Upload
internet
View
104
Download
0
Embed Size (px)
Citation preview
Segurança de InformaçãoO Puzzle sempre incompleto
Segunda-feira, 26 de Abril de 2004Segunda-feira, 26 de Abril de 2004 [email protected]@SecurNet.Biz
Confidencial 1
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 22
Puzzle?
B2B
Utilizadores
Papel
RedeLap Top
Bases Dados
WEB
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 33
Modelo Funcional de Interacção
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 44
Provocam as seguintes ameaças:
- Ataques de Negação de Serviço
- Ataques de vírus e afins.
- Intrusões em Sistemas.
- Descoberta de passwords.
- Exploração de defeitos de Software.
- Ataques “Brute Force”.
Tecnologias mal preparadas
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 55
Provocam as seguintes ameaças:
- Abuso de privilégios e confiança nos acessos.
- Utilização inapropriada de sistemas e redes.
- Acessos contornando os pontos de controlo.
- Ameaças portáteis.
- Fraude financeira.
- Interrupções acidentais.
-”Social Engineering”
- Passwords “inocentes”
Utilizadores mal preparados
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 66
Modelo Funcional de Interacção Segura
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 77
Políticas de Segurança
Políticas de uso aceitável da informação e tecnologia, na empresa:– “Guide-lines” para Anti-Vírus.– Classificação de Graus de Confidencialidade.– “Guide-lines” para criação de Passwords– “Guide-line” para uso e implementação
tecnológica:• Email, Autenticação de acessos, interligação com
parceiros, acesso á Internet, disponibilizarão de informação na Internet.
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 88
O Processo de Políticas
1. Definição Política
2. Implementação3. VerificaçãoConformidade
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 99
O Processo de Implementação
1. Avaliação
2. Planeamento (Reporting)
3. Correcção
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1010
Metodologia de implementação de Políticas de Segurança
- Aprovação
- Divulgação
- Implementação
- Auditorias
- Gestão de incidentes
Gestão de Criticidade
Políticas Escritas de Utilização Segura
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1111
“Security Teams” Metodologia de implementação
tLim = 0
Acompanhamento de Vulnerabilidades
FiltroAuditoria
CorrecçãoFeedback
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1212
Tecnologia
AplicaçõesAplicações
RedesRedes Si
stem
as
Siste
mas
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1313
Segurança no Acesso Internet
Internet
Firewall
Server
Computer
Mainframe
Printer
Computer
ServerServer
ServerServer
SecureNetwork
DMZ
Extranet
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1414
Redes e Sistemas de Clientes Dimensão da Rede?
– Topologia.• É uma rede plana?• Está segmentada?• Está distribuída geograficamente?• ...
– Utilização de linhas analógicas.– Configuração e uso de “Portáteis”.– Separação de redes funcionais.– ...
AplicaçõesAplicações
RedeRede
Siste
mas
Siste
mas
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1515
Redes e Sistemas de Clientes
Qual é a Política de Segurança?
Qual o processo de verificação da política?
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1616
Redes e Sistemas de ClientesSegurança na Interligação de Redes Privadas “Seguras”
ServidorEstação de trabalho
Mainframe
Impressora ServidorEstação de trabalho
Mainframe
Impressora
FirewallFirewall
MainframeEstação de trabalho Servidor
Impressora
Rede privada “segura” da Empresa A
Rede privada “segura” da Empresa B
Rede privada “segura” da Empresa C
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1717
Redes e Sistemas de ClientesSegurança nas “Plataformas Web” de E-Commerce
Internet
Load Balancer
Web Server Web Server Web Server
Data BaseServer
ApplicationServer
Server
Front End
Back End
Rede deBackUp
Rede de "Back Office"
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1818
CheckPoint - NG
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 1919
Shavlik – HFNetCHK-Pro
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 2020
TrendMicro
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 2121
SpiDynamics - WebInspect
Segunda-Feira, 26 de Abril de 2004Segunda-Feira, 26 de Abril de 2004FEUPFEUP Confidencial Confidencial 2222
Referências
www.securnet.bizwww.checkpoint.comwww.trendmicro.com
www.shavlik.comwww.spidynamics.com
</The End>