Segurança de Sistemas de Bancos de Dados U2S3 - ATIVIDADE DE APRENDIZAGEM

Segurança de Sistemas de Bancos de Dados U2S3 - ATIVIDADE DE APRENDIZAGEM

Segundo Perallis (2015), entre as dez principais causas de ataques a bancos de dados no ano de 2015, as duas que ocupam as posições principais dizem respeito a privilégios. São elas:

1- Privilégios excessivos ou esquecidos

2- Abuso de privilégios concedidos

Observe a lista a seguir:

(   ) – Funcionário do setor de RH entra no sistema com as próprias credenciais e faz uma alteração no cadastro de clientes de um banco.

(     ) – Funcionário que mudou do setor de cobrança para o setor comercial usa as credenciais de acesso para acessar o preço na proposta da empresa “A” a fim de ajudar a empresa “B” a ganhar uma concorrência, pois os donos são seus amigos.

(     ) – Ex-funcionário entra no sistema e copia todo o cadastro de clientes.

(     ) – Consultor entra no sistema e copia todo o cadastro de clientes, sem que esta ação seja necessária para prestar o serviço para o qual foi contratado.

Usando “E” para privilégios excessivos ou esquecidos, e “A” para abuso de privilégio, assinale a alternativa que apresenta a sequência correta para as situações acima:

Escolha uma:

a. A-A-E-A.

b. E-A-A-E.

c. A-E-E-A.

d. E-E-E-A.

e. A-A-E-E.

A atribuição de privilégios de conexão com o banco de dados permite que um usuário se conecte com o banco de dados, e nele realize as ações que tem (ou terá) privilégios a realizar. Exemplo de concessão de privilégio para que o usuário “Usuario3” se conecte com o contexto de banco de dados sendo administrado por quem emite o comando GRANT:

GRANT CONNECT Usuario3;

Entre os vários módulos funcionais que compõem o SQL, qual deles é responsável pela concessão e revogação de privilégios?

Escolha uma:

a. DTL – Data Transaction Language, ou linguagem de transação de dados.

b. DDL – Data Definition Language, ou linguagem de definição de dados.

c. SQL – Structured Query Language, ou linguagem estruturada de consultas.

d. DML – Data Manipulation Language, ou linguagem de manipulação de dados.

e. DCL – Data Control Language, ou linguagem de controle de dados.

Na visão de Azevedo Filho e Costa (2008), podemos observar que o servidor SQL encontra- se geralmente protegido por nada menos que dois firewalls (um firewall de perímetro e um firewall interno). Ou seja: há uma preocupação grande e constante com a segurança do servidor de bancos de dados.

Em que pese haver vários pontos possíveis de ataque em uma infraestrutura de bancos de dados, dois destes elementos propiciam ataques potenciais às permissões. Assinale a alternativa que contém estes dois elementos:

Escolha uma:

a. Servidor Web e Firewall Externo.

b. Firewall Externo e Firewall Interno.

c. Aplicativos Web e Servidor SQL.

d. Servidor Web e Firewall Interno.

e. Firewall Externo e Servidor SQL.