Seguridad En B.D
Páginas: 10 (2449 palabras)
Publicado: 29 de noviembre de 2012
La ejecución de una operación en los datos de la base de datos por parte de un usuario está sujeta a la posesión por parte del usuario de los privilegios necesarios para la operación concreta ejecutada en el conjunto de datos específico.
En general, los privilegios se asignan del siguiente modo:
- Un usuario que crea una tabla o cualquier otro objeto de la base de datos es el propietarioy se le garantizan automáticamente todos los privilegios aplicables a dicho objeto, con la posibilidad de darles también a otros usuarios dichos privilegios (privilegio de concesión).
- Un usuario que tenga un privilegio y posea además sobre él el privilegio de concesión puede asignarle tal privilegio a otro usuario y pasarle también el privilegio de concesión.
- Los privilegios losconcede quien tiene el permiso (es decir el propietario del objeto y quien tiene el privilegio de concesión) mediante la orden GRANT, y los revoca mediante la orden REVOKE.
En SQL Server nos encontramos con tres niveles o capas en los cuales podemos gestionar la seguridad. El primero de ellos se encuentra a nivel de servidor, en él podemos gestionar quién tiene acceso al servidor y quién no, yademás gestionamos que roles va a desempeñar. Para que alguien pueda acceder al servidor debe tener un inicio de sesión (login) asignado, y a éste le asignaremos los roles o funciones que puede realizar sobre el servidor.
El que alguien tenga acceso al servidor no quiere decir que pueda acceder a las bases de datos que se encuentran en él. Para ello hay que tener acceso a la siguiente barrera deseguridad, que es a nivel de base de datos. Para que un login tenga acceso a una base de datos, tenemos que crear en ella un usuario (user). Deberemos crear un usuario en cada una de las bases de datos a las que queramos que acceda un login. Análogamente, el que un usuario tenga acceso a una base de datos no quiere decir que tenga acceso a todo su contenido, ni a cada uno de los objetos que lacomponen. Para que esto ocurra tendremos que irle concediendo o denegando permisos sobre cada uno de los objetos que la componen.
En la base de datos existen múltiples riesgos para la seguridad de la información durante la operación, implantación y tiempos muertos en el sistema:
RIESGOS EN LA IMPLANTACIÓN
Cuando se está instalando o actualizando un sistema, los principales factores de riesgo sonaquellos relacionados con el ajuste de formatos, dominios y otros parámetros que pueden verse afectados por la conversión del sistema; ya sea manual-automatizado o automatizado-automatizado.
Cuando el sistema que se implanta ha de recibir nueva información, es importante el establecimiento de códigos que permitan validar la captura para minimizar los riesgos de información no confiable.
RIESGOSEN LA OPERACIÓN
Mientras el sistema se encuentra en uso, se dice que las operaciones se realizan en línea; es decir, la información se afecta por medio de los procedimientos definidos en el sistema.
La protección más común para reducir estos riesgos consiste en el establecimientos de claves de operación (Password) tanto para accesar a la aplicación como a las diversas operaciones que estadesempeña.
Las claves pueden asignarse:
* Genérico
* Por niveles de seguridad
* Por tipos de acceso a los datos.
La selección de las claves de acceso debe llevarse a cabo utilizando los siguientes criterios:
* No información que pueda asociarse al usuario
* Fácil de recordar, difícil de adivinar
* Debe utilizar un parámetro variable o algoritmo.
Algunos sistemas que manejanclaves fijas pueden incluir controles sobre el usuario que lo obliguen a modificar su clave de acceso con cierta regularidad.
Es importante que el código que mantiene la tabla de claves de usuarios en el sistema se encuentre codificada o encriptada.
RIESGOS EN TIEMPOS MUERTOS
Cuando el sistema no se encuentra en operación la información está expuesta a ser alterada fuera de línea; es...
En general, los privilegios se asignan del siguiente modo:
- Un usuario que crea una tabla o cualquier otro objeto de la base de datos es el propietarioy se le garantizan automáticamente todos los privilegios aplicables a dicho objeto, con la posibilidad de darles también a otros usuarios dichos privilegios (privilegio de concesión).
- Un usuario que tenga un privilegio y posea además sobre él el privilegio de concesión puede asignarle tal privilegio a otro usuario y pasarle también el privilegio de concesión.
- Los privilegios losconcede quien tiene el permiso (es decir el propietario del objeto y quien tiene el privilegio de concesión) mediante la orden GRANT, y los revoca mediante la orden REVOKE.
En SQL Server nos encontramos con tres niveles o capas en los cuales podemos gestionar la seguridad. El primero de ellos se encuentra a nivel de servidor, en él podemos gestionar quién tiene acceso al servidor y quién no, yademás gestionamos que roles va a desempeñar. Para que alguien pueda acceder al servidor debe tener un inicio de sesión (login) asignado, y a éste le asignaremos los roles o funciones que puede realizar sobre el servidor.
El que alguien tenga acceso al servidor no quiere decir que pueda acceder a las bases de datos que se encuentran en él. Para ello hay que tener acceso a la siguiente barrera deseguridad, que es a nivel de base de datos. Para que un login tenga acceso a una base de datos, tenemos que crear en ella un usuario (user). Deberemos crear un usuario en cada una de las bases de datos a las que queramos que acceda un login. Análogamente, el que un usuario tenga acceso a una base de datos no quiere decir que tenga acceso a todo su contenido, ni a cada uno de los objetos que lacomponen. Para que esto ocurra tendremos que irle concediendo o denegando permisos sobre cada uno de los objetos que la componen.
En la base de datos existen múltiples riesgos para la seguridad de la información durante la operación, implantación y tiempos muertos en el sistema:
RIESGOS EN LA IMPLANTACIÓN
Cuando se está instalando o actualizando un sistema, los principales factores de riesgo sonaquellos relacionados con el ajuste de formatos, dominios y otros parámetros que pueden verse afectados por la conversión del sistema; ya sea manual-automatizado o automatizado-automatizado.
Cuando el sistema que se implanta ha de recibir nueva información, es importante el establecimiento de códigos que permitan validar la captura para minimizar los riesgos de información no confiable.
RIESGOSEN LA OPERACIÓN
Mientras el sistema se encuentra en uso, se dice que las operaciones se realizan en línea; es decir, la información se afecta por medio de los procedimientos definidos en el sistema.
La protección más común para reducir estos riesgos consiste en el establecimientos de claves de operación (Password) tanto para accesar a la aplicación como a las diversas operaciones que estadesempeña.
Las claves pueden asignarse:
* Genérico
* Por niveles de seguridad
* Por tipos de acceso a los datos.
La selección de las claves de acceso debe llevarse a cabo utilizando los siguientes criterios:
* No información que pueda asociarse al usuario
* Fácil de recordar, difícil de adivinar
* Debe utilizar un parámetro variable o algoritmo.
Algunos sistemas que manejanclaves fijas pueden incluir controles sobre el usuario que lo obliguen a modificar su clave de acceso con cierta regularidad.
Es importante que el código que mantiene la tabla de claves de usuarios en el sistema se encuentre codificada o encriptada.
RIESGOS EN TIEMPOS MUERTOS
Cuando el sistema no se encuentra en operación la información está expuesta a ser alterada fuera de línea; es...
Leer documento completo
Regístrate para leer el documento completo.