Universidade Estácio de Sá      Pós-Graduação Segurança em Redes de ComputadoresEstado da Arte do Controle de Acesso – Dom...
Universidade Estácio de Sá      Pós-Graduação Segurança em Redes de ComputadoresEstado da Arte do Controle de Acesso – Dom...
RESUMO       De nada adiantaria um grande aparato de componentes tecnológicos paraincrementar a segurança de um ambiente s...
ABSTRACT       Optimization a large apparatus of technological components to increase thesecurity of an environment if the...
Sumário1.1 – Controle de Acesso - Biometria ............................................................................ 7...
Lista de Figuras1.1 – Biometria pela mão ....................................................................................
71. Introdução1.1 – Controle de Acesso - Biometria                  Em segurança, especialmente segurança física, o termo ...
81.2 – Porque usar biometria?               Até os dias de hoje, uma das formas de identificação mais usadas é aaplicação ...
91.4 – Identificador por biométrica de mão               A foto abaixo mostra um dispositivo que faz identificação por mei...
101.5 –Identificação por impressão digital               O aparelho visto abaixo funciona de maneira semelhante ao do tópi...
11                                  Figura 1.3 – Leitura pela íris                                          Fonte: W-acess...
122.3 – Versatilidade             Possui saída a relé, interface wiegand para leitora de saída, interface paramódulo biomé...
132.8 – Modelo Biométrico                             Figura 1.4 – Aparelho Biométrico                                    ...
14    •   Até quatro idiomas selecionáveis por operador com ferramentas de tradução        integradas.   •    Multi-site: ...
153.5–Cadastros de usuários   •   Cadastro com campos customizáveis   •   Campos para busca rápida configuráveis por tipo ...
16Figura 1.5 – Software de gestão Biométrico              Fonte: W-acessFigura 1.6 – Software de gestão Biométrico        ...
174. Resultados Obtidos4.1 – Resultado       Essa pesquisa nos resulta em um trabalho que demostra uma tecnologiaavançada ...
18Referências Bibliográficas[1] IBG Professional Serviceshttps://ibgweb.com/sites/default/files/IBG%20Overview.pdf< Página...
Upcoming SlideShare
Loading in …5
×

Estado da arte do controle de acesso

1,073 views

Published on

Controle de Acesso -ISO 27002

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,073
On SlideShare
0
From Embeds
0
Number of Embeds
148
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Estado da arte do controle de acesso

  1. 1. Universidade Estácio de Sá Pós-Graduação Segurança em Redes de ComputadoresEstado da Arte do Controle de Acesso – Domínio A.11- ISO 27002 Diego dos Santos Souza Igor Antonio Leandro Alberto Rafael Sampaio Rio de Janeiro 2012
  2. 2. Universidade Estácio de Sá Pós-Graduação Segurança em Redes de ComputadoresEstado da Arte do Controle de Acesso – Domínio A.11- ISO 27002 Diego dos Santos Souza Igor Antonio Leandro Alberto Rafael Sampaio Trabalho apresentado em cumprimento à disciplina, Práticas e Modelos de Segurança, do curso de Pós-Graduação em Segurança de Redes de Computadores, com pré-requisito para aprovação da mesma. Orientador, Profª Sheila de Góes Monteiro. Rio de Janeiro 2012
  3. 3. RESUMO De nada adiantaria um grande aparato de componentes tecnológicos paraincrementar a segurança de um ambiente se os mesmos não fossem regidos por umapolítica de segurança. Dentro destas políticas de segurança existem certas áreas quecontrolam a forma em que os dados devem ser acessados. Esta área é chamada decontrole de acesso. Apesar de parecer um tema simplório e de simples entendimentogeral do público, esta tem se tornado uma área de bastante atenção devido ás máspráticas de gerenciamento de controle de acesso. Um problema muito comum que causaesta área ser tão crítica é o acúmulo errado de privilégios. Nesse artigo iremos mostraralgumas tecnologias de controle de acesso. Palavras-Chave: (Controle de Acesso, Sistemas de Segurança da Informação).
  4. 4. ABSTRACT Optimization a large apparatus of technological components to increase thesecurity of an environment if they were not governed by a security policy. Within theseareas there are certain security policies that control the way in which the data should beaccessed. This area is called access control. Although it seems a simpleton theme simpleand general understanding of the public, this has become an area of much attention dueto the bad practices of access control management. A very common problem that causesthis area be so critical is the wrong accumulation of privileges. In this article we willshow some access control technologies. Keywords: (access control, information security Systems)
  5. 5. Sumário1.1 – Controle de Acesso - Biometria ............................................................................ 71.2 – Porque usar biometria? ........................................................................................ 81.3 – Tipos de identificação biométrica ........................................................................ 81.4 – Identificador por biométrica de mão ................................................................... 91.5 –Identificação por impressão digital ..................................................................... 101.6- Identificação pela leitura da Iris .......................................................................... 102. Propostas Tecnológicas ............................................................................................ 112.1 –Terminal biométrico WXS-B0210D .................................................................... 112.2 – Integração ............................................................................................................. 112.3 – Versatilidade ........................................................................................................ 122.4 – Alta confiabilidade............................................................................................... 122.5 – Projeto industrial ................................................................................................. 122.6 – Alto Desempenho ................................................................................................. 122.7– Fácil de instalar..................................................................................................... 122.8 – Modelo Biométrico .............................................................................................. 133. Software de Gestão ................................................................................................... 133.1 – O software ............................................................................................................ 133.2 – Especificações técnicas ........................................................................................ 133.3– Segurança .............................................................................................................. 143.4 – Controle de acesso ............................................................................................... 144. Resultados Obtidos ................................................................................................... 174.1 – Resultado .............................................................................................................. 174.2 – Conclusão ............................................................................................................. 17Referências Bibliográficas ........................................................................................... 18
  6. 6. Lista de Figuras1.1 – Biometria pela mão ............................................................................................091.2 – Impressão digital .................................................................................................101.3 – Leitura pela íris ...................................................................................................111.4 – Aparelho Biométrico............................................................................................131.5 – Software de gestão................................................................................................171.6 – Software de gestão................................................................................................17
  7. 7. 71. Introdução1.1 – Controle de Acesso - Biometria Em segurança, especialmente segurança física, o termo controle de acessoé uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala,apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através depessoas (um guarda, segurança ou recepcionista); através de meios mecânicos comofechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseadosem cartões de acesso. Na segurança da informação o controle de acesso é composto dos processos deautenticação, autorização e auditoria (accounting). Neste contexto o controle de acessopode ser entendido como a habilidade de permitir ou negar a utilização de um objeto(uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidadeativa, como um indivíduo ou um processo). A autenticação identifica quem acessa osistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoriadiz o que o usuário fez. Dentro de controle de acesso existe a Biometria, é o que vamos abordar nesteartigo dando ênfase no que é e quais as tecnologias são usadas atualmente. Em poucas palavras, Biometria (do grego Bios = vida, metron = medida) é o usode características biológicas em mecanismos de identificação. Entre essas característicastem-se a íris (parte colorida do olho), a retina (membrana interna do globo ocular), aimpressão digital, a voz, o formato do rosto e a geometria da mão. Há ainda algumascaracterísticas físicas que poderão ser usadas no futuro, como DNA(DeoxyribonucleicAcid) e odores do corpo. O uso de características biológicas para identificação se mostra como uma ideiaviável porque cada pessoa possui as características mencionadas diferentes das outras.Por exemplo, não há ninguém com a voz igual, com a mesma impressão digital ou comolhos exatamente idênticos, até mesmo entre irmãos gêmeos muito parecidos hádiferenças.
  8. 8. 81.2 – Porque usar biometria? Até os dias de hoje, uma das formas de identificação mais usadas é aaplicação de senhas. Por exemplo, o acesso a um site de banco requer que o usuárioinforme o número de sua agência, o número de sua conta e uma senha. Dependendo daoperação a ser feita, outra senha pode ser requerida. Há também o uso de cartões com chips ou com dispositivos magnéticosque permitem a identificação de um indivíduo através de uma simples leitura. Isso écomum, por exemplo, em crachás ou em lugares cuja porta só se abre se o cartão lidotiver privilégios para tal. O grande problema desses métodos é que qualquer pessoa pode conseguira senha ou o cartão. Por exemplo, um funcionário pode esquecer seu crachá em cima deuma mesa e outro pode capturá-lo para ter acesso a áreas proibidas. Uma pessoa podeser forçada por um assaltante a fornecer um cartão de banco e a senha de sua conta.Neste caso, para o sistema bancário, o proprietário é que o estará acessando. Emresumo, não há como garantir a exclusividade dessas informações de identificaçãoporque qualquer pessoa pode capturá-las. Com a biometria, esse problema é extinto ou, pelo menos, amenizado.Embora nada impeça os dispositivos de identificação biométrica de serem enganados, émuito difícil copiar uma característica física e, dependendo do que é usado naidentificação, a cópia é impossível (como a íris do olho).1.3 – Tipos de identificação biométrica Existem várias características biológicas que podem ser usadas em umprocesso de identificação. Vejamos as principais:
  9. 9. 91.4 – Identificador por biométrica de mão A foto abaixo mostra um dispositivo que faz identificação por meio degeometria de mão. Seu funcionamento é simples: o indivíduo digita um número único(número de funcionário, número de matrícula ou qualquer outro) e, em seguida,posiciona sua mão em um painel. Este possui pinos que indicam onde cada dedo deveficar posicionado. Com isso, a posição da mão sempre vai ser a mesma e assim oaparelho consegue medir sua geometria e comparar com os dados gravados em seubanco de dados. Esse tipo de aparelho pode ser aplicado, por exemplo, em catracas e nocontrole de abertura de portas. Alguns dispositivos aceitam o uso de cartões (comocrachás) ao invés da digitação de números, o que tem como vantagem a possibilidade dousuário não ter que decorar uma combinação, e como desvantagem o risco de perda docartão; Figura 1.1 – Biometria pela mão Fonte: W-acessSegundo Roberto sckovi, Analista de Segurança da W-acess: “[...] A identificação criminal é o uso da tecnologia biométrica para determinar a identidade de suspeitos, ou indivíduos em aplicações de segurança pública. O principal papel da biometria é identificar o indivíduo para que as funções da segurança pública (investigações policiais, processos judiciais) possam ser conduzidas. [...]”.
  10. 10. 101.5 –Identificação por impressão digital O aparelho visto abaixo funciona de maneira semelhante ao do tópico 1,porém faz identificação por impressão digital ao invés de utilizar a geometria da mão.Esse tipo de dispositivo também vem sendo usado como substituto de senhas. Porexemplo, já existem soluções onde ao invés de digitar uma senha para acessar seucomputador de trabalho, o usuário posiciona seu dedo indicador em um leitor ligado àmáquina. Em estudo, encontra-se a possibilidade de se usar impressão digital no acessoa sites e serviços na Web. Assim, se você tiver que acessar uma área restrita de Algumsite bastará usar um dispositivo leitor em seu computador que enviará os dados ao site. Figura 1.2 – Impressão digital Fonte: W-acess 1.6- Identificação pela leitura da Iris A imagem abaixo é um teste que mostra um processo de identificação pela íris.O indivíduo deve olhar de maneira fixa para um ponto do aparelho enquanto este faz aleitura. Sua aplicação é comumente feita no controle de acesso a áreas restritas, pois setrata de uma tecnologia cara para ser usada em larga escala. Uma das vantagens de seuuso é que nem sempre o usuário precisa informar um número, pois a identificação peloolho costuma ser tão precisa que tal procedimento se faz desnecessário.
  11. 11. 11 Figura 1.3 – Leitura pela íris Fonte: W-acess2. Propostas Tecnológicas2.1 –Terminal biométrico WXS-B0210D Depois de várias pesquisas encontramos softwares e tecnologias que fazembem o esse controle de acesso. Vamos citar abaixo especificações técnicas sobre estesoftware. WXS-B0210D2.2 – Integração Em modo integrado, o WXS-B210 atua como um módulo de expansão dogerenciador WXSC300 ou do gerenciador virtual. A comunicação é feita por meio derede TCP/IP.
  12. 12. 122.3 – Versatilidade Possui saída a relé, interface wiegand para leitora de saída, interface paramódulo biométrico de saída e entradas para botão de saída e sensor de porta.2.4 – Alta confiabilidade Com a adoção de componentes industriais, sensor ótico de excelentequalidade além das técnicas de manufatura mais avançadas, temos um produtototalmente confiável.2.5 – Projeto industrial Desde um projeto do circuito eletrônico com proteções contra surtos edescargas elétricas, até componentes que suportam altas temperaturas, fazem do WXS-B210 um produto de classe industrial.2.6 – Alto Desempenho Com a adoção do mundialmente famoso algoritmo ZKfinger e uma CPUde 64 Bits, este controlador pode processar 500 templates em modo off-line em menosde 1 segundo. Fácil de utilizar, confiável e preciso.2.7– Fácil de instalar O WXS-B210 é fácil de instalar e utilizar. Todas as ligações são similaresaos tradicionais controladores de acesso do mercado.
  13. 13. 132.8 – Modelo Biométrico Figura 1.4 – Aparelho Biométrico Fonte: W-acess3. Software de Gestão3.1 – O software O W-Access é um sistema que veio a suprir o mercado mundial com umasolução extremamente adequada em termos de hardware e software. Este sistema foidesenvolvido após 12 anos de experiência em implementações de diversos sistemas dosmais variados fabricantes, o que possibilitou adquirir a experiência necessária paraprojetar um sistema inovador, flexível e completo. Utilizando as tecnologias maismodernas e contando com suporte técnico incomparável, este sistema que já nasceucompleto, permite diversas customizações para atender as mais diversas necessidades,sendo que a equipe W-Access está sempre sintonizada com as novas tendências edemandas do mercado brasileiro e mundial.3.2 – Especificações técnicas • Interface Web desenvolvida em ASP.NET AJAX • Base de dados SQL Server 2005 ou SQL Express
  14. 14. 14 • Até quatro idiomas selecionáveis por operador com ferramentas de tradução integradas. • Multi-site: controle automático de fuso-horário e horário de verão • Relatórios completos, totalmente customizáveis, com exportação para diversos formatos.3.3– Segurança • Administração completa e integrada de operadores e senhasHorários e estações permitidos de login • Complexidade e validade de senhas configuráveis • Autenticação simultânea em mais de uma estação (selecionável) • Perfis de acesso ao sistema ilimitado e detalhado • Base de dados particionada, possibilitando o compartilhamento do sistema entre diferentes clientes • Auditoria completa das ações do operador3.4 – Controle de acesso • Permissões de acesso através de local e horário, com combinações ilimitadas • Níveis de acesso temporários e feriados • Ações que podem ser iniciadas a partir de eventos • Formatos de cartões configuráveis • 3 tipos de anti-passback, que podem impedir o acesso, gerar um alarme ou ambos • Contagem máxima e mínima de usuários em uma zona • Impedir o acesso, gerar um alarme ou ambos. • Contagem de marcações • Número de refeições • Escolta e acompanhante • Controle de ronda • Rastreamento de usuários • Controle de ponto
  15. 15. 153.5–Cadastros de usuários • Cadastro com campos customizáveis • Campos para busca rápida configuráveis por tipo de usuário • Busca avançada de usuários com edição em lotes até quatro fotos por usuário • Ferramenta de design integrada para lay-out da tela de cadastro • Tela auxiliar de cadastro totalmente customizável • Controle cadastral flexível: do mais simples ao mais rígido3.6–O sistema pode controlar • Visitantes, Funcionários, Contratados, Estagiários, Alunos, Sócios. Ativos, Veículos, Empresas, Entrada e saída de materiais. • Usuários e empresas com restrições de acesso (lista negra) • Datas de validade de usuários e cartões, além de cartões provisórios • Diferentes situações para controle de usuários (ativos, inativos, férias, desligados, etc)3.7–Supervisão • Supervisão e controle de todos os dispositivos do sistema através de telas gráficas customizáveis por ferramenta de design integrada • Alarmes configuráveis em diversos níveis e individualmente para controladores, leitoras, entradas, saídas e usuários • Tela que permite o acompanhamento em tempo real de todas as transações de cartões e eventos do sistema • Tela de alarmes em tempo real com registro de reconhecimento e diversos níveis de prioridade • Configuração de envio de e-mails em caso de eventos ou alarmes3.8–Supervisão Permite integração com sistemas de terceiros, como softwares ERP, sistemas deCFTV e outros.
  16. 16. 16Figura 1.5 – Software de gestão Biométrico Fonte: W-acessFigura 1.6 – Software de gestão Biométrico Fonte: W-acess
  17. 17. 174. Resultados Obtidos4.1 – Resultado Essa pesquisa nos resulta em um trabalho que demostra uma tecnologiaavançada voltada para biometria. Visamos mostrar uma de muitas propostastecnológicas que podem ser uteis para muitas organizações.4.2 – Conclusão Neste artigo apresentamos uma de muitas tecnologias relacionadas a controle deacesso e biometria, podemos observar a importância que se tem nesse domínio da ISO27002 são necessários às organizações se conscientizarem ao máximo quanto à questãoda segurança da informação e investir nas tecnologias que ajudam a manter asinformações seguras. Essa pesquisa tem a intenção de apresentar umas das tecnologias mais usadasem todo o mundo e o avanço da mesma. É necessário o interesse das organizaçõesbuscarem cada vez mais o que existe em termos top de linha no mercado eimplementarem da forma correta assim podendo mitigar os riscos existentes, assimtornando as organizações cada vez menos vulneráveis.
  18. 18. 18Referências Bibliográficas[1] IBG Professional Serviceshttps://ibgweb.com/sites/default/files/IBG%20Overview.pdf< Página visitada em 16/11/2012>[2] National Science & Technology Council Subcommittee on Biometrics Documentationhttp://www.biometrics.org/publications.php< Página visitada em 16/11/2012>[3] Controle de Acesso W- Access http://www.w-access.com/controle-de-acesso-detalhe.php< Página visitada em 16/11/2012>[4] YURI DIOGENES - Daniel MauserCertificação Security+ - Da Prática ao Exame SY0-301Página consultada nº 237Número de Páginas: 416 - ISBN: 978-85-61893-03-3

×