Análise do controlo de acesso num sistema de gestão de base de dados

Abstract

A sociedade moderna depende cada vez mais da utilização de sistemas informáticos, sendo crucial garantir que os dados que estes sistemas tratam e armazenam estejam protegidos contra fugas de informação. É importante garantir que os dados que são protegidos pelos sistemas somente são utilizados para os fins a que se destinam e por quem de direito. Os sistemas de gestão de bases de dados são os principais guardiões de dados, armazenando e gerindo o acesso a estes dados nos sistemas informáticos. É sobre estes que incidem ameaças e riscos no que respeita a fugas de informação. Nesta tese são apresentados os principais conceitos ao nível do controlo de acesso nos Sistemas de Gestão de Bases de Dados (SGBDs), assim como os modelos de controlo de acesso, o discricionário e o não discricionário e suas características. O Microsoft SQL Server 2012 foi o sistema de gestão de bases de dados escolhido para a implementação dos principais modelos de controlo de acesso tendo como objetivo verificar, através de testes, que características dos modelos de controlo de acesso são suportadas por ele. Com base nesta implementação aplicamos as métricas de avaliação propostas pelo National Institute of Standards and Technology (NIST) para análise de segurança nos sistemas de controlo de acesso. Estas métricas, definidas para qualquer sistema de controlo de acesso, foram aplicadas para auditar e servir de guia para a segurança dos processos e operações das empresas. Consideramos assim, que este trabalho pode ser um guia para aqueles que pretendem implementar um sistema de controlo de acesso baseado num dos modelos abordados e que, necessitem de apoio na escolha do sistema de gestão de bases de dados que melhor se adapta às suas necessidades de segurança. Também para aqueles que necessitem de efetuar uma aplicação prática das métricas de avaliação do NIST, dado não existir documentação com exemplos práticos da aplicação das métricas.