Seguridad 2011
Páginas: 15 (3550 palabras)
Publicado: 17 de junio de 2015
Seguridad en Bases de
Datos
Diseño de Bases de Datos y
Seguridad de la Información
Curso 2010-2011
1
Índice
1. Introducción y Motivación
2. Confidencialidad
3. Disponibilidad
2.1. Autorización en BD
2.2. BD Multinivel
3.1. Concepto de transacción
3.2. El fichero diario (log)
3.3. Técnicas de recuperación
4. Integridad
4.1. Integridad semántica
4.2. Integridadoperacional
2
1. Introducción y Motivación
Protección de los datos contra:
Fallos físicos
Fallos lógicos
Fallos humanos
3
1. Introducción y Motivación
La seguridad comprende aspectos de:
Confidencialidad: no desvelar datos a usuarios
no autorizados; comprende también la privacidad
(protección de datos personales).
Accesibilidad: la información se debe encontrar
disponible.
Integridad:permite asegurar que los datos no se
han falseado.
4
1. Introducción y Motivación
Medidas de seguridad en un entorno de bases de datos:
5
Índice
1. Introducción y Motivación
2. Confidencialidad
3. Disponibilidad
2.1. Autorización en BD
2.2. BD Multinivel
3.1. Concepto de transacción
3.2. El fichero diario (log)
3.3. Técnicas de recuperación
4. Integridad
4.1.Integridad semántica
4.2. Integridad operacional
6
2. Confidencialidad
2.1.Autorización
El sistema debe identificar y autenticar al usuario:
− código y contraseña (password)
− identificación por hardware (tarjeta magnética)
− características bioantropométricas (huellas dactilares, voz, retina)
− conocimientos, aptitudes y hábitos del usuario (estilo de pulsación del
teclado)
− informaciónpredefinida (aficiones, datos culturales, personales)
El administrador o propietario de los datos, deberá
especificar los privilegios de un usuario autorizado sobre los
objetos de la BD:
− utilizar una base de datos
− consultar ciertos datos
− actualizar (modificar, insertar o borrar) datos
− ejecutar procedimientos almacenados
− referenciar objetos
− indexar objetos
− conceder privilegios . . .
2.Confidencialidad
2.1.Autorización
Para facilitar la administración de la confidencialidad, los
SGBD suelen incorporar los conceptos de perfil, rol o
grupo de usuarios.
Un perfil agrupa un conjunto de recursos.
Un rol agrupa una serie de privilegios que se asigna de
forma global a un usuario o un grupo.
Por lo que, el usuario que se asigna a un grupo,
hereda todos los roles o privilegiosdel grupo.
Creación Perfil (Oracle):
CREATE PROFILE USUARIOS
LIMIT SESSIONS_PER_USER 2
CPU_PER_SESSION 10000
CONNECT_TIME UNLIMITED;
Creación Role (Oracle):
CREATE ROLE APPUSUARIO;
GRANT CREATE ANY TABLE,
DROP ANY TABLE,
TO APPUSUARIO;
8
2. Confidencialidad
Con esta información, el mecanismo de control de acceso se encarga
de denegar o conceder el acceso a los usuarios, ayudando también amantener la integridad de los datos, en caso de tratarse de operaciones
de actualización.
Creación Usuario (Oracle):
CREATE USER USUARIO IDENTIFIED BY USUARIO
DEFAULT TABLESPACE TBLUSUARIOS TEMPORARY TABLESPACE TEMP
QUOTA 10M ON TBLUSUARIOS
PROFILE USUARIOS;
GRANT SELECT ON SYS.V_$PARAMETER TO USUARIO;
GRANT SELECT ON V_$SESSION TO USUARIO;
GRANT SELECT ON V_$SESSTAT TO USUARIO;
GRANT SELECT ONV_$SQL TO USUARIO;
GRANT CREATE ROLE TO USUARIO;
GRANT CREATE SESSION TO USUARIO;
GRANT CREATE VIEW TO USUARIO;
GRANT APPUSUARIO TO USUARIO;
9
2. Confidencialidad
2.1.Autorización
Tipos de autorización:
Autorización explícita, utilizada normalmente en los sistemas
tradicionales, consiste en almacenar qué sujetos pueden
acceder a ciertos objetos con determinados privilegios; se
suele utilizar unamatriz de control de accesos.
NOTAS
USU001 L
USU002 LE
USU003 L
ALUMNOS
L
L
LE
PROFESORES
L
L
LE
Autorización implícita, que consiste en que una autorización
definida sobre un objeto puede deducirse a partir de otras; por
ejemplo, si se puede acceder a una clase en un SGBDO
también se puede acceder a todos los ejemplares (objetos) de
la clase. Con este tipo de autorización se puede ahorrar...
Datos
Diseño de Bases de Datos y
Seguridad de la Información
Curso 2010-2011
1
Índice
1. Introducción y Motivación
2. Confidencialidad
3. Disponibilidad
2.1. Autorización en BD
2.2. BD Multinivel
3.1. Concepto de transacción
3.2. El fichero diario (log)
3.3. Técnicas de recuperación
4. Integridad
4.1. Integridad semántica
4.2. Integridadoperacional
2
1. Introducción y Motivación
Protección de los datos contra:
Fallos físicos
Fallos lógicos
Fallos humanos
3
1. Introducción y Motivación
La seguridad comprende aspectos de:
Confidencialidad: no desvelar datos a usuarios
no autorizados; comprende también la privacidad
(protección de datos personales).
Accesibilidad: la información se debe encontrar
disponible.
Integridad:permite asegurar que los datos no se
han falseado.
4
1. Introducción y Motivación
Medidas de seguridad en un entorno de bases de datos:
5
Índice
1. Introducción y Motivación
2. Confidencialidad
3. Disponibilidad
2.1. Autorización en BD
2.2. BD Multinivel
3.1. Concepto de transacción
3.2. El fichero diario (log)
3.3. Técnicas de recuperación
4. Integridad
4.1.Integridad semántica
4.2. Integridad operacional
6
2. Confidencialidad
2.1.Autorización
El sistema debe identificar y autenticar al usuario:
− código y contraseña (password)
− identificación por hardware (tarjeta magnética)
− características bioantropométricas (huellas dactilares, voz, retina)
− conocimientos, aptitudes y hábitos del usuario (estilo de pulsación del
teclado)
− informaciónpredefinida (aficiones, datos culturales, personales)
El administrador o propietario de los datos, deberá
especificar los privilegios de un usuario autorizado sobre los
objetos de la BD:
− utilizar una base de datos
− consultar ciertos datos
− actualizar (modificar, insertar o borrar) datos
− ejecutar procedimientos almacenados
− referenciar objetos
− indexar objetos
− conceder privilegios . . .
2.Confidencialidad
2.1.Autorización
Para facilitar la administración de la confidencialidad, los
SGBD suelen incorporar los conceptos de perfil, rol o
grupo de usuarios.
Un perfil agrupa un conjunto de recursos.
Un rol agrupa una serie de privilegios que se asigna de
forma global a un usuario o un grupo.
Por lo que, el usuario que se asigna a un grupo,
hereda todos los roles o privilegiosdel grupo.
Creación Perfil (Oracle):
CREATE PROFILE USUARIOS
LIMIT SESSIONS_PER_USER 2
CPU_PER_SESSION 10000
CONNECT_TIME UNLIMITED;
Creación Role (Oracle):
CREATE ROLE APPUSUARIO;
GRANT CREATE ANY TABLE,
DROP ANY TABLE,
TO APPUSUARIO;
8
2. Confidencialidad
Con esta información, el mecanismo de control de acceso se encarga
de denegar o conceder el acceso a los usuarios, ayudando también amantener la integridad de los datos, en caso de tratarse de operaciones
de actualización.
Creación Usuario (Oracle):
CREATE USER USUARIO IDENTIFIED BY USUARIO
DEFAULT TABLESPACE TBLUSUARIOS TEMPORARY TABLESPACE TEMP
QUOTA 10M ON TBLUSUARIOS
PROFILE USUARIOS;
GRANT SELECT ON SYS.V_$PARAMETER TO USUARIO;
GRANT SELECT ON V_$SESSION TO USUARIO;
GRANT SELECT ON V_$SESSTAT TO USUARIO;
GRANT SELECT ONV_$SQL TO USUARIO;
GRANT CREATE ROLE TO USUARIO;
GRANT CREATE SESSION TO USUARIO;
GRANT CREATE VIEW TO USUARIO;
GRANT APPUSUARIO TO USUARIO;
9
2. Confidencialidad
2.1.Autorización
Tipos de autorización:
Autorización explícita, utilizada normalmente en los sistemas
tradicionales, consiste en almacenar qué sujetos pueden
acceder a ciertos objetos con determinados privilegios; se
suele utilizar unamatriz de control de accesos.
NOTAS
USU001 L
USU002 LE
USU003 L
ALUMNOS
L
L
LE
PROFESORES
L
L
LE
Autorización implícita, que consiste en que una autorización
definida sobre un objeto puede deducirse a partir de otras; por
ejemplo, si se puede acceder a una clase en un SGBDO
también se puede acceder a todos los ejemplares (objetos) de
la clase. Con este tipo de autorización se puede ahorrar...
Leer documento completo
Regístrate para leer el documento completo.