• Nenhum resultado encontrado

ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS"

Copied!
8
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 8 páginas )

Texto

(1)

Página 1 ANEXO 9 DO PROJETO BÁSICO

DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

Sumário

1. Finalidade ... 2

2. Justificativa para contratação ... 2

3. Premissas para fornecimento e operação da ferramenta ... 2

4. Demonstração e Validação da Ferramenta ... 3

5. Instalação e configuração dos servidores ... 3

6. Requisitos para a Ferramenta DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS ... 5

(2)

Página 2 ANEXO 9 DO PROJETO BÁSICO

DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

1. FINALIDADE

O presente ANEXO tem por finalidade apresentar os requisitos mínimos obrigatórios da ferramenta de segurança da Informação, visando o aperfeiçoamento da garantia de integridade e inviolabilidade das informações armazenadas nos bancos de dados da Terracap.

2. JUSTIFICATIVA

Os serviços de disponibilização de informações prestados hoje pela TERRACAP carecem de tecnologias ágeis e modernas para a garantia da segurança de seus acervos de informações armazenadas em bancos de dados. Esses processos ao mesmo tempo em que contribuem para a facilidade e transparência das informações, expõe os bancos de dados à possibilidade de invasões ou procedimentos perigosos para a segurança dos dados. Para que os serviços de acesso a informações tornem-se mais seguros, confiáveis e auditáveis, faz-se necessária a utilização de ferramentas apropriadas ao contexto tecnológico atual.

3. PREMISSAS PARA FORNECIMENTO E OPERAÇÃO DA FERRAMENTA

3.1. A licitante será responsável por oferecer métodos de suporte técnic no idioma Português-Brasil de forma direta ou a partir de parceiros especializados e certificados.

3.2. Os requisitos funcionais e as qualidades sistêmicas obrigatórias da ferramenta de segurança da informação estão definidos neste ANEXO.

3.3. Todos os requisitos definidos devem ser atendidos plenamente pela Ferramenta e devem integrar a mesma, não sendo aceitas implementações externas, devendo todos os módulos a serem nativos da Ferramenta e desenvolvidos pelo Fabricante.

3.4. Deverá ser apresentada a identificação dos produtos ofertados para cumprimento dos requisitos técnicos obrigatórios.

3.5. A licitante deverá disponibilizar a ferramenta e demais componentes que atendam aos requisitos obrigatórios definidos neste Anexo; instalar; configurar; treinar; e garantir suporte técnico durante o período de vigência do contrato.

(3)

Página 3 3.6. A ferramenta deverá monitorar o servidor de banco de dados de produção cuja as características estão especificadas no item 5.9.2 deste anexo.

4. DEMONSTRAÇÃO E VALIDAÇÃO DA FERRAMENTA

4.1. Após a fase de apresentação das propostas, a empresa vencedora deverá, no prazo de 3 (três) dias úteis, realizar “Prova de Conceito”, que consiste na instalação da Ferramenta ofertada e comprovação das funcionalidades descritas neste ANEXO, através de:

4.1.1. Instalação da Ferramenta para demonstração das funcionalidades;

4.1.2. Entrega de documentação técnica, contendo os manuais e guias de instalação, configuração e utilização, nos quais deverão ser identificadas pela empresa as páginas e/ou sessões onde se encontram a descrição das funcionalidades da Ferramenta para o atendimento a cada um dos requisitos previstos no item 6 (seis) deste ANEXO;

4.1.3. Apresentação de proposta de cronograma para implantação da Ferramenta licitada, incluindo todos os itens contratados.

4.2. O licitante deverá agendar a data para demonstração da Ferramenta junto a TERRACAP, trazendo todos os itens que forem necessários para demonstração.

4.3. Para a avaliação, a Ferramenta deverá ser instalada em ambiente temporário na TERRACAP junto a área responsável da Terracap .

4.4. A empresa deverá indicar um profissional capaz de executar procedimentos de teste, dirimir dúvidas e acompanhar a homologação da Ferramenta.

4.5. Será solicitada demonstração para fins de comprovação da compatibilidade da Ferramenta com as especificações técnicas deste ANEXO, bem como todas as outras exigências descritas neste ANEXO; 4.6. A Prova de Conceito deverá ser avaliada pela área responsável da Terracap e concluída no prazo de 3 (Três) dias úteis, a contar da data da entrega da amostra, por meio da checagem de todos os itens obrigatórios, sem a possibilidade de nova apresentação.

4.7. O resultado da avaliação será divulgado pela TERRACAP que publicará a data do prosseguimento do certame.

5. INSTALAÇÃO E CONFIGURAÇÃO DOS SERVIDORES

5.1 Compreende o processo de instalação e configuração a ser executado pela empresa licitante:

(4)

Página 4 5.1.1 Instalar, configurar e ajustar o desempenho, em todos os servidores.

5.1.2 Integrar a Ferramenta com os bancos de dados Oracle,

MySQL e PostgreSQL da TERRACAP para seu monitoramento.

5.1.3 Realizar a homologação final da Ferramenta juntamente com os técnicos da TERRACAP, depois de concluída a fase de operação assistida.

5.2 Entende-se por configuração, a necessidade de definir, na ferramenta, as opções de preferência ou uso que atendam as especificações do hardware e do sistema operacional em que ele está instalado.

5.3. Juntamente com as mídias de software, a empresa licitante deverá fornecer toda a documentação técnica original, completa e atualizada, contendo os manuais e guias de instalação, configuração e utilização, não sendo aceitas cópias de qualquer tipo.

5.4. Antes da instalação dos programas deverá ser colocado à disposição relatório de impacto no ambiente da TERRACAP e plano de operação assistida, que deverá ser aprovado pela TERRACAP.

5.5. A instalação deverá ser realizada em data e hora agendada pela TERRACAP, podendo inclusive ser realizada nos finais de semana. 5.6. A instalação e a configuração deverão ser realizadas, obrigatoriamente, por técnico devidamente capacitado, certificado pelo fabricante e com experiência em projetos de implantação da ferramenta apresentada, comprovada por declaração fornecida pela licitante.

5.7. A TERRACAP poderá solicitar a substituição de técnicos, devendo a empresa alocar substituto com grau equivalente ou superior de qualificação técnica;

5.8. A instalação e configuração deverão ser acompanhadas e monitoradas pelos técnicos da TERRACAP.

5.9 Especificação dos Servidores

5.9.1. O ambiente proposto pela licitante deverá estar ajustado à infra-estrutura existente na TERRACAP conforme requisitos estabelecidos no ANEXO V – Ambiente Tecnológico.

5.9.2. Serão utilizadas as seguintes configurações de hardware e

software para instalação do ambiente de produção (servidores):

(5)

Página 5 Processador:

HP ProLiant BL460c G6

Server com 2 proces. Quad Intel(R) Xeon(R) CPU E5540 @ 2.53GHz

Memória RAM: 16 Gb

Servidores: 02 dedicados em regime de cluster 5.9.2.2. Configurações de Software:

Sistema Operacional: CentOS release 5.6 ou superior Servidor de banco de

dados: Oracle 10g e 11g; MySQL 5.x; PostgreSQL 8.x; Servidor de web: Apache 2.0 ou superior

6. REQUISITOS PARA A FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

Entende-se por ferramenta de monitoramento, segurança e auditoria em banco de dados uma solução para bancos de dados que atua na prevenção de acessos não autorizados, identificando e alertando eventos ocorridos no acesso à base de dados baseado em políticas pré definidas, provendo recursos para auditoria, e relatórios sobre todas as atividades executadas no banco de dados. A Ferramenta deverá ter as seguintes características técnicas:

 Deverá monitorar e registrar em tempo real os seguintes eventos das bases de dados:

• Alterações em Esquemas de Dados (CREATE, DROP, ALTER) – DDL (Data Definition Language);

• Alterações em Dados (INSERT, UPDATE, DELETE) – DML (Data Manipulation Language);

• Acessos a Dados (SELECT, EXECUTE) – DQL (Data Query Language);

• Eventos de segurança (GRANT, REVOKE, DENY) – DCL (Data Control Language).

• Logins válidos, inválidos e rejeitados; • Logout;

(6)

Página 6 • Atividades de gerenciamento de contas de usuários (criação,

alteração de senha, etc.);

• Alterações nas configurações de segurança;

• Registro de criação, exclusão e alocação de objetos; • Registrar o log de mensagens da base de dados;

• Tentativas de acesso ao sistema operacional por comandos da base de dados;

• Finalização (shutdown), Erros e Reinicialização da base de dados;

 Monitorar e registrar o desempenho de uso de banco de dados incluindo: comandos SQL de longa duração de execução, dados pouco acessados, usuários mais ativos e últimos relatórios acessados para os usuários e tabelas.

 Deverá independer da tecnologia de hardware de processadores e do sistema operacional e softwares básicos utilizados nos servidores de bancos de dados.

 Deverá suportar os seguintes Softwares Gerenciadores de Banco de Dados em uma única interface de administração:

• Oracle ® 8.0.3, 8.1.7, 9.1, 9.2.0.1, 10g & 11g; • Microsoft ® SQL Server 7.0, 2000, 2005 & 2008; • MySQL 4.x e 5.x;

• PostgreSQL 8.x;

 Empregar mecanismo de captura de pacotes segura que permita ao gestor garantir a monitoramento e coleta de todos os comandos executados e assim garantir a geração de trilhas de auditoria fidedignas.

 Possuir recurso de gerenciamento centralizado, permitindo acessar o sistema de vários pontos da rede de forma segura e configurar políticas e regras de forma centralizada;

 Ser dotado de arquitetura expansível, permitindo adicionar pontos de monitoramento distribuída totalmente integrados, permitindo aos administradores gerenciar múltiplas redes dispersas geograficamente e elevados volumes de processamento.

 Não depender de análise de logs de bancos de dados e aplicações ou de processos que se conectem ao banco de dados. Deve operar sem a utilização de triggers nos bancos de dados, sem a necessidade de acessar os registros de transações dos bancos (transaction logs), sem comprometer a segurança e a performance da base de dados, sem a necessidade do recurso de “audit” estar ligado, e ainda assim deve fornecer granularidade e 100% de visibilidade sobre toda a atividade da base de dados baseada em rede, com mínimo impacto sobre a infraestrutura, os servidores de banco de dados e as aplicações;

(7)

Página 7  Possuir repositório de dados de auditoria segregado e altamente seguro que não permita acesso de usuários administradores de sistema operacional e banco de dados (SYSTEM, DBA, etc.);

 Possuir interface web amigável sem a necessidade de instalação de aplicações cliente e que permita implementar a separação de responsabilidades requeridas pelos auditores;

 Exportar relatórios para formato CSV, Texto ou Excel para análises e apresentações independentes;

 Implementar recursos de detecção, prevenção de intrusões e geração de alertas em tempo-real baseado em informações da rede, aplicação e banco de dados, podendo agir como um firewall de banco de dados e aplicação através de políticas flexíveis implementadas pelo usuário, incluindo entre outras funcionalidades: Terminate Session (cliente recebe mensagem indicando que a sessão foi terminada);

 Permitir implementar política de controle de abertura de sessões nos bancos de dados através de envio de comandos do tipo TCP RESET a fim de derrubar conexões que infrinjam a política vigente, mesmo em implementações onde o appliance é implementado em modo passivo.

 Manter os dados monitorados armazenados em ambiente seguro, podendo, caso necessário, não serem acessados nem mesmo pelos administradores de banco de dados, devendo possuir ainda as funcionalidades de backup manual e automático a fim de gerenciar o armazenamento de longo prazo das informações;

 A solução devera rodar nos servidores descritos no item 5.9, não necessitando de nenhum tipo de appliance para o seu perfeito funcionamento;

 Permitir o envio de alertas em tempo real quando algum parâmetro for atingido ou quando algum evento específico acontecer, nestes casos o produto pode enviar e-mails de alerta;

 Permitir a criação de alertas personalizados que possam estar integrados à execução de rotinas e procedimentos automatizados definidos pelo usuário;

 Requisitos de performance mínimos:

• Não deverá causar impacto ou impacto mínimo na performance da base de dados e da rede;

• Analisar e inspecionar de forma bidirecional o conteúdo (payload) do acesso de, no mínimo, 10.000 (dez mil) transações simultâneas/seg;

• Deverá operar em modo promíscuo, ou seja, não deverá ser um elemento ativo na rede para fazer a monitoramento.

• Requisitos de Gerenciamento e Documentação da infra-estrutura de segurança de banco de dados:

• Permitir gerenciamento via interface gráfica GUI e SSH; • Permitir gerenciamento centralizado;

(8)

Página 8 • Permitir o gerenciamento de políticas (bloqueio de acesso

inapropriado e construção de políticas)

• Suportar dispositivos de gerenciamento redundante;

• A solução deve ser compatível com Hardware tipo servidor e os seguintes sistemas operacionais para o banco de dados: Microsoft Windows 2000, 2003 e 2008 Server, Linux Red Hat Enterprise Linux, Linux Cent OS, Unix AIX, Unix HP-UX e Solaris.

• A solução deverá possuir uma interface única de administração e gestão de monitoramento e auditoria de banco de dados para os SGDBs descritos acima.

Referências

Descarregar agora ( PDF - 8 páginas - 76.90 KB )

Documentos relacionados

Otimização e Aplicação de Parâmetros Metodológicos Em Dosimetria Citogenética

A não uniformização quanto ao método de referência pode promover diferenças entre as curvas de calibração geradas por laboratórios de dosimetria citogenética, que podem

Efeito do comprimento do parafuso e da rigidez da união no limite de fadiga de uniões parafusadas

seria usada para o parafuso M6, foram utilizadas as equações 14 e 15, referentes aos parafusos de 8 mm de diâmetro e folga entre parafuso e furo de 0,5 mm, que definem,

Efeito vasorelaxante dos isômeros (+) e (-)-linalol em artéria mesentérica de rato

No entanto, os resultados apresentados pelo --linalol não foram semelhantes, em parte, aos do linalol racêmico, uma vez que este apresenta um efeito vasorelaxante em anéis de

A LINGUAGEM E A AGENDA: UMA ANÁLISE DE CORRESPONDÊNCIA DE DISCURSOS RELACIONADOS À EMENDA DA REELEIÇÃO (1995-1997)

Resumo: O presente trabalho corresponde a um estudo empírico descritivo e exploratório que aborda comportamentos e falas de atores políticos que participaram do processo legislativo

Download/Open

As micotoxinas são compostos químicos tóxicos provenientes do metabolismo secundário de fungos filamentosos e conhecidas pelos danos causados à saúde humana e

Animação dinamica de corpos rigidos articulados

onde Qe são as forças de origem externa ao sistema e Qc são as forças de reação. Estas equações não podem ser utilizadas diretamente, pois as forças de

adalberto reis borges de jesus

Este presente artigo é o resultado de um estudo de caso que buscou apresentar o surgimento da atividade turística dentro da favela de Paraisópolis, uma

Rearing and Colonization of Lutzomyia evansi (Diptera: Psychodidae), a Vector of Visceral Leishmaniasis in Colombia

Field Studies on the Ecology of the Sand Fly Lutzomyia longipalpis (Diptera: Psychod- idae) at an Endemic Focus of American Visceral Leishmaniasis in Colombia. Bionomía de los