SlideShare une entreprise Scribd logo

BD Segurança

Télécharger en tant que PPT, PDF
Franklin Matos Correia
Franklin Matos Correia

Aula 02 da disciplina de Laboratório de Banco de Dados, assunto abordado: Segurança e Autorização

Formation
1  sur  17
Laboratório deLaboratório de Banco de DadosBanco de Dados Aula 02 - Segurança – Autorização Prof. Franklin M. Correia
• Proteger o banco de dados contra pessoas não autorizadas • Envolve questões que incluem: o Questões legais, éticas e de direito ao acesso à informação; o Questões políticas a nível governamental, institucional ou corporativo; o Questões relacionadas ao nível do sistema (que funções de segurança devem ser implementadas?) o Necessidades das organizações relativas a níveis de segurança: (altamente confidencial (top secret), secreto (secret), confidencial (confidential) e não confidencial (unclassified)) Segurança - AutorizaçãoSegurança - Autorização
• Objetivos da segurança (sob constante ameaça) o Perda de integridade – proteção contra modificação imprópria. A integridade é perdida a partir de modificações intencionais ou não; o Perda de disponibilidade – Manter o BD disponível para usuário ou programa que tem direito legítimo a ele; o Perda de confidencialidade – Proteção do BD contra divulgação não autorizada. Pode implicar em questões legais e também perda de confiança pública e constrangimentos. Segurança - AutorizaçãoSegurança - Autorização
• Medidas para proteção do BD o Controle de acesso • Mecanismos de acesso discricionário • Mecanismos de acesso obrigatório (mandatory) o Controle de inferência • Segurança de BDs estatísticos o Controle de fluxo • Controlar o fluxo das informações o Criptografia Segurança - AutorizaçãoSegurança - Autorização
• Papel do DBA o Concessão de privilégios a usuários autorizados o Classificação dos usuários e dados de acordo com a política da organização o Criação de contas o Revogação de privilégios o Atribuição de nível de segurança o Auditoria do banco de dados, a partir do LOG Segurança - AutorizaçãoSegurança - Autorização
• Controle de acesso discricionário (concessão e revogação de privilégios) o Tipos de privilégios discricionários: • O nível de conta – privilégios que a conta tem, independente das relações existentes no BD o Pode incluir CREATE SCHEMA, CREATE TABLE, CREATE VIEW, DROP, etc. Se aplicam à conta de maneira genérica. • Nível de relações – O DBA pode controlar privilégio para acessar cada relação ou visão individual. o Especifica para cada usuário as relações individuais nas quais cada tipo de comando pode ser aplicado. Sempre é atribuída uma conta de proprietário. Quem possui a conta proprietário pode repassar privilégios, como Privilégio SELECT (para recuperação) ou MODIFY (para UPDATE). Segurança - AutorizaçãoSegurança - Autorização
• Visões são mecanismo importante de autorização discricionário. • Privilégio discricionário são atribuídos normalmente através das instruções de DDL; o GRANT o REVOKE Segurança - AutorizaçãoSegurança - Autorização
GRANT/REVOKE • Cada objeto do banco de dados tem um dono (owner), que é o seu criador • Apenas o criador ou dono pode acessar os objetos • SQL oferece um esquema de permissões através dos comandos Grant/Revoke Segurança - AutorizaçãoSegurança - Autorização
GRANT Permissão de comandos DDL GRANT {comando} TO {usuário} Permissão de objeto GRANT {comando} ON {object} TO {usuário} [ WITH GRANT OPTION] - MS SQL Server – (colunas) após {object} - Oracle – (colunas) após {comando} Segurança - AutorizaçãoSegurança - Autorização
REVOKE Retira os previlégios REVOKE {comando} ON {object} FROM {usuário} Segurança - AutorizaçãoSegurança - Autorização
GRANT (exemplos) grant alter tables to as01equipe01; grant select, insert, update, delete on empregado to as01equipe01; grant all on empregado to as01equipe01; grant select on empregado (nome, codproj) to public; (SQL Server) grant select (nome, coddepart) on empregado to public; (ORACLE) OBS. GRANT sobre objetos promove a propagação de autorizações Segurança - AutorizaçãoSegurança - Autorização
REVOKE (exemplos) revoke delete on empregado from as01equipe01; revoke all on empregado from anderson; revoke all on empregado from public; Segurança - AutorizaçãoSegurança - Autorização
• Mecanismos de acesso obrigatório (mandatory) o Ainda não comum nos SGBDs atuais, mais comuns em ambientes de segurança multinível. o Estabelece classes como top secret (AS), secret (S), confidential (C) e unclassified (NC), onde AS é o nível mais alto. o Classifica cada sujeito (usuário, conta, programa) e objeto (relação, tupla, coluna, visão, operação) em uma classificação: • Propriedade de segurança simples - Um sujeito S não tem permissão de acesso sobre um objeto O a menos que sua classe(S) >= Classe(O). • Propriedade estrela – Um sujeito S não tem permissão de escrever um objeto O a menos que classe(S) <= classe(O) – evita que informações fluam para classificações mais baixas que a do sujeito. Segurança - AutorizaçãoSegurança - Autorização
• Políticas de Controle de acesso para e-Commerce e para Web o Mecanismo deve ser flexível para dar suporte a um amplo espectro de objetos heterogêneos o As políticas de controle devem permitir a inclusão de condições baseadas no conteúdo do objeto o As políticas devem levar em consideração os perfis de usuários e dr suporte à noção de credenciais. Um credencial é um conjunto de propriedades referentes a um usuário que são relevantes para o propósito de segurança (ex. idade, posição na organização, etc). o Política de segurança a ser melhor estudada, juntamente com XML. Segurança - AutorizaçãoSegurança - Autorização
• Segurança em BDs estatísticos o Não podem permitir acesso a dados individuais. o Devem permitir acesso apenas a consultas que envolvem consultas estatísticas como: COUNT, SUM, MIN, MAX, etc. o Precisa-se ter cuidado, pois através de consultas estatísticas, indiretamente pode-se ter acesso a dados (através do WNERE). Segurança - AutorizaçãoSegurança - Autorização
• Controle de Fluxo o A transferência de informação de um remetente para um destinatário somente é permitida se a classe de segurança do receptor for pelo menos tão privilegiada quanto a classe do remetente. o Política de fluxo – especifica os canais pelos quais a informação pode se mover. o Exemplo usando a mais simples: Confidencial (C) e não confidencial (NC), permite todos os fluxos, exceto de C para NC. o Canais secretos (covert channel) – Permitem uma transferência de um nível de classificação mais alto para um mais baixo por meios indevidos. Precisam ser controlados e evitados. Segurança - AutorizaçãoSegurança - Autorização
• Criptografia e chave pública o Mesmo o intruso tendo acesso ao dado, não deve poder decodificá-lo. o Consiste em aplicar um algoritmo de criptografia. o Utiliza-se uma chave de criptografia e uma de decriptografia. o Padrão mais comum é o DES – Data Encryption Standard, desenvolvido pelo governo americano. o Criptografia de chave pública – Apresentada em 1976 por Diffie e Hellman. • Consiste de 2 chaves para codificação-decodificação • Se uma for usada para cifrar, a outra é usada para decifrar. • Se um remetente quiser enviar uma mensagem, ele cifra a mensagem com a chave pública do destinatário. • É baseado em funções matemáticas em vez de operações sobre modelos de bits. Segurança - AutorizaçãoSegurança - Autorização

Recommandé

Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dadosArthur Marques de Oliveira
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 

Recommandé

Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dadosArthur Marques de Oliveira
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Gustavo Zimmermann
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessosLuis Batista
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery dayRoberto Fonseca
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Glossario
Glossario Glossario
Glossario vds06
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 

Contenu connexe

Tendances

Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Gustavo Zimmermann
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessosLuis Batista
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 

Tendances (12)

Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linux
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessos
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 

Similaire à BD Segurança

Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery dayRoberto Fonseca
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Glossario
Glossario Glossario
Glossario vds06
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaRicardo Nagel
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 

Similaire à BD Segurança (20)

Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery day
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Glossario
Glossario Glossario
Glossario
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuída
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 

Plus de Franklin Matos Correia

Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Franklin Matos Correia
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Franklin Matos Correia
 

Plus de Franklin Matos Correia (6)

Informática básica internet
Informática básica internetInformática básica internet
Informática básica internet
 
Aula 01 Revisão
Aula 01 RevisãoAula 01 Revisão
Aula 01 Revisão
 
Ihc interface humano computador
Ihc interface humano computadorIhc interface humano computador
Ihc interface humano computador
 
Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01
 
Diagramas de casos de uso - aula 2
Diagramas de casos de uso - aula 2Diagramas de casos de uso - aula 2
Diagramas de casos de uso - aula 2
 

Dernier

“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptxthaisamaral9365923
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfAdrianaCunha84
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOcarolinacespedes23
 
Governo Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 BrasilGoverno Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 Brasillucasp132400
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxLuizHenriquedeAlmeid6
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.silves15
 
Música Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMúsica Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMary Alvarenga
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxRonys4
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024Jeanoliveira597523
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOLEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOColégio Santa Teresinha
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresLilianPiola
 
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Mary Alvarenga
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdfJorge Andrade
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasMary Alvarenga
 
Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Centro Jacques Delors
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxKtiaOliveira68
 

Dernier (20)

“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdf
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
 
Governo Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 BrasilGoverno Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 Brasil
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
Música Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMúsica Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividade
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOLEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
 
Em tempo de Quaresma .
Em tempo de Quaresma .Em tempo de Quaresma .
Em tempo de Quaresma .
 
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
 
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavras
 
Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptx
 

BD Segurança

  • 1. Laboratório deLaboratório de Banco de DadosBanco de Dados Aula 02 - Segurança – Autorização Prof. Franklin M. Correia
  • 2. • Proteger o banco de dados contra pessoas não autorizadas • Envolve questões que incluem: o Questões legais, éticas e de direito ao acesso à informação; o Questões políticas a nível governamental, institucional ou corporativo; o Questões relacionadas ao nível do sistema (que funções de segurança devem ser implementadas?) o Necessidades das organizações relativas a níveis de segurança: (altamente confidencial (top secret), secreto (secret), confidencial (confidential) e não confidencial (unclassified)) Segurança - AutorizaçãoSegurança - Autorização
  • 3. • Objetivos da segurança (sob constante ameaça) o Perda de integridade – proteção contra modificação imprópria. A integridade é perdida a partir de modificações intencionais ou não; o Perda de disponibilidade – Manter o BD disponível para usuário ou programa que tem direito legítimo a ele; o Perda de confidencialidade – Proteção do BD contra divulgação não autorizada. Pode implicar em questões legais e também perda de confiança pública e constrangimentos. Segurança - AutorizaçãoSegurança - Autorização
  • 4. • Medidas para proteção do BD o Controle de acesso • Mecanismos de acesso discricionário • Mecanismos de acesso obrigatório (mandatory) o Controle de inferência • Segurança de BDs estatísticos o Controle de fluxo • Controlar o fluxo das informações o Criptografia Segurança - AutorizaçãoSegurança - Autorização
  • 5. • Papel do DBA o Concessão de privilégios a usuários autorizados o Classificação dos usuários e dados de acordo com a política da organização o Criação de contas o Revogação de privilégios o Atribuição de nível de segurança o Auditoria do banco de dados, a partir do LOG Segurança - AutorizaçãoSegurança - Autorização
  • 6. • Controle de acesso discricionário (concessão e revogação de privilégios) o Tipos de privilégios discricionários: • O nível de conta – privilégios que a conta tem, independente das relações existentes no BD o Pode incluir CREATE SCHEMA, CREATE TABLE, CREATE VIEW, DROP, etc. Se aplicam à conta de maneira genérica. • Nível de relações – O DBA pode controlar privilégio para acessar cada relação ou visão individual. o Especifica para cada usuário as relações individuais nas quais cada tipo de comando pode ser aplicado. Sempre é atribuída uma conta de proprietário. Quem possui a conta proprietário pode repassar privilégios, como Privilégio SELECT (para recuperação) ou MODIFY (para UPDATE). Segurança - AutorizaçãoSegurança - Autorização
  • 7. • Visões são mecanismo importante de autorização discricionário. • Privilégio discricionário são atribuídos normalmente através das instruções de DDL; o GRANT o REVOKE Segurança - AutorizaçãoSegurança - Autorização
  • 8. GRANT/REVOKE • Cada objeto do banco de dados tem um dono (owner), que é o seu criador • Apenas o criador ou dono pode acessar os objetos • SQL oferece um esquema de permissões através dos comandos Grant/Revoke Segurança - AutorizaçãoSegurança - Autorização
  • 9. GRANT Permissão de comandos DDL GRANT {comando} TO {usuário} Permissão de objeto GRANT {comando} ON {object} TO {usuário} [ WITH GRANT OPTION] - MS SQL Server – (colunas) após {object} - Oracle – (colunas) após {comando} Segurança - AutorizaçãoSegurança - Autorização
  • 10. REVOKE Retira os previlégios REVOKE {comando} ON {object} FROM {usuário} Segurança - AutorizaçãoSegurança - Autorização
  • 11. GRANT (exemplos) grant alter tables to as01equipe01; grant select, insert, update, delete on empregado to as01equipe01; grant all on empregado to as01equipe01; grant select on empregado (nome, codproj) to public; (SQL Server) grant select (nome, coddepart) on empregado to public; (ORACLE) OBS. GRANT sobre objetos promove a propagação de autorizações Segurança - AutorizaçãoSegurança - Autorização
  • 12. REVOKE (exemplos) revoke delete on empregado from as01equipe01; revoke all on empregado from anderson; revoke all on empregado from public; Segurança - AutorizaçãoSegurança - Autorização
  • 13. • Mecanismos de acesso obrigatório (mandatory) o Ainda não comum nos SGBDs atuais, mais comuns em ambientes de segurança multinível. o Estabelece classes como top secret (AS), secret (S), confidential (C) e unclassified (NC), onde AS é o nível mais alto. o Classifica cada sujeito (usuário, conta, programa) e objeto (relação, tupla, coluna, visão, operação) em uma classificação: • Propriedade de segurança simples - Um sujeito S não tem permissão de acesso sobre um objeto O a menos que sua classe(S) >= Classe(O). • Propriedade estrela – Um sujeito S não tem permissão de escrever um objeto O a menos que classe(S) <= classe(O) – evita que informações fluam para classificações mais baixas que a do sujeito. Segurança - AutorizaçãoSegurança - Autorização
  • 14. • Políticas de Controle de acesso para e-Commerce e para Web o Mecanismo deve ser flexível para dar suporte a um amplo espectro de objetos heterogêneos o As políticas de controle devem permitir a inclusão de condições baseadas no conteúdo do objeto o As políticas devem levar em consideração os perfis de usuários e dr suporte à noção de credenciais. Um credencial é um conjunto de propriedades referentes a um usuário que são relevantes para o propósito de segurança (ex. idade, posição na organização, etc). o Política de segurança a ser melhor estudada, juntamente com XML. Segurança - AutorizaçãoSegurança - Autorização
  • 15. • Segurança em BDs estatísticos o Não podem permitir acesso a dados individuais. o Devem permitir acesso apenas a consultas que envolvem consultas estatísticas como: COUNT, SUM, MIN, MAX, etc. o Precisa-se ter cuidado, pois através de consultas estatísticas, indiretamente pode-se ter acesso a dados (através do WNERE). Segurança - AutorizaçãoSegurança - Autorização
  • 16. • Controle de Fluxo o A transferência de informação de um remetente para um destinatário somente é permitida se a classe de segurança do receptor for pelo menos tão privilegiada quanto a classe do remetente. o Política de fluxo – especifica os canais pelos quais a informação pode se mover. o Exemplo usando a mais simples: Confidencial (C) e não confidencial (NC), permite todos os fluxos, exceto de C para NC. o Canais secretos (covert channel) – Permitem uma transferência de um nível de classificação mais alto para um mais baixo por meios indevidos. Precisam ser controlados e evitados. Segurança - AutorizaçãoSegurança - Autorização
  • 17. • Criptografia e chave pública o Mesmo o intruso tendo acesso ao dado, não deve poder decodificá-lo. o Consiste em aplicar um algoritmo de criptografia. o Utiliza-se uma chave de criptografia e uma de decriptografia. o Padrão mais comum é o DES – Data Encryption Standard, desenvolvido pelo governo americano. o Criptografia de chave pública – Apresentada em 1976 por Diffie e Hellman. • Consiste de 2 chaves para codificação-decodificação • Se uma for usada para cifrar, a outra é usada para decifrar. • Se um remetente quiser enviar uma mensagem, ele cifra a mensagem com a chave pública do destinatário. • É baseado em funções matemáticas em vez de operações sobre modelos de bits. Segurança - AutorizaçãoSegurança - Autorização