Abordagem básica
- O que vai ser protegido? Vale a pena?
- Contra que tipo de ataque?
- Quais os ataques prováveis ?
- Implementar mecanismos de proteção de modo eficiente e com custo
aceitável
- Revisar o processo continuamente e aperfeiçoar os mecanismos de
proteção cada vez que um ataque é percebido
- O custo de proteger contra um ataque deve ser menor do que o valor da perda se
um ataque é realizado
Identificando os alvos
- Hardware: cpu, placas, teclados, terminais, estações de trabalho,
PC, impressoras, unidade de disco, linhas, servidores de terminais, modems,
repetidores, pontes e roteadores
- Software: programas fonte, programas objeto, utilitários, programas de
diagnóstico, sistemas operacionais, programas de
comunicação
- Dados: durante a execução, armazenado on-line, arquivados
off-line, backups, trilhas de auditoria, BD, em trânsito na rede
- Pessoas: usuários, administradores
- Documentação: sobre programas, hardware, sistemas, procedimentos
administrativos locais
- Suprimentos: papel, formulários, fitas de impressão, meio
magnético
Identificando
os ataques
- Acesso não autorizado
- Revelar informação
- Impedir o acesso ao serviço
Identificando
problemas possíveis
- Pontos de acesso
- Enlaces
- Linhas discadas
- Servidores de terminais
-
Sistemas mal configurados
- Bugs de software
- Acesso por pessoal interno