Академический Документы
Профессиональный Документы
Культура Документы
ç a d e Banc
ra n
Segu
Da d o s
pe Le i te
Lui s Feli
ro fe ss or:
P
Contato
luisleite@recife.ifpe.edu.br
Professorluisleite.wordpress.com
Roteiro
Conceitos de Segurança da Informação;
Medidas de Controle em Banco de Dados;
Recuperação de Falhas;
Sql-Injection;
Segurança em Banco de Dados Livre;
Segurança em Banco de Dados Proprietário;
Curiosidades e Recomendações;
Exercício.
Bibliografia recomendada
d a
n ça
u r a
s e g ? ?
ue ç ã o
ra q m a
a o r
P inf
Conceitos de Segurança
Integridade:
●
Se refere ao objetivo de que a informação não sofrerá nenhum tipo de
alteração, mudança ou adição de seu conteúdo original.
Disponibilidade:
●
Garantia de que os dados estarão disponíveis no momento exato que
forem requisitados pelos usuários autorizados.
Princípios de Segurança da
Informação
Alguns dos principais motivos para se proteger uma
informação são:
●
Seu valor;
●
O impacto de sua ausência;
●
O impacto do uso não autorizado por terceiros;
●
A importância de sua existência e a relação de dependência
com a sua atividade.
(SÊMOLA, 2003)
Concessão de privilégios;
Revogação de privilégios;
Classificação dos usuários e dos dados de acordo com a
política organizacional e de segurança da instituição;
Criação de contas;
Atribuição de níveis de segurança;
Auditoria do banco de dados.
Controle de Acesso
GRANT/REVOKE
●
Cada objeto do banco de dados tem um owner que é seu
criador;
●
Apenas o criador pode acessar os objetos;
●
SQL oferece um esquema de permissões através dos
comandos GRANT e REVOKE
Controle de Acesso Discricionário
GRANT
●
Permissão de comandos:
●
GRANT {comando} to {usuario}
●
Permissão de objeto:
●
GRANT {comando} ON {object} to {usuario} [WITH
GRANT OPTION]
REVOKE
●
Retira privilégios:
●
REVOKE {comando} ON {object} FROM {usuario}
GRANT/REVOKE - Exemplos
n ?
c t io
n j e
L I
S Q
e é
qu
O
SQL Injection
Uso de dorks:
●
Inurl:.php?id=
testphp.vulnweb.com
●
Tentativa e erro.
É um problema de programação!!!
SQL Injection - Prevenção
Addslashes ou magic_quotes_gpc
●
$song_title = addslashes($_POST['song']);
Segurança contra falhas
Atomicidade
Consistência
Isolamento
Durabilidade
Acesso via rede MYSQL
Problemas de segurança em um
acesso via rede.
skip-networking.
Acesso via rede MYSQL –
Soluções
Permitir conexões aos usuários apenas
das máquinas de onde eles tem permissão
para acessar o banco (GRANT e
REVOKE).
SSL.
VPN.
ORACLE
ORACLE OEM:
●
Conjunto de ferramentas gráficas administrativas
que provêm meios para gerenciar uma ou mais base
de dados em um computador.
●
O oracle OEM é composto por:
●
Conjunto de ferramentas administrativas;
●
Um monitor de eventos;
●
Um agendador de tarefas;
●
Uma interface gráfica para o Recovery Manager
Tools
ORACLE
ORACLE
ORACLE OSS:
●
Pode ser utilizado para implementar uma estrutura
mais complexa de segurança de dados.
●
O OSS é composto por:
●
Autenticação de usuário através de credenciais
eletrônicas;
●
Assinatura Digital;
●
Single Sign On (SSO).
Curiosidades
HONDA;
MYSQL INJECTION;
PSN;
Ashley Madison
RSA!!!
Recomendações Finais
Utilizar Firewall.
Até a próxima aula.