Segurança Da Informação

Questão 1- (2,5 pontos)

Explique o que seriam as estratégias de segurança privilégio mínimo e defesa em profundidade. Realize uma pesquisa na internet, em jornais, livros, revistas, periódicos, etc., sobre as estratégias de segurança privilégio mínimo e defesa em profundidade para exemplificar a sua explicação.

Resp:

Privilégio mínimo: preza por delegar somente privilégios necessários para que um determinado objeto possa realizar sua função na organização.

Exemplos:

- Não dê a um usuário direitos administrativos de um sistema se tudo que ele precisa é executar o Apache.

- Não faça um programa ser executado como membro de um grupo altamente privilegiado, se tudo que ele precisa fazer é gravar em um arquivo, em vez disso, agrupe o arquivo em um grupo e faça o programa ser executado como um membro deste grupo.

Defesa em profundidade: destinado à prevenção dos acidentes, e a minimização das respectivas conseqüências, evitando que um problema isolado se alastre pelo sistema; instituindo múltiplos, redundantes e independentes níveis de proteção. A idéia é não depender de um único método de defesa, instalando vários níveis de proteção. Tornando a tentativa de invasão arriscada demais ou cansativa demais para os atacantes. Isto porque as chances de violar um nível de proteção do sistema são muito maiores do que as chances de violar um sistema com vários níveis de segurança.

Exemplo: Redundância e diversidade de controles (Portão principal, recepção, guardas, grades, entrada no andar, área restrita, Firewall, IPS - sistema de prevenção de invasão e IDS - sistema de detecção de invasão).

Questão 2 - (2,5 pontos)

Em uma Empresa, ocorreu o seguinte diálogo entre João e seu Gerente de TI:

JOÃO: - Vamos colocar criptografia assimétrica aqui na empresa; vai melhorar a vida de todos.

GERENTE DE TI: - Nós já utilizamos a criptografia simétrica e não precisamos de mudanças.

JOÃO: - A criptografia assimétrica faz várias coisas que a simétrica não faz. Seremos mais seguros com ela.

GERENTE DE TI: - Ok, João. Então me mostre as vantagens e o que posso fazer com a criptografia assimétrica.

Por meio deste pequeno diálogo é possível perceber que João recebeu de seu Gerente de TI a incumbência de explicar as vantagens da criptografia assimétrica em relação à simétrica. Desta forma, suponha que você seja o JOÃO nesta situação. Responda, portanto, a questão levantada pelo Gerente de TI.

Resp: A criptografia assimétrica é considerada mais segura do que a criptografia simétrica, porque a chave usada para criptografar os dados é diferente da que é usada para descriptografá-los. Contudo, como a criptografia assimétrica usa algoritmos mais complexos do que a simétrica, e como a criptografia assimétrica usa um par de chaves, o processo de criptografia é muito mais lento quando uma organização usa a criptografia assimétrica do que quando usa a simétrica.

Uma organização pode usar esse tipo de criptografia para fornecer autorização, usando a chave pública para criptografar dados. Essa chave é disponibilizada publicamente. Desse modo, qualquer um pode criptografar os dados. No entanto, como apenas o assunto mantém a chave privada, a organização pode estar razoavelmente certa de que apenas o destinatário pretendido pode decriptografar e exibir os dados criptografados.

Uma organização pode usar esse tipo de criptografia para fornecer autenticação, usando a chave privada para criptografar dados. Apenas o assunto mantém essa

...