Livro - Rede de computadores

Prévia do material em texto

Indaial – 2021
Segurança em redeS de 
ComputadoreS
Prof.ª Anelice Cajado Aguiar 
Prof. Fábio Teixeira da Costa
1a Edição
Copyright © UNIASSELVI 2021
Elaboração:
Prof.ª Anelice Cajado Aguiar 
 Prof. Fábio Teixeira da Costa
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri 
UNIASSELVI – Indaial.
Impresso por:
A282s
Aguiar, Anelice Cajado
 Segurança em redes de computadores. / Anelice Cajado Aguiar; 
Fábio Teixeira da Costa. – Indaial: UNIASSELVI, 2021.
 175 p.; il.
 ISBN 978-65-5663-588-0
 ISBN Digital 978-65-5663-587-3
 1. Segurança em rede. - Brasil. I. Costa, Fábio Teixeira da. II. Centro 
Universitário Leonardo da Vinci.
CDD 004
apreSentação
Caro acadêmico, seja bem-vindo à disciplina de Segurança em Redes 
de Computadores! 
Nesta disciplina, vamos abordar os processos que envolvem a 
segurança das redes de computadores. Para isso, este Livro didático está 
dividido em três unidades.
Primeiramente, na Unidade 1, trataremos dos princípios da 
segurança de informação, em que iremos compreender a importância da 
CID (Confidencialidade, Integridade, Disponibilidade), observando que 
toda e qualquer informação tem algum tipo de valor e merecem uma atenção 
especial em seu armazenamento e proteção. Trataremos também dos tipos 
de ataques à segurança da rede e medidas preventivas de segurança, 
falaremos da importância da criação de políticas de segurança, detalhando 
o processo de criação. E finalizaremos a unidade analisando a estrutura de 
gerenciamento OSI.
Em seguida, na Unidade 2, estudaremos aspectos da segurança em 
rede que nos permita compreender mecanismos da segurança de redes 
físicas e virtuais, assim como métodos e ferramentas tecnológicas utilizadas 
em sua segurança.
Por fim, na Unidade 3, aprenderemos os processos que envolvem 
uma auditoria na segurança, administração e operação de uma rede de 
computadores, além de conhecer frameworks como ITIL, COBIT e ISO 
27001, e dos requisitos e importância da obtenção de certificação de cada um 
dos frameworks, tanto para o profissional de TI quanto para empresa.
 
Ressaltamos a importância da leitura complementar ao final de cada 
unidade, assim como da realização dos exercícios ao final de cada tópico, 
tendo como objetivo a fixação do conhecimento.
Desejamos ótimos estudos e esperamos poder estar contribuindo 
para o aprendizado das normas, padrões e políticas de Segurança em Rede 
de Computadores. 
 
 Prof.ª Anelice Cajado Aguiar 
 Prof. Fábio Teixeira da Costa
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para 
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há 
novidades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é 
o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um 
formato mais prático, que cabe na bolsa e facilita a leitura. 
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova 
diagramação no texto, aproveitando ao máximo o espaço da página, o que também 
contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, 
apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilidade 
de estudá-lo com versatilidade nas telas do celular, tablet ou computador. 
 
Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para 
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto 
em questão. 
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas 
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa 
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de 
Desempenho de Estudantes – ENADE. 
 
Bons estudos!
NOTA
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela 
um novo conhecimento. 
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro 
que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá 
contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complementares, 
entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!
LEMBRETE
Sumário
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA 
 DA GERÊNCIA DE REDES, ARQUITETURA DE GERENCIAMENTO
 OSI, FERRAMENTAS DE APOIO À SEGURANÇA. ......................................... 1
TÓPICO 1 — PRINCÍPIOS DE SEGURANÇA ................................................................................. 3
1 INTRODUÇÃO .................................................................................................................................... 3
2 SEGURANÇA DA INFORMAÇÃO ................................................................................................. 3
2.1 VALORIZAR A INFORMAÇÃO .................................................................................................. 5
2.1.1 Valores da informação pelo ser humano ............................................................................ 5
2.2 VALORES DA INFORMAÇÃO POR UMA INSTITUIÇÃO PÚBLICA OU PRIVADA ....... 5
3 INFORMAÇÃO VERSUS SEGURANÇA ....................................................................................... 5
3.1. QUAIS INFORMAÇÕES PRECISAM DE SEGURANÇA? ...................................................... 6
4 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO ................................................................ 8
4.1 CONFIDENCIALIDADE ............................................................................................................... 8
4.1.1 A ferramenta que garante o princípio da Confidencialidade.......................................... 8
4.2 INTEGRIDADE .............................................................................................................................. 8
4.2.1 Ferramenta que garanti a integridade ............................................................................... 9
4.3 DISPONIBILIDADE ....................................................................................................................... 9
4.3.1 Ferramentas que garante o princípio da Disponibilidade ............................................... 9
RESUMO DO TÓPICO 1..................................................................................................................... 12
AUTOATIVIDADE .............................................................................................................................. 13
TÓPICO 2 — TIPOS DE ATAQUES .................................................................................................. 15
1 INTRODUÇÃO .................................................................................................................................. 15
2 TIPOS DE ATAQUE A REDE DE COMPUTADORES .............................................................. 15
2.1 NEGAÇÃO DE SERVIÇO ............................................................................................................ 15
2.2 SPAM .............................................................................................................................................. 16
2.3 INTERCEPTAÇÃO DE PACOTES (MAN-IN-THE-MIDDLE) .............................................. 16
3 VULNERABILIDADE ....................................................................................................................... 16
4 PRINCIPAIS AMEAÇAS ..................................................................................................................17
4.1 CÓDIGOS MALICIOSOS ............................................................................................................ 18
4.2 AMEAÇAS EM RECURSOS HUMANOS ................................................................................. 21
4.3 MEDIDAS DE SEGURANÇA FÍSICA ...................................................................................... 21
4.4 MEDIDAS DE SEGURANÇA LÓGICA .................................................................................... 22
5 CRIPTOGRAFIA ................................................................................................................................ 23
5.1 CIFRAS DE SUBSTITUIÇÃO ...................................................................................................... 23
5.2 CRIPTOGRAFIA EM REDES LOCAIS ...................................................................................... 23
5.3 CERTIFICADO DIGITAL ............................................................................................................ 26
6 MEDIDAS DE SEGURANÇA ......................................................................................................... 27
RESUMO DO TÓPICO 2..................................................................................................................... 29
AUTOATIVIDADE .............................................................................................................................. 30
TÓPICO 3 — ARQUITETURA DE GERENCIAMENTO OSI ..................................................... 33
1 INTRODUÇÃO .................................................................................................................................. 33
2 ARQUITETURA DE GERENCIAMENTO OSI ........................................................................... 33
2.1 CAMADAS DO MODELO OSI .................................................................................................. 34
2.2 ISO 27001 – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) ........... 36
2.3 FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO ................................................ 37
2.4 SISTEMA DE DETECÇÃO DE INTRUSOS .............................................................................. 39
2.5 SISTEMA DE DETECÇÃO DE INTRUSÃO ............................................................................. 39
2.6 MÉTODOS DE DETECÇÃO ....................................................................................................... 42
2.7 GERENCIAMENTO E MONITORAMENTO DE REDES ...................................................... 43
LEITURA COMPLEMENTAR ............................................................................................................ 45
RESUMO DO TÓPICO 3..................................................................................................................... 53
AUTOATIVIDADE .............................................................................................................................. 54
REFERÊNCIAS ...................................................................................................................................... 56
UNIDADE 2 — ASPECTOS GERAIS DA SEGURANÇA EM REDES DE 
 COMPUTADORES: FÍSICAS E VIRTUAIS, PÚBLICAS 
 OU PRIVADAS ................................................................................................................... 59
TÓPICO 1 — ASPECTOS GERAIS DA SEGURANÇA EM REDES 
 DE COMPUTADORES ............................................................................................... 61
1 INTRODUÇÃO .................................................................................................................................. 61
2 REDES DE COMPUTADORES ....................................................................................................... 61
2.1 DADOS QUE PODEM SER TRANSMITIDOS ......................................................................... 62
2.2 TIPOS DE REDE ............................................................................................................................ 62
2.3 SEGURANÇA EM REDE DE COMPUTADORES ................................................................... 63
2.4 REDES X INFORMAÇÃO ........................................................................................................... 64
3 SEGURANÇA FÍSICA DA REDE ................................................................................................... 64
3.1 A IMPORTÂNCIA DA OBSERVAÇÃO E CUMPRIMENTO DAS REGRAS DE 
SEGURANÇA FÍSICA DA REDE. .............................................................................................. 65
4 BIOMETRIA ....................................................................................................................................... 66
5 ENGENHARIA SOCIAL: UMA AMEAÇA FÍSICA A REDE ................................................... 68
6 SEGURANÇA FÍSICA DA REDE: PREVENTIVA ..................................................................... 68
7 MONITORAMENTO DO DATA CENTER .................................................................................. 69
RESUMO DO TÓPICO 1..................................................................................................................... 71
AUTOATIVIDADE .............................................................................................................................. 72
TÓPICO 2 — INTRODUÇÃO AS REDES VIRTUAIS E SEGURANÇA 
 LÓGICA DA REDE ..................................................................................................... 75
1 INTRODUÇÃO .................................................................................................................................. 75
2 REDES VIRTUAIS ............................................................................................................................. 75
2.1 VANTAGENS DA REDE VIRTUAL DE COMPUTADORES ................................................. 76
2.2 FUNCIONAMENTO DA REDE VIRTUAL .............................................................................. 77
2.3 TIPOS DE REDES VIRTUAIS ...................................................................................................... 77
2.3 REDES SOCIAIS VIRTUAIS ........................................................................................................ 78
2.4 OS IMPACTOS DAS REDES SOCIAIS VIRTUAIS NA VIDA DAS PESSOAS .................... 79
2.5 SEGURANÇA EM REDES VIRTUAIS ....................................................................................... 80
2.5 SEGURANÇA EM REDES SOCIAIS VIRTUAIS ...................................................................... 81
2.6 TIPOS DE AMEAÇAS MAIS COMUNS À SEGURANÇA DA REDE .................................. 82
2.7 SEQUESTRO DE INFORMAÇÕES DA REDE ......................................................................... 83
2.8 PERDA TOTAL DO BANCO DE DADOS ................................................................................ 83
2.9 PLANO ESTRATÉGICO DE SEGURANÇA EM REDE .......................................................... 83
2.10 UMA ANÁLISE DO CUSTO X BENEFÍCIO DO INVESTIMENTO EM 
 SEGURANÇA EM REDE ............................................................................................................ 84
2.11 CUSTO DE EQUIPAMENTOS COM SEGURANÇA DA INFORMAÇÃO ....................... 85
2.12 CUSTO COM MÃO DE OBRA QUALIFICADA EM SEGURANÇA 
 DA INFORMAÇÃO.................................................................................................................... 86
RESUMO DO TÓPICO 2..................................................................................................................... 87
AUTOATIVIDADE .............................................................................................................................. 88
TÓPICO 3 — FERRAMENTAS DE APOIO À SEGURANÇA EM REDE .................................. 91
1 INTRODUÇÃO ..................................................................................................................................91
2 ANTIVÍRUS ........................................................................................................................................ 92
2.1 ANTIVÍRUS X VÍRUS .................................................................................................................. 93
2.2 TIPOS DE ANTIVÍRUS ................................................................................................................ 93
2.3 TIPOS DE SERVIÇOS OFERTADOS .......................................................................................... 94
3 FIREWALL ........................................................................................................................................... 94
3.1 FIREWALL: SOFTWARES ........................................................................................................... 95
4 SOFTWARES DE MONITORAMENTO ....................................................................................... 96
4.1 TIPOS DE SOFTWARES DE MONITORAMENTO ................................................................. 97
5 SISTEMAS DE CONTROLE DE ACESSO ................................................................................... 98
6 PROTOCOLOS DE SEGURANÇA EM REDE ............................................................................. 99
7 TREINAMENTO DE FUNCIONÁRIOS EM POLÍTICAS DE SEGURANÇA NA REDE ......... 99
8 POLÍTICAS DE BACKUP ............................................................................................................. 100
LEITURA COMPLEMENTAR .......................................................................................................... 103
RESUMO DO TÓPICO 3................................................................................................................... 106
AUTOATIVIDADE ............................................................................................................................ 107
REFERÊNCIAS .................................................................................................................................... 109
UNIDADE 3 — AUDITORIA DA ADMINISTRAÇÃO E OPERAÇÃO DE REDES ............ 111
TÓPICO 1 — AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO .................................... 113
1 INTRODUÇÃO ................................................................................................................................ 113
2 O QUE É UMA AUDITORIA ....................................................................................................... 114
2.1 TIPOS DE AUDITORIA ............................................................................................................. 116
3 INTRODUÇÃO A AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO ........................ 117
3.1 TIPOS DE AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO ..................................... 118
3.2 IMPORTÂNCIA DO PROCESSO DE AUDITORIA EM TECNOLOGIA DA 
INFORMAÇÃO ........................................................................................................................... 119
4 PERFIL DE UM ANALISTA DE AUDITORIA EM TECNOLOGIA 
 DA INFORMAÇÃO ........................................................................................................................ 120
4.1 CERTIFICAÇÕES EM AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO ................ 121
5 GESTÃO DO PROGRAMA DE AUDITORIA .......................................................................... 121
5.1 GESTÃO DA SEGURANÇA EM REDE NO AMBIENTE CORPORATIVO ..................... 121
5.2 MODELO DE ROTEIRIZAÇÃO DE UMA AUDITORIA ..................................................... 122
5.3 FERRAMENTAS COMPUTACIONAIS DE AUDITORIA DE TECNOLOGIA DA 
INFORMAÇÃO .......................................................................................................................... 123
5.3.1 Testes de invasão ................................................................................................................ 124
5.3.2 Monitoração contínua de sistemas on-line em tempo real ......................................... 124
RESUMO DO TÓPICO 1................................................................................................................... 126
AUTOATIVIDADE ............................................................................................................................ 127
TÓPICO 2 — AUDITORIA DA ADMINISTRAÇÃO E OPERAÇÃO EM REDE 
 DE COMPUTADORES ............................................................................................ 129
1 INTRODUÇÃO ................................................................................................................................ 129
2 AUDITORIA NA SEGURANÇA EM REDE DE COMPUTADORES ................................... 130
2.1 PROCESSO DE AUDITORIA NA SEGURANÇA DA REDE ............................................... 130
2.2 CHECKLIST BÁSICO DA AUDITORIA NA SEGURANÇA DA REDE ............................ 131
3 BENEFÍCIOS DE REALIZAR UMA AUDITORIA NA SEGURANÇA DA REDE .............. 131
4 RELATÓRIOS DE AUDITORIA DA SEGURANÇA EM REDE ............................................ 133
5 FRAMEWORK ISO 27001 AUXILIANDO A SEGURANÇA EM REDES ............................ 135
5.1 IMPLEMENTAÇÃO DA ISO 27001 ......................................................................................... 135
5.2 PRINCIPAIS CARACTERÍSTICAS DA ISO 27001 ................................................................. 136
5.3 BENEFÍCIOS DA IMPLANTAÇÃO DA ISO 27001 ............................................................... 137
5.4 A IMPORTÂNCIA DA CERTIFICAÇÃO ISO 27001 NA SEGURANÇA EM REDE .......... 138
5.5 O PROCESSO DE CERTIFICAÇÃO ISO 27001 ...................................................................... 139
5.6 O QUE É PRECISO PARA OBTER A CERTIFICAÇÃO? ...................................................... 140
RESUMO DO TÓPICO 2................................................................................................................... 141
AUTOATIVIDADE ............................................................................................................................ 142
TÓPICO 3 — AUDITORIA NOS PROCESSOS DE GOVERNANÇA EM TI ........................ 145
1 INTRODUÇÃO ................................................................................................................................ 145
2 O QUE É GOVERNANÇA EM TI ............................................................................................... 146
3 PERFIL DO GESTOR DE GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO ......... 147
4 AUDITORIA DA GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO ................... 148
4.1 SEGURANÇA DA REDE .......................................................................................................... 148
4.2 NORMAS DE GOVERNANÇA DE TI..................................................................................... 149
4.3 PROCESSOS DE GOVERNANÇA DE TI APLICADOS A SEGURANÇA EM REDE ........... 149
4.4 EQUIPE DE SEGURANÇA EM REDE .................................................................................... 149
4.5 ALINHAMENTO DA SEGURANÇA COM A ÁREA DE NEGÓCIO ............................... 149
5 USO DE FRAMEWORK NA SEGURANÇA EM REDE........................................................... 150
6 COBIT COMO FRAMEWORK DE AUXILIO A SEGURANÇA NA REDE ......................... 150
6.2 FERRAMENTAS DE GERENCIAMENTO DO COBIT ......................................................... 153
7 O ITIL E A SEGURANÇA DA INFRAESTRUTURA DA REDE ........................................... 154
7.1 ESTRUTURA DA ITIL v3 .......................................................................................................... 155
7.2 ESTRATÉGIA DE SERVIÇOS .................................................................................................... 156
7.3 DESENHO DE SERVIÇO ........................................................................................................... 156
7.4 TRANSIÇÃO DE SERVIÇO.......................................................................................................156
7.5 OPERAÇÃO DE SERVIÇO ........................................................................................................ 157
7.6 MELHORIA CONTÍNUA DE SERVIÇO ................................................................................. 157
7.7 EVOLUÇÃO DA ITIL ................................................................................................................ 158
7.8 PRINCÍPIOS ORIENTADORES ................................................................................................ 159
7.9 BENEFÍCIOS DE UTILIZAR O ITIL ........................................................................................ 159
8 CERTIFICAÇÕES ITIL ................................................................................................................... 160
8.1 ESTRUTURA DAS CERTIFICAÇÕES EM ITIL ..................................................................... 160
LEITURA COMPLEMENTAR .......................................................................................................... 163
RESUMO DO TÓPICO 3................................................................................................................... 170
AUTOATIVIDADE ............................................................................................................................ 171
REFERÊNCIAS .................................................................................................................................... 173
1
UNIDADE 1 — 
TIPOS DE ATAQUES, MEDIDAS 
DE PROTEÇÃO, SEGURANÇA DA 
GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS 
DE APOIO À SEGURANÇA
OBJETIVOS DE APRENDIZAGEM
PLANO DE ESTUDOS
A partir do estudo desta unidade, você deverá ser capaz de:
• aprender os princípios da segurança da informação e medidas de prevenção.
• compreender os conceitos introdutórios da segurança, da comunicação 
e da informação;
• conhecer tipos de ataques e principais ameaças.
•	 identificar	os	tipos	de	ataques	e	suas	características.
Esta unidade está dividida em três tópicos. No decorrer da unidade 
você encontrará autoatividades com o objetivo de reforçar o conteúdo 
apresentado.
TÓPICO 1 – PRINCÍPIOS DE SEGURANÇA
TÓPICO 2 – TIPOS DE ATAQUES E MEDIDAS PREVENTIVAS
TÓPICO 3 – ARQUITETURA DE GERENCIAMENTO OSI 
Preparado para ampliar seus conhecimentos? Respire e vamos 
em frente! Procure um ambiente que facilite a concentração, assim absorverá 
melhor as informações.
CHAMADA
2
3
TÓPICO 1 — 
UNIDADE 1
PRINCÍPIOS DE SEGURANÇA
1 INTRODUÇÃO
Neste tópico iremos trata a importância da segurança da informação. 
Partindo do princípio: o que é informação, qual a relevância dessa informação 
e como será utilizada. Sabe-se que, atualmente, vivemos na era na informação, 
portanto, o que há de mais importante é a utilização da informação. 
Dessa forma, a segurança da informação tem três princípios essenciais, 
que	 são:	 disponibilidade,	 integridade	 e	 confidencialidade	 (ISO,	 2013).	 Neste	
tópico,	 iremos	 compreender:	 a	 importância	 da	 CID	 (Confidencialidade,	
Integridade,	Disponibilidade).	Sendo,	também,	de	alta	relevância	a	autenticidade,	
a responsabilidade e o não repúdio. 
 Iremos analisar a importância da informação para as organizações e 
também	 para	 o	 uso	 pessoal	 (documentos	 pessoais,	 planilhas,	 fotos,	 vídeos,	
etc.).	Dessa	forma,	sabemos	que	toda	e	qualquer	informação	tem	algum	tipo	de	
valor,	 seja	 sentimental	ou	financeiro,	 e	merecem	uma	atenção	especial	 em	seu	
armazenamento e proteção. Então, para garantir a segurança da informação, 
tais tecnologias precisam proporcionar um ambiente seguro contendo: 
confidencialidade,	integridade	e	disponibilidade.	
2 SEGURANÇA DA INFORMAÇÃO
Antes de falarmos de segurança da informação, vamos lembrar o que é 
informação. Informação é a reunião ou o conjunto de dados e conhecimentos 
organizados, que possam constituir referências de um determinado acontecimento, 
fato ou fenômeno. A informação também se refere a um conjunto de dados. Então, 
é	capaz	de	dar	origem	à	formação	do	pensamento	humano	(SÊMOLA,	2011).	
 
Então, o que é segurança da informação? Sabe-se que a informação merece 
uma atenção especial em seu armazenamento e proteção. Desse modo, surgiu 
várias formas com objetivo de garantir a segurança da informação, tais tecnologias 
precisam	 proporcionar	 um	 ambiente	 seguro	 contendo:	 confidencialidade,	
integridade e disponibilidade.
 A Segurança da Informação é de suma importância para qualquer empresa 
uma vez que vivemos um momento de grande utilização da informação com 
uma frequência muito maior do que em qualquer época da civilização humana. 
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
4
Entretanto, precisamos de uma infraestrutura de comunicação que suporte todas 
a quantidade de informação executadas e também permita o armazenamento de 
forma	segura	de	todos	os	dados	(SÊMOLA,	2011).
De	 acordo	 com	 (WADLOW,	 2000	 apud	 SOUZA,	 2007,	 p.	 20)	 “o	 valor	
da informação muitas vezes não é facilmente mensurável devido a quantidade 
crescente de dados que as empresas possuem”. Dessa forma, há quatro categorias 
de ativos que são eles:
• A informação: dados armazenados em meio magnético ou físico, 
como relatórios, planilhas, entre outros;
• A infraestrutura de suporte às informações: computadores, mídias, 
elementos de rede e softwares de computador;
• As pessoas que utilizam as informações: usuários, clientes, parceiros. 
Enfim,	todos	os	indivíduos	que	manipulam	as	informações;
• Estrutura física e organizacional: salas, mesas, armários dentre outros 
(WADLOW,	2000	apud	SOUZA,	2007,	p.	20).
Dessa	 forma,	 pode-se	 definir	 os	 dados	 como	 um	 conjunto	 de	 bits	
armazenados, ou seja, um conjunto contendo informações úteis como nomes, 
endereços, datas de nascimento, entre outras informações. Então, é considerado 
um dado ou uma informação quando ele passa a ser útil. Como por exemplo: as 
informações referentes a um cliente especial ou também o preço de um produto 
competitivo	(LAUREANO,	2012).
De	acordo	com	Tanembaum	(2003	apud	ANDRADE,	2011,	p.	10),	“Redes	
de computadores por meio de comunicação utilizado para o compartilhamento 
das	 informações.	Enfim,	apresenta	um	enorme	crescimento	comparada	com	as	
primeiras décadas da sua criação”. Apesar das inúmeras vantagens oferecidas 
pelas redes de computadores como o compartilhamento de informação, de 
recursos e a interatividade de seus usuários, vários problemas têm ocorrido nos 
últimos anos. Um destes problemas consiste nos ataques pessoas maliciosas. 
Então, a falta de segurança é um problema que despertou uma necessidade vital 
para proteção das redes de computadores.
Atualmente o conceito de Segurança da Informação está padronizado pela 
norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A 
série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da 
Informação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo 
considerada formalmente como 17799:2005 para fins históricos.
FONTE: <https://bit.ly/3tdPZkk>. Acesso em: 17 maio 2021.
UNI
TÓPICO 1 — PRINCÍPIOS DE SEGURANÇA
5
2.1 VALORIZAR A INFORMAÇÃO
Para que possamos despertar para a necessidade de tomar medidas de 
prevenção a roubos, perdas e extravios das informações no ambiente virtual é 
preciso que seja realizada a valorização de todo o conteúdo pessoal ou documental 
(no	caso	de	instituições),	e,	a	partir	disso,	passar	a	perceber,	valorizar	e	aplicar	
medidas	de	proteção	às	informações	(LAUREANO,	2012).
2.1.1 Valores da informação pelo ser humano
Muitos são os tipos de informações existentes e cada uma com um devido 
valor dado individualmente pelo homem, e, por terem valor, consequentemente, 
precisam	de	proteção	(LAUREANO,	2012).	Exemplos:
• Documento de uma dissertação;
• Aumento do preço gasolina;
• Precipitação dechuvas;
•	 Lançamento	de	um	novo	sistema	operacional;
•	 Fotografias;
• Acesso ao correio eletrônico;
2.2 VALORES DA INFORMAÇÃO POR UMA INSTITUIÇÃO 
PÚBLICA OU PRIVADA
Para uma instituição, seja ela pública ou privada, os valores atribuídos e 
os tipos de informações diferem dos atribuídos pelos indivíduos, assim como as 
medidas	de	proteção	a	serem	adotadas	(LAUREANO,	2012).	Exemplo:
• Valorização do petróleo;
• Tendências tecnológicas;
• Oscilação da taxa de juros;
• Plano de greve funcionários;
3 INFORMAÇÃO VERSUS SEGURANÇA
Atualmente, vivemos em uma época em que cada vez mais cresce o valor 
da	informação,	seja	no	campo	pessoal	ou	profissional,	possuímos	acesso	a	mídias	
sociais para armazenamento de fotos, troca de mensagens e vídeos; comunicamo-
nos com familiares e amigos por meio dessas mídias e temos nessas aplicações os 
vários	registros	das	comunicações	estabelecidas	(LAUREANO,	2012).	
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
6
Utilizamos, muitas vezes, o armazenamento em nuvens, onde podemos 
inserir documentos diversos nesse ambiente virtual. Nele trafegam informações 
de valor sentimental como fotos, mensagens, contatos de amigos e familiares ou 
financeiro.	Nesse	cenário,	a	 relação	entre	 informação	e	segurança	precisa	estar	
cada vez mais estreita, devendo andar lado a lado, ao ponto de ser algo automático 
o	pensar	na	segurança,	onde	houver	informação	(SÊMOLA,	2011).	
3.1. QUAIS INFORMAÇÕES PRECISAM DE SEGURANÇA?
Informações pessoais, documentos, e todas as informações que tenham 
algum	 tipo	 de	 valor,	 seja	 sentimental	 ou	 financeiro,	 merecem	 uma	 atenção	
especial	em	seu	armazenamento	e	proteção	(SÊMOLA,	2011).
O que é Informação?
“Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/
ou máquinas em processos comunicativos ou transacionais” (SÊMOLA, 2011).
UNI
• Como devemos proteger as informações?
o Pelo valor que elas representam;
o Pelo transtorno gerado pela sua perda;
o Pela sua má utilização por parte de terceiros.
• Em que momento devemos proteger as informações?
Desde o momento da coleta de dados, ou seja, antes do processamento que 
gera as informações, devemos ter medidas de protetivas para evitar perda, roubo 
ou extravios dos dados. Após o processamento desses dados até mesmo quando 
O que é segurança?
“Medidas de segurança da informação foram aplicadas ao contexto de redes de 
computadores para garantir uma utilização de forma mais segura. As medidas seguem os 
seguintes princípios: privacidade, autenticação, integridade e não-repúdio” (FOROUZAN, 
2006 apud ANDRADE, 2011, p. 10). 
ATENCAO
TÓPICO 1 — PRINCÍPIOS DE SEGURANÇA
7
os dados passaram a serem informações, os cuidados devem ser redobrados, com 
políticas de segurança adequadas ao manuseio, armazenamento, transporte e até 
com	o	descarte	das	informações	(SÊMOLA,	2011).
• Onde devemos proteger nossas informações?
A tecnologia, atualmente, nos proporciona diversos meios físicos e virtuais 
para armazenamento das nossas informações de forma segura, tais como:
o Meios de armazenamento de informações no ambiente físico: a Figura 1 
mostra alguns meios de armazenamento da informação. São eles: pen-
drive,	Disco	Rígido	 (HD	–	Hard	Drive),	Unidades	de	CD/DVD/Blu-Ray	
Disco	e	unidades	de	memória	flash,	HD,	entre	outros.
A Figura 1 a seguir apresenta alguns meios de armazenamento da 
informação.
FIGURA 1 – MEIOS DE ARMAZENAMENTO DA INFORMAÇÃO
FONTE: <http://deeconometrist.nl/wp-content/uploads/2020/12/data-e1607352153315.jpg>. 
Acesso em: 17 maio 2021.
• Meios de Armazenamento em nuvens 
Quando	se	fala	em	armazenamento	de	informações	nas	“nuvens”,	fala-se	
na	possibilidade	de	se	salvar	diferentes	tipos	de	arquivos	(fotos,	músicas,	vídeos)	
em	um	disco	virtual	intermediada	por	uma	aplicação	Web	e	poder	acessá-los	e	
baixá-los através de Internet.
o Dropbox: o Dropbox foi um dos pioneiros no armazenamento da nuvem, 
sendo	possível	armazenar	até	2	GB	de	arquivos	gratuitamente.	Foi	criado	
em	2007,	é	um	dos	serviços	mais	utilizados.	Então,	seu	principal	diferencial	
é o serviço de indicações, pois a cada amigo convidado que cria uma 
conta	você	aumenta	a	sua	capacidade,	podendo	chegar	a	16	GB	de	espaço	
(GALAN,	2017).
o	 Google	Drive:	no	Google	Drive	é	possível	armazenar	até	15	GB	de	arquivos	
gratuitamente. Uma das vantagens do Google Drive é rapidez e facilidade 
da integração com o Google Docs, suíte de aplicativos, parecidos com o 
Word,	Excel,	PowerPoint	(GALAN,	2017).
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
8
o	 OneDrive:	 a	 capacidade	 de	 armazenamento	 é	 de	 5	 GB.	 Um	 grande	
diferencial	do	OneDrive	é	a	sua	integração	com	o	Word,	Excel,	PowerPoint	
on-line	por	meio	do	Office	Live.	Links	para	criação	de	conta	no	Dropbox,	
Google	Drive	e	OneDrive	(GALAN,	2017).
4 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
 
Então, para evitar ataques cibernéticos o objetivo fundamental da 
segurança da informação é proteger o interesse daquelas pessoas que utilizam a 
informação. Dessa forma, objetivo é proteger a informação de possíveis ataques que 
venha afetar os princípios da segurança da informação, ou seja, disponibilidade, 
confidencialidade	ou	 integridade	 (COBIT,	 2007	 apud	ANDRADE,	 2011).	 Sendo	
assim, os três princípios considerados os pilares da segurança da informação pela 
literatura	são	definidos	a	seguir:	
 
4.1 CONFIDENCIALIDADE
De	acordo	com	Comer	(2007	apud	ANDRADE,	2011,	p.	17),	“a	privacidade	
dos dados em questão deve ser garantida. Os dados devem serem protegidos 
contra acesso não autorizado, ou seja, garante a informação seja acessada somente 
por usuários autorizados”. 
Então,	 para	 garantir	 a	 confidencialidade	 é	 importante	 que	 os	 dados	
estejam	protegidos	por	senha	(OLIVEIRA,	2021).	
4.1.1 A ferramenta que garante o princípio da 
Confidencialidade
A	ferramenta	que	garante	a	confidencialidade	é	a	Criptografia.	A	Criptografia	
é	uma	técnica	que	embaralha	a	informação	por	meio	de	algoritmos	de	criptografia,	e	
faz	com	que	a	informação	se	transforme	em	algo	ilegível	(COMER,	2007).
4.2 INTEGRIDADE 
De	acordo	com	Comer	(2007	apud	ANDRADE,	2011,	p.	17)	“A	veracidade	
dos dados deve ser garantida. Dessa forma, deve existir uma proteção contra 
mudanças não-autorizadas no sistema. Então, a perda de integridade quando a 
informação é alterada de forma indevidamente ou quando não se pode garantir 
que a informação é a mais atualizada”. 
TÓPICO 1 — PRINCÍPIOS DE SEGURANÇA
9
4.2.1 Ferramenta que garanti a integridade 
Uma das ferramentas que visa garantir que o conteúdo da mensagem não 
foi	alterado,	seja	acidentalmente	ou	com	má	intenção,	durante	a	transmissão	(uso	
da	 função	hash).	Outras	 ferramentas	que	garantem	o	princípio	da	 Integridade	
são:	assinatura	digital	e	o	Backup	(GRAN	CURSOS,	2021):	
• Assinatura Digital: quando o usuário assina digitalmente um documento, isto 
é, qualquer alteração que for realizada no documento violará essa assinatura. 
Portanto, se houver alteração em um documento assinado digitalmente ou 
eletronicamente, ele precisará ser assinado novamente, pois a assinatura 
anterior foi violada. 
•	 Backup:	 a	 cópia	 integral	 dos	 dados	 faz	 parte	 do	 Backup.	 Quando	 parte	
da	 informação	se	corrompe	e	o	usuário	 restaura	o	Backup,	a	 totalidade	da	
informação é recuperada, tornando-se integral novamente.
4.3 DISPONIBILIDADE
De	acordo	com	Comer	(2007	apud	ANDRADE,	2011,	p.	17),	“O	sistema	
deve fornecer as informações sempre que for solicitado. Dessa forma, o serviço 
não pode ser interrompido” em hipótese alguma, ou seja, a informação deve estar 
disponível 24 horas, sete dias na semana e 365 no ano.
4.3.1 Ferramentas que garante o princípio da 
Disponibilidade
Portanto, as ferramentas que garantem o princípio da Disponibilidade 
são:		o	Nobreak,	o	Firewalle	o	Backup	(GRAN	CURSOS,	2021,	p.	2).
•	 Nobreak:	 dispositivo	 alimentado	 por	 baterias,	 ou	 seja,	 capaz	 de	
fornecer energia elétrica a um sistema durante um determinado 
período, em situações de emergência, no caso de interrupção do 
fornecimento	de	energia	da	rede	pública.	Dessa	forma,	o	Nobreak	
impede que o sistema desligue.
• Firewall: o Firewall é uma barreira de proteção contra ataques que 
visam tirar os serviços de funcionamento. Ele impede que ataques 
de intrusão e de negação de serviço sejam efetuados no ambiente. 
•	 Backup:	 faz	uma	cópia	na	 integra	da	 informação.	Então,	em	caso	
de qualquer falha recupera essa informação, tornando-a disponível 
novamente.
A Figura 2 apresenta os princípios básicos da segurança da informação de 
acordo com norma da ISO.
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
10
FIGURA 2 – PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO 
FONTE: <https://bit.ly/351XlxU>. Acesso em: 17 maio 2021.
Dessa forma, alguns autores apoiam três princípios que são: CID 
(Confidencialidade,	Integridade	e	Disponibilidade),	ficando	com	cinco	princípios	
básicos	 para	 segurança	 da	 informação,	 são	 eles:	 Autenticidade	 e	 Legalidade,	
formando a sigla CIDAL.	De	acordo	com	Oliveira	(2021,	s.	p.),	a	“ISO/IEC	27002	
aponta apenas três princípios básicos da segurança da informação: preservação 
da	 confidencialidade,	 da	 integridade	 e	 da	 disponibilidade	 da	 informação;	
adicionalmente, outras propriedades, tais como autenticidade, não repúdio e 
confiabilidade,	podem	estar	envolvidas”.
• C	–	Confidencialidade.
• I – Integridade.
• D – Disponibilidade.
• A – Autenticidade.
• L –	Legalidade.
Mas seguindo os padrões internacionais sobre segurança da informação, a ISO/
IEC 27002 aponta apenas 3 princípios básicos da segurança da informação: Preservação 
da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, 
outras propriedades, tais como autenticidade, não repúdio e confiabilidade, podem estar 
envolvidas.
FONTE: <https://bit.ly/3w3WVmk>. Acesso em: 17 maio 2021.
ATENCAO
TÓPICO 1 — PRINCÍPIOS DE SEGURANÇA
11
A	seguir	serão	definidos	tais	princípios:
•	 Autenticidade:	 Visa	 fazer	 a	 identificação	 do	 usuário,	 ou	 seja,	 o	 acesso	 do	
usuário ao sistema tem que ser mediante uma senha ou alguma medida de 
identificação	(KUROSE,	2003	apud	ANDRADE,	2011).		Ex:	assinatura	digital.
• Responsabilidade: Se refere aos requisitos de uma auditoria, ou seja, tem o 
foco nos responsáveis por cada item e a maneira como armazenam os registros 
de	acesso	e	mudança	(COMER,	2007	apud	ANDRADE,	2011).
•	 Não	Repúdio:	Busca	verificar	se	uma	determinada	pessoa	realizou	uma	ação,	
ou	seja,	enfim	verificar	uma	forma	de	provar	que	a	pessoa	realmente	efetuou	
a	ação	ou	não	(FOROUZAN,	2006	apud	ANDRADE,	2011).
Sendo assim, deve-se analisar os riscos dentro do ambiente organizacional 
a	fim	de	 evitar	 as	 ameaças	 existentes,	 tanto	 físicas	 quanto	 lógicas.	A	 Figura	 3	
apresenta os três pilares da Segurança da Informação que são: os princípios 
básicos, as ameaças e ferramentas de proteção.
FIGURA 3 – APRESENTA OS TRÊS PILARES DA SEGURANÇA DA INFORMAÇÃO 
FONTE: Gran Cursos (2021, p. 6)
12
Neste tópico, você aprendeu que:
• A importância da segurança da informação não é somente para as grandes 
organizações, mas também para seu uso pessoal, pois vivemos na era da 
informação, podendo nos comunicar e trocar informações, por diversos meios, 
como: celulares, Internet e suas mais variadas ferramentas de midiáticas. 
•	 A	NBR	17999	define	três	princípios	da	segurança	da	informação,	os	quais	são:	
confidencialidade,	integridade	e	disponibilidade	(ABNT,	2005),	porém	existem	
outros atributos importantes que são: a autenticidade, responsabilidade, não 
repúdio. 
• Princípios da segurança da informação CID tem o objetivo de manter a 
informação livre de ataques, acidentes, desastres ou danos de qualquer outra 
natureza.
•	 A	 integridade	 garante	 que	 a	 informação	 não	 seja	 modificada	 de	 forma	
alguma, ou seja, não seja alterada acidentalmente ou de forma não autorizada. 
Para	 garantir	 a	 integridade	 da	 informação	 podemos	 utilizar:	 criptografia,	
assinatura	digital	e	o	Backup.
•	 A	 confidencialidade	 também	 é	 um	 princípio	 muito	 importante,	 pois	
garante que a informação somente seja acessada por pessoas explicitamente 
autorizadas.	O	aspecto	mais	importante	desse	item	é	garantir	a	identificação	
e autenticação das partes envolvidas.
• A disponibilidade serve para manter a informação disponível constantemente, 
ou seja, 24 horas, sete dias na semana e 365 ao ano.
RESUMO DO TÓPICO 1
13
1	 (IADES,	 2018)	 No	 que	 tange	 aos	 princípios	 básicos	 da	 segurança	 da	
informação, a aplicação de um controle para proteger a informação de 
ameaças	involuntárias	e	(ou)	intencionais,	para	que	a	informação	não	seja	
modificada,	refere-se	a	qual	princípio	da	segurança	da	informação?
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/fb6ec4e0-38>. 
Acesso em: 17 maio 2021.
a)	(			)	 Integridade
b)	(			)	 Exatidão
c)	(			)	 Confidencialidade
d)	(			)	 Disponibilidade
e)	(			)	 Não	repúdio
2	 (COPESE-UFT,	 2018)	 Do	 ponto	 de	 vista	 da	 segurança,	 os	 sistemas	
computacionais têm objetivos gerais que norteiam os modelos e os 
mecanismos	de	segurança.	Nesse	contexto,	analise	as	afirmativas	a	seguir.
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/b8091f68-a0>. 
Acesso em: 17 maio 2021.
I- A disponibilidade do sistema não é um aspecto de interesse no ponto 
de vista da segurança, uma vez que ela determina que ninguém possa 
perturbar o sistema para deixa-lo inutilizável, o que não é desejado para 
sistemas multiusuário.
II-	 A	confidencialidade	de	dados	consiste	em	manter	em	segredo	os	dados	
secretos. Assim, se o proprietário de um grupo de dados decidir que esses 
devem	ser	disponibilizados	apenas	para	um	grupo	específico	de	pessoas,	
os sistemas devem garantir que não ocorra a liberação dos dados para 
pessoas não autorizadas.
III-	 A	integridade	de	dados	significa	que	usuários	não	autorizados	não	devem	
ser	capazes	de	modificar	qualquer	dado	sem	a	permissão	do	proprietário,	
incluindo, por exemplo, a remoção e inserção de dados falsos.
Assinale a alternativa CORRETA.
a)	(			)	 Apenas	as	afirmativas	I	e	II	estão	corretas.
b)	(			)	 Apenas	as	afirmativas	II	e	III	estão	corretas.
c)	(			)	 Apenas	as	afirmativas	I	e	III	estão	corretas.
d)	(			)	 Todas	as	afirmativas	estão	corretas.
3	 (ENADE,	2014)	As	transações	eletrônicas	na	internet	precisam	de	mecanismo	
de	 segurança	 capazes	 de	 garantir	 autenticidade,	 confidencialidade	 e	
integridade das informações. Com relação a esse contexto, avalie as 
afirmações	a	seguir.	
FONTE: <https://editora.pucrs.br/edipucrs/acessolivre/Ebooks//Pdf/978-85-397-1004-1.pdf>. 
Acesso em: 17 maio 2021.
AUTOATIVIDADE
14
I-	 Criptografia	 assimétrica	 é	 um	método	 em	 que	 é	 utilizado	 um	 par	 de	
chaves: uma pública e uma privada. 
II-	 Certificado	digital	é	um	documento	eletrônico	assinado	digitalmente	que	
permite associar uma pessoa ou entidade a uma chave pública. 
III- Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV-	 VPN	 (Virtual	 Private	 Network)	 é	 um	 dispositivo	 de	 uma	 rede	 de	
computadores por meio do qual se aplica uma política de segurança a 
determinado ponto de rede.
Assinale a alternativa CORRETA:
a)	(			)	 I,	II,	III	e	IV	são	verdadeiras.
b)	(			)	 II	e	III	são	verdadeiras.
c)	(			)	 I	e	IV	são	verdadeiras
d)	(			)	 I,	II	e	III	são	verdadeiras.
4	 (CETRO,	 2014)	 Os	 princípios	 da	 ___________	 abrangem	 basicamente	 os	
seguintes	 aspectos:	 o	 conceito	de	 ___________	garante	que	 a	 informação	
é acessível somente por pessoas autorizadas a terem acesso. O conceito de 
___________	garante	a	preservação	da	exatidão	dainformação	e	dos	métodos	
de	 processamento.	 O	 conceito	 de	 ___________	 garante	 que	 os	 usuários	
autorizados obtenham acesso à informação e aos ativos correspondentes 
sempre que necessário. Toda ação que possa comprometer um desses 
princípios pode ser tratada como atentado a sua segurança. A segurança 
___________	 tem	 como	 objetivo	 proteger	 equipamentos	 e	 informações	
contra usuários não autorizados e prevenção de danos por causas naturais, 
tais como: controle de acesso, biometria, sistemas de alarmes e CFTV. A 
segurança	___________	aplica-se	em	casos	em	que	um	usuário	ou	processo	
da rede tenta obter acesso a um objeto que pode ser um arquivo ou outro 
recurso	 de	 rede	 (estação	 de	 trabalho,	 impressora	 etc.),	 sendo	 assim,	 um	
conjunto de medidas e procedimentos adotados com o objetivo de proteger 
os dados, programas e sistemas contra tentativas de acessos não autorizados, 
feitas por usuários ou outros programas.
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/23d571e4-94>. 
Acesso em: 17 maio 2021.
a)	(			)	 Tecnologia	 de	 informação,	 vulnerabilidade,	 indisponibilidade,	
integridade, estrutural, lógica. 
b)	(			)	 Comunicação	 de	 redes,	 criptografia,	 disponibilidade,	 acessibilidade,	
lógica, estrutural.
c)	(			)	 Segurança	privada,	integridade,	superioridade,	vulnerabilidade,	privada,	
virtual.
d)	(			)	 Segurança	da	informação,	confidencialidade,	integridade,	disponibilidade,	
física,	Lógica.
e)	(			)	 Gravação	nas	nuvens,	upload,	Backup,	senhas,	lógica,	física.
15
TÓPICO 2 — 
UNIDADE 1
TIPOS DE ATAQUES
1 INTRODUÇÃO
Para que possamos ter uma rede de comunicação segura e, 
consequentemente, nossas informações estarem seguras, são indispensáveis 
diversas ações. Uma delas é a criação de Políticas de Segurança. Neste tópico, 
estudaremos conceitos e termos relacionados a Políticas de Segurança, assim 
como um conjunto de boas práticas para sua criação.
Então, podemos citar as políticas de segurança como: instruções e 
procedimentos	de	trabalho,	especificação	de	segurança,	conscientização	de	usuários;	
ferramentas para implementação da política de segurança tais com: Firewall, 
antivírus,	Backup	configurações	entre	outras	medidas.
Também veremos os tipos de ataques a redes de computadores. Quais 
as consequências de cada um dos ataques à rede e alguns riscos que os usuários 
podem enfrentar.
2 TIPOS DE ATAQUE A REDE DE COMPUTADORES 
A seguir serão apresentados alguns tipos de ataque. Quais as consequências 
de cada um dos ataques à rede e alguns riscos que os usuários podem enfrentar.
2.1 NEGAÇÃO DE SERVIÇO
Neste tipo de ataque, o atacante utiliza um computador para tirar 
do ar um serviço ou um computador conectado à Internet. Então, ataque de 
negação	de	serviço,	são	“responsáveis	por	sobrecarregar	servidores	com	grande	
volume de informação, causando a parada do sistema operacional, provocando 
o preenchimento da memória do computador e a sobrecarga de operações do 
processador”	(PICOLLO,	2013,	p.	34).
16
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
2.2 SPAM
Spam é a denominação para correios eletrônicos não solicitados 
encaminhados para um grande número de pessoas. Os usuários de correio 
eletrônico podem enfrentar diversos problemas com este ataque. Um exemplo: é 
o não recebimento de correios eletrônicos devido ao enchimento da sua caixa de 
entrada,	que	geralmente,	possuem	um	tamanho	fixo.
Enfim,	este	tipo	de	ataque	pode	ser	realizado	aumentando	o	processamento	
do computador, aumentando o tráfego de dados para uma rede ou tirando do ar 
serviços importantes que deixem usuários de correio eletrônico impossibilitados 
de	acessar	o	servidor	de	correio	eletrônico	(ANDRADE,	2011).
2.3 INTERCEPTAÇÃO DE PACOTES (MAN-IN-THE-MIDDLE)
O ataque em questão envolve uma pessoa interceptando uma conversa 
entre	 duas	 pessoas.	 Como	 exemplo,	 uma	 pessoa	 fictícia.	 Suponhamos	 que	 “A	
“enviar	 uma	 mensagem	 a	 pessoa	 fictícia	 “B”.	 Uma	 pessoa	 má	 intencionada,	
denominada	por	“C”,	coloca	a	sua	placa	de	rede	em	modo	promíscuo	e	passar	a	
servir de analisador de pacotes dentro da rede. Dessa forma, os quadros que estão 
sendo transmitidos para todos hospedeiros são recebidos por C. Deste modo, C 
pode	se	passar	por	uma	das	pessoas,	A	ou	B,	e	obter	informações	confidenciais	
(ANDRADE,	2011).
3 VULNERABILIDADE
 
Ferreira	e	Araújo	(2006	apud	BUZZATE,	2014,	p.	15)	“definem	vulnerabilidade	
como a capacidade de qualquer pessoa não autorizada de acessar o sistema e tomar 
o controle sobre ele”. Desse modo: 
Vulnerabilidades são resultados de falhas nas implementações de 
sistemas operacionais, serviços, aplicativos e protocolos, que podem 
ser exploradas por atacantes para executar ações maliciosas, como 
invadir um sistema, disparar ataques contra outros computadores 
ou	 tornar	 um	 serviço	 inacessível	 (NAKAMURA;	 GEUS,	 2007	 apud 
BUZZATE,	2014,	p.	15).	
As	vulnerabilidades	de	hardwares,	de	softwares,	assim	como	a	configuração	
ou instalação incorreta, são alguns dos exemplos que afetam os princípios de 
segurança	da	informação.	A	norma	ISO/ISC	27005	apresenta	uma	lista	com	exemplos	
de vulnerabilidades, as quais se destacam: vulnerabilidade de hardware, software, 
de	rede,	de	pessoal,	de	instalações	e	da	estrutura	organizacional	(BUZZATE,	2014).	
Então, as vulnerabilidades podem ter origens diversas como apresentado na lista 
(SÊMOLA,	2003,	p.	48-49	apud	SOUZA,	2007,	p.	22):	
TÓPICO 2 — TIPOS DE ATAQUES
17
• Agentes da natureza umidade, poeira, poluição e calor podem 
causar danos aos ativos. Deve-se levar em consideração também 
fatores	geográficos	que	possam	resultar	em	ameaças.	Por	exemplo,	
instalações próximas a rios que causam inundações.
•	 HARDWARES:	 Falhas	 em	 equipamento	 a	 serem	 utilizados,	
problemas de projeto e manutenção.
•	 SOFTWARES:	Falhas	no	desenvolvimento	ou	execução	de	softwares	
com código malicioso.
•	 MÍDIAS	 DE	 ARMAZENAMENTO:	 Falhas	 de	 fabricação	 ou	
estocagem de CD-ROM, discos rígidos, DVD-ROM entre outros.
•	 HUMANAS:	Relativas	 aos	danos	de	pessoas	 que	pode	 causar	 às	
informações quando de espionagem, má utilização e insatisfação 
com o trabalho, erros, dentre outros fatores.
A Figura 4 a seguir representa o ciclo de segurança da informação. Toda e 
qualquer ameaça explora uma determinada vulnerabilidade e a vulnerabilidade 
expõe uma informação que tem determinados valor que podem causar prejuízo na 
organização. Então, podemos compreender que um risco indica uma necessidade de 
segurança a ser implementada com ações que visa protege o sistema contra ameaças.
FIGURA 4 – INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
FONTE: <https://player.slideplayer.com.br/2/5609032/>. Acesso: 3 maio 2021.
4 PRINCIPAIS AMEAÇAS
São diversos os tipos de ameaças que uma organização pode sofrer. 
Analisando a parte física, sofrem consequências desde fenômenos da natureza 
até mesmo por funcionários que queiram se vingar da empresa. Então, com 
objetivo de minimizar estes riscos, serão apresentadas ameaças físicas e lógicas 
que podem existir em um ambiente organizacional e quais medidas de segurança 
podem	ser	tomadas	(TANEMBAUM,	2003	apud	ANDRADE,	2011).
18
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
 Então, ameaças são os elementos que têm a condição de explorar 
vulnerabilidades	 e	 causar	 problemas	 nos	 ativos	 de	 uma	 empresa	 (MÓDULO,	
2007	apud	SOUZA,	2007).	
Desse modo, os ativos estão continuamente expostos às ameaças existentes, 
que	podem	colocar	em	risco	os	três	princípios	da	segurança	(confidencialidade,	
integridade	 e	 disponibilidade)	 (SÊMOLA,	 2003,	 p.	 48-49	 apud	 SOUZA,	 2007).	
Dentre	as	várias	classificações	na	literatura,	podemos	citar	as	seguintes:
• NATURAIS: condições da natureza que podem causar danos como, por 
exemplo: incêndio, enchentes,terremotos entre outros fenômenos da natureza;
• INTENCIONAIS: o objetivo é proposital, ou seja, intencional como vírus de 
computador, espionagem, fraude, vandalismo, roubo entre outros;
•	 INVOLUNTÁRIAS:	 originadas	 por	 falhas	 não	 intencionais	 dos	 usuários	
como acidentes, erros, falta de conhecimento dos ativos.
Agentes ou condições que causam incidentes que comprometem as 
informações e seus ativos por meio da exploração de vulnerabilidades, 
provocando	perdas	de	confidencialidade,	integridade	e	disponibilidade	e,	
consequentemente, causando impactos aos negócios de uma organização 
(SÊMOLA,	2003,	p.	47	apud	SILVA,	2009,	p.	30).
4.1 CÓDIGOS MALICIOSOS
O Centro de Estudo, resposta e tratamento de Incidentes de segurança no 
Brasil,	conhecido	como	CERT.	A	seguir	é	apresentada	de	forma	clara	os	termos,	
conceitos utilizados na Internet e fornece procedimentos que visam o aumento 
da segurança. Exemplos de códigos maliciosos fornecidos pela cartilha e seus 
significados	são	apresentados	a	seguir:
• Vírus:
Programas ou partes de um programa que se propagam com objetivo de 
infectar o computador. Normalmente maliciosos, inserem cópias de si mesmo 
e se tornam parte de outros programas e arquivos do computador. Então, você 
pode receber vírus de computador através de e-mail, informando que ganhou 
um prêmio milionário, com um anexo contendo infectado, mas se tornar ativo 
e continuar o processo de infecção o vírus necessita da execução do programa 
ou	arquivo	hospedeiro.	O	vírus	de	macro	é	o	tipo	específico	de	vírus	de	script,	
escrito em linguagem de macro, que tenta infectar arquivos manipulados por 
aplicativos	que	utilizam	esta	linguagem	como	Word,	Excel,	Power	point.	
TÓPICO 2 — TIPOS DE ATAQUES
19
•	 Backdoor:
Backdoor	 é	 o	 nome	 dado	 aos	 programas	 que	 possibilitam	 o	 retorno	
do	 invasor	 ao	ambiente	 através	do	uso	de	 serviços	 criados	ou	modificados.	O	
Backdoor	resulta	em	disponibilizar	portas	de	acesso	abertas	no	seu	computador,	
de forma que um invasor possa ter acesso não autorizado ao sistema. Em grande 
parte das vezes acontece sem que o atacante seja notado.
•	 Worms:
Tem a capacidade de se propagar de forma automática, ou seja, enviando 
cópias de si mesmo de computador para outro. Dessa forma, consume muitos 
recursos, devido à grande quantidade de cópias de si mesmo que costumam 
se propagar e, como consequência, podem afetar o desempenho de redes e a 
utilização de computadores.
•	 Bots:	
O	Bot	se	assemelha	muito	ao	worm,	mas	o	bots	tem	objetivo	de	realizar	
a propagação de forma automática e exploração de vulnerabilidades ou falhas 
de	 configuração.	A	diferença	principal	 é	 que	 o	 bots	 apresenta	mecanismos	de	
comunicação com o invasor permitindo dessa forma que este seja controlado 
remotamente.
•	 KeyLogger:	
O	keylogger	 tem	objetivo	de	capturar	 tudo	que	o	usuário	digita	 com	a	
capacidade de não somente de capturar, mas armazenar as teclas digitadas pelo 
usuário. Exemplo: Capturar senhas digitas pelo usuário.
• Cavalos de Tróia: 
Cavalo de Troia é um tipo de malware que está disfarçado de software 
legítimo.	Eles	podem	ser	empregados	por	criminosos	virtuais	e	hackers	para	tentar	
obter acesso ao sistema dos usuários. Exemplos de ataques com o cavalo de Tróia: 
bloquear	dados,	excluir	dados	sem	autorização	do	usuário,	modificar	informação.	
Enfim,	o	cavalo	de	Tróia	busca	atrapalhar	o	desempenho	dos	computadores.
•	 Adwares	e	Spywares
Adwares é um tipo de software cujo objetivo é apresentar propagandas 
sem nenhuma autorização do usuário. Dessa forma, tornando o computador 
cada vez mais lento e a conexão também. Geralmente utiliza-se o browser para 
isso, mas programas instalados no computador também podem apresentar esse 
comportamento. 
20
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
Spyware	 o	 objetivo	 desse	 software	 é	 realizar	 o	 monitoramento	 das	
atividades de um sistema e envio das informações coletadas para terceiros. 
Dessa forma, as informações podem ser de relatórios sobre suas compras ou 
seus	hábitos	de	navegação	on-line,	mas	ele	 também	pode	ser	modificado	para	
registrar pressionamentos de teclas, informações de cartões de crédito, senhas ou 
credenciais de login. 
•	 Rootkits:	
O software foi criado com objetivo de esconder a presença de um invasor 
em	 um	 ambiente	 comprometido.	 Então,	 “Root"	 é	 a	 definição	 usada	 para	 os	
usuários	que	possuem	o	controle	 total	de	um	PC.	Dessa	 forma	rootkits	utiliza	
ferramentas para manter o acesso já obtido no sistema. 
A	Figura	 5	 apresenta	 a	 classificação	da	 informação.	 Pode	 ser	 ativo,	 ou	
seja, na categoria ativo a informação pode ser tangível ou intangível. Além da 
classificação	por	categoria	de	ativos.	Também	temos	a	classificação	por	ativos	de	
ativos: lógicos, físicos e humanos.
FIGURA 5 – INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
FONTE: <https://player.slideplayer.com.br/2/5609032/>. Acesso em: 17 maio 2021.
TÓPICO 2 — TIPOS DE ATAQUES
21
4.2 AMEAÇAS EM RECURSOS HUMANOS
 
Dessa forma, podemos compreender que a segurança não é obtida apenas 
com recursos lógicos e físicos. A segurança para ser alcançada pela a empresa 
deve	criar	políticas	públicas	nas	quais	a	empresa	deve	definir	e	seguir,	ou	seja,	
um conjunto de medidas que quando associadas garantem a segurança de forma 
satisfatória. Dessa forma, garantindo os princípios da segurança da informação 
CID. Entretanto, as pessoas também devem serem levadas em consideração 
(ANDRADE,	2011).
• Engenharia Social: 
Engenharia social é a persuasão na qual o atacante tenta abusar da 
ingenuidade	 ou	 da	 confiança	 de	 alguma	 pessoa,	 enfim,	 o	 atacante	 encontra	
formas de obter informações nas quais ele possa utilizar para obter acesso não 
autorizado a computadores ou informações. Dessa forma, o atacante pode utilizar 
de diversos métodos para obter a informação. Um exemplo deste método seria 
o	envio	de	e-mails	falsos	com	links	que	redirecionam	o	alvo	para	páginas	falsas	
semelhantes	aos	oficiais	(ANDRADE,	2011).	
• Controle de Acesso
Controle	 de	 acesso	 busca	 identificar	 e	 verificar	 o	 usuário	 na	 qual	 está	
acessando o sistema, ou seja, somente usuários autorizados podem ter o acesso. 
O	 controle	 busca	 verificar	 todo	 e	 qualquer	 acesso	 indevido	 de	 usuário	 não	
autorizado	(ANDRADE,	2011).
4.3 MEDIDAS DE SEGURANÇA FÍSICA 
A seguir, serão apresentadas algumas medidas relacionadas às ameaças 
físicas. 
•	 Biometria
Visa	identificar	usuários	da	empresa	indivíduos.	O	usuário	precisa	ter	a	
sua digital cadastrada no aparelho. Além disso, uma senha deve ser informada 
para a liberação do funcionário. A Figura 6 a seguir representa a biometria.
22
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
FIGURA 6 – BIOMETRIA
FONTE: <https://bit.ly/34YnuO3>. Acesso em: 17 maio 2021.
• Geradores e No-Break
Consiste em um aparelho constituído de baterias cujo objetivo é armazenar 
energia e alimentar um computador por algum tempo caso haja falta de energia. 
Dessa forma, caso o usuário ao detectar a falta de energia vai ter tempo de salvar 
e fechar os arquivos abertos. 
Entretanto, quando há interrupção no fornecimento de energia, o 
gerador é acionado e garante o funcionamento do estabelecimento durante um 
determinado período de tempo.
4.4 MEDIDAS DE SEGURANÇA LÓGICA
 
“A	seguir	serão	apresentadas	possíveis	medidas	para	combater	o	acesso	
lógico indevido. As medidas foram baseadas no checklist da cartilha de segurança 
na Internet proposto pelo Centro de Estudo, Resposta e Tratamento de incidentes 
de	segurança	no	Brasil”	(ANDRADE,	2011,	p.	27).
• Senhas
De	acordo	com	Andrade	(2011,	p.	27),	“para	evitar	o	acesso	de	outra	pessoa	
com	a	sua	identificação	no	sistema	deve-se	atentar	em	alguns	aspectos	relativos	à	
construção, armazenamento e rotatividadeda mesma”. 
Então, ao elabora a uma senha deve ter no mínimo oito caracteres, incluindo 
letras maiúsculas, números, símbolos e jamais utilizar seu nome, sobrenomes, 
números de documentos. Utilizar uma senha diferente para cada serviço. Evita 
que o atacante ao descobrir uma senha obtenha acesso a todos os seus serviços. 
TÓPICO 2 — TIPOS DE ATAQUES
23
5 CRIPTOGRAFIA
A	criptografia	vem	das	palavras	gregas	que	significa	escrita	secreta.	Dessa	
forma, é uma técnica utilizada para cifrar uma informação, ou seja, tornando-a 
incompreensível,	exceto	para	o	(s)	destinatário	(s)	e	o	transmissor	(TANENBAUM,	
2011).
Então, um código substitui uma palavra por outra palavra ou símbolo. Os 
códigos não são mais utilizados, embora tenham uma história gloriosa. Então, 
uma	 outra	 restrição	 era	 a	 dificuldade	 de	 alternar	 os	 métodos	 criptográficos	
rapidamente, pois isso exigia a repetição do treinamento de um grande número 
de	pessoas	(TANENBAUM,	2011).
Suponhamos que o inimigo ou intruso, ouça e copia cuidadosamente o 
texto cifrado completo. Dessa forma, ao contrário do destinatário pretendido, ele 
não conhece a chave para descriptografar o texto e, portanto, não pode fazê-lo 
com	muita	facilidade	(TANENBAUM,	2011).	
Dessa forma, a arte de solucionar mensagens cifradas é chamada 
criptoanálise.	A	 arte	 de	 criar	mensagens	 cifradas	 (criptografia)	 e	 soluciona-las	
(criptoanálise)	e	chamada	coletivamente	criptologia.	
O	 objetivo	 primordial	 da	 criptografia	 é	 garantir	 a	 confidencialidade	
dos dados, mas incorporou-se mecanismos que também permitem garantir 
integridade,	autenticidade	e	não	repúdio	(KUROSE,	2003	apud	SOUZA,	2007).
5.1 CIFRAS DE SUBSTITUIÇÃO
Em uma cifra de substituição, cada letra do alfabeto é substituída por 
outra	letra	ou	grupo	de	letras,	ou	seja,	existe	um	"disfarce”,	pois	esse	é	objetivo	
primordial.		Por	exemplo,	o	ataque	passaria	a	ser	ABCDE.	Então,	o	texto	simples	
e apresentado em letras minúsculas e o texto cifrado em letras maiúsculas. 
Dessa forma, o próximo passo é aprimoramento, ou seja, fazer com que 
cada um dos símbolos do texto simples, digamos 26 letras, seja mapeado para 
alguma	outra	letra.	Por	exemplo,	texto	simples:	a	b	c	d	e	f	g	h	i	j	k	l	m	n	o	p	q	r	s	t	
u	v	w	x	y	z.	Então,	o	texto	cifrado	ficaria:	Q	W	E	R	T	Y	U	I	O	P	A	S	D	F	G	H	J	K	L	
Z	X	C	V	B	N	M.	Este	sistema	geral	á	chamado	substituicao	monoalfabetica.
5.2 CRIPTOGRAFIA EM REDES LOCAIS
•	 Chave	 assimétrica:	 popularmente	 conhecida	 como	 "chave	 pública",	 a	 chave	
assimétrica trabalha com duas chaves: uma privada e outra pública. Dessa forma, 
uma	pessoa	deve	criar	uma	chave	de	codificação	e	enviá-la	a	quem	for	lhe	mandar	
informações. Essa é a chave pública. A chave privada é a outra chave que deve ser 
criada	para	a	decodificação	(TANENBAUM,	2003	apud	SOUZA,	2007).
24
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
• Chave simétrica: é utilizada a mesma chave tanto pelo emissor quanto por quem 
recebe	a	informação,	ou	seja,	a	mesma	chave	é	utilizada	para	codificação	e	para	
a	decodificação	dos	dados.		Exemplos	de	algoritmos	para	chaves	simétricas:	são	
o	DES,	o	IDEA	e	o	RC	(TANENBAUM,	2003	apud	SOUZA,	2007).
Dessa forma, o algoritmo simétrico é aquele que utiliza a mesma chave 
para criptografar e descriptografar uma mensagem conforme é ilustrado na 
Figura	7.
FIGURA 7 – REPRESENTAÇÃO DA CRIPTOGRAFIA SIMÉTRICA
FONTE: Adaptada de Stallings (1999 apud SOUZA, p. 32)
Na	Figura	7,	pode-se	observar	que	a	mensagem	parte	do	emissor	passando	
por um processo de ciframento, após este processo a mensagem cifrada é 
encaminhada ao receptor que possui a chave para decifrar a mensagem, desta forma 
torna-se difícil para quem não têm a chave correta decifrar a mensagem original.
A	Figura	8	representa	“a	criptografia	assimétrica	é	também	chamada	de	
criptografia	de	 chave	pública	 e	 possui	 um	 conjunto	de	duas	 chaves,	 uma	que	
serve	para	criptografar	a	mensagem	e	outra	para	descriptografá-la”	(KUROSE,	
2003	apud	SOUZA,	2007,	p.	33).	
FIGURA 8 – REPRESENTAÇÃO DA CRIPTOGRAFIA ASSIMÉTRICA
FONTE: Adaptada de Stallings (1999 apud SOUZA, p. 33)
TÓPICO 2 — TIPOS DE ATAQUES
25
Um	algoritmo	assimétrico	bem	conhecido	é	o	RSA	(sigla	formada	pelas	
iniciais	 de	 seus	 criadores	Rivest,	 Shamir,	Adleman)	 e	 que	 é	mantido	
pelo	MIT	 (Massachusetts Institute os Technology).	O	RSA	 forma	 a	 base	
para	o	atual	PKI	(Public Key Infrastructure)	que	possibilita	a	utilização	de	
chaves	de	até	1024	bits	(FITZGERALD,	2005,	p.	263	apud	SOUZA,	p.	34).
A	 criptografia	 tem	 dois	 princípios	 fundamentais	 a	 redundância	 e	
atualização. O princípio e que todas as mensagens criptografadas devem conter 
alguma	redundância.		Enfim,	por	exemplo	considere	uma	empresa	de	encomendas	
postais, a The Couch Potato	 (TCP),	 com	60.000	produtos.	 Pensando	que	 estavam	
sendo	muito	eficientes,	os	programadores	da	TCP	decidiram	que	as	mensagens	de	
encomendas	deveriam	consistir	no	nome	do	cliente	com	16	bytes,	seguido	por	um	
campo	de	dados	de	3	bytes	(um	para	a	quantidade	e	2	para	o	número	do	produto).
		Enfim,	a	princípio,	essa	estratégia	pode	parecer	segura,	e	até	certo	ponto	
sim, porque os intrusos passivos não podem descriptografar as mensagens. 
Entretanto, há uma falha fatal que a torna inútil. Suponha que uma funcionária 
recém-admitida queira punir a TCP por despedi-la. Algumas medidas para 
assegurar	 que	 cada	 mensagem	 recebida	 possa	 ser	 confirmada	 como	 uma	
mensagem atual, isto e, enviada muito recentemente. Essa medida e necessária 
para impedir que intrusos ativos reutilizem mensagens antigas. Se tais medidas 
não fossem tomadas, nossa ex-funcionária poderia interceptar a linha telefônica 
da	TCP	e	ficar	simplesmente	repetindo	mensagens	validas	já	enviadas.
• Antivírus
O antivírus é um programa que possui como objetivo a detecção, anulação 
ou remoção de vírus do computador. Atualmente os antivírus funcionam com 
objetivo de prevenir o sistema de ataques contra cavalos de Tróia, vírus e outros 
códigos	maliciosos	(ANDRADE,	2011).		Na	figura	9	a	seguir	apresenta	os	melhores	
antivírus sendo que cada um deles tem sua versão gratuita. Entretanto, para obter 
maior êxito no software é importante adquirir a versão pagar.
FIGURA 9 – TIPOS DE ANTIVÍRUS
FONTE: <https://bit.ly/34YrSfZ>. Acesso em: 17 maio 2021.
26
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
• Firewall
 
De	acordo	com	Kurose	e	Ross	(2010,	p.	535),	“Um	Firewall	é	uma	combinação	
de hardware e software que isola a rede interna de uma organização da Internet em 
geral, permitindo que alguns pacotes passem e bloqueando outros”. 
Enfim,	o	objetivo	é	que	o	Firewall	venha	bloquear	tentativas	de	invasão,	
analisar de forma continuamente e ininterrupta o conteúdo das conexões, ou 
seja,	 filtrando	diversos	 tipos	de	 códigos	maliciosos	 e	 barrando	 a	 comunicação	
entre um invasor e um código malicioso já instalado, evitar que qualquer código 
malicioso seja capaz de se propagar, impedindo que vulnerabilidades em outros 
computadores	sejam	exploradas	(ANDRADE,	2011).
5.3 CERTIFICADO DIGITAL
Suponhamos que um invasor crie uma chave pública falsa para um amigo 
seu e ao enviá-la para você ou disponibilizá-la em um repositório. Então, ao usá-
la	 para	 codificar	 uma	 informação	 para	 o	 seu	 amigo,	 você	 estará,	 na	 verdade,	
codificando-a	 para	 o	 impostor,	 que	 possui	 a	 chave	 privada	 correspondente	 e	
conseguirá	decodificar.	Uma	das	formas	de	impedir	que	isto	ocorra	é	pelo	uso	de	
certificados	digitais.	
Enfim,	o	certificado	digital	é	um	registro	eletrônico	que	é	composto	por	um	
conjunto de dados que distingue uma entidade e associa a ela uma chave pública. 
O	 certifica	digital	 pode	 ser	 emitido	para	 pessoas,	 empresas	 ou	 equipamentos.	
Dessa	 forma,	 o	 certificado	 digital	 pode	 sercomparado	 a	 um	 documento	 de	
identidade.	A	entidade	responsável	pelo	o	certificado	digital	é	uma	Autoridade	
Certificadora	(AC).
• ATACANTES NA INTERNET
“Chamamos	de	 atacantes	 os	 indivíduos	que	 realizam	um	ataque	 a	um	
sistema computacional, explorando suas vulnerabilidades, podendo ou não obter 
êxito	(NAKAMURA,	2002,	p.	39-51	apud	SOUZA,	2007,	p.	23)”.	Os	atacantes	são	
mais	 conhecidos	 como	 hackers,	 no	 entanto,	 existe	 uma	 grande	 variedade	 de	
atacantes, dentre eles podemos citar:
“Um Firewall bem configurado pode impedir o acesso de um atacante a 
uma backdoor instalada no ambiente. O antivírus não consegue fazer isto. Além disso, 
pode identificar a origem de tentativas de ataque assim como possibilitar o seu bloqueio” 
(ANDRADE, 2011, p. 29).
ATENCAO
TÓPICO 2 — TIPOS DE ATAQUES
27
o	 Varredura	em	redes	 (Scan):	 é	uma	 forma	de	 realizar	buscas	minuciosas	
nas	redes	com	objetivo	de	 identificar	computadores	ativos	na	rede	para	
realizar ataques. A varredura em rede pode ser legitima ou minuciosa. 
Legitima	é	o	usuário	autorizado	para	verificar	a	segurança	e	em	seguida	
tomar medidas preventivas e corretivas. Maliciosa: por atacantes, para 
explorar as vulnerabilidades encontradas nos serviços disponibilizados e 
nos programas instalados para a execução de atividades maliciosas.
o	 Falsificação	de	e-mail	(E-mail	spoofing):	Consistem	em	alterar	a	cabeçalho	do	
e-mail,	enfim	mostrar	que	foi	enviado	de	uma	determinada	origem	quando	
na verdade foi enviado de outra. Ataques deste tipo são bastante usados para 
propagação de códigos maliciosos, envio de spam e em golpes de phishing. 
o	 Interceptação	de	tráfego	(Sniffing):	é	uma	técnica	que	consiste	em	examinar	
os dados trafegados em redes de computadores, por meio do uso de 
programas	específicos	chamados	de	sniffers. Esta técnica pode ser utilizada 
de	legítima	ou	maliciosa.	Legítima	é	administrada	normalmente	por	um	
usuário autorizado, o administrador da rede para detectar problemas, 
analisar desempenho e monitorar atividades maliciosa. A outra técnica é 
maliciosa, ou seja, uma atacante busca capturar a informação, como por 
exemplo senhas, cartão de crédito.
o	 Força	 bruta	 (Brute force):	 consiste	 em	 adivinhar	 por	 diversas	 tentativas	
nome do usuário e senha executar processos e acessar a sites, computadores 
e serviços em nome e com os mesmos privilégios deste usuário.
o	 Desfiguração	de	página	(defacement	ou	pichação):	é	uma	técnica	que	consiste	
em alterar o conteúdo da página Web de um site. As principais formas que 
um atacante, neste caso também chamado de defacer, pode utilizar para 
desfigurar	uma	página	Web	que	visa	invadir	o	servidor,	furtar	senha,	enfim	
explorar vulnerabilidades do servidor de aplicação na Web;
o	 Negação	de	 serviço	 ou	DoS	 (Denial of Service):	 é	 uma	 técnica	 pela	 qual	
é utilizada por um atacante para tirar de operação um serviço, um 
computador ou uma rede conectada à Internet. Quando utilizada de forma 
coordenada e distribuída, ou seja, quando um conjunto de computadores 
é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou 
DDoS	(Distributed Denial of Service).
6 MEDIDAS DE SEGURANÇA
Para que a vulnerabilidade não seja atacada é preciso providenciar 
medidas básicas de para garantir a segurança na rede. Vulnerabilidade é uma 
determinada	 fragilidade	 presente	 ou	 associada	 a	 ativos	 que	 manipulam	 e/
ou processam informações afetando negativamente um ou mais princípios da 
segurança	da	informação:	confidencialidade,	integridade	e	disponibilidade.	
Enfim,	de	acordo	com	o	site	da	Prolinx	(2021),	há	diversas	maneiras	para	
impedir que usuários não autorizados acesse o sistema:
28
UNIDADE 1 — TIPOS DE ATAQUES, MEDIDAS DE PROTEÇÃO, SEGURANÇA DA GERÊNCIA DE REDES, ARQUITETURA DE 
GERENCIAMENTO OSI, FERRAMENTAS DE APOIO À SEGURANÇA
•	 Antivírus:	manter	um	antivírus	sempre	atualizado.	Há	tempos,	computadores	
fazem parte da rotina de muita gente. Então, a maioria já conhece a importância 
e está habituada a baixar programas legítimos, geralmente gratuitos para as 
suas máquinas. 
• Mantenha o sistema atualiza: A atualização dos sistemas utilizados pela 
a empresa é de suma importância tanto o servidor como as estações, mas 
infelizmente esta é uma medida de segurança que quase sempre são ignoradas
•	 Backup:	Na	verdade	o	backup	em	si	não	é	uma	medida	contra	os	ataques,	mas	
um meio de assegurar que as informações da empresa estejam a salvo, em 
caso de qualquer acidente. 
• Manter sempre o Firewall ativado.
29
RESUMO DO TÓPICO 2
Neste tópico, você aprendeu que:
• As vulnerabilidades podem ter origens diversas. Agentes da natureza, como 
umidade, poeira, poluição e calor podem causar danos aos ativos. Deve-se levar 
em	consideração,	também,	fatores	geográficos	que	possam	resultar	em	ameaças.
• Os ativos estão continuamente expostos às ameaças existentes, as quais 
podem	colocar	em	risco	os	três	princípios	da	segurança	(confidencialidade,	
integridade	e	disponibilidade).
• Agentes ou condições podem causar incidentes que comprometem as 
informações e seus ativos por meio da exploração de vulnerabilidades, 
provocando	 perdas	 de	 confidencialidade,	 integridade	 e	 disponibilidade	 e,	
consequentemente, causando impactos aos negócios de uma organização.
• Os códigos maliciosos são divididos em: Vírus, Backdoor, Worms,	 Bots,	
KeyLogger,	Cavalos	de	Tróia,	Adwares	e	Spywares,	Rootkits.
•	 Duas	medidas	lógicas	de	segurança	são	a	criptografia	simétrica	e	a	criptografia	
assimétrica.	Criptografia	simétrica	uma	única	chave	para	cifrar	e	decifrar.	A	
criptografia	assimétrica,	também	chamada	de	criptografia	de	chave	pública,	
possui um conjunto de duas chaves, uma que serve para criptografar a 
mensagem e outra para descriptografá-la.
30
1	 (CESPE/CEBRASPE,	2006)	Uma	das	maneiras	mais	comuns	de	se	espalhar	vírus	
e vermes na Internet é através de e-mails. Assinale a opção correspondente a 
procedimento	que	não	oferece	risco	de	contaminação	por	vírus	e	(ou)	vermes.
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/baf78c1e-9a>. 
Acesso em: 17 maio 2021.
a)	(			)	 Abrir	anexos	de	fontes	desconhecidas.
b)	(			)	 Adquirir	 software	 antivírus	 e	 configurá-lo	 para	 examinar	 e-mails	 e	
anexos.
c)	(			)	 Atualizar	softwares	de	jogos	via	Internet.
d)	(			)	 Instalar	o	chat	para	receber	dados	da	Internet	via	download.
2	 (ESAF,	 2006)	 Um	 Firewall	 pode	 ser	 definido	 como	 uma	 coleção	 de	
componentes, colocada entre duas redes, que coletivamente possua 
propriedades que:
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/ba9aef4a-9a>. 
Acesso em: 17 maio 2021.
a)	(			)	 Independentemente	 da	 política	 de	 segurança	 adotada,	 tem	 como	
objetivo principal impedir a entrada de vírus em um computador, via 
arquivos anexados a e-mails.
b)	(			)	 Garantem	que	todo	o	tráfego	de	dentro	para	fora	da	rede,	e	vice-versa,	
deve ser bloqueado, independentemente da política de segurança 
adotada. Todo Firewall deve ser à prova de violação.
c)	(			)	 Garantem	que	todo	o	tráfego	de	dentro	para	fora	da	rede,	e	vice-versa,	
passe por ele. Somente o tráfego autorizado pela política de segurança 
pode	atravessar	o	Firewall	e,	finalmente,	ele	deve	ser	à	prova	de	violação.
d)	(			)	 Garantem	que	apenas	o	tráfego	de	dentro	para	fora	da	rede	deve	passar	
por ele. Somente o tráfego autorizado pela política de segurança pode 
atravessar	o	Firewall	e,	finalmente,	ele	deve	ser	à	prova	de	violação.
e)	(			)	 Garantem	que	apenas	o	tráfego	de	fora	para	dentro	da	rede	deve	passar	
por ele. Somente o tráfego autorizado pela política de segurança pode 
atravessar	o	Firewall	e,	finalmente,	ele	deve	ser	à	prova	de	violação.		
3	 (CESGRANRIO,	 2012)	 Um	 computador	 é	 um	 equipamento	 capaz	 de	
processar com rapidez e segurança grande quantidade de informações. 
Assim, além dos componentes de hardware, os computadores necessitam 
de um conjunto de softwares denominado.
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/7b8468f2-47>.