SlideShare ist ein Scribd-Unternehmen logo

BD Segurança

Als PPT, PDF herunterladen
Franklin Matos Correia
Franklin Matos Correia

Aula 02 da disciplina de Laboratório de Banco de Dados, assunto abordado: Segurança e Autorização

Bildung
1 von 17
Laboratório deLaboratório de Banco de DadosBanco de Dados Aula 02 - Segurança – Autorização Prof. Franklin M. Correia
• Proteger o banco de dados contra pessoas não autorizadas • Envolve questões que incluem: o Questões legais, éticas e de direito ao acesso à informação; o Questões políticas a nível governamental, institucional ou corporativo; o Questões relacionadas ao nível do sistema (que funções de segurança devem ser implementadas?) o Necessidades das organizações relativas a níveis de segurança: (altamente confidencial (top secret), secreto (secret), confidencial (confidential) e não confidencial (unclassified)) Segurança - AutorizaçãoSegurança - Autorização
• Objetivos da segurança (sob constante ameaça) o Perda de integridade – proteção contra modificação imprópria. A integridade é perdida a partir de modificações intencionais ou não; o Perda de disponibilidade – Manter o BD disponível para usuário ou programa que tem direito legítimo a ele; o Perda de confidencialidade – Proteção do BD contra divulgação não autorizada. Pode implicar em questões legais e também perda de confiança pública e constrangimentos. Segurança - AutorizaçãoSegurança - Autorização
• Medidas para proteção do BD o Controle de acesso • Mecanismos de acesso discricionário • Mecanismos de acesso obrigatório (mandatory) o Controle de inferência • Segurança de BDs estatísticos o Controle de fluxo • Controlar o fluxo das informações o Criptografia Segurança - AutorizaçãoSegurança - Autorização
• Papel do DBA o Concessão de privilégios a usuários autorizados o Classificação dos usuários e dados de acordo com a política da organização o Criação de contas o Revogação de privilégios o Atribuição de nível de segurança o Auditoria do banco de dados, a partir do LOG Segurança - AutorizaçãoSegurança - Autorização
• Controle de acesso discricionário (concessão e revogação de privilégios) o Tipos de privilégios discricionários: • O nível de conta – privilégios que a conta tem, independente das relações existentes no BD o Pode incluir CREATE SCHEMA, CREATE TABLE, CREATE VIEW, DROP, etc. Se aplicam à conta de maneira genérica. • Nível de relações – O DBA pode controlar privilégio para acessar cada relação ou visão individual. o Especifica para cada usuário as relações individuais nas quais cada tipo de comando pode ser aplicado. Sempre é atribuída uma conta de proprietário. Quem possui a conta proprietário pode repassar privilégios, como Privilégio SELECT (para recuperação) ou MODIFY (para UPDATE). Segurança - AutorizaçãoSegurança - Autorização
• Visões são mecanismo importante de autorização discricionário. • Privilégio discricionário são atribuídos normalmente através das instruções de DDL; o GRANT o REVOKE Segurança - AutorizaçãoSegurança - Autorização
GRANT/REVOKE • Cada objeto do banco de dados tem um dono (owner), que é o seu criador • Apenas o criador ou dono pode acessar os objetos • SQL oferece um esquema de permissões através dos comandos Grant/Revoke Segurança - AutorizaçãoSegurança - Autorização
GRANT Permissão de comandos DDL GRANT {comando} TO {usuário} Permissão de objeto GRANT {comando} ON {object} TO {usuário} [ WITH GRANT OPTION] - MS SQL Server – (colunas) após {object} - Oracle – (colunas) após {comando} Segurança - AutorizaçãoSegurança - Autorização
REVOKE Retira os previlégios REVOKE {comando} ON {object} FROM {usuário} Segurança - AutorizaçãoSegurança - Autorização
GRANT (exemplos) grant alter tables to as01equipe01; grant select, insert, update, delete on empregado to as01equipe01; grant all on empregado to as01equipe01; grant select on empregado (nome, codproj) to public; (SQL Server) grant select (nome, coddepart) on empregado to public; (ORACLE) OBS. GRANT sobre objetos promove a propagação de autorizações Segurança - AutorizaçãoSegurança - Autorização
REVOKE (exemplos) revoke delete on empregado from as01equipe01; revoke all on empregado from anderson; revoke all on empregado from public; Segurança - AutorizaçãoSegurança - Autorização
• Mecanismos de acesso obrigatório (mandatory) o Ainda não comum nos SGBDs atuais, mais comuns em ambientes de segurança multinível. o Estabelece classes como top secret (AS), secret (S), confidential (C) e unclassified (NC), onde AS é o nível mais alto. o Classifica cada sujeito (usuário, conta, programa) e objeto (relação, tupla, coluna, visão, operação) em uma classificação: • Propriedade de segurança simples - Um sujeito S não tem permissão de acesso sobre um objeto O a menos que sua classe(S) >= Classe(O). • Propriedade estrela – Um sujeito S não tem permissão de escrever um objeto O a menos que classe(S) <= classe(O) – evita que informações fluam para classificações mais baixas que a do sujeito. Segurança - AutorizaçãoSegurança - Autorização
• Políticas de Controle de acesso para e-Commerce e para Web o Mecanismo deve ser flexível para dar suporte a um amplo espectro de objetos heterogêneos o As políticas de controle devem permitir a inclusão de condições baseadas no conteúdo do objeto o As políticas devem levar em consideração os perfis de usuários e dr suporte à noção de credenciais. Um credencial é um conjunto de propriedades referentes a um usuário que são relevantes para o propósito de segurança (ex. idade, posição na organização, etc). o Política de segurança a ser melhor estudada, juntamente com XML. Segurança - AutorizaçãoSegurança - Autorização
• Segurança em BDs estatísticos o Não podem permitir acesso a dados individuais. o Devem permitir acesso apenas a consultas que envolvem consultas estatísticas como: COUNT, SUM, MIN, MAX, etc. o Precisa-se ter cuidado, pois através de consultas estatísticas, indiretamente pode-se ter acesso a dados (através do WNERE). Segurança - AutorizaçãoSegurança - Autorização
• Controle de Fluxo o A transferência de informação de um remetente para um destinatário somente é permitida se a classe de segurança do receptor for pelo menos tão privilegiada quanto a classe do remetente. o Política de fluxo – especifica os canais pelos quais a informação pode se mover. o Exemplo usando a mais simples: Confidencial (C) e não confidencial (NC), permite todos os fluxos, exceto de C para NC. o Canais secretos (covert channel) – Permitem uma transferência de um nível de classificação mais alto para um mais baixo por meios indevidos. Precisam ser controlados e evitados. Segurança - AutorizaçãoSegurança - Autorização
• Criptografia e chave pública o Mesmo o intruso tendo acesso ao dado, não deve poder decodificá-lo. o Consiste em aplicar um algoritmo de criptografia. o Utiliza-se uma chave de criptografia e uma de decriptografia. o Padrão mais comum é o DES – Data Encryption Standard, desenvolvido pelo governo americano. o Criptografia de chave pública – Apresentada em 1976 por Diffie e Hellman. • Consiste de 2 chaves para codificação-decodificação • Se uma for usada para cifrar, a outra é usada para decifrar. • Se um remetente quiser enviar uma mensagem, ele cifra a mensagem com a chave pública do destinatário. • É baseado em funções matemáticas em vez de operações sobre modelos de bits. Segurança - AutorizaçãoSegurança - Autorização

Empfohlen

Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dadosArthur Marques de Oliveira
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 

Empfohlen

Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dadosArthur Marques de Oliveira
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Gustavo Zimmermann
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessosLuis Batista
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery dayRoberto Fonseca
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Glossario
Glossario Glossario
Glossario vds06
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Gustavo Zimmermann
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessosLuis Batista
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 

Was ist angesagt? (12)

Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linux
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessos
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 

Ähnlich wie BD Segurança

Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery dayRoberto Fonseca
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Glossario
Glossario Glossario
Glossario vds06
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaRicardo Nagel
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 

Ähnlich wie BD Segurança (20)

Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 
Sql server 2016 discovery day
Sql server 2016 discovery daySql server 2016 discovery day
Sql server 2016 discovery day
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Glossario
Glossario Glossario
Glossario
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuída
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 

Mehr von Franklin Matos Correia

Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Franklin Matos Correia
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Franklin Matos Correia
 

Mehr von Franklin Matos Correia (6)

Informática básica internet
Informática básica internetInformática básica internet
Informática básica internet
 
Aula 01 Revisão
Aula 01 RevisãoAula 01 Revisão
Aula 01 Revisão
 
Ihc interface humano computador
Ihc interface humano computadorIhc interface humano computador
Ihc interface humano computador
 
Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02Introdução a engenharia de software aula 02
Introdução a engenharia de software aula 02
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01
 
Diagramas de casos de uso - aula 2
Diagramas de casos de uso - aula 2Diagramas de casos de uso - aula 2
Diagramas de casos de uso - aula 2
 

Kürzlich hochgeladen

Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....LuizHenriquedeAlmeid6
 
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdfPROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdfHELENO FAVACHO
 
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxSlides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxLuizHenriquedeAlmeid6
 
About Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de HotéisAbout Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de Hotéisines09cachapa
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...azulassessoria9
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteVanessaCavalcante37
 
INTERVENÇÃO PARÁ - Formação de Professor
INTERVENÇÃO PARÁ - Formação de ProfessorINTERVENÇÃO PARÁ - Formação de Professor
INTERVENÇÃO PARÁ - Formação de ProfessorEdvanirCosta
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfHELENO FAVACHO
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSOLeloIurk1
 
Construção (C)erta - Nós Propomos! Sertã
Construção (C)erta - Nós Propomos! SertãConstrução (C)erta - Nós Propomos! Sertã
Construção (C)erta - Nós Propomos! SertãIlda Bicacro
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...azulassessoria9
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdfLeloIurk1
 
Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)ElliotFerreira
 
apostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médioapostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médiorosenilrucks
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfFrancisco Márcio Bezerra Oliveira
 
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTeoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTailsonSantos1
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Ilda Bicacro
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...Rosalina Simão Nunes
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇJaineCarolaineLima
 

Kürzlich hochgeladen (20)

Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
 
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdfPROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
 
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxSlides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
 
About Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de HotéisAbout Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de Hotéis
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
 
INTERVENÇÃO PARÁ - Formação de Professor
INTERVENÇÃO PARÁ - Formação de ProfessorINTERVENÇÃO PARÁ - Formação de Professor
INTERVENÇÃO PARÁ - Formação de Professor
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO
2° ANO - ENSINO FUNDAMENTAL ENSINO RELIGIOSO
 
Construção (C)erta - Nós Propomos! Sertã
Construção (C)erta - Nós Propomos! SertãConstrução (C)erta - Nós Propomos! Sertã
Construção (C)erta - Nós Propomos! Sertã
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
 
Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)
 
apostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médioapostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médio
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
 
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTeoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
 

BD Segurança

  • 1. Laboratório deLaboratório de Banco de DadosBanco de Dados Aula 02 - Segurança – Autorização Prof. Franklin M. Correia
  • 2. • Proteger o banco de dados contra pessoas não autorizadas • Envolve questões que incluem: o Questões legais, éticas e de direito ao acesso à informação; o Questões políticas a nível governamental, institucional ou corporativo; o Questões relacionadas ao nível do sistema (que funções de segurança devem ser implementadas?) o Necessidades das organizações relativas a níveis de segurança: (altamente confidencial (top secret), secreto (secret), confidencial (confidential) e não confidencial (unclassified)) Segurança - AutorizaçãoSegurança - Autorização
  • 3. • Objetivos da segurança (sob constante ameaça) o Perda de integridade – proteção contra modificação imprópria. A integridade é perdida a partir de modificações intencionais ou não; o Perda de disponibilidade – Manter o BD disponível para usuário ou programa que tem direito legítimo a ele; o Perda de confidencialidade – Proteção do BD contra divulgação não autorizada. Pode implicar em questões legais e também perda de confiança pública e constrangimentos. Segurança - AutorizaçãoSegurança - Autorização
  • 4. • Medidas para proteção do BD o Controle de acesso • Mecanismos de acesso discricionário • Mecanismos de acesso obrigatório (mandatory) o Controle de inferência • Segurança de BDs estatísticos o Controle de fluxo • Controlar o fluxo das informações o Criptografia Segurança - AutorizaçãoSegurança - Autorização
  • 5. • Papel do DBA o Concessão de privilégios a usuários autorizados o Classificação dos usuários e dados de acordo com a política da organização o Criação de contas o Revogação de privilégios o Atribuição de nível de segurança o Auditoria do banco de dados, a partir do LOG Segurança - AutorizaçãoSegurança - Autorização
  • 6. • Controle de acesso discricionário (concessão e revogação de privilégios) o Tipos de privilégios discricionários: • O nível de conta – privilégios que a conta tem, independente das relações existentes no BD o Pode incluir CREATE SCHEMA, CREATE TABLE, CREATE VIEW, DROP, etc. Se aplicam à conta de maneira genérica. • Nível de relações – O DBA pode controlar privilégio para acessar cada relação ou visão individual. o Especifica para cada usuário as relações individuais nas quais cada tipo de comando pode ser aplicado. Sempre é atribuída uma conta de proprietário. Quem possui a conta proprietário pode repassar privilégios, como Privilégio SELECT (para recuperação) ou MODIFY (para UPDATE). Segurança - AutorizaçãoSegurança - Autorização
  • 7. • Visões são mecanismo importante de autorização discricionário. • Privilégio discricionário são atribuídos normalmente através das instruções de DDL; o GRANT o REVOKE Segurança - AutorizaçãoSegurança - Autorização
  • 8. GRANT/REVOKE • Cada objeto do banco de dados tem um dono (owner), que é o seu criador • Apenas o criador ou dono pode acessar os objetos • SQL oferece um esquema de permissões através dos comandos Grant/Revoke Segurança - AutorizaçãoSegurança - Autorização
  • 9. GRANT Permissão de comandos DDL GRANT {comando} TO {usuário} Permissão de objeto GRANT {comando} ON {object} TO {usuário} [ WITH GRANT OPTION] - MS SQL Server – (colunas) após {object} - Oracle – (colunas) após {comando} Segurança - AutorizaçãoSegurança - Autorização
  • 10. REVOKE Retira os previlégios REVOKE {comando} ON {object} FROM {usuário} Segurança - AutorizaçãoSegurança - Autorização
  • 11. GRANT (exemplos) grant alter tables to as01equipe01; grant select, insert, update, delete on empregado to as01equipe01; grant all on empregado to as01equipe01; grant select on empregado (nome, codproj) to public; (SQL Server) grant select (nome, coddepart) on empregado to public; (ORACLE) OBS. GRANT sobre objetos promove a propagação de autorizações Segurança - AutorizaçãoSegurança - Autorização
  • 12. REVOKE (exemplos) revoke delete on empregado from as01equipe01; revoke all on empregado from anderson; revoke all on empregado from public; Segurança - AutorizaçãoSegurança - Autorização
  • 13. • Mecanismos de acesso obrigatório (mandatory) o Ainda não comum nos SGBDs atuais, mais comuns em ambientes de segurança multinível. o Estabelece classes como top secret (AS), secret (S), confidential (C) e unclassified (NC), onde AS é o nível mais alto. o Classifica cada sujeito (usuário, conta, programa) e objeto (relação, tupla, coluna, visão, operação) em uma classificação: • Propriedade de segurança simples - Um sujeito S não tem permissão de acesso sobre um objeto O a menos que sua classe(S) >= Classe(O). • Propriedade estrela – Um sujeito S não tem permissão de escrever um objeto O a menos que classe(S) <= classe(O) – evita que informações fluam para classificações mais baixas que a do sujeito. Segurança - AutorizaçãoSegurança - Autorização
  • 14. • Políticas de Controle de acesso para e-Commerce e para Web o Mecanismo deve ser flexível para dar suporte a um amplo espectro de objetos heterogêneos o As políticas de controle devem permitir a inclusão de condições baseadas no conteúdo do objeto o As políticas devem levar em consideração os perfis de usuários e dr suporte à noção de credenciais. Um credencial é um conjunto de propriedades referentes a um usuário que são relevantes para o propósito de segurança (ex. idade, posição na organização, etc). o Política de segurança a ser melhor estudada, juntamente com XML. Segurança - AutorizaçãoSegurança - Autorização
  • 15. • Segurança em BDs estatísticos o Não podem permitir acesso a dados individuais. o Devem permitir acesso apenas a consultas que envolvem consultas estatísticas como: COUNT, SUM, MIN, MAX, etc. o Precisa-se ter cuidado, pois através de consultas estatísticas, indiretamente pode-se ter acesso a dados (através do WNERE). Segurança - AutorizaçãoSegurança - Autorização
  • 16. • Controle de Fluxo o A transferência de informação de um remetente para um destinatário somente é permitida se a classe de segurança do receptor for pelo menos tão privilegiada quanto a classe do remetente. o Política de fluxo – especifica os canais pelos quais a informação pode se mover. o Exemplo usando a mais simples: Confidencial (C) e não confidencial (NC), permite todos os fluxos, exceto de C para NC. o Canais secretos (covert channel) – Permitem uma transferência de um nível de classificação mais alto para um mais baixo por meios indevidos. Precisam ser controlados e evitados. Segurança - AutorizaçãoSegurança - Autorização
  • 17. • Criptografia e chave pública o Mesmo o intruso tendo acesso ao dado, não deve poder decodificá-lo. o Consiste em aplicar um algoritmo de criptografia. o Utiliza-se uma chave de criptografia e uma de decriptografia. o Padrão mais comum é o DES – Data Encryption Standard, desenvolvido pelo governo americano. o Criptografia de chave pública – Apresentada em 1976 por Diffie e Hellman. • Consiste de 2 chaves para codificação-decodificação • Se uma for usada para cifrar, a outra é usada para decifrar. • Se um remetente quiser enviar uma mensagem, ele cifra a mensagem com a chave pública do destinatário. • É baseado em funções matemáticas em vez de operações sobre modelos de bits. Segurança - AutorizaçãoSegurança - Autorização