Segurança e Autorização em Banco de Dados

1. CONTROLE DE ACESSO DISCRICIONÁRIO BASEADO NA CONCESSÃO E NA REVOGAÇÃO DE PRIVILÉGIOS

1.1. Privilégios Discricionários.

1.1.1. O conceito de um identificador de autorização é usado para referenciar uma conta de usuário (ou grupo de contas de usuário).

1.1.2. Tipos

1.1.2.1. Nível de conta

1.1.2.1.1. Nesse nível, o DBA estabelece os privilégios específicos que cada conta tem, independentemente das relações no banco de dados.

1.1.2.2. Nível de relação

1.1.2.2.1. Nesse nível, o DBA pode controlar o privilégio para acessar cada relação ou visão individual no banco de dados.

1.2. Especificando Privilégios Usando Visões

1.2.1. Visões é um importante mecanismo de autorização discricionário em seu próprio direito.

1.3. Revogação de Privilégios

1.3.1. Em alguns casos é desejável conceder um privilégio a um usuário temporariamente.

2. Referencia: Sistema+de+Banco+de+Dados

3. CONTROLE DE ACESSO OBRIGATÓRIO E CONTROLE DE ACESSO BASEADO EM PAPÉIS PARA SEGURANÇA MULTINÍVEL

3.1. Conceito

3.1.1. A técnica de controle de acesso discricionário de concessão e revogação de privilégios sobre relações tradicionalmente tem sido o principal mecanismo de segurança para sistemas de banco de dados relacional.

3.1.1.1. Esse é um método tudo ou nada: ou um usuário possui ou não possui um certo privilégio.

3.2. É importante observar que atualmente a maioria dos SGBDs comerciais oferece mecanismos somente para controle de acesso discricionário. Entretanto, a necessidade de segurança multinível existe em aplicações governamentais, militares e de inteligência, assim como em muitas aplicações industriais e corporativas.

3.2.1. As classes de segurança típicas são altamente secretas (top secret) (AS), secretas (secret) (S), confidenciais (confidential) (C) e não confidenciais (unclassified) (NC), em que AS é o nível mais alto e NC é o mais baixo.

3.2.1.1. Existem outros esquemas de classificação de segurança mais complexos, nos quais as classes de segurança são organizadas em uma escala. Para simplificar, usaremos o sistema com quatro níveis de classificação de segurança, no qual AS >S >C >NC.

3.3. Topicos

3.3.1. Comparação Entre Controle de Acesso Discricionário e Controle de Acesso Obrigatório

3.3.1.1. As políticas de Controle de Acesso Discricionário (CAD) são caracterizadas por um alto grau de flexibilidade, que as torna adequadas para uma grande variedade de domínios de aplicação.

3.3.1.1.1. A principal desvantagem dos modelos CAD são as suas vul-nerabilidades a ataques maliciosos, como os cavalos de Tróia embutidos em programas de aplicação.

3.3.1.2. as políticas obrigatórias têm a desvantagem de ser muito rígidas na medida em que e: gem uma classificação meticulosa dos sujeitos e dos objetos em níveis de segurança e, portanto, são aplicáveis a muito poucas ambientes.

3.3.2. Controle de Acesso Baseado em Papéis

3.3.2.1. O Controle de Acesso Baseado em Papéis (CABP) como uma tecnologia comprova para o gerenciamento da imposição de segurança em sistemas de grande escala que abrangem toda a organização.

3.3.2.1.1. Sua noção básica é que as permissões são associadas a papéis, e aos usuários são atribuídos papéis adequados.

3.3.2.1.2. A hierarquia de papéis no CABP é uma maneira natural de organizar os papéis para refletir as linhas de autoridade e responsabilidade da organização.

3.3.2.2. Os modelos CABP possuem diversas características desejáveis, como flexibilidade, neutralidade de política, melhor suporte ao gerenciamento e à administração de segurança, e outros aspectos que os tornam candidatos atrativos para o desenvolvimento de aplicações seguras baseadas na Web.

3.3.3. Políticas de Controle de Acesso para E-Commerce e Para a Web

3.3.3.1. banco de dados, o controle de acesso é realizado geralmente usando um conjunto de autorizações determinadas por funci nários de segurança ou por usuários de acordo com algumas políticas da segurança.

4. INTRODUÇÃO ÀS QUESTÕES DE SEGURANÇA EM BANCOS DE DADOS

4.1. Tipos de Segurança

4.1.1. Questões legais e éticas referentes ao direito de acesso a certas informações.

4.1.2. Questões políticas nos níveis governamental, institucional ou corporativo.

4.1.3. Questões relacionadas ao sistema.

4.1.4. As necessidades em algumas organizações de identificar múltiplos níveis de segurança e em categorizar os dados e usuários com base nessas classificações.

4.1.5. Ameaças aos Bancos de Dados.

4.1.5.1. Tipos

4.1.5.1.1. Perda de integridade

4.1.5.1.2. Perda de disponibilidade

4.1.5.1.3. Perda de confidencialidade

4.1.5.2. Para proteger o banco de dados contra esses tipos de ameaças, quatro tipos de medidas podem ser implementadas:

4.1.5.2.1. Controle de acesso, Controle de inferência, Controle de fluxo e criptografia

4.1.6. Mecanismos de segurança de bancos de dados

4.1.6.1. Tipos

4.1.6.1.1. Mecanismos de acesso discricionário.

4.1.6.1.2. Mecanismos de acesso obrigatório.

4.2. Segurança de Banco de Dados e o DBA

4.2.1. o administrador do banco de dados (DBA) é a autoridade principal para o gerenciamento de um sistema de banco de dados.

4.2.2. Inclui a concessão de privilégios a usuários que precisam utilizar o sistema e a classificação de usuários e dados de acordo com a política da organização. Inclui comandos para conceder e revogar privilégi os para contas individuais de usuários ou de grupos de usuários

4.2.2.1. Criação de contas.

4.2.2.1.1. Cria uma nova conta e senha para um usuário ou um grupo de usuários para habilitar o acesso ao SGBD.

4.2.2.2. Concessão de privilégio.

4.2.2.2.1. Permite ao DBA conceder certos privilégios a certas contas.

4.2.2.3. Revogação de privilégios.

4.2.2.3.1. Permite que o DBA revogue (cancele) certos privilégios que foram concedidos anteriormente a certas contas.

4.2.2.4. Atribuição de nível de segurança.

4.2.2.4.1. Consiste em atribuir as contas de usuários ao nível de classificação de segurança adequado.

4.3. Proteção de Acesso, Contas de Usuários e Auditoria de Banco de Dados.

4.3.1. Proteção de Acesso para o usuário se houver uma necessidade legítima de acessar o banco de dados.

4.3.2. Contas de Usuário para manter informações dos usuários do banco de dados e de suas contas e senhas por meio da criação de uma tabela.

4.3.3. Se houver alguma suspeita de adulteração no banco de dados, pode-se realizar uma auditoria de banco de dados