1. Consiste en las acciones que toma el diseñador de base de
datos al momento de crearla tomando en cuenta el volumen
de las transacciones y las restricciones que tiene que
especificar en el acceso a los datos.
2. Las bases de datos conectadas a internet o cualquier otra
red, son vulnerables a hackers y otros delincuentes que
buscan dañar, robar o alterar datos. Entre ellos están los
siguientes:
Espías
Hackers
Empleados descontentos
Personas con desequilibrio emocional
Sobornadores
3.
4.
5. El servidor debe estar en un lugar cerrado
Se puede instalar un sistema de video vigilancia
Emplear dispositivos de seguridad como:
Tarjetas con llaves
Usuario y contraseña
Dispositivos biométricos
Políticas de la empresa
6. Aislamiento entre la red empresarial e internet
Configurar el enrutador
Emplear un firewall
Aseguramiento del acceso a una red inalámbrica
7.
8. Instalar un mínimo de software del S.O
Aplicar los parches de seguridad
Cambiar todas las contraseñas predeterminadas
9.
10. Autentificación de Es la verificación
usuarios de la identidad
del usuario
11. Autorización
de usuarios
Método que
se le asigna a Esta
los usuarios diseñado
derechos para
para usar proteger la
Objetos de la BD
BD
12. Es el medio por el que se implementan las
autorizaciones.
Al planear el acceso . El ABD puede usar la matriz de
control de Acceso
13.
14.
15. Es el conjunto de objetos de una BD que
pertenecen a un usuario especifico.
“Cuentas de propietario de esquema”.
16.
17. Como principal objetivo es que en las bases de datos
debe tratarse de no otorgar a los usuarios mas
privilegios de los que necesitan para hacer su trabajo.
Se le llama denominacion o DBO al conjunto de
privilegios y se analizan en una seccion venidera.
18. Las personas no cometan errores y se conviertan
en desastres de datos.
Refuerza la honestidad de personas.
Crear inicios de sesiones en la BD que tenga
privilegios mínimos requeridos.
19. Si se permite a un usuario conectarse mediante un
usuario como Empleados o Productos
automáticamente tendría privilegios completos en
cada Objeto del esquema como:
inserción, eliminación y actualización de cualquier
tabla por consiguiente alterar cualquier tabla.
20.
21. CREATE USER vistante @localhost
IDENTIFIED BY ‘PASSWORD’;
GRANT ALL ON BaseDatos.* TO
user@localhost;
22. La sentencia GRANT
La sintaxis simplificada de grant consta de tres secciones. No puede
omitirse ninguna, y es importante el orden de las mismas:
• grant lista de privilegios
• on base de datos.tabla
• to usuario
Ejemplo
Creación de un nuevo usuario al que se otorga algunos privilegios
mysql> grant update, insert, select
-> on demo.precios
-> to visitante@localhost;
23. El comando CREATE USER, este comando crea nuevas
cuentas.
El comando DROP USER , borra una o mas cuentas que
no tienen permisos.
Puede borrar una cuenta y sus permisos como sigue:
DROP USER user;
Es posible asignar una contraseña a la cuenta al mismo
tiempo que se crea y se le otorgan privilegios:
mysql> grant update, insert, select
-> on demo.precios
-> to visitante@localhost identified by ´nuevapasswd´;
24. El comando SET PASSWORD asigna una
contraseña.
--Set password for root@localhost=password
(‘laurosoto’);
--grant all privileges on *.* to usuario1@localhost
identified by 'passwordusuario' with grant option;
25. Privilegio es una acción como leer, actualizar o
eliminar, que permite ejecutar a un usuario sobre
la información de una base de datos.
La sintaxis para otorgar privilegios es la siguiente:
GRANT{ALL PRIVILEGES|LISA DE PRIVILEGIOS}
ON {nombre_tabla|nombre_vista
To{public|lista_usuarios|lista_roles}
26. Ejemplo donde se especifican las columnas sobre las
que se otorgan privilegios con el comando grant:
mysql> grant update(precio,empresa)
-> on demo.precios
-> to visitante@localhost;
Podemos especificar privilegios diferentes para cada
columna o grupos de columnas:
mysql> grant update(precio), select (precio, empresa)
-> on demo.precios
-> to visitante@localhost;
27. ALL [PRIVILEGES] Da todos los permisos simples excepto GRANT
OPTION
ALTER Permite el uso de ALTER TABLE
ALTER ROUTINE Modifica o borra rutinas almacenadas
CREATE Permite el uso de CREATE TABLE
CREATE ROUTINE Crea rutinas almacenadas
CREATE USER Permite el uso de CREATE USER, DROP
USER, RENAME USER, y REVOKE ALL PRIVILEGES.
CREATE VIEW Permite el uso de CREATE
DELETE Permite el uso de DELETE
DROP Permite el uso de DROP TABLEVIEW
UPDATE Permite el uso de UPDATE
USAGE Sinónimo de “no privileges”
GRANT OPTION Permite dar permisos
28. •EXECUTE Permite al usuario ejecutar rutinas almacenadas
•FILE Permite el uso de SELECT ... INTO OUTFILE y LOAD DATA INFILE
• INDEX Permite el uso de CREATE INDEX y DROP INDEX
•INSERT Permite el uso de INSERT
•LOCK TABLES Permite el uso de LOCK TABLES en tablas para las que tenga el
permiso SELECT
•PROCESS Permite el uso de SHOW FULL PROCESSLIST
•REFERENCES No implementado
•RELOAD Permite el uso de FLUSH
•REPLICATION CLIENT Permite al usuario preguntar dónde están los servidores
maestro o esclavo
•REPLICATION SLAVE Necesario para los esclavos de replicación (para leer eventos
del log binario desde el maestro)
SUPER Permite el uso de comandos CHANGE MASTER, KILL, PURGE MASTER
LOGS, and SET GLOBAL , el comando mysqladmin debug le permite conectar (una
vez) incluso si se llega a max_connections
29.
30. El comando revoke permite eliminar privilegios
otorgados con grant a los usuarios. Veamos un
ejemplo representativo:
revoke all
on *.*
from visitante@localhost;
31. La vista es un método muy utilizado para
implementar el control del acceso.
•Es una medida de seguridad ya que oculta
estructuras y datos que el usuario no debería
ver .
32. CREATE VIEW datos AS
SELECT nombre, apellido, créditos
FROM estudiantes
WHERE carrera=‘ISC’;
CREATE VIEW vista estudiante AS
SELECT nombre, apellido, carrera
FROM estudiante;
33. Están diseñadas para proveer datos de apoyo al
análisis estadístico de poblaciones.
Se garantiza a los usuarios permiso para acceder
a información estadística como totales, cuentas
o promedios, pero no a información sobre un
individuo en particular.