1. SEGURIDAD EN BASE DE DATOS
Abril, 27 del 2016
ADMINISTRACIÓNDEBASEDE DATOS
ING. ANDYHIRYNRUCOBA REÁTEGUI
CICLO - V
2. 1
CUADRO DE PARTICIPACIONES
ESTUDIANTE ASISTIÓ PARTICIPACIÓN
1 ZEGARRA ALVARADO Christian Jordan
2 MONTEZA VILLAREAL Fernando
3 HUAMÁN CHUQUE Julio Antonio
4 ANCCO CHISTAMA Jorge Luis
3. 2
Introducción
La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro
su definición, existencia, consistencia e integridad independientemente de la persona que los
accede. Esto se logra mediante mecanismos que permiten estructurar y controlar el acceso y
actualización de los mismos sin necesidad de modificar o alterar el diseño del modelo de
datos; definido de acuerdo a los requisitos del sistema o aplicación software.
Seguridad en las Bases de Datos
El objetivo es proteger la Base de Datos contra accesos no autorizados. Se llama también
privacidad.
Incluye los siguientes aspectos:
Aspectos legales, sociales y éticos.
Políticas de la empresa, niveles de información pública y privada.
Controles de tipo físico, acceso a las instalaciones.
Identificación de usuarios: voz, retina del ojo, etc.
Controles de sistema operativo.
El SGBD facilita normalmente mecanismos para prevenir los fallos (subsistema de control),
para detectarlos una vez que se han producido (subsistema de detección) y para corregirlos
después de haber sido detectados (subsistema de recuperación).
Los aspectos fundamentales de la seguridad
Confidencialidad. No desvelar datos a usuarios no autorizados. Comprende también
la privacidad (protección de datos personales).
Accesibilidad. La información debe estar disponible.
Integridad. Permite asegurar que los datos no han sido falseados.
Existen dos tipos de mecanismos de seguridad:
1. Discrecionales, se usan para otorgar privilegios a los usuarios.
2. Obligatorios, sirven para imponer seguridad de múltiples niveles clasificando los
datos y los usuarios en varias clases de seguridad e implementando después la política
de seguridad apropiada de la organización.
El SGBD debe proveer técnicas que permitan a ciertos usuarios tener acceso a porciones
selectas de una base de datos sin tener acceso al resto. Por lo regular un SGBD cuenta con
un subsistema de seguridad de autorización de la base de datos que se encarga de garantizar
la seguridad de porciones de la base de datos contra el acceso no autorizado.
4. 3
Los usuarios
El DBA, tiene permitidas todas las operaciones, conceder privilegios y establecer usuarios,
tenemos a los siguientes usuarios y las acciones que pueden realizar en una base de datos:
Usuario con derecho a crear, borrar y modificar objetos y que además puede conceder
privilegios a otros usuarios sobre los objetos que ha creado.
Usuario con derecho a consultar, o actualizar, y sin derecho a crear o borrar objetos.
Usuarios con derecho a ejecutar procedimientos almacenados, ver esquemas
Entre las obligaciones del DBA está otorgar privilegios a los usuarios y clasificar los usuarios
y los datos de acuerdo con la política de la organización. Las órdenes privilegiadas del DBA
incluyen los siguientes tipos de acciones:
1. Creación de cuentas
2. Concesión de privilegios.
3. Revocación de privilegios.
4. Asignación de niveles de seguridad.
Identificación y Autenticación
En un SGBD existen diversos elementos que ayudan a controlar el acceso a los datos. En
primer lugar, el sistema debe identificar y autentificar a los usuarios utilizando alguno de las
siguientes formas:
Código y contraseña
Identificación por hardware
La autentificación, que consiste en identificar a los usuarios que entran al sistema, se puede
basar en posesión (llave o tarjeta), conocimiento (clave) o en un atributo del usuario (huella
digital).
Claves: El mecanismo de autentificación más ampliamente usado se basa en el uso
de claves o passwords; es fácil de entender y fácil de implementar, así como también
se pueden descubrir mirando (o filmando) cuando el usuario la digita, o si el usuario
hace login remoto, interviniendo la red y observando todos los paquetes que pasan
por ella. Además de que las claves se pueden descubrir, éstas también se pueden
“compartir”, violando las reglas de seguridad.
Identificación física: Un enfoque diferente es usar un elemento físico difícil de
copiar, típicamente una tarjeta con una banda magnética. Para mayor seguridad este
enfoque se suele combinar con una clave (como es el caso de los cajeros automáticos).
Otra posibilidad es medir características físicas particulares del sujeto: huella digital,
patrón de vasos sanguíneos de la retina, longitud de los dedos. Incluso la firma sirve.
5. 4
Roles
Este rol puede considerarse ya sea como usuario de base de datos, o un grupo de usuarios de
bases de datos, dependiendo de cómo el rol se establezca. Un rol puede ser propietario de
objetos de bases de datos (por ejemplo, tablas) y se pueden asignar privilegios de los objetos
a otros roles para controlar quién tiene acceso a los objetos. Además, es posible la concesión
de la pertenencia de un rol a otro rol, lo que permite utilizar el rol de miembro de los
privilegios asignados al rol que es un miembro de.
(CREATE USER es equivalente a CREATE ROLE, salvo que CREATE USER asume
LOGIN por defecto, mientras que CREATE ROLE no.)
SUPERUSER
El status de superusuario de base de datos se salta todas las comprobaciones de permisos.
Este es un privilegio que no debería ser utilizado con descuido, lo mejor es hacer la mayor
parte de su trabajo como un rol que no sea un super-usuario. Para crear una nueva base de
datos de superusuario, use CREATE ROLE nombre SUPERUSER. Debe hacer esto como
un rol que ya sea un super-usuario.
DATABASE CREATION
Debe ser explícitamente dado para crear bases de datos (con excepción de los superusuarios,
ya que pasan por alto todos los controles de permiso). Para crear este role, usar de CREATE
ROLE nombre CREATEDB.
ROLE CREATION
Debe ser explícitamente dado para crear más roles (a excepción de los superusuarios, ya que
pasan por alto todos los controles de permiso). Para crear esa función, usar CREATE ROLE
nombre CREATEROLE. Un role con el privilegio CREATEROLE puede modificar y
colocar otros roles, también, así como de conceder o revocar la pertenencia a ellas. Sin
embargo, para crear, modificar, eliminar o cambiar roles de super-usuario, el estado de
superusuario es imprescindible; CREATEROLE no es suficiente para eso.
PASSWORD
Sólo es significativa si el método de autenticación de cliente requiere que el usuario
proporcione una contraseña cuando se conecta a la base de datos. La contraseña y los métodos
de autenticación MD5 hacen uso de contraseñas. Las contraseñas de bases de datos son
independientes de las contraseñas del sistema operativo. Especificar una contraseña a la
creación de papel con una cuerda CREATE ROLE Nombre de Usuario PASSWORD
'contraseña'.
Los atributos de roles pueden ser modificados después de la creación con ALTER ROLE.
Vea las páginas de referencia para la función de CREATE y ALTER comandos ROLE para
más detalles.
6. 5
Privilegios
Cuando se crea un objeto, se le asigna un propietario. El propietario esnormalmente el rol que ejecutó
la sentencia de creación. Para la mayoría de los tipos de objetos, el estado inicial es que sólo el
propietario (o un super-usuario) puede hacer cualquier cosa con el objeto.
Para permitir que otros roles puedan usarla, deben otorgarse privilegios. Hay varios tipos diferentes
de privilegio: SELECT, INSERT, UPDATE,DELETE, TRUNCATE, REFERENCES, TRIGGER,
CREATE,CONNECT,TEMPORARY,EXECUTE,and USAGE.
Para asignar privilegios, se utiliza el comando GRANT.
Con frecuencia es conveniente que los usuarios se agrupen para facilitar la administración de
los privilegios: de esa manera, los privilegios pueden ser concedidos a, o revocados de un
grupo como un todo.
Linkografía
http://www.monografias.com/trabajos26/seguridad-base-datos/seguridad-base-
datos2.shtml#ixzz470TLav00
http://kb.deister.net/index.php/Database_Roles_and_Privileges
http://es.slideshare.net/Drakonis11/integridad-y-seguridad-en-las-bases-de-datos-
presentation