Baixe o app para aproveitar ainda mais
Prévia do material em texto
WBA0473_v1.0 SEGURANÇA E AUDITORIA EM BANCO DE DADOS APRENDIZAGEM EM FOCO 2 APRESENTAÇÃO DA DISCIPLINA Autoria: Washington H. C. Almeida Leitura crítica: Marcelo Ramillo A disciplina de Segurança e Auditoria em Banco de Dados versa sobre aspectos fundamentais para garantia da operação dos bancos de dados e seu bom funcionamento. A segurança do banco de dados é um fator primordial para manter as informações de forma íntegra. Quando o assunto é segurança, é importante lembrar que não será apenas o suficiente garantir que ninguém possa invadir e coletar informações, mas também assegurar a possibilidade de recuperação do banco de dados o mais rápido possível após uma falha grave. Para garantir os recursos de disponibilidade, a segurança e a auditoria precisam estar perfeitamente alinhadas. Interrupções causam impactos nos negócios, perda de confiança do cliente, custos legais e multas regulatórias que poderão comprometer o destino de uma empresa. Um papel importante dentro da organização é o DBA – administrador de base de dados. Nesta disciplina, entenderemos quais suas atribuições e responsabilidades. Além disso, será apresentada a importância de auditorias em banco de dados em seus inúmeros aspectos, com objetivo final de salvaguarda da informação de maneira efetiva. Resumidamente, os tópicos trabalhados são: Tema 1: Gerenciamento de usuários e seus privilégios. Tema 2: Controle de bloqueios em transações: locks. Tema 3: Políticas de backup e recovery de banco de dados. 3 Tema 4: Aplicação de auditorias em banco de dados. O objetivo é prepará-lo para extrair os recursos que o SGDB oferece para criar uma forma de gerenciamento atuante e seguro. Na temática de gerenciamento de usuários e privilégios, são definidos mecanismos e controles atinentes à gestão e ao controle de acesso, visando a garantia da segurança da informação nos seus três (3) aspectos primordiais, que são a confidencialidade, integridade e disponibilidade. No tema de controle de transações, são apresentadas características dos SGBD relacionais e as propriedades de uma transação, além de demonstrar os cenários e tipos de bloqueios que podem ser implementados. Na disciplina, também serão apresentados os temas de backup e recovery e a importância da definição de políticas de backups para sobrevivência de uma instituição nos cenários de falhas. E para finalizar nossos estudos, demonstraremos a relevância das auditorias e como elas podem ser importantes em diversos cenários que acabam por ocorrer nas organizações no dia a dia. INTRODUÇÃO Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira direta e assertiva, os principais conceitos inerentes à temática abordada na disciplina. Além disso, também pretende provocar reflexões que estimulem a aplicação da teoria na prática profissional. Vem conosco! TEMA 1 Gerenciamento de usuários e seus privilégios ______________________________________________________________ Autoria: Washington Henrique Carvalho Almeida Leitura crítica: Marcelo Ramillo 5 DIRETO AO PONTO O gerenciamento de usuários e seus privilégios são conceitos relevantes relativos à segurança de bancos de dados. Ressalta-se a importância dos princípios da segurança da informação elencados que são: integridade, confidencialidade e disponibilidade. A confidencialidade garante, de forma eficiente, acesso às informações somente a pessoas autorizadas. A integridade relaciona-se à alteração da informação, isto é, ela somente pode ser modificada por pessoas que se apresentam autorizadas. Por fim, a disponibilidade garante que a informação apresentar- se-á sempre disponível para as pessoas que estão autorizadas, isto é, tenham acesso a ela sempre que necessário. Esses princípios são inerentes às questões que a segurança de dados tenta solucionar: questões éticas, sociais e políticas. Figura 1 – CID – Confidencialidade, integridade e disponibilidade Fonte: elaborada pela autora. 6 No esquema anterior, demostramos a importância dos princípios da segurança da informação: confidencialidade, integridade e disponibilidade.; Referências bibliográficas DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. PARA SABER MAIS Aqui neste tópico, é demonstrada a importância da segurança de dados nas empresas e organizações. Os ataques à segurança da informação, muitas vezes, têm o intuito de obter dados sigilosos por pessoas más intencionadas que podem, por exemplo, fazer: abertura de conta bancária, compra de bens, utilização dos dados para golpes, compras com cartão de crédito, etc. Esses são alguns exemplos que acontecem quando uma pessoa não autorizada obtém informações sigilosas. Como já dizia o velho ditado: “Quem tem conhecimento/ informação/dados tem poder”, imaginemos agora quem está com esse banco de dados imenso e o que pode realizar com essas informações. Por isso são necessários conhecimentos técnicos para a administração do banco de dados e dos comandos SQL adequados, pois as aplicações consultam base de dados e, por consequência, os dados são administrados por esses softwares chamados SGBD. Os principais comandos estudados são o GRANT e o REVOKE. O Quadro 2 apresenta alguns detalhes desses comandos. 7 Quadro 2 – Comandos GRANT e REVOKE Comando Objetivo Sintaxe GRANT Conceder privilégios sobre uma tabela para um usuário ou uma lista de usuários. GRANT {PRIVILÉGIOS | ALL PRIVILEGES} ON { TABELA | VISÃO | ROTINA} TO { USUÁRIOS } [WITH GRANT OPTION] – esse comando entre [] é opcional, passa os privilégios do usuário que está dando as permissões para o usuário ao qual está sendo concedida, assim ele poderá, futuramente, conceder privilégios nos objetos do banco que possui permissão de acesso. REVOKE Remove privilégios sobre uma tabela para um usuário ou uma lista de usuários. REVOKE { PRIVILÉGIOS | ALL PRIVILEGES } ON { TABELA | VISÃO | ROTINA} FROM { USUÁRIOS } Fonte: elaborado pelo autor. Referências bibliográficas FLORENTINO, P. T. Gerenciamento e desenvolvimento em banco de dados. Londrina: Editora e Distribuidora Educacional S.A., 2018. 8 TEORIA EM PRÁTICA Reflita sobre a seguinte situação: você vai assumir a função de DBA em uma organização e dentro de suas atribuições está o controle de acesso aos usuários do banco de dados. Como expert no assunto, você conhece todos os comandos SQL necessários, mas, além disso, como você organizaria os usuários pensando que se trata de uma instituição que presta serviços com alta rotatividade dos profissionais e, basicamente, existem três tipos de colaboradores: funcionários da casa, terceirizados e estagiários? Qual a melhor forma de estabelecer critérios para solução de acessos a estes profissionais? Na sua visão, como deveriam ser concedidos os privilégios em um banco de dados? As permissões deverão ser de níveis discricionários ou obrigatórios? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Recomenda-se a leitura dos capítulos 1 e 2 do livro Gerenciamento e desenvolvimento em banco de dados, que descrevem uma análise técnica sobre como o controle de acesso em sistemas gerenciadores de banco de dados são implantados, quais suas vantagens e vulnerabilidades e como atendem às necessidades de uma política de segurança. O trabalho inicia com o levantamento sobre os princípios da segurança da informação, em seguida, apresenta os detalhes sobre o controle de acesso em banco Indicações de leitura 9 de dados. Apesar de o trabalho ser realizado tomando como base o padrão SQL, o autor foca no assunto da leitura digital, isto é, nos princípios da segurança da informação: integridade, confidencialidade e disponibilidade, e, principalmente, nos controles de acesso em SGBD e privilégios (concessão e revogação de privilégios), controle de acessobaseado em papéis (grupos ou perfis de usuários), controle de acesso obrigatório e controle de acesso discricionário) Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. FLORENTINO, P. T. Gerenciamento e desenvolvimento em banco de dados. Londrina: Editora e Distribuidora Educacional S.A., 2018. Indicação 2 O capítulo 17 – “Segurança de banco de dados” do livro Introdução a sistemas de banco de dados, do professor C. J. Date, traz uma visão sucinta dos recursos SQL, demonstrando a importância dos aspectos independente do SQL que se apresentam envolvidos; são eles o mecanismo da visão, que tem como objetivo esconder dados de usuários não autorizados, e o subsistema de autorização gerencia as permissões aos usuários específicos, concedendo de forma seletiva e dinâmica ou revogando assim quando achar necessário. Também mostra definições de GRANT e REVOKE. Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003.. 10 Lorem ipsum dolor sit amet Autoria: Nome do autor da disciplina Leitura crítica: Nome do autor da disciplina QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. A segurança de dados, ou o termo mais amplo segurança da informação, tem princípios básicos, sendo que a quebra de um deles gera um incidente de segurança e pode comprometer todo um banco de dados. Quais são esses princípios? a. Predição, competitividade, confidencialidade. b. Integridade, disponibilidade, confidencialidade. c. Legalidade, competitividade, disponibilidade. d. Integridade, legalidade, confidencialidade. e. Autoridade, controle e gestão. 2. Os bancos de dados ou os sistemas gerenciadores de banco de dados – SGBD implementam medidas de controles citadas por diversos autores referências na área. Quais são esses tipos de controle? a. Controle semântico, de objeto, de fluxo e criptografia de dados. 11 b. Controle de acesso, de inferência, de objeto e criptografia de dados. c. Controle de acesso, de inferência, de fluxo e auditoria. d. Controle de acesso, de inferência, auditoria e criptografia de dados. e. Controle de acesso, de inferência, de fluxo e criptografia de dados. GABARITO Questão 1 - Resposta B Resolução: São três princípios da segurança de dados: integridade, disponibilidade e confidencialidade. Segue a definição de cada um: Confidencialidade: garantir que a informação se apresente acessível somente as pessoas que possuem autorização para acessá-la. Integridade: somente as pessoas autorizadas podem alterar a informação. Disponibilidade: garantir que as pessoas autorizadas tenham acesso àquela informação quando quiserem, isto é, quando acharem necessário a qualquer tempo. Questão 2 - Resposta E Resolução: Elmasri e Navathe (2006) cita que são basicamente quatro tipos de medidas de controle que possuem o objetivo de fornecer segurança nos bancos de dados: controle de acesso, de inferência, de fluxo e criptografia de dados ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. TEMA 2 Controle de bloqueio em transações: locks ______________________________________________________________ Autoria: Washington Henrique de Carvalho Almeida Leitura crítica: Marcelo Ramillo 13 DIRETO AO PONTO Caro aluno, o direto ao ponto desta seção visa explorar o assunto controle e bloqueio de transações. Você deve estar se perguntando em qual situação esta funcionalidade se apresenta na sua vida profissional ou até mesmo pessoal. Você partirá das seguintes situações: em uma compra, adquirindo o produto, será necessário realizar um update na tabela estoque, efetuando a baixa do produto que você adquiriu. Mas qual seria a reação do SGDB caso houvesse apenas um item no estoque e estivessem sendo realizadas duas vendas ao mesmo tempo para este mesmo produto? Qual transação terá prioridade? Você, como DBA, como responderia a esta pergunta? Abordaremos aqui os conceitos de cada uma das propriedades citadas, a saber: • Atomicidade: todas as alterações são realizadas (incluídas no banco de dados) ou nenhuma alteração é realizada no banco. Explicando de forma mais simples, não há meio- termo nessa propriedade, é tudo ou nada, não há inclusão de parte da alteração concernente à transação, ou inclui tudo no banco ou não inclui nada. • Consistência: após todas as alterações realizadas no banco de dados, este continua consistente. • Durabilidade: após a confirmação, isto é, o commit, as alterações realizadas pela transação devem permanecer no banco de dados de maneira durável, ou seja, os dados nunca serão perdidos. 14 • Isolamento: quando existe uma transação, ela é invisível para as demais, sendo isolada com o intuito de que essas alterações sejam realizadas com sucesso. Figura 1 – Propriedades da transação Fonte: elaborada pelo autor. A figura mostra a definição sucinta de cada propriedade da transação; sem essas propriedades, possivelmente, as atualizações/alterações da transação não ocorreriam com sucesso e falhas graves no SBGD seriam comuns. Referências bibliográficas DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. 15 PARA SABER MAIS Ressalto que o assunto: controle de concorrência entre transações em banco de dados tem como objetivo controlar o acesso aos dados, isso significa que, se a mesma informação for acessada por vários usuários diferentes no BD, deve ser realizado o controle entre as transações. Outro ponto a ressaltar aqui é a importância das propriedades da transação atinente ao assunto controle de bloqueio em transações: • Atomicidade. • Consistência. • Durabilidade. • Isolamento. A definição tanto do controle binário como do controle exclusivo e compartilhado, iremos definir os controles citados anteriormente, a saber: • Controle binário: esse controle possui dois estados, bloqueado e desbloqueado. Quando bloqueado, o item solicitado não pode ser acessado, ao contrário do desbloqueado, que pode ser acessado se solicitado. As operações desse controle são: lock_item (X) e unlock_item (X) • Controle compartilhado: sucintamente falando, o controle compartilhado é utilizado para leitura por meio da operação read lock. • Controle exclusivo: resumindo de forma simples, o controle exclusivo é utilizado para gravação por meio da operação write lock. 16 Referências bibliográficas DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. TEORIA EM PRÁTICA Reflita sobre a seguinte situação: imagine um sistema de conta corrente, em que são realizadas inúmeras transações por segundo. Como ocorreriam essas transações caso não fossem utilizadas técnicas de bloqueio ou características de um SGBD relacional, que garante o Acid (lembra dessa sigla?)? Nunca o esqueça, pois, se no seu dia a dia, na realização de transferências bancárias, o dinheiro a ser transferido é sacado de uma conta e depois depositado em outra, isso é garantido por essas características. Pense, então, como seriam os bloqueios necessários para garantir que vários saques de uma conta e transferências não acabassem por deixar o saldo final da conta inconsistente por problemas na atomicidade da transação, por exemplo. Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoriaem Prática no ambiente de aprendizagem. 17 LEITURA FUNDAMENTAL Indicação 1 O capítulo 22 – “Técnicas de controle de concorrência”, especificamente o item 22.1 – “Técnicas de bloqueio em duas fases para controle de concorrência”, demostra a conceituação dos tipos de bloqueio: binário compartilhado e exclusivo, bem como usa importância, ademais, esse item trata das operações relacionadas a cada tipo de bloqueio. Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. Indicação 2 Outro livro de suma importância para quem quer aprender banco de dados é o Introdução a sistemas de banco de dados, especificamente o item 15.3 – “Recuperação de transação”. Neste item, o autor explica as quatro propriedades da transação (atomicidade, isolamento, consistência e durabilidade), bem como a importância dessas propriedades. Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. Indicações de leitura 18 QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Qual operação está relacionada ao controle compartilhado de transação? a. Write lock. b. Create lock. c. Read lock. d. Unlock. e. Lock. 2. _______________: esse controle possui dois estados, bloqueado e desbloqueado. Quando bloqueado, o item solicitado não pode ser acessado, ao contrário do estado ________, que pode ser acessado se solicitado. As operações desse controle são: ____________ a. Controle binário; desbloqueado; lock_item (X) e write_item (X) b. Controle compartilhado; desbloqueado; lock_item (X) e unlock_item (X) 19 c. Controle exclusivo; desbloqueado; lock_item (X) e unlock_ item (X) d. Controle exclusivo; desbloqueado; read_item (X) e unlock_ item (X) e. Controle binário; desbloqueado; lock_item (X) e unlock_item (X)i GABARITO Questão 1 - Resposta C Resolução: A operação que se relaciona com o bloqueio compartilhado é read lock. Questão 2 - Resposta E • Resolução: Controle binário: esse controle possui dois estados, bloqueado e desbloqueado. Quando bloqueado, o item solicitado não pode ser acessado, ao contrário do estado desbloqueado, que pode ser acessado se solicitado. As operações desse controle são: lock_item (X) e unlock_item (X) TEMA 3 Políticas de backup e recovery de banco de dados ______________________________________________________________ Autoria: Washington Henrique de Carvalho Almeida Leitura crítica: Marcelo Ramillo 21 DIRETO AO PONTO A importância da política de backup e sua operacionalização de maneira sistemática e precisa trazem a garantia da possibilidade de recuperação em casos de desastres ou incidentes de segurança da informação. Deve-se lembrar que o objetivo principal da política é mitigar os riscos concernentes à perda de dados. O tratamento de riscos também é uma temática interessante, pois, na classificação da informação, várias estratégias de tratamento podem ser implementadas, já que o dispêndio de recursos financeiros para evitar um incidente pode ser muito alto e o valor da informação a ser preservada muita das vezes é menor que o custo de efetivação dos controles. Não podemos esquecer que há muitas perguntas a se fazer para ser garantido o sucesso de uma boa política de cópia de segurança, pois o custo financeiro de armazenar dados é alto. Algumas perguntas podem ser feitas para realizar uma política de backup efetiva: • Que dados a organização quer armazenar? • Com que frequência a cópia de segurança será realizada? • Qual a periodicidade da verificação dos backups? • Qual tipo de backup será realizado? • Quem são os responsáveis? • O armazenamento será na nuvem ou físico? Essas perguntas servem de base para a definição de diretrizes e elucidação do cenário a ser enfrentado. 22 Figura 1 – Insumos para uma boa política de backup Fonte: elaborado pelo autor. No esquema anterior, são apresentados alguns insumos básicos representativos para uma boa política de backup; nela precisa constar informações que busquem suprimir as questões norteadoras apresentadas, pois elas servirão de guia para a construção de um plano factível. Além disso outras informações relevantes podem e devem ser adicionadas a essa política, levando em consideração o contexto da organização, neste Direto ao Ponto, apresentamos um conjunto mínimo para nortear um bom planejamento. Referências bibliográficas DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. RODRIGUES, W. F. Análise dos procedimentos de backup dos institutos federais. 2017. Dissertação de Mestrado em Ciência da Computação. Universidade Federal de Pernambuco. 23 PARA SABER MAIS Para que seja entendida a importância das políticas de backup e a recuperação de banco de dados, vamos recordar o atentado às torres do World Trade Center (conhecido no Brasil como Torres Gêmeas). Em 11 de setembro de 2001, houve um atentado terrorista com vários ataques contra os Estados Unidos da América, especificamente ao Pentágono e às Torres Gêmeas. No prédio conhecido como Torres Gêmeas estavam hospedadas grandes empresas, como Morgan Stanley, Deutsche Bank AG, Cantor Fitzgerald entre outras. A Morgan Stanley era um banco de investimento que possuía, na época, aproximadamente 25 andares somados nas duas torres e cerca de 3.500 empregados. Imagine agora quantos dados eram gerados por essas empresas, será que elas realizavam backups? Qual a frequência desses backups (diário, semanal, quinzenal ou mensal)? Onde as cópias de segurança eram realizadas (na outra torre, ou no mesmo local, ou no prédio da esquina)? Quais os dados que eram copiados ( informações estratégicas, informações gerenciais ou informações operacionais ou todas as informações)? Percebe quantas perguntas podem ser feitas nesse caso emblemático? Assim é perceptível a importância de uma política de backup de banco de dados somente neste exemplo, pois poderiam ser elencados inúmeros outros, até mesmo casos brasileiros, como a explosão da Base de Alcântara no Maranhão, local de operação do programa espacial brasileiro, um caso trágico que resultou na morte de toda a equipe do projeto. 24 O fato curioso neste triste episódio do World Trade Center foi que a maioria das empresas que trabalhavam em uma torre realizavam suas cópias de segurança no edifício ao lado. Especialistas de TI dizem que esse atentado foi um caso atípico, pois quem imaginaria a destruição dos dois pre´diosem ataques coordenados num curto espaço de tempo? Assim, as empresas que realizavam suas cópias de segurança no imóvel ao lado perderam todas as suas informações e muitas acabaram indo à falência Referências bibliográficas DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003. ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. TEORIA EM PRÁTICA Reflita sobre a seguinte situação: você precisa definir uma política de backup para uma base de dados que é atualizada apenas uma vez por ano, esse caso é típico de um sistema para planejamento orçamentário, em que o trabalho é feito no começo do ano fiscal, que é definido entre o período de janeiro a março, além disso, após o fechamento do orçamento, os dados são enviados para outra base de dados externa e não é mais necessário ter na base local do sistema orçamentário o históricodos orçamentos dos anos anteriores, basta ser arquivada a proposta do ano vigente. Nesse cenário, qual seria a melhor política de backup a ser implementada na base de dados? Seria 25 necessária a retenção desse dado em mídias magnéticas para recuperação futura? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 No capítulo 23, tópico 7 – “Backup de recuperação de banco de dados contra falhas catastrófica”, é discorrido acerca da principal técnica utilizada para lidar com as falhas, que é o backup de banco de dados; nele são estabelecidos premissas que devem ser seguidas e casos em que as políticas devem ser implementadas. Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. Indicação 2 Outra opção de leitura é para os que gostam de meter a mão na massa. Nesta indicação é utilizado o banco de dados MySQL e, especificamente no seu capítulo 10, o aluno aprenderá a criar, exportar, importar banco de dados na prática, entendendo, assim, como são operacionalizadas as políticas de backup. Indicações de leitura 26 Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. CARVALHO, V. MySQL. Comece com o principal banco de dados open source do mercado. São Paulo: Casa do código, 2017. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Conforme estudado na aula, qual o tipo de backup em que os arquivos novos e modificados são atualizados, evitando todo o reprocessamento de dados de uma base? a. Total. b. Completo. c. Full. d. Incremental. e. Diferencial. 2. Em caso de uma falha ______________ do sistema, a cópia de _______ mais recente pode ser recarregada da fita para o disco, e o sistema, reiniciado. 27 a. Catastrófica incremental; log. b. Catastrófica; log. c. Não catastrófica; backup. d. Não catastrófica; log. e. Catastrófica; backup. GABARITO Questão 1 - Resposta E Resolução: O backup incremental é o tipo de backup em que são atualizados somente os arquivos novos ou/e alterados. Questão 2 - Resposta E Resolução: No caso de uma falha catastrófica do sistema, a cópia de backup mais recente pode ser recarregada da fita para o disco, e o sistema, reiniciado. TEMA 4 Aplicação de auditoria em banco de dados ______________________________________________________________ Autoria: Washington Henrique de Carvalho Almeida Leitura crítica: Marcelo Ramillo 29 DIRETO AO PONTO Um ponto interessante abordado neste tema são os comandos descritos na linguagem do banco de dados no padrão SQL, tanto da Linguagem de Manipulação de Dados – DML como da Linguagem de Definição de Dados – DDL. Realizar auditoria por meio das regras é uma das formas mais simples para tornar o trabalho do auditor efetivo. Regras podem ser criadas e registradas no banco de dados por meio de tabela física. Esse tipo de auditoria pode ser utilizado com linguagem DDL e DML. O intuito é demonstrar exemplos dos principais operações das linguagens de banco de dados. Como já vimos na aula os exemplos dos comandos da Linguagem de Definição de Dados, agora partiremos para a demonstração da Linguagem de Manipulação de Dados – DML. Primeiro, conceda permissões a um usuário específico no banco de dados e depois execute esses comandos. • INSERT INSERT INTO nome_tabela VALUES (lista_dados) INSERT INTO aluno (Codigo, Idade, Nome, Disciplina) VALUES(1,27,”Washington Almeida”, “Segurança em Banco de Dados”); Obs. Lembrar que criamos uma tabela Aluno com os campos (Codigo, Idade, Nome do Aluno e Disciplina. 30 • UPDATE UPDATE nome_tabela SET CAMPO = “novo_valor” WHERE CONDIÇÃO; UPDATE aluno SET Disciplina = “XXXXXX” WHERE ID = 1; • DELETE DELETE FROM nome_tabela WHERE condição DELETE FROM aluno WHERE ID = 1 No MySQL, você pode consultar as permissões dos usuários no banco de dados chamado “mysql”, procure a tabela “tables_priv”. Para acessar o MySQL, você pode usar software como o HeidiSQL ou o Workbench, além do próprio console. Basta acessar o banco de dado “mysql” usando o comando USE mysql; e usar o comando SELECT para consultar os dados da tabela em questão, ficaria assim o comando: SELECT * from tables_priv. 31 Referências bibliográficas SILVA, L. A. et al. Mineração de dados em logs de auditoria como recurso no processo de ensino-aprendizagem em aulas práticas de banco de dados. In: CONGRESSO BRASILEIRO DE INFORMÁTICA NA EDUCAÇÃO, 5., 2016, Uberlândia. Anais [...]. Uberlândia: 2016. p. 901. PARA SABER MAIS Mais uma vez, demonstra-se que a auditoria de banco de dados realizada de forma correta pode proporcionar vários benefícios, como efetivo controle das operações e responsabilização, além da possibilidade de verificação dos usuários responsáveis pelas atividades desempenhadas no SGBD. Essa é a tendência, as empresas investirem na segurança em banco de dados e, por conseguinte, também em auditoria. Os temas de banco de dados, segurança em banco de dados e auditoria em dados são intimamente ligados. A segurança em banco de dados controla o acesso e o uso de banco de dados, já a auditoria verifica se os usuários estão fazendo o que devem fazer. A auditoria garante que os usuários autorizados não estejam acessando dados com intuito de executar operações que possam comprometer a organização. Muitos estudos demonstram que os incidentes de segurança da informação mais prejudiciais a uma instituição são os realizados por pessoas da própria organização que possuem acessos privilegiados e, por inúmeros motivos, como má-fé, usam desses privilégios para executar operações indevidas e até mesmos ilegais. Por isso a segregação de funções, algo 32 simples de ser implementado, é uma boa prática e até exigência legal em alguns ramos de mercado. Em resumo, ela prega que uma só pessoa não detenha totais privilégios para executar todas as operações, enquanto um concede privilégios em um banco, por exemplo, outro DBA audita se os privilégios concedidos seguiram as normas estabelecidas e se realmente foram liberados conforme registrado nas demandas. Uma das opções no mercado é a contratação de serviços na nuvem, onde os controles de auditoria são facilmente implementados pelas empresas fornecedoras. Procure sobre o tema nos sites das empresas Amazon e da Oracle. Referências bibliográficas RORATTO, R.; DIAS, E. D. Security information in production and operations: a study on audit trails in database systems. São Paulo: JISTEM-Journal of Information Systems and Technology Management, v. 11, n. 3, p. 717-734, 2014. Disponível em: https://doi. org/10.4301/S1807-17752014000300010. Acesso em: 6 nov. 2020. TEORIA EM PRÁTICA Reflita sobre a seguinte situação: você precisa realizar auditoria em bancos de dados de forma a registrar as operações sobre uma determinada tabela que possui dados críticos, como você pode fazer isso? Qual recursos o SGBD pode oferecer para o registro de todas as operações em um certo conjunto de dados? O que você faria para implementar esse controle? https://doi.org/10.4301/S1807-17752014000300010 https://doi.org/10.4301/S1807-17752014000300010 33 Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Leia o artigo de Eder Pazinatto intitulado “Auditoria em bancode dados com utilização de regras”. Esse trabalho mostra que os sistemas de gerenciamento de banco de dados – SGDB possuem recursos para implementação de técnicas de auditoria. Ademais, a importância de regras e log no que concerne à auditoria de banco dados Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. PAZINATTO, E. Auditoria em banco de dados com utilização de regras. Revista de Ciências Exatas e Tecnologia, Londrina, v. 5, n. 5, p. 91-100, 2010. Indicação 2 Outro trabalho bem interessante sobre auditoria de banco de dados apresenta-se descrito no artigo intitulado “Mineração de dados em logs de auditoria como recurso no processo de ensino-aprendizagem em aulas práticas de banco de dados”, que apresenta como proposta o uso de técnicas de mineração Indicações de leitura 34 de dados em arquivos de log (onde a auditoria armazena os registros). Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque pelo título da obra. SILVA, L. A. et al. Mineração de dados em logs de auditoria como recurso no processo de ensino-aprendizagem em aulas práticas de banco de dados. In: CONGRESSO BRASILEIRO DE INFORMÁTICA NA EDUCAÇÃO, 5., 2016, Uberlândia. Anais [...]. Sociedade Brasileira de Computação – SBC Uberlândia: 2016. p. 901. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. A auditoria em banco de dados possui grande importância para a organização. A maior parte das informações da organização está em banco de dados. Diante do exposto, qual alternativa define melhor a importância da auditoria de banco de dados? 35 a. Verificar o que os usuários estão fazendo por meio de um conjunto de procedimentos. b. Buscar melhoria no banco de dados. c. Classificar os dados pela sua criticidade. d. Armazenar informações dos computadores da organização. e. Solucionar conflito entre o DBA e o usuário. 2. A auditoria, de um modo geral, é utilizada para garantir que seus atos sejam transparentes e estejam em conformidade com as suas normas. Diante do relato, auditar significa: a. Deduzir. b. Questionar. c. Induzir, atrapalhar. d. Observar, questionar. e. Examinar, certificar. GABARITO Questão 1 - Resposta A Resolução: A importância de ter auditoria de banco de dados em uma organização é verificar o que os usuários estão fazendo por meio de um conjunto de procedimentos. Questão 2 - Resposta E Resolução: A palavra auditoria significa examinar e certificar. BONS ESTUDOS! Apresentação da disciplina Introdução TEMA 1 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 2 Direto ao ponto Teoria em prática Leitura fundamental Quiz Gabarito TEMA 3 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 4 Direto ao ponto Teoria em prática Leitura fundamental Quiz Gabarito Botão TEMA 5: TEMA 2: Botão 158: Botão TEMA4: Inicio 2: Botão TEMA 6: TEMA 3: Botão 159: Botão TEMA5: Inicio 3: Botão TEMA 7: TEMA 4: Botão 160: Botão TEMA6: Inicio 4: Botão TEMA 8: TEMA 5: Botão 161: Botão TEMA7: Inicio 5:
Compartilhar