Analisando a adoção de políticas de segurança da informação em empresas de base tecnológica: A gestão do conhecimento como abordagem de investigação

Lima, Aluísio Bruno Ataíde

26 April 2013

Made available in DSpace on 2015-04-16T14:49:01Z (GMT). No. of bitstreams: 1 Aqruivototal.pdf: 1587788 bytes, checksum: 2ee4dec236adface549580477a1a2e5d (MD5) Previous issue date: 2013-04-26 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES / Along the rise of the knowledge society, the classical factors of production are being overtaken by the information as the most important asset of organizations. Due to this growing importance, ensure information security is crucial for organizations to succeed. In this context, technology-based companies that develop Information and Communication Technologies (ICT) solutions are of great importance. The objective of this research is characterized by investigating how the technology-based companies proceed to ensure information security and verify if knowledge sharing is the primary mean by which individuals attempt to ensure information security. Also are objectives of this research, investigating the knowledge that individuals associated with these companies have about standards and best practices in information security, besides the technological means used by them. To achieve our goals, we selected the participating companies from Farol Digital, and conducted semi-structured interviews with employees for data collection. Content analysis was the chosen approach to infer conclusions. As conceptual models we used Choo‟s (2006) knowledge cycle in organizations and the model of factors that influence knowledge sharing developed by Ipe (2003). We found that the information security procedures are developed informally. We also found that knowledge sharing is quite frequent in organizations, except when the knowledge is about information security. We explain this by the fact that the information security is a critical issue, where sharing wrong information can lead to harmful consequences for the sharer because the main advantage for sharing knowledge is the prestige acquired. Thus, they avoid sharing knowledge related to information security fearing that his image can be damaged, passing the responsibility of the security decisions to leaders and project managers. / Com a evolução da sociedade do conhecimento, os fatores clássicos de produção estão sendo superados pela informação como o ativo mais importante das organizações. Devido a essa crescente importância, garantir a segurança da informação é crucial para que as organizações obtenham sucesso. Nesse contexto, empresas de base tecnológica que desenvolvem soluções em Tecnologias de Informação e Comunicação são de grande relevância. O objetivo desta pesquisa se caracteriza por investigar como as empresas de base tecnológica procedem para garantir a segurança da informação e verificar se o compartilhamento de conhecimento é o principal meio pelo qual os indivíduos tentam garantir a segurança da informação. Também são objetivos desta pesquisa, investigar o conhecimento que os indivíduos associados a estas empresas têm sobre normas e melhores práticas de segurança da informação, além dos meios tecnológicos utilizados por eles. Para atingir os objetivos, foram escolhidas as empresas participantes do Farol Digital, nas quais foram realizadas entrevistas com seus funcionários utilizando-se de roteiros de entrevistas semi-estruturados como meio de coleta de dados. A análise de conteúdo foi a abordagem escolhida para inferir as conclusões. Utilizou-se como modelos conceituais o modelo de ciclo do conhecimento nas organizações elaborado pro Choo (2006) e o modelo de fatores que influenciam o compartilhamento de conhecimento elaborado por Ipe (2003). Verificou-se que os procedimentos de segurança da informação são desenvolvidos informalmente. Encontrou-se que o compartilhamento de conhecimento geral é constante nas organizações, mas quando o conhecimento é sobre segurança da informação, há muito pouco compartilhamento. Isso é explicado pelo fato do tema segurança da informação ser crítico, de forma que uma informação equivocada que foi compartilhada pode gerar consequências danosas para quem compartilhou, pois a principal vantagem relativa ao compartilhamento de conhecimento é a boa reputação que adquire que compartilha. Desta forma, eles evitam compartilhar conhecimentos relativos à segurança da informação temendo que a sua imagem possa ser negativada e deixam a responsabilidade das decisões de segurança para os líderes e gerentes de projeto.

Segurança da Informação

Compartilhamento de conhecimento

Empresas de base tecnológica

Information security

Knowledge sharing

Technology-based companies

Panorama do acesso à informação nos portais web de legislação dos municípios do Rio Grande do Sul

Louzada, Suzanna do Carmo

January 2018

O objetivo da pesquisa é avaliar o acesso à informação legislativa digital dos municípios do estado do Rio Grande do Sul. Em revisão de literatura, aborda a importância da informação legislativa no que concerne ao ordenamento jurídico como um todo, à segurança jurídica, ao acesso à informação e à inflação legislativa. Para realizar a avaliação, estabelece checklist e, posteriormente, aplica o instrumento aos portais de legislação das Câmaras de Vereadores e Prefeituras Municipais dos municípios selecionados por amostragem aleatória simples estratificada e na capital do Estado. O checklist é fundamentado em literatura acerca da avaliação de portais da web e da avaliação de portais de legislação em específico, sendo composto por 26 requisitos básicos desejáveis para os portais de legislação, divididos em 5 parâmetros: Usabilidade, Cobertura, Acessibilidade, Relacionamentos e Ferramentas Ao todo, analisa 62 portais de Prefeituras Municipais e 62 portais de Câmaras de Vereadores. Os resultados demonstram falta de planejamento e de profissionalismo na concepção e manutenção dos portais. Demonstram, ainda, não haver grande preocupação por parte dos gestores dos portais de legislação em garantir a completude do portal, a acessibilidade das normas, disponibilizar o texto atualizado (alterado e consolidado), facilitar o acesso à informação concernente à normas relacionadas, fonte, projeto de origem e ADIN, prover espaço com conteúdo de ajuda, bem como em gerar confiança a partir da disponibilização de informações sobre a responsabilidade do portal. Conclui que o acesso à informação legislativa dos municípios do Rio Grande do Sul é precário. / This research aims to evaluate the access to digital legislative information in municipalities of Rio Grande do Sul. The literature review explains the importance of legislative information to the legal order as a whole, to the legal certainty, access to information and legislative inflation. To concrete the evaluation, it establishs a checklist and applies the instrument to the Câmara de Vereadores’s and Prefeituras Municipais’s legislation websites selected by simple stratified random sampling and state’s capital. The checklist is based on literature about general websites and legislative websites evaluation, consisting on 26 basic requirements of legislative websites, sectioned in 5 parameters: usability, coverage, accessibility, relationships and features. In total, it analise 62 Prefeituras Municipais’s websites and 62 Câmaras de Vereadores’s websites. The results demonstrate lack of planning and professionalism in the design and maintenance of the websites. They also demonstrate that the site’s managers show no great concern in ensuring the completeness of the website, the accessibility to law, in making available the updated text (modified and consolidated), in facilitating access to related law, source, draft project and ADIN, in providing help content, as well as generating confidence from the availability of information on the responsibility of the website. It concludes that the access to legislative information of the municipalities of Rio Grande do Sul is precarious.

Informação jurídica

Acesso à informação

Portal : Avaliação

Segurança da informação

Legislative information

Legal certainty

Information access

Legislation databases

Legislation websites

Avaliação de ambientes servidores para agentes móveis. / Evaluation of mobile agents server environments.

Stenio Firmino Pereira Filho

01 June 2001

Agentes móveis são programas que podem ser disparados de um computador (cliente) e transmitidos através de uma rede de comunicação para uma outra maquina (servidor) com o objetivo de executar tarefas a eles designadas. Esta dissertação apresenta uma avaliação de plataformas de desenvolvimento e servidores para agentes móveis. A tecnologia de agentes móveis tem sido alvo de grandes pesquisas, inclusive nos setores de Segurança da Informação e Comércio Eletrônico. Foram executados testes e com as informações foi feita uma análise comparativa, levando-se em consideração questões como características de desempenho dos agentes, desempenho e segurança. Para efetuar os testes foram necessários o entendimento do funcionamento do servidor e o desenvolvimento de seus agentes. Os testes de desempenho serviram para definir quais agentes são mais ágeis e quais são os gastos de processamento dos servidores. Já o teste de segurança teve a finalidade de classificar os servidores quanto à segurança. Os resultados obtidos serviram para indicar qual a melhor plataforma a ser utilizada no desenvolvimento do Sistema de Detecção de Intrusão (SDI) do ICMC. As plataformas que obtiveram destaques nos testes foram o ASDK 1.1 e Grasshopper. A plataforma escolhida para o SDI foi o ASDK 1.1. / Mobile agents are programs able to migrate from a client computer to a server computer through communication networks. There are several mobile agent technologis application, includind Information Security and Eletronic Commerce. This work describes the valuation of mobile agent plataforms. A test environment was desired and 5 plataforms were compared in terms of the security and performance provided. To make the assessment it was necessary to understand the server functionality an the methodologies to develop the agents. The test of performace helped to define which agents are more agile and what are their processing needs while in the server. The security test aimed to classify the servers in them security. The results were used to determine which is better mobile agente plataform to be used in the on going ICMC’s Intrusion Detection System (IDS). The best performance plataforms were the ASDK 1.1 and the Grasshopper. The chosen plataform for the IDS was the ASDK 1.1.

agentes móveis

avaliação de desempenho

segurança da informação

sistemas de detecção de intrusos

sistemas distribuidos

distribuited systems

information security

intrusion detection system

mobile agent

PROCESSOS DE DESENVOLVIMENTO DE SOFTWARE CONFIÁVEL BASEADOS EM PADRÕES DE SEGURANÇA / RELIABLE SOFTWARE DEVELOPMENT PROCESSES BASED ON SECURITY PATTERNS

Wagner, Rosana

01 March 2011

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Organizations face a series of difficulties in answering to the demands that are projected by the norms and models of software security. The norms and models provide a set of good security practices which should followed but do not describe how these practices must be implemented. Security patterns document good security solutions which can be incorporated to the software process. However they are difficult to be incorporated in each software development phase. In way, this work proposes a methodology for the adaptation of software processes based on security requirements that are preconized by the security practices of the Systems Security Engineering Capability Maturity Model (SSE-CMM). The basis for adaptation is a process framework that is elaborated from the Rational Unified Process (RUP) and security patterns proposed on the literature. By means of this methodology, the project managers, or related roles, find support for their decisions referent to the implementation of information security. In addition, some process area2 pattern association rules have initially been proposed and inserted in the framework. Although they are only suggestions and should be adapted according to the necessity of each project. In addition they should be adjusted according to the understanding of each project engineer or manager. Finally, they should evolve to the extent that the organization learns from past projects. The methodology and the association rules are supported by a developed tool, the SMT- Tool. The aim of this tool is to help the development of the process adaptation task. / As organizações enfrentam uma série de dificuldades para atender às exigências previstas pelas normas e modelos de segurança de software. As normas e modelos fornecem um conjunto de boas práticas de segurança que devem ser seguidas, mas não descrevem como essas práticas devem ser implementadas. Padrões de segurança documentam boas soluções de segurança que podem ser incorporadas ao processo de software, mas são difíceis de serem incorporados em cada fase do desenvolvimento de software. Desta forma, a proposta deste trabalho propõe uma metodologia para adaptação de processos de software com base em requisitos de segurança, preconizados pelas práticas de segurança do Systems Security Engineering Capability Maturity Model (SSE-CMM). A adaptação tem como base um framework de processo elaborado a partir do Rational Unified Process (RUP) e de padrões de segurança propostos na literatura. A partir desta metodologia, os gerentes de projetos, ou papéis relacionados, encontram suporte para suas decisões referentes à implementação de segurança da informação. Ainda, algumas regras de associações de padrões às áreas de processo1, descritas pelo SSE-CMM, foram inicialmente propostas e inseridas no framework, porém, são apenas sugestões e devem ser adaptadas conforme a necessidade de cada projeto, bem como do entendimento de cada engenheiro ou gerente de projeto, e devem evoluir a medida que a organização aprenda com projetos passados. A metodologia e as regras de associações são suportadas por uma ferramenta, a SMT- Tool, desenvolvida com o objetivo de apoiar a realização da tarefa de adaptação de processos.

Segurança da informação

Padrões de segurança

Processos de software

SSE-CMM

Information security

Security patterns

Software processes

METODOLOGIA PARA ANÁLISE E AVALIAÇÃO DE RISCOS POR COMPOSIÇÃO DE MÉTODOS / A METHODOLOGY FOR ANALYSIS AND RISKS ASSESSMENT BY METHODS COMPOSITION

Amaral, Marisa Munaretto

02 August 2011

The information has become a valuable asset for organizations, and computer systems, is subject to various types of threats. Risk management is responsible for ensuring the integrity, confidentiality and availability of this information, identifying key vulnerabilities and threats that surround an information system. To ensure the protection of assets and reduce the incidence of security breaches, it is necessary to adopt risk management practices. Several methods have been proposed for this purpose, however, some differ significantly from each other and may result in classifying different measurements, even when applied to the same domain. This thesis proposes a methodology for analysis and risk assessment, which uses the composition of methods for more accurate results, where the risk of higher priority is obtained by weighting the methods analyzed. In order to validate the proposed methodology, we developed a computational tool that automates all stages of the process and performs the calculations necessary to prioritize the risks. The application scenario was the Data Processing Center, Federal University of Santa Maria. As a result, we obtained risk indicators potentially more accurate, since they reflect the risks prioritized based on weighting of the methods analyzed. / A informação tornou-se um ativo valioso para as organizações e, em sistemas computacionais, está sujeita a diversos tipos de ameaças. A gestão de riscos é responsável por garantir a integridade, a confidencialidade e a disponibilidade dessas informações, identificando as principais vulnerabilidades e ameaças que cercam um sistema de informação. Para assegurar a proteção dos ativos e diminuir a incidência de falhas de segurança, é necessário adotar práticas de gerenciamento de riscos. Vários métodos já foram propostos com esse objetivo, no entanto, alguns divergem significativamente entre si, podendo resultar em quantificações classificatórias divergentes, mesmo sendo aplicados em um mesmo domínio. Este trabalho propõe uma metodologia para análise/avaliação de riscos, que utiliza a composição de métodos para obter resultados mais precisos, onde o risco de maior prioridade é obtido através da ponderação dos métodos analisados. Com o objetivo de validar a metodologia proposta, foi desenvolvida uma ferramenta computacional que automatiza todas as fases da metodologia e realiza os cálculos necessários para priorizar os riscos existentes. O cenário de aplicação foi o Centro de Processamento de Dados da Universidade Federal de Santa Maria. Como resultado, obteve-se indicadores de risco potencialmente mais precisos, uma vez que refletem os riscos priorizados com base na ponderação dos métodos analisados.

Análise de riscos

Segurança da informação

Metodologia

Cálculo do risco

Risk analysis

Information security

Methodology

Risk calculation

Uma arquitetura de referência guiada a conformidades de segurança para web services baseados em nuvem privada

MELO, Ricardo Marinho de

03 March 2016

Submitted by Fabio Sobreira Campos da Costa (fabio.sobreira@ufpe.br) on 2017-07-27T13:12:48Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) rmm_msc.pdf: 2280413 bytes, checksum: 90d0df51dde9092becb45756ff265100 (MD5) / Made available in DSpace on 2017-07-27T13:12:48Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) rmm_msc.pdf: 2280413 bytes, checksum: 90d0df51dde9092becb45756ff265100 (MD5) Previous issue date: 2016-03-03 / Contexto: A crescente adoção de computação em nuvem ofereceu diversos benefícios, como escalabilidade, eficiência e lucratividade, mas apresenta novos riscos de segurança que comprometem a confidencialidade, integridade e disponibilidade dos serviços prestados. Neste contexto, as organizações militares buscam modelos de nuvens privadas alinhadas com suas preocupações envolvendo segurança, conformidade e políticas. Atualmente, a segurança é o maior obstáculo para ampla adoção da computação em nuvem. Objetivo: Com base neste cenário, o trabalho propõe, a partir da análise das normas e implementações de segurança para Web Services, definir uma arquitetura segura para mitigar as principais ameaças de segurança em ambientes de nuvem, segundo o guia intitulado “The Notorious Nine: Cloud Computing Top Threats in 2013” da Cloud Security Alliance. Metodologia: Através de um estudo na literatura sobre computação em nuvem e segurança neste ambiente, foram utilizadas referências da área de pesquisa relacionadas ao problema identificado. Especificou-se uma arquitetura segura como hipótese de solução, e posteriormente avaliou-se tal hipótese por meio da implementação de um protótipo, evidenciando-se a importância desta solução. Resultados: Como resultado obteve-se uma arquitetura de referência para minimizar os riscos de segurança na implantação de nuvens privadas nas organizações militares. Experimentos de campo contemplaram aquisições a respeito dos mecanismos de segurança aplicados, em particular os padrões WS-Policy, WS-Security e SAML, os quais conseguiram oferecer mecanismos padrão de segurança necessários para realizar o intercâmbio seguro de mensagens certificadas em ambiente de nuvem. / Context: The ever increasing adoption of cloud computing has yielded several benefits, such as scalability, efficiency and profitability. However, it does present new security threats that compromise confidentiality, integrity and availability of the services offered. In this light, military organizations search for private cloud models that comply with their concerns about security, conformity and policies. Nowadays, security is the greatest obstacle for the widespread adoption of cloud computing. Objective: In this scenario, the work presented here aims, based on the analysis of the current security rules and implementations forWebServices, to define a secure architecture to mitigate the main security threats for cloud environment, as identified by the guide entitled“The NotoriousNine: CloudComputingTopThreatsin2013” issued by theCloudSecurityAlliance. Method: Through a bibliographical study about cloud computing and security in such environments, the main references on the problem were identified and used. In the sequel, a secure architecture was specified as a solution hypothesis. Such hypothesis was then evaluated through the implementation of a prototype, which has helped us to highlight the importance of such solution. Results: The main result of this work was a reference architecture that can be used to minimize the security threats in the deployment of private clouds in military organizations. Field experiments have taken into account inputs from the security mechanism patterns used, namely: WS-Policy,WS-Security e SAML. Such patterns offered the security levels needed for the secure exchange of certified messages in cloud environments.

Segurança da Informação

Web Services

Organizações Militares

Computadores em nuvem

Information Security

Web Services

Military Organizations

Cloud Computing

Espionagem corporativa por meio da internet e segurança da informação nas empresas brasileiras / Corporative espionage through internet and security of information in brazilian companies

Freitas, Vitor Hugo das Dores

12 December 2015

Submitted by Nadir Basilio (nadirsb@uninove.br) on 2016-05-13T19:31:23Z No. of bitstreams: 1 Vitor Hugo das Dores Freitas.pdf: 4490734 bytes, checksum: b281b5be1f7b51ff13fac3c9abcb43b3 (MD5) / Made available in DSpace on 2016-05-13T19:31:23Z (GMT). No. of bitstreams: 1 Vitor Hugo das Dores Freitas.pdf: 4490734 bytes, checksum: b281b5be1f7b51ff13fac3c9abcb43b3 (MD5) Previous issue date: 2015-12-12 / To achieve your goals in a highly competitive market companies use strategic confidential information, which constitute most valuable asset, which travels over the Internet and internal computer networks. This asset is targeted for corporate espionage practiced through the Internet, whose activity is growing on a global scale. The aim of this study is whether there are legal, standardized safety standards and technology for Brazilian companies dealing with corporate espionage and security of your confidential information. For this we used the hypothetical-deductive method, analysis of legal literature on trade secrets, technical literature on espionage, Internet, cyberspace, methods of attacks by the World Wide Web, malicious programs, statistics and specific cases. The results showed that: a) there are legal, standardized safety standards and technology for the prevention of corporate espionage and protection of confidential business information; b) due to cultural and financial factors, among others, companies are not giving the real importance in their strategic asset protection, confidential information; c) that adoption of physical and virtual barriers to preventive protection of confidential information constitutes a key element for business activities and their disregard not only imply negative factor for the sustainability and corporate social responsibility as well as that information loses its character confidentiality. It must be the creation of a public agency, nationwide, that has the objective of developing concrete and effective awareness policies, awareness and prevention of security incidents on the Internet as well as public forums. It is suggested that future research should be made to investigate any need for implementation in the curriculum of educational institutions, specific matters aimed at information security as a means of developing and consolidating culture on the subject. / Para a consecução de seus objetivos em mercado altamente competitivo as empresas utilizam informações confidenciais estratégicas, que se constituem em seu ativo mais valioso, as quais trafegam pela Internet e redes internas de computadores. Este ativo é visado pela espionagem corporativa praticada por meio da Internet, cuja atividade vem crescendo em escala global. O objetivo deste estudo consiste em saber se existem condições legais, normas de segurança padronizadas e tecnologia para as empresas brasileiras lidarem com a espionagem corporativa e a segurança de suas informações confidenciais. Para tanto foi utilizado o método hipotético-dedutivo, a análise da literatura jurídica sobre segredo comercial, literatura técnica sobre espionagem, Internet, ciberespaço, métodos de ataques pela rede mundial de computadores, programas maliciosos, estatísticas e casos concretos. Dos resultados obtidos se conclui que: a) existem condições legais, normas de segurança padronizadas e tecnologia para a prevenção contra a espionagem corporativa e a proteção das informações confidenciais da empresa; b) em razão de fatores culturais e financeiros, dentre outros, as empresas ainda não estão dando a devida importância na proteção de seu ativo estratégico, a informação confidencial; c) que a adoção de barreiras físicas e virtuais para a proteção preventiva da informação confidencial se constitui elemento chave para as atividades empresariais e sua desconsideração não só implica em fator negativo para a sustentabilidade e responsabilidade social corporativa como também que a informação perde seu caráter de confidencialidade. Impõe-se a criação de órgão público, de âmbito nacional, que tenha por objetivo desenvolver políticas concretas e efetivas de conscientização, sensibilização e prevenção de incidentes de segurança na Internet além de fóruns públicos. Sugere-se que futuramente sejam efetuadas pesquisas que visem apurar eventual necessidade de implementação, na grade curricular de instituições de ensino, de matéria específica voltada à segurança da informação como forma de desenvolver e consolidar cultura a respeito do assunto.

Internet

espionagem corporativa

segredo comercial

segurança da informação

Internet

corporate espionage

trade secrecy

information security

CIENCIAS SOCIAIS APLICADAS::DIREITO

Identificação das teclas digitadas a partir da vibração mecânica. / Identification of pressed keys from mechanical vibrations.

Faria, Gerson de Souza

28 November 2012

Este trabalho descreve um ataque que detecta as teclas pressionadas em teclados mecânicos pela análise das vibrações geradas quando as mesmas são pressionadas. Dois equipamentos foram experimentados no ataque: um teclado genérico de automação comercial e um terminal de ponto de venda (POS / PIN-pad). Acelerômetros são utilizados como sensores de vibração. Propositalmente, o equipamento necessário para a execução do ataque é de baixíssimo custo, de modo a ressaltar o risco das vulnerabilidades encontradas. Obtivemos taxas de sucesso médio de 69% no reconhecimento das teclas pressionadas para o terminal PIN-pad em repouso e 75% para o mesmo sendo segurado na mão. No caso de teclado de automação comercial, as taxas médias de acerto ficaram em torno de 99%. / This work describes an attack that identifies the sequence of keystrokes analyzing mechanical vibrations generated by the act of pressing keys. We use accelerometers as vibration sensors. The apparatus necessary for this attack is inexpensive and can be unobtrusively embedded within the target equipment. We tested the proposed attack on an ATM keypad and a PIN-pad. We achieved the key recognition rates of 99% in ATM keypad, 69% in PIN-pad resting on a hard surface and 75% in PIN-pad hold in hand.

Accelerometers

Acelerômetros

Arduino

Arduino

Ataque a canais secundários

ATM

ATM

Information security

Keyboards

PIN-pad

PIN-pad

Processamento de sinais

Segurança da informação

Side channel attack

Signal processing

Teclados

Tempest

Tempest

MOS - Modelo Ontológico de Segurança para negociação de política de controle de acesso em multidomínios. / MOS - Ontological Security Model for access control policy negotiation in multi-domains.

Venturini, Yeda Regina

07 July 2006

A evolução nas tecnologias de redes e o crescente número de dispositivos fixos e portáteis pertencentes a um usuário, os quais compartilham recursos entre si, introduziram novos conceitos e desafios na área de redes e segurança da informação. Esta nova realidade estimulou o desenvolvimento de um projeto para viabilizar a formação de domínios de segurança pessoais e permitir a associação segura entre estes domínios, formando um multidomínio. A formação de multidomínios introduziu novos desafios quanto à definição da política de segurança para o controle de acesso, pois é composto por ambientes administrativos distintos que precisam compartilhar seus recursos para a realização de trabalho colaborativo. Este trabalho apresenta os principais conceitos envolvidos na formação de domínio de segurança pessoal e multidomínios, e propõe um modelo de segurança para viabilizar a negociação e composição dinâmica da política de segurança para o controle de acesso nestes ambientes. O modelo proposto é chamado de Modelo Ontológico de Segurança (MOS). O MOS é um modelo de controle de acesso baseado em papéis, cujos elementos são definidos por ontologia. A ontologia define uma linguagem semântica comum e padronizada, viabilizando a interpretação da política pelos diferentes domínios. A negociação da política ocorre através da definição da política de importação e exportação de cada domínio. Estas políticas refletem as contribuições parciais de cada domínio para a formação da política do multidomínio. O uso de ontologia permite a composição dinâmica da política do multidomínio, assim como a verificação e resolução de conflitos de interesses, que refletem incompatibilidades entre as políticas de importação e exportação. O MOS foi validado através da análise de sua viabilidade de aplicação em multidomínios pessoais. A análise foi feita pela definição de um modelo concreto e pela simulação da negociação e composição da política de controle de acesso. Para simulação foi definido um multidomínio para projetos de pesquisa. Os resultados mostraram que o MOS permite a definição de um procedimento automatizável para criação da política de controle de acesso em multidomínios. / The evolution in the network technology and the growing number of portable and fixed devices belonging to a user, which shares resources, introduces new concepts and challenges in the network and information security area. This new reality has motivated the development of a project for personal security domain formation and security association between them, creating a multi-domain. The multi-domain formation introduces new challenges concerning the access control security policy, since multi-domains are composed by independent administrative domains that share resources for collaborative work. This work presents the main concept concerning the personal security domains and multi-domains, and proposes a security model to allow the dynamic security policy negotiation and composition for access control in multi-domain. The proposed model is called MOS, which is an ontological security model. The MOS is a role-based access control model, which elements are defined by an ontology. The ontology defines a semantic language, common and standardized, allowing the policy interpretation by different domains. The policy negotiation is made possible by the definition of the policy importation and exportation in each domain. These policies mean the partial contributions of each domain for the multi-domain policy formation. The use of ontology allows the dynamic multi-domain policy composition, as well as the verification and resolution of interest conflicts. These conflicts mean incompatibilities between the importation and exportation policy. The MOS was validated through the viability analysis for personal multi-domain application. The analysis was made through the definition of a factual model and the simulation of access control policy negotiation and composition. The simulation was taken place through the definition of a collaborative research projects multi-domain. The results demonstrate the MOS is feasible for implementation in automatic procedures for multi-domain access control policy creation.

Access control

Ad hoc computer network

Distributed system

Information security

Ontologia

Ontology

Política de segurança

Redes de computadores ad hoc

Security policy

Segurança da informação

Sistemas distribuídos

Análise de segurança em criptografia e esteganografia em sequências de imagens / Analysis of the cryptography security and steganography in images sequences

Oliveira, Fábio Borges de

14 February 2007

Made available in DSpace on 2015-03-04T18:50:49Z (GMT). No. of bitstreams: 1 Dissertacao.pdf: 3034546 bytes, checksum: 5e2004dbb50f098736d630710e806e70 (MD5) Previous issue date: 2007-02-14 / Coordenacao de Aperfeicoamento de Pessoal de Nivel Superior / Information security is being considered of great importance to the private and governamental institutions. For this reason, we opted to conduct a study of security in this dissertation. We started with an introduction to the information theory, and then we proposed a new kind of Perfect Secrecy cryptographic and finally made a study of steganography in an image sequence, in which we suggest a more aggressive steganography in coefficients of the discrete cosine transform. / A segurança da informação vem sendo considerada de grande importância para as instituições privadas e governamentais. Por este motivo, optamos em realizar um estudo sobre segurança nesta dissertação. Iniciamos com uma introdução à teoria da informação, partimos para métodos de criptografia onde propomos um novo tipo de Segredo Perfeito e finalmente fazemos um estudo de esteganografia em uma sequência de imagens, onde propomos uma esteganografia mais agressiva nos coeficientes da transformada discreta de cosseno.

Criptografia

Segurança da Informação

Esteganografia

Processamento de imagens

Compressão de dados

Criptography

Data Security

Steganography

Image processing