Use LEFT and RIGHT arrow keys to navigate between flashcards;
Use UP and DOWN arrow keys to flip the card;
H to show hint;
A reads text to speech;
20 Cards in this Set
- Front
- Back
|
três principais pilares que compõem a base da Segurança da Informação: |
1-Confidencialidade; 2- Integridade (Confiabilidade); 3-Disponibilidade. |
|
|
Confidencialidade : |
a informação só deve estar disponível para aqueles com a devida autorização. |
|
|
Integridade (Confiabilidade) – |
que a mesma mensagem gerada na origem chegue ao destino de forma intacta |
|
|
Disponibilidade – |
acessar o site ou enviar suas requisições |
|
|
outros conceitos também surgem com grande relevância: |
1-Autenticidade; 2-Não-Repúdio (Irretratabilidade) ; 3-Legalidade. |
|
|
Autenticidade - |
Busca garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser. Ex:login/senha |
|
|
Não-Repúdio (Irretratabilidade) – |
busca-se garantir que o usuário não tenha condições de negar ou contrariar o fato de que foi ele quem gerou determinado conteúdo ou informação. |
|
|
Legalidade – |
O aspecto de legislação e normatização é fundamental nos processos relacionados à Segurança da Informação. Desse modo, respeitar a legislação vigente é um aspecto fundamental e serve, inclusive, como base para o aprimoramento e robustez dos ambientes. |
|
|
conceitos complementares previstos na X.800 que trata da Segurança de arquiteturas, principalmente no que tange a soluções de rede distribuídas. |
1-Autenticação de entidade Parceiras; 2-Autenticação da origem dos Dados; 3-Confidencialidade de campo seletivo; 4-Confidencialidade do fluxo de tráfego; 5-Integridade de conexão com recuperação; 6-Integridade de conexão sem recuperação; 7-Integridade de conexão de campo seletivo; 8-Integridade sem conexão; 9-Integridade de campo seletivo sem conexão; 10-Irretratabilidade de origem; 11-Irretratabilidade de destino. |
|
|
Ataque de personificação: |
um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar; |
|
|
HARDENING: |
“endurecer” um servidor de tal modo a deixa-lo mais robusto e seguro |
|
|
Acesso de ROOT – |
Não se deve possibilitar a utilização do usuário ROOT de forma direta, ou seja, logando-se como ROOT. deve-se utilizar apenas o método de escalação de privilégios, ou seja, deve-se logar como determinado usuário para posterior mudança de privilégio e consequente execução de comandos ou aplicações. Isto possibilita a geração de lastros e trilhas de auditorias, além de ser mais uma camada de segurança. |
|
|
Redução de Serviços – |
Deve-se minimizar ao máximo a quantidade de serviços que estejam rodando em determinado servidor. Isto tem o intuito de reduzir a possibilidade de vulnerabilidades existentes nas aplicações e serviços, bem como aumentar o desempenho do servidor. Portanto, deve-se manter apenas os serviços e aplicações necessárias, nada mais. |
|
|
O controle de acesso: |
está diretamente ligado ao princípio da autenticidade e autorização. |
|
|
Existem três técnicas de controle e gerenciamento de acesso que são amplamente utilizadas nos ambientes de tecnologia da informação: |
1-Mandatory Access Control (MAC); 2-Discretionary Access Control (DAC); 3-Role-Based Access Control (RBAC). |
|
|
Mandatory Access Control (MAC) – |
O administrador do sistema é responsável por atribuir as devidas permissões para os usuários. Este modelo utiliza o conceito de “label” para identificar o nível de sensibilidade a um determinado objeto. O label do usuário é verificado pelo gerenciador de acesso e através desta avaliação, é verificado o nível de acesso do usuário e quais recursos ele é capaz de usar. |
|
|
Discretionary Access Control (DAC) – |
Este é um modelo mais flexível quando comparado com o MAC e considerando o usuário que necessita compartilhar o recurso com outros usuários. Nesta técnica, o usuário tem o controle de garantir privilégios de acesso a recursos aos que estão sob seu domínio. Como exemplo desta técnica, podemos citar o próprio sistema de permissão do linux ou windows, por exemplo, em que o próprio usuário pode determinar as permissões do arquivo em que ele tem a posse. |
|
|
Role-Based Access Control (RBAC) – |
Também conhecido como controle baseado em papéis. Nesta técnica, o administrador garantir privilégios de acordo com a função exercida pelo usuário. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários. |
|
|
conceitua o termo AAA (authentication, authorization e accounting) : |
1. Algo que você sabe; 2. Algo que você tem; 3. Algo que você é. |
|
|
Parei |
Pág 21 |
