一个集
Constitui um conjunto
信息安全,特别是在数据库中的一组活动,是任何组织和企业的核心技术。在过去,人们认为安全的投资是不必要的,因为无法测量问题,这被认为是一个夸张的团队和专业的信息技术(IT)(维埃拉,2009)。
一个组织的数据在基础上可以生成协助决策的重要信息,是一个公司的战略,以保持在市场上。在这种方式中,数据是作为一个组织所拥有的主要资产,是所有业务流程的一个组成部分。20世纪50年代和70年代之间,曾为其最大的资产,企业的厂房、机器、五金的生产部门。随着技术的进步和生产高质量的软件跟踪的方法,程序和工具,随着市场的日益全球化,企业的愿景和目标的改变,知识管理,存储和传播的数据而恢复了(记者,2006年)。
因此,企业的投资和技术人员能够使用技术来保护数据,为企业增值,使更多的可靠的数据得到存储。这些数据已被处理的战略,反映的重要信息,并生成有关的业务领域和企业管理。因此,它是必要的,所有的公司要部署一个适当的安全政策和明确的标准,对达到目的的关键等等,以保护他们的业务的信息和知识的过程。
在数据库管理系统(DBMS)管理机制,拥有所有的数据库存储。这些机制和接口的数据库系统的主要特征是组织能力的数据、应用程序和应用程序包,这有助于促进数据库的数据库管理员(DBA)和其他领域的专业人士进行安全的数据管理。
INTRODUO——简介
A segurana da informao, especificamente em banco de dados, constitui um conjunto de atividades e técnicas essenciais para qualquer organiza??o empresarial. Antigamente, acreditava-se que os investimentos em seguran?a eram desnecessários, pois n?o podiam ser mensurados, sendo considerado um exagero da equipe e profissionais de Tecnologia da Informa??o (TI) (VIEIRA, 2009).
A base de dados de uma organiza??o pode auxiliar na gera??o de informa??es importantes para tomada de decis?es, sendo uma estratégia da empresa para se manter no mercado. Deste modo, o dado é considerado como um dos principais ativos que a organiza??o possui, sendo parte integrante de todos os processos empresariais.
Entre as décadas de 50 e 70, as empresas tinham como seu maior patrim?nio as instala??es, máquinas do setor de produ??o e o hardware. Com o avan?o tecnológico e a produ??o de software com qualidade seguindo métodos, ferramentas, procedimentos e com o mercado cada vez mais globalizado, a vis?o e os objetivos empresariais mudaram, e a gest?o do conhecimento por meio do armazenamento e dissemina??o de dados passaram a ser valorizados (PRESSMAN, 2006).
Conseqüentemente, as empresas come?aram as investir em tecnologia e em profissionais capazes de utilizar técnicas para proteger os dados, a fim de agregar valor ao negócio tornando o armazenamento de dados mais confiável. Os dados passaram a ser tratado de forma estratégica, refletindo também a gera??o de informa??es importantes para as áreas de negócio e gest?o empresarial.
Portanto, é necessário que todas as empresas procurem implantar uma política de seguran?a adequada e com normas bem definidas, essenciais para atingir o objetivo que se espera, visando proteger a informa??o e o conhecimento sobre seus negócios e processos.
Os Sistemas Gerenciadores de Banco de Dados (SGBD) possuem mecanismos para administrar todas as bases de dados armazenadas. Estes mecanismos e interfaces dos SGBDs possuem como característica principal a capacidade de organiza??o dos dados, aplica??es e pacotes de aplica??es que auxiliam na seguran?a. Isto permite facilitar a administra??o de dados e do banco de dados por parte do Administrador de Banco de Dados (DBA) e outros profissionais da área.
De acordo com Dewson (2006) as principais ferramentas do SGBD da Microsoft s?o o SQL Server Databases Services, o Analysis Service, o Reporting Services, Integration Service e a Workstation Components. Tais ferramentas s?o capazes de administrar o banco de dados com integridade e confiabilidade dos dados. Além disso, permitem gerenciar cópias de seguran?a cria??o de usuários e níveis de acesso.
Dewson (2006) descreve ainda que através dessas ferramentas sejamos capazes de criar views de tabelas, roles para permiss?o de acesso, backup e restore dos dados, enfim manipular todas as informa??es e realizar a??es necessárias para uma administra??o confiável e segura que um banco de dados necessita.
Outros SGBDs também oferecem interfaces e comandos que facilitam a gerencia dos dados e usuários que acessam as bases de dados, podemos citar alguns exemplo de SGBD como Oracle, MySQl entre outros.
O Oracle possui uma série de ferramentas que possibilitam uma maior seguran?a do seu SGBD como: Oracle Database Vault, Audit Vault, Label Security, Advanced Security, Advanced Compression e Secure Backup. Essas ferramentas s?o capazes de administrar e garantir a integridade e confiabilidade de um SGBD líder de mercado no mundo coorporativo.
Para Maj (2005) o MySQL tem por objetivo atingir o mais alto nível de seguran?a em sua instala??o, para que isso possa ocorrer, a instala??o deve ser executado em um ambiente chrooted. Os processos armazenados no servidor de banco de dados, devem rodar sobre um UID/GID único, isto é, que n?o seja utilizado por outros processos de sistema, a seguran?a nos acesso devem ser feitas apenas por acessos locais ao MySQL e como forma de garantir à integridade do SGBD a conta de root (superusuário) do deve possuir uma senha difícil de ser quebrada.
O DBA tem como premissa principal de seguran?a renomear a sua conta de acesso e desativar a conta de nobody para que n?o haja falha no acesso de usuários an?nimos ao banco de dados (MAJ, 2005).
Segundo Maj (2005) o MySQL ainda vem com funcionalidades de seguran?a como o ACID Transctions para construir aplicativos mais seguros e confiáveis para utiliza??o desse SGBD no mercado.#p#分页标题#e#
Diante dos recursos e técnicas de seguran?a desenvolvidas e oferecidas pelos SGBDs, como implementar rotinas de seguran?a em banco de dados? Deste modo, este trabalho tem objetivo geral realizar uma pesquisa bibliográfica a fim de investigar as melhores práticas utilizadas para a seguran?a da informa??o no contexto do gerenciamento de banco de dados. Além disso, este trabalho terá como estudo de caso a implementa??o de rotinas de seguran?a em banco de dados seguindo as Normas da Sociedade Brasileiras de Informática em Saúde (SBIS).
Como ferramenta para implementa??o das rotinas de seguran?a de dados, esta monografia utilizará o SQL Server 2005, por oferecer todas as funcionalidades necessárias para o desenvolvimento deste trabalho, e por ser o SGBD utilizado pelo autor em sua vida profissional.
referido trabalho terá os seguintes objetivos específicos:——上述工作的具体目标如下
Produzir um texto que descreva a seguran?a em um SQL Server, demonstrando os conceitos existentes em empresas;
Descrever como o mercado de Saúde Suplementar está se adequando a uma política de seguran?a a fim de garantir o que de mais importante para uma organiza??o, ou seja, o valor que tem a informa??o.
Esta monografia está dividida em cinco capítulos que s?o expostos de acordo com a importancia de cada tópico.
Capitulo 1 é a introdu??o. Neste capítulo é apresentada a motiva??o, finalidade e os objetivos específicos deste trabalho.
Capítulo 2 relaciona os conceitos de Seguran?a da Informa??o, banco de dados e a origem do SQL Server. Discute também as principais funcionalidades deste SGBD para o gerenciamento da seguran?a dos dados.
Capítulo 3 descreve as medidas utilizadas para garantir a seguran?a dos dados de acordo com as normas da Agência de Saúde Suplementar (ANS) seguindo a SBIS.
Capítulo 4 apresenta as técnicas adotadas para garantir a seguran?a de dados por meio do SQL Server 2005, baseada nas normas descritas no Capítulo 3.
Capítulo 5 faz as considera??es finais do trabalho.
REFERENCIAL TEóRICO—— 理论基准
Inicialmente o papel da internet era ser um grande fornecedor de dados. Informa??es financeiras, meteorológicas, educacionais, institucionais, governamentais, além de texto e imagens sobre uma in-finidade de assuntos, s?o disponibilizados através dos mecanismos de busca atuais. A Internet está em plena evolu??o, e além de dados, agora ela fornece diversos servi?os. Compra e venda de produtos, leil?es, transa??es bancárias e financeiras s?o apenas alguns exemplos de servi?os que já podem ser contratados on line. Na última década, setores da indústria, governo e educa??o têm tentado estabelecer os padr?es para a produ??o e a utiliza??o desse tipo de servi?os na rede, também conhecidos como Web Services.#p#分页标题#e#
Nos dois primeiros anos do novo milênio, quando a euforia em torno do e-commerce come?ou a dar lugar a experiências bem mais modestas do que alardeavam as previs?es do final dos anos 90, novas promessas sobre o potencial da Internet come?ou a ganhar volume. No entanto, os protagonistas dessas novas promessas n?o foram as ponto-coms e seus propagandistas, mas grandes fornecedores de hardware, software e servi?os. O que eles vêm promovendo ultimamente é uma nova abordagem para os sistemas de informa??o corporativos e que vem sendo proclamada através de uma série de nomes diferentes: a Microsoft a chama de "NET"; Oracle associa-a aos "network services"; IBM identifica-a por "web services"; Sun fala sobre um "ambiente de rede aberto". No entanto, a idéia central dessa nova abordagem é que as corpora??es logo ir?o comprar suas tecnologias de informa??o como servi?os providos através da Internet.
Esses servi?os, que s?o genericamente conhecidos por "web services", têm alguns atributos peculiares. Diferentemente dos "web sites" tradicionais, projetados para as pessoas interagirem com informa??o, os web services conectam aplica??es diretamente com outras aplica??es. E a idéia básica é que essa conex?o se dê sem que seja necessário efetuar grandes customiza??es nas próprias aplica??es. Além disso, uma das premissas fundamentais é que o padr?o usado pelas conex?es seja aberto e independente de plataforma tecnológica ou linguagens de programa??o.
Conceitos de Web Services——Web服务的概念
De acordo com Breitman (2005), n?o existe uma única defini??o para esse termo. A seguir listamos algumas que julgamos ser bem esclarecedoras:
Um web service é um aplicativo de software que pode ser acessado remotamente através de diferentes linguagens baseadas em XML. De modo geral, um web service é definido através de uma URL, da mesma forma que qualquer site na Internet. O que distingue um web service é o tipo de intera??o fornecida (Stephen Potts & Mike Kopack, 2003)
Um web service é um sistema de software identificado através de uma URI cujas interfaces públicas e interconex?es s?o descritas em XML. Sua defini??o é publicada de modo a po-der ser 'descoberta′ por outros sistemas de software. Web services podem interagir com outros sistemas ou web services do modo prescrito em sua defini??o, utilizando mensagens baseadas no padr?o XML produzidas através de protocolos de Internet (Glossários do W3C).
Web services s?o um novo tipo de aplica??o para a Internet. Eles s?o autocontidos, autodescritivos, modulares e podem ser publicados, localizados e chamados através da rede. Os web services realizam fun??es que v?o das mais simples até processos de negócio complexos. Uma vez tornado público, outras aplica??es (ou web services) podem "descobrir" e fazer uso do mesmo (Tutorial de web services, IBM).
Web service é uma solu??o utilizada na integra??o de sistemas e na comunica??o entre aplica??es diferentes. Com esta tecnologia é possível que novas aplica??es possam interagir com aquelas que já existem e que sistemas desenvolvidos em plataformas diferentes sejam compatíveis. Os Web services s?o componentes que permitem às aplica??es enviar e receber dados em formato XML. Cada aplica??o pode ter a sua própria "linguagem", que é traduzida para uma linguagem universal, o formato XML (Wikipédia, a enciclopédia livre)
Para as empresas, os web services podem trazer agilidade para os processos e eficiência na comunica??o entre cadeias de produ??o ou de logística. Toda e qualquer comunica??o entre sistemas passa a ser dinamica e principalmente segura, pois n?o há interven??o humana.
Essencialmente, o Web Service faz com que os recursos da aplica??o do software estejam disponíveis sobre a rede de uma forma normalizada. Outras tecnologias fazem a mesma coisa, como por exemplo, os browsers da Internet acedem às páginas Web disponíveis usando por norma as tecnologias da Internet, HTTP e HTML. No entanto, estas tecnologias n?o s?o bem sucedidas na comunica??o e integra??o de aplica??es. Existe uma grande motiva??o sobre a tecnologia Web Service, pois possibilita que diferentes aplica??es comuniquem entre si e utilizem recursos diferentes.
Um web service, portanto, é um componente de software, ou uma unidade lógica de aplica??o, que se comunica através de tecnologias padr?es de Internet. Esse componente provê dados e servi?os para outras aplica??es. Essa tecnologia combina os melhores aspectos do desenvolvimento baseado em componentes e a Web. Como componentes, representam uma funcionalidade implementada em uma 'caixa-preta', que pode ser reutilizada sem a preocupa??o de como o servi?o foi implementado. As aplica??es acessam os Web Services através de protocolos e formatos de dados padr?es, como HTTP, XML e SOAP.
O que os Web Services Fornecem—— 所提供的Web服务
O grande entusiasmo acerca da tecnologia de web services é justificado pela promessa de interoperabilidade dos ambientes computacionais. à medida que os computadores v?o se tomando presentes n?o só no ambiente profissional, mas também em nossas casas, a diversidade de ambientes computacionais (sistemas operacionais e aplicativos de software) cresce quase que exponencialmente. A arquitetura de web services é baseada na troca de mensagens XML em um formato específico, portanto:
é independente de plataforma;
E independente da localidade (do mundo) de onde a mensagem está sendo enviada;
é independente da linguagem do aplicativo de software do cliente;
N?o exige que o cliente saiba que tipo de processador está sendo utilizado pelo servidor.#p#分页标题#e#
Os Web Services s?o identificados por um URI (Uniform Resource Identifier), descritos e definidos usando XML (Extensible Markup Language). Um dos motivos que tornam os Web Services atractivos é o fato deste modelo ser baseado em tecnologias standards, em particular XML e HTTP (Hypertext Transfer Protocol). Os Web Services s?o utilizados para disponibilizar servi?os interativos na Web, podendo ser acedidos por outras aplica??es usando, por exemplo, o protocolo SOAP (Simple Object Access Protocol).
Em suma, essa tecnologia realmente habilita a utiliza??o da Internet em nível global. Através de web services cada aplicativo de software na rede tem a potencialidade de "falar" com qualquer ou-tro aplicativo, mesmo que no outro lado do mundo. Se a troca de mensagens entre servi?os estiver em conformidade com os protocolos de comunica??o estabelecidos, é possível que dois aplicativos possam interagir, independentemente de seu sistema operacional, sua linguagem de programa??o e protocolos internos.
Objetivos dos Web Services——Web服务的目标
O objetivo dos Web Services como é a comunica??o aplica??o para aplica??o através da Internet. Esta comunica??o é realizada com intuito de facilitar EAI (Enterprise Application Integration), que significa a integra??o das aplica??es de uma empresa, ou seja, interoperabilidade entre a informa??o que circula numa organiza??o nas diferentes aplica??es como, por exemplo, o comércio eletr?nico com os seus clientes e seus fornecedores. Esta intera??o constitui o sistema de informa??o de uma empresa. E para além da interoperabilidade entre as aplica??es, a EAI permite definir um workflow entre as aplica??es e pode constituir uma alternativa aos ERP (Enterprise Resource Planning). Com um workflow é possível otimizar e controlar processos e tarefas de uma determinada organiza??o.
Como Funcionam os Web Services—— Web服务是如何工作的
INTEGRAO DE SISTEMAS CORPORATIVOS—— 企业集成系统
简介
Já faz alguns anos que os gerentes de TI se vêem frente ao desafio de integra??o das diferentes aplica??es corporativas que suportam os processos de negócio nas empresas. Nos últimos anos observou-se um crescimento, sem precedentes, do número de aplica??es, sistemas, repositórios de informa??es que coexistem dentro de uma corpora??o. Por outro lado, intensificou-se o esfor?o de integra??o desses diferentes ativos de sistemas e dados provocados pelos movimentos de integra??o e racionaliza??o dos processos de negócio, pelas estratégias de relacionamento com clientes e pela necessidade de gera??o de informa??es de apoio a tomadas de decis?o.
Analisemos o cenário da TI nas empresas na segunda metade dos anos 90. A corrida contra o relógio fez com que as empresas reavaliassem seus antigos sistemas (legados) e os adaptassem ao fantasma do "Ano 2000". Além disso, as novas tendências batiam à porta das corpora??es: milh?es de dólares foram gastos no redesenho dos processos e implanta??o dos grandes sistemas de gest?o empresarial (ERP) e de gerenciamento do relacionamento com clientes. Esses novos conceitos migraram o foco do "gerenciamento de dados" para o "gerenciamento dos processos e clientes". Nesse contexto, a necessidade de integra??o dos diferentes ambientes, sistemas, plataformas, bases de dados e todos os demais ativos de informa??o ocupou as mentes dos gerentes de TI. Surgiram com enorme for?a os conceitos de EAI (Enterprise Application Integration) e as grandes e caras solu??es de sistemas de middleware.#p#分页标题#e#
No entanto, uma revolu??o ainda maior ocorria, adicionado mais variáveis à complexa equa??o da integra??o de sistemas: a Internet. A possibilidade (ou necessidade) de disponibilizar parte das informa??es corporativas a usuários ou sistemas que extrapolavam as fronteiras corporativas, fez com que o paradigma se alterasse novamente. O ápice das aplica??es cliente-servidor parecia estar com os dias contados. Novos modelos de acesso às informa??es foram criados, todos baseados em transa??es leves, através dos novos protocolos da Web. Além disso, novos sistemas foram adicionados ao contexto, entre eles, sistemas mais sofisticados de seguran?a, aplicativos diversos para intranet e extranet, etc.
é nesse cenário que as empresas se inserem hoje. A diversidade de sistemas coexistindo nas empresas é enorme, indo de grandes pacotes comerciais a aplica??es desenvolvidas sob-medida por diferentes "software houses", com diferentes tecnologias (host-centric, cliente-servidor, n-tier, etc), em diferentes plataformas (mainframes, Unix, Windows, etc). Já se verificou que a estratégia mais adequada para as empresas é efetuar uma integra??o dessas aplica??es já existentes ao invés de se tentar uma unifica??o de ambientes, plataformas e tecnologias, dados ao alto custo, tempo e aos investimentos já realizados com os atuais sistemas. O desafio agora é definir o caminho mais adequado para os projetos de EAI.
As Vantagens da Integra??o de Sistemas através de Web Services——通过Web服务的系统集成的优点
As solu??es tradicionais de EAI provêem uma máquina de integra??o centralizada e monolítica, que usa tecnologias proprietárias para integrar os sistemas, e adaptadores especializados para conectar fontes de dados e sistemas legados. Essa abordagem monolítica tem as seguintes desvantagens:
é dependente de plataforma requerendo uma nova vers?o tanto da máquina de integra??o quanto dos adaptadores para cada plataforma a ser suportada ou integrada;
Introduz uma linguagem proprietária no "core" da integra??o;
Resulta num único ponto de falha;
Provê um método de integra??o que baseia-se na replica??o dos dados dos diversos sistemas ao invés de consolidar os dados das várias fontes.
Além disso, as solu??es tradicionais de EAI requerem um investimento inicial substancial, que quando combinado com a complexidade da tecnologia proprietária, gera um alto grau de dependência do fornecedor. Como resultado, o próprio EAI se transforma em mais um sistema legado.
Na verdade, a abordagem dos sistemas tradicionais de EAI, monolíticas e centralizadas, n?o levam em conta a atual dinamica imposta pela Internet, onde os sistemas de uma empresa n?o podem ser isolados do resto do mundo. E nesse contexto, os requisitos de integra??o se alteram constantemente fazendo com que as solu??es tradicionais tornem-se pouco ágeis e caras diante de qualquer altera??o demandada. Qualquer nova tentativa de se integrar uma nova tecnologia é quase t?o difícil e cara quanto a integra??o inicial.#p#分页标题#e#
No modelo de web services, cada sistema da organiza??o atua como um componente independente na arquitetura de integra??o. Todas as interfaces, transforma??es de dados e comunica??es entre componentes s?o baseados em padr?es abertos e vastamente adotados, independentes de fornecedores e plataformas.
As vantagens de se utilizar essa abordagem s?o:
Simplicidade: é mais simples de se implementar que as solu??es tradicionais que utilizam CORBA ou DCOM;
Padr?es abertos: utilizam padr?es abertos como HTTP, SOAP, UDDI, ao invés de tecnologias proprietárias;
Flexibilidade: altera??es nos componentes s?o muito mais simples para o sistema como um todo do que altera??es nos adaptadores tradicionais;
Custo: as solu??es tradicionais s?o muito mais caras;
Escopo: cada sistema pode ser tratado de maneira individual, já que para "componentizá-lo" basta implementar uma camada que o encapsule. Na abordagem tradicional, todos os sistemas devem ser tratados ao mesmo tempo, já que far?o parte da mesma solu??o monolítica de integra??o.
Interoperabilidade de Web Services
Na prática, web services n?o s?o 100% interoperáveis. Ainda existem diversos gaps para realizar a comunica??o, mas existe uma organiza??o, a WS-I, que define os padr?es de comunica??o para padroniza??o de interoperabilidade de web services. No total existem mais de 50 especifica??es de Web services mantidas por três organiza??es (W3C, OASIS, WS-I). O WS-Basic profile 1.1 n?o cobre todas as especifica??es de web services, mas cobre especifica??es como SOAP, WSDL, UDDI, XML e HTTP.
Níveis de Acesso——访问级别
A característica de defini??o de acesso ao SGBD e as defini??es de acesso a determinada Tabela de Dados ou a possibilidade de o usuário obter o direto a um Insert, Select e Update e até mesmo Delete é de fundamental importancia para que o SGBD se mantenha seguro e confiável no que diz respeito às normas(CFM e SBIS, 2009).
Cada usuário terá um perfil de acesso, indicando os produtos, os arquivos, os aplicativos, as fun??es dos aplicativos e os dados que podem ser executados, lidos e gravados (UNIMED BRASIL, 2006).
Em conformidade com as regras impostas os aplicativos disponibilizados pela Unimed do Brasil as Unimed que aderiram ao seu sistema de Gest?o receberam um sistema com capacidade de cumprir as exigências da TISS segundo a SBIS e o CFM, 2009.
Exemplo de um script de restri??o de um Formulário da aplica??o para garantir a integridade dos dados do SGBD:
SELECT ALL TelosUserUrl.* FROM TelosUserUrl WITH (NOLOCK) WHERE ((TelosUserUrl.Usr = 'Fabricio') AND (TelosUserUrl.Url = 'frm:999000530') AND (TelosUserUrl.Application = 28));
UPDATE TelosRole SET TelosUpDt = convert(datetime, '2009-10-24 14:15:36', 120), TelosUpUs = 'Fabricio', Name = 'teste' WHERE ((TelosRole.AutoId = 21));#p#分页标题#e#
DELETE FROM TelosRoleMenu WHERE ((TelosRoleMenu.Role = 21));
INSERT INTO TelosRoleMenu (RegAction, AllowVisualize, RegReport, RegEdit, AllowPrint, RegNew, RegDelete, TelosRgUs, TelosUpDt, AllowSchedule, TelosRgDt, Menu, Role, AllowSearch, AllowNew, TelosUpUs, AllowEdit, AllowSaveOutput, AllowDelete) VALUES (1, 1, 1, 1, 1, 1, 1, 'Fabricio', convert(datetime, '2009-10-24 14:15:36', 120), 1, convert(datetime, '2009-10-24 14:15:36', 120), 1281, 21, 1, 1, 'Fabricio', 1, 1, 1);
Cópias de Seguran?a e Restaura??o de Dados
O primeiro produto da parceria SBIS/CFM foi à elabora??o da resolu??o n.° 1639/2002 que aprovou as "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico", dispondo sobre o tempo de guarda dos prontuários, estabelecendo critérios para certifica??o dos sistemas de informa??o e dando outras providências.
Conforme a SBIS e CFM (2009) a resolu??o CFM n° 1638/2002 define prontuário médico e atribui as responsabilidades por seu preenchimento, guarda e manuseio.
A Resolu??o CFM n° 1821/2007 aprova as "Normas Técnicas Concernentes à Digitaliza??o e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Prontuários dos Pacientes, Autorizando a Elimina??o do Papel e a Troca de Informa??o Identificada em Saúde".
Essa resolu??o aprova o Manual de Certifica??o para Sistemas de Registro Eletr?nico em Saúde, vers?o 3.0 e/ou outra vers?o aprovada pelo Conselho Federal de Medicina, autoriza a digitaliza??o de prontuários médicos conforme normas específicas e estabelece a guarda permanente para prontuários médicos arquivados eletronicamente, em meio óptico ou magnético e microfilmados, bem como o prazo mínimo de vinte anos para a preserva??o dos prontuários médicos em suporte de papel (SBIS e CFM, 2009).
De acordo com a SBIS e CFM, (2009) os backups ou a cópia de seguran?a devem ser feita cópia de seguran?a dos dados do prontuário pelo menos a cada 24 horas. Recomenda-se que o sistema de informa??o utilizado possua a funcionalidade de for?ar a realiza??o do processo de cópia de seguran?a diariamente. O procedimento de back-up deve seguir as recomenda??es da norma ISO/IEC 17799, através da ado??o dos seguintes controles:
Documenta??o do processo de backup/restore;
As cópias devem ser mantidas em local distante o suficiente para livrá-las de danos que possam ocorrer nas instala??es principais;
Mínimo de três cópias para aplica??es críticas;
Prote??es físicas adequadas de modo a impedir acesso n?o autorizado;
Possibilitar a realiza??o de testes periódicos de restaura??o.
Seguindo as normas da SBIS e da Unimed do Brasil elaboramos um descri??o da rotina implementada na Unimed Além Paraíba para a realiza??o e acompanhamento dos Backups e Restores como segue:
Para garantir à integridade do backup e dos dados (arquivos, sistemas, banco de dados, e-mail, etc.) nos servidores, quando houver necessidade de executar os processos após os horários estipulados no item anterior, as áreas comunicam ao profissional de TI até as 18h00min.
A IMPLEMENTA??O DAS PRáTICAS DE SEGURAN?A DE DADOS PERVISTAS NA SBIS USANDO O SQL SERVER 2005
A partir das normas e práticas mencionadas no Capítulo 3, este capítulo descreve a implementa??o da seguran?a de dados em SQL Server 2005, a fim de demonstrar como atender as exigências que o mercado de Saúde Suplementar, respeitando as resolu??es do CFM e da SBIS.
Inicialmente, será criado um banco de dados de exemplo com nome de CFMSBIS09 e as algumas tabelas como Beneficiário, ModuloBeneficiário e Pessoa, tem por objetivo a breve apresenta??o de um modelo de Bancos de Dados explicando brevemente cada um dos princípios do CFM e SBIS.
Como a cria??o de Login com a permiss?o de leitura e a impossibilidade de roles de escrita no SBGBD.
Criao de Logins—— 创建登录名
Um dos primeiros passos para acessar o banco de dados CFMSBIS09 é a cria??o de um login que possa ter acesso a todas as tabelas e seus dados.
Conforme Script-2, segue a sintaxe de na linguagem Transact-sql para a cria??o do logins de acesso para utiliza??o desse usuário ao SGBD e conseqüentemente ao Banco de dados CFMSBIS09.
CREATE USER [Fabricio] FOR LOGIN [Fabricio]—— 创建用户登录[法] [法]
Caso haja necessidade de criar uma senha para o usuário Fabricio, o qual foi criado com objetivo de somente ter acesso ao Banco de Dados CFMSBIS09 e n?o ao SGBD, pode ser feito por meio da execu??o do comando abaixo:
Nota-se que a senha anterior desse usuário estava em branco, é aconselhável que você crie uma senha segura e que n?o esteja em branco já que a prática de seguran?a descrita nos Manuais online do SQL Server recomenda que n?o seja criado usuário de um SGBD em branco, evitando assim que Worms, Hackers se utilizem essa conta para acessar o SGBD.
Esta falta de aten??o, caso exista por parte do DBA, se op?e às normas de seguran?a do CFM e SBIS quanto a Confiabilidade, Integridade e Disponibilidade dos dados confidenciais dos beneficiários registrados nos SGBD′s das Operadoras de Plano de Saúde.
Criao de Níveis de Acesso——设置访问级别
O SQL Server 2005 consegue realizar inúmeros controle capazes de garantir que o sistema fique mais seguro conforme descreve Pichiliani (2003) que os níveis de permiss?es que podem ser atribuídas aos usuários, permitem um controle e gerenciamentos dos dados e objetos de maneira mais específica sobre as tabelas , dados , e a utiliza??o de sintaxe de comandos que podem garantir ou inviabilizar a seguran?a de dados contidos no SGBD , desse modo podemos ent?o afirmar que a cria??o dos níveis de acesso para os usuário é de extrema importancia , já que a normal do CFM e da SBIS preconiza que todos os sistemas precisam garantir a confiabilidade, integridade e disponibilizar , consideramos que a melhor maneira quanto ao acesso ao banco de dados por parte dos usuários do sistema de gest?o das Operadoras e mesmo aqueles que utilizam de alguma forma o SGBD para relatórios , consultas via Transact-sql , precisam estar em ressonancia com as normas aplicadas pelo DBA visando garantir a seguran?a.#p#分页标题#e#
A cria??o dos níveis de acesso no SQL Server 2005 passa pela cria??o de Schemas e Roles de controles , continuaremos demonstrando como realizar esses controles , utilizando o nosso banco de CFMSBIS09 para cria??o de Schemas e Roles de acesso ao SGBD.
Como exemplo e atribui??o de esquemas, os usuários abaixo ter?o acesso aos SCHEMAS como db_securityadmin,db_datareader,db_datawriter, os quais permitem ao usuário gerenciar permiss?es e roles , ler e modificar todas as tabelas do SGBD :
ALTER AUTHORIZATION ON SCHEMA::[db_securityadmin] TO [Fabricio]
ALTER AUTHORIZATION ON SCHEMA::[db_datareader] TO [Fabricio]
ALTER AUTHORIZATION ON SCHEMA::[db_datawriter] TO [Fabricio]
GRANT ALTER ON SCHEMA::[db_datareader] TO [Fabricio]
GRANT EXECUTE ON SCHEMA::[db_datareader] TO [Fabricio]
Além disso, é possível dar as permiss?es de GRANT e DENY para permitir ou negar uma determinada permiss?o desses usuários quanto à utiliza??o de comandos através da sintaxe Transact-sql, como segue:
GRANT INSERT ON SCHEMA::[db_datareader] TO [Fabricio]
GRANT SELECT ON SCHEMA::[db_datareader] TO [Fabricio]
GRANT UPDATE ON SCHEMA::[db_datareader] TO [Fabricio]
DENY DELETE ON SCHEMA::[ db_datawriter ] TO [Fabricio]
Essas características de defini??o de acesso ao SGBD e as defini??es de acesso a determinadas Tabelas de Dados ou a possibilidade dos usuários de obterem diretos a executar comando de Insert, Select ,Update e Delete é de fundamental importancia para que o SGBD se mantenha seguro e confiável no que diz respeito às normas do CFM e SBIS.
Cria??o da Rotina de Cópias de Segurana—— 建立日常备份
Uma das principais atribui??es de um DBA é zelar pelo bom funcionamento do SGBD e pela sua integridade e seguran?a dos dados, de nada adianta uma política de seguran?a bem definida se o DBA n?o utilizar de forma correta a tarefa de Backup e Restaure.
Conforme descreve Battisti (2005) a informa??o é o bem mais valioso da sua empresa e estando estas informa??es armazenadas no banco de dados da empresa, é de fundamental importancia que tenhamos uma estratégia bem definida de prote??o deste bem, devemos nos preocupar n?o somente com as perdas, mas também com acesso indevido ou até mesmo com o roubo de informa??es.
O SQL Server 2005 oferece quatro métodos de Backups e cada método possui características e dependências específicas, que s?o utilizadas pelo DBA para decidir quando cada um será utilizado na sua política de backup.
Estes métodos s?o:
Full Backup;
Differential Backup;
Transaction Log Backup;
Filegroup Backup;
Para garantir que a norma do CFM e da SBIS seja atendida temos que realizar backups de dados periodicamente de todos os Bancos de Dados do SGBD, para isso será utlizado como exemplo a sintaxe de comando de um método de backup que é o Full Backup, sempre usando como exemplo o nosso banco CFMSBIS09.#p#分页标题#e#
Segue abaixo a sintaxe básica para a cria??o de um backup full,ou seja , backup completo do banco de dados:
USE CFMSBIS09;
Restaura??o do Banco de Dados
A restaura??o de um banco consiste, basicamente, em opera??es que recriam os objetos da base de dados até um ponto específico no tempo.Este ponto é o momento em que a cria??o do backup foi realizada e finalizada e que diferente da cria??o do backup, o processo de restaura??o é seqüencial.
Uma observa??o importante que deve ser considerada é que durante todo o processo de restaura??o, o banco fica inacessível para todos os usuários e volta a se tornar acessível no momento em que o banco estiver no estado Restored , ou seja, quando o backup já está restaurado.
O SQL Server 2005 oferece duas formas para a restaura??o de backup: através do SQL Server Management Studio ou usando comandos Transact-SQL. Em ambos os casos, é possível restaurar todos os tipos de backups.
O SQL Server 2005 através da interface gráfica possibilita ao DBA de realizar um restore de um banco de dados de forma mais simples e sem a necessidade de conhecimento em Transact-SQL para se utilizar o SQL Server Management Studio.
As normas do CFM e a SBIS recomenda que todo o sistema de informa??o utilizado possua a funcionalidade de for?ar a realiza??o do processo de cópia de seguran?a diariamente e que sejam feitos teste de restore a cada 30 dias. O SQL Server 2005 é uma ferramenta capaz de cumprir essas normas, esse sistema é adotado por inúmeras operadoras de plano de saúde garantindo assim o cumprimento as leis e normas as quais est?o submetidas. Por meio dos comandos da linguagem Transact-SQL pode-se realizar restore e backup. Mas existe também a possibilidade através do SGBD de criarmos agendamento desses servi?os utilizando os JOBs , ou seja, trabalhos agendados pelo SGBD para que a realiza??o de backups e esses devem ser realizados em horários em que o sistema é menos utilizado.
Assim como no processo de backup , o processo de restore no SQL Server 2005 oferece quatro métodos de Restore. Estes métodos restauram os seguintes tipos de backup:
Full Backup;
Differential Backup;
Transaction Log Backup;
Partial Backup.
Utiliza-se o método de restore do Backup Full para restaurar com seguran?a o backup que criamos através do método de backup e para isso utilizarei o nosso banco de dados de exemplo o CFMSBIS09.
CONSIDERAES FINAIS—— 最后的思考
No desenvolvimento desse trabalho foi notada a importancia de ser adequar às normas do Conselho Federal de Medicina (CFM) e da Sociedade Brasileira de Informática em Saúde (SBIS) se utilizando de recursos tecnológicos existentes no mercado, o que antes eram bem menos acessíveis e de difícil acesso.#p#分页标题#e#
Através do aprofundamento dos conceitos de seguran?a utilizando o SQL Server 2005 pode-se concluir que esse documento leva ao DBA, mais especificamente para os DBA′s de uma operadora de plano de saúde as diretrizes de como se adequar, quais controles e configura??es devem ser feitas no SGBD e também na cultura da empresa quanto a política de seguran?a da informa??o para garantir a integridade e disponibilidade dos dados.
Vale observar que para gerar uma política de seguran?a satisfatório na empresa é necessário evolver o elo mais fraco, que é o ser humano, e de nada adianta uma política de seguran?a bem implementada se os que dela se utilizam n?o o fazem como deveriam.
Muitos empresários vêem a seguran?a da informa??o como gastos, tendência de mercado e outros para serem vistos como visionários e estarem à frente da concorrência, mas o que realmente importa e desejam é n?o perder recursos financeiros e se para isso for preciso investimento em seguran?a, que seja feita a vontade do DBA de sua empresa.
Em todo o processo de cria??o dessa política de seguran?a deve-se envolver os conhecimentos técnicos do DBA e estar sempre em sintonia com os usuários dos sistemas, já que estes s?o o elo importante para o aprimoramento e continuidade da seguran?a da informa??o.
Quanto ao SGBD da Microsoft, alvo principal desse estudo a fim de se atender as normas do CFM e da SBIS, pode-se considerar que atualmente o SQLServer 2005 é capaz de contribuir para um resultado mais dinamico e veloz na busca por informa??es nos níveis táticos e estratégicos. Tais informa??es s?o fundamentais para as empresas se manterem atualizadas no mercado cada vez mais globalizado e sem fronteiras.
é importante ressaltar também que o SQL Server 2005, em compara??o com outros bancos existentes no mercado como Oracle, Mysql, Postgres, possui mecanismos de seguran?a muito eficazes, sendo mais fácil de ser configurado.
Em fim a política de seguran?a numa organiza??o é essencial para mante-lá segura, já que com essa polícia bem implementada, ainda assim n?o pode garantir 100% de seguran?a, imagine sem ela a falta de seguran?a seria ainda maior.
Considera-se ainda, que o SQL Server 2005 possui recursos de seguran?a suficientes para que os usuários possam seguir corretamente as regras impostas pelo DBA e que se essas regras forem deixadas em segundo plano podem vir a surgir problemas que certamente levar?o as empresas a um prejuízo de ordem intelectual, estratégico e financeiro incalculável.
Por fim as empresas devem acompanhar a evolu??o tecnológica, mas sem se esquecer da seguran?a que garantirá a continuidade do negócio e n?o se limitando a solu??es paliativas de problemas isolados, deve investir em uma política de seguran?a contínua protegendo o bem mais valioso que é a informa??o.#p#分页标题#e#
REFERêNCIAS—— 参考文献
ANS - Resolu??o Normativa n°. 153, 2007. Acessado em: 15 de Agosto de 2009.
Battisti, Júlio. SQL Server 2005 Administra??o & Desenvolvimento Curso Completo. Tradu??o: Gisella Narcisi. 1. ed. Rio de Janeiro: Axcel Books, 2005.
Braz?o, Adriano. Administrando a seguran?a no SQL Server - parte I - Básico, 2009. Disponível em . Acessado em: 29 de Agosto de 2009.
Chapple, Mike. Microsoft SQL Server 2008 para Leigos For Dummies. Tradu??o: Lia Gabrieli. 1. ed. Rio de Janeiro: Alta Books,2009.
Dewson, Robin. SQL Server 2005 para Desenvolvedores do Iniciante ao Profissional. Tradu??o: Betina Macedo. 1. ed. Rio de Janeiro: Alta Books,2006.
SITES PESQUISADOS:
Enclicopédia Livre, Wikipédia, Web service, 2009. Disponível em Acessado em: 28 de Dezembro de 2009.
FERREIRA, Adriana, Principais Características do PostgreSQL, 2004. Disponível em/Postgre/01_Caracteristicas.asp>. Acessado em: 25 de Setembro de 2009.
Le?o, Beatriz de Faria, Alves, Cláudio Giulliano da Costa e Silva da, Marcelo Lúcio e Galv?o, Stanley da Costa. Manual de Certifica??o para Sistemas de Registro Eletr?nico em Saúde (S-Res), 2009. Disponível em.
Paiva Pontes, Herleson - Cria??o e Restaura??o de Backup no SQL Server 2005 Parte I, 2008. . Acessado em: 19 de Setembro de 2009.
Paiva Pontes, Herleson - Cria??o e Restaura??o de Backup no SQL Server 2005 Parte Ii, 2008.Acessado em: 19 de Setembro de 2009.#p#分页标题#e#
Paiva Pontes, Herleson - Cria??o e Restaura??o de Backup no SQL Server 2005 Parte III, 2008. .
FREITAS, Andrey, Acessado em: 15 de Agosto de 2009.
Revista SQL Magazine Edi??o 22 - Backup, 2005. .
Revista SQL Magazine Edi??o 23 - Seguran?a no MySQL, 2005. Disponível em Acessado em: 31 de Outubro de 2009.
Revista SQL Magazine Edi??o 29 - Oracle Fashback, 2006. Disponível em : 08 de Agosto de 2009.
Revista SQL Magazine Edi??o 59 - SQL Server e Oracle, 2008. Disponível em em: 08 de Agosto de 2009
Rosa, Adriana - Conceito sobre Banco de Dados, 2008. Disponível em Acessado em: 08 de Agosto de 2009.
Sêmola, Marcos. Como será nossa rela??o com a informa??o em 2019?, 2009. Disponível em .
Sêmola, Marcos. Em seguran?a da informa??o, menos pode ser mais, 2006. Disponível emColuna_IDGNow_77.pdf>. Acessado em: 29 de Agosto de 2009.
Sêmola, Marcos. Seguran?a em aplica??es public key infrastruture ready, 1999. Disponível em Coluna_IDGNow_14.pdf>. Acessado em: 29 de Agosto de 2009.
Sêmola, Marcos. Seguran?a tolerancia zero, 2006. Disponível em Acessado em: 29 de Agosto de 2009.
Sêmola, Marcos. Seguran?a: muito mais do que tecnologia, 2000. Disponível em . Acessado em: 29 de Agosto de 2009.
Site Oficial da Microsoft, Aprimorando a Seguran?a de Dados por meio do SQL Server 2005, 2009. Disponível em Acessado em: 19 de Setembro de 2009.
Vieira, Luiz - Seguran?a da Informa??o: necessidades e mudan?as de paradigma com o avan?o da civiliza??o, Acessado em: 25 de Setembro de 2009.
Wolf Oselka, Gabriel E Lipke, Ana Maria Cantalice. Resolu??o CFM N° 1331/89, 2002. Disponível em gi/cgilua.exe/sys/start.htm?infoid=155&sid=55>. Acessado em: 22 de Agosto de 2009.
Zapater, Márcio e Suzuki, Rodrigo. Seguran?a da Informa??o, 2005. Disponível em <.
相关文章
UKthesis provides an online writing service for all types of academic writing. Check out some of them and don't hesitate to place your order.