Please enable JavaScript.
Coggle requires JavaScript to display documents.
Seguridad de las bases de datos - Coggle Diagram
Seguridad de las bases de datos
Seguridad en las bases de datos significa proteger las bases de datos del acceso, modifica-
ción o destrucción no autorizados.
Privacidad
Es el derecho que tienen los individuos de tener control sobre la información acerca de ellos.
Amenzas accidentales para la seguridad
El usuario solicita sin malicia un objeto u operación para los que no debería estar autorizado, y la solicitud se aprueba debido a un fallo en los procedimientos de autorización o porque hay un error en el sistema de administración de la base de datos o sistema operativo.
Una persona envía por accidente un mensaje que debería enviarse a otro usuario, lo que resulta en el acceso no autorizado al contenido de la base de datos.
Un error en el sistema de comunicaciones conecta a un usuario a una sesión que pertenece a otro que tiene diferentes privilegios de acceso.
Por accidente, el sistema operativo sobrescribe, erróneamente, en archivos y destruye parte de la base de datos, busca en los archivos incorrectos, y luego los envía inadvertidamente al usuario, o no borra archivos que deben ser destruidos.
Amenazas deliberadas para la seguridad
Las violaciones deliberadas a la seguridad ocurren cuando un usuario logra de manera intencional acceso no autorizado a la base de datos.Hay muchos modos de hacer violaciones deliberadas en la seguridad, entre las que están las siguientes:
Intervención de líneas de comunicación para interceptar mensajes hacia y desde la base de datos
Escucha furtiva electrónica para obtener señales de las estaciones de trabajo, impresoras y otros dispositivos dentro de un edificio
Lectura o copiado de pantallas e impresiones dejadas con descuido por usuarios autorizados
Suplantación de un usuario autorizado, o con mayor acceso, por medio del uso de su registro y clave
Seguridad física y autentificación del usuario
Las medidas físicas de la seguridad deben ampliarse para que cubran cualquier ubicación en la que datos fuera de línea, como los respaldos, también estén almacenados en forma segura. Como la seguridad física de las estaciones de trabajo puede ser difícil de implementar, los controles de la seguridad de aquéllas requieren la autentificación de los usuarios.
Autorizacion
La mayoría de los sistemas multiusuarios tiene un lenguaje de autorización que forma parte del sublenguaje de datos. Por ejemplo, SQL provee comandos de autorización estándar para asegurar privilegios a los usuarios,
Control de acceso
Es el medio por el que se implementan las autorizaciones.
Controlar el acceso significa asegurarse de que a los datos u otros recursos sólo se accede en las formas autorizadas.
Al planear el acceso, el ABD puede usar una matriz de control del acceso a la base de datos.
Uso de las vistas para el conrol de acceso
Al planear el acceso, el ABD puede usar una matriz de control del acceso a la base de datos,
Al planear el acceso, el ABD puede usar una matriz de control del acceso a la base de datos,
Al planear el acceso, el ABD puede usar una matriz de control del acceso a la base de datos,
Registros de seguridad y procedimiento de auditoria
(Bitacora) un diario que registra todos los intentos de violar la seguridad. La vioacion puede solo registrarse o enviar un mensaje inmediato al operador o al ABD.
Si el ABD sospecha quelos datos estan siento atacados sin que se disparen los registros de seguridad, es posible que ordene un procedimiento de auditoria
Este sistema registra todos los accesos, mantiene informacion acerca del usuario que solicito el acceso, la operacion que ejecuto, la estacion de trabajo, hora, tipos de datos, valor anterior y valor actual
Encriptado
Como réplica a la posibilidad de que haya archivos a los que se acceda directamente desde el sistema operativo, o que sean robados, es posible guardar los datos de la base en forma encriptada.
Sólo el sistema de gestión de bases de datos (DBMS) puede descifrarlos, de modo que cualquier persona que los obtenga por otros medios recibirá datos sin sentido.
El encriptado también debe usarse siempre que los datos se envíen a otros sitios, a fin de que quien intervenga las líneas también los reciba en forma cifrada.
El encriptado requiere un sistema de encriptado, que consiste en los componentes que se mencionan a continuación:
Un algoritmo de encriptado, que toma al texto normal (texto plano) como entrada, hace algunas operaciones con éste y produce como salida al texto en clave (texto encriptado)
Una clave de encriptado, que es parte de entrada para el algoritmo de encriptado, y se elige de un conjunto muy grande de claves posibles
Un algoritmo de desencriptado, que opera sobre el texto encriptado como entrada y produce al texto plano como salida
Una clave de desencriptado, que es parte de entrada para el algoritmo de desen- criptado y se escoge de un conjunto muy grande de posibles claves.
Lenguaje de autorizacion en SQL
SQL tiene un sublenguaje de autorización que incluye enunciados para conceder y revocar privilegios de los usuarios.
Privilegio
Un privilegio es una acción como leer, actualizar o eliminar, que se permite ejecutar a un usuario sobre los objetos de una base de datos.
Rol
Un rol puede considerarse como un conjunto de operaciones que deben ser ejecutadas por un individuo o grupo de individuos como parte de un trabajo.
Seguridad de Oracle
Oracle. Lo normal es que el ABD maneje el proceso de garantizar privilegios a los usuarios. Una forma de hacer esto es por medio de SQL* Plus. El ABD escribe el comando : CREATE USER nombre del usuario IDENTIFIED BY clave;
Privilegios de objeto
En Oracle, un privilegio de objeto es el derecho a ejecutar un comando del DML sobre una
tabla, vista, procedimiento, función, secuencia o paquete.
Para las tablas, los privilegios incluyen SELECT, INSERT, UPDATE, DELETE y REFERENCES,
pero también ALTER (el derecho de usar el comando ALTER TABLE) e INDEX (derecho de usar el comando CREATE INDEX).
Privilegios del sistema
En Oracle, los privilegios de sistema incluyen el derecho a ejecutar acciones con el uso de comandos DDL sobre datos, esquemas, espacios para tablas u otros recursos de la base de datos Oracle, así como el derecho de crear cuentas de usuario.
Hay alrededor de 140 posibles diferentes privilegios de sistema.
Roles
Un rol consiste en un grupo de privilegios.
Los roles se crean con el empleo de los comandos del lenguaje de autorización
Uso del administrador de la seguridad de Oracle
Oracle Enterprise Manager (Administrador de la Empresa de Oracle) contiene un módulo llamado Security Manager (Administrador de la seguridad) que ofrece opciones para garantizar y anular privilegios.
Control de acceso para una base de datos
Una forma de obtener privilegios de ABD sobre una sola base de datos es crear una nueva
base de datos
Seguridad de una base de datos estadistica
Las bases de datos estadísticas están diseñadas para proveer datos de apoyo al análisis estadístico de poblaciones. Los datos contienen hechos sobre los individuos, pero no significan nada si se recuperan sobre una base individual.
Se garantiza a los usuarios permiso para acceder a información estadística como totales, cuentas o promedios, pero no a información sobre un individuo en particular.
La seguridad de las bases de datos en Internet
A menos que se utilice software de seguridad, todos los mensajes que se envían por Internet se trasmiten en texto plano y son susceptibles de detección por parte de intrusos que usen software de “olfateo de paquetes”.
Las compañías que permiten conexiones de Web a sus redes internas para tener acceso a sus bases de datos necesitan ser capaces de protegerlas de ataques. Para lograr esto:
Cortafuegos
Un cortafuegos es una barrera de hardware y/o software que se usa para proteger la red interna de una organización (intranet) del acceso no autorizado.
Se usan :
servidor próximo (proxy server),
que es una computadora que intercepta todos los mensajes en ambas direcciones.
Filtro de paquetes
que examina cada paquete de información antes de que entre o salga de la intranet para asegurarse de que cumple con un conjunto de reglas.
Autoridades de certificacion
Un método que se emplea mucho para verificar que un sitio es genuino es por medio de autoridades de certificación tales como Verisign.
El sitio comienza el proceso de certificación por medio de generar una llave pública y otra privada, y envía una solicitud a Verisign, junto con la llave pública del sitio.
El proceso descrito aquí es el que se usa en el protocolo Secure Sockets Layer (SSL). Un protocolo similar, Secure HTTP (S-HTTP), garantiza la seguridad de los mensajes individuales en lugar de la de toda la sesión. Una medida adicional de seguridad para la transmisión de números de tarjetas de crédito la da el protocolo Secure Electronic Transaction(SET).
Firmas digitales
Las firmas digitales utilizan una forma doble de encriptado con llave pública para crear comunicaciones seguras en dos sentidos que no sea posible rechazar.
Permiten que los usuarios verifiquen la autenticidad de la persona con que se comunican y dan un medio de
probar que cierto mensaje debe provenir de esa persona.