31 |
Uma proposta de um modelo de confiança computacional para grupos em sistemas distribuídos / A proposal of a computational trust model for goups in distributed systemsAlbuquerque, Robson de Oliveira 08 August 2008 (has links)
Tese (doutorado)—Universidade de Brasília, Instituto de Ciências Biológicas, Departamento de Biologia Celular, 2008. / Submitted by Diogo Trindade Fóis (diogo_fois@hotmail.com) on 2009-10-06T15:43:43Z
No. of bitstreams: 1
2008_RobsonOAlbuquerque.pdf: 1497695 bytes, checksum: 8edb0fe1b2ddfce3ce0a4b0f902c68fa (MD5) / Approved for entry into archive by Gomes Neide(nagomes2005@gmail.com) on 2010-10-14T16:04:13Z (GMT) No. of bitstreams: 1
2008_RobsonOAlbuquerque.pdf: 1497695 bytes, checksum: 8edb0fe1b2ddfce3ce0a4b0f902c68fa (MD5) / Made available in DSpace on 2010-10-14T16:04:13Z (GMT). No. of bitstreams: 1
2008_RobsonOAlbuquerque.pdf: 1497695 bytes, checksum: 8edb0fe1b2ddfce3ce0a4b0f902c68fa (MD5)
Previous issue date: 2008-08-08 / A representação da confiança e da reputação em sistemas computacionais é um desafio em sistemas distribuídos. Nesses sistemas, a aplicação da confiança e da reputação busca contribuir com a segurança da informação, de forma a dar uma garantia mínima de realizar transações seguras sem uma autoridade central de controle. Nessa perspectiva, a confiança e a reputação se tornaram objeto de pesquisas científicas tanto do ponto de vista teórico quanto prático em MANET (mobile ad hoc networks), sistemas peer-to-peer (P2P) e grids computacionais, entre outros domínios. Em conseqüência, diversos trabalhos foram apresentados na tentativa de resolução dos problemas decorrentes da aplicação da confiança e da reputação. Entretanto, não há um consenso em torno do tema, principalmente porque existem muitos modelos distintos, muitas vezes complementares, que tratam de problemas envolvendo a aplicação da confiança e da reputação. Uma das questões ainda em aberto consiste das situações em que os sistemas distribuídos se destinam à interoperação ou ao interelacionamento entre grupos de entidades, contexto em que a confiança e a reputação são promissoras como fatores de escalabilidade, desempenho e garantia de transações. Para tais situações, esta tese apresenta uma proposta de um modelo de confiança para grupos em sistemas distribuídos, visando solucionar alguns pontos em aberto, especificamente no que se refere à representação da confiança entre grupos através de um modelo matemático, além do consenso quanto à confiança intra-grupo considerando questões de identidade dos participantes e à definição de líderes. Este trabalho, além de ter base na revisão da literatura sobre confiança e da reputação, que se encontra apresentada na tese, é também voltado para a demonstração prática dos conceitos propostos com a aplicação das definições de confiança e reputação em sistemas distribuídos, considerando a formação de grupos, o que é realizado através da implementação do modelo de confiança proposto para grupos em sistemas distribuídos baseados em P2P e sistemas de agentes de software, envolvendo simulações de serviços de um grid computacional. Esse ambiente experimental permite demonstrar alguns resultados da confiança em grupos segundo o modelo apresentado em termos de reusabilidade. _______________________________________________________________________________ ABSTRACT / The representation of trust and reputation in computational systems is a challenge in distributed systems. In such systems, the application of trust and reputation tries to contribute with the information security area in order to guarantee secure transactions without a central control authority. Considering this approach, trust and reputation has become research interest in scientific theory and practical implementations in mobile ad hoc networks (MANET), peer-to-peer (P2P) systems, computational grids, and others research areas. As consequence, several research works have been published in order to try to solve specific problems considering the application of trust and reputation in distributed systems, but without a common consensus in the subject. One reason for this problem is because there are a lot of different models, sometimes complementary, that deals with trust and reputation and its application scenarios in distributed systems. Some open issues regarding trust and reputation consists in situations that in distributed systems there are the necessity of interaction in groups, particularly in its representation considering a mathematical model, besides the consensus in trust inside a group regarding the identification of its members and a unique leader, preferentially chosen using trust and reputation criteria. This thesis moreover based in the literature review about trust and reputation herein presented, also shows some practical results considering a proposed group trust model in distributed systems using trust and reputation approach. The results are shown considering P2P networks and software agent systems simulating a computational grid. The experimental environment allowed the demonstration of some results in group trust following the definition of the presented model in terms of reusability.
|
32 |
Um ambiente experimental para análise de ataques de negação de serviçoCanêdo, Daniel Rosa 13 December 2006 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2006. / Submitted by Diogo Trindade Fóis (diogo_fois@hotmail.com) on 2009-11-13T16:46:23Z
No. of bitstreams: 1
2006_Daniel Rosa Canêdo.pdf: 1957504 bytes, checksum: a71311c686e6404a15f764d68cea8089 (MD5) / Approved for entry into archive by Gomes Neide(nagomes2005@gmail.com) on 2010-10-25T12:50:22Z (GMT) No. of bitstreams: 1
2006_Daniel Rosa Canêdo.pdf: 1957504 bytes, checksum: a71311c686e6404a15f764d68cea8089 (MD5) / Made available in DSpace on 2010-10-25T12:50:22Z (GMT). No. of bitstreams: 1
2006_Daniel Rosa Canêdo.pdf: 1957504 bytes, checksum: a71311c686e6404a15f764d68cea8089 (MD5)
Previous issue date: 2006-12-13 / Realizou-se um estudo sobre o ataque de negação de serviço e negação de serviço distribuído, abordando definições a respeito destes ataques, e os procedimentos utilizados para sua execução. Criou-se e analisou-se um ambiente de execução deste ataque e definiu-se uma metodologia de ações a serem executadas por organizações para se defenderem e se prevenirem do ataque. __________________________________________________________________________________________ ABSTRACT / The work described in this dissertation has for objective to do a study about the attack denial of service and distributed denial of service, accomplishing definitions regarding these attacks, as well as the procedures used for your execution. This dissertation also has the objective of to create and to analyze an atmosphere of execution of this attack, defining a methodology of actions be executed by organizations to defend and to take precautions of the attack.
|
33 |
Um estudo sobre a aderência das instituições da Rede Federal de Educação Profissional, Científica e Tecnológica ao correio eletrônico proposto no Decreto 8.135/2013BATISTA, Vicente de Paulo 14 June 2017 (has links)
Submitted by Pedro Barros (pedro.silvabarros@ufpe.br) on 2018-09-20T20:44:51Z
No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
DISSERTAÇÃO Vicente de Paulo Batista.pdf: 2048176 bytes, checksum: f5f1d5c82be6c3f304a8f5298fa07ef2 (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-09-21T18:22:14Z (GMT) No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
DISSERTAÇÃO Vicente de Paulo Batista.pdf: 2048176 bytes, checksum: f5f1d5c82be6c3f304a8f5298fa07ef2 (MD5) / Made available in DSpace on 2018-09-21T18:22:14Z (GMT). No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
DISSERTAÇÃO Vicente de Paulo Batista.pdf: 2048176 bytes, checksum: f5f1d5c82be6c3f304a8f5298fa07ef2 (MD5)
Previous issue date: 2017-06-14 / Como resposta às denúncias feitas pelo o ex-técnico da CIA (Central Intelligence Agency), Edward Snowden, relatando o caso de espionagem contra o Brasil, foi sancionado o Decreto 8.135/2013, o qual dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, e adota os serviços de correio eletrônico e suas funcionalidades complementares oferecidos por órgãos e entidades da administração pública, devendo possuir características que permitam a auditoria. Considerando tal normativa, este trabalho buscou efetuar um estudo sobre a aderência das instituições que compõem a Rede Federal de Educação Profissional, Científica e Tecnológica ao correio eletrônico nos moldes do decreto. Para tanto, utilizou-se de pesquisa bibliográfica e aplicação de questionário eletrônico, o qual foi enviado aos membros das Diretorias Gerais de Tecnologia da Informação (DGTI) das quarenta e duas (42) instituições da Rede Feral de Educação. Considerando a participação de 92% das instituições pesquisadas, os resultados obtidos com a pesquisa permitiram identificar a pouca adesão por parte dessas instituições à proposta do correio eletrônico auditável apresentada no decreto, pois somente 31% disseram utilizar um e-mail que permita a auditoria, como também a preferência de 69% dessas instituições pela utilização de um correio eletrônico não auditável, mesmo existindo o conhecimento por parte de 90% das instituições pesquisadas, quanto à existência da normativa. A respeito dos fatores considerados impeditivos para a adesão ao decreto, destaca-se a indicação feita por vinte e cinco (25) instituições que não aderiram à proposta do decreto, e 84% delas disseram que o motivo é por usarem atualmente uma ferramenta que atende às demandas e não gera custos para a instituição; 36% delas alegaram que é pela resistência dos usuários em adaptar-se a um novo correio eletrônico, e outros 36% alegaram que é por achar que a proposta do decreto não está bem definida. Outros fatores foram apresentados, somando 28% das indicações e todos eles estão relacionados à questões orçamentária. Com relação às sugestões apresentadas pelas vinte e cinco (25) instituições que responderam a pesquisa para que possa haver a adesão, 84% delas sugerem que o correio eletrônico proposto tenha um gerenciamento local, mas que não tenha custos para a instituição, enquanto que 68% não deseja ter nenhuma responsabilidade com o correio eletrônico. Outras sugestões apresentadas somaram 16% e dentre elas cita-se a necessidade de recursos orçamentários; que o gerenciamento seja feito por outros órgãos públicos e também cobrem a adesão massiva por parte dos órgãos do governo federal à proposta do decreto. Este estudo também propõe medidas para incentivar a adoção de um correio eletrônico auditável, mantido pela Rede Federal de Educação, de modo a amenizar os riscos com a segurança da informação na administração pública federal, e como forma de cumprimento da proposta do decreto. / In response to the denunciations made by the former CIA technician, Edward Snowden, reporting the espionage case against Brazil, Decree 8.135 / 2013, which provides for data communications of the direct federal public administration, autarchic and foundational, and adopts the electronic mail services along with their complementary functionalities offered by public administration bodies and entities, and must possess characteristics that allow the audit. Considering this normative, this work sought to carry out a study on the adherence of the institutions that take part in the Federal Network of Professional, Scientific and Technological Education to the electronic mail according to the decree. For this purpose, a bibliographic research and electronic questionnaire application was used, which was sent to the members of the Information Technology General Offices of the forty-two (42) institutions of the Federal Education Network. Considering the participation of 92% of the institutions surveyed, the results obtained with the research allowed the identification of the low adherence by such institutions to the proposal of the electronic mail presented in the decree, since only 31% said they use an e-mail that allows the audit, as well as the preference of 69% of these institutions for the use of non-auditable electronic mail, even though there was 90% knowledge of the institutions surveyed regarding the existence of regulations. Regarding the factors considered to impair adherence to the decree, the most noteworthy is the indication made by twenty-five (25) institutions that did not adhere to the proposal of the decree, and 84% of them said that the reason is for using currently a tool that meets demands and does not generate costs for the institution; 36% of them claimed that it is because of the resistance of users to adapt to a new e-mail, and another 36% claimed that it is because they think the proposal of the decree is not well defined. Other factors were presented, accounting for 28% of the indications and all of them are related to the budget issues. Concerning the suggestions presented by the twenty-five (25) institutions that answered the survey, 84% of them suggest that the proposed electronic mail should have local management, but that it may have no costs for the institution, while 68% do not wish to be held responsible for electronic mail. Other suggestions reached 16%, among them the need for budgetary resources; the management should be carried out by other public agencies that should also enforce a massive adhesion by the organs of the federal government to the decree. This study also proposes measures to encourage the adoption of an auditable electronic mail, maintained by the Federal Education Network, as a way to mitigate the risks to the safety of the federal public administration information, as well as a means to fulfill the decree.
|
34 |
Gestão da segurança da informação em bibliotecas: elementos para elaboração de uma política de segurança da informação na Biblioteca Central da Universidade Federal da ParaíbaSouza, Fernando Antonio Ferreira de 02 August 2017 (has links)
Submitted by Fernando Souza (fernando@biblioteca.ufpb.br) on 2017-10-03T16:52:37Z
No. of bitstreams: 1
arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5) / Made available in DSpace on 2017-10-03T16:52:37Z (GMT). No. of bitstreams: 1
arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5)
Previous issue date: 2017-08-02 / The information protection has become an extremely critical factor for organizations and Government
entities. This involves not only the conventional environment, but also the technological and
informational networking infrastructure. This study set out to address the information security as part
of a University Library context. Even though a familiar environment with the information
management processes, the libraries come suffering with problems related to lack of information on
security management. For this purpose, this research studies the elements of information security
management that allow the elaboration of a minute of information security policy for the Central
Library of the Federal University of Paraíba. As the methodological aspects, is characterized as
qualitative, descriptive type. As instrument methodology of data collection, tabulation and analysis,
uses the Facilitated Process of risk analysis and assessment (FRAAP), which was supplemented with
quiz and analysis of content according to Bardin. The results indicat a group of fifteen threats, among
which detected nine physical threats, two logical threats and four threats related to processes. Finally,
it was found that the Central Library of UFPB needs to reflect on an action plan directed to
information security, to guarantee the confidentiality, integrity and safeguard of the organization's
critical management information. With the results, it is expected to contribute with information
security in the context of the Central Library of UFPB with the proposed minute information security
policy, enabling new contributions to the development of the processes of management of the
University Library. / A proteção da informação tornou-se fator de extrema criticidade para as organizações e
entidades de governo. Esta envolve não somente o ambiente convencional, mas a
infraestrutura tecnológica e de redes informacionais. Este estudo se propôs abordar a
Segurança da Informação no âmbito de uma biblioteca universitária. Mesmo sendo um
ambiente familiarizado com os processos de gestão da informação, as bibliotecas vêm
sofrendo com os problemas relacionados à falta de gestão da segurança da informação. Para
tanto, esta pesquisa estuda os elementos de Gestão da Segurança da Informação que permitam
a elaboração de uma minuta de Política de Segurança da Informação para a Biblioteca Central
da Universidade Federal da Paraíba. Quanto os aspectos metodológicos, se caracteriza como
qualitativa, do tipo descritiva. Como instrumento metodológico de coleta de dados, tabulação
e análise, utiliza o Processo Facilitado de Análise e Avaliação de Risco (FRAAP), que foi
complementado com questionário e a análise de conteúdo conforme Bardin. Os resultados
apresentados indicam um grupo de quinze ameaças, dentre as quais se detectou nove ameaças
físicas, duas ameaças lógicas e quatro ameaças relacionadas aos processos gerenciais. Por fim,
verifica-se que a Biblioteca Central da UFPB necessita refletir sobre um plano de ação
direcionado à segurança da informação, para a garantia de confidencialidade, integridade e
salvaguarda das informações gerenciais críticas da organização. Com os resultados, espera-se
contribuir com a Segurança da Informação no âmbito da Biblioteca Central da UFPB com
uma proposta de minuta para Política de Segurança da Informação, permitindo novas
contribuições para o desenvolvimento dos processos de gestão da Biblioteca Universitária.
|
35 |
Gestão da segurança da informação : o caso do Grupo LactogalCoutinho, Susana Paula da Silva January 2012 (has links)
Trabalho realizado na Lactogal - Produtos Alimentares, S.A., orientado pela Eng.ª Teresa Sampaio / Tese de mestrado. Engenharia de Serviços e Gestão. Faculdade de Engenharia. Universidade do Porto. 2012
|
36 |
Proposta e implementação de uma política de controle de acesso às informações em ambiente de microinformática.Angelo Sebastião Zanini 00 December 1999 (has links)
Este trabalho propõe uma política de controle de acesso à informações voltada à realidade do uso intensivo da microinformática, como Plataforma-Padrão nas organizações. São discutidos os principais problemas quanto a segurança de informações neste ambiente e mostradas as deficiências da tradicional política proposta pelo Departamento de Defesa dos USA, conhecido como Orange Book, para resolvê-los, dadas suas características. São mostrados os problemas relativos a segurança em função das peculiaridades da microinformática, quanto a arquitetura dos computadores e sistemas operacionais freqüentemente utilizados. Também é proposto um novo modelo de política de controle de acesso denominado Realistic Role-Acess Control - R2BAC que venha saná-los. A R2BAC é apresentada através de um modelo formal, discutindo seus vários aspectos e possibilidades de enfrentamento dos problemas relativos à segurança neste ambiente. Visando testá-la, são discutidas as possibilidades e adotada uma implementação, além de discutidos os aspectos tecnológicos relevantes para viabilizá-la. Esta implementação é levada a cabo, através do desenvolvimento das ferramentas de software necessárias, bem como averiguada sua eficiência através da implantação em ambiente acadêmico, escolhido como cenário de testes devido ao seu caráter heterogêneo e aberto às inovações. Finalmente são apresentados os resultados obtidos através da análise comparativa em relação a incidência de problemas relativos à segurança, antes e depois, da implantação da política. Este trabalho conclui a eficácia da política proposta no ambiente testado e salienta sua eficácia como política de controle e de acesso, bem como, direciona a continuidade da pesquisa, obtendo-se pleno sucesso.
|
37 |
Planeamento e implementação de um sistema de gestão da segurança da informaçãoSilva, Bruna Patrícia Ribeiro Alves da January 2011 (has links)
Tese de mestrado integrado. Ciência da Informação. Faculdade de Engenharia. Universidade do Porto. 2011
|
38 |
Análise de Percepções de Segurança da Informação por meio da Engenharia Semiótica e da Teoria do UmweltMelo, Rodrigo Gomes Vieira de 11 November 2016 (has links)
Submitted by Mayara Nascimento (mayara.nascimento@ufba.br) on 2017-05-31T11:17:55Z
No. of bitstreams: 1
Análise de Percepções de Segurança da Informação por meio Copy.pdf: 2013613 bytes, checksum: 3e82155de7be0cb2e3bd0d4e8c370848 (MD5) / Approved for entry into archive by Vanessa Reis (vanessa.jamile@ufba.br) on 2017-06-01T13:05:28Z (GMT) No. of bitstreams: 1
Análise de Percepções de Segurança da Informação por meio Copy.pdf: 2013613 bytes, checksum: 3e82155de7be0cb2e3bd0d4e8c370848 (MD5) / Made available in DSpace on 2017-06-01T13:05:28Z (GMT). No. of bitstreams: 1
Análise de Percepções de Segurança da Informação por meio Copy.pdf: 2013613 bytes, checksum: 3e82155de7be0cb2e3bd0d4e8c370848 (MD5) / A forma como os humanos interagem com os computadores sempre foi uma preocupação da
Ciência da Computação. Durante décadas, a interação que outrora ocorria por meio de linhas
de comando, em modo texto, ganhou dimensões, cores e adeptos. As interfaces surgiram com
o propósito de tornar mais intuitiva a utilização das máquinas. Todavia, surgiram também
alguns problemas, dentre eles, destacam-se os ataques cibernéticos por invasão de interfaces
de aplicações Web por meio dos crackers. Durante um processo de interação humanocomputador
em um sistema com falha de segurança, o discurso de metacomunicação emitido
pelo designer pode ser, por exemplo, transmitido pelo cracker “disfarçado” de designer. De
modo que no uso cotidiano de sistemas de informação temos o cracker como um sujeito
onipresente, atuando ora no papel de usuário, ora no papel de designer. Na perspectiva da
Interação Humano-Computador (IHC), a Engenharia Semiótica (EngSem) define a interação como um processo de metacomunicação entre designers e usuários, por meio da interface.
Considerando essa perspectiva, esta pesquisa teve o objetivo de analisar e compreender as
percepções de segurança da informação de tipos de sujeitos – usuários, designers e crackers -
a partir das mensagens de metacomunicação de interface de software por meio da Teoria do
Umwelt. Para alcançar o objetivo, considerou-se uma abordagem qualitativa de pesquisa, por
meio dos Métodos de Inspeção Semiótica (MIS) e de Avaliação da Comunicabilidade (MAC),
ambos da EngSem, para levantamento de dados sobre os processos de significação,
interpretação e comunicação por meio da interface de um sistema web. A partir dos resultados
concluiu-se que signos de metacomunicação de interfaces de software de segurança da
informação não necessariamente influenciam na percepção do sujeito (usuário), por não serem
totalmente percebidos, principalmente pelos usuários que não possuem conhecimentos
específicos em segurança da informação. Adicionalmente, concluiu-se que elementos da
Teoria do Umwelt articulados com métodos da Engenharia Semiótica podem contribuir para
o uso de software de informação seguro e adequado ao uso.
|
39 |
Proteção da prova documental impressa e digitalizada com a utilização de watermarking / Protection of documentary evidence printed and scanned with watermarkingFerreira, Felippe Pires 07 November 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Camila Duarte (camiladias@bce.unb.br) on 2017-01-16T12:52:56Z
No. of bitstreams: 1
2016_FelippePiresFerreira.pdf: 5509946 bytes, checksum: 5ff89a0c4b973f8f4e9b9d66d74e9845 (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-02-13T21:19:04Z (GMT) No. of bitstreams: 1
2016_FelippePiresFerreira.pdf: 5509946 bytes, checksum: 5ff89a0c4b973f8f4e9b9d66d74e9845 (MD5) / Made available in DSpace on 2017-02-13T21:19:04Z (GMT). No. of bitstreams: 1
2016_FelippePiresFerreira.pdf: 5509946 bytes, checksum: 5ff89a0c4b973f8f4e9b9d66d74e9845 (MD5) / Neste trabalho é proposto um método para disponibilização de documentos sigilosos durante inquéritos policiais, processos judiciais, ou que exijam compartimentalização das informações, introduzindo o elemento de segurança conhecido como watermark nas cópias dos documentos. O principal objetivo é permitir vincular este elemento a uma cópia de documento a seu destinatário inicial, e em casos de vazamento de informação permitirá identificar a origem da cópia. O método é baseado na semelhança entre caracteres de diferentes fontes de texto, os quais serão utilizados para criação de uma codificação identificadora da origem do documento, e possibilitar a inclusão de uma watermark em um documento eletrônico editável, bem como recuperá-la em documentos impressos ou digitalizados, bastando apenas um fragmento do texto. / This work proposed a method for available classified documents during the police investigation, judicial proceedings, or requiring compartmentalization of information, introducing the security element known as watermarking in copies of documents. This element will link a document copy to its initial recipient, and in cases of information leakage will identify the origin of the copy. The method is based on the similarity between characters of different fonts of text, which will be used to create a code identifying of the origin document, and include a watermark in an editable electronic document and retrieve it in printed or scanned documents, just by a fragment of text.
|
40 |
Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração públicaPeclat, Rodrigo Nunes 09 July 2015 (has links)
Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência Da Computação, 2015. / Submitted by Raquel Viana (raquelviana@bce.unb.br) on 2015-10-20T20:47:11Z
No. of bitstreams: 1
2015_RodrigoNunesPeclat.pdf: 2464217 bytes, checksum: e46d7bb49dc43bfc693c6a4eafc4dc6e (MD5) / Approved for entry into archive by Patrícia Nunes da Silva(patricia@bce.unb.br) on 2015-12-01T20:46:58Z (GMT) No. of bitstreams: 1
2015_RodrigoNunesPeclat.pdf: 2464217 bytes, checksum: e46d7bb49dc43bfc693c6a4eafc4dc6e (MD5) / Made available in DSpace on 2015-12-01T20:46:58Z (GMT). No. of bitstreams: 1
2015_RodrigoNunesPeclat.pdf: 2464217 bytes, checksum: e46d7bb49dc43bfc693c6a4eafc4dc6e (MD5) / Software seguro é aquele que tem seus riscos de segurança adequadamente geridos. Por recomendação legal, sua produção é um objetivo a ser alcançado pelos seus gestores de tecnologia da informação da Administração Pública Federal (APF). Entretanto, não apenas o governo brasileiro, como também o mercado nacional enfrentam uma escassez de especialistas nesse domínio, que possam fomentar tecnicamente iniciativas obtenção desse tipo de software em suas organizações. Esse fato aliado ao estado atual das técnicas de mineração de texto, particularmente às relacionadas ao processamento de linguagem natural e à classificação multirrótulo, motivam este trabalho no estudo de uma solução que compreenda a semântica de períodos textuais escritos em português e os associe a riscos de segurança previamente definidos, como os do OWASP Top Ten. Busca-se contribuir para a melhoria de editais de licitação de fábricas de software na APF por prover uma opção computacional, às equipes de elaboração e revisão desses documentos, que permita realizar automaticamente avaliações da integração da gestão de riscos de segurança aos métodos descritos nessas especificações. Após estudar essa solução diante de cerca de 120 mil sentenças extraídas de repositórios como OWASP ASVS e termos de referência de aquisições da Administração Pública brasileira, realizouse um survey junto a grupos de engenharia de software e de segurança da informação coletando a avaliação deles sobre uma amostra desses períodos, permitindo a comparação do seu desempenho em relação à opinião especializada por meio de métricas como Precisão, Recall, Perda de Hamming e Previsão de Valores Negativos. Após uma série de modificações sobre essa solução, chega-se uma versão com uma Perda de Hamming significativamente melhor do que a provida pela opinião especializada, bem como com uma capacidade de previsão da ausência de tratamento de risco em sentenças presentes em editais e termos de referência estatisticamente tão boa quanto à dos especialistas envolvidos nesse survey, trazendo assim novas perspectivas para trabalhos futuros no desenvolvimento de uma solução computacional a ser utilizada para a obtenção de software seguro em contratações de fábricas de software. ______________________________________________________________________________________________ ABSTRACT / Secure software has its security risks well managed regarding vulnerabilities. IT managers in the Brazilian Federal Public Sector (APF) are legally required to strive for software security. However, only a small number of software security professionals are employed in the technical support for development, maintenance and acquisition of such software in their public organizations. This problem, combined with recent advances in text mining, especially in natural language processing and multi-label classification, motivate this work on research for a computational solution that can understand the semantics of sentences in documents written in Portuguese and connect them to previously defined software security risks, such as OWASP Top Ten. This solution (A2E) can improve the software factories bidding process of the APF by providing the authors and reviewers of technical specifications with a computational tool which can automatically evaluate the integration between security risks management and software processes described in these documents. After applying A2E to more than 120 thousand sentences extracted from OWASP ASVS and past APF specifications, a survey was conducted to compare its performance with the opinion of software engineers and security specialists through objective metrics like Precision, Recall, Hamming Loss and Negative Predictive Values (NPV). A2E’s final version, after a series of improvements in the development process, obtained a significantly better Hamming Loss measure when compared to the specialists’ assessments. Additionally, experiments showed that its NPV is statistically as good as the NPV from the surveyed experts. These results bring interesting new perspectives to future of software security in APF biddings.
|
Page generated in 0.0348 seconds