Questões sobre Segurança de banco de dados

Com relação à segurança em bancos de dados, julgue os itens a seguir.

A especificação de privilégios por meio de visões é um mecanismo de autorização obrigatório.

• C. Certo
• E. Errado

Com relação à segurança em bancos de dados, julgue os itens a seguir.

Os privilégios no nível de atributo e no nível de relação base ou virtual são definidos para SQL2 e podem tornar complexa a criação de contas com privilégios limitados.

• C. Certo
• E. Errado

Com relação à segurança em bancos de dados, julgue os itens a seguir.

O privilégio no nível de tabela estabelece privilégios específicos de cada conta, independentemente das relações existentes no banco de dados.

• C. Certo
• E. Errado

Analise as seguintes afirmativas sobre segurança e autorização em bancos de dados e assinale com V as verdadeiras e com F as falsas.

( ) A conta do administrador de banco de dados permite a outorga e revogação de privilégios de acesso a outros usuários.

( ) O privilégio de escrita também garante o privilégio de leitura.

( ) O controle de acesso mandatório com classes de segurança é o mais comum nos SGBDs.

( ) O poder de propagação de privilégios de um usuário pode ser controlado.

Assinale a alternativa que apresenta a seqüência de letras CORRETA.

• A.

  (F) (V) (F) (V)

• B.

  (F) (V) (V) (F)

• C.

  (V) (F) (F) (V)

• D.

  (V) (F) (V) (F)

Considerando a figura acima, que apresenta uma relação entre conceitos empregados em segurança da informação, julgue os itens a seguir.

A habilitação de rastros de auditoria em um SGBD favorece em maior escala a privacidade e, em menor escala, a confidencialidade.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta uma relação entre conceitos empregados em segurança da informação, julgue os itens a seguir.

Uma política de senhas embasada no uso do algoritmo MD5 produzirá, de forma geral, um sistema com menos vulnerabilidades, quando comparada à adoção do algoritmo SHA. Em ambos os casos, estar-se-á buscando em maior escala o aumento da integridade do sistema e, em menor escala, da sua disponibilidade.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta uma proposta de organização da norma NBR ISO/IEC 17799:2005, julgue os próximos itens, acerca dos conceitos de segurança da informação.

O emprego de mecanismos de controle de acesso obrigatório ou mandatório possibilita o alcance de segurança multinível em bancos de dados, algo que é bem mais difícil de ser alcançado com mecanismos de controle de acesso flexíveis ou discricionários. No primeiro caso, são empregados esquemas de classificação da informação. No último, em geral, empregam-se listas de controle de acesso.

• C. Certo
• E. Errado

Devido às vulnerabilidades do ambiente computacional, planejar a continuidade dos negócios e de recuperação após desastres, tornam-se atividades cada vez mais relevantes para a segurança da informação. Em relação a tal contexto, é incorreto afirmar que

• A. a análise de impacto faz parte do planejamento de contingências da organização, identificando os impactos diretos e indiretos causados por interrupção de sistemas computacionais para a continuidade dos negócios da organização.
• B. são fases do planejamento de contingências, nesta ordem: análise das alternativas de recuperação, análise de impacto, desenvolvimento do plano de contingência e treinamentos.
• C. a política de backup é um dos itens importantes em um plano de contingências e compreende os procedimentos e a infra-estrutura necessários à proteção das informações de uma organização.
• D. um plano de contingência efetivo deve compreender resposta imediata a desastres e processo de restauração, englobando assim, decisões gerenciais e passos para retornar à normalidade na organização.
• E. enquanto na análise de riscos, identificam-se os aplicativos críticos, ao desenvolver um plano de contingências, deve-se estabelecer uma lista de prioridades para recuperação.

A respeito da análise de riscos e vulnerabilidades de segurança, é correto afirmar que

• A. ameaça é uma fraqueza ou deficiência que pode ser explorada.
• B. ataque é um evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso.
• C. risco depende da probabilidade de uma ameaça atingir um sistema e do impacto resultante deste ataque.
• D. ameaças que envolvem invasão e/ou monitoramento, sem alterações de informações, são denominadas ativas.
• E. a análise de riscos despreza vulnerabilidades, concentrando-se em medir ameaças e impactos em um dado ambiente.

Considere as seguintes afirmativas sobre segurança no SQL Server.

 I. Roles podem ser interpretados como grupos de usuários para os quais as permissões podem ser atribuídas em bloco.

 II. Um usuário que não seja DBA (sysadmin) jamais pode atribuir permissões para outros usuários.

 III. É possível designar permissões para registros completos, mas não para colunas isoladas.

Sobre as afirmativas, pode-se concluir que:

• A.

  nenhuma está correta;

• B.

  somente I está correta;

• C.

  somente I e II estão corretas;

• D.

  somente II e III estão corretas;

• E.

  todas estão corretas.