Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIP INTERATIVA
Projeto Integrado Multidisciplinar V
Curso Superior de Gesto de Tecnologia da Informao
Resumo
Abstract
Curitiba boasts a population of 1,828,092 inhabitants, according to IBGE
survey (01/07/2008). To make life easier for city dwellers, the Municipality of Curitiba,
aims to be the first to use a digital identification card (CID), which included
information from various personal documents and possessing a digital certificate,
making it a document valid throughout the national territory.
Besides replacing the other documents, the card can be used in various
sectors of City Hall, or the internet, for payment of fees and taxes, consultations and
other information.
To make this possible, we designed a network design and database in order to
re-register all citizens, accelerating the processes of identification.
The data should be protected, reliable, and it should be controlled by a device
that will generate public and private keys of every citizen.
Sumrio
1. A Importncia da criptografia.................................................................................07
2. Autoridade Certificadora........................................................................................08
3. Autoridade de Registro...........................................................................................09
4. O Carto de Identificao Digital (CID)..................................................................10
5. Descrio da Topologia do Sistema.......................................................................15
6. Infraestrutura necessria........................................................................................17
7. Metodologia de Implantao..................................................................................20
8. Fases do Projeto....................................................................................................21
9. Poltica de Segurana............................................................................................22
9.1. Segurana Fsica .....................................................................................23
9.2. Usurios....................................................................................................24
9.2.1. Utilizao dos recursos de Tecnologia da Informao pelos funcionrios......................................................................................................24
9.2.2. Transgresses graves........................................................................26
9.2.3. Monitoramento....................................................................................26
9.3. Conduta do Profissional do Departamento de Tecnologia da Informao
Critrio para Aplicao de Medidas Disciplinares....................................28
10. Datacenters..........................................................................................................28
11. Formao dos Profissionais envolvidos no Projeto..............................................31
11.1. Servios a serem realizados no desenvolvimento de solues.............31
11.1.1. Consultoria em Gesto de TI....................................................31
11.1.2. Levantamento de necessidades...............................................31
1. A Importncia da criptografia
A preocupao com a segurana dos dados antiga. Os romanos j
utilizavam cdigos secretos para comunicar planos de batalha. A criptografia foi
muito utilizada na Segunda Guerra Mundial, para comunicar planos de ao,
posicionamento de tropas e trocar mensagens entre altas patentes. Mas foi s com a
inveno do computador que a criptografia mostrou todo seu poder, utilizando-se de
complexos algoritmos matemticos para gerao de seus cdigos.
Existem basicamente dois tipos de criptografia: A simtrica e assimtrica.
A criptografia simtrica a mais simples. Voc tem uma chave criptogrfica e
um algoritmo de criptografia. Voc aplica a criptografia utilizando a chave e tem
como resultado os dados embaralhados. Para executar a operao inversa, ser
obrigatoriamente necessrio conhecer a chave utilizada.
Se algum desejar lhe enviar uma mensagem confidencial, e criptar os dados
para evitar o acesso alheio, necessariamente este algum ter tambm que lhe
enviar a chave criptogrfica utilizada. Se por algum motivo algum indesejado
obtiver acesso a chave, ter tambm acesso a mensagem.
Na criptografia assimtrica diferente, ela trabalha com dois tipos de chaves:
a pblica e a privativa, estas duas chaves esto relacionadas matematicamente. Se
algum, de posse de sua chave publica criptar algum dado, estes podero ser
revertidos apenas com sua chave privada. Fica evidente que a sua chave pblica
pode ser distribuda livremente e que sua chave privativa deve ser mantida no mais
absoluto segredo.
Voltando ao caso da transmisso da mensagem confidencial. Voc distribui
sua chave pblica e pede que o transmissor embaralhe os dados utilizando a
mesma. Se algum interceptar a mensagem no vai conseguir decifr-la, mesmo de
posse de sua chave publica.
Outro tipo de criptografia importante gerao de hash, ou digest, que nada
mais do que uma forma de criptografia simtrica. Um algoritmo hash gera um
conjunto de caracteres de tamanho sempre fixo, no importa a quantidade de
informao que foi aplicado ao algoritmo. Outra caracterstica do hash que ele
irreversvel, ou seja, mesmo de posse do resultado, da chave criptogrfica e do
algoritmo utilizado, voc no consegue chegar at a informao original. Mas qual a
utilidade disto? Muitas! Imagine um aplicativo qualquer que tem que armazenar
10
11
12
Vale lembrar que os softwares necessrios para gerao das chaves pblicas
e privadas sero de responsabilidade dos profissionais da ICP-Brasil, garantindo a
confiabilidade dos mesmos. De acordo com a Medida Provisria 2.200-2, o
certificado deve ser emitido por uma das instituies autorizadas pela ICP Brasil, a
menos que acordada entre as partes de uma transao, o uso de outra AC qualquer.
A AC tem um papel bsico de garantir a correspondncia entre a identidade e
a chave pblica de uma determinada entidade, sabendo que tal chave pblica
corresponde a uma chave privada que permanece sob guarda exclusiva dessa
entidade.
Para tanto, a AC deve ser capaz de realizar todos os processos de emisso
de certificados, verificao de validade, armazenamento, publicao ou acesso online, revogao e arquivamento para verificao futura. Em consequncia, uma
autoridade certificadora constitui-se de um sistema computacional completo, com
capacidade de comunicao, processamento e armazenamento. Alm disso, tanto
as comunicaes envolvendo esse sistema, assim como o prprio sistema, devem
ser tambm protegidos e a prpria identidade do sistema deve ser garantida,
necessidade esta que so atendidas por intermdio da publicao de uma chave
pblica pertencente prpria autoridade certificadora. Como tal chave deve tambm
ser garantida com um certificado digital, ento, em geral, uma autoridade
certificadora deposita sua chave pblica junto a outra autoridade certificadora,
formando uma estrutura de certificao onde algumas AC funcionam como
autoridades certificadoras para outras ACs.
Tipos e Nveis de Certificado.
Dentro das normas da ICP-BRASIL existem 2 (dois) tipos de certificado: Assinatura e
Sigilo e cada um deles possui 4 nveis que so os seguintes:
De Assinatura:
A1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano
A2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos
A3: Chave criptogrfica de 1024 bits gerada por hardware vlida por 3 anos
A4: Chave criptogrfica de 2048 bits gerada por hardware vlida por 3 anos
De Sigilo:
S1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano
13
S2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos
S3: Chave criptogrfica de 1024 bits gerada por hardware vlida por 3 anos
S4: Chave criptogrfica de 2048 bits gerada por hardware vlida por 3 anos
A avaliao e determinao de qual tipo e nvel que ser utilizado cabem ao analista
responsvel pela aplicao, para isso, existe o curso de Nivelamento Terico que
capacita o analista a ter o conhecimento necessrio para desempenhar est tarefa.
Ser gerado um carto inteligente, feito de plstico semi-rgido e medindo
8,5cm x 5,4cm. Na frente do carto constaro o Nome, o nmero do CPF, CNH e
Ttulo de Eleitor do titular, o chip criptogrfico (smart-card ID-1) onde esto
armazenados os dados do titular e a chave privada associada quele certificado, e o
logo da autoridade certificadora no verso, conforme modelo a seguir.
14
Protocolo;
b)
Contabilidade;
c)
Tesouraria;
d)
Arrecadao;
e)
f)
g)
h)
i)
j)
k)
Administrao
dos
Tributos
Municipais
(IPTU,
ISS,
II.
III.
IV.
V.
VI.
VII.
Matrcula escolar;
VIII.
ITBI,
TAXAS),
15
IX.
X.
XI.
Simples Nacional.
16
17
18
19
20
21
Implantao e Treinamento
O projeto tem inicio nesta fase. As datas das visitas definidas pelo
cronograma de implantao comeam a ser cumpridas. Em todas as fases dever
estar presente um responsvel indicado pela Prefeitura para ser o ponto de contato
com a contratada, para que o mesmo tenha o conhecimento global dos sistemas e
do projeto. Perodo de 30 dias.
Pr-Inaugurao
Com todos os usurios j capacitados e as configuraes implementadas, a
Prefeitura j est pronta para utilizar os sistemas e emitir o Carto de Identificao
Digital. Mas para garantir o perfeito funcionamento, a contratada criou a etapa de
Pr-Inaugurao. Nesse perodo, o sistema colocado em funcionamento em um
ambiente teste. Perodo de 45 dias.
Inaugurao
Com a inaugurao, o sistema entra em operao. A Prefeitura est pronta
para usufruir todos os benefcios e vantagens proporcionadas pelos sistemas. Esta
inaugurao acompanhada pelo consultor da contratada.
8. Fases do Projeto
FASE
PRAZO
30 dias
60 dias
120 dias
22
9. Poltica de Segurana
Premissas bsicas a serem obtidas:
for solicitada.
Para garantir uma gesto de segurana eficaz, necessrio que se
estabeleam padres operacionais e de condutas baseadas nas melhores prticas.
O documento que define esses padres dentro da empresa a Poltica de
Segurana, abordando os seguintes aspectos:
estabelecidas em conjunto com a alta direo. Descreve o que dever ser feito;
implementadas.
A Poltica de Segurana deve ser um documento de fcil compreenso, para
que seja de conhecimento de todos para o uso seguro dos ativos da Prefeitura,
incluindo-se a informao.
Como a Poltica de Segurana tem carter normativo dentro da empresa,
necessrio que haja um registro escrito e assinado por cada usurio ou funcionrio,
quanto ao seu conhecimento, inclusive para respaldo da Prefeitura em possveis
questes trabalhistas.
23
24
- Redundncia de Link.
Os servidores estaro ligados a circuitos redundantes e independentes, de mesmo
tamanho (100Mbps cada um), de backbones distintos e sem pontos em comum, o
que garante 99.9% de tempo no ar (on-line).
Em caso de queda de um dos circuitos lgicos o outro comutado automaticamente
no prazo Mximo de 3 minutos.
- Alojamento
Os servidores sero alojados dentro de DataCenters (2), em diferentes prdios da
Prefeitura, com rigoroso controle de temperatura, controle de umidade e fluxo de ar.
Equipados com detectores e sistemas de combate ao fogo e protegidos contra
furaces, inundaes e outros fenmenos da natureza. Vigilncia 24hs atravs do
monitoramento e gravao das imagens das atividades nos DataCenters.
Movimentao de funcionrios e/ou visitantes controlada por equipe de segurana
que mantm registro de horrios das visitas e identificao dos visitantes.
- Rede Eltrica
Utilizao de NoBreak - UPS (Uninterrupted Power Supply), com mltiplos circuitos
de sada, equipados com ATS (Automatic Transfer Switches) que garantem
redundncia em aos circuitos eltricos, garantindo comutao automtica e sem
descontinuidade em caso de queda, de qualquer tipo, de circuitos eltricos.
Ser tambm utilizado um gerador de autonomia para 7 dias sem reabastecimento.
Controle de power remoto que possibilita desligar e ligar servidores via TCP-IP.
Controle de umidade local.
9.2. Usurios
9.2.1. Utilizao dos recursos de Tecnologia da Informao pelos funcionrios.
Os equipamentos e o sistema que viabiliza toda a atividade de acesso
eletrnico rede corporativa e conexo com a Internet, assim como as
informaes geradas, recebidas, armazenadas e transmitidas, compem patrimnio
25
da Prefeitura e, como tal, devem ser entendidos. Assim sendo, todos os empregados
da Prefeitura obrigam-se ao atendimento das seguintes diretrizes:
I. Utilizar os recursos de Tecnologia da Informao somente para a consecuo dos
negcios da Prefeitura.
II. Acessar diretamente computadores externos apenas para obter ou retransmitir
informaes digitais cujo contedo esteja relacionado com a rotina de trabalho.
III. Racionalizar o envio de informaes digitais, evitando excessos de mensagens
que sobrecarreguem a rede e provoquem lentido na transmisso de informaes e
prejuzo para a Prefeitura.
IV. Utilizar somente programas e equipamentos homologados e instalados pelo
Departamento de TI. Os programas computacionais e equipamentos de uso
especfico e restrito a um departamento, e que no demandem recursos da rede
corporativa, sero homologados e instalados pelas reas internas competentes, que
devero informar previamente ao Departamento de Tecnologia da Informao.
V. Adotar senhas de acesso para garantir a segurana das informaes e a proteo
dos equipamentos.
VI. Usar o Correio Eletrnico da Transmisso Utilizar a Internet para a realizao
dos trabalhos pertinentes as atividades da rea .Os mesmos recursos de TI podem
ser utilizados para facilitar o atendimento aos compromissos pessoais e realizar
aes de cidadania, desde que no afetem negativamente a rotina de trabalho . Os
casos omissos submetem-se aprovao da gerncia do funcionrio.
VII. Buscar informaes digitais que possibilitem atualizao profissional.
VIII. Efetuar Logoff ao fim da utilizao.
IX. Atender as diretrizes da Norma de Segurana Interna, na utilizao dos recursos
de TI.
9.2.2. Transgresses graves.
As seguintes condutas sero classificadas como falta grave e o infrator estar
sujeito a sanes disciplinares:
26
27
28
10. Datacenters
A definio de Datacenter como um prdio inteligente, dotado de mecanismos para
segurana de acesso, deteco preventiva e combate a situao de riscos, com
objetivo de manter um ambiente propicio hospedagem de equipamentos que
compem a infraestrutura de tecnologia da informao, necessita ser construdo de
acordo com normas internacionais, onde a norma mais empregada a TIA 942.
A norma TIA 942 define 4 nveis, denominados Tiers (camadas) os quais
correspondem a uma classificao progressiva de disponibilidade da infraestrutura
de um datacenter. Os Tiers foram originalmente definidos pelo Uptime Institute e
correspondem aos seguintes nveis de classificao de riscos:
29
TIER 1: Bsico
Suscetvel a interrupes
30
31
(trs) anos
de
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado
de
32
recursos,
de
acordo
com
as
metodologias
determinadas
pelo
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado
de
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado
de
de
experincia
em
desenvolvimento
de
sistemas
em
ambiente
client/Server e web.
11.1.6. Homologao de Sistemas
Descrio: Compreende os servios de validao dos programas, mdulos ou
sistemas desenvolvidos pela equipe de desenvolvimento. Esta validao tem como
objetivo confirmar se a soluo disponibilizada atende s especificaes e
solicitaes do usurio. Esta atividade ser feita em conjunto com representante dos
usurios, designado pelo CONTRATANTE.
Qualificao Mnima: Servio a ser prestado por profissional com formao em nvel
superior
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado de
33
de
experincia
em
desenvolvimento
de
sistemas
em
ambiente
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado de
34
de
aplicaes, etc. Tambm faz parte das atividades previstas para o Servio de
Implantao de Sistemas, o apoio na instalao e atualizao de verses dos
aplicativos
fornecidos
por
terceiros,
aplicados
na
gesto corporativa da
CONTRATANTE.
Qualificao Mnima: Servio a ser prestado por profissional com formao em nvel
superior
e/ou
ps-graduao
na
rea
de
TI,
detentor
de
atestado de
tcnicas;
elaborao
implantao
de
programas
de trabalho;
administrao
manuteno
da
rede
da CONTRATANTE;
hardware
na
CONTRATANTE; documentao
das
rotinas
de
configurao
de programas
em
equipamentos
servidores
35
de
acesso
acompanhamento
do
Internet
planejamento,
domnios
da
desenvolvimento,
CONTRATANTE;
implementao
de
vulnerabilidades,
Segurana;
na
participao na
implementao
de
realizao
junto com a
dos
testes
de
switches,
36
envolvendo
instalao
configurao
dos
aplicativos
baterias,
estabilizadores
quadros
de
sinalizao
remota),
dos
37
de temperatura, iluminao e
alarmes de emergncia
setores da rea de
das
linhas
comunicao
de
dados;
de
telefonia
levantamento,
enlaces
controle,
internos
guarda
utilizados
na
requisio
de
transporte
(interno
externo),
instalao,
configurao
(de
equipamentos
interfaces
e
suporte
integradas;
operacional
montagem
em
de
eventos
infraestrutura
(internos
fsica,
externos)
operao e o
grau
38
CONTRATANTE,
por
telefone
ou
e-mail,
abrangendo:
configurao
Internet;
triagem,
encaminhamento
acompanhamento
de
39
12. Concluso
40
13. Legislao
LEI N 8.666, DE 21 DE JUNHO DE 1993 - Regulamenta o art. 37, inciso XXI, da
Constituio Federal, institui normas para licitaes e contratos da Administrao
Pblica e d outras providncias.
Principais leis, decretos e instrues normativas que regem o uso da
Certificao Digital no Brasil
ICP-BRASIL
DECRETO N 3.996, DE 31 DE OUTUBRO DE 2001 Dispe sobre a prestao de
servios de certificao digital no mbito da Administrao Pblica Federal.
DECRETO N. 4.414, DE 07 DE OUTUBRO DE 2002. Altera o Decreto N. 3.996, de
31 de outubro de 2001, que dispe sobre a prestao de servios de certificao
digital no mbito da Administrao Pblica Federal.
DECRETO N. 3.872, DE 18 DE JULHO DE 2001. Dispe sobre o Comit Gestor da
Infraestrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua SecretariaExecutiva, sua Comisso Tcnica Executiva e d outras providncias.
MEDIDA PROVISRIA N. 2.200-2, DE 24 DE AGOSTO DE 2001 Institui a
Infraestrutura de Chaves Pblicas Brasileiras - ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informao em autarquia, e d outras providncias.
Instituto Nacional de Tecnologia da Informao
INSTRUO NORMATIVA N. 1, DE 11 DE DEZEMBRO DE 2007 Aprova a verso
2.1 dos PROCEDIMENTOS ADMINISTRATIVOS A SEREM OBSERVADOS NOS
PROCESSOS DE HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE
CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL.
INSTRUO NORMATIVA N. 2, DE 11 DE DEZEMBRO DE 2007 Aprova a verso
2.0 da ESTRUTURA NORMATIVA TCNICA E NVEIS DE SEGURANA DE
HOMOLOGAO
SEREM
UTILIZADOS
NOS
PROCESSOS
DE
41
SOFTWARES
PROVEDORES
DE
SERVIOS
42
CARDS),
LEITORAS
DE
CARTES
INTELIGENTES
TOKENS
43
44
14. Referncias
Fernando
Amaral
Infraestrutura
de
chave
publica
<
acesso
em
24/05/2010.
Como funciona o certificado digital < http://informatica.hsw.uol.com.br/certificadodigital.htm> acesso em 20/05/2010
Certificao
Digital
do
Governo
de
Minas
Gerais
<https://wwws.prodemge.gov.br/index.php?option=com_frontpage&Itemid=1>
acesso 02/06/2010.
Mtodos
anlise
se
Criptografia
PHP
exemplo
de
implementao
de
banco
de
dados
distribudos
<http://www.webartigos.com/articles/17334/1/UM-EXEMPLO-DEIMPLEMENTACAO-DE-BANCO-DE-DADOS-DISTRIBUIDO/pagina1.html>
acesso
01/06/2010.
Glossrio Certisign obtido em <http://www.certisign.com.br/certificacao-digital/pordentro-da-certificacao-digital/glossario> - acesso 01/06/2010.
Carto Inteligente SmartCard Mifare <http://www.globalcards.com.br/cartoes/cartaosmartcard-mifare.html> acesso em 01/06/2010.
Segurana
da
Informao
<http://www.drwhitehat.com/artigos/defesa-alem-do-
45
acesso
16/06/2010.
Cartes
com
chip
padro
EMV