes sobre a data e a hora de entrada . Estes cartes tambm podem ser capazes de criar agrupamentos de acesso multi-nvel. Leitores de proximidade sem fio: no requer que o usurio inserir fisicamente o carto de acesso. Este carto pode tambm ser referido como um fio carto de segurana . O leitor de carto detecta o carto em posse de um usurio em a rea geral ( de proximidade) e permite o acesso. Os dispositivos biomtricos Dispositivos de controle de acesso biomtrico so aplicaes tcnicas em segurana fsica. As tecnologias biomtricas pode ser utilizada para a identificao ou autenticao. A seguir, so caractersticas biomtricas tpicas usadas para identificar ou autenticar um indivduo : Fingerprints Scans Retina scans Iris scans faciais palma scans A geometria da mo voz dinmica assinatura manuscrita
Os controles administrativos Os controles administrativos esto relacionados com pessoal e questes de facilidade. incluem procedimentos de emergncia , controle de pessoal , planejamento e implementao de polticas. Os controles administrativos so compostos das seguintes opes: controles administrativos de pessoal planejamento Facilidade gesto de segurana Facilidade Controles administrativos de pessoal Controles administrativos de pessoal incluem processos de pessoal relacionadas comumente aplicadas durante a contratao de funcionrios e demisso . Exemplos destes controlos incluem o seguinte : de triagem pr -emprego, incluindo o emprego , referncias, ou educacional cheques de histria e investigao de antecedentes ou de classificao de crdito verifica sensvel posies cheques de funcionrios em curso , tais como autorizaes de segurana , geradas somente se o empregado ter acesso aos documentos classificados , e as classificaes de funcionrios ou avaliaes de seu supervisor procedimentos ps-emprego, tais como entrevistas de sada, a remoo de rede acesso e troca de senhas, e devoluo de equipamentos da empresa, incluindo a meios magnticos, documentos e computador aps o trmino
Controle de Acesso
Controlar o acesso a uma rede e seus associados recursos a pedra angular da segurana da rede. Em ambiente de computao distribuda de hoje, onde grande quantidades de poder computacional e de propriedade intelectual sensvel residir em mesas individuais , controle de acesso fundamental para qualquer organizao.
Modelos de controle O controle de acesso projetado para reduzir as vulnerabilidades relacionadas ao acesso que pode ser explorada por ameaas a uma rede. A ameaa um evento ou uma actividade que tem o potencial para causar danos na rede. Neste caso, a ameaa teria potencial para contornar ou mecanismos de controle de acesso e permitir que um invasor obter acesso no autorizado a uma rede. A vulnerabilidade uma fraqueza que pode ser explorada por uma ameaa, causando danos rede . A probabilidade de que uma ameaa vai materializar e resultar em danos rede definida como de risco.
Modelos de controle de acesso pode ser classificado como discricionrio , obrigatrio, e no discricionria . Controle de acesso discricionrio Uma entidade oramental ou o sujeito tem a autoridade, dentro de certos limitaes , para especificar os objetos que podem ser acessados. Um meio de especificar o controle de acesso discricionria atarves uma tabela
Um usurio que tem o direito de alterar os privilgios de acesso a determinados objetos opera sob o controle de acesso discricionrio dirigido pelo usurio. Outro controle de acesso discricionrio tipo com base na identidade de um indivduo conhecido como controle de acesso baseado em identidade .
Controle de acesso obrigatrio No controle de acesso obrigatrio , os meios devem ser encontrados para corresponder formalmente as autorizaes atribuda ao sujeito sensibilidade dos objectos que so o alvo do pedido de acesso. Uma abordagem a utilizao de rtulos . A autorizao do assunto pode estar na forma de uma folga que para ser comparado com a classificao do objeto. Nos Estados Unidos , os militares classifica os documentos como no classificada , confidencial, secreto, e top secret . De modo semelhante , um indivduo pode receber uma recarga de acesso confidencial , secreto ou ultra-secreto , e pode ter osdocumentos classificados no ou abaixo de seu nvel de folga especificada. Assim, um indivduo com uma folga segredo pode acessar documentos secretos e confidenciais , mas com uma restrio chamada precisa saber. Precisa saber significa que o sujeito deve ter a necessidade de acessar o solicitado documento classificado para executar suas funes. Acesso baseado em regras um tipo de controle de acesso obrigatrio em que as regras determinam o acesso privilgios (como a correspondncia de etiquetas de apuramento para os rtulos de classificao), em vez de a identidade dos sujeitos e os objectos sozinhos .
Controle de acesso no-discricionria No controle de acesso no discricionria, privilgios de acesso pode ser baseado no papel do indivduo na organizao (role-based) ou responsabilidades e deveres do sujeito (baseado em tarefas). Controle de acesso baseado em funo frequentemente usado em uma organizao onde existe mudanas freqentes de pessoal para eliminar a necessidade de alterar os privilgios sempre uma nova pessoa assume esse papel. O controle de acesso tambm pode ser caracterizada como ou dependentes de contedo dependente do contexto. Controle de acesso dependente do contexto uma funo de fatores como localizao, hora do dia, e histria acesso anterior. Est relacionada com o ambiente ou contexto do dados. No controle de acesso dependente do contedo, o acesso determinado pela informao contida no item que est sendo acessado.
Tipos de Implementaes de Controle de Acesso Os controles de acesso so usados para prevenir ataques, para determinar se os ataques tm ocorrido ou sido tentado , e para trazer a rede volta ao seu estado pr- ataque , se um ataque foi bem sucedida . Estes trs tipos de controles so chamados preventiva, detetive e corretiva, respectivamente. Para afetar esses controles, administrativo, tcnico ( lgica), e meios fsicos so empregados . Os controlos administrativos incluem atividades como a criao de polticas e procedimentos , treinamento de conscientizao de segurana, e de fundo cheques. Os controles tcnicos (lgico ) envolve a utilizao de abordagens que incluem criptografia, cartes inteligentes , e protocolos de transmisso . Os controlos fsicos so mais guardas familiares e compem , segurana do edifcio e laptops de fixao . Ao juntar-se os tipos de controle e meios de implementao, diferentes combinaes de controle so obtida . Exemplos de combinaes de teclas esto listados nas sees seguintes .
Preventiva / administrativo Controles preventivos e administrativos incluem o seguinte: polticas e procedimentos organizacionais As verificaes do fundo procedimentos de resciso de funcionrios acordos de Emprego e Treinamento de conscientizao Segurana Rotulagem de materiais sensveis agendamentode frias
Preventiva / Tcnico Controles preventivos e tcnicos: aplicar a tecnologia para evitar violaes de poltica de segurana de uma organizao. Controles tcnicos tambm so conhecidos como controles lgicos e pode ser incorporado ao sistema operacional, pode ser aplicaes de software, ou pode ser suplementar unidades de hardware ou software. Exemplos de controles preventivos e tcnicos incluem o seguinte : Protocolos Biometria para autenticao Encryption Os cartes inteligentes Menus interfaces de usurio restrita As senhas teclados limitados
Preventiva / Fsica Esta categoria est preocupado com a restrio de acesso fsico s reas com sistemas de segurando informaes confidenciais. Controles preventivos e fsicas incluem o seguinte: Guards Homem - armadilha (com duas portas fisicamente separados de modo que um indivduo pode ser " preso " no espao entre as portas depois de entrar numa das portas ) Fences biometria para identificao controles ambientais ( temperatura, umidade , eltrica) Badges
Detective / Administrativo controles de Detetive e administrativos incluem o seguinte : reviso de registro de auditoria compartilhamento de responsabilidades polticas e procedimentos organizacionais As verificaes do fundo frias agendamento Rotulagem de materiais sensveis conscincia Comportamento
Detective / Tcnico Controles de detetive e tcnicas aplicam meios tcnicos para identificar a ocorrncia de uma intruso ou outras violaes da poltica de segurana de uma organizao. essas medidas incluem o seguinte : sistemas de deteco de intruso ( IDSs) - Estes dispositivos so caracterizados pela A tecnologia usada para detectar uma intruso ou a sua localizao . Por exemplo , um Host based Sistema de identificao reside em um host centralizado e tem um bom desempenho na deteco de ataques contra o exrcito . No entanto , este tipo de IDS no eficaz na deteco de intruses de rede. Por outro lado , um IDS baseado em rede um detector passivo de tempo real intruses e consome menos recursos do que um IDS baseado em host. IDSs detectam intruses por dois mtodos principais . Uma abordagem o perfil de um "normal" estado de utilizao para uma rede ou host e , em seguida, detectar desvios a partir desta Estado. A outra abordagem a aquisio de "assinaturas" de ataques e , em seguida, monitorar o sistema para estas assinaturas quando ocorre um ataque. autos de infrao gerados a partir da trilha de auditoria de informao - Estes relatrios pode indicar variaes de funcionamento "normal" ou detectar assinaturas conhecidas de episdios acesso no autorizado. Nveis de recorte ou de limite pode ser empregada para limitar a quantidade de informaes de auditoria sinalizados e relatado pelo automatizado anlise violao e mecanismos de comunicao . Nveis de recorte pode definir um limiar sobre o nmero de ocorrncias de um evento , abaixo da qual o evento no est relatado . Detective / Fsica Controles de deteno e fsicas normalmente requerem um ser humano para avaliar a entrada a partir de sensores para uma ameaa potencial. Exemplos destes tipos de mecanismos de controlo incluem : As cmeras de vdeo detectores de movimento detectores trmicos
Controles de acesso centralizados / descentralizados Controle de acesso centralizado geralmente caracterizado por recursos gerenciados centralmente e profissionais experientes, com experincia nos vrios tipos de controlo mecanismos. Sistemas de controle de acesso centralizado e protocolos , como o RADIUS e TACACS + , so discutidos mais tarde. Por outro lado , os controles de acesso descentralizado esto mais prximos do usurio e ,conseqentemente, devem refletir as preocupaes e exigncias dos usurios. Um paradigma para controle de acesso descentralizado o estabelecimento de domnios de segurana , em que os participantes esto sob a mesma gesto e acompanhamento de polticas de segurana comuns. Sistemas descentralizados tm a necessidade de forte controle de acesso. Um exemplo seria ser uma organizao usando a World Wide Web para facilitar as comunicaes e cooperao entre os seus subentidades . Geralmente , estes sistemas apresentam a seguinte caractersticas : criptografia de senhas e IDs. regras de controle de acesso formal. Cada subentity autentica seus respectivos clientes . subentidades adicionais podem ser adicionados rede . Identificao e Autenticao Identificao o ato de um usurio que professam uma identidade a um sistema, geralmente na forma de um ID de logon. Identificao estabelece prestao de contas de usurio para o seu aes no sistema . A autenticao a verificao de que a identidade reivindicada do usurio vlido , e geralmente implementado atravs de uma senha de usurio em tempo de logon. A autenticao fornecida atravs de uma variedade de meios de senhas secretas para utilizando caractersticas biomtricas . Em geral , a autenticao feita por testar um ou mais dos seguintes itens : Algo que voc sabe , como um nmero de identificao pessoal (PIN) ou senha; este fator conhecido como Tipo 1 autenticao. Algo que voc tem , como um carto Multibanco ou carto inteligente ; este fator conhecido como autenticao do tipo 2 . Algo que voc (fisicamente) , como uma impresso digital ou verificao de retina ; este fator conhecido como autenticao de tipo 3 . Obviamente, o uso de mais de um fator acrescenta credibilidade adicional para a autenticao processo . Por exemplo, a autenticao de dois fatores se refere ao uso de dois dos trs fatores, tais como um nmero PIN ( algo que voc sabe ) em conjunto com um ATM carto (algo que voc tem) . Aps a autenticao , um usurio concedido direitos e permisses para aceder a determinados recursos do computador e informaes . Essa alocao conhecido como autorizao de o utilizador . senhas As senhas so , de longe , o fator mais popular usado para autenticao. Portanto , proteger senhas de compromisso e uso no autorizado crucial. Semelhante a um one-time pad em criptografia , uma senha de uso nico proporciona o mais alto nvel de segurana da senha . Porque uma nova senha necessria cada vez que um usurio registra sobre a rede, um atacante no pode usar uma senha previamente comprometida. Uma senha que muda freqentemente chamado de senha dinmica . Uma senha que o mesmo para cada incio de sesso chamada de senha esttica . Uma organizao pode exigir que senhas mudar mensal , trimestral ou em outros intervalos , dependendo da sensibilidade das informaes protegidas e frequncia da senha de uso. Em alguns casos, uma senha pode ser usada uma vez. A senha uma seqncia de caracteres que geralmente maior do que o nmero estipulado de caracteres uma senha. A senha convertida em uma senha virtual, o sistema . As senhas podem ser geradas automaticamente pelo tamanho do carto de crdito , cartes de memria , cartes inteligentes ou dispositivos que se assemelham a pequenas calculadoras. Alguns destes dispositivos so referido como fichas . Estes geradores de senha so do tipo 2 dispositivos , algo voc tem.
Biometria A biometria definido como um meio automatizado de identificao ou autenticao do identidade de uma pessoa que com base nas caractersticas fisiolgicas ou comportamentais . A biometria um mecanismo de autenticao do tipo 3 , pois com base no que a pessoa "". Biometria til tanto na identificao e modos de autenticao . Para a identificao, dados biomtricos aplicada como uma busca de um - para-muitos de um indivduo de caractersticas de um banco de dados de caractersticas armazenadas de uma grande populao . uma exemplo de uma pesquisa de um-para -muitos tenta combinar as impresses digitais de um suspeito de um banco de dados de impresses digitais de pessoas que vivem nos Estados Unidos . Por outro lado , a autenticao em biometria uma busca de um -para-um para verificar a reivindicao de uma identidade feita por um pessoa . Um exemplo deste modo combinar as impresses digitais de um funcionrio contra o impresses digitais previamente cadastradas em um banco de dados de funcionrios da empresa . Em relao ao controle de acesso , biometria usado para identificao de controles fsicos e para autenticao de comandos lgicos . A seguir, so caractersticas tpicas biomtricos: Scans Retina scans Iris Fingerprints scans faciais scans palma A geometria da mo voz dinmica assinatura manuscrita
Single Sign-On Em Single Sign-On (SSO), um usurio fornece um ID e senha por sesso de trabalha e automaticamente conectado a todos os recursos de rede necessrios . Sem SSO, um usurio normalmente deve digitar vrias senhas para acessar diferentes recursos de rede. Ao aplicar SSO, as senhas devem ser transmitidas ou armazenadas em forma criptografada para fins de segurana. Com SSO, a administrao da rede simplificada, uma senha forte pode ser usado, e os recursos podem ser acessados em menos tempo. o acesso ao sistema por meio do logon inicial , o usurio pode circular livremente na rede recursos sem quaisquer restries. SSO pode ser implementado nas seguintes formas:
Atravs de scripts que replay vrios logins dos usurios. Atravs Empresa Acesso Management ( EAM ) . EAM fornece controle de acesso servios de gesto de SSO , incluindo , para os sistemas corporativos baseados na web. Em uma abordagem, SSO implementado em aplicaes Web que residem em diferentes servidores no mesmo domnio , usando no persistentes , cookies criptografados no interface do cliente . Usar servidores de autenticao para verificar a identidade do usurio e autenticao criptografada bilhetes para permitir o acesso aos servios do sistema. Uma abordagem de servidor de autenticao popular que pode implementar SSO o Kerberos sistema .
Kerberos Kerberos o nome de um co de trs cabeas que guarda a entrada para o submundo na mitologia grega. Kerberos baseado em criptografia de chave simtrica e foi desenvolvido no mbito do Projeto Athena no Instituto de Tecnologia de Massachusetts. um protocolo de autenticao de confiana, de terceiros que autentica os clientes outras entidades em uma rede e fornece meios seguros para esses clientes para o acesso recursos na rede. Kerberos assume que os computadores clientes e os cabos de rede so acessveis ao pblico em locais inseguros. Assim, as mensagens transmitidas em uma rede Kerberos pode ser interceptado . No entanto, Kerberos tambm assume que alguns locais especficos e servidores podem ser protegidos para operar os mecanismos de autenticao como confiveis para cada cliente e o servio na rede. Esses servidores centralizados implementam o Kerberos confivel Key Distribution Center (KDC) , Kerberos Ticket Concesso de servio ( TGS ) e de servio de autenticao Kerberos (AS) . Os princpios bsicos do Kerberos operao esto resumidos a seguir : 1. o KDC conhece as chaves secretas de todos os clientes e servidores na rede. 2. A troca de informaes inicialmente com o cliente e servidor usando estas chaves secretas . 3. Kerberos autentica um cliente para um servio solicitado em um servidor atravs do TGS e emitindo sesso chaves simtricas temporrios para as comunicaes entre o cliente eo KDC , o servidor eo KDC , eo cliente e servidor . 4 . Comunicao , em seguida, ocorre entre o cliente e o servidor usando essas chaves de sesso temporrias.