ATA DE REUNIÃO. 1) Recebimento de eventuais questionamentos e/ou solicitações de esclarecimentos Até 14/04/2009 às 18:00 horas;



Documentos relacionados
ATA DE REUNIÃO. 1) Recebimento de eventuais questionamentos e/ou solicitações de esclarecimentos Até 18/02/2009 às 18:00 horas;

GBC043 Sistemas de Banco de Dados. Introdução. Ilmério Reis da Silva UFU/FACOM

Prof. Marcelo Machado Cunha

CONSULTA AO MERCADO RFP REQUEST FOR PROPOSAL ÍNDICE

QUESTINAMENTOS AO EDITAL DE CONCORRÊNCIA 01/2013

A seguir, respostas aos questionamentos referentes ao Pregão Presencial nº 17/14:

Conceitos de Banco de Dados

Hoje é inegável que a sobrevivência das organizações depende de dados precisos e atualizados.

Esclarecimento: As versões dos navegadores a serem utilizadas pelo PSIM estão descrito no item do projeto básico.

INSTRUÇÃO DE TRABALHO PARA INFORMAÇÕES GERENCIAIS

Programação com acesso a BD. Prof.: Clayton Maciel Costa clayton.maciel@ifrn.edu.br

Gerenciamento de Problemas

Padrão ix. Manual de Instalação do Q-Ware Server Versão

BRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert:

Modelo para Documento de. Especificação de Requisitos de Software

Gerenciamento de Incidentes

Noções de. Microsoft SQL Server. Microsoft SQL Server

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE CONFIGURAÇÃO

ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

Fundamentos de Banco de Dados

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO

SCP - Sistema de Controle de Processo

Nota de Aplicação. Utilizando os recursos de segurança dos controladores HI. HI Tecnologia. Documento de acesso público

GUIA DE CURSO. Tecnologia em Sistemas de Informação. Tecnologia em Desenvolvimento Web. Tecnologia em Análise e Desenvolvimento de Sistemas

Modelo para Documento de. Especificação de Requisitos de Software

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

04/08/2012 MODELAGEM DE DADOS. PROF. RAFAEL DIAS RIBEIRO, MODELAGEM DE DADOS. Aula 1. Prof. Rafael Dias Ribeiro. M.Sc.

Tópicos. Atualizações e segurança do sistema. Manutenção Preventiva e Corretiva de Software (utilizando o MS Windows XP)

Agora todas as Unimeds vão falar uma só língua. Unimed do Brasil Federação São Paulo Portal Unimed

Anexo I Formulário para Proposta

Estabelecer os procedimentos para o gerenciamento dos sistemas e demais aplicações informatizadas do TJAC.

Certificado Digital. Manual do Usuário

Minicurso Computação em Nuvem Prática: Openstack

GT-ATER: Aceleração do Transporte de Dados com o Emprego de Redes de Circuitos Dinâmicos. RP1 - Relatório de detalhamento das atividades

3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio

SISTEMA GERENCIADOR DE BANCO DE DADOS

Gerenciamento de software como ativo de automação industrial

Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015

Requisitos técnicos dos produtos Thema

Manual de Integração E-Commerce CiaShop x SIGALOJA

3 SCS: Sistema de Componentes de Software

<Insert Picture Here> Comparativo entre DBSE e DBEE

TRABALHO DE DIPLOMAÇÃO Regime Modular ORIENTAÇÕES SOBRE O ROTEIRO DO PROJETO FINAL DE SISTEMAS DE INFORMAÇÕES

Diretrizes Complementares para Aplicação da Análise de Pontos de Função no PAD

SQL APOSTILA INTRODUÇÃO A LINGUAGEM SQL

QUESTIONAMENTOS ACERCA DO EDITAL DE LICITAÇÃO DA MODALIDADE PREGÃO ELETRÔNICO Nº 18/2013 Nº DO PROCESSO DE COMPRA/PLANEJAMENTO: /2013

4. DEFINIÇÕES As definições estão no documento Política de Utilização da Rede Local CELEPAR, disponível em

TRIBUNAL REGIONAL FEDERAL DA 2ª REGIÃO Secretaria de Tecnologia da Informação

Fundamentos dos Sistemas de Informação Organização de Dados e Informações

Um Driver NDIS Para Interceptação de Datagramas IP

Ferramenta de apoio a gerência de configuração de software. Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl

Figura 1 - Arquitetura multi-camadas do SIE

Sistemas para Internet 06 Ataques na Internet

Política Organizacional para Desenvolvimento de Software no CTIC

Referências internas são os artefatos usados para ajudar na elaboração do PT tais como:

1º Nível: Contato inicial responsável pelo registro de todas as solici tações e pela finalização do maior número possível de atendimentos.

ArpPrintServer. Sistema de Gerenciamento de Impressão By Netsource Rev: 02

Termo de Abertura Sistema de Vendas de Pizzas Online (PizzaWeb) - Versão 1.0

A Lei /2011 (Lei de Acesso a Informação LAI) determina:

LINGUAGEM DE BANCO DE DADOS

04/08/2012 MODELAGEM DE DADOS. PROF. RAFAEL DIAS RIBEIRO, MODELAGEM DE DADOS. Aula 2. Prof. Rafael Dias Ribeiro. M.Sc.

Thalita Moraes PPGI Novembro 2007

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

SE Incident Gestão de Incidentes e Não Conformidades Visão Geral Incidentes de TI Não conformidade da Qualidade

Guia de Especificação de Caso de Uso Metodologia CELEPAR

Roteiro. BCC321 - Banco de Dados I. Conceitos Básicos. Conceitos Básicos. O que é um banco de dados (BD)?

Cláudia Araújo Coordenadora Diego Macêdo Programador Marcelo Rodrigues Suporte

IBM Managed Security Services for Agent Redeployment and Reactivation

SERVIÇO DE ANÁLISE DE REDES DE TELECOMUNICAÇÕES APLICABILIDADE PARA CALL-CENTERS VISÃO DA EMPRESA

Projeto SAAT/SAGER. Reunião com os Proponentes 18/03/2015

CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS

2 Diagrama de Caso de Uso

Documento de Requisitos de Sistemas. SGC Sistema Gerenciador de Clínicas

Treinamento. DBA Oracle 11g. Duração: 120 horas

4.1 A Parte que recebeu a notificação de anormalidade deverá encaminhá-la imediatamente a um órgão responsável, para resolver a anormalidade.

Banco de Dados Oracle. Faculdade Pernambucana - FAPE

Normas para o Administrador do serviço de

Disciplina de Banco de Dados Introdução

Introdução ao Modelos de Duas Camadas Cliente Servidor

Quarta-feira, 09 de janeiro de 2008

A Gerência em Redes de Computadores

MÓDULO 11 ELEMENTOS QUE FAZEM PARTE DO PROJETO DO SISTEMA

Cláusula 1.º Objecto. Cláusula 2.º Especificação da prestação

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

ISO/IEC 12207: Gerência de Configuração

Ponto Secullum 4 ESPECIFICAÇÕES TÉCNICAS FUNCIONALIDADES FICHA TÉCNICA. Ficha Técnica

Gerência de Redes NOC

QUESTIONAMENTOS ACERCA DO EDITAL DO PREGÃO ELETRÔNICO AA Nº 24/ BNDES. Em resposta aos questionamentos formulados, o BNDES esclarece:

Transcrição:

ATA DE REUNIÃO CONSULTA PÚBLICA PARA AQUISIÇÃO DE SOLUÇÃO DE FIREWALL DE BANCO DE DADOS, PARA OS CENTROS DE PROCESSAMENTO DA DATAPREV, NO RIO DE JANEIRO, SÃO PAULO E DISTRITO FEDERAL Local: Dataprev SAS S Quadra 01, Blocos E Brasília / Distrito Federal - 14:30 horas. Consolidação das respostas da Dataprev aos questionamentos e sugestões relacionadas ao processo para aquisição de solução de Firewall de Banco de Dados, para os centros de processamento da Dataprev, no Rio de Janeiro, São Paulo e Distrito Federal Ressaltamos que o objetivo da presente consulta é o aprimoramento e refinamento da especificação técnica, buscando afastar eventuais inconsistências, bem como exigências incompatíveis com o objeto em questão. A Dataprev se reserva o direito de, independente das respostas ou argumentos apresentados e motivada por razões de natureza técnica ou estratégica, alterar as especificações técnicas objeto desta consulta por ocasião da instauração do correspondente certame licitatório. 1. CRONOGRAMA 1) Recebimento de eventuais questionamentos e/ou solicitações de esclarecimentos Até 14/04/2009 às 18:00 horas; 2) Reunião com os interessados para esclarecimentos e divulgação do posicionamento da Dataprev ante eventuais sugestões e/ou questionamentos apresentados 16/04/2009; Local: Dataprev SAS Quadra 01, Blocos E Brasília / Distrito Federal - 14:30 horas. 3) Divulgação no site www.dataprev.gov.br da ata da reunião da Consulta Pública e da versão revisada do Termo de Referência disponibilizado, considerando eventuais ajustes decorrentes do processo de consulta pública 22/04/2009; 4) Encaminhamento das Propostas contendo as respectivas Estimativas de Preços em conformidade com as Especificações Técnicas e Termos de Referência, eventualmente ajustados em decorrência de eventuais questionamentos e/ou solicitações de esclarecimentos apresentados Até 24/04/2009. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 1

CONSULTA PÚBLICA CONSULTA PÚBLICA PARA AQUISIÇÃO DE SOLUÇÃO DE FIREWALL DE BANCO DE DADOS, PARA OS CENTROS DE PROCESSAMENTO DA DATAPREV, NO RIO DE JANEIRO, SÃO PAULO E DISTRITO FEDERAL. NOME ASSINATURA EMPRESA Armando Barcellos Jr. Humberto Degrazia Campedelli Joel Jurandir Ferrera Corrêa Dataprev NOME ASSINATURA EMPRESA Rogério Meira Octávio de Freitas Cesar de Afonseca e Silva Neto Carlos Tadeu Barreto Leonardo Couto Rodrigues Ivã Rafael Cielo Rubens Massini Oracle do Brasil Sistemas Leadcomm Performance and Security True Access B2BR Business to Business Mahvla Telecomm CGAD/COAR - Consulta Pública Firewall de Banco de Dados 2

CONSULTA PÚBLICA I ESCLARECIMENTOS / QUESTIONAMENTOS ORACLE DO BRASIL SISTEMAS LTDA A seguir estão os comentários acerca dos itens descritos no Termo de Referência acima citado. Os termos originais do documento estão em negrito, os comentários acerca de cada assunto estão nos sub itens. 1) Solução baseada em dispositivos, com as seguintes características A solução da Oracle é baseada em software que realiza coleta, armazenamento e processamento dos dados de auditoria dos bancos de dados monitorados. Um ponto de atenção para uma solução que seja baseada em dispositivo de rede é que a utilização de criptografia nas camadas superiores (bancos de dados por exemplo) exige a presença de algum componente (processo) sendo executado no servidor onde roda o banco de dados, este componente certamente irá causar algum consumo adicional de processamento no servidor. 2) Monitoração de transações em tempo real, tomando como base políticas de controle implementadas ou detecção de anomalias para identificar atividades suspeitas ou não autorizadas; O Oracle Audit Vault monitora os dados de auditoria recebidos dos agentes coletores verificando a ocorrência de violações nas políticas definidas. A monitoração acontece praticamente em tempo real, uma vez que é necessário transmitir os dados de auditoria da fonte para o repositório centralizado. 3) Armazenamento simultâneo de todas as transações em estrutura de logs de auditoria em banco de dados de alta performance para análise e correlação em tempo real, emissão de relatórios de conformidade, auditoria e análise forense; O Oracle Audit Vault armazena todas as informações de auditoria recebidos dos agentes em repositório aberto baseado em banco de dados relacional Oracle, utilizando de forma nativa, as principais funcionalidades de DataWarehouse do SGBD. Relatórios pré-definidos (nativos) e customizáveis podem ser extraídos a partir da console da solução. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 3

Outra possibilidade é utilizar o repositório aberto da solução como fonte de informações para ferramentas de Business Inteligence, permitindo todas as facilidades de busca e consolidação de informações que as ferramentas de BI proporcionam. 4) A arquitetura deve ser não invasiva, baseada em rede, independente do banco de dados; A arquitetura do Oracle Audit Vault é baseada na transmissão de dados de auditoria gerados nos bancos de dados monitorados coletados pelos agentes e enviados ao repositório central. Existem agentes específicos para os bancos de dados suportados, bem como para versões futuras a previsão de um conjunto de bibliotecas que permitirá a criação de agentes específicos para bancos de dados que não disponham de um agente específico. Este formato de coleta de dados de auditoria permite geração de dados de auditoria de forma mais acurada e precisa, permitindo ainda a remoção automatizada dos dados já enviados ao repositório central. 5) Deve prover visibilidade em todas as transações de banco de dados, incluindo DBL, DML, Selects, DCL, Stored rocedures, exceções de segurança, valores de a dados antes e depois de todas as atividades de usuários privilegiados, incluindo as ações executadas com acesso local no servidor de banco de dados; Destacamos que as soluções baseadas em dispositivos de rede não permitem a coleta dos valores de dados antes e depois, uma vez que capturam as modificações realizadas (depois), mas não os valores anteriores para um comando Update, por exemplo. Outro ponto de atenção é a capacidade de auditar as transações realizadas dentro de uma stored procedure ou function, uma vez que na rede somente serão trafegados a chamada de execução da procedure / function e o resultado de sua execução. O processamento interno da procedure (selects / updates / inserts / deletes etc) não será capturado por um dispositivo conectado à rede. Esta possibilidade de execuções não-auditáveis cria uma vulnerabilidade que pode ser explorada e causar inclusão, remoção e alteração de dados que não serão auditados. 6) Impacto nulo na performance do banco de dados; Na solução Oracle Audit Vault a geração dos dados de auditoria é realizada pelos bancos monitorados, o que irá causar algum impacto na performance dos bancos de dados. Para os ambientes Oracle é possível minimizar este impacto, utilizando a funcionalidade Fine Grained Auditing que irá gerar auditoria de forma mais refinada, onde somente eventos específicos irão gerar dados de auditoria, esta funcionalidade permite checar inclusive o valor utilizado em determinada coluna, ou mesmo a hora da ocorrência para validar se será ou não gerado informação de auditoria. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 4

7) Independente de logs de transação ou auditoria do banco de dados; O Oracle Audit Vault consolida os dados de auditoria gerados nos bancos de dados monitorados, esta arquitetura permite a monitoração de todos as transações ocorridos nos bancos de dados, bem como o registro dos valores antes e depois das transações, conforme requisito apresentado em item anterior. 8) Arquitetura com vários coletores, possibilitando a concentração em coletor central para agregação dos dados e normalização dos dados de auditoria; O Oracle Audit Vault atende às necessidades apresentadas, disponibilizando agentes específicos para as fontes de dados de auditoria. 9) Gerenciamento centralizado das políticas de segurança por meio de console WEB; 10) Suporte aos bancos de dados Oracle, SQL Server, MySQL, PostgreSQL O Oracle Audit Vault dispõe de agentes para bancos Oracle a partir da versão 9ir2, MSSQL Server, para os bancos freeware será possível o desenvolvimento customizado de agentes através de bibliotecas (SDKs) que serão disponibilizadas em versões futuras do produto. 11) Relatórios de trilhas de todas as auditorias do banco de dados, incluindo, quem, o que, quando, onde e como; Destacamos que aplicações de arquitetura em três camadas onde o servidor de aplicações conecta-se ao banco de dados através de pool de conexões, normalmente utiliza-se usuário único para criação do pool, neste caso é necessário a utilização de tecnologia de bancos de dados para a propagação da identidade do usuário através do pool de conexões feitas com usuário único. Isto ocasiona que somente o banco tenha capacidade de associar as transações realizadas ao usuário final (real), uma vez que a associação do usuário real àquela sessão é realizada uma única vez, no momento da criação da sessão, e os comandos e transações subseqüentes não estarão associadas ao referido usuário final. 12) Aplicação de regras de auditoria para colunas específicas, objetos, banco de dados, instâncias; 13) Coleta de informações quanto aos acesso a dados, exceções, violações de política e envio de alertas; 14) Capacidade de throughput minima de 2Gbps; Como o Oracle Audit Vault é uma solução de software, a capacidade de throughput do ambiente estará dependente do hardware onde será executado a solução. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 5

15) Capacidade de armazenamento de 500 GB de logs; Por se tratar de uma solução de software, a capacidade de armazenamento estará dependente do hardware, não havendo limitação de capacidade por parte da solução. 16) Conjunto de relatórios e políticas pré-configurados; 5. Outros Pontos de Atenção Adicionalmente ao que foi comentado acima e ainda dentro do escopo da solução desejada, apresentamos alguns itens que podem ser considerados na especificação da solução a ser utilizada no ambiente de T.I. da DATAPREV. 1) O banco de dados Oracle não disponibiliza nenhum tipo de biblioteca (API) para comunicação de produtos externos às suas estruturas de memória, isto pode causar que soluções que operem buscando informações nas estruturas de memória dos bancos Oracle podem falhar caso haja alguma alteração em tais estruturas. Da mesma forma não há como a Oracle garantir que tais soluções sejam capazes de coletar todas as informações necessárias. 2) Após a coleta dos dados de auditoria nos bancos de dados que alimentam o repositório, os mesmos registros são apagados da origem, facilitando a administração dos ambientes e garantindo que as informações não possam ser acessadas de maneira indevida na origem, o que representaria uma vulnerabilidade de segurança. 3) O acesso aos dados de auditoria e monitoração no repositório centralizado deve ser permitido somente a usuários devidamente autorizados e detentores de perfis específicos para acesso a tais dados, caso contrário os dados sensíveis de auditoria estarão vulneráveis a acessos indevidos. 4) Destacamos ainda a preocupação com a alta-disponibilidade da solução de monitoração, uma vez que a indisponibilidade da mesma cria possibilidade de que as ações (eventualmente mal-intencionadas) ocorridas durante tal período não sejam devidamente registradas. Em uma solução que utilize um único dispositivo para gerenciamento e armazenamento das informações, este elemento passa a ser um ponto único de falha, e exigirá duplicação do mesmo elemento para que se tenha característica de alta-disponibilidade. 5) Soluções baseadas em software e coleta de registros de auditoria apresentam maior flexibilidade, pois no caso de indisponibilidade do repositório centralizado ou de algum dos bancos de dados de origem, os dados de auditoria não serão perdidos, bastando apenas que sejam novamente enviados ao repositório para seu registro definitivo, não possibilidade de perda de informações e/ou vulnerabilidades. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 6

II QUESTIONAMENTOS REALIZADOS DURANTE A CONSULTA PÚBLICA 1- Os,representantes das empresas Juniper, Mahvla e Leadcomm solicitam a extensão dos prazos do cronograma previsto, considerando a exiguidade dos prazos, de forma a possibilitar a apresentação de maiores detalhes das respectivas soluções. Resposta Dataprev Considerando que o principal objetivo de uma consulta pública é a identificação da solução mais adequada de forma a atender às suas necessidades, a Dataprev informa que publicará em seu site novo cronograma para fechamento da consulta, a partir da presente reuinião. 2- O representante da empresa Oracle registra que a Especificação Técnica não contempla que a solução deva operar em moto ativo, restringindo acessos e ações que violem as regras pré-definidas. 3- O representante da empresa Leadcomm sugere a inclusão na Especificação Técnica de requisitos de segurança para o dispositivo. IV CONSIDERAÇÕES FINAIS A Dataprev informa que providenciará a publicação, em sua página na Internet, da ata da presente reunião, bem como de toda a documentação resultante da análise dos questionamentos e sugestões recebidas, que, a princípio entende como a mais adequada para a instrução do correspondente processo licitatório, sem prejuízo de eventuais novas considerações. Finalmente, agradece a participação de todos, cuja contribuição possibilitou a conclusão dos trabalhos de forma transparente e democrática. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 7

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback