Your SlideShare is downloading. ×
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Gerenciamento eletronico de documentos. Uma abordagem na seguranca
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Gerenciamento eletronico de documentos. Uma abordagem na seguranca

2,002

Published on

Projeto sobre aplicação de mecanismos de segurança e controle de acessos em sistemas de gerenciamento de documentos. Caso de uso para o sistema de Núcleo de Pesquisa e Desenvolvimento Científico do …

Projeto sobre aplicação de mecanismos de segurança e controle de acessos em sistemas de gerenciamento de documentos. Caso de uso para o sistema de Núcleo de Pesquisa e Desenvolvimento Científico do Centro Universitário de Lins-UNILINS

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,002
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
81
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CENTRO UNIVERSITÁRIO DE LINS - UNILINS ENGENHARIA DA COMPUTAÇÃO GERENCIAMENTO ELETRÔNICO DE DOCUMENTOS. UMA ABORDAGEM NA SEGURANÇA OSVALDO ARTUR JÚNIOR ROSA VÁNIA MARCOS DA COSTA LINS 2009
  • 2. OSVALDO ARTUR JÚNIOR ROSA VÁNIA MARCOS DA COSTA GERENCIAMENTO ELETRÔNICO DE DOCUMENTOS. UMA ABORDAGEM NA SEGURANÇA Trabalho de pesquisa apresentado como parte do requisito para participação no Projeto de Iniciação Científica do Centro Universitário de Lins - UNILINS, sob orientação do Prof. Dr. Júlio Tanomaru LINS 2009
  • 3. OSVALDO ARTUR JÚNIOR ROSA VÁNIA MARCOS DA COSTA GERENCIAMENTO ELETRÔNICO DE DOCUMENTOS. UMA ABORDAGEM NA SEGURANÇA Trabalho de pesquisa apresentado como parte do requisito para participação no Projeto de Iniciação Científica do Centro Universitário de Lins - UNILINS, sob orientação do Prof. Dr. Júlio Tanomaru BANCA EXAMINADORA: _________________________ _________________________ _________________________ Aprovado em ___/___/____
  • 4. RESUMO O presente projeto visa estudar os mecanismos que permitem uma maior segurança em sistemas de gestão de conteúdos mais especificamente o sistema de gerenciamento eletrônico de documentos - GED. O estudo focaliza-se nos meios que garantem a autenticidade de um documento digital (eletrónico) desde a sua origem ao destino, garantias da inviolabilidade dos mesmos e acessos sem autorização dos respectivos donos dando, para isso, ênfase ao controle de propriedade e atribuição de permissões de acesso a um determinado documento ou recurso num sistema GED e o uso da assinatura digital como meio de atestar a propriedade sobre um documento eletrónico. Inclui ainda o estudo sobre a aplicação de segurança em todo sistema GED através da certificação digital proporcionando maior segurança na guarda de documentos. Palavras chaves: Gerenciamento eletrônico de documentos, segurança, certificação digital, assinatura digital, rbac.
  • 5. ABSTRACT This project aims to study mechanisms that brings more security on content management systems specifically electronic document management systems - EDMS. The study focuses on ways to ensure the authenticity of a digital document (electronic) from its source to destination, guarantees of inviolability of them and unauthorized access emphasizing properties control and access control assignment to a specific document or other resources on an EDMS and the use of digital signature to certify the ownership of a document. It includes studies on the implementation of security throughout the system GED through the digital certificate providing greater security on document management process. Keywords: Electronic Document management, security, digital certification, digital signature, rbac.
  • 6. SUMÁRIO RESUMO ........................................................................................................................................................ 4 ABSTRACT .................................................................................................................................................... 5 1 INTRODUÇÃO ..................................................................................................................................... 7 1.2 Objetivos ........................................................................................................................................ 7 1.3 Metodologia ................................................................................................................................... 7 2 SEGURANÇA DE UM DOCUMENTO. .............................................................................................. 8 2.1 Certificação Digital........................................................................................................................ 8 2.2 Assinatura Digital .......................................................................................................................... 9 2.3 Controle de Acessos ................................................................................................................... 9 3 CONCLUSÃO ......................................................................................................................................13 4 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................14
  • 7. LISTA DE FIGURAS Figura 1-Modelo RBAC ......................................................................................................... 9 Figura 2-Modelo RBAC implementado no sistema GED...................................................... 11 Figura 3-Controle de acessos em recursos de um GED ......................................................... 11
  • 8. 7 1 INTRODUÇÃO Gerenciador Eletrônico de documentos (GED) é o conjunto de tecnologias e recursos que permitem capturar, armazenar, indexar e buscar informações em documentos de uma forma rápida, segura e num fluxo gerenciado. O GED oferece inúmeras vantagens como a redução do espaço físico necessário para o armazenamento dos documentos, economia de papel, controle de acesso eficaz aos documentos armazenados, agilidade na busca dos documentos, fluxo de trabalho (Workflow) automatizado, dentre outras. O GED tem sido comumente usado em sistemas de Gestão de Conhecimento (KM- Knowledge Management), Gestão de Relações com os Clientes (CRM), sistemas corporativos (ERP), dentre outros. Assim, mecanismos de controle de segurança como atribuição de permissões de acesso a um determinado documento ou recurso num sistema GED, controle de propriedade com uso da assinatura digital, certificação digital dentre outros são recomendações para uma efetiva implementação dum GED. 1.2 Objetivos O presente projeto visa analisar o Sistema de Gerenciamento Eletrônico de Documentos mais especificamente os aspectos relativos à segurança como controle de acessos, monitoramento dos recursos e validade e autenticidade de um documento eletrônico. 1.3 Metodologia Para a realização dos estudos apresentados foi escolhido como plataforma base o sistema GED do Núcleo de Pesquisa e Desenvolvimento Científico (NUPE) do Centro Universitário de Lins. Assim, faz parte do projeto o desenvolvimento de módulos que visam à implantação ou inclusão dos objetos de estudo no sistema referenciado. Os módulos estão sendo desenvolvidos usando materiais bibliográficos disponíveis no ramo da segurança em sistemas de internet bem como ferramentas e linguagens de programação de computadores.
  • 9. 8 2 SEGURANÇA DE UM DOCUMENTO. Para que um documento seja considerado seguro e válido devem-se verificar a sua integridade, tempestividade e sua autenticidade. A autenticidade de um documento refere-se à verificação de sua origem ou procedência no que tange à autoria do mesmo. Assim como nos documentos tradicionais (em papel), em documentos eletrônicos também se pode associar a autoria de um documento à assinatura do seu titular. Para este caso usa-se assinatura digital. A assinatura digital também pode ser usada para determinar a integridade de um documento eletrônico. Neste caso avalia-se se o mesmo sofreu alguma modificação. A tempestividade assegura em que ocasião (data e hora) um documento foi assinado. 2.1 Certificação Digital Um dos meios de se garantir a guarda segura dos documentos em um sistema GED é através do uso de certificados digitais que são documentos contendo informações como o nome no proprietário, uma chave exclusiva chamada de chave pública e outras informações que identificam o proprietário da mesma. A certificação digital inclui um conjunto de técnicas e processos que fornecem ao documento uma maior segurança e confiabilidade, a garantia de sigilo, e maior confiabilidade na origem do documento. O certificado digital possui três elementos fundamentais: -Informações de atributo - Possui informações sobre o sistema certificado ou entidade detentora do sistema (Ex.: CNPJ ou nome de alguém responsável); -Chave privada – Usada para gerar assinaturas digitais; -Chave pública – Usada para identificar a autenticidade de uma assinatura digital; -Assinatura da Autoridade Certificadora; A autoridade certificadora é responsável pela emissão do certificado digital.
  • 10. 9 2.2 Assinatura Digital Usando-se da assinatura digital é possível verificar-se a autoria de um documento eletrônico assim como sua integridade. Assina-se um documento digital por meio de uma chave privada que incorpora o certificado digital ao documento. Para verificar uma assinatura digital utiliza-se a chave pública contida no certificado digital do documento. 2.3 Controle de Acessos O sistema do nosso caso de estudo possui um controle de acessos baseados grupos e permissões hierárquicos. O projeto aperfeiçoará esse controle definido de forma mais segura através de atribuições de permissões a cada grupo de utilizadores ou individualmente a cada utilizador do sistema para um determinado documento. Os principais meios de controle de acesso aos recursos do sistema são através de serviços de diretório e através de controle baseado em papéis (funcionalidades ou grupos). Serviço de diretório permite o armazenamento e a organização de informações sobre os recursos e os utilizadores de um sistema. Um exemplo destes tipos de serviços é o protocolo LDAP (Lightweight Directory Access Protocol) [1] que permite atualizar e pesquisar serviços de diretórios distribuídos rodando sobre TCP/IP. O mecanismo de controle de acesso abordado no projeto é o baseado em papéis RBAC (Role-Based Access Control – Controle de Acesso Baseado em Papéis). Um papel pode ser entendido como um grupo de usuários com o mesmo cargo, responsabilidade, atividade ou nível organizacional. O foco principal do modelo RBAC é associar privilégios aos papéis e estes aos grupos de usuários. Figura 1-Modelo RBAC
  • 11. 10 Temos então os papéis como uma associação entre um conjunto de usuários e suas permissões no sistema. Uma das vantagens do uso do modelo RBAC para controle de acesso a sistemas é que podemos utilizar o mesmo conceito de hierarquia de cargos em organizações para estabelecer a hierarquia de papéis. Existem cerca de quatro componentes RBAC padronizados: Core RBAC, Hierarchical RBAC, Constrained RBAC e RBAC consolidado que é uma composição do Hierarchical e Constrained. O Core RBAC é o componente básico e obrigatório para todos os componentes e especificações funcionais do modelo RBAC e prevê, resumidamente, que um usuário possua um papel, que estes sejam associadas às permissões tornando assim possível que os usuários tenham permissões por serem membros de papéis (grupos). O Hierarchical RBAC acrescente ao Core RBAC o conceito de hierarquia de papéis que facilitam a estruturação dos papéis num modelo similar à hierarquia de cargos nas organizações. O Constrained RBAC adiciona ao Core o recurso de constraints que prevê fundamentalmente a separação de deveres ou tarefas entre diferentes papéis. O controle de acesso ao GED é feito pelo administrador do sistema e proprietários dos recursos (documentos) e prevê as seguintes ações principais: Atribuição de papéis: Um usuário só pode realizar uma transação se o mesmo possuir um papel; Autorização por papéis: O administrador do sistema autoriza o usuário como membro de um papel; Autorização da transação: Um usuário só poderá executar uma transação caso o seu papel tenha autorização para tal. O modelo de controle de acessos adaptado ao sistema GED do projeto pode ser visto na Figura 2. Os papéis dos usuários foram implementados como grupos.
  • 12. 11 Figura 2-Modelo RBAC implementado no sistema GED Uma implementação completa do modelo de controle de segurança incluindo a autenticação pode ser vista na Figura 3. Após a autenticação, diferentes usuários ( com papéis diferentes) rebem autorizações a recursos específicos no sistema. Cada usuário só acessa os recursos cujas permissões estão atribuidas a seu papel no sistema. Figura 3-Controle de acessos em recursos de um GED
  • 13. 12 .
  • 14. 13 3 CONCLUSÃO Em função da importância que a tecnologia GED possui, esta deverá estar equipada de funções que a tornam mais segura para que a mesma possa estar preparada para realizar as tarefas para a qual foi projetada. A implementação de certificação digital e assinatura digital proporcionam um GED mais seguro, pois, fornece às entidades, órgãos e usuários a certeza de que o documento não foi violado. Além disso, usando o conceito de controle de acessos é possível filtrar e controlar todos os acessos feitos ao sistema. Obtendo informações como nome do usuário que acedeu ao sistema, data, hora e histórico de tudo o que foi feito.
  • 15. 14 4 REFERÊNCIAS BIBLIOGRÁFICAS [1] LDAP-Lightweight Directory Access Protocol. Disponível em http://pt.wikipedia.org/wiki/LDAP. Acessado em Novembro de 2009. [2] SILVA, A. F. C. D., LOBO, G. N., HORITA, F. E. A. Gerenciamento Eletrônico de Documentos. Lins, Dezembro de 2008. Dissertação (Bacharelato em Sistemas de Informação) Centro Universidade de Lins. [3] GANDINI, J. A. D., JACOB, C., SALOMÃO, D. P. S., A Segurança dos Documentos Digitais. Disponível em http://www.franca.unesp.br/SEGURANCA_DIGITAIS.pdf .Acessado em Agosto de 2009. [4] KAZIENKO, J. F., Assinatura Digital de Documentos Eletrônicos Através da Impressão Digital. Florianópolis, Fevereiro de 2003. Dissertação (Pós-Graduação em Ciência da Computação) – Universidade Federal de Santa Catarina. Disponível em http://www.ic.uff.br/~kazienko/dissert_kazienko.pdf Acessado em 12 de Setembro de 2009. Certificação Digital. Disponível em http://www.iti.gov.br/twiki/bin/view/Certificacao/CartilhasCd Acessado em Setembro de 2009. [5] Assinatura Digital de Documentos Eletrônicos no Brasil. Conceitos Básicos e Infraestrutura. Disponível em http://www.iti.gov.br/twiki/bin/view/Certificacao/CartilhasCd Acessado em Setembro de 2009. [6] D.F. Ferraiolo and D.R. Kuhn (1992) “Role Based Access Control" 15th National Computer Security Conference, Oct 13-16, 1992, pp. 554-563. - introduced formal model for role based access control disponível em http://csrc.nist.gov/groups/SNS/rbac/documents/design_implementation/Intro_role_based_acc ess.htm [7] ITI .Disponível em http://www.iti.gov.br/twiki/bin/view/Midia/WebHome. Acessado em Setembro de 2009.

×