Resumos Tagi Teórico

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 27

RESUMOS TAGI-TEÓRICO

Capítulo 1 – Revisão de Conceitos


Sistemas de Informação
-Conjunto de recursos humanos e tecnológicos que pretende satisfazer a totalidade
das necessidades de informação e dos respetivos processos de negócios
-Conjunto de componentes interrelacionados que recolhem, armazenam, processam e
distribuem informação para apoiar a tomada de decisão
-Auxiliam a análise de problemas, visualização de soluções e criação de novos produtos

- A utilização dos SI resultam num aumento da eficiência, efetividade e eficácia na


organização
Dados
-Factos não estruturados (estado bruto), que podem ser modelados para criar
informação (números, palavras, etc)
Informação
-Obtém-se a partir da seleção e apresentação de dados de uma forma útil
-Resultado da atividade mental humana (análise) ou processamento computacional
com sucesso sobre os dados, revelando o seu sentido / significado
Conhecimento
-Grandes estruturas duradouras de factos com significado, geralmente só se atinge
este nível com intervenção humana.
Tecnologias de Informação
-Usadas na obtenção, processamento, distribuição e utilização de informação
(hardware, software)
-Integram os SI, combinando tecnologia de computadores e de telecomunicações
Gestão de Informação
-Conjunto de recursos e técnicas de gestão que permitem ter a informação certa, no
local certo, e utilizá-la para atingir os objetivos da organização
-Atividades relacionadas com a identificação, aquisição, organização, … da informação
-Ajuda a melhorar sistemas atuais e alcançar a estratégia de negócios
Gestão de Sistemas de Informação
-Conjunto de atividades necessárias para gerir a informação, sistemas de informação e
adoção de tecnologias de informação
-É a gestão de todos os recursos através do planeamento (PSI) , desenvolvimento (DSI)
e exploração (ESI) – o sucesso de um SI depende da qualidade destes 3 fatores
Planeamento de SI (PSI)
-Atividade da organização onde se define o futuro desejado para o SI e o modo como
este deverá ser suportado pelas TI
-Pode ser analisado à luz de 3 grandes atividades:
• Análise da estratégia (“Qual a situação atual?”)
• Definição da estratégia (“O que pretendemos para o futuro?”)
• Implementação da estratégia (“O que fazer para o conseguir?”)
Desenvolvimento de SI (DSI)
-Processo de mudança que visa melhorar o desempenho de um SI
-Resultado do planeamento estratégico
-Consiste em 5 grandes atividades:
• Análise de sistemas
• Conceção de sistemas
• Construção de sistemas
• Implementação de sistemas
• Manutenção de sistemas
Exploração de SI (ESI)
-Atividade responsável pelo bom funcionamento dos SI/TI
-Principais atividades:
• Operações de sistema (administração de dados, segurança e controlo do
sistema, procedimentos do sistema e suporte à organização)
• Administração das TI
• Administração de RH (assegurar que os profissionais informáticos estão bem
preparados)
• Projetos especiais (para explorar uma dada oportunidade SI / TI ou resolver
problema específico)
Gestão de Conhecimento
-Conjunto de tecnologias e processos para apoiar a aquisição, armazenamento,
distribuição e utilização do conhecimento nas organizações

Capítulo 2 - Introdução à Internet e à utilização dos seus serviços

Rede de computadores
Sistema de comunicação de dados, constituído através da interligação de
computadores e outros dispositivos, para trocar informação e partilhar recursos

Objetivos e vantagens:
1. Partilha de recursos físicos da rede
• Discos ou outros dispositivos de armazenamento de informação, impressoras,
modems
2. Partilha de programas e ficheiros de dados ou documentos
• É possível vários utilizadores acederem a um mesmo programa localizado num
dos computadores da rede ou terem acesso a dados em outros computadores
3. Troca de informação entre os utilizadores
• Por correio eletrónico, transferência de ficheiros
4. Melhor organização do trabalho
• Definição de diferentes níveis de acesso à informação consoante os
utilizadores
• Supervisão e controlo do trabalho na rede pelos responsáveis
• Constituição de grupos de trabalho
• Calendarização de tarefas

Formas de descrever uma rede:


• Topologia Física (Bus, Star, Ring, Tree, Wireless)
• Área Geográfica Coberta (LAN, WAN)
• Tipo de Tráfego (Voz ou Dados)
• Tipo de Sinal (Analógico ou Digital)
• Topologia Lógica (Token Ring, Ethernet)
• Meio de Transmissão (Guiado ou Não Guiado)
• Largura de Banda
• …

Topologia Física
Aspetos gerais sobre redes de computadores e Internet
Área geográfica coberta→ principal distinção ao nível das redes, relacionado com a
abrangência geográfica das redes.
Rede de área local (LAN - Local Area Network)→ a abrangência da rede limita-se a uma
sala, a um ou vários edifícios próprios.
Rede de área alargada (WAN - Wide Area Network)→ rede ou conjunto de redes cuja
abrangência se estende por uma ou várias regiões ou até à totalidade do globo (ex: Internet).

Redes de dimensões intermédias:


• Rede de campus (campus network)→ diversas redes locais (LAN) ligadas entre si,
abrangendo um conjunto de vários edifícios vizinhos (ex: departamentos de uma
universidade, hospital, unidade fabril)
• Rede de área metropolitana (MAN - Metropolitan Area Network)→ abarca a área de
uma grande cidade ou região urbana, interligando determinadas entidades ou
instituições que necessitam de manter entre si um sistema de comunicação de dados
(ex: entidades administrativas, policiais)

Internet (Interconnected Network) → teia mundial de redes de computadores, em


constante crescimento e evolução, oferecendo um poderoso sistema de comunicações a todo
o tipo de empresas e instituições, bem como à generalidade dos cidadãos.
• nasceu em 1970 nos EUA por origens militares, com o intuito de colocar em
comunicação centros geograficamente afastados, ARPAnet, que inicialmente ligava
apenas 4 centros de trabalho nos EUA, tornando-se depois a 1ª rede de redes.
• em 1980 a ARPAnet dividiu-se em 2 redes: uma para fins militares, MILNET, e outra
para fins científicos, NSFNET.
• surgem, então, os ISP - Internet Service Providers, empresas especializadas em
fornecer Internet a outras empresas e aos cidadãos em geral.
• o surgimento da World Wide Web (WWW) → sistema de páginas com hipertexto e
multimédia à escala mundial, acessível em qualquer computador por meios de
navegação (browsers) - popularizou a Internet.

Conceitos relacionados com a Web:


• Web site→ conjunto de páginas web com informação (texto, imagens, som e liações a
outros Web sites)
• Hiperligação (link)→ ligação a um ponto da mesma página, a outra página do Web site
ou a outro Web site
• Programas de navegação (browsers) - ex: Internet Explorer, Opera, Safari, ...

A base tecnológica do funcionamento da Internet


é constituída por protocolos TCP/IP (Transmission Control
Protocol/Internet Protocol). Estes protocolos criaram,
pela primeira vez, uma arquitetura geral das redes de
computadores, baseada em camadas ou níveis
diferenciados de funções.

Nível de aplicação → protocolos de aplicação


Nível de transporte → o nível do TCP
Nível da Internet → o nível do IP
O Protocolo IP (Internet Protocol):

Situa-se num nível superior à rede física e é responsável por 2 funções essenciais:
• Endereçamento (addressing) das mensagens nas redes da Internet;
• Encaminhamento (routing) das mensagens nessas mesmas redes.
É implementado não apenas nos computadores ligados à rede, mas também nos nós
ou sistemas intermédios da rede - parte fundamental do encaminhamento das mensagens que
circulam pela rede.
Quando um computador ligado à Internet transmite uma mensagem, ela é formatada
em datagramas - mediante da intervenção do seu software IP.

Os datagramas incluem, no seu


cabeçalho, o endereço do seu destino e são
enviados para um primeiro router do percurso.
No caso em que o outro computador esteja
ligado à mesma sub-rede, são entregues
diretamente.
Os routers da Internet analisam cada datagrama que recebem e determinam, através
do seu software IP, o rumo a dar a cada um desses datagramas: entrega direta a algum
computador da mesma rede ou a um próximo router no sentido do seu destinatário final.

O Protocolo TCP:
Complementar do IP no sentido de procurar assegurar que todos os datagramas de
uma mensagem sejam entregues ao seu destinatário sem falhas nem erros e pela ordem
correta.
O software deste protocolo não funciona em sistemas intermédios, só em finais.

Os Protocolos TCP/IP:
Não define nenhum protocolo abaixo da camada IP porque foi concebida para
interligar redes de tipos muito diferenciados entre si (desde telefónicas tradicionais, às TVs por
cabo, passando pelas RDIS, …)
Asseguram, em conjunto, um sistema de transmissão eficiente e flexível para poder
funcionar sobre qualquer infraestrutura de comunicação, desde que as máquinas interligadas
contenham software que implemente esses protocolos.

Os Protocolos das Aplicações:


Funcionam acima dos protocolos TCP/IP. Os mais conhecidos são:
• SMTP (Simple Mail Transfer Protocol) → associado ao serviço de correio
eletrónico ou e-mail
• FTP (File Transfer Protocol) → associado ao serviço de transferência de
ficheiros entre computadores
• Telnet (Emulação do Terminal) → associado ao serviço de acesso remoto a
outros computadores
• HTTP (HyperText Transfer Protocol) → associado ao sistema de transferência
de documentos hipertexto da WWW
• IRC (Internet Relay Chat) → associado ao serviço de conversação em direto
Os endereços da Internet:
Endereços IP e DNS
As mensagens que circulam na Internet são encaminhadas para os seus destinos com
base no protocolo IP (Internet Protocol) e nos endereços incluídos nos cabeçalhos dos
datagramas (pacotes das mensagens).
Endereços IP → cada máquina ligada à Internet tem um endereço
único, formado por 32 bits (4 bytes). Quando são representados
numericamente, são formados por conjuntos de 4 números (de 0 a 255 = 232), separados por
pontos. Com o aumento exponencial do número de dispositivos ligados à Internet,
desenvolveu-se o IPv6, endereçado para 128 bits.
Endereços DNS (Domain Name System) → sistema de endereçamento por nomes. Os
domínios têm a ver com a organização das redes e sub-redes da Internet.

www.microsoft.com
nssdc.gsfc.nasa.gov
mail.telepac.pt

• Indicação do tipo de serviço a que esse mesmo endereço está associado (1ª parte)
• É usual aparecer o nome da empresa ou a respetiva sigla. Esta parte designa,
efetivamente, um determinado domínio intermédio - que está registado na Internet e
é identificado pelos routers ou gateways (2ª parte)
• Indica o país a que pertence ou o tipo de entidade de que se trata (3ª parte)

Endereços URL
O sistema de WWW fez surgir um novo tipo de endereços: URL (Uniform Resource
Locator) → link
protocolo://servidor/localização
http://www.up.pt/ciup/cusi/cusi.html

1 – Prefixoà indica o protocolo ou tipo de serviço de acesso que é utilizado para


aceder à informação em causa
Exemplo mais comum:
http:// àindica um servidor WWW (protocolo http)
Outros exemplos:
ftp:// à servidor de FTP
news: à servidor de news

2 - Endereço do servidorà endereço normal de um computador ou site da Internet


Exemplo: www.microsoft.com (os computadores que desempenham funções
de servidores da Web recebem a sigla www)

3 - Local da informação no computadorà Onde se encontra a informação que se


pretende aceder (em termos de diretorias e subdiretorias)
Nota: pode existir ou não no endereço URL
Exemplo: /tutorial/default.html
Principais tipos de serviços da Internet
• e-mail à correio eletrónico
• FTP à transferência de ficheiros
• Telnet à emulação de terminal
• WWW à world wide web
• IRC à conversão de ficheiro

E-mail
• 1 dos primeiros serviços da Internet
• 1 dos mais úteis e mais usados
• É assegurado pelo protocolo SMTP (Simple Mail Transfer Protocol) - um protocolo do
nível de aplicação

IMAP e POP3 são protocolos padrão para e-mail, permitem ao programa email aceder às
contas de email através do seu espaço web.
IMAP→ Internet Message Access Protocol à Permite o acesso de vários clientes à
mesma caixa de correio, mantendo os emails disponíveis no servidor.
POP3 →Posto Office Protocol àTransfere os emails, removendo-os do servidor,
deixando assim de estar disponíveis através do webmail ou programa de email.

Endereços de email são do tipo:

FTP
• Serviço que permite o envio e receção de ficheiros entre computadores da Internet
• 1 dos primeiros serviços da Internet
• É assegurado pelo protocolo FTP (File Transfer Protocol) - um protocolo do nível de
aplicação
• Download - transferência de 1 ficheiro de uma máquina remota para a nossa
• Upload - envio de 1 ficheiro para uma máquina remota (operação inversa)
• Para aceder a um servidor FTP, é necessário ter software cliente de FTP (ex: FileZilla)
• Uma sessão de FTP inicia-se com o comando ftp, seguido do endereço para onde se
quer efetuar a ligação
Exemploà ftp.netscape.com
• Atualmente (depois da difusão dos browsers), a transferência de ficheiros pode ser
efetuada a partir do browser nas páginas web. No entanto, a transferência de um
ficheiro é assegurada pelo protocolo FTP (que é ativado pelo sistema de
funcionamento da Web)
Telnet
• Serviço que permite ao utilizador ligar-se a um computador da Internet e passar a
trabalhar nele como se o seu computador local fosse um terminal do outro - emulação
de terminal/terminal virtual.
• Permite:
o Consultar informação que se encontre disponível no computador remoto
o Efetuar operações autorizadas
o Correr programas desse computador remoto…
• Sessão de telnet à é iniciada com o comando telnet, seguido do:
o Endereço para onde se quer efetuar a ligação (ex: telnet einstein.isti.pt)
o Endereço IP (ex: telnet 192.168.0.1)
Quando se entra num computador através de telnet, normalmente, é-nos pedido:
o login (ou username)
o password (para entrada nesse sistema)

WWW
• Rede de informação por excelência
• Páginas web dispersas por todo o mundo
• Fator decisivo na popularização (a nível mundial) da Internet
Razões:
o Facilidade de utilização deste tipo de sistema
o Benefícios provenientes da concorrência entre fornecedores de acesso e os
fabricantes de software cliente (browsers)
• Não se trata apenas de mais um serviço da Internet
• Sistema que consegue utilizar outros recursos da Internet (email, ftp, …)
• Permitiu o desenvolvimento dos seus próprios mecanismos (ex: mecanismos de
pesquisa de informação)
• É um sistema de hipertexto/hipermédia à escala planetária
Hipertexto/Hipermédia → documentos que contêm ligações de uns para outros,
incluindo texto, imagens, sons, vídeos, …
• Linguagem de documentos hipertexto: HTML
(Hypertext Markup Language)
• Transferência de informação dá-se entre:
servidores (computadores web servers) e
clientes (computadores com software de
acesso constituído por web browsers).
• Protocolo que assegura a transferência à
HTTP (Hyper Text Transfer Protocol) funcionando sobre os protocolos da base da
Internet (TCP/IP)

• Web Servers (ou servidores da Web) → Computadores que contêm informação neste
sistema (documentos HTML, protocolo HTTP) e que estão disponíveis para serem
acedidos por outros computaodres
• Web Browser → Programa cliente e de navegação que permite o acesso aos servidores
da Web

IRC
• Sistema de comunicação dentro da Internet que permite a conversação (chat) por
teclado em direto com vários utilizadores ao mesmo tempo.

Tipos de acesso
• Através de uma ligação direta à Internet (direct Internet link)à Privilégio de quem tem
dimensão e capacidade para possuir endereços IP próprios. As instituições com esse
tipo de ligação podem considerar-se parte integrante/membros da rede de Internet.
• Através de um fornecedor de acesso (ISP-Internet Service Provider)à Pessoas e
empresas sem possibilidade de ligação direta tem de utilizar o acesso indireto através
de um fornecedor de serviço de acesso (ex: Vodafone, MEO, NOS, …).Existem vários
tipos de acesso, de acordo com o que o fornecedor disponibiliza:
o Linhas telefónicas tradicionais
o Linhas RDIS
o Redes de TV por cabp
o Ligações ADSL
o 3G e 4G

Perigos numa ligação à Internet


• A divulgação da utilização da Internet levou à difusão de Malwares (Vírus, …)
• Entrada de Hackers (Violação de privacidade, roubo de informação, …)
• Difusão de informação indesejada (Cookies, Spam, …)
Vírus
• Software nocivo
• Objetivo de infetar sistemas
• Replica-se e tenta espalhar-se
• Precisa de um programa hospedeiro para se espalhar
Worm (Verme)
• Software nocivo
• Não precisa de um programa hospedeiro para se espalhar
Troianos ou cavalos de Tróia
• Programas executáveis
• Eliminam proteções
• Abrem uma porta de comunicação não motorizada (Backdoor)
• Transmitidos a partir de anexos de emails ou outros programas, geralmente jogos.
• Consequências como o roubo de passwords, cópia ou destruição de ficheiros, etc.
• Pode permitir a instalação de vírus ou possibilitar a entrada de intrusos
Phishing
• Obtenção de informação crítica a partir da programação.
Spoofing
• Consiste no redireccionamento do utilizador para páginas falsas, muito parecidas às
verdadeiras.
Cookies
• Pequenos ficheiros, tipicamente texto.
• Desenhados para as páginas web melhorarem a experiência do utilizador.
Janelas Pop-Up
• Forma de publicidade online.
• Abre uma nova janela sobreposta à janela principal.
Spam
• Mensagens enviadas para utilizadores que não foram pedidas nem autorizadas pelos
mesmos.
Software de Segurança – Firewalls

• Permitem obter informação em tempo real de tentativas de entradas de intrusos, seja


por hackers, seja por sites.
• Para sistemas informáticos grandes, existem Firewalls de hardware e software.

A evolução da Web
Web 1.0
• Web de conteúdos
• Web de leitura
• Era da informação
Web 2.0
• Web Social
• Web de leitura e escrita (blogs, wikis, …)
Web 3.0
• Web da inteligência-Web Semântica
o Importância do significado dos dados
o Máquinas percebem o significado dos dados
o Tornam as pesquisas mais relevantes
• Computadores leem e percebem os conteúdos dos humanos
• Web orientada ao contexto
• Utilizado o contexto para disponibilizar informação relevante ao utilizador
Web CrawlersàProgramas que rastreiam a Web procurando informação relevante

Serviços de pesquisa de informação na Web


Podem ser de 2 tipos:
• Serviços de diretório
o Permite fazer pesquisas separadas por temas.
o Bases de dados previamente organizadas.
• Motores de busca
o Servidores especializados de pesquisa em bases de dados
o Interação contínua com outros sites da Web
o Fornece aos utilizadores indicações sobre a informação requerida
o Indicações fornecidas a partir de hiperligações

Otimização de sites
• Estratégias para melhorar o posicionamento de um web site nos resultados das
pesquisas orgânicas de um motor de busca.
• Pesquisa Orgânica à resultados naturais apresentados pelo motor de busca, sem
terem sido pagos
Atualmente o principal método é o PageRankà Mede a importância de uma página
contabilizando a quantidade e qualidade dos links apontando para ela

Capítulo 3 – Tecnologias de suporte aos SIWs (sistemas de informação para a Web)

Tecnologias de suporte aos SIWs (sistemas de informação para a Web)


A implementação de sistemas de comércio eletrônico na internet envolve um conjunto
significativo de variadas tecnologias.
Tecnologias:
• Servidores hardware de suporte computacional e comunicacional
• Clientes hardware
• Sistemas operativos de máquina clientes e de máquinas servidoras
• Sistemas de gestão de base de dados
• Protocolos de comunicação de nível rede e transporte e de nível aplicacional
• Protocolos de interoperação de objetos
• Servidores de suporte aplicacional
• Clientes de suporte aplicacional
• Aplicações específicas de/para comércio eletrônico, marketplaces, application
service provider, portais generalistas ou setoriais.
Abordagem:
1. Discutir características tecnológicas que conduzem ao sucesso da internet
2. Discutir os principais modelos de desenvolvimento de SIW
3. Analisar as tecnologias de suporte ao desenvolvimento de SIW
4. Analisar tecnologias de suporte à integração entre múltiplos sistemas de informação,
normalmente reconhecidas como “web services”
Características tecnológicas que conduziram ao sucesso da internet:
• A internet é uma rede que engloba centenas de milhares de outras redes de
computadores, muitas à escala mundial
• Rede aberta, ou seja, tem protocolos e especificações relativamente simples,
partilhados e publicados livremente nas comunidades técnico/científicas que a
regulam.
• Investimento dos estados e das empresas na infraestrutura básica de comunicações.
As empresas investiram também em serviços de acesso (computadores, routers, etc).
• As empresas e pessoas que acedem à internet também tiveram um grande contributo.
• Os protocolos de comunicação (TCP/IP) extremamente robustos e adequados à
computação em larga escala
• A facilidade de utilização da Web
Os mecanismos da tecnologia por trás da Internet, agregam-se em 3 grupos:

1. Protocolo de comunicação adaptável e que suporte ambientes computacionais heterogêneos.

2. Descentralização dinâmica da forma de gerir, atribuir, referenciar recursos, investimentos,


responsabilidades e funcionamento (segundo áreas geográficas e níveis de investimento)

3. Suporte a serviços básicos de comunicação e interação entre uma comunidade dinâmica de


utilizadores.

Sistemas de informação para a Web

A Web é um dos serviços que mais contribui para o sucesso da Internet. Originalmente
este era um sistema de hipermédia distribuído para a navegação e consulta da informação
pouco estruturada, mas rapidamente começaram as pressões dos utilizadores para a
introdução de novas capacidade e funcionalidades que já havia nos SI tradicionais. Através
desta pressão a Web foi evoluindo como “chapéu” de vários sistemas de informação,
minimamente especializados, mas acessíveis à escala mundial ou à escala interna, no caso de
grupos restritos de utilizadores.

Atualmente, as tecnologias de
desenvolvimento de SIW são ainda foco de
interesse e investimento, visto que permite
conjugar as vantagens dos SI tradicionais com as
vantagens da Web.

Há 4 modelos de SIW:

• Centrados no servidor: Atividade realizada por vários processos executados na


máquina servidor. As aplicações são responsáveis pelo servidor Web não manter o
estado e por o protocolo HTTP não manter a conexão. Estas aplicações implicam que
os processos tenham um ciclo de vida bem determinado, circunscrito ao período
temporal de um acesso de um utilizador. Este modelo consiste basicamente em gerar
documentos HTML, criados dinamicamente à medida que se interage com o utilizador.
o Common Gateway Interface (CGI): os primeiros SIW foram baseados no CGI
o Server Side Includes (SSI); variante do CGI, por motivos de simplicidade
o API proprietárias: variante do CGI, por razões de desempenho
• Centrados no cliente: SI cuja atividade é realizada normalmente na máquina cliente.
Podem conter 2 tipos de código:
o Código previamente instalado
o Código móvel (CM):
§ CM embebido em HTML
§ CM independente de HTML
• Híbridos: O cliente e o servidor são utilizados no início da interação, apenas para
estabelecer a ligação e eventual transferência de parte da aplicação envolvida. De
seguida, a aplicação estabelece uma conexão a um servidor proprietário especializado.
Consequentemente a aplicação perde o contacto com a Web, passando a ser apenas
utilizada a máquina virtual ou ambiente de execução do cliente Web.
• Suportados por infraestruturas distribuídas: De modo a evitar questões de integração
e interoperabilidade da aproximação híbrida, são propostas abordagens suportadas
por infraestruturas comuns de comunicação com características de object request
brokers (ORB) e de transaction monitors(TM). Estas estruturas são designadas
atualmente como servidores aplicacionais ou componente Transaction Monitors
(CTM), por integrarem, entre outras, as características ORB e TM. A ideia fundamental
é que a Web seja utilizada como mecanismo de acesso uniforme a recursos e serviços
e também como mecanismo de interação homem-máquina consistente (baseado, p.e.,
em HTML ou em Java). Este tipo de sistema permite a operação com objetos remotos,
possibilitando, a partir de uma aplicação cliente, obter uma referência para um objeto
que oferece o serviço desejado e, através dessa referência, invocar métodos desse
objeto, mesmo que a instância desse objeto esteja numa máquina diferente daquela
do objeto cliente.
o CORBA
o J2EE
o ASP+MTS/.NET

Visão tecnológico dos Web Services

Web Service (vars def)

• Conjunto de operações disponíveis e acessíveis à escala global através de um endereço


eletrônico do tipo URL.
• Considerado também uma interface que descreve um conjunto de operações que são
acessíveis pela rede através de um mecanismo de mensagens SML standard
• Utiliza standards abertos XML (tags dos dados), SOAP (transferir os dados), WSDL
(descrever os serviços disponíveis) e UDDI (listar os serviços disponíveis).

O Web Service permitem às organizações comunicar entre elas e com os clientes, permitindo a
comunicação de dados sem conhecimento de sistemas de TI para além da firewall. Pode ser
entendido de duas formas:

• Genérico à Serviço oferecido de um dispositivo eletrónico para outro, comunicando


entre si via Web
• Específico à Serviço Web implementado numa tecnologia ou marca particular.

Disp. externo→Internet→Firewall→Armazenamento de código←Web service←Disp. Interno

Estes serviços permitem que diferentes aplicações de diferentes proveniências comuniquem


entre si sem ser preciso códigos customizados. Uma vez que toda a comunicação é feita por
XML, os Web Services não estão condicionados a nenhum sistema operativo ou linguagem de
programação.
Em termos técnico, um Web Service é composto por dois artefactos físicos:

• Serviço→ implementação de um módulo de software instalado numa plataforma


computacional com acesso à rede e oferecido pelo fornecedor de serviços. Um serviço
existe para ser invocado ou para interagir com um invocador, podendo também ele
próprio ser um invocador de outro serviço.
• Descrição de serviço→ Contém os detalhes da interface e da implementação do
serviço, isto inclui dados, operações, informação de ligação (binding) e localização de
rede, podendo ainda incluir metadados e informação de categorização para facilitar as
atividades de descoberta e utilização por invocadores do serviço. A descrição pode ser
publicada num serviço de registo para tomar o respetivo serviço conhecido num
determinado contexto

Pilha de protocolos

A tecnologia por de trás dos Web Services baseia-se na internet e na sua respetiva tecnologia e
standards (p.e. TCP/IP, URL, XML, HTTP ou SMTP).

XML à Papel essencial nos Web Services, desde mecanismos de descrição dos próprios dados
independentemente das linguagens de programação, sistema operativo e arquitetura de
computadores, até ao facto de as tecnologias SOAP e WSDL serem baseadas no XML.

SOAP à Protocolo para a inovação remota dos métodos (RPC). Permite que os serviços
possam invocar funcionalidades de outros serviços executados remotamente e receber os
respetivos resultados.

WSDL (Web Services Description Language) àLinguagem para a descrição de serviços de


forma independente das linguagens de programação.

UDDI (Universal Description, Discovery and Integration) à Serviço de nomes, ou seja,


providencia uma forma de as organizações se registarem e aos seus serviços, permitindo que
se possam procurar automaticamente organizações e serviços.

Capítulo 4 – Impacto do uso de Sistemas de Informação para a Web (SIW) nas organizações

Transação comercial àComposta por diversas fases:


Cliente Fornecedor

Recolha de Informação Publicidade e Marketing

Encomenda de Produtos

Aviso de Expedição

Entrega de Produtos

Aviso de Receção

Envio da Fatura

Pagamento

Envio do Recibo
• Não tem de ser toda realizada na Internet para ser eletrónica;
• Os Documentos (aviso de expedição, receção, fatura, etc..) podem ser enviados por
Eletronic Data Interchange(EDI) - fora da Internet; ou pela Internet (email, mensagem
direta, etc…);
• Maioria dos produtos não são virtuais (não podem ser entregues pela Internet);
• Existe cada vez mais, mais produtos e serviços digitais (podem ser entregues
eletronicamente).

Produtos Digitais
• Produtos digitalizáveis (que podem vir a ser digitais);
• Vantagens destes produtos: redução de custos e diminuição de prazos;
• Exemplos: Som, Texto, Imagens, Vídeos, Informação Técnica e Software;

Serviços Digitais
• Não envolvem entregas ou processamento de produtos físicos;
• Exemplos: Formações, banca on-line, Reservas on-line, Seguros, Contabilidade,
Consultoria, Análise Médica, Serviços Públicos;
• Exemplos Serviços Digitais de Informação: Mercado de capitais, Condições climatéricas,
trânsito, catálogos, contactos.
• Produto digital - permite que toda a transação comercial (da encomenda à entrega) seja
feita na Internet;

Modelos de Negócio
• Modo como o produto é comercializado (tanto a nível de marketing, como de política
de preços, garantias dadas, prazos de entrega, etc..)

1. Política de Preços
• Como cobrar os produtos ou serviços vendidos;
• Como gerar receitas sem pedir dinheiro diretamente ao visitante ou consumidor do
website;
Tipos de Políticas de Preços

1.Baseada em subscrições 2.Baseada em publicidade 3.Baseada em donativos


Cobrar um valor para Não se cobra o visitante, mas sim O utilizador é livre de doar
aceder a um número quem põe os anúncios. o valor que considera
variável de páginas. justo.
Exemplo: Notícias.

Muitos casos de insucesso: Um dos mais bem-sucedidos à Para além do sistema de


▪ Os utilizadores ainda não Excesso de publicidade e o donativos tem surgido o
dão valor ao que está na aumento de websites tem levado a financiamento coletivo,
Internet, porque a maioria que o visitante já não olhe com o Crowdfunding
da informação é gratuita; mesmo interesse. Exemplo: Wikipedia,
▪ Pagamentos digitais, por A maioria dos anúncios não são Pebble, Flow Hive
vezes são difíceis de usar, vistos àPagamento por espaço
caras e de pouca confiança. passou a pay per click.
Vantagem àclick é fácil medir
Os anúncios distraem o utilizador:
▪ Receita da publicidade < receita
se a pessoa ficasse mais tempo no
site
2. Personalização
• Tratar o consumidor de forma individualizada;
• É fácil de atingir personalização ao nivel do indivíduo na Internet;
• Exemplo: Amazon, Facebook, Yahoo, ebay, Continente on-line.
3. Publicidade e Marketing
• Papel da publicidade como autêntica moeda virtual

Tipos de Publicidade e marketing

1. Publicidade Cruzada 2. Caso dos Portais

Exemplo: Uma página de um autor, sugere a Portais como Yahoo e Sapo, para além
compra na Amazon, esta dá um crédito a um de serem mecanismos de pesquisa,
website cada vez que uma pessoa vinda dele oferecem espaço para que as pessoas
compra um livro. Esta política permite que guardem as suas páginas pessoais,
qualquer website tenha um apontador para a email, meteorologia, cotações de ações,
Amazon, porque gera receitas imediatas e fáceis de etc..
medir Quem paga estes serviços são os
anunciantes que fazem publicidade
nestes portais.

4. Garantia e Qualidade
• Como dar garantias aos consumidores sem presença física?
• Solução: Criar um nome associado a uma boa imagem, brand

Duas Abordagens

1. Importar um brande que já exista no mundo 2. Criar um brand novo diretamente na


real. Internet.

• Exemplo: Mercado Livre da venda de Livros:


o Amazon - Maior loja de livros na Internet, clientes satisfeitos - expansão para
outras áreas.
o Barnes and Noble - Maior cadeia de livrarias dos EUA, boa imagem, boa
capacidade para atrai utilizadores da Internet.
• Qualidade está relacionada com a confiança e passa por garantir ao cliente que o
produto tem valor, sem tocar, olhar, cheirar.
• Em certos produtos, qualidade é garantida pelo fabricante, como livros e informática.
Garantir qualidade de uma peça de fruta ou um investimento é mais complicado.

Duas Abordagens

1. Garantias ao cliente que permitam 2. Entregar informação suficiente que


certezas de qualidade, através de um brand verifiquem a qualidade do produto, sem o
ou técnicas de devolução entregar.
Exemplo: Lista de clientes satisfeitos, amostra
do produto, resultado do fundo de
investimento nos últimos anos
Impacto nas organizações
Fatura eletrónica→ é uma fatura que foi emitida, transmitida e recebida num
formato eletrónico estruturado que permite o seu processamento automático e
eletrônico, utilizando formatos específicos de documentos digitais.
• A fatura eletrónica é o mesmo documento comercial, mas reduzido a um formato
eletrónico, “desmaterializado”;
• A fatura eletrónica tem o mesmo valor que a fatura em papel desde que contenha as
menções obrigatórias para qualquer fatura e satisfaça as condições exigidas pela lei para
garantir a autenticidade da sua origem e a integridade;

Legislação específica das faturas:


• O decreto-Lei nº111-B/2017 aponta os elementos a constar na fatura eletrónica de
forma obrigatória;
• Segundo o Decreto-Lei nacional, o modelo de fatura eletrónica deve ser estabelecido
pela norma europeia (elaborado pelo CEN. Comité Europeu de Normalização);
• a faturação eletrónica exige que os dados sejam criados com uma estrutura correta
(modelo standard europeu) e depois que seja enviada diretamente do sistema
diretamente do vendedor para o comprador;
• O PDF para o cliente final não é o único caso que recai fora do âmbito da faturação
eletrónica (eInvoicing)

Apesar de a fatura ser em formato digital, existem documentos que não são considerados
faturas eletrónicas:
o Faturas não estruturadas emitidas em PDS ou Word;
o Imagens de faturas em formato .jpg, .tiff,..
o Faturas não estruturadas em HTML, numa página web ou num e-mail;
o Faturas em papel enviadas como imagens, via Fax.

Não é suficiente enviar por e-mail a um cliente a fatura por PDF para que este seja
considerada uma fatura eletrónica!

• A norma europeia inclui o modelo semântico de dados a adotar e a lista de sintaxes;


• O modelo standard tem em conta elementos comuns (aplicáveis a todos os estados-
membros e países) e aspetos legais que refletem as exigências específicas (ex: taxa de
IVA), a nível nacional, local ou setorial;
• A legislação em vigor obriga que as faturas sejam assinadas digitalmente antes de serem
enviadas e ambas as partes (fornecedor e comprador) têm de ter cópias de fatura digital
e as suas assinaturas durante um determinado número de anos e eles têm de enviar
resumos das faturas para a administração Fiscal. Estas faturas eletrónicas têm de ser
capazes de produzir versões em papel.

Vantagens da fatura eletrónica:


• Redução drástica de custos
o Diminuição dos custos diretos- selo postal e eventual registo, papel,
envelopes;
o Custos indiretos- impressão, envelopagem, manuseamento e arquivo;
• Simplicidade nos processos internos
o Desmaterialização dos documentos;
o Possibilidade de criação de processos de workflow eletrónicos;
o Através da eliminação do papel, há um controlo mais rápido e efetivo sobre as
faturas enviadas e recebidas pela empresa→ permite fazer data warehousing e
data mining;
• Relacionamento com o cliente
o a entrega da fatura ao cliente é instantânea;
• Inovação e tecnologia
o Cativação dos novos clientes devido à inovação e aspeto ecológicos (redução
do consumo de papel);
• Relacionamento com a administração fiscal
o Torna-se mais fácil verificar as faturas emitidas pelas empresas visto que têm
de ser enviados resumos de todas as faturas para a administração;

Dificuldades das faturas eletrónicas:


• As faturas eletrónicas baseiam-se em certificados e assinaturas digitais no qual
envolvem procedimentos de credenciação e legislação.
• É obrigatório por legislação solicitar à Direção Geral de Impostos a utilização do
sistema de faturação eletrónica;

Digitalização total da fatura→ A fatura é produzida pelo fornecedor, enviada e armazenada


pelo cliente sempre em formato eletrónico.

Assinatura digital→ É um bloco de caracteres que acompanha um


documento, assegurando a identidade do autor e que não houve qualquer
manipulação posterior dos dados.
• Para assinar um documento, o autor utiliza a sua própria chave secreta, o que impede
que negue a sua autoria.
• A assinatura digital pode ser contida num chip ou num dispositivo sem contacto que por
sua vez pode ter como suporte um cartão (cartão de cidadão).
• A utilização da assinatura digital providencia a prova inegável de que uma mensagem
veio do emissor;
• Uma assinatura digital deve ter as seguintes propriedades:
o Autenticidade→ o recetor deve poder confirmar a assinatura do emissor;
o Integridade→ a assinatura não pode ser falsificável;
o Não repúdio→ o emissor não pode negar a sua autenticidade;
(autenticidade=documento que está conforme a lei);

Certificado digital→ É um documento eletrónico assinado digitalmente, emitido por


uma terceira parte de confiança, denominada Entidade Certificadora (ex: Multicert)
A entidade certificadora regula a gestão dos certificados através da
emissão, renovação e revogação dos mesmos, usando metodologias, processos e
critérios bem definidos e públicos.

Pagamentos eletrónicos
O cartão de crédito é a forma de pagamento mais divulgada na Internet. As
companhias de cartão de crédito transmitem confiança aos vendedores e
consumidores, porque garantem os pagamentos, a um preço alto, mas aceitável
relativamente aos valores transacionados e às garantias de pagamento.
• Exemplos de companhias de cartões de crédito: VISA, MasterCard, American
Express;
• MBNET: é uma espécie de cartão de crédito virtual
o Objetivo: permite a realização de pagamentos online com
segurança sem que tenha que divulgar o número real do cartão de débito ou
crédito quer em sites nacionais, quer em sites estrangeiros.
o É possível todos os meses gerar aleatoriamente um novo número de modo a
aumentar a segurança nas transações eletrónicas;
o Serviço gratuito e inovador;
• Paypal: é um sistema de transferência de fundos entre entidades, isto é, não há
a necessidade de comunicar e expor na Internet o número do cartão de crédito
e/ou outros dados bancários, havendo lugar à cobrança de uma taxa sobre o
valor dos fundos recebidos;
o Paypal é uma eWallet impulsionada pelo sucesso do ebay.com e pela facilidade
de adesão.
o Os dados de origem/destino dos fundos são registados apenas no site Paypal.
• Cartões pré-pagos: limitam o risco ao valor do cartão. Vantagens:
o confidencialidade do seu utilizador→ o cartão é anónimo;
o Não é necessário associar a nenhuma conta bancária;

Transações entre empresas


• As empresas não utilizam o cartão de crédito para fazer pagamentos entre si, uma vez
que transacionam valores muito mais altos do que os particulares, tornando a % cobrada
pelas companhias de cartões de crédito proibitivas;
• Utilizam cheques e transferências bancárias que têm taxas mais baixas ou mesmo quase
nulas. Apresenta apenas taxas de juro durante o tempo em que o dinheiro não está
disponível
Cheque eletrónico: versão eletrónica do cheque em papel com benefícios ao nível do
processamento eletrónico.

Pagamentos eletrónicos (resumo):


1. Cartão de crédito;
2. MBNet;
3. Paypal;
4. Cartões pré-pagos;
5. Cheque eletrónico;

Documentos eletrónicos
Documentos que podem ser digitalizados Documentos “especiais”

• Encomendas; • Faturas;
• Catálogos; • Cheques;
• Formulários; • Contratos;
• Requisições;
• Modelos;
• Certificados;
• Demais documentos (normalizados ou não) que hoje em
dia circulam por carta ou fax;

Para se aplicar a qualquer tipo de documento, a legislação tem de elevar a segurança ao


papel principal. É fundamental garantir os seguintes aspetos:
• Autenticação: reconhecer como verdadeiro;
• Não repúdio do emissor: renúncia voluntária;
• Integridade;
• Privacidade;
Sem a credenciação, as assinaturas não têm força probatória, ou seja, os
documentos assinados digitalmente não podem ser utilizados como prova.
Capítulo 5 – Segurança

Segurança
• A arquitetura de um SI para a Web, tipicamente inclui um Web Client, Servidor e SI da
empresa, todos ligados a bases de dados;
• Componentes que apresentam desafios de segurança;
• Não só de ciberataques, mas também de desastres e falhas de energias que podem
causar disrupção nas redes das empresas;

Desafios de segurança e vulnerabilidades

Cliente Linhas de Servidores da Empresa Sistemas da Empresa


(Utilizadores) Comunicação

- Acessos não - Interceções; - Hacking; - Roubo de Dados;


Autorizados; - Escutas; - Vírus; - Cópia de Dados;
- Erros. - Alteração de - Roubo e Fraude; - Alteração de Dados;
Mensagens; - Vandalismo; - Falha de Hardware;
- Roubo e Fraude; - Ataques de negação - Falha de Software;
- Radiação. de serviço.

Cibersegurança - conjunto de meios e tecnologias que protege programas, PC’s, redes e


dados de danos e intrusão;
Centro Nacional de Cibersegurança - Coordenador operacional e autoridade nacional junto
das entidades do Estado, operadores de Infraestruturas críticas Nacionais e de serviços
essenciais e prestadores de serviços digitais. Garante que o ciberespaço é livre, seguro e justo,
para proteção dos setores da sociedade que materializam a soberania nacional e o Estado de
Direito;
Taxonomia de classificação de incidentes:
Ameaças à Segurança

Principais categorias de ataques

Modificação Repetição Interseção Disfarce Repúdio Negação de


serviço

- Quando se - Uma - Observação - Assumir - Negação da - Quando o


modifica os operação não uma participação serviço
dados para válida, já autorizada de identidade numa necessário a
comprometer realizada, é informações falsa operação uma atividade
os seus repetida que podem perante para evitar fica
objetivos. sem comprometer um consequênci indisponível
autorização. as intenções interlocutor, as. devido a
dos que, em sabotagem.
possuidores/ geral é o
destinatários. prejudicado.
Mesmo
- Exemplo: - Exemplo: informação - Exemplo: - Exemplo: - Exemplo:
Alteração da a não Alguém Negar Corte de linhas
quantia num Informação confidencial, pede a pass efetuar uma de
cheque necessária pode ser uma de acesso, encomenda comunicação
(depois de de um ameaça, se fazendo-se ou assinar de uma
assinado). pagamento seguida de passar por uma empresa,
utilizada modificação um declaração impedindo o
por um ou repetição. funcionário de dívida. contacto com
vendedor desse parceiros.
para obter fornecedor.
vários Chama-se
pagamentos engenharia
adicionais social

Garantias de Segurança
• Garantias requeridas para obter a segurança desejada no comércio eletrónico?
Garantias requeridas para obter a segurança desejada no comércio eletrónico?

Confidencialidade - Uma empresa pode ter uma posição privilegiada em relação a um


mercado ou cliente, relativamente aos concorrentes;
- Operações realizadas que envolvam a informação sensível, são
rodeadas dos maiores cuidados, de forma a manter a confidencialidade;
- Existem outros exemplos de dados confidenciais, só conhecidos pelos
possuidores ou poucas entidades. Ex: Número de Cartão de Crédito.
- Pode ser obtida codificando a informação, para que só o destinatário
tenha acesso.

Integridade - Quando se faz uma encomenda (ex: 10unid) e sofre alguma


modificação enquanto transitam do comprador para o vendedor (ex:
pedido de 100unid);
- Origem Acidental (Se for por fax, pode haver erro de transmissão e o
texto ser percebido errado) ou maliciosa (Alguém pode intercetar a
encomenda e modificar os dados);
- Vendedor deve ter mecanismos necessários para verificar a
integridade da encomenda recebida;
- Garantia de Integridade dos dados não impede que sofram alterações,
mas assim são facilmente detetadas. (ex: um vendedor não aceita uma
encomenda não válida)

Autenticação - Ex: Numa empresa corretora, recebe por telefone uma ordem de um
cliente para venda de ações. Se não se certificar que é realmente um
cliente pode estar a efetuar uma operação não desejada. Isso deve-se a
uma autenticação deficiente dos participantes.
- Existe regras básicas para evitar este problema (Ex: pessoa que dá a
ordem deve saber responder a perguntas combinadas previamente).
-Forma pouco segura de autenticação: Escutas telefónicas e Acesso às
perguntas e respostas.
- Autenticação deve ser nos dois sentidos.
- Para aumentar a segurança na autenticação, pode-se usar dois passos
(ex: pass e pergunta ou SMS)

Autorização - Garantia que uma entidade tem autorização para participar numa
operação. (Ex: Empresa deve ter a certeza que a pessoa que assina um
contrato em nome de um parceiro tem poderes para tal, senão
contrato inválido.
- Devem ter uma forma de determinação de papeis rápida e inequívoca.
- Determinação pode ser feita: Quando inicia a sua participação ou A
Posteriori.
-Na assinatura de um contrato, a autorização pode ser concebida
através de uma procuração.

Não-repúdio - Impossibilidade de negar participação numa transação.


- 3 formas: 1. Criação - 2. Envio - 3. Receção
-Ex: Realização de um concurso público
1. Criação - Uma empresa elabora uma proposta, mais tarde não
poderá negar os dados. Esta garantia salvaguarda a entidade
promotora contra um concorrente desonesto, que diz ter uma melhor
proposta que a vencedora. Propostas em envelopes lacrados e
respetiva abertura pública.
2. Envio - Carta registada e a data do carimbo dos CTT serve de prova
de envio dentro do prazo. Concorrente protege-se contra
eventualidades.
3. Receção - No registo da carta, adicionar aviso de receção, dá ao
concorrente uma salvaguarda caso surjam problemas do paradeiro da
proposta.

Registo - Surgem situações em que é necessário analisar um conjunto de


registos de acontecimentos de uma operação.
-Ex: Extravio de um cartão. Banco em geral só se responsabilizam pelas
transações após a notificação do extravio. O registo detalhado das
operações efetuadas é um bom auxílio à detenção de ações.

Ciber Higienização
• Cuidados básicos de segurança no ciberespaço ou no mundo cada vez mais online
Criptografia
• Pode obter-se confidencialidade de informação através de codificação. Esta deve ser
feita de forma a apenas as entidades autorizadas tenham acesso a essa informação.
• Atualmente tem um papel fulcral em várias áreas, mas principalmente nas
comunicações militares e nas atividades financeiras e comerciais.
• Fundamental no conjunto de técnicas de suporte ao comércio eletrónico
Criptaçãoà codificação de informação para mantê-la secreta
Criptografiaà Desenvolvimento de técnicas de criptação
Criptoanáliseà Tarefa de tentar descodificar a informação codificada (secreta). Criptoanalista-
CA- é o conhecedor do cripto-texto e do método de criptação, desconhecendo apenas a chave.
Cripto-SistemaàElementos que asseguram um meio secreto de comunicação entre duas
entidades

Estrutura de um cripto-sistema
típico:
Criptação:
Aplicações:
• Sistemas de comunicação militares diplomáticas
• Transferência de fundos entre bancos
• Manutenção de ficheiros secretos por parte dos utilizadores
• Informação pessoal de clientes/utilizadores
• …
Métodos:
• De chave simétricaà Utiliza-se a mesma chave para cifrar e decifrar os dados. A sua
segurança é baseada no facto de ser do conhecimento exclusivo do emissor e recetor.
Algoritmo utilizado para cifrar grandes volumes de dados. A desvantagem é a chave ter
de ser partilhada pelo emissor e recetor.
o Cifra de CésaràCada carater do texto original é substituído pelo caracter que
aparece K posições à frente no alfabeto, sendo K um número inteiro fixo. César
usava K=3. Para isto o alfabeto era visto com uma organização circular, para que o
A sucedesse o Z. este é um método fraco, visto que o criptoanalista terá de analisar
um nº reduzido de casos (1<=K<=27).
o Tabela de substituiçãoà Cada carater do texto é substituído por outro
correspondente na tabela de substituição. Processo mais seguro, com 27! tabelas
diferentes (10^28 tabelas). O elevado nº de hipóteses é enganador em relação à
segurança do método. Pode ser fácil de descobrir a tabela de substituição de acordo
com a frequência de certas letras com as combinações de outras.
o Cifra de Vigenèreà Extensão da cifra de César. Em vez de K deslocamentos iguais
para todos os caracteres, temos diferentes deslocamentos. Considera-se uma
pequena chave em que cada caracter é usado para determinar o valor de K para
cada um. A chave será repetida as vezes necessárias para cobrir todos os caracteres
do texto original. Pode haver o mesmo código para diferentes caracteres e códigos
diferentes para o mesmo caracter. Este método é tão mais seguro quanto maior o
comprimento da chave.
o Cifra de Vernamà Generalização do anterior. A chave é tão comprida quanto o
texto a encriptar. Totalmente seguro visto que cada caracter da chave é usado
apenas uma vez. Neste caso, o criptoanalista teria de tentar todas as combinações
com o texto original para obter apenas uma correta (27^n). Tem o problema de
transmissão de chave, sendo então usado apenas em mensagens curtas.

• De chave assimétricaà Utiliza duas chaves complementares, dados cifrados com uma
só podem ser decifrados com outra e vice-versa, sendo uma calculada em função da
outra. Também chamado chave pública, por uma das chaves ser divulgada publicamente
e a outra permanecendo secreta. Por se conhecer a chave pública não temos qualquer
pista útil para descobrir a chave privada. A desvantagem é a elevada complexidade dos
métodos, levando à ineficiência. Usados para cifrar volumes de dados relativamente
pequenos.
o Algoritmo RSAà É o mais conhecido e mais utilizado. É impossível quebrar o
código do cripto-texto e de não necessitar de chaves de grande dimensão,
havendo, contudo, um problema de transmissão de chaves.

Criptografia quânticaà Usa princípios da mecânica quântica para garantir a comunicação


segura. Vantagem na segurança com que as chaves são trocadas. Baseada essencialmente na
incerteza natural do mundo quântico.

Algoritmos de sumárioà Algoritmos que não pretendemos esconder a informação, podendo


ser incluídos na área da criptografia. Os algoritmos message digest ou hash proporcionam uma
forma de identificar um conjunto de dados através de um valor que os representa
univocamente. Valor obtido através de uma função matemática não invertível. Esta função é
definida de forma a ser computacionalmente impraticável e a probabilidade de dois textos
diferentes terem o mesmo sumário é muito baixa. Se junto com um texto se enviar o respetivo
sumário, o recetor pode gerar o seu próprio sumário e compará-lo com o que recebeu. Se não
coincidirem, o recetor pode concluir que houve um problema na transmissão e pedir o reenvio
dos dados.

Assinatura digital:
• Os algoritmos simétricos e assimétricos dão a confidencialidade da informação
• Os algoritmos de sumário dão integridade à informação
• Também se podem usar estes mecanismos para dar garantias de autenticação e não-
repúdio.
• Um emissor que queira estas garantias no envio de uma mensagem, gera um sumário
da mensagem e cifra-o com a sua chave privada. Depois envia-a juntamente com o
sumário cifrado (assinatura digital)
• Autenticaçãoà Conseguir-se decifrar o sumário com a chave pública do emissor, prova
que foi utilizada a chave privada deste, logo apenas o emissor poderia ter cifrado aquele
sumário.
• Não-repúdio de criaçãoà Pela utilização da chave privada, emissor não poderá negar a
autoria da mensagem.
• Integridadeà O facto de os sumários coincidirem prova que a mensagem não foi
alterada desde que foi enviada.

Certificado Digital:
• Documento eletrónico assinado digitalmente, emitido por uma terceira parte de
confiança, denominada Entidade Certificadora.
• Conjunto de dados, tais como a identificação de uma entidade (pessoa, por exemplo) e
a sua chave pública.
• Sobre este conjunto é gerada uma assinatura digital, que passa a ser parte integrante
do certificado.
Quando alguém deseja obter a chave pública de uma entidade, só tem de obter o
certificado digital e verificar a validade da assinatura

• A assinatura digital é colocada no certificado por uma 3ª entidade na qual os outros


confiam:
o O detentor (emissor) da chave pública acredita que esta não será modificada
antes de o certificado ser assinado.
o Os recetores do certificado acreditam que, antes de assinar o certificado,
aquela entidade se assegurou sobre a verdadeira entidade do emissor.

• Um certificado digital dá garantia de autenticação e não-repúdio, pois fornece uma


ligação inequívoca entre uma chave pública e o seu possuidor
o Por força da relação entre a chave pública e a privada, a ligação é extensível à
chave privada, apenas conhecida pelo possuidor.
• Certificado digital pode conter outros elementos relativos ao seu detentor, como
dados pessoais, instituição onde trabalha e cargo, e período de validade do certificado.
o Data de validade: Após passado o prazo, o certificado não deve ser utilizado
tendo de ser renovado.
• Certificado digital pode ser revogado por alguma razão antes de terminar o prazo (ex.:
quando a chave privada é descoberta)
Entidade Certificadora: Encarrega-se de verificar os dados presentes num certificado digital e
que o assina, confirmando a exatidão dos dados.
• Regula a gestão dos certificados através da emissão, renovação e revogação dos
mesmos, por aprovação individual.
Segurança das Aplicações
• Mecanismos de segurança definidos para as duas grandes famílias de aplicações que
atualmente suportam o comércio eletrónico na Internet
o Correio eletrónico
o Web
Correio Eletrónico Seguroà Necessidade de proteger o conteúdo das mensagens de correio
eletrónico.
• Garantias desejadas para o correio eletrónico:
o Confidencialidade
o Autenticação
o Integridade
o Não-repúdio
• S/MIME: sistema mais utilizado comercialmente para proteção do correio eletrónico
o Permite que, se a mensagem estiver estruturada em várias partes, as operações de
assinatura e cifra podem ser aplicadas a partes individuais e não obrigatoriamente
a todo o conteúdo
o Utiliza ainda formatos próprios para anexar elementos como assinaturas digitais
ou chaves à informação.
• Ter o conteúdo das mensagens de correio eletrónico protegidas não significa que as
contas de correio eletrónico não possam ser alvo de outro tipo de ataques.
o Phishing
o Spoofing
o Malware
o Ransomware

Segurança na Web
Aspetos fundamentais:
• Confidencialidade dos dados transmitidos
• Segurança dos servidores que oferecem o acesso aos produtos e serviços
disponíveis
SECURE SOCKETS LAYER (SSL)
• Ligação web segura é reconhecida pelo URL iniciado por https://
• Indicação visual: cadeado fechado
• Serviços oferecidos pelo SSL visam providenciar a autenticação do servidor, utilizando
certificados digitais.
• Garantem integridade e confidencialidade dos dados (utilização de algoritmos de
sumário, cifra e compressão)
SERVIDORES “SEGUROS”
• O facto de se aceder a um URL do tipo https:// e de aparecer o cadeado fechado no
browser não garante que se está a aceder a um servidor seguro!
• O que é seguro é a transmissão dos dados, que passam a estar protegidos de ameaças
(disfarce, a interceção ou a alteração entre o cliente e o servidor)
• Servidor pode estar sujeito a ataques vindos do exterior ou ataques realizados a partir
de dentro (por colaboradores da instituição que gere o servidor)
• O facto de o servidor garantir ligações seguras não garante que os dados estão seguros

Protocolos como o SSL permitem aos utilizadores ter a certeza da identidade da


organização. O resto depende da confiança que a entidade inspire aos utilizadores. Esta tem
implicações a nível técnico (relacionado com ataques vindos de fora) e social (relacionado com
ataques vindos de dentro).
A segurança dos servidores é conseguida através de medidas como a utilização de firewalls
para barrar as tentativas de acessos indevidos e outros tipos de intervenção ao nível dos
sistemas operativos e plataformas hardware utilizadas.

ARQUITETURAS 3-TIER (com 3 níveis)


No 1º nível, temos os servidores Web e aplicacionais, responsáveis pela interação com o
exterior (utilizadores ou outras aplicações). Estes recebem os pedidos e enviam-nos para o 2º
nível.
No 2º nível, existem aplicações que implementam a lógica de negócio (onde estão
especificadas regras que determinam promoções, destaques, políticas de preços, etc…)
No 3º nível estão instalados os servidores de bases de dados.

Entre cada nível deve existir uma proteção adequada (firewalls e sistemas de deteção de
intruso):
• Comunicação entre níveis segue regras bem determinadas
• Se a segurança de um nível for comprometida, o nível seguinte continua protegido.
• Dados armazenados no 3º nível à mais protegidos

Você também pode gostar