Universidade Católica de Moçambique

Faculdade de Gestão de Turismo e Informática

Tema:
Segurança de Base de Dados

Discente:
Alifo Anders Aruna

Pemba, Abril de 2024

 Universidade Católica de Moçambique
Faculdade de Gestão de Turismo e Informática

Tema:
Segurança de Base de Dados

Discente:
Alifo Anders Aruna

Curso: Tecnologias de Informação

Cadeira: Administração de Base de
Dados
3o Ano
Docente: Martinho Riquicho

Pemba, Abril de 2024

Índice
1. Introdução.................................................................................................................................1

1.1. Objetivo Geral:..................................................................................................................1

1.1.1. Objetivos Específicos:................................................................................................1

1.2. Metodologia.......................................................................................................................1

1. Tipo de Pesquisa:...............................................................................................................1

2. Abordagem:...........................................................................................................................2

3. Nível de Investigação:...........................................................................................................2

2. Segurança de Base de Dados........................................................................................................3

2.1. Tipos de Segurança de base de dados....................................................................................3

2.2. Medidas de segurança............................................................................................................4

3. Autenticação e Autorização..........................................................................................................6

3.1. Métodos de Autenticação.......................................................................................................6

4. Controle de acesso........................................................................................................................7

5. Auditoria de Banco de Dados...................................................................................................9

5.1. Tipos de Auditoria:............................................................................................................9

6. Conclusão...................................................................................................................................10

Bibliografia.....................................................................................................................................11
1. Introdução
A segurança de bases de dados é uma preocupação crescente na era digital, onde dados
sensíveis e confidenciais são armazenados e manipulados por organizações em todo o mundo.
Este trabalho tem como objetivo explorar os fundamentos essenciais para garantir a
integridade, confidencialidade e disponibilidade dos dados em sistemas de gestão de bases de
dados. Abordaremos os pilares fundamentais da segurança de bases de dados, incluindo
autenticação e autorização, controle de acesso e auditoria. Compreender esses conceitos é
crucial para proteger as informações valiosas armazenadas em bases de dados contra ameaças
internas e externas.

1.1. Objetivo Geral:

 Apresentar os princípios fundamentais da segurança de bases de dados.

1.1.1. Objetivos Específicos:

 Definir os principais conceitos relacionados à segurança de bases de dados;

 Identificar as principais ameaças e vulnerabilidades que afetam os bancos de dados;
 Descrever as medidas de segurança que podem ser implementadas para proteger os
bancos de dados;
 Apresentar os diferentes métodos de autenticação e modelos de autorização;
 Definir os níveis de acesso e as diferentes formas de implementar o controle de
acesso;
 Descrever os conceitos básicos da auditoria de banco de dados e seus tipos.

1.2. Metodologia

1. Tipo de Pesquisa:

Explicativa: Busca desvendar as relações de causa e efeito entre as variáveis relacionadas à

segurança de bases de dados, como:

 Impacto de diferentes métodos de autenticação e autorização na segurança do banco

de dados.
 Relação entre o nível de controle de acesso e a frequência de violações de dados.
1
  Eficácia de diferentes técnicas de auditoria de banco de dados na detecção de
atividades maliciosas.

2. Abordagem:

Abordagem qualitativa:

Análise de conteúdo:

 Leis e regulamentações sobre segurança de dados.

 Documentações técnicas de sistemas de gerenciamento de banco de dados (SGBDs).
 Relatos de especialistas em segurança de dados.

3. Nível de Investigação:

Bibliográfica e documental:

Fontes bibliográficas:

 Livros, artigos científicos e relatórios técnicos sobre segurança de dados, autenticação,

autorização, controle de acesso e auditoria de banco de dados.

Fontes documentais:

 Manuais de SGBDs, políticas de segurança de empresas e relatórios de auditoria de

bancos de dados.

2
2. Segurança de Base de Dados
Segundo a (Microsoft), A segurança da base de dados envolve os processos, ferramentas e
controlos utilizados para proteger as bases de dados contra ameaças acidentais e intencionais.
Seu objetivo é preservar a confidencialidade, disponibilidade e integridade dos dados. Além
de proteger os próprios dados, a segurança da base de dados abrange também o sistema de
gestão de bases de dados, aplicações, servidores físicos e virtuais, e a infraestrutura de rede
associada. Os riscos incluem erros humanos, privilégios excessivos, ataques de hackers,
software malicioso, exposição de dados em backups, danos físicos em servidores e
vulnerabilidades de software.

Segurança de dados é o conjunto de medidas para proteger dados contra acesso não
autorizado e garantir sua confidencialidade, integridade e disponibilidade. Inclui práticas
como criptografia, gerenciamento de chaves, controle de acesso e auditoria, (Oracle).

A segurança de banco de dados é um conjunto de ferramentas e medidas projetadas para

garantir a confidencialidade, integridade e disponibilidade dos dados armazenados. Isso
envolve proteger os dados, o sistema de gerenciamento de banco de dados (DBMS),
aplicativos associados, servidores físicos ou virtuais e infraestrutura de rede. Implementar a
segurança de banco de dados é complexo, pois envolve todos os aspectos das práticas de
segurança da informação e pode conflitar com a usabilidade do banco de dados. Quanto mais
acessível um banco de dados se torna, mais vulnerável ele está a ameaças de segurança,
tornando necessário um equilíbrio entre segurança e usabilidade, (IBM ).

2.1. Tipos de Segurança de base de dados

Segundo a (Microsoft), Para alcançar a máxima segurança de base de dados, as organizações
implementam uma estratégia de Defesa em Profundidade, que consiste em várias camadas de
proteção. Estas incluem:

 Segurança da Rede: Firewalls atuam como a primeira linha de defesa, controlando o

tráfego de rede e aplicando políticas de segurança.
 Gestão de Acesso: Inclui autenticação (verificação de identidade do usuário),
autorização (controle de acesso a objetos e operações de banco de dados) e controle de
acesso (atribuição de permissões a usuários e funções).
 Proteção contra Ameaças: Auditoria monitora atividades de banco de dados para
manter a conformidade e identificar potenciais ameaças. A detecção de ameaças
identifica atividades suspeitas.
3
  Proteção de Informações: Criptografia de dados protege dados confidenciais,
enquanto a recuperação e backup de dados garantem a disponibilidade dos dados em
caso de falha.
 Segurança Física: Restringe o acesso físico ao servidor e hardware, geralmente
através de salas com acesso restrito e armazenamento seguro de backups.

2.2. Medidas de segurança

Para implementar essas práticas, a Microsoft oferece soluções abrangentes, como o Azure,
que inclui ferramentas de segurança avançadas para bases de dados, como encriptação sempre
ativa, proteção contra ameaças, controlos de segurança e acesso, auditoria e deteção de
ameaças. Além disso, serviços como o Azure Active Directory e o Azure Key Vault oferecem
autenticação robusta e gestão segura de chaves e segredos, (Microsoft).

 Proteger o Servidor de Bases de Dados: Isso envolve combinar segurança física, de

rede e do sistema operativo para dificultar o acesso não autorizado ao sistema.
 Encriptação de Dados Abrangente: Utilizar encriptação em todos os níveis,
incluindo dados em trânsito, em armazenamento e em processamento, garantindo a
conformidade e a segurança dos dados.
 Proteção Avançada contra Ameaças: Implementar sistemas de detecção de ameaças
que analisam registros para identificar atividades suspeitas, como injeção de SQL ou
tentativas de acesso não autorizado.
 Contas de Autenticação Separadas: Usar contas distintas para usuários e aplicativos,
limitando assim os acessos e reduzindo os riscos de atividades maliciosas.
 Princípio do Menor Privilégio: Conceder aos usuários e aplicativos apenas os
privilégios necessários para suas funções específicas, reduzindo a superfície de ataque
e o impacto de falhas de segurança.
 Modelo de Segurança de Confiança Zero: Validar continuamente identidades e
dispositivos para cada acesso, garantindo a segurança em todas as etapas,
independentemente da localização ou origem do acesso.

As soluções de segurança de dados visam reduzir o risco de violações e facilitar a

conformidade com as melhores práticas. Isso é alcançado por meio de medidas como
criptografia, gerenciamento de chaves, mascaramento de dados, controles privilegiados de
acesso de usuários, monitoramento de atividades e auditoria, (Oracle).

4
  Proteção de Dados: Inclui criptografia, gerenciamento de chaves, edição e
mascaramento para evitar violações e garantir conformidade.
 Controle de Acesso aos Dados: Autenticação e autorização robustas limitam o acesso
aos dados, evitando abusos de privilégios e alterações não autorizadas.
 Auditoria e Monitoramento: Registra todas as atividades do banco de dados,
fornecendo insights sobre operações e garantindo conformidade, mesmo em ambientes
de nuvem.
 Proteção de Bancos de Dados na Nuvem: Boas práticas de segurança mitigam riscos
adicionais associados a implementações na nuvem, permitindo maior segurança e
agilidade com custos reduzidos.

Segundo o (IBM ), As melhores práticas de segurança de banco de dados abrangem várias

áreas para garantir uma proteção abrangente:

 Segurança Física: O servidor de banco de dados deve estar em um ambiente seguro e

climatizado, independentemente de estar localizado localmente ou em um data center
na nuvem.
 Controles Administrativos e de Acesso à Rede: Restrinja o acesso ao banco de
dados apenas aos usuários necessários e defina permissões mínimas necessárias. O
acesso à rede também deve ser limitado ao mínimo necessário.
 Segurança do Usuário Final/Dispositivo: Monitore quem está acessando o banco de
dados e como os dados estão sendo usados. Garanta que todos os dispositivos de
usuário conectados à rede sejam fisicamente seguros e estejam sujeitos a controles de
segurança.
 Criptografia: Proteja todos os dados, incluindo dados do banco de dados e
credenciais, com criptografia em repouso e em trânsito, seguindo as melhores práticas
de gestão de chaves.
 Segurança do Software do Banco de Dados: Mantenha o software de gerenciamento
de banco de dados atualizado e aplique patches de segurança assim que estiverem
disponíveis.
 Segurança de Aplicativos/Servidores Web: Teste continuamente aplicativos e
servidores web que interagem com o banco de dados para identificar e corrigir
vulnerabilidades.

5
  Segurança de Backup: Garanta que todos os backups, cópias ou imagens do banco de
dados sejam protegidos com controles de segurança adequados.
 Auditoria: Registre todas as atividades no servidor de banco de dados e sistema
operacional, além de realizar auditorias regulares para garantir conformidade e
identificar potenciais ameaças.

3. Autenticação e Autorização
Autenticação verifica a identidade do usuário, enquanto autorização determina seus acessos.
Por exemplo, em uma aplicação bancária, a autenticação confirma o nome de usuário e senha,
enquanto a autorização decide quais recursos o usuário pode acessar (saldo, extrato),
(Nithack, 2023).

Segundo (Microsoft). Autenticação é o processo crucial usado pelas empresas para garantir
que apenas as pessoas, serviços e aplicativos corretos, com as devidas permissões, possam
acessar recursos organizacionais. Essencial para a segurança cibernética, visa evitar acesso
não autorizado aos sistemas, algo buscado por invasores. As três etapas principais da
autenticação são:

 Identificação: os usuários estabelecem quem são por meio de um nome de usuário.

 Autenticação: os usuários provam sua identidade geralmente inserindo uma senha
(algo conhecido apenas por eles), e algumas organizações também requerem provas
adicionais, como um dispositivo de token ou identificadores físicos, como impressões
digitais ou leitura facial, para reforçar a segurança.
 Autorização: o sistema verifica se os usuários têm permissão para acessar o sistema
solicitado.

Para as pessoas a autenticação envolve configuração de nome de usuário, senha e métodos

biométricos, não armazenados no banco de dados. Senhas são hashadas e comparadas para
acesso. Biometria é codificada e criptografada no dispositivo.

3.1. Métodos de Autenticação

1. Autenticação baseada em senha: É o método mais comum, mas apresenta desafios
de segurança e usabilidade devido à dificuldade de criar senhas únicas e memorizá-las.
2. Autenticação baseada em certificado: Usa certificados criptografados para
identificar dispositivos e pessoas perante outros sistemas.

6
 3. Autenticação biométrica: Verifica a identidade por meio de características
biológicas, como impressões digitais, rosto ou retina. É popular por sua facilidade de
uso e segurança.
4. Autenticação baseada em token: Gera um número exclusivo a cada 30 segundos
para verificar a posse do dispositivo.

5. Senha avulsa (OTP): São códigos temporários entregues por SMS, email ou token de
hardware.
6. Notificação por push: Envia uma mensagem para aprovação ou negação de acesso,
geralmente combinada com um método OTP para maior segurança.
7. Autenticação por voz: Requer a inserção de um código ou identificação verbal
durante uma chamada telefônica.
8. Autenticação multifator: Requer dois ou mais métodos de autenticação, aumentando
a segurança da conta.

Autorização determina se um usuário tem permissão para acessar áreas ou executar ações
específicas em uma aplicação, com base em critérios definidos. Pode conceder ou negar
acesso a recursos. Por exemplo, em uma rede social, se não somos amigos de alguém, não
podemos acessar seu perfil, mostrando que não temos permissão para visualizar suas
postagens, (Riordan, 2023).

4. Controle de acesso
O controle de acesso é crucial para determinar quem pode acessar dados, aplicativos e
recursos, e em que condições. Semelhante ao uso de chaves para proteger espaços físicos, as
políticas de controle de acesso protegem os ambientes digitais, permitindo a entrada de
pessoas autorizadas e impedindo o acesso de pessoas não autorizadas. Essas políticas
dependem de técnicas como autenticação e autorização, que verificam a identidade dos
usuários e concedem acesso apropriado com base em diversos fatores, como localização e
função. Ao evitar o acesso não autorizado, o controle de acesso protege informações
confidenciais, como dados de clientes e propriedade intelectual, contra roubo ou vazamento.
Além disso, reduz o risco de exfiltração de dados por funcionários e protege contra ameaças
cibernéticas. Em vez de gerenciar permissões manualmente, muitas organizações utilizam

7
soluções de gerenciamento de identidade e acesso para implementar políticas de controle de
acesso de forma eficaz, (Microsoft).

Segundo, (Mauro, 2003), O controle de acesso em bancos de dados SQL é vital para proteger
informações sensíveis e manter a conformidade com regulamentações de segurança. Ele
permite aos administradores definir quem pode acessar, visualizar ou modificar dados e
tabelas específicas. As entidades principais envolvidas são usuários, privilégios e papéis, que
simplificam a administração das permissões. Para implementar um controle eficaz, é
importante seguir melhores práticas, como o Princípio do Menor Privilégio e a utilização de
papéis em vez de permissões individuais. Além disso, é essencial revisar regularmente as
permissões atribuídas e proteger contra ataques de SQL Injection. Considerar a criptografia de
dados e implementar mecanismos de auditoria também são recomendações importantes para
garantir a segurança do banco de dados.

Segundo (Lemos, 2023). O Controle de Acesso em Banco de Dados (CABD) é crucial para
restringir o acesso apenas a usuários autorizados às informações armazenadas. Ele determina
quais usuários podem acessar quais dados e quais ações são permitidas a cada usuário. Sem o
CABD, há o risco de acesso irrestrito aos dados, resultando em violações de privacidade e
perda de informações sensíveis. Essencial para garantir a segurança e privacidade dos dados,
o CABD deve ser implementado por todas as empresas que lidam com informações
confidenciais.

Existem diversos tipos de controle de acesso em banco de dados, cada um com características
específicas. Os principais são:

 Controle de Acesso Baseado em Função (RBAC): Atribui acesso com base em

funções dos usuários, garantindo eficiência e segurança, ideal para empresas maiores.
 Controle de Acesso Discretional (DAC): Dependente das decisões dos proprietários de
dados, menos seguro que o RBAC, mais adequado para empresas menores.
 Controle de Acesso Baseado em Contexto (CBAC): Concede acesso com base em
informações como tempo e localização, oferecendo maior segurança, mas pode ser
mais complexo.
 Controle de Acesso Baseado em Atividade (ABAC): Leva em conta a atividade do
usuário, permitindo acesso granular, útil para conceder acesso apenas quando
necessário.

8
5. Auditoria de Banco de Dados.
A auditoria em banco de dados é uma prática essencial para garantir a conformidade e a
segurança das informações em uma organização. Ela envolve a análise sistemática das
atividades realizadas no banco de dados, buscando identificar falhas, inconformidades ou
violações. Como parte da segurança da informação, a auditoria monitora e registra eventos
importantes, como inserção de dados, para prevenir e detectar problemas. Ela também define
tabelas para armazenar registros relevantes sobre o uso do banco de dados e pode ser adaptada
conforme a necessidade da organização, (Batistella, 2021).

5.1. Tipos de Auditoria:

Auditoria Tradicional:

 Realizada por meio de uma lista de verificação.

 O auditor verifica informações como usuários de acesso, permissões e autorizações.
 Identifica possíveis falhas.

Exclusão de Riscos:

 Uma abordagem mais ampla, focada na segurança geral dos dados.

 Avalia processos e práticas para garantir a conformidade.

A auditoria de banco de dados é crucial para proteger e manter a segurança das informações
corporativas, monitorando e registrando todas as atividades realizadas no banco de dados,
como criação, alteração ou exclusão de registros. Isso ajuda a garantir a integridade dos
dados, minimizando riscos de fraude e vazamentos, e permite a detecção de ameaças e ações
suspeitas para uma resposta rápida e precisa. Essa prática também auxilia as empresas a
cumprir requisitos legais e regulatórios relacionados à segurança e privacidade de dados,
(Lemos, 2023).

9
6. Conclusão
Em conclusão, a segurança de bases de dados é um componente vital da gestão da informação
em ambientes digitais. As organizações devem adotar uma abordagem proativa para proteger
seus dados, implementando medidas robustas de autenticação e autorização, controle de
acesso e auditoria de banco de dados. A proteção eficaz dos dados não é apenas uma
obrigação legal e regulatória, mas também é essencial para manter a confiança dos clientes e
parceiros de negócios. À medida que a tecnologia continua a evoluir, é imperativo que as
organizações permaneçam vigilantes e atualizem constantemente suas práticas de segurança
para enfrentar as ameaças em constante mudança no ciberespaço.

10
Bibliografia
Batistella, C. (10 de 03 de 2021). Obtido em 11 de 04 de 2024, de
https://www.certifiquei.com.br/auditoria-banco-dados/

IBM . (s.d.). Obtido em 11 de 04 de 2024, de O que é segurança de banco de dados?:

https://www.ibm.com/br-pt/topics/database-security

Lemos, D. (13 de 11 de 2023). Obtido em 11 de 04 de 2024, de Implementando Controle de

Acesso: https://guialinux.com.br/implementando-controle-de-acesso/

Lemos, D. (31 de Agosto de 2023). Obtido em 11 de 04 de 2024, de

https://guialinux.com.br/importancia-da-auditoria-em-bancos-de-dados/

Mauro. (2003). Obtido em 11 de 04 de 2024, de Controle de Acesso e Permissões em Bancos

de Dados SQL: https://blogdosql.com.br/controle-de-acesso-e-permissoes-em-bancos-de-
dados-sql/

Microsoft. (s.d.). Obtido em 11 de 04 de 2024, de O que é a segurança da base de dados?:

https://azure.microsoft.com/pt-pt/resources/cloud-computing-dictionary/what-is-database-
security/

Microsoft. (s.d.). Obtido em 11 de 04 de 2024, de O que é autenticação?:

https://www.microsoft.com/pt-br/security/business/security-101/what-is-authentication

Microsoft. (s.d.). Obtido em 11 de 04 de 2024, de O que é controle de acesso?:

https://www.microsoft.com/pt-br/security/business/security-101/what-is-access-control

Nithack, A. (16 de 03 de 2023). Medium. Obtido em 04 de 2024, de

https://devnit.medium.com/conceitos-b%C3%A1sicos-de-autentica%C3%A7%C3%A3o-e-
autoriza%C3%A7%C3%A3o-entender-as-diferen%C3%A7as-entre-autentica
%C3%A7%C3%A3o-e-2d6fbc8b516d

Oracle. (s.d.). Obtido em 11 de 04 de 2024, de https://www.oracle.com/br/security/database-

security/what-is-data-security/

Riordan, G. (27 de 02 de 2023). freeCodeCamp. Obtido em 11 de 04 de 2024, de

https://www.freecodecamp.org/portuguese/news/autenticacao-x-autorizacao-qual-e-a-
diferenca/

11