UNIMINAS UM ESTUDO DAS VULNERABILIDADES EM BANCO DE DADOS PAULO CESAR CAMARGOS FERREIRA

Tamanho: px
Começar a partir da página:

Download "UNIMINAS UM ESTUDO DAS VULNERABILIDADES EM BANCO DE DADOS PAULO CESAR CAMARGOS FERREIRA"

Transcrição

1 UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA FACULDADE DE CIÊNCIAS APLICADAS DE MINAS Autrizada pela Prtaria n 577/2000 MEC, de 03/05/2000 BACHARELADO EM SISTEMAS DE INFORMAÇÃO UM ESTUDO DAS VULNERABILIDADES EM BANCO DE DADOS PAULO CESAR CAMARGOS FERREIRA Uberlândia 2009

2 PAULO CESAR CAMARGOS FERREIRA UM ESTUDO DAS VULNERABILIDADES EM BANCOS DE DADOS Trabalh de Final de curs submetid à cm parte ds requisits para a btençã d grau de Bacharel em Sistemas de Infrmaçã.. Orientadr: Prf. Francisc Jse Muller Uberlândia 2009

3 PAULO CESAR CAMARGOS FERREIRA UM ESTUDO DAS VULNERABILIDADES EM BANCOS DE DADOS Trabalh de Final de curs submetid à cm parte ds requisits para a btençã d grau de Bacharel em Sistemas de Infrmaçã. Orientadr: Prf. Francisc Jsé Muller Banca Examinadra: Uberlândia, dia 08 de Julh de Prf. Francisc Jsé Muller (Orientadr) Prfa. Dra. Kátia Lpes Silva Prf. Esp. Walten Martins Parreira Júnir Uberlândia 2009

4 À minha mãe, Venina, pr td amr e imens api na realizaçã desse snh, sfrend junt cmig a cada etapa cncluída.

5 AGRADECIMENTOS À Deus, pr me ajudar durante tda essa jrnada acadêmica e pr cnceder tantas maravilhas em minha vida, das quais uma delas se cncretiza neste mment. À meus pais, Alcides e Venina, pel api e incentiv durante tda minha vida e, principalmente, pr estar a meu lad ns mments mais difíceis, rientand-me e trcend para que mais uma etapa de minha vida acadêmica fsse cncretizada. Também a minha irmã, Lucilene, pr acreditar e apiar-me nas inúmeras situações difíceis que enfrentei. À meus familiares, que suberam cmpreender minhas ausências em tants mments, mas sempre festejaram cmig as cnquistas dessa fase. À minha namrada, Alessandra, pela cmpreensã e api ns mments finais de realizaçã desse trabalh. As prfessres da Uniminas pel cnheciment que me fi transmitid e que pssibilitu atingir minhas metas e cnquistas prfissinais. Em especial, a prfessr Francisc Muller, que me rientu e apntu s caminhs n desenvlviment desse trabalh.

6 RESUMO Cm avanç cada vez mair da tecnlgia mderna, vlume de infrmaçã gerad pr sistemas infrmatizads aumenta cnsideravelmente tds s dias. Muitas dessas infrmações sã armazenadas dentr de bancs de dads de empresas e pdem cnter dads vitais para a perenidade da rganizaçã. Em alguns cass, valr ds dads cntids nessas bases é descnhecid pelas próprias empresas, send que s custs pr esse descnheciment acabam send cntabilizads após um desastre u rub dessas infrmações. Garantir a segurança dessa infrmaçã, de md que esta nã seja danificada, rubada u perdida é uma das atribuições d administradr de banc de dads. Este trabalh tem cm bjetiv analisar as vulnerabilidades as quais um banc de dads de uma empresa estaria sujeit e descrever recmendações e medidas de segurança para garantir a integridade, cnfiabilidade e cnfidencialidade ds dads ali registrads. O trabalh abrda questões de segurança aplicáveis nas camadas física e lógica ds sistemas de gerenciament de bases de dads Oracle e SQL Server, send que muitas das recmendações sã universais para ambas as ferramentas, nã se atend a uma platafrma específica de sistema peracinal. Palavras Chave: Segurança, Banc de Dads, Vulnerabilidades, Medidas de Segurança.

7 ABSTRACT With the increasing advances in mdern technlgy, the vlume f infrmatin generated by systems increases cnsiderably every day. Many f these infrmatin are stred in databases f cmpanies and may cntain infrmatin vital t the survival f the rganizatin. In sme cases, the data value cntained in these databases is unknwn by the cmpanies themselves, and the csts fr that ignrance they are cunted after a disaster r theft f such infrmatin. Ensuring security f infrmatin, s that is nt damaged, lst r stlen is ne f the tasks f the database administratr. This wrk aims t analyze the vulnerabilities t which a database f a cmpany is subject and describe recmmendatins and security measures t ensure the integrity, reliability and cnfidentiality f the data recrded there. The wrk addresses issues f security fr the physical and lgical layers f database management systems Oracle and SQL Server, and many f the recmmendatins are universal fr bth tls are nt given a platfrm specific perating system. Keywrds: Security, Database, Vulnerabilities, Security Measures.

8 LISTA DE FIGURAS Figura 1 Freqüência de perda de infrmações nas empresas entrevistadas Figura 2 Principais ameaças e vulnerabilidades a servidr de banc de dads Figura 3 Tabelas n banc de dads Figura 4 Exempl de códig ASP.NET vulnerável à injeçã de SQL Figura 5 Representaçã de uma estrutura física de segurança Figura 6 Acess através de senha padrã d usuári System d Oracle Figura 7 Esclha d métd de autenticaçã durante instalaçã d SQL Server Figura 8 Usuári administradr d banc cm pçã para frçar plítica de senha d Windws ativada Figura 9 Usuári únic de tds s departaments para acess à base de dads Figura 10 Usuáris distints para cada departament acessar banc de dads Figura 11 Exempl de cnfiguraçã de usuári Oracle para instalaçã e utilizaçã d SGBD Oracle9i em sistemas peracinais Unix Figura 12 Privilégi padrã d grup BUILTIN\Administradres n SQL Server Figura 13 Grup Administradres d sistema peracinal e s respectivs membrs desse grup Figura 14 Demnstraçã de remçã d grup BUILTIN\Administradres Figura 15 Exempl de códig escrit em PHP Figura 16 Funçã PHP para validaçã de tips de variáveis Figura 17 Funçã PHP para validaçã de variáveis numéricas Figura 18 Exempl de códig ASP utilizand RegularExpressinValidatr. (Fnte: MSDN. 2005) Figura 19 Exempl de prcediment cm cdificaçã vulnerável Figura 20 Validaçã de SQL dinâmic através de SQLParameterCllectin. (Fnte: MSDN. 2005) Figura 21 Representaçã de uma plítica de backup full diári Figura 22 Representaçã de uma plítica de backup diária, cm 01 backup full (cmplet) e backups transacinais n decrrer d dia Figura 23 Representaçã de uma plítica de backup cm 02 backups full na semana, intercalads cm backups diferenciais ns demais dias e backups transacinais n decrrer de cada dia Figura 24 Tela de prpriedades d SQL Server apresentand a pçã de Failure marcada n AUDIT LEVEL

9 LISTA DE ABREVIATURAS E SÍMBOLOS ABNT - Assciaçã Brasileira de Nrmas Técnicas ASP Active Server Pages DBA Database Administratr DDL Data Definitin Language FTP File Transfer Prtcl IEC Internatinal Electrtechnical Cmmissin ISO - Internatinal Standards Organizatin PHP Persnal Hme Page: Hypertext Preprcessr SGBD Sistema Gerenciadr de Banc de Dads SMTP Simple Mail Transfer Prtcl VLAN Virtual Lcal Area Netwrk SQL Structured Query Language HP Hewlett Packard SCOM System Center Operatin Manager

10 SUMÁRIO 1 INTRODUÇÃO CENÁRIO ATUAL IDENTIFICAÇÃO DO PROBLEMA OBJETIVOS DO TRABALHO Objetiv Específic Objetiv Geral JUSTIFICATIVA PARA A PESQUISA ORGANIZAÇÃO DO TRABALHO FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NORMA BRASILEIRA PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Segurança física e d ambiente Segurança de equipaments Cntrle de acesss MONITORAMENTO AMEAÇAS À SEGURANÇA DO BANCO DE DADOS FUNDAMENTOS DE BANCO DE DADOS ESPIONAGEM NA REDE QUEBRA DE SENHA INCLUSÃO DE CÓDIGO SQL FALHAS DE SEGURANÇA NATIVAS ACESSO NÃO AUTORIZADO AO SERVIDOR VULNERABILIDADES DE CONFIGURAÇÃO DESASTRES NATURAIS MÉTODOS E PROCEDIMENTOS DE SEGURANÇA À BANCO DE DADOS SEGURANÇA FÍSICA Acess físic nã autrizad a servidr Segurança d equipament Desastres naturais FALHAS DE SEGURANÇA NATIVAS MÉTODOS DE AUTENTICAÇÃO DEFICIENTES Ataque de dicinári Ataque de frça bruta Autenticações deficientes em bancs de dads VULNERABILIDADES DE CONFIGURAÇÃO Remçã de usuáris e bancs de exempl VULNERABILIDADES DE APLICATIVOS Tratativas de segurança em PHP IMPORTÂNCIA DO BACKUP MONITORAMENTO DO BANCO AUDITORIA NO BANCO DE DADOS CONCLUSÃO PROPOSTAS DE TRABALHOS FUTUROS...73

11 10 1 INTRODUÇÃO 1.1 Cenári atual A tecnlgia mderna é a grande respnsável pela enrme quantidade de infrmaçã que é gerada tds s dias em várias partes d mund. Muitas dessas infrmações sã geradas pr sistemas infrmatizads e armazenadas em bases de dads de empresas, em sua mairia, as respnsáveis pr essas infrmações. Nestas bases de dads estã armazenadas, dependend da empresa e d negóci envlvid, as mais diversas infrmações cm dads de clientes e frnecedres; catálg de prduts; dads de transações e mvimentações financeiras; a vida financeira da empresa; histórics de tda a rganizaçã; dentre utras inúmeras infrmações. O valr que estas bases de dads representam para essas rganizações, às vezes, é descnhecid até pr elas próprias. Outras, só cnseguem mensurar esse valr cm mais precisã n mment em que suas infrmações, registradas nas bases de dads, sã perdidas u danificadas. Cm estas infrmações trnam-se cada vez mais valisas a cada minut em que estã send prcessadas, certas medidas de segurança devem ser adtadas nas bases de dads para garantir seu sigil, integridade e cnfiabilidade. Dessa frma, a rganizaçã garante a sua perenidade e a cntinuidade d negóci; cas cntrári, valr dessas bases de dads para a rganizaçã será entã cnhecid perante cálcul ds prejuízs gerads cm a perda das infrmações. Em um ambiente de banc de dads puc prtegid é pssível a invasã e rub de infrmações cm certa facilidade, pis estes nã pssuem sequer uma segurança bem implementada n nível da camada de banc de dads que impeça tal at. Sã também ambientes vulneráveis a situações de desastre físic e lógic; que nã pssuem dispsitivs para restauraçã d ambiente, bem cm nã pssuem estratégias para cntrlar intervenções diretas na base de dads.

12 11 Cm base nessa realidade, ideal seria que essas empresas buscassem prteger seus dads adtand mecanisms e plíticas de segurança cmputacinal, pis tais medidas visam impedir rub de dads, destruiçã da infrmaçã, ataques de crackers, acesss nã autrizads, dentre utrs. Definir regras de acess a ambiente de banc de dads, cm a utilizaçã de senhas bem elabradas; manter SGBD Sistema de Gerenciament de Base de Dads sempre atualizad, crrigind assim falhas de segurança; mnitrament d ambiente de banc de dads; a adçã de uma plítica de backup e restauraçã eficiente cm principal medida de segurança, que pssibilite reverter situações de perda u crrupçã de infrmações; tdas essas sã medidas imprtantes a serem cnsideradas n dia-a-dia de trabalh d administradr de banc de dads (d inglês, DBA Database Administratr) na tentativa de blindar a base de dads e garantir a segurança da infrmaçã. N entant, algumas empresas nã se atêm a esses detalhes tã imprtantes para a segurança e cntinuidade de seu negóci, trnand-se alv de ataques e crrend risc de ter seus dads rubads u destruíds pr um invasr. Inclusive, nem tdas as empresas pdem dispr de prfissinais de segurança da infrmaçã que pssam vir a implementar prteçã a ambiente cmputacinal. Nesse cntext, presente trabalh destina-se a apresentar falhas e vulnerabilidades genéricas em ambientes de bancs de dads que pdem vir a cmprmeter a segurança e cntinuidade d negóci da empresa, bem cm prpr estratégias e métds que visam frtalecer a segurança das infrmações presentes nas bases de dads da rganizaçã. 1.2 Identificaçã d prblema Cm cresciment das bases de dads dentr das empresas, devid a grande quantidade de infrmaçã prduzida cnstantemente, há uma necessidade de se adtar plíticas de segurança adequadas para prteger essas infrmações, que se trnam valisas às rganizações a cada minut.

13 12 Há uma série de requisits que devem ser bservads n mment de se dispnibilizar uma base de dads para utilizaçã. Sã medidas simples que acabam passand despercebidas n dia-a-dia das empresas, mas que nã deveriam ser ignradas, pis em situações adversas é que se percebe quant pderia ter sid feit para evitar tais prblemas. N entant, alguns prfissinais de infrmática descnhecem as sluções que pdem ser implementadas nesses ambientes que, de certa frma, sã crítics para negóci da empresa. Descnhecem que determinadas rtinas diárias devem ser bservadas, n intuit de pssibilitar uma análise criterisa em cass de falhas u fraudes n sistema; u mesm que determinads mecanisms de acess sã frágeis e passíveis de serem explrads pr algum invasr, pssibilitand rub u destruiçã de infrmações da base de dads. Uma análise dessas vulnerabilidades mais cmuns e genéricas se faz necessári para que DBA pssa adquirir cnheciment sbre estes métds e fragilidades que as bases de dads estã sujeitas, bem cm medidas para prteger ambiente de banc de dads da empresa da açã de pessas nã autrizadas. 1.3 Objetivs d trabalh Objetiv Específic O bjetiv deste trabalh é descrever sbre as vulnerabilidades existentes n ambiente de banc de dads e apresentar diferentes cnfigurações e medidas de segurança a serem aplicadas nesses ambientes, n intuit de se prteger as infrmações armazenadas dentr d banc de dads da rganizaçã Objetiv Geral O trabalh está fcad em auxiliar prfissinais de infrmática na descberta de vulnerabilidades e na implantaçã de estratégias de segurança para bancs de dads. Também, s prfissinais de banc de dads terã uma base de

14 13 infrmações frmatada sbre segurança em ambientes cmputacinais de banc de dads, de md que pssa facilitar na implantaçã de uma plítica de segurança eficiente em bases de dads Oracle e SQL Server. É cert que cada SGBD é diferente um d utr e que pssuem particularidades únicas, cada ambiente de uma determinada empresa é diferente de utra; prém, há diverss detalhes de segurança que estã presentes em qualquer ambiente e sã passíveis de implementaçã. Será descrit algumas ameaças a bancs de dads cm, pr exempl, a injeçã de SQL e acess extern nã autrizad a servidr. Pretendese também, apresentar uma abrdagem sbre fragilidade de senhas; métds de autenticaçã deficientes; falhas de segurança nativas (mais cnhecids cm bugs); a imprtância das atualizações de banc de dads (também cnhecids cm patches); a imprtância d backup, bem cm algumas ferramentas para mnitrament d ambiente cmputacinal. Este trabalh nã destina-se a fazer um cmparativ entre s SGBD s Oracle e SQL Server n que tange a medir qual dentre estes pssuem melhr sluçã de segurança, bem cm entre diferentes platafrmas de hardware u sftware. Enfim, este trabalh busca rientar prfissinal de infrmática na implantaçã de um ambiente de banc de dads segur e bem mnitrad, e também n cnheciment das ameaças a que suas bases de dads estã expstas n dia-a-dia, de md a garantir a segurança das infrmações ali armazenadas. 1.4 Justificativa para a pesquisa A principal justificativa para a realizaçã deste trabalh é apresentar prpstas de cnfiguraçã de um ambiente de banc de dads segur para a rganizaçã, basead n agrupament de artigs de especialistas e dcumentações ficiais de fabricantes de sistemas de gerenciament de banc de dads; uma vez que esses dcuments geralmente abrdam tecnlgias e serviçs específics, disperss um ds utrs e nã referenciam, de frma prática, um

15 14 ambiente de banc de dads de frma mais ampla. Implantar mecanisms de segurança eficazes n ambiente de banc de dads é um prcediment de extrema imprtância para as rganizações que desejam se precaver de perdas u desastres em suas bases de dads, pis estas sabem quant é imprtante tdas as infrmações que estã cntidas em seus repsitóris. Nã é smente um dad financeir da empresa, nem tampuc nme de seus clientes; é tda a estrutura d seu negóci que ali está armazenada. Dependend d mdel de negóci, a perda de infrmações significa perda imediata de receita para a empresa u prspecçã de nvs negócis futuramente. Neste sentid, presente trabalh ferecerá as prfissinais de infrmática, suprte n desenvlviment e implantaçã de prcediments de segurança adequads a seu ambiente de banc de dads; bter um mnitrament de tds s prcesss em execuçã, de md a pssibilitar auditrias futuras; rtinas de backup bem prgramadas, para pssibilitar a restauraçã d ambiente rapidamente e assim, causar menr impact e temp de indispnibilidade pssível n negóci da empresa; bem cm restringir acesss indesejads as servidres de banc de dads. Pr fim, destaca-se também a imprtância deste trabalh para mei acadêmic, pis existem pucs trabalhs acadêmics abrdand vulnerabilidades de sistemas cmputacinais de banc de dads e cntramedidas para prteçã desses ambientes cm um td. 1.5 Organizaçã d Trabalh N Capítul 2 sã apresentads cnceits imprtantes de banc de dads e também sbre segurança em um ambiente cmputacinal, cm destaque a ambiente de banc de dads. O cnheciment desses assunts se faz necessári para facilitar entendiment e cnfiguraçã desse tip de ambiente. O Capítul 3 irá apresentar s prblemas de segurança que devem ser bservads n mment da cnfiguraçã d ambiente cmputacinal de banc de dads; e mstrar as falhas de segurança que pderã danificar banc u

16 15 pssibilitar a btençã de infrmações sigilsas. O Capítul 4 irá abranger as prpstas e métds de segurança que pdem ser implementads para crrigir as vulnerabilidades n ambiente cmputacinal de banc de dads, bem cm mnitrament d banc, n intuit de cntrlar intervenções e prevenir prblemas. O Capítul 5 encerra este trabalh sintetizand tdas as prpstas levantadas, bem cm perspectivas de trabalhs futurs que pdem vir a cmplementar este.

17 16 2 FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO 2.1 Segurança da infrmaçã Cnfrme a Nrma ABNT NBR ISO/IEC 17799:2005 (2005, p.ix), a infrmaçã é um ativ imprtante e essencial para s negócis da empresa e precisa ser prtegid ds váris tips de ameaças existentes, de md a diminuir s riscs as negócis e maximizar retrn sbre s investiments e as prtunidades de negóci. Para tal é necessári sua implementaçã a partir de um cnjunt de cntrles adequads que envlvem plíticas, estruturas rganizacinais, prcediments e funções. Mesm após sua implantaçã, esse cnjunt de cntrles precisa ser auditad e melhrad para garantir a segurança da rganizaçã e cumpriment ds bjetivs d negóci, em cnjunt cm utrs prcesss da gestã de negóci. Estuds realizads pela McAfee e Datamnitr (COMPUTERWORLD, 2007) cm empresas de grande prte de td mund, apntaram que apenas 6% das empresas entrevistadas puderam afirmar cm certeza que nã tiveram prblemas cm perda de infrmações. Outr dad imprtante é a cnstataçã que cerca de 60% das entrevistadas tiveram cass de perda de dads em 2006 e 33% desses cass pderiam ter levad a empresa a fechar seu negóci. Levantu-se também que em países cm Estads Unids, que pssuem legislações para evitar perdas de dads e nível de cnscientizaçã das empresas seja elevad, e também na Alemanha, s índices de perda de dads fram s maires de tda a pesquisa. Os dads cnslidads da pesquisa sã apresentads na figura 2, em seqüência.

18 17 Figura 1 Freqüência de perda de infrmações nas empresas entrevistadas. (Fnte: COMPUTERWORLD. 2007) Os mecanisms para a perda de dads partem desde ataques externs na tentativa de rub de infrmaçã até situações de perdas acidentais. Cm a tecnlgia atual e a falta de restriçã de acess u privilégis excessivs à sistemas e servidres, pde-se carregar registrs d banc de dads em dispsitivs móveis u mídias prtáteis. Um funcinári mal-intencinad, aprveitand-se de plíticas de segurança mal cnfiguradas u inexistentes, pde crrmper s dads d catálg de preçs da empresa, gerand transtrns e até perda de receita. Seja intencinal u acidental, intern u extern, a segurança das infrmações deve ser sempre uma cnstante dentr das rganizações. Diante diss, a implantaçã de prcesss e métds de prteçã deve ser adtada tant para ataques externs cm para ataques interns. Plíticas de cntrle de acess à ambientes restrits; implementaçã de segurança de equipaments e d ambiente nde estes se encntram; bem cm mnitrament de servidres e prcesss, de md a alertar em cas de intervenções nã autrizadas; sã métds de segurança física que pdem ser adtads para a prteçã da infrmaçã.

19 Nrma brasileira para gestã de segurança da infrmaçã Para auxiliar s prfissinais de TI na implantaçã de prcesss de segurança n ambiente cmputacinal das empresas surgiram um cnjunt de nrmas padrnizadas e prcediments de segurança da infrmaçã. A ABNT NBR ISO/IEC 17799:2005 é um cnjunt de nrmas para gestã de segurança da infrmaçã e fi elabrada pela ABNT (Assciaçã Brasileira de Nrmas Técnicas), uma equivalente à nrma internacinal ISO/IEC 17799:2005. Essa nrma abrange diverss setres da plítica de segurança da infrmaçã desde a segurança física de instalações e equipaments, cm parte externa ds prédis e acess físic de funcináris, frnecedres, parceirs e clientes; segurança lógica, que envlve mnitrament de prcesss, cntrle de acess lógic e desenvlviment de sistemas de infrmaçã; até a gestã de prcesss, que envlve cntinuidade de negócis, vulnerabilidades, incidentes e auditria de sistemas de infrmaçã. Pr pssuir um cnteúd bastante abrangente e extens, d qual cada um pssui uma imprtância singular, serã listads alguns pnts da nrma. Sã eles: Segurança física e d ambiente; Segurança de equipaments; Cntrle de acesss; Mnitrament Segurança física e d ambiente Descreve que tda e qualquer instalaçã física utilizada para armazenament de infrmações imprtantes à empresa seja mnitrada, de acess restrit e cntrlad, bem cm pssua uma estrutura física adequada para prevençã de tdas as pssíveis invasões u efeits naturais (inundações, terremts, incêndis). Os tópics abaix descrevem alguns exempls sbre que um prédi

20 19 destinad a prcessament de infrmações deva pssuir em nível de segurança: Cnstruçã rbusta e frtificada cm alarme, sistema de incêndi que bedeça a nrmas nacinais e internacinais, prtas crta-fg; Cntrle eletrônic de acess a prédi u a existência de uma prtaria cm prteir; Cnstruçã de barreiras físicas para impedir acess nã autrizad e a cntaminaçã d mei ambiente; Registr de entrada e saída de visitantes a prédi cm cntrle de data e hra, inclusive cm acess de terceirs supervisinads e restrits smente as lcais de atividades de suprte u afins; Direits de acess a áreas seguras sejam revists e atualizads em determinads períds, e revgads quand necessári; A fachada ds edifícis deve ser discreta, de md que nã se perceba a real finalidade d prédi; Materiais perigss, inflamáveis e de papelaria sejam armazenads distantes das áreas de segurança; Equipaments destinads à cntingência e backup sejam armazenads em utr lcal afastad d prédi, se pssível, de md a nã serem afetads n cas de um desastre n prédi principal Segurança de equipaments Objetiva a prteçã d equipament cntra furts, dans, ameaças físicas e d mei ambiente u qualquer utra atividade que venha a interrmper as atividades da empresa. Tal prteçã visa reduzir risc de acess nã autrizad as infrmações, evitand assim perdas e dans nas mesmas. Esse tópic cntém subcategrias que abrangem a instalaçã, manutençã, reutilizaçã e alienaçã, remçã d equipament, utilidades de supriment, segurança d cabeament, e também da segurança d equipament fra da rganizaçã. Abaix segue um resum sbre cada uma dessas subcategrias:

21 20 Instalaçã e prteçã d equipament: s equipaments sejam clcads ns lcais destinads, prtegids de ameaças externas d mei ambiente (sl, chuva) e acess nã autrizad (vide segurança física e d ambiente), e que seja estabelecid restrições quant a cmer, beber u fumar nesses lcais. Os prédis também devem ser dtads de mecanisms de prteçã cntra rais, inclusive as linhas de entrada de energia e cmunicaçã. Utilidades de supriment: s equipaments devem ser prtegids cntra falta de energia elétrica u utras interrupções causadas pr falhas das utilidades, cm ar-cndicinad, ventilaçã, supriment de água e esgt; devend as mesmas serem inspecinadas em intervals regulares e testadas para assegurar seu funcinament crret. Segurança d cabeament: cabeament de energia e de transprte de dads seja prtegid cntra dans u interceptações, evitand trajets que passem pr áreas públicas; cabs de energia e de dads sejam separads, de frma a nã causar interferências um n utr; utilizar marcações facilmente identificáveis para reduzir errs de manusei, dentre utrs pnts de acrd cm cada situaçã. Manutençã de equipaments: cnvém que s equipaments tenham uma manutençã crreta para assegurar sua dispnibilidade e integridade. Para iss, recmenda-se a realizaçã de manutenções em hráris recmendads pel frnecedr, pr pessal autrizad e de cnfiança, bem cm registr de tdas as atividades realizadas, inclusive das falhas reais u suspeitas. Segurança d equipament fra da rganizaçã: sejam tmadas medidas de segurança para s equipaments que perem fra ds prédis da empresa, prém tais acesss devem ser antecipadamente autrizads pela gerência. Outrs direcinaments sbre prteçã de equipaments móveis estã dispníveis n tópic Cmputaçã e cmunicaçã móvel, item da ABN NBR ISO/IEC 17799:2005. Reutilizaçã e alienaçã segura: tds s equipaments que cntenham infrmações sensíveis sejam examinads antes d descarte e

22 21 sejam destruíds, apagads u sbregravads pr técnicas que impssibilitem a sua recuperaçã. Remçã de prpriedade: qualquer equipament, infrmaçã u sftware nã seja retirad d lcal destinad sem autrizaçã prévia ds respnsáveis e a crreta identificaçã destes Cntrle de acesss Esse tema abrange desde a definiçã de uma plítica de cntrle de acess; gerenciament de usuári, acess à rede, a sistema peracinal e até a aplicaçã; bem cm acess remt a infrmações. Cada um desses itens pssui um cnjunt de instruções específic as suas características e funcinalidades. Assim cm ns tópics sbre segurança física e d ambiente e segurança de equipaments, esse tópic também pssui subcategrias que detalham tds s níveis de cntrle de acess a serem bservads dentr da empresa para segurança da infrmaçã. Estes sã apresentads resumidamente na seqüência devid a seu ampl cnteúd Requisits de negóci para cntrle de acess Tem cm bjetiv cntrlar acess à infrmaçã. Para tal, plíticas de cntrle de acess devem ser criadas, dcumentadas e analisadas baseadas ns requisits de acess ds negócis e a segurança da empresa. Nessa plítica de cntrle de acess devem cnstar claramente quais sã as regras de cntrle de acess lógic e físic para tds s usuáris e grups de usuáris. Segund tópic da nrma ABN NBR ISO/IEC 17799:2005, alguns ds itens apresentads abaix sã imprtantes e devem cnstar na plítica de cntrle de acess a ser mntada: Identificaçã de tdas as infrmações relacinadas às aplicações de negócis e s riscs a que as infrmações estã expstas; Administraçã de direits de acess em um ambiente distribuíd e cnectad à rede que recnheça tds s tips de cnexões dispníveis;

23 22 Separaçã das regras de cntrle de acess em categrias cm pedid de acess, autrizaçã e administraçã de acess, etc; Definir requisits para as autrizações frmais de pedids de acess; Definir requisits para análise crítica periódica de cntrles de acess; Remçã de direits de acess Gerenciament de acess d usuári Tem cm bjetiv garantir acess ds usuáris autrizads à infrmaçã, bem cm restringir s acesss nã autrizads. Abrda a implementaçã de prcediments frmais para registr e cancelament de usuáris, abrangend td cicl de vida d usuári e cntrland a cncessã e revgaçã de privilégis de acesss ns sistemas de infrmaçã e serviçs dispníveis na crpraçã. Segund a nrma da ABNT, é interessante cnter nesse prcediment frmal s seguintes itens: Utilizar identificadr únic de usuári (ID de usuári) para assegurar a respnsabilidade deste pr suas ações; Verificar se nível de acess d usuári é adequad a prpósit d negóci e, também, seja cndizente cm a plítica de segurança da rganizaçã; Remver imediatamente u blquear s direits de acess ds usuáris que mudaram de carg u funções, u deixaram a empresa; Estabelecer perfis de acess d usuári baseads ns requisits de negóci, de md a pssibilitar melhr gerenciament de privilégis de usuáris, uma vez que estarã inserids em perfis específics a determinada açã dentr ds sistemas de infrmaçã; Adçã de um prcess de autrizaçã para cncessã de privilégis e que estes nã sejam cncedids até a finalizaçã da autrizaçã, bem cm registr de tds s privilégis cncedids seja mantids;

24 23 Senhas de usuáris nunca sejam guardadas em sistemas de cmputadr desprtegidas; Direits de acess ds usuáris sejam revisads e analisads em intervals regulares Respnsabilidades ds usuáris Seu bjetiv é prevenir acesss de usuáris nã autrizads à infrmações u cmprmetiment delas. Para iss será necessári a cnscientizaçã d usuári quant as suas respnsabilidades nesse prcess, especificamente em relaçã a suas senhas e a segurança ds equipaments que utiliza; adtar a plítica de mesa e tela limpa, evitand deixar expsts à vista de qualquer pessa papéis u dcuments aberts n cmputadr, de md a reduzir a pssibilidade de acesss nã autrizads, rub de dcuments sigilss u de recurss de prcessament da infrmaçã. Em relaçã à utilizaçã de senhas, cnvêm que: Nã sejam utilizadas senhas fáceis cm caracteres numérics u alfabétics seqüenciais; Manter a cnfidencialidade das senhas; Evitar antar as senhas em papéis u que fiquem antadas em lcais desprtegids; Utilizar senhas fáceis de lembrar e cm mair cmplexidade; Trcar as senhas regularmente e nã cmpartilhar senhas de usuáris finais. Outr assunt abrdad dentr d tópic sbre respnsabilidades ds usuáris refere-se as equipaments de usuáris que nã sã mnitrads cm s desktps (estações de trabalh). Os usuáris devem estar cientes ds requisits de segurança da infrmaçã e prcediments para prteger esses equipaments cm blquear a máquina a afastar-se desta e nã deixar sessões ativas ns equipaments.

25 24 Pr fim, cuidads quant a armazenament de infrmações imprtantes e essenciais a empresa; prteçã ds equipaments de impressã e us nã autrizad desses sã requisits da plítica de mesa limpa que, também, sã de respnsabilidade ds usuáris Cntrle de acess à rede Tem cm bjetiv prevenir acess nã autrizad as serviçs de rede, cntrland s acesss interns e externs, de md que s usuáris tenham acess smente a que lhes fi permitid. É imprtante a criaçã de uma plítica de acess à redes e serviçs de rede que esteja alinhada à plítica de cntrle de acess d negóci da empresa. Esse tópic abrange critéris de segurança para cnexã externa à rede da empresa, utilizand técnicas de criptgrafia; cntrles de cnexã à redes cmpartilhadas, cuj acess s usuáris deve ser restrit; a segregaçã de grandes redes em utrs dmínis de redes lógicas, cmumente cnhecidas cm VLAN; dentre utrs. É imprtante que para esses métds nível de cntrle de acess deva ser definid primeiramente através de uma análise u avaliaçã de riscs; estar basead na plítica de cntrle de acess da empresa e levar em cnta s custs relativs à implementaçã e seu nível de impact nessas redes Cntrle de acess a sistema peracinal Objetiva prevenir acess nã autrizad a sistemas peracinais restringind acess ds usuáris autrizads cnfrme a plítica de cntrle de acess, registrand númer de tentativas efetuadas e, em cass extrardináris, temp de acess as sistemas peracinais. Para iss há alguns sub-tópics que apresentam prpstas de segurança em diverss pnts; pr exempl, medidas a serem tmadas nas etapas de entrada n sistema (cmumente cnhecid cm lg-n) na qual um usuári nã autrizad nã tenha cndições de bter infrmações sbre sistema; também na

26 25 adçã de identificadres únics para cada usuári, de md que facilite rastreament das atividades d usuári dentr ds sistemas peracinais. N prcess de gerenciament de senhas devem-se cnfigurar métds para a esclha de senhas de qualidade, que sejam trcadas regularmente e que essas nã pssam ser reutilizadas. Esse pnt é bastante imprtante, pis a senha é um ds principais meis de validaçã de usuáris para acess a um serviç de cmputadr. Esse tópic também abrda a adçã de métds para descnexã autmática d usuári pr inatividade, de md a prevenir acess de pessas nã autrizadas. Um pnt interessante, prém excepcinal, é referente a restriçã de cnexã em determinads hráris, n entant, tal medida é mais imprtante em sistemas que acessam infrmações sensíveis à empresa Cntrle de acess à aplicaçã Objetiva cntrlar acess nã autrizad à infrmaçã cntida ns sistemas de aplicaçã da empresa. Esses sistemas devem cntrlar acess ds usuáris as infrmações tratadas pel sistema, bem cm nível de privilégis desses usuáris. Para tal as aplicações devem apresentar menus de pções específics a perfil de cada usuári e cntrlar s prcesss que estes pdem efetuar cm as infrmações que lhes sã apresentadas, cm leitura, escrita, alteraçã u remçã. N cas de sistemas que trabalham cm dads sensíveis, cnvém que seja clcads em ambientes cmputacinais dedicads, send executads a partir de cmputadres dedicads u cmpartilhem recurss smente cm sistemas de aplicações cnfiáveis Cmputaçã móvel e trabalh remt Visa garantir segurança da infrmaçã quand da utilizaçã de cmputaçã móvel e d advent d trabalh remt. Imprtante a criaçã de uma

27 26 plítica frmal e a adçã de medidas de segurança adequadas para a nrmalizaçã dessa prática de trabalh, de md a nã cmprmeter as infrmações d negóci da empresa, levand-se em cnsideraçã s riscs de se trabalhar cm equipaments de cmputaçã móvel em lugares desprtegids. Essa plítica nrmativa deve incluir s requisits de acess extern, técnicas criptgráficas, cópias de segurança (backups), prteçã cntra vírus, regras para cnexã de equipaments móveis (ntebks, palmtps, laptps, celulares, etc) e diretrizes sbre a utilizaçã desses recurss em lcais públics. Cnsiderações imprtantes sbre acess à redes sem fis devem ser bservads, pis pssuem diferenças em relaçã à questões de segurança e quant a realizaçã de backups. Pr iss, a cnscientizaçã ds usuáris quant as riscs de utilizaçã dessa frma de trabalh deve ser bem enfatizada. O trabalh remt smente deve ser autrizad pela empresa quand esta estiver certa de que as devidas prvidências relacinadas à segurança das infrmações tenham sid implementadas cm, pr exempl, a segurança d lcal de trabalh remt seja ideal e mau us ds recurss móveis. 2.3 Mnitrament O mnitrament visa detectar atividades nã autrizadas n ambiente cmputacinal da empresa, cm intuit de se registrar atividades peracinais e falhas n prcessament da infrmaçã. O mnitrament de sistema deve ser utilizad para averiguar a eficácia ds prcesss de cntrle de acess, de md que estejam adequads a mdel de plítica de acess definid pela rganizaçã. Assim cm ns tópics sbre Segurança de Equipaments e Segurança Física e d Ambiente, esse tópic pssui subcategrias que detalham s váris tips de mnitrament e prcediments a serem adtads. Sã eles: Registrs de auditria: registrs (lgs) que cntenham atividades ds usuáris, exceções e utrs events de segurança da infrmaçã sejam gerads e guardads pr um períd determinad para averiguações futuras

28 27 em cas de investigações e mnitrament de cntrle de acess. Us d sistema: estabelecer e analisar regularmente prcediments para mnitrament de us ds recurss de prcessament da infrmaçã cm acesss autrizads e nã autrizads, perações privilegiadas, falhas d sistema, etc. O nível de mnitrament requerid para s recurss individuais deve ser determinad através de uma análise/avaliaçã de riscs. Prteçã das infrmações ds registrs: abrange a prteçã das infrmações cletadas de acess nã autrizad e falsificaçã. Registrs de administradr e peradr: atividades executadas pr usuáris administradres e peradres d sistema também devem ser registradas e analisadas regularmente. Registrs de falhas: tdas as falhas crridas devem ser registradas e analisadas para a tmada de ações crretivas d event. Sincrnizaçã ds relógis: diz respeit a sincrnizaçã ds relógis de qualquer cmputadr visand assegurar a exatidã ds registrs gravads para auditria, de md a garantir a credibilidade das infrmações cletadas.

29 28 3 AMEAÇAS À SEGURANÇA DO BANCO DE DADOS Em um ambiente cmputacinal a segurança das infrmações deve ser planejada e estruturada para atingir tda a empresa, pis uma falha em qualquer um desses pnts pde cmprmeter td ambiente. N cas d ambiente de banc de dads, s ataques pdem visar tã smente rub de dads cm também a crrupçã de infrmações desse banc. Nesses cass, s métds sã bem diversificads e variam de acrd cm a prpsta de ataque a que se destina. O servidr de banc de dads, mesm que nã esteja diretamente cnectad à Internet, precisa ser prtegid cntra ataques que explram s pnts fracs de sua cnfiguraçã, esturs de buffer existentes u práticas de desenvlviment ineficazes, entre utrs. Dentre as várias ameaças a um servidr de banc de dads, pdems destacar s cass abaix: Espinagem na rede Acess nã autrizad a servidr Quebra de senha Inclusã de códig SQL Vulnerabilidades de cnfiguraçã d banc Vulnerabilidades de rede Falhas de segurança nativas Desastres naturais Segund Centr de Orientações de Segurança Micrsft (MICROSOFT, 2004) as quatr primeiras sã cnsideradas as principais na segurança de um servidr de banc de dads. A figura 2 ilustra a relaçã dessas ameaças em um ambiente cmputacinal de uma empresa.

30 29 Figura 2 Principais ameaças e vulnerabilidades a servidr de banc de dads. (Fnte: MICROSOFT. 2004) Será apresentada uma abrdagem sbre cada ameaça citada acima sem intuit de esgtar td assunt, que é bem ampl em cada situaçã. O bjetiv é apntar as pssibilidades existentes na explraçã da segurança d servidr de banc de dads. 3.1 Fundaments de banc de dads O cnceit universal, recnhecid inclusive pr Silberschatz (1999), é que um banc de dads é um cnjunt de dads. Esse cnjunt de dads é gerenciad pels sistemas de gerenciament de banc de dads (SGBD s) que definem acess e manipulaçã ds dads. Usand uma linguagem bem técnica, pde-se definir que: "um banc de dads é um cleçã de dads persistentes, usada pels sistemas de aplicaçã de uma determinada empresa" (DATE, 2006, p.10). Os bancs de dads sã classificads pela frma cm sã armazenads e acessads pel usuári, que é chamad de mdel de dads. Cada mdel tem u já teve uma aplicabilidade diferente e específica para a

31 30 situaçã em que fi desenvlvid. Dentre s mdels mais cmuns destacam-se: Mdel Hierárquic Mdel em Redes Mdel Relacinal Mdel Orientad a Objets Atualmente, mdel relacinal é mais cmum e adtad pelas grandes empresas desenvlvedras de SGBD s. O Oracle e SQL Server sã exempls desses sistemas de gerenciament de banc de dads relacinal (SGBDR) prduzids pr grandes empresas (Oracle e Micrsft, respectivamente). O term relacinal, usad pr Date (2000, p.23), é essencialmente um term matemátic para designar uma tabela u, cm na definiçã riginal, uma variável de relaçã. Date define de frma infrmal e simplificada que um sistema relacinal é aquele n qual s dads sã percebids pel usuári cm tabelas e s peradres à sua dispsiçã geram tabelas nvas a partir de tabelas antigas. Nesse mdel, as tabelas sã estruturas lógicas nde estã armazenads s dads e sã riginadas d cruzament de linhas e clunas. Cada cluna recebe um nme e s dads sã armazenads cm linhas da tabela. A figura 3 apresenta um mdel de banc de dads cm a representaçã de tabelas e suas respectivas linhas e clunas.

32 31 Figura 3 Tabelas n banc de dads. (Fnte: Oracle Educatin. 2006) 3.2 Espinagem na rede Visa capturar infrmações que trafeguem em redes sem criptgrafia de dads e que pssam ser úteis a invasr. Geralmente explram-se redes malcnfiguradas e de puca segurança, pr exempl, que utilizem cnfigurações padrões de instalaçã, cntrles de acess aberts e dispsitivs sem as devidas crreções de segurança atuais. Em se tratand de segurança de banc de dads, essa açã busca cletar dads de credenciais de acess a banc de dads. Para tal, sã utilizads métds cm adiçã de sniffers (prgramas de varredura de dads de uma rede de cmputadres) para mnitrar td tráfeg de rede sem criptgrafia; seqüestr de sessã para desviar flux de uma rede para um hst desejad pel invasr; e ataques de negaçã de serviç para impedir que um servidr cnsiga atender a tdas as requisições de cnexã, vind a causar fila de prcessament e impedir usuári legítim de acessar ambiente. Pr nã ser fc de atençã desse trabalh, esse tópic nã ferecerá mais detalhes desse cas. Maires infrmações sbre segurança em

33 32 redes pdem ser btids em artigs específics sbre esse assunt. 3.3 Quebra de senha A interface de lgin (registr) d sistema requer muita atençã e segurança, pis é a prta de entrada a ambiente intern; mas nem sempre btêm s devids cuidads e cnscientizaçã ds usuáris. As técnicas de quebra de senha visam explrar exatamente essas fragilidades criadas pels usuáris, nde utilizam-se de ferramentas e técnicas específicas para a quebra de senhas fáceis e de baixa cmplexidade. Para atingir bjetiv sã utilizadas passwrd-crackers, que sã ferramentas desenvlvidas para que um hacker pssa executar mecanisms de quebra de senha de frma autmática. Os principais mecanisms utilizads para quebra de senha sã: Ataques de dicinári: também denminadas wrd-lists (lista de palavras); sã arquivs de text cntend diversas palavras cmuns cm, nmes de pessas, de bjets, lcais, países, etc. Essas palavras sã testadas, linha a linha, pela ferramenta para a tentativa de efetuar lgin n sistema. Frça bruta: métd muit mais lent e cnsme muits recurss de prcessament, prém eficiente, pis visa realizar tdas as cmbinações de caracteres e símbls na tentativa de btençã da senha de registr n sistema. A técnica visa realizar uma cmbinaçã de várias letras, fazend permutações entre estas e frmand palavras u seqüências, até a descberta da senha utilizada. É um métd pders e que cnseguirá quebrar a senha d sistema. Mas iss pde levar bastante temp, de acrd cm a cmplexidade da senha a ser buscada. 3.4 Inclusã de códig SQL Permite a um usuári mal-intencinad inserir instruções SQL a serem executadas arbitrariamente n banc de dads através de fragilidades nas

34 33 validações de entrada da aplicaçã, utilizand s privilégis cncedids para lgn d aplicativ. Cas usuári utilizad para cnectar n banc de dads pssua privilégis alts pssibilitará a execuçã de instruções mais impactantes cm a manipulaçã de dads e até a exclusã de um banc inteir. Um exempl d funcinament da técnica de injeçã de SQL (d inglês SQL Injectin) é apresentad na figura 4 abaix de um códig ASP.NET (MEIER, 2008): Figura 4 Exempl de códig ASP.NET vulnerável à injeçã de SQL. N cas acima, é esperad um valr d tip nnn-nn-nnnn na variável SSN.Text, cuja saída de cmand esperada para banc de dads seria: SELECT au_lname, au_fname FROM authrs WHERE au_id = Prém, a inserir a instruçã DROP DATABASE n camp de digitaçã, cmand a ser executad mdifica para uma instruçã de remçã de banc de dads. Exempl de entrada mal-intencinada n camp da aplicaçã: ; DROP DATABASE pubs -- Instruçã SQL mdificada: SELECT au_lname, au_fname FROM authrs WHERE au_id = ; DROP DATABASE PUBS -- O caractere aspa simples ( ) d iníci da instruçã mal-intencinada serve para encerrar a instruçã anterir iniciada cm uma aspa simples. Na seqüência, aplica-se a instruçã desejada (neste cas, de remçã d banc pubs); seguida d caractere pnt-e-vírgula (;), nã brigatóri em alguns bancs; e s

35 34 caracteres - - (dupl tracejad) que servem para que restante da instruçã SQL que huver n códig riginal seja ignrada, inclusive a aspa simples de fechament que, de utra maneira, casinaria um err de validaçã da instruçã SQL n banc de dads. 3.5 Falhas de segurança nativas Em tda versã de SGBD, cm decrrer d temp, é feita a crreçã de algumas falhas de segurança u bugs d prdut pel frnecedr. Este encntra falhas u errs na prgramaçã d SGBD, das quais depis de alteradas, sã divulgadas as seus clientes para a aplicaçã das devidas crreções. Após a divulgaçã dessas crreções, trna-se cnhecid as brechas de segurança que determinada versã pssui. Tal situaçã exige que ambiente de banc de dads da empresa seja avaliad para que nã esteja expst a essas falhas, haja vista que agra sã de cnheciment públic. Cada frnecedr cria uma denminaçã própria para essas crreções. N SGBD Oracle, sã s chamads patches u patchsets; já n SGBD SQL Server sã denminads de service packs u htfixes. 3.6 Acess nã autrizad a servidr Cnfrme descrit n tópic 9.2 da nrma ABNT NBR ISO/IEC 17799, s equipaments d ambiente cmputacinal das empresas nã devem ficar expsts em lcais de fácil acess às pessas nã autrizadas. Os equipaments ficam vulneráveis a intervenções nã autrizadas, crrem risc de sfrerem dans intencinais u acidentais, bem cm as pssibilidades de rub de infrmações serem maires. Basead niss, servidr de banc de dads deve seguir a determinaçã da nrma, pis nível de criticidade se trna muit mair devid ali cnter infrmações cruciais e até sigilsas d negóci da empresa. Mas nã

36 35 smente acess físic cm também acess lógic a esse servidr deve ser devidamente cntrlad e basead ns requisits de acess, definids na plítica de segurança da empresa. Mesm cm prcediments de acess físic bem definids e estabelecids, se nã huver uma ba plítica de acess lógic implantada, banc de dads acabará tã desprtegid quant se estivesse a alcance de qualquer pessa. Pr iss, é imprtante que ambas as plíticas de acess sejam habilitadas, pis sã atividades cmplementares e necessárias a ambiente cmputacinal de banc de dads. 3.7 Vulnerabilidades de cnfiguraçã Tant a nível de banc de dads quant a nível de sistema peracinal, as cnfigurações destes devem ser específicas para a funcinalidade da máquina. Ou seja, cnfigurar smente aquil que realmente será necessári na peracinalidade d ambiente e restringir a máxim qualquer pssibilidade de explraçã de alguma falha na cnfiguraçã tant d servidr quant d própri banc nele instalad. Situações cm cntas de usuári d sistema peracinal u da base de dads cm alts privilégis, diversas prtas de acess a servidr liberadas n firewall u ausência de um firewall, serviçs desnecessáris ativads n servidr, cmpartilhament de arquivs u pastas envlvend servidres de banc de dads; estas sã algumas das cnfigurações a serem bservadas n ambiente para uma ba segurança a banc. Em cada sistema peracinal seja Micrsft, Linux, Unix u FreeBSB (send estes apenas exempls) e SGBD s Oracle, SQL Server, MySQL u DB2 (também apenas exempls) há uma série de requisits específics que merecem atençã quand se abrda questões de cnfiguraçã de um ambiente de banc de dads. A relaçã entre cada tip u versã de sistema peracinal cm s diferentes SGBD s terã uma característica própria de cnfiguraçã que deve ser bservada pel administradr de banc de dads, n intuit de prteger ambiente

37 36 e impedir que brechas de segurança sejam explradas. 3.8 Desastres naturais Garantir que a infrmaçã n servidr de banc de dads nã seja afetada pr elements d mei ambiente é de suma imprtância na segurança d negóci da empresa. Assim cm define a nrma ABNT NBR ISO/IEC 17799, deve-se prjetar e assegurar que ambiente cmputacinal da empresa nã esteja vulnerável á inundações, vazaments de água d telhad u pis de subsl, terremts, explsões, incêndis u qualquer utra frma de desastre natural u causada pel hmem. Ou seja, um bm planejament da infra-estrutura das instalações que abrigarã s equipaments de TI é pnt fundamental para prevençã de desastres naturais.

38 37 4 MÉTODOS E PROCEDIMENTOS DE SEGURANÇA À BANCO DE DADOS A busca da segurança tant das infrmações quant d ambiente cmputacinal da empresa nã é uma tarefa fácil de ser alcançada e, às vezes, muit árdua em sua cnquista. Cercar td ambiente intern da rganizaçã, implementar plíticas e prcesss de segurança e manter tud funcinand pde envlver a abrangência de diverss pnts e prcesss para serem cnfigurads. Cnfrme citad n capítul anterir, cada sistema peracinal relacinad cm um banc de dads específic irá demandar características distintas de segurança para serem implementadas. Prém, muitas delas pssuem pnts em cmum n que tange a segurança de frma macr, pr exempl, em se tratand de plíticas de acess a servidr, definições de senhas de alta cmplexidade u n mnitrament de uma instância de banc de dads. Basead niss, será abrdad abaix um detalhament de váris prcediments de segurança física e lógica que sã bastante imprtantes na plítica de segurança de um servidr de banc de dads. Tais métds aplicads pderã prevenir ações malicisas u que venham a causar a quebra de sigil de dads vitais à empresa. 4.1 Segurança física Acess físic nã autrizad a servidr N cas d ambiente de banc de dads nã se deve buscar tã smente a implantaçã de prcesss de segurança a nível intern d servidr u lógic d SGBD; a integridade física da máquina também deve ser bservada e preservada. Definir e prteger servidr de banc de dads de intervenções físicas nã autrizadas e acesss indevids de pessas mal-intencinadas, cuj intuit visa rub, negaçã de serviç, crrupçã de infrmações u dans as instalações físicas da rganizaçã. Basead na nrma ABNT NBR ISO/IEC 17799, a aplicaçã de

39 38 segurança física a esses equipaments da empresa baseia-se na definiçã de um perímetr de segurança para a prteçã ds recurss e instalações de prcessament de infrmações críticas u sensíveis d negóci. Esse perímetr de segurança deve adtar métds aprpriads para cntrlar a entrada física de pessas nã autrizadas em áreas restritas; e também a aplicaçã de diretrizes de trabalh específicas para áreas seguras da empresa Perímetr de segurança física As rganizações que visam segurança nas instalações de prcessament e armazenament de infrmações devem definir um perímetr de segurança, que servirá cm primeira barreira de acess extern as equipaments da empresa, inclusive servidr de banc de dads. Esses perímetrs de segurança devem ser bem definids e de edificações sólidas cm barreiras físicas, de md que nã pssibilite a invasã das áreas de prcessament da infrmaçã. A empresa pde utilizar diversas barreiras físicas cm prteçã adicinal; desse md a falha de alguma dessas barreiras, num primeir instante, nã afetará tda a segurança subseqüentemente. Para iss, s prédis devem pssuir paredes externas rbustas, tdas as prtas de acess sejam cntrladas pr algum dispsitiv de cntrle cm alarmes u fechaduras e janelas cm prteçã externa. A utilizaçã de sistemas para detectar intrusã e alarmes seja adtada para as tdas as áreas d prédi, inclusive as nã cupadas pr cmputadres u equipaments de cmunicações, e testads regularmente, cnfrme nrmas reginais, nacinais e internacinais. Em situações nde se necessite de acess as lcais u edifícis de segurança, que este seja realizad pr uma área de recepçã que cntrle acess físic, de md que smente pessal autrizad pssa acessar s servidres. Dentr d prédi, prtas crta-fg integradas a alarme e paredes resistentes devem ser mnitradas e testadas de acrd cm nrmas reginais, nacinais e internacinais, perand cnfrme códigs lcais de prevençã de incêndis e falhas.

40 Cntrle de entrada física Após a definiçã d perímetr de segurança, s cntrles de entrada física às áreas de segurança da rganizaçã devem ser estabelecids, de md que prestadres de serviç, frnecedres u clientes nã tenham acess irrestrit as equipaments de prcessament da infrmaçã. Nesse pnt, a nrma ABNT NBR ISO/IEC apnta algumas diretrizes a serem adtadas para tratament dessas questões. Uma das diretrizes de cntrle de entrada visa registr, cm data e hra de entrada e saída, de td acess as áreas de segurança, inclusive cm acesss supervisinads u aprvads antecipadamente e smente para finalidades específicas. N cas nde se realiza prcessament u armazenament de infrmações, cm servidres de banc de dads, acess deve ser restrit as prfissinais autrizads e cntrlads pr cntrles de autenticaçã, cm cartões cm númers de identificaçã pessal, sistemas bimétrics u dispsitivs sensriais em cartões. Ns ambientes mais crítics da empresa, pde-se adtar mnitrament através de circuit intern de TV e equipes de vigilância 24x7. Em situações de acess de suprte terceirizad, seja cncedid acess smente quand necessári. Também é imprtante que esse acess seja previamente autrizad e mnitrad Trabalh em áreas seguras Em áreas de segurança da empresa, nã smente cntrle de acess deve ser restrit, cm também s prcediments de trabalh nesses lcais devem seguir exigências de segurança, sempre visand à dispnibilidade ttal ds serviçs e prteçã das infrmações ali armazenadas. Esses prcediments devem se estender nã smente as funcináris, cm, também, as prestadres de serviç e frnecedres, de md a cntrlar suas ações nessas áreas. É interessante que as pessas da rganizaçã tenham ciência da existência de áreas seguras e d tip de atividades realizadas naquele determinad lcal, smente se fr necessári aquele cnheciment. Ist evita que detalhes

41 40 relevantes da segurança de determinada área de armazenament e prcessament de dads sejam de dmíni públic na empresa, pr exempl, a existência de um servidr de banc de dads, cntend dads financeirs u sigilss, em cert pnt específic d prédi. Nessas áreas td trabalh deve ser supervisinad de alguma frma, de md que nã pssibilite a crrupçã de infrmações d banc u qualquer utr tip de atividade mal-intencinada. Cas as áreas de segurança nã sejam cupadas, deverã estar isladas através de trancas nas prtas e verificadas peridicamente Segurança d equipament Quand se pensa em segurança para equipament em si nesse cas para servidr de banc de dads visa garantir se que esse servidr terá tda uma infra-estrutura para seu crret funcinament em quaisquer das cndições que pssam surgir. Iss prque ambiente de prduçã da empresa nã pde ficar indispnível pr lngs períds de temp para a crreçã u ajuste de alguma falha que, prventura, venha a acntecer. Deve-se preparar desde a infra-estrutura básica, cm energia, até s prcesss de cntingência; a existência de um geradr de energia, pr exempl, cnfrme descreve a nrma ISO/IEC Assim cm utrs equipaments imprtantes dentr d ambiente cmputacinal, servidr de banc de dads requer essa prteçã. O que se bjetiva cm iss é a prteçã cntra furts, dans u cmprmetiment das atividades da empresa. Cm recmenda a ISO/IEC e apresentad na figura 4, precisa-se garantir supriment de energia; geradres de energia, para circunstâncias de falha n supriment primári; prcediments para diminuir risc de incêndi u explsões; prteçã cntra rais; sistema de ar cndicinad para cntrlar a temperatura n lcal de armazenament e, assim, evitar super aqueciment d servidr u acabe afetand n desempenh d equipament. O cabeament ds servidres nã deve estar expst publicamente, de md que facilite a interceptaçã u dan, estarem devidamente identificads para evitar manusei errad e distante ds cabs de energia para evitar interferência.

42 41 Figura 5 Representaçã de uma estrutura física de segurança. (Fnte: GrupOrin. 2009) Uma prática cmum em empresas de grande prte é a realizaçã de manutenções ns equipaments smente pr pessal especializad e cm registr de tdas as atividades preventivas u crretivas realizadas, bem cm as falhas. Iss facilitará n mment de análise de pssíveis falhas n futur.

43 Desastres naturais Dans a ambientes cmputacinais riginads a partir de causas naturais estã ligads a falhas na estrutura física nde s equipaments da empresa estã aljads. Situações de umidade, inundações, terremts u maremts sã cass que envlvem um planejament das cndições d prédi de md a minimizar impact desses incidentes u impedir que a prduçã da empresa seja afetada pr algum desses events. Essas definições da infra-estrutura física devem ser pensadas antes mesm que ambiente seja preenchid cm equipaments de infrmática e estes iniciem suas perações. Cas estas nã sejam realizadas antecipadamente, a adequaçã d ambiente pde se trnar mais nersa e até afetar ambiente peracinal da empresa devid a necessidade de remanej u ajustes. Em suma a palavra chave para esse prblema é planejament. Planejar bem antes que deverá ser feit para evitar futurs transtrns. 4.2 Falhas de segurança nativas A mairia ds aplicativs, sistemas e ferramentas tecnlógicas desenvlvidas lançadas cmercialmente n mercad vem cm falhas u brechas de segurança em sua prgramaçã, u seja, nasceram juntamente cm sftware. Cm iss, s aplicativs desenvlvids irã requerer ajustes n códig d sftware psterirmente para a crreçã dessas falhas nativas, riundas d códig riginal. E n cas ds sistemas gerenciadres de banc de dads iss nã é diferente. Os desenvlvedres ds sftwares, a tmarem cnheciment ds prblemas enfrentads em seus aplicativs criam as crreções devidas (cmumente chamadas de patches) e as dispnibilizam para aplicaçã em seus sftwares. Dependend d sftware, as crreções sã rganizadas em pactes e dispnibilizadas em frmat de um únic arquiv a usuári d aplicativ. Essas falhas d sftware (também cnhecida cm bugs) geralmente trnam-se públicas n mment da divulgaçã de suas crreções e pels própris

44 43 desenvlvedres d aplicativ. É a partir desse mment que banc de dads pde se trnar um alv ptencial, pis até que a crreçã é aplicada a banc, este já pderá ter tid sua vulnerabilidade atestada. O métd cnsiste em utilizar as falhas de segurança divulgadas ns pactes de crreções para explrar a segurança ds sistemas de banc de dads, antes que essas crreções sejam de cnheciment d usuári e tenham sid aplicadas n banc de dads; haja vista que agra terá se um métd cert que casinará aquele bug crrigid. Outra situaçã crítica pde ser descbriment de alguma falha n sftware pel própri cracker e, assim, passar a explrar essa vulnerabilidade para atacar banc de dads. Um exempl para essa situaçã é a falha explrada pela verme de cmputadr (d inglês, wrm) W32.Slammer (MICROSOFT, 2008), cuj bjetiv era a negaçã de serviç de determinadas versões d SQL Server Esses sã pnts de falha séris e que merecem muita atençã d administradr de banc de dads. Pr iss, DBA u respnsável pel banc deve estar sempre atualizad quant à divulgaçã desses patches e que está envlvid n pacte de crreçã, de md a averiguar se em seu ambiente cmputacinal necessitará daquela crreçã. É pssível que, em muits cass, analista de sistemas da empresa deva hmlgar funcinament ds sistemas interns à empresa juntamente a patch aplicad, de md que este nã altere flux nrmal de prcessaments ds dads. Cas sistema pere nrmalmente u alguns desvis que, prventura, venham a surgir sejam crrigids, patch pderá ser aplicad n banc de dads de prduçã. Cada empresa desenvlvedra de seu SGBD pssui uma nmenclatura própria para denminar essas crreções. Pr exempl, a Oracle chama as atualizações de patches u patchset; a Micrsft dispnibiliza cm nme de Service Pack u Htfix; já n cas de alguns bancs gratuits e de códig fnte abert (d inglês, pen-surce) sã dispnibilizadas nvas versões chamadas releases desses bancs cm crreções e nvas funcinalidades englbadas.

45 Métds de autenticaçã deficientes Diverss ataques realizads em bancs de dads e aplicativs de sistemas cmputadrizads crrem devid à má cnfiguraçã ds mecanisms de autenticaçã. Iss vem desde a utilizaçã de senhas fáceis pel usuári, cm até uma fraca cnfiguraçã d métd de autenticaçã n banc de dads. Cm iss, cracker terá mais facilidade na invasã d sistema, pdend explrar uma série de pssibilidades, dependend da base de dads em questã. Esse pnt é muit imprtante na definiçã da plítica de segurança da empresa, pis a prta de entrada mais tendencisa a explraçã de falhas está n mment de autenticar n serviç desejad. De psse da relaçã de usuáris d sistema u base de dads, bjetiv é bter uma frma para registrar-se cm um usuári cmum d sistema. Um ds primeirs pnts de falha refere-se à utilizaçã de senhas frágeis pel usuári, nde estes pderã ser vítimas de 02 tips cmuns de invasã buscand descbrir as senhas ds usuáris. Sã eles: Ataque de dicinári Ataque de frça bruta Ataque de dicinári Nesse tip de ataque invasr tentará, através de ferramentas próprias, utilizar tdas as palavras de um dicinári na busca da palavra utilizada na senha d usuári. Esse prcediment pde ser demrad e, nem sempre, atingir seu bjetiv. Iss dependerá da quantidade de palavras presentes nesse dicinári e também da pssível utilizaçã de utrs dicináris de línguas diferentes, bem cm da pssibilidade d usuári ter clcad uma senha de baixa cmplexidade. Um segund métd de ataque de dicinári cnsiste na mdificaçã da escrita da palavra, de maneira que pssa realizar cmbinações de caracteres alfanumérics. Para exemplificaçã será apresentad variações de uma palavra cmum d dicinári cm: elefante.

46 45 Segue abaix as mdificações: Palavra mdificada cm a inserçã de caracteres numérics n lugar das vgais: 3l3f4nt3 Palavra mdificada cm primeir caractere maiúscul: Elefante Nenhum desses 02 métds apresentads é garantia de sucess pr ataque de dicinári se usuári adtar uma senha de alta cmplexidade envlvend, além de caracteres alfanumérics na palavra, mas também caracteres especiais # $! % &. Devid a iss, a imprtância de elabrar bem as senhas utilizadas n ambiente cm um td, ns aplicativs d sistema da empresa, sistema peracinal e banc de dads, de md a cibir a açã desses ataques Ataque de frça bruta Segund TECH-FAQ (2008) esse ataque cnsiste em tentar tdas as cmbinações pssíveis de caracteres e númers até que a senha seja encntrada. Esse métd é certeza de êxit, pis algum dia a senha d determinad usuári será cmbinada e validada. Prém, é alg que pde levar um lng temp (cerca de muits ans) dependend da cmplexidade da senha, send até ttalmente inviável essa espera. Tant n ataque de dicinári cm n ataque de frça bruta, a tratativa para esse tip de cas pde ser a mesma. Sã medidas que aumentarã bastante temp de quebra da senha buscada. Inserir caracteres especiais # $! % & e numérics na palavra da senha para aumentar nível de dificuldade e cmplexidade. Pr exempl: Aumentar tamanh da palavra de senha de md que esta fique cm muits caracteres, pis assim númer de cmbinações pssíveis também aumentará expnencialmente. Exempl:

47 46 Clcar um temp de espera de alguns segunds entre as nvas tentativas de autenticaçã. Iss irá aumentar ainda mais temp para quebra da senha pr frça bruta; Cnfigurar um blquei d usuári após n tentativas sem sucess, nde n deve ser um númer menr que 5, preferencialmente. Cm a adçã das medidas acima, as chances de sucess em um ataque de frça bruta u mesm de ataque de dicinári serã mínimas u desprezíveis; uma vez que serã senhas de alta cmplexidade e muit difíceis de serem descbertas u quebradas pr algum prgrama hacker Autenticações deficientes em bancs de dads Mesm cm uma senha frte definida para s usuáris que acessam banc de dads, é necessári bservar se a cnfiguraçã implantada n SGBD é segura e restringe acesss nã autrizads. Devid a iss, algumas análises devem ser realizadas para assegurar que as bases de dads nã estejam expstas e passíveis a utrs métds de invasã. Apesar de alguns SGBD s pssuírem características similares quant a métd de autenticaçã, há particularidades de uma em relaçã à utra. Abaix serã apresentads alguns detalhes de cnfiguraçã de segurança e mudanças que devem ser feitas nas bases de dads Alteraçã das senhas padrões Uma falha de segurança que pde ser explrada pel invasr é a tentativa de cnectar na base de dads utilizand s usuáris e senhas padrões, que nã sã alterads após a instalaçã d banc. Geralmente sã senhas de usuáris administradres d serviç de banc de dads, u seja, pssuem autnmia para realizar qualquer tarefa dentr d banc. Pr se tratarem de senhas cnhecidas pr qualquer pessa que administra a base de dads, essas também serã de cnheciment de um invasr.

48 47 Daí a imprtância da trca dessas senhas rapidamente para que tal fragilidade nã seja explrada. N cas d Oracle (METALINK, 2007), pr exempl, é recmendad que seja feit a alteraçã das senhas ds usuáris sys e system lg após a instalaçã d SGBD. Esses sã s usuáris principais de uma instância Oracle e pssuem privilégis ttais de administraçã d Oracle. As senhas desses usuáris sã universalmente cnhecidas e divulgadas pela própria Oracle em sua base de dcumentaçã, u seja, sã de dmíni públic. Segue abaix um exempl de autenticaçã a banc de dads Oracle utilizand as senhas padrões ds usuáris sys e system. Figura 6 Acess através de senha padrã d usuári System d Oracle. A figura 6 demnstra a autenticaçã numa instância Oracle através d usuári system e de sua senha padrã manager. Uma vez efetuad esse acess, invasr tem pderes para alterar privilégis, criar nvs usuáris, apagar registrs u até mesm crrmper a base de catálg d Oracle. Já n Micrsft SQL Server permite que seja feit durante a instalaçã d banc a cnfiguraçã da senha d usuári administradr, chamad sa, e até mesm d métd de autenticaçã a ser adtad na instância. Prém, iss nã significa que a segurança será ttalmente definida nesse instante; u seja, cass imprtantes deverã ser revisads após a instalaçã.

49 48 Figura 7 Esclha d métd de autenticaçã durante instalaçã d SQL Server A figura 7 ilustra pnt nde é feit a esclha d prcess de autenticaçã d SQL Server. Cm a esclha da pçã mixed-authenticatin, prcess de autenticaçã pderá será feit utilizand usuáris d sistema peracinal u através de usuáris criads na área de lgins d SQL Server. Na versã Micrsft SQL Server 2005, há pçã para utilizar as plíticas de segurança d Windws e, assim, frçar a definiçã de uma senha mais cmplexa, cnfrme figura 8. Tal medida visa ajudar administradr na criaçã de senhas mais bem elabradas e que pssibilitem mair segurança a acessar banc.

50 49 Figura 8 Usuári administradr d banc cm pçã para frçar plítica de senha d Windws ativada. Em geral, a senha desse usuári deve ser de cnheciment exclusiv d DBA u d respnsável pel ambiente banc de dads. A mesma deve ser uma senha frte (extensa, cm caracteres alfanumérics e especiais), cnfrme citad n tópic desse capítul. Já cm a pçã Windws authenticatin, usuári sa estará desabilitad dentr d SQL Server. Nesse cas, a situaçã da figura 4.4 nã será apresentada. Mesm cm a definiçã d métd de autenticaçã mist (SQL Server e Windws), a términ da instalaçã haverá um lgin, d tip Windws Grup, denminad BUILTIN\Administradres criad n SQL Server. Deve-se analisar a necessidade de acess desse lgin n banc de dads; uma vez que, qualquer usuári d sistema peracinal e que faça parte d grup de administradres d servidr terá acess e privilégi administrativ dentr da base de dads. Inclusive, segund nta de segurança d Centr de Orientações de Segurança Micrsft (MICROSOFT, 2004), é recmendad a remçã d lgin BUILTIN\Administradres d SQL Server e a cnfiguraçã manual de cada usuári d sistema peracinal n banc específic a qual necessite de acess.

51 Vulnerabilidades de cnfiguraçã Em bases de dads já implantadas é imprtante estar atent a detalhes na cnfiguraçã d ambiente que pdem escnder brechas de segurança d ambiente banc de dads. Algumas dessas brechas sã de ampl cnheciment públic, mas pde acabar passand despercebid n dia-a-dia e deixar s dads da empresa expsts u passíveis de dans. Cm iss, faz-se necessári a bservaçã de alguns pnts imprtantes na manutençã da segurança d SGBD. Geralmente sã cass ligads a existência de cnfigurações padrões que nã sã alteradas pel DBA, pr exempl, a existência de usuáris e senhas padrões da ferramenta de banc de dads, excess de privilégis ds usuáris d SGBD, serviçs desnecessáris habilitads n servidr, acess fácil de usuáris d sistema peracinal as arquivs físics d banc, dentre utrs. Cada ferramenta de banc pssui uma exigência própria a ser cumprida para mair prteçã das infrmações armazenadas nas bases de dads. Na seqüência, serã discutids alguns desses ajustes na cnfiguraçã padrã d banc que sã imprtantes para a segurança d banc Remçã de usuáris e bancs de exempl Geralmente, após a instalaçã da ferramenta de banc de dads pde-se ntar a existência de bases e usuáris já criads dentr d SGBD. Esses sã cnhecids cm banc de dads e usuáris de exempl e destinam-se a utilizaçã d usuári na realizaçã de testes e utrs afins. Apesar de sua utilidade inicial, s própris fabricantes recmendam que esses bancs e usuáris sejam remvids d SGBD, assim que servidr fr destinad as suas atividades peracinais. Tal medida visa restringir as pssibilidades de acess a ambiente de banc de dads através de usuáris, senhas e bancs de dmíni públic, uma vez que a estrutura desses bancs e a senha ds usuáris estã descrits na dcumentaçã d fabricante. N Oracle, pr exempl, há usuári SCOTT cuja

52 51 senha é TIGER. Esse usuári pssui em seu esquema de banc de dads algumas tabelas utilizadas basicamente para testes e apresentaçã d SGBD. A própria Oracle (METALINK, p. cit.) recmenda que esse usuári seja blquead u tenha sua senha alterada, de md que nã se btenha acess a instância Oracle cm a senha padrã. Há também utrs usuáris e senhas padrões cm, pr exempl, usuári RMAN (prprietári d catálg de backup via aplicativ RMAN) e usuári DBSNMP (utilizad pel prdut Enterprise Manager Intelligent Agent) que pdem ser encntrads numa instância Oracle, dependend das funcinalidades adicinais que frem instaladas. Para muits desses usuáris é recmendad a trca da senha imediatamente após a sua instalaçã. N prtal da Oracle (METALINK, 2008) há a relaçã de tds s usuáris criads e as ações que pdem ser executadas para remçã, trca u blquei desses usuáris. Já n SQL Server, pde-se esclher durante a instalaçã que seja criada s bancs de exempl, também cnhecids cm sample databases além da cnta d usuári cnvidad, também cnhecid cm guest. Na versã SQL Server 2000, esses bancs criads sã Nrthwind e Pubs; agra na versã 2005, s bancs criads sã AdventureWrks e AdventureWrksDW Excess de privilégis de usuáris A facilidade cm que um usuári qualquer d banc cnsiga visualizar u alterar uma infrmaçã pde estar ligada a cncessã de privilégis excessivs para usuáris cmuns, seja da aplicaçã u de pessas nã ligadas a ambiente de TI da empresa. Dependend de cm aplicativ fi desenvlvid para acess a banc, pde requerer a utilizaçã de smente um lgin específic n SGBD e que necessitará de privilégis ttais em tds s bancs d ambiente. Bem cm, também pde haver diverss lgins necessáris para aplicativ funcinar, prém cm privilégis até em bases de dads a qual nã trabalhará. Nas figuras 9 e 10 abaix, há dis esquemas que retratam esses cass citads.

53 52 Figura 9 Usuári únic de tds s departaments para acess à base de dads. N primeir esquema, bserva-se que há um únic lgin utilizad pel aplicativ para acessar tda a base de dads da empresa. O sistema da empresa depende exclusivamente desse lgin e crre-se risc de sua senha ser cmpartilhada cm diversas pessas. Daí a segurança das infrmações entre s departaments estará cmprmetida, pis dads sigilss estarã a alcance de tds.

54 53 Figura 10 Usuáris distints para cada departament acessar banc de dads. Já n segund esquema, existem lgins distints para cada módul d aplicativ, prém nã há uma restriçã de acess a banc cm um td que impeça usuári de visualizar dads alheis a sua designaçã. Nesses cass, é imprtante analisar juntamente cm s analistas d sistema quais sã s verdadeirs privilégis que cada lgin necessita, de md que um módul d sistema nã cnsiga afetar u visualizar s dads d utr módul. Após esse levantament pde-se buscar a melhr frma para realizar a segregaçã d acess às bases de dads de md que nã seja prejudicial a regra de negóci da empresa. Uma dessas frmas seria a criaçã de rles n banc para agrupar lgins cm privilégis em cmum para tabelas específicas. Cm iss, departament de prduçã da empresa (a fábrica, na figura 10) nã terá acess às infrmações d departament financeir e vice-versa. Tal medida será uma barreira lógica dentr d banc de dads e cntribuirá bastante para a segurança d ambiente.

55 Serviçs desnecessáris n servidr Quand um equipament é destinad para uma finalidade única, seja para servidr web, servidr de aplicaçã u de banc de dads, a sua cnfiguraçã deve ser tda mntada para atender àquelas necessidades smente. Ou seja, a habilitaçã de serviçs que nã fazem parte d prpst a equipament devem ser desativads u nã habilitads. Para um servidr ttalmente dedicad para hspedagem de banc de dads é imprtante a desativaçã de serviçs cm, FTP, TELNET, SMTP, pr exempl. Até mesm serviçs própris d SGBD instalads durante a instalaçã d sftware devem ser revists, uma vez que, se deixar de serem utilizads psterirmente, entã devem ser desativads. Tais medidas visam diminuir as pssibilidades de algum ataque a servidr explrand alguma deficiência que estes prduts pssuam e que ainda nã fram crrigids pel fabricante Cntas de usuáris d sistema peracinal Uma precupaçã nã smente para um servidr de banc de dads, mas também para qualquer utra destinaçã d equipament refere-se a cntrle das cntas de usuáris d sistema peracinal instalad. Tant em ambientes Unix, Linux u Windws, a precupaçã é a mesma e precisa ser avaliada cm atençã pel analista de segurança e de sistemas peracinais. Pis, uma má cnfiguraçã da cnta de usuári pde cnceder privilégis de acess n SGBD u as arquivs armazenads n disc. N própri prcess de instalaçã d banc Oracle (ORACLE, 2008) ns ambientes Unix e Linux é exigid uma pré-cnfiguraçã da cnta d usuári Oracle sbre a qual será feita a instalaçã e a peraçã d banc, vist que banc trabalhará smente cm aquele usuári. Assim, lg após a instalaçã crreta d SGBD, esse usuári criad terá privilégis de acess as pastas da instalaçã d sftware e as repsitóris ds datafiles, cntrl files e red lgs. A figura 11 ilustra a situaçã descrita.

56 55 Figura 11 Exempl de cnfiguraçã de usuári Oracle para instalaçã e utilizaçã d SGBD Oracle9i em sistemas peracinais Unix. É imprtante que, além d usuári Oracle, smente rt tenha acess cncedid a estrutura de diretóris e arquivs d Oracle. Tds s demais usuáris que pssuírem esse tip de acess deverã ser revists e seus privilégis remvids, pis crre-se risc de algum desses arquivs u diretóris serem danificads u remvids acidentalmente u intencinalmente. Já n cas d SQL Server s pnts a serem bservads referem-se a cnfiguraçã ds lgins e grups que pdem estar cm privilégis ttais n banc. Tal fat é riginad após a instalaçã d SGBD, nde um grup d Windws chamad BUILTIN\Administradres é criad cm direits administrativs n banc, cnfrme bserva-se na figura 12. Esse grup d Windws referencia grup Administradres d servidr lcal u d Active Directry, ilustrad na figura 13. Cm iss, qualquer usuári que faça parte desse grup n sistema peracinal d servidr terá entã permissões administrativas n SQL Server, pdend perar qualquer açã n banc. Figura 12 Privilégi padrã d grup BUILTIN\Administradres n SQL Server.

57 56 Figura 13 Grup Administradres d sistema peracinal e s respectivs membrs desse grup. A Micrsft, através d Centr de Orientações de Segurança (MICROSOFT, 2006) recmenda a remçã d grup BUILTIN\Administradres d grup de lgins d SQL Server; iss clar, cm a cncessã de privilégis administrativs (System Administratr, cm é cnhecid n SQL Server) a utr usuári d sistema peracinal u a utilizaçã d usuári sa para administraçã d banc. lgins d SQL Server. Na figura 14 bserva-se mment de exclusã desse grup ds

58 57 Figura 14 Demnstraçã de remçã d grup BUILTIN\Administradres Prtas desnecessárias abertas n servidr Assim cm na cnfiguraçã smente ds serviçs que deverã ser executads num servidr, também deve-se buscar mesm cuidad na restriçã das prtas habilitadas desnecessariamente n servidr de banc de dads. Cada SGBD pssui a sua prta padrã na qual respnde as slicitações geradas pela aplicaçã u pelas ferramentas cliente instaladas em utrs equipaments da rede. Nada impede que essa prta seja alterada pr utra, prém prblema reside na existência de utras prtas n servidr e das quais banc nã utiliza e nenhum utr aplicativ d cliente requisite. Um cracker pde vir a buscar alguma prta aberta n servidr para tentar um ataque, seja de negaçã

59 58 de serviç u crrupçã lógica d equipament. Diante diss, é imprtante que essas prtas sejam blqueadas n sistema peracinal u, em nível mair, n firewall da rede, send respnsável pel barrament de ataques que busquem uma determinada prta de algum serviç aberta. 4.5 Vulnerabilidades de aplicativs Algumas vezes, cnfigura-se um ambiente de banc de dads atendend a tds s requisits de segurança pssíveis: restringe-se acess diret a servidr d banc; retira-se privilégis administrativs ds servidres; blqueiase prtas desnecessárias; elimina-se cntas inativas de usuáris; mas códig da aplicaçã destinad a utilizaçã d banc nã está devidamente cnfigurad para se evitar um ataque de injeçã de SQL. Cnfrme descrit n item 3.3 d capítul 3, s ataques de injeçã de SQL crrem cmumente devid à falta de validações de entrada em aplicativs e, também, usuáris dessas aplicações cm alts privilégis dentr d banc. Para iss, algumas ações devem ser tmadas para tratar essas vulnerabilidades e garantir um códig mais segur e cnfiável cntra esse tip de ataque. Pr ser uma falha que explra fragilidades geradas pel códig feit pel prgramadr, as ações de tratativa desse ataque sã, em sua mairia, tratadas dentr d própri códig. Só que alterações na estrutura de bjets da base de dads em questã e, pssivelmente, em sua regra de negóci também deverã ser necessárias para alinhament cm a reescrita d códig. Iss diz respeit a adçã de stred prcedures a invés de se utilizar a instruçã SQL tda n códig da aplicaçã e também uma melhr adaptaçã ds privilégis de cada usuári na base. Cada linguagem de prgramaçã apresenta uma frma de barrar ataques de injeçã de SQL e também algumas características em cmum. Sã elas: Utilizaçã de stred prcedures cm parâmetrs, cm métd de

60 59 prteger códig d site e facilitar na definiçã ds privilégis de execuçã n banc; Evitar caracteres cm aspas ( ), traçs hrizntais ( - - ) e pnt-evírgula ( ; ), bem cm palavras para manipulaçã de dads (INSERT, UPDATE, DELETE); Restriçã ds privilégis d usuári que executa a aplicaçã web, de md que esse pssua privilégis específics ns bjets que vai manipular; Fazer tratativa ds errs da aplicaçã para que nã detalhe a estrutura d banc de dads nas mensagens de err, facilitand a cleta de infrmações para frmar um ataque mais bem precis e perigs Tratativas de segurança em PHP O própri manual de segurança d PHP (PHPNET, 2009) já lista métds de validaçã e também algumas funcinalidades nativas da linguagem para tratativa cntra injeçã de SQL. Uma das principais medidas cntra esse prblema é a validaçã ds camps de entrada pstads ns aplicativs web. Nesse cas, desenvlvedr deve validar cada camp de entrada n aplicativ web, tratand s registrs de entrada ds quais a aplicaçã precisa. Segue exempl na figura 15 abaix: <?php $query = "SELECT id, nme FROM prduts WHERE tamanh = $size ;"; $result = dbc_exec ($cnn, $query);?> Figura 15 Exempl de códig escrit em PHP. Na instruçã acima, deve-se validar tip de dads esperad e tamanh máxim de caracteres para a variável $size. O PHP frnece funções específicas para validações de tips de variáveis. Uma pssível crreçã para cas acima seria a inclusã da

61 60 instruçã settype para cnfigurar tip da variável $size, cnfrme figura 16 abaix: settype($size, 'integer'); Figura 16 Funçã PHP para validaçã de tips de variáveis. Ou também a utilizaçã de funções nativas, cnfrme figura 17: // O parâmetr %d da funçã sprintf() define caracter d tip INTEGER. $query = sprintf("select id, nme FROM prduts WHERE tamanh = %d ;", $size); Figura 17 Funçã PHP para validaçã de variáveis numéricas. Cas tip de entrada esperada para a pçã $size fsse um text, parâmetr seria alterad para %s, e assim sucessivamente cm as demais pções. A funçã sprintf é bem interessante n quesit de validaçã de entradas numéricas em variáveis e trata muitas pssibilidades de fraude na instruçã SQL Tratativas de segurança em ASP.NET Times de especialistas da Micrsft desenvlveram sluções e divulgaram-nas para tratar vulnerabilidade de aplicativs. Segund uma nta ficial registrada pela Micrsft (MSDN, 2005), para validaçã de entradas de dads em páginas web existem determinadas funções, cm a RegularExpressinValidatr, que servem para atestar tip de dad recebid d camp de entrada da aplicaçã; de md a testar cnteúd da variável de entrada antes mesm de sua execuçã na base de dads. Segue abaix, na figura 18, um exempl desse cas citad acima, utilizand essa funçã d ASP.NET:

62 61 Figura 18 Exempl de códig ASP utilizand RegularExpressinValidatr. (Fnte: MSDN. 2005) Outr pnt nde a segurança da aplicaçã deve tratar bem é a utilizaçã de stred prcedures dentr d própri códig tend, brigatriamente, parâmetrs para serem repassads a essa prcedure. Iss prque a sua utilizaçã sem envi de um parâmetr de execuçã nã impedirá que uma instruçã malicisa nã seja executada, cas nã haja uma ba validaçã de entrada. Nesse cas, recmenda-se que códig d prcediment também nã pssua instruções que requerem privilégis alts de execuçã u mesm instruções que permitam execuçã direta de qualquer parâmetr recebid, cnfrme exemplificad abaix. Pis, num ataque de injeçã de SQL que cnsiga chegar até códig d prcediment, as chances de execuçã direta d códig malicis se trnam maires. A figura 19 ilustra uma stred prcedure cm códig vulnerável: CREATE PROCEDURE ntext AS exec GO Figura 19 Exempl de prcediment cm cdificaçã vulnerável. Mesm cm a nã pssibilidade de utilizaçã de stred prcedures para melhr cntrle da segurança d códig, ainda pde-se fazer validações das instruções SQL que recebem parâmetrs de entrada através de funções cm a SQLParameterCllectin. A figura 20 ilustra essa situaçã:

63 62 Figura 20 Validaçã de SQL dinâmic através de SQLParameterCllectin. (Fnte: MSDN. 2005) Observa-se n exempl acima que a é testada tant pel seu tip de dad recebid quant pel tamanh máxim esperad (nesse cas um text de, n máxim, 11 caracteres). 4.6 Imprtância d backup Nas situações nde um desastre fi inevitável; a segurança d banc de dads fi cmprmetida; dads fram danificads u destruíds, trna-se fundamental a necessidade d backup para a restauraçã das infrmações perdidas. A implantaçã de uma ba plítica de backup adequada à regra de negóci da empresa garantirá a recuperaçã desses dads perdids sem causar grande impact financeir à empresa. Impact esse que seria medid através d vlume de infrmações que seriam perdidas cas nã huvesse cm recuperá-ls, pdend afetar diretamente a perenidade da empresa. Diante diss, é fundamental que a plítica de backup d banc de dads esteja bem alinhada as necessidades da empresa. Deve-se cnfigurá-la para atender as necessidades de um restre pint-in-time (restauraçã de dads até mments antes d incidente crrid) de ambientes crítics e cujs dads sã bastante atualizads; até a execuçã de smente um backup diári para aquelas

64 63 bases que sfrem puca mdificaçã. Para bm entendiment d que será prpst na seqüência, faz-se necessári explanar sbre alguns cnceits sbre tips de backups. Backup full (cmplet): cópia integral d banc de dads cm tds s seus bjets e dads atualizads u nã atualizads. Backup diferencial: cópia smente daquil que fi alterad após últim backup full. Depende desse últim backup cmplet para que seja utilizad e banc restaurad, vist que servirá smente de ligaçã entre backup full e a data de sua execuçã. Backup transacinal u archivelg: cópia smente d que está armazenad dentr d arquiv de lg d banc e que fi gerad pr alguma transaçã nrmal deste. N Oracle arquiv de backup de lg é denminad archivelg, send gerad durante descarga d segment de und d banc. Já n SQL Server é denminad transactin lg e é gerad cnfrme agendament feit pel DBA n plan de manutençã d banc. Em ambs s SGBDs, deve-se cnfigurar a base de dads para pssibilitar a geraçã desses backups. Cm estratégias de backup devem ser elabradas pensand n negóci, alguns quesits devem ser bservads cm: O que necessita de backup diári e que nã requer? Quais sã s bjets crítics d banc? Qual vlume de dads que será feit backup diariamente? Qual a retençã adequada para esse backup gerad? Em cas de desastre, temp de restauraçã atende as necessidades? Geralmente, nem tdas as tabelas de um banc de dads sfrem alteraçã diariamente. Pr exempl, em um banc de dads há tabelas nde se cncentram infrmações financeiras, cntábeis, estque de prduts, u seja,

65 64 tabelas que sã cnstantemente alteradas; mas também há tabelas de cadastr de frnecedres, cadastr de funcináris, códigs fiscais, departaments da empresa, u seja, tabelas que puc u raramente sfrem alterações e cuj impact na perda de infrmações seja mínim. Cm iss, a adçã de backup diári de tabelas puc atualizadas trna-se desnecessári, além de cnsumir mais recurss espaç em disc, fitas de backup u qualquer utra mídia similar para armazenament dessas infrmações. Nesse cas, a implementaçã de backup semanal u quinzenal já atenderia a esses requisits. Em situaçã cntrária a apresentada acima estã as tabelas de registrs de flux de caixa, estque de prduts e que atendem a prcess financeir da empresa. Em geral, sã tabelas que sfrem cnstantes inserções e alterações de dads, n qual nã smente um backup diári, mas também backups transacinais, que sã gerads em intervals de temp menres e úteis n atendiment a restaurações pint-in-time. Assim, em cas de perda de dads durante dia é pssível a restauraçã ds dads perdids até mments antes d event crrid. Cm pde crrer da mdelagem da base de dads nã pssibilitar essa separaçã tã explicitamente, entã caberá a DBA definir uma plítica de backup igual para tds s bjets d banc. N entant, a mesma regra definida para um cnjunt de tabelas também pde ser aplicada a banc td, pr exempl, prgramar apenas 01 (um) backup diári para alguns bancs cm também backup diári e backups transacinais para utrs. Dependend d vlume de dads de uma base pde ser desinteressante que tda a massa de dads seja cpiada diariamente. Iss prque pderá demandar mais recurss dispníveis para armazenament daquele backup gerad cm, pr exempl, espaç em disc u mair númer de fitas de backup. Nessas situações, a adçã de backups incrementais é uma alternativa extremamente viável, pis pssibilitará a geraçã de arquivs menres e que demandarã mens recurss. N entant, tal medida deve estar bem alinhada a backup full d banc, pis é uma estratégia cmplementar deste e nã substitutiva. O períd de retençã ds arquivs de backup gravads em fita u mídias de backup também dependerá d cnteúd ds dads cpiads. Pr exempl, dads de instituições financeiras pssuem prazs legais de validade, u

66 65 seja, nã pderã ser destruíds até seu venciment legal. Pr iss, deve-se avaliar criterisamente temp de retençã desses backups de acrd cm as necessidades d negóci da empresa. Segue abaix alguns cenáris e suas plíticas de backup prpstas para cada situaçã. Lembrand que trata-se de prpstas e nã regras definitivas para serem implantadas: Cenári 1: Banc de dads destinad a armazenament da listagem de médics de um hspital e suas respectivas especialidades. Prpsta: Nesse cas, cm a lista de médics tende a sfrer mudanças mínimas n decrrer d dia, entã um backup full diári desse banc atenderá a necessidade. O períd de retençã pde ser apenas mensal. A figura 21 representa essa cnfiguraçã. Figura 21 Representaçã de uma plítica de backup full diári.

67 66 Cenári 2: Banc de dads destinad a cntrle de estque de uma lja revendedra de peças autmtivas. Prpsta: Nesse cas, cm flux de entrada e saída d estque tende a ser alt, entã é imprtante a utilizaçã de um backup full diári e backups transacinais n decrrer d dia para pssibilitar a restauraçã de dads até mments antes de um desastre, minimizand a pssibilidade de diferenças n estque de peças da lja. O períd de retençã também pde ser mensal, tant para backup full quant para backup transacinal. Segue, na figura 22, a ilustraçã da prpsta desse cenári. Figura 22 Representaçã de uma plítica de backup diária, cm 01 backup full (cmplet) e backups transacinais n decrrer d dia. Cenári 3: Banc de dads de uma instituiçã financeira, nde sã armazenadas tdas as transações bancárias d dia cm saques, depósits, transferências, pagaments, bem cm históric da mvimentaçã da cnta de cada cliente. Bases de dads de grande prte cm elevad vlume de dads e muita mvimentaçã diária.

68 67 Prpsta: Cas crític, nde é imprtante nã smente pensar na geraçã ds backups diáris cm também ns recurss demandads para armazenament ds backups. Nesse cenári, pde-se adtar backup full uma u duas vezes na semana, intercalad cm backups incrementais ns demais dias, e adicinad a backups transacinais n decrrer de cada dia. A retençã nesse cas deverá ser superir a 30 dias, pis se trata de transações financeiras e que requerem mair temp de armazenament. A ilustraçã da figura 23 abaix representa essa prpsta. Figura 23 Representaçã de uma plítica de backup cm 02 backups full na semana, intercalads cm backups diferenciais ns demais dias e backups transacinais n decrrer de cada dia. O plan de backup deve ser adequad também a temp desejad para a recuperaçã das infrmações, pis a demra n restabeleciment ds dads perdids pderá causar perdas a negóci da empresa impedind a cncretizaçã de nvas prtunidades. Esse temp desejad é definid baseand-se na criticidade d banc e ds bjets afetads e quant a empresa suprta sem ambiente peracinal. Prtant, a plítica de backup deve ser planejada bservand as características de cada banc, s recurss dispníveis para armazenament e temp desejad para recuperaçã de um desastre, visand menr impact diret nas perações da empresa.

69 Mnitrament d banc Segund Pichiliani (2008), mnitrament d banc de dads é uma das principais respnsabilidades n dia-a-dia de trabalh d DBA, pis envlve administraçã, manutençã e melhria d ambiente. O mnitrament de um banc de dads nã se resume apenas na mnitria d SGBD em si, mas também d servidr cm um td. Iss deve-se a interaçã entre diverss aplicativs e as bases de dads que sã utilizadas pr eles. Mnitrar ambiente de banc de dads englba bservar espaç em disc cupad pr este banc, s recurss físics e lógics d servidr, s serviçs que executam nele e sã imprtantes para funcinament d banc, bem cm algumas ações realizadas dentr da base de dads. N mercad e também na internet há diversas ferramentas de mnitrament dispníveis, sejam elas cmerciais Smart da empresa HP, SCOM (System Center Operatin Manager) da Micrsft e Sptlight da empresa Quest u as ferramentas cmumente cnhecidas e gratuitas Nagis e JFF. Deve-se habilitar a mnitria ds serviçs principais d SGBD, de md que capturem alguma indispnibilidade da base de dads. Juntamente cm s serviçs d banc é necessári mnitrament d espaç em disc destinad a armazenament das bases de dads e seus arquivs de cntrle, muit cmuns n Oracle (cmumente cnhecids cm cntrl files). N cas ds discs d servidr, primeiramente é imprtante a definiçã ds limites para alarme de área (também cnhecids cm threshlds), de md que pssa haver uma intervençã n ambiente para tratar prblema antes que disc sfra estur de área. Cm iss, definem-se s limites para s alarmes crítics e s alarmes de alerta, send este últim event presente smente em alguns sistemas de mnitrament. Ambs s aplicativs de mnitrament pssuem suas características próprias de cleta e apresentaçã ds dads cletads, ficand a critéri d DBA a esclha daquele aplicativ que melhr atender as suas necessidades atuais. Já na camada de banc de dads também há funcinalidades nativas

70 69 de cada SGBD para mnitria de events que DBA cnsiderar imprtante ter seu cnheciment e cntrle. Nesse cas, se destacam as triggers e as ferramentas de trace n suprte a essas necessidades. O SQL Server 2005, pr exempl, pssui as DDL Triggers (DYE, 2008), que sã executadas n banc antes u depis de um event de alteraçã de bjets da base de dads cm CREATE u ALTER. Esse tip de mnitrament pde ser interessante para cntrlar u registrar a criaçã de bjets na base pr pessas nã autrizadas, deixand um históric de tdas as crrências desse tip registradas, inclusive. Events à nível d banc de dads u à nível de servidr que pdem acinar essas DDL Triggers, cada um cm um grup de cmands específics. De psse desses events, uma série de cmbinações de regras de mnitrament pde ser criada, send útil para diversas ações que se deseje auditar n ambiente. Os events na camada de banc de dads que pdem ser auditads sã: 1. Events DDL para tabelas : Create table, Alter table, Drp table 2. Events DDL para visões: Create view, Alter view, Drp view 3. Events DDL para triggers:create trigger, Drp trigger, Alter trigger 4. Events DDL para sinônims: Create synnym, drp synnym 5. Events DDL para índices: Create index, Alter index, Drp Index 6. Events DDL para implementar segurança n banc: Create User, Drp user, Alter user Create rle, Drp rle, Alter rle Create applicatin rle, Drp applicatin rle, Alter Applicatin rle Create Schema, Drp Schema, Alter Schema Grant database access, Revke database access, Deny Database access 7. Events DDL para Service brker: Create Message type, Alter Message type, Drp Message type Create cntract, Drp cntract, Alter cntract Create Service, Alter service, Drp Service Create rute, Drp rute, Alter rute Já s events na camada d servidr que pdem ser auditads sã: 1. Create Database, Drp Database 2. Create Lgin, Drp Lgin, Alter Lgin

71 Auditria n banc de dads Cm última das atividades de cnfiguraçã d servidr de banc de dads é imprtante a habilitaçã de auditria n SGBD. Essa auditria tem cm finalidade registrar events gerads pel SGBD para que ajudem na identificaçã de invasres u diagnsticar alarmes, send de grande utilidade para a segurança d banc. O bjetiv da auditria nã é impedir que events de segurança acnteçam, mas sim deixá-ls registrads para que sejam passíveis de análises futuras. Desse md, será feit as tratativas devidas para impedir que tal event crra nvamente e venha a cmprmeter ambiente de banc de dads. Cada SGBD pssui suas frmas de auditria e diversas pssibilidades de auditria para serem implantadas. Obviamente, muitas dessas sã para cass específics e dependerã bastante da criticidade da base de dads e d nível de sigil das infrmações inseridas. Também deve ser cnsiderad a questã da área dispnível u banc de armazenament ds dads auditads, uma vez que acabarã demandand espaç para serem gravads. Numa auditria básica, é interessante registrar s events de falha de autenticaçã n banc de dads, para cass de ataque de injeçã de SQL (em bases cm infrmações sigilsas é viável registr de tdas as autenticações realizadas); alterações de bjets d banc, também visand cntrlar intervenções em ambientes de mair criticidade; até a cncessã de privilégis a usuáris d banc de dads. A auditria pde ser custmizada através da criaçã de triggers u us das pções nativas d SGBD em questã. N Oracle (METALINK, 2009), para se habilitar auditria deve-se iniciar banc de dads cm a pçã AUDIT_TRAIL habilitada. De acrd cm md de auditria habilitada, pde-se apntar um lcal de armazenament ds arquivs através d parâmetr AUDIT_FILE_DEST u entã registr ds dads na tabela SYS.AUD$ d tablespace SYSTEM. Em cas de sistema peracinal Windws, s dads auditads pdem ser registrads n Visualizadr de Events.

72 71 Daí em diante, apenas esclhe-se quais s events d Oracle que serã auditads dentre tda a variedade dispnibilizada pel SGBD. O SQL Server pssui em sua cnsle de gerenciament a pçã de habilitar registr das autenticações feitas n SGBD. A figura 24 ilustra uma auditria habilitada para armazenar tdas as autenticações que apresentaram falha. Figura 24 Tela de prpriedades d SQL Server apresentand a pçã de Failure marcada n AUDIT LEVEL. Também pde ser habilitada auditria através d us de triggers (SQL Magazine, 2008). Inclusive, us desse bjet d banc permite uma variedade mair de pções para registr de alterações em bjets, inserçã u remçã de dads de alguma tabela, dentre utrs events.

Integração com coletores de ponto, catracas, dispositivos de abertura de portas, fechaduras eletromagnéticas,

Integração com coletores de ponto, catracas, dispositivos de abertura de portas, fechaduras eletromagnéticas, Vsft ids Pnt Web Cntrle de acess e pnt A Vsft desenvlveu uma sluçã baseada em sftware e hardware para cntrle de acess e u pnt que pde ser utilizada pr empresas de qualquer prte. Cm us da tecnlgia bimétrica

Leia mais

Projetos, Programas e Portfólios

Projetos, Programas e Portfólios Prjets, Prgramas e Prtfólis pr Juliana Klb em julianaklb.cm Prjet Segund PMBOK (2008): um prjet é um esfrç temprári empreendid para criar um nv prdut, serviç u resultad exclusiv. Esta definiçã, apesar

Leia mais

Integração com coletores de ponto, catracas, dispositivos de abertura de portas, fechaduras eletromagnéticas,

Integração com coletores de ponto, catracas, dispositivos de abertura de portas, fechaduras eletromagnéticas, Vsft ids Acess Web Cntrle de acess e pnt A Vsft desenvlveu uma sluçã baseada em sftware e hardware para cntrle de acess e u pnt que pde ser utilizada pr empresas de qualquer prte. Cm us da tecnlgia bimétrica

Leia mais

Definições Relacionadas à Política de Segurança da Informação

Definições Relacionadas à Política de Segurança da Informação Definições Relacinadas à Plítica de Segurança da Infrmaçã Área respnsável Versã Data de emissã Data de revisã Data de vigência Infrmática Crprativa - Segurança 1.2 20/08/2009 30/10/2013 01/02/2014 Objetiv

Leia mais

Anexo V. Software de Registro Eletrônico em Saúde. Implantação em 2 (duas) Unidades de Saúde

Anexo V. Software de Registro Eletrônico em Saúde. Implantação em 2 (duas) Unidades de Saúde Anex V Sftware de Registr Eletrônic em Saúde Implantaçã em 2 (duas) Unidades de Saúde Índice 1 INTRODUÇÃO... 3 2 ESTRATÉGIAS E PROCEDIMENTOS DE IMPLANTAÇÃO... 3 4 INFRAESTRUTURA NAS UNIDADES DE SAÚDE -

Leia mais

GUIA RÁPIDO DE CONFIGURAÇÃO PARA WINDOWS

GUIA RÁPIDO DE CONFIGURAÇÃO PARA WINDOWS GUIA RÁPIDO DE CONFIGURAÇÃO PARA WINDOWS CONTEÚDO 1. Intrduçã... 3 2. Requisits de Sftware e Hardware:... 3 3. Usuári e Grups:... 3 3.1. Cnfigurand cm Micrsft AD:... 3 3.2. Cnfigurand s Grups e Usuáris:...

Leia mais

Versões Todos os módulos devem ser atualizados para as versões a partir de 03 de outubro de 2013.

Versões Todos os módulos devem ser atualizados para as versões a partir de 03 de outubro de 2013. Serviç de Acess as Móduls d Sistema HK (SAR e SCF) Desenvlvems uma nva ferramenta cm bjetiv de direcinar acess ds usuáris apenas as Móduls que devem ser de direit, levand em cnsideraçã departament de cada

Leia mais

PORTARIA N. 8.605 de 05 de novembro de 2013.

PORTARIA N. 8.605 de 05 de novembro de 2013. PORTARIA N. 8.605 de 05 de nvembr de 2013. Altera a Plítica de Segurança da Infrmaçã n âmbit d Tribunal Reginal d Trabalh da 4ª Regiã. A PRESIDENTE DO, n us de suas atribuições legais e regimentais, CONSIDERANDO

Leia mais

HARDWARE e SOFTWARE. O Computador é composto por duas partes: uma parte física (hardware) e outra parte lógica (software).

HARDWARE e SOFTWARE. O Computador é composto por duas partes: uma parte física (hardware) e outra parte lógica (software). HARDWARE e SOFTWARE O Cmputadr é cmpst pr duas partes: uma parte física (hardware) e utra parte lógica (sftware). Vcê sabe qual é a diferença entre "Hardware" e "Sftware"? Hardware: é nme dad a cnjunt

Leia mais

Gestão do Escopo 1. Planejamento da Gestão do Escopo: 2. Definição do Escopo: 3. Elaboração da EDT(EAP): 4. Verificação do Escopo:

Gestão do Escopo 1. Planejamento da Gestão do Escopo: 2. Definição do Escopo: 3. Elaboração da EDT(EAP): 4. Verificação do Escopo: Gestã d Escp 1. Planejament da Gestã d Escp: i. Autrizaçã d prjet ii. Definiçã d escp (preliminar) iii. Ativs em cnheciments rganizacinais iv. Fatres ambientais e rganizacinais v. Plan d prjet i. Plan

Leia mais

Cursos Profissionais de Nível Secundário (Decreto-Lei n.º 74/2004, de 26 de Março)

Cursos Profissionais de Nível Secundário (Decreto-Lei n.º 74/2004, de 26 de Março) REFERENCIAL DE FORMAÇÃO Curss Prfissinais de Nível Secundári (Decret-Lei n.º 74/2004, de 26 de Març) Família Prfissinal: 07 - Infrmática 1. QUALIFICAÇÕES / SAÍDAS PROFISSIONAIS As qualificações de nível

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO II PROJETO BÁSICO: JORNADA AGIR

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO II PROJETO BÁSICO: JORNADA AGIR CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO II PROJETO BÁSICO: JORNADA AGIR 1. Históric da Jrnada AGIR Ns ambientes crprativs atuais, a adçã de um mdel de gestã integrada é uma decisã estratégica n api às tmadas

Leia mais

Anexo 03 Recomendação nº 3: estatuto padrão, estatuto fundamental e contrato social

Anexo 03 Recomendação nº 3: estatuto padrão, estatuto fundamental e contrato social Anex 03 Recmendaçã nº 3: estatut padrã, estatut fundamental e cntrat scial 1. Resum 01 Atualmente, Estatut da Crpraçã da Internet para a atribuiçã de nmes e númers (ICANN) tem um mecanism únic para alterações.

Leia mais

ARQUITETURA E INSTALAÇÃO PROTHEUS 11

ARQUITETURA E INSTALAÇÃO PROTHEUS 11 ARQUITETURA E INSTALAÇÃO PROTHEUS 11 OBJETIVO Infraestrutura e tecnlgia d Prtheus sã a base de uma sluçã de gestã empresarial rbusta, que atende a tdas as necessidades de desenvlviment, persnalizaçã, parametrizaçã

Leia mais

MANUAL dos LABORATÓRIOS De INFORMÁTICA

MANUAL dos LABORATÓRIOS De INFORMÁTICA MANUAL ds LABORATÓRIOS De INFORMÁTICA Objetiv 1. Oferecer as aluns a infra-estrutura e suprte necessári à execuçã de tarefas práticas, slicitadas pels prfessres, bservand s prazs estabelecids. 2. Oferecer

Leia mais

PROCESSO EXTERNO DE CERTIFICAÇÃO

PROCESSO EXTERNO DE CERTIFICAÇÃO 1 de 7 1. OBJETIVO Este prcediment estabelece prcess para cncessã, manutençã, exclusã e extensã da certificaçã de sistema de segurança cnfrme ABNT NBR 15540. 2. DOCUMENTOS COMPLEMENTARES - ABNT NBR 15540:2013:

Leia mais

EIKON DOCUMENTS - ESPECIFICAÇÃO TÉCNICA

EIKON DOCUMENTS - ESPECIFICAÇÃO TÉCNICA EIKON DOCUMENTS - ESPECIFICAÇÃO TÉCNICA VERSÃO Eikn Dcuments 2007 Service Pack 5 (2.9.5) Fevereir de 2010 DATA DE REFERÊNCIA DESCRIÇÃO Sftware para implantaçã de sistemas em GED / ECM (Gerenciament Eletrônic

Leia mais

Manual de Instalação e Configuração

Manual de Instalação e Configuração Manual de Instalaçã e Cnfiguraçã Prdut:n-ReleaserEmbedded fr Lexmark Versã 1.2.1 Versã d Dc.:1.0 Autr: Lucas Machad Santini Data: 14/04/2011 Dcument destinad a: Clientes e Revendas Alterad pr: Release

Leia mais

Processos de Apoio do Grupo Consultivo 5.5 Suporte Informático Direito de Acesso à Rede

Processos de Apoio do Grupo Consultivo 5.5 Suporte Informático Direito de Acesso à Rede Prcesss de Api d Grup Cnsultiv 5.5 Suprte Infrmátic Direit de Acess à Rede Suprte Infrmátic - Dcuments 5.5 Âmbit e Objectiv Frmuláris aplicáveis Obrigatóris Obrigatóris, se aplicável Frmulári de Mapa de

Leia mais

REGULAMENTO DE ESTÁGIO DE INICIAÇÃO PROFISSIONAL

REGULAMENTO DE ESTÁGIO DE INICIAÇÃO PROFISSIONAL REGULAMENTO DE ESTÁGIO DE INICIAÇÃO PROFISSIONAL Intrduçã O presente Regulament cnstitui um dcument intern d curs de Ciências Cntábeis e tem pr bjetiv reger as atividades relativas a Estági de Iniciaçã

Leia mais

3. TIPOS DE MANUTENÇÃO:

3. TIPOS DE MANUTENÇÃO: 3. TIPOS DE MANUTENÇÃO: 3.1 MANUTENÇÃO CORRETIVA A manutençã crretiva é a frma mais óbvia e mais primária de manutençã; pde sintetizar-se pel cicl "quebra-repara", u seja, repar ds equipaments após a avaria.

Leia mais

CONTROLE INTERNO NA INDÚSTRIA AUTOMOBILÍSTICA: Um Estudo de Caso

CONTROLE INTERNO NA INDÚSTRIA AUTOMOBILÍSTICA: Um Estudo de Caso CONTROLE INTERNO NA INDÚSTRIA AUTOMOBILÍSTICA: Um Estud de Cas Camila Gmes da Silva 1, Vilma da Silva Sant 2, Paul César Ribeir Quintairs 3, Edsn Aparecida de Araúj Querid Oliveira 4 1 Pós-graduada em

Leia mais

Workflow. José Palazzo Moreira de Oliveira. Mirella Moura Moro

Workflow. José Palazzo Moreira de Oliveira. Mirella Moura Moro Pdems definir Wrkflw cm: Wrkflw Jsé Palazz Mreira de Oliveira Mirella Mura Mr "Qualquer tarefa executada em série u em paralel pr dis u mais membrs de um grup de trabalh (wrkgrup) visand um bjetiv cmum".

Leia mais

Regulamento para realização do Trabalho de Conclusão de Curso

Regulamento para realização do Trabalho de Conclusão de Curso Universidade Federal d Ceará Campus de Sbral Curs de Engenharia da Cmputaçã Regulament para realizaçã d Trabalh de Cnclusã de Curs Intrduçã Este dcument estabelece as regras básicas para funcinament das

Leia mais

WEB MANAGER. Conhecendo o Web Manager!

WEB MANAGER. Conhecendo o Web Manager! WEB MANAGER Cnhecend Web Manager! O Web Manager é uma pdersa ferramenta para gestã de Sites, prtais, intranets, extranets e htsites. Cm ela é pssível gerenciar ttalmente seus ambientes web. Integrad ttalmente

Leia mais

Por favor, considere a proteção ao meio ambiente antes de imprimir esse documento

Por favor, considere a proteção ao meio ambiente antes de imprimir esse documento Interbrs Tecnlgia e Sluções de Internet Ltda. Rua Dr. Guilherme Bannitz, 126 2º andar Cnj. 21 /179 Itaim Bibi - Sã Paul- SP - 04532-060 Fne: 55 11 9209-3717 / 55 11 8162-0161 Pr favr, cnsidere a prteçã

Leia mais

Os novos usos da tecnologia da informação nas empresas Sistemas de Informação

Os novos usos da tecnologia da informação nas empresas Sistemas de Informação Os nvs uss da tecnlgia da infrmaçã nas empresas Sistemas de Infrmaçã Prf. Marcel da Silveira Siedler siedler@gmail.cm SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS Planejament

Leia mais

PIM TECNOLOGIA EM GERENCIAMENTO DE REDES DE COMPUTADORES (GR3P30)

PIM TECNOLOGIA EM GERENCIAMENTO DE REDES DE COMPUTADORES (GR3P30) UNIP Brasília - Crdenaçã CG/CW/GR/AD Senhres Aluns, Seguem infrmações imprtantes sbre PIM: 1. O QUE É? - Os PIM (Prjet Integrad Multidisciplinar) sã prjets brigatóris realizads els aluns ds curss de graduaçã

Leia mais

Relatório de Gerenciamento de Riscos

Relatório de Gerenciamento de Riscos Relatóri de Gerenciament de Riscs 2º Semestre de 2014 1 Sumári 1. Intrduçã... 3 2. Gerenciament de Riscs... 3 3. Risc de Crédit... 4 3.1. Definiçã... 4 3.2. Gerenciament... 4 3.3. Limites de expsiçã à

Leia mais

Vensis PCP. Rua Américo Vespúcio, 71 Porto Alegre / RS (51) 3012-4444 comercial@vensis.com.br www.vensis.com.br

Vensis PCP. Rua Américo Vespúcio, 71 Porto Alegre / RS (51) 3012-4444 comercial@vensis.com.br www.vensis.com.br Vensis PCP Vensis PCP O PCP é módul de planejament e cntrle de prduçã da Vensis. Utilizad n segment industrial, módul PCP funcina de frma ttalmente integrada a Vensis ERP e permite às indústrias elabrar

Leia mais

CURSO PREPARATÓRIO PARA CERTIFICAÇÃO

CURSO PREPARATÓRIO PARA CERTIFICAÇÃO Cnteúd prgramátic CURSO PREPARATÓRIO PARA CERTIFICAÇÃO Este é cnteúd prgramátic d curs preparatóri n nv prgrama CDO-0001 para a certificaçã CmpTIA CDIA+. CONCEITUAL ECM Apresentaçã ds cnceits envlvids

Leia mais

ISO 9001:2008 alterações à versão de 2000

ISO 9001:2008 alterações à versão de 2000 ISO 9001:2008 alterações à versã de 2000 Já passaram quase it ans desde que a versã da ISO 9001 d an 2000 fi publicada, que cnduziu à necessidade de uma grande mudança para muitas rganizações, incluind

Leia mais

Metodologia de Desenvolvimento de Sistemas

Metodologia de Desenvolvimento de Sistemas Guia d Prcess de Sftware d MAPA Metdlgia de Desenvlviment de Sistemas Versã 1.0 Dcument cnfidencial e prprietári Versã d mdel: 1.1 Históric das Revisões Data Versã Descriçã Autr 24/03/2008 1.0 Iníci da

Leia mais

Software Para Controle de Acesso e Ponto

Software Para Controle de Acesso e Ponto Sftware Para Cntrle de Acess e Pnt Características e Funcinalidades Versã 2.0 Inipass é marca registrada da Prjedata Infrmática Ltda. Tds s direits reservads à Prjedata Infrmática Ltda. Características

Leia mais

SDK (Software Development Kit) do Microsoft Kinect para Windows

SDK (Software Development Kit) do Microsoft Kinect para Windows SDK (Sftware Develpment Kit) d Micrsft Kinect para Windws Os presentes terms de licença cnstituem um acrd entre a Micrsft Crpratin (u, dependend d lcal n qual vcê esteja dmiciliad, uma de suas afiliadas)

Leia mais

SEGURANÇA NO TRABALHO CONTRATADOS E TERCEIROS DO CLIENTE

SEGURANÇA NO TRABALHO CONTRATADOS E TERCEIROS DO CLIENTE Flha 1 de 8 Rev. Data Cnteúd Elabrad pr Aprvad pr 0 16/06/2004 Emissã inicial englband a parte técnica d GEN PSE 004 Luiz C. Sants Cmitê da Qualidade 1 31/01/2006 Revisã geral Luiz C. Sants Cmitê da Qualidade

Leia mais

3 Formulação da Metodologia 3.1. Considerações Iniciais

3 Formulação da Metodologia 3.1. Considerações Iniciais 53 3 Frmulaçã da Metdlgia 3.1. Cnsiderações Iniciais O presente capítul tem cm finalidade prpr e descrever um mdel de referencia para gerenciament de prjets de sftware que pssa ser mensurável e repetível,

Leia mais

Matemática / 1ª série / ICC Prof. Eduardo. Unidade 1: Fundamentos. 1 - Introdução ao Computador

Matemática / 1ª série / ICC Prof. Eduardo. Unidade 1: Fundamentos. 1 - Introdução ao Computador Unidade 1: Fundaments 1 - Intrduçã a Cmputadr Cnceits básics e Terminlgias O cmputadr é uma máquina eletrônica capaz de realizar uma grande variedade de tarefas cm alta velcidade e precisã, desde que receba

Leia mais

REQUISITOS PRINCIPAIS: Regulamentação final sobre controles preventivos de alimentos para consumo humano Visão rápida

REQUISITOS PRINCIPAIS: Regulamentação final sobre controles preventivos de alimentos para consumo humano Visão rápida O FDA ferece esta traduçã cm um serviç para um grande públic internacinal. Esperams que vcê a ache útil. Embra a agência tenha tentad bter uma traduçã mais fiel pssível à versã em inglês, recnhecems que

Leia mais

Relatório de Gerenciamento de Riscos

Relatório de Gerenciamento de Riscos Relatóri de Gerenciament de Riscs 2º Semestre de 2015 1 Sumári 1. Intrduçã... 3 2. Gerenciament de Riscs... 3 2.1. Organgrama... 4 3. Risc de Crédit... 4 3.1. Definiçã... 4 3.2. Gerenciament... 4 3.3.

Leia mais

Modelagem, qualificação e distribuição em um padrão para geoinformações

Modelagem, qualificação e distribuição em um padrão para geoinformações Mdelagem, qualificaçã e distribuiçã em um padrã para geinfrmações Julia Peixt 14h, 14 de junh de 2010. Mtivaçã Acerv de dads desde 1994 em diferentes áreas de pesquisa; Muitas pessas fazend muits trabalhs

Leia mais

Desenho centrado em utilização

Desenho centrado em utilização Desenh centrad em utilizaçã Engenharia de Usabilidade Prf.: Clarind Isaías Pereira da Silva e Pádua Departament de Ciência da Cmputaçã - UFMG Desenh centrad em utilizaçã Referências Cnstantine, L.L., &

Leia mais

^i * aesíqn e=> ~omunícc3ç:c30

^i * aesíqn e=> ~omunícc3ç:c30 ^i * aesíqn e=> ~munícc3ç:c30 CONTRATO DE LICENÇA DE USO DO SISTEMA - SUBMIT CMS Web Site da Prefeitura de Frei Martinh - Paraíba 1. IDENTIFICAÇÃO DAS PARTES CONTRATANTE Prefeitura Municipal de Frei Martinh

Leia mais

Requisitos técnicos de alto nível da URS para registros e registradores

Requisitos técnicos de alto nível da URS para registros e registradores Requisits técnics de alt nível da URS para registrs e registradres 17 de utubr de 2013 Os seguintes requisits técnics devem ser seguids pels peradres de registr e registradres para manter a cnfrmidade

Leia mais

Aula 11 Bibliotecas de função

Aula 11 Bibliotecas de função Universidade Federal d Espírit Sant Centr Tecnlógic Departament de Infrmática Prgramaçã Básica de Cmputadres Prf. Vítr E. Silva Suza Aula 11 Biblitecas de funçã 1. Intrduçã À medida que um prgrama cresce

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvlviment de Sistemas 3ª série Fundaments de Sistemas Operacinais A atividade prática supervisinada (ATPS) é um métd de ensinaprendizagem desenvlvid

Leia mais

Vensis Manutenção. Rua Américo Vespúcio, 71 Porto Alegre / RS (51) 3012-4444 comercial@vensis.com.br www.vensis.com.br

Vensis Manutenção. Rua Américo Vespúcio, 71 Porto Alegre / RS (51) 3012-4444 comercial@vensis.com.br www.vensis.com.br Vensis Manutençã Vensis Manutençã É módul que permite gerenciament da manutençã de máquinas e equipaments. Prgramaçã de manutenções preventivas u registr de manutenções crretivas pdem ser feits de frma

Leia mais

PLATAFORMA EMPRESAS PELO CLIMA

PLATAFORMA EMPRESAS PELO CLIMA PLATAFORMA EMPRESAS PELO CLIMA CAMINHO PARA ELABORAÇÃO DE AGENDAS EMPRESARIAIS EM ADAPTAÇÃO ÀS MUDANÇAS DO CLIMA Prpsta de Framewrk Resultad d diálg crrid em 26 de junh de 2013, n Fórum Latin-American

Leia mais

Projeto de Arquitetura Objetivos. Tópicos abordados. Arquitetura de software. Vantagens da arquitetura explícita

Projeto de Arquitetura Objetivos. Tópicos abordados. Arquitetura de software. Vantagens da arquitetura explícita Prjet de Arquitetura Objetivs Apresentar prjet de arquitetura e discutir sua imprtância Explicar as decisões de prjet de arquitetura que têm de ser feitas Apresentar três estils cmplementares de arquitetura

Leia mais

PRINCIPAIS REQUISITOS: Regra final sobre Programas de Verificação do Fornecedor Estrangeiro Em resumo

PRINCIPAIS REQUISITOS: Regra final sobre Programas de Verificação do Fornecedor Estrangeiro Em resumo O FDA ferece esta traduçã cm um serviç para um grande públic internacinal. Esperams que vcê a ache útil. Embra a agência tenha tentad bter uma traduçã mais fiel pssível à versã em inglês, recnhecems que

Leia mais

GESTÃO DE PROJETOS. Uma visão geral Baseado nas diretrizes do PMI

GESTÃO DE PROJETOS. Uma visão geral Baseado nas diretrizes do PMI GESTÃO DE PROJETOS Uma visã geral Bead n diretrizes d PMI 1 Intrduçã Objetiv da Apresentaçã O bjetiv é frnecer uma visã geral ds prcesss de Gestã de Prjets aplicads à Gestã de Empreendiments. O que é Prjet?

Leia mais

Academia FI Finanças

Academia FI Finanças Academia FI Finanças A Academia é melhr caminh para especializaçã dentr de um tema n ERP da SAP. Para quem busca uma frmaçã cm certificaçã em finanças, mais indicad é participar da próxima Academia de

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versã 0.0 25/10/2010 Sumári 1 Objetivs... 3 2 Cnceits... 3 3 Referências... 3 4 Princípis... 3 5 Diretrizes d Prcess... 4 6 Respnsabilidades... 5 7

Leia mais

Capítulo VII Projetos de eficiência energética em iluminação pública Por Luciano Haas Rosito*

Capítulo VII Projetos de eficiência energética em iluminação pública Por Luciano Haas Rosito* 20 Api O Setr Elétric / Julh de 2009 Desenvlviment da Iluminaçã Pública n Brasil Capítul VII Prjets de eficiência energética em iluminaçã pública Pr Lucian Haas Rsit* Neste capítul abrdarems s prjets de

Leia mais

PRÊMIO INOVAÇÃO PGQP 2014

PRÊMIO INOVAÇÃO PGQP 2014 QUALIDADE RS PGQP PROGRAMA GAÚCHO DA QUALIDADE E PRODUTIVIDADE PRÊMIO INOVAÇÃO PGQP 2014 GUIA PARA CANDIDATURA SUMÁRIO 1. O PRÊMIO INOVAÇÃO PGQP... 3 1.1 Benefícis... 3 2. PREMIAÇÃO... 3 2.1 Diretrizes

Leia mais

MANUAL DE PROCEDIMENTOS REALIZAR MANUTENÇÃO PREDIAL

MANUAL DE PROCEDIMENTOS REALIZAR MANUTENÇÃO PREDIAL Códig: MAP-DILOG-002 Versã: 00 Data de Emissã: 01/01/2013 Elabrad pr: Gerência de Instalações Aprvad pr: Diretria de Lgística 1 OBJETIVO Estabelecer cicl d prcess para a manutençã predial crretiva e preventiva,

Leia mais

Banco de Dados. DIEGO BARCELOS RODRIGUES dbarcelos@ifes.edu.br 2015 (2015/1) 1. Ifes - Campus Cachoeiro de Itapemirim

Banco de Dados. DIEGO BARCELOS RODRIGUES dbarcelos@ifes.edu.br 2015 (2015/1) 1. Ifes - Campus Cachoeiro de Itapemirim Ifes - Campus Cacheir de Itapemirim Banc de Dads DIEGO BARCELOS RODRIGUES dbarcels@ifes.edu.br 2015 (2015/1) 1 Agenda Breve revisã ds Cnceits Básics SQL (Linguagem de Cnsulta Estruturada) Subdivisões da

Leia mais

GESTÃO DE LABORATÓRIOS

GESTÃO DE LABORATÓRIOS Seminári Luanda, 26,27,28,29 e 30 de Mai de 2014 - Htel **** Guia Prática GESTÃO DE LABORATÓRIOS Finanças Assegure uma gestã eficaz de tdas as áreas 40 hras de Frmaçã Especializada Cnceits ecnómic-financeirs

Leia mais

FACULDADE DE MEDICINA DA UNIVERSIDADE DO PORTO

FACULDADE DE MEDICINA DA UNIVERSIDADE DO PORTO FACULDADE DE MEDICINA DA UNIVERSIDADE DO PORTO C e n t r d e I n f r m á t i c a NORMAS DE UTILIZAÇÃO DOS LABORATÓRIOS DE INFORMÁTICA A FMUP dispõe de salas e labratóris de infrmática gerids pel Centr

Leia mais

Plano de curso Planejamento e Controle da Manutenção de Máquinas e Equipamentos

Plano de curso Planejamento e Controle da Manutenção de Máquinas e Equipamentos PLANO DE CURSO MSOBRPCMME PAG1 Plan de curs Planejament e Cntrle da Manutençã de Máquinas e Equipaments Justificativa d curs Nã é fácil encntrar uma definiçã cmpleta para Gestã da manutençã de máquinas

Leia mais

Proposta. Projeto: VENSSO. Data 25/05/2005. Andrade Lima Damires Fernandes Andrade Lima Damires Fernandes. Responsável. Autor (s)

Proposta. Projeto: VENSSO. Data 25/05/2005. Andrade Lima Damires Fernandes Andrade Lima Damires Fernandes. Responsável. Autor (s) Prpsta Prjet: Data 25/05/2005 Respnsável Autr (s) Dc ID Andrade Lima Damires Fernandes Andrade Lima Damires Fernandes Lcalizaçã Versã d Template

Leia mais

Âmbito do Documento. Modelo de Comunicação. Modelo de Comunicação. Prescrição Eletrónica Médica - Aplicação

Âmbito do Documento. Modelo de Comunicação. Modelo de Comunicação. Prescrição Eletrónica Médica - Aplicação Mdel de Cmunicaçã Prescriçã Eletrónica Médica - Aplicaçã Âmbit d Dcument O presente dcument traduz mdel de cmunicaçã entre Centr de Suprte da SPMS e clientes da aplicaçã de Prescriçã Eletrónica Médica

Leia mais

TESTE DE SOFTWARE (Versão 2.0)

TESTE DE SOFTWARE (Versão 2.0) Universidade Luterana d Brasil Faculdade de Infrmática Disciplina de Engenharia de Sftware Prfessr Luís Fernand Garcia www.garcia.pr.br TESTE DE SOFTWARE (Versã 2.0) 9 Teste de Sftware Imprtância Dependência

Leia mais

Universidade Luterana do Brasil Faculdade de Informática. Disciplina de Engenharia de Software Professor Luís Fernando Garcia www.garcia.pro.

Universidade Luterana do Brasil Faculdade de Informática. Disciplina de Engenharia de Software Professor Luís Fernando Garcia www.garcia.pro. Universidade Luterana d Brasil Faculdade de Infrmática Disciplina de Engenharia de Sftware Prfessr Luís Fernand Garcia www.garcia.pr.br EVOLUÇÃO EM ENGENHARIA DE SOFTWARE 10 Sistemas Legads O investiment

Leia mais

Política de Privacidade Qrush Cards

Política de Privacidade Qrush Cards Plítica de Privacidade Qrush Cards Última atualizaçã em 21/09/2013 A Qrush Tecnlgia e Serviçs Ltda repeita a privacidade de seus clientes e usuáris e desenvlveu esta Plítica de Privacidade para demnstrar

Leia mais

SEGURANÇA DE DADOS CLÍNICOS

SEGURANÇA DE DADOS CLÍNICOS SEGURANÇA DE DADOS CLÍNICOS 6/16/2005 HSM/SSIT-07062005/CA Carls Ferreira Hspital de Santa Maria Serviç de Sistemas de Infrmaçã e Telecmunicações Av. Prf. Egas Mniz 1649-035 Lisba Tel.: (+351) 217805327

Leia mais

é a introdução de algo novo, que atua como um vetor para o desenvolvimento humano e melhoria da qualidade de vida

é a introdução de algo novo, que atua como um vetor para o desenvolvimento humano e melhoria da qualidade de vida O que é invaçã? Para a atividade humana: é a intrduçã de alg nv, que atua cm um vetr para desenvlviment human e melhria da qualidade de vida Para as empresas: invar significa intrduzir alg nv u mdificar

Leia mais

Administração de Redes Servidores de Aplicação

Administração de Redes Servidores de Aplicação 1 MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CAMPUS SÃO JOSÉ SANTA CATARINA Administraçã de Redes Servidres de Aplicaçã

Leia mais

Perguntas frequentes sobre o Programa Banda Larga nas Escolas

Perguntas frequentes sobre o Programa Banda Larga nas Escolas Perguntas frequentes sbre Prgrama Banda Larga nas Esclas 1. Qual bjetiv d Prgrama Banda Larga nas Esclas? O Prgrama Banda Larga nas Esclas tem cm bjetiv cnectar tdas as esclas públicas à internet, rede

Leia mais

Gerenciamento do Escopo

Gerenciamento do Escopo Pós-graduaçã Gestã Empresarial Módul GPE Gestã de Prjets Empresariais Prf. MSc Jsé Alexandre Mren prf.mren@ul.cm.br agst_setembr/2009 1 Gerenciament d Escp 3 Declaraçã d escp Estrutura Analítica d Prjet

Leia mais

SGCT - Sistema de Gerenciamento de Conferências Tecnológicas

SGCT - Sistema de Gerenciamento de Conferências Tecnológicas SGCT - Sistema de Gerenciament de Cnferências Tecnlógicas Versã 1.0 09 de Setembr de 2009 Institut de Cmputaçã - UNICAMP Grup 02 Andre Petris Esteve - 070168 Henrique Baggi - 071139 Rafael Ghussn Can -

Leia mais

MANUAL DO USUÁRIO EVENTOS

MANUAL DO USUÁRIO EVENTOS SISTEMA DE INFORMAÇÃO E GESTÃO INTEGRADA POLICIAL Elabrad: Equipe SAG Revisad: Data: 17-09-2008 Data: Aprvad: Data: A autenticaçã d dcument cnsta n arquiv primári da Qualidade Referencia: Help_Online_Events.dc

Leia mais

TRIBUNAL REGIONAL ELEITORAL DO PIAUÍ. PROJETO OTIMIZAR Plano do Programa

TRIBUNAL REGIONAL ELEITORAL DO PIAUÍ. PROJETO OTIMIZAR Plano do Programa 1. Escp u finalidade d prjet PROJETO OTIMIZAR Plan d Prgrama O Prjet Otimizar visa aprimrar ações implantadas que têm pr bjetiv a reduçã de cnsum de materiais e criar mecanisms de avaliaçã que pssam medir

Leia mais

CIRCULAR. Circular nº 17/DSDC/DEPEB/2007. Gestão do Currículo na Educação Pré-Escolar. Contributos para a sua Operacionalização

CIRCULAR. Circular nº 17/DSDC/DEPEB/2007. Gestão do Currículo na Educação Pré-Escolar. Contributos para a sua Operacionalização CIRCULAR Data: 2007/10/10 Númer d Prcess: DSDC/DEPEB/2007 Assunt: GESTÃO DO CURRÍCULO NA EDUCAÇÃO PRÉ-ESCOLAR Circular nº 17/DSDC/DEPEB/2007 Para: Inspecçã-Geral de Educaçã Direcções Reginais de Educaçã

Leia mais

MODELO DE PROGRAMAÇÃO DO WINDOWS AZURE

MODELO DE PROGRAMAÇÃO DO WINDOWS AZURE MODELO DE PROGRAMAÇÃO DO WINDOWS AZURE DAVID CHAPPELL OUTUBRO DE 2010 PATROCINADO PELA MICROSOFT CORPORATION SUMÁRIO Pr que criar um nv mdel de prgramaçã?... 3 Três regras d mdel de prgramaçã d Windws

Leia mais

MASTERCOMP ESCOLA DE INFORMÁTICA

MASTERCOMP ESCOLA DE INFORMÁTICA www.mastercmp.net 1 www.mastercmp.net www.mastercmp.net INFORMAÇO ES ADICIONAIS DO CURSO DE PROMODEL E MS PROJECT Prgramaçã: Carga hrária: 32 Hras Lcal: Sã Sebastiã d Paraís MG Prgramas usads n curs: MS

Leia mais

Gestão de SHST e Ambiente. Regras de Qualidade, Ambiente e Segurança aplicáveis às entidades externas

Gestão de SHST e Ambiente. Regras de Qualidade, Ambiente e Segurança aplicáveis às entidades externas 1 / 7 I. OBJETIVO E ÂMBITO Este dcument estabelece as regras de Segurança n Trabalh e Ambiente aplicáveis a entidades que venham a desenvlver actividades dentr da RESIESTRELA, em regime de cntrat, prestaçã

Leia mais

Software Development Kit (SDK) do Microsoft Kinect para Windows

Software Development Kit (SDK) do Microsoft Kinect para Windows Sftware Develpment Kit (SDK) d Micrsft Kinect para Windws Os presentes terms de licenciament cnstituem um cntrat entre a Micrsft Crpratin (u dependend d país em que reside uma das respetivas empresas afiliadas)

Leia mais

Os Oito Principais de Sistemas de

Os Oito Principais de Sistemas de Infrme Especial Os Oit Principais in Yur DSD Mits Mbile de Sistemas de Security Strategy Gerenciament de Armazém para empresas de pequen e médi prte. Intrduçã A era das perações manuais em Armazéns está

Leia mais

H. Problemas/outras situações na ligação com a Segurança Social;

H. Problemas/outras situações na ligação com a Segurança Social; Mdel de Cmunicaçã Certificads de Incapacidade Temprária Âmbit d Dcument O presente dcument traduz mdel de cmunicaçã entre Centr de Suprte da SPMS e clientes n âmbit ds CIT Certificads de Incapacidade Temprária.

Leia mais

1 Criando uma conta no EndNote

1 Criando uma conta no EndNote O EndNte Basic (anterirmente cnhecid pr EndNte Web), é um sftware gerenciadr de referências desenvlvid pela Editra Thmsn Reuters. Permite rganizar referências bibligráficas para citaçã em artigs, mngrafias,

Leia mais

5. PLANEJAMENTO E ORGANIZAÇÃO DA MANUTENÇÃO:

5. PLANEJAMENTO E ORGANIZAÇÃO DA MANUTENÇÃO: 5. PLANEJAMENTO E ORGANIZAÇÃO DA MANUTENÇÃO: 5.1 INTRODUÇÃO A rganizaçã da manutençã era cnceituada, até há puc temp, cm planejament e administraçã ds recurss para a adequaçã à carga de trabalh esperada.

Leia mais

Mensagem do atendimento ao cliente

Mensagem do atendimento ao cliente ASSUNTO: Cisc WebEx: Patch padrã a ser aplicad em [[DATA]] para [[WEBEXURL]] Cisc WebEx: Patch padrã em [[DATA]] A Cisc WebEx está enviand esta mensagem para s principais cntats de negóci em https://[[webexurl]]

Leia mais

REGULAMENTO 1- OBJETIVO

REGULAMENTO 1- OBJETIVO REGULAMENTO 1- OBJETIVO O Prgrama Nv Temp é um iniciativa da Cargill Agricla SA, que visa ferecer as seus funcináris e das empresas patrcinadras ds plans de previdência sb a gestã da CargillPrev Sciedade

Leia mais

Manual de Procedimentos

Manual de Procedimentos Manual de Prcediments Prcediments para Submissã de Prjets de MDL à Cmissã Interministerial de Mudança Glbal d Clima Secretaria Executiva Cmissã Interministerial de Mudança Glbal d Clima Prcediments para

Leia mais

NORMA BRASILEIRA. / ///Quality management systems -'Requirements

NORMA BRASILEIRA. / ///Quality management systems -'Requirements NRMA BRASILIRA ABNT NBR IS 9001 Segunda ediçã 28.11.2008 Válida a partir de 28.12.2008 in g a. t^ J d LL ili _j f- : ir D Í 9 : 3 Cl Versã crrígida 11.09.2009 /Sistemas de gestã dá qualidade Requisits

Leia mais

Processos de desumidificação visam manter a Umidade Relativa do Ar em níveis abaixo de 50%.

Processos de desumidificação visam manter a Umidade Relativa do Ar em níveis abaixo de 50%. 1. TEORIA Para prcesss específics de utilizaçã, é necessári manter cndições de temperatura e umidade relativa d ar em cndições específicas para prduçã e u trabalh. Prcesss de desumidificaçã visam manter

Leia mais

Orientações e Recomendações Orientações relativas à informação periódica a apresentar à ESMA pelas Agências de notação de risco

Orientações e Recomendações Orientações relativas à informação periódica a apresentar à ESMA pelas Agências de notação de risco Orientações e Recmendações Orientações relativas à infrmaçã periódica a apresentar à ESMA pelas Agências de ntaçã de risc 23/06/15 ESMA/2015/609 Índice 1 Âmbit de aplicaçã... 3 2 Definições... 3 3 Objetiv

Leia mais

Sistema: Jera Store & Service Versão : 2.5 Release: 2.5.1.928 Banco de Dados: Firebird - Versão: 2.5.3 Data: 05/04/2015

Sistema: Jera Store & Service Versão : 2.5 Release: 2.5.1.928 Banco de Dados: Firebird - Versão: 2.5.3 Data: 05/04/2015 Sistema: Jera Stre & Service Versã : 2.5 Release: 2.5.1.928 Banc de Dads: Firebird - Versã: 2.5.3 Data: 05/04/2015 O sistema cntempla s móduls abaix. Os móduls adicinais (cmercializads a parte) estã destacads:

Leia mais

Plano de aulas 2010 1ª série 1ª aula 2ª etapa

Plano de aulas 2010 1ª série 1ª aula 2ª etapa Plan de aulas 2010 1ª série 1ª aula 2ª etapa Escla Clégi Eng Juarez Wanderley Prfessr Fernand Nishimura de Aragã Disciplina Infrmática Objetivs Cnstruçã de um website pessal para publicaçã de atividades

Leia mais

Apresentação do Curso

Apresentação do Curso At endi m ent acl i ent e Apr es ent aç ãdc ur s Apresentaçã d Curs O curs Atendiment a Cliente fi elabrad cm bjetiv de criar cndições para que vcê desenvlva cmpetências para: Identificar s aspects que

Leia mais

Manual de Instalação

Manual de Instalação Manual de Instalaçã Prdut: n-hst Versã d prdut: 4.1 Autr: Aline Della Justina Versã d dcument: 1 Versã d template: Data: 30/07/01 Dcument destinad a: Parceirs NDDigital, técnics de suprte, analistas de

Leia mais

Channel. Colaboradores. Tutorial. Atualizado com a versão 3.9

Channel. Colaboradores. Tutorial. Atualizado com a versão 3.9 Channel Clabradres Tutrial Atualizad cm a versã 3.9 Cpyright 2009 pr JExperts Tecnlgia Ltda. tds direits reservads. É pribida a reprduçã deste manual sem autrizaçã prévia e pr escrit da JExperts Tecnlgia

Leia mais

INTRODUÇÃO A LOGICA DE PROGRAMAÇÃO

INTRODUÇÃO A LOGICA DE PROGRAMAÇÃO INTRODUÇÃO A LOGICA DE PROGRAMAÇÃO A Lógica de Prgramaçã é necessária à tdas as pessas que ingressam u pretendem ingressar na área de Tecnlgia da Infrmaçã, send cm prgramadr, analista de sistemas u suprte.

Leia mais

GUIA DE RELACIONAMENTO MT-COR: 001 Revisão: 000

GUIA DE RELACIONAMENTO MT-COR: 001 Revisão: 000 GUIA DE RELACIONAMENTO MT-COR: 001 Revisã: 000 A Mercur S.A., empresa estabelecida desde 1924, se precupa em cnduzir as suas relações de acrd cm padrões étics e cmerciais, através d cumpriment da legislaçã

Leia mais

Passo 1 - Conheça as vantagens do employeeship para a empresa

Passo 1 - Conheça as vantagens do employeeship para a empresa Manual Cm intrduzir emplyeeship na empresa Índice Intrduçã Pass 1 - Cnheça as vantagens d emplyeeship para a empresa Pass 2 - Saiba que é a cultura emplyeeship Pass 3 - Aprenda a ter "bns" empregads Pass

Leia mais

Agenda. A interface de Agendamento é encontrada no Modulo Salão de Vendas Agendamento Controle de Agendamento, e será apresentada conforme figura 01.

Agenda. A interface de Agendamento é encontrada no Modulo Salão de Vendas Agendamento Controle de Agendamento, e será apresentada conforme figura 01. Agenda Intrduçã Diariamente cada um ds trabalhadres de uma empresa executam diversas atividades, muitas vezes estas atividades tem praz para serem executadas e devem ser planejadas juntamente cm utras

Leia mais

SISTEMA INTEGRADO PARA GESTÃO DE ATENDIMENTO MODELO: SIGA WEB

SISTEMA INTEGRADO PARA GESTÃO DE ATENDIMENTO MODELO: SIGA WEB SISTEMA INTEGRADO PARA GESTÃO DE ATENDIMENTO MODELO: SIGA WEB A SOLUÇÃO SIGA WEB gera e cntrla uma senha para cada cliente, utilizand cnceits WEB, INTRANET e INPOSSUINET em tdas as suas funcinalidades,

Leia mais

COORDENADORIA DE TECNOLOGIA DA INFORMAÇÃO. Suporte técnico

COORDENADORIA DE TECNOLOGIA DA INFORMAÇÃO. Suporte técnico COORDENADORIA DE TECNOLOGIA DA INFORMAÇÃO Suprte técnic O serviç de suprte técnic tem pr bjetiv frnecer atendiment as usuáris de prduts e serviçs de infrmática da Defensria Pública. Este serviç é prvid

Leia mais