PP 02

Administracin de Base de Datos
Seguridad
Prof Mercy Ospina Torres

mercy.ospinat@gmail.com
Contenido
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Concurrencia
Diccionario Datos
Proc. Consultas
Aspectos a tomar en cuenta

Conceptos bsicos
Amenazas a bases de datos
Polticas de la Administracin de
seguridad
Medidas de control
Modelos de seguridad
Buenas prcticas en seguridad de BD
Integridad
Seguridad
Marzo 2012
Introduccin
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
La informacin es reconocida como:

Un recurso con valor econmico para las
empresas.
Un valor personal para los individuos
Por lo tanto necesita ser protegida para

maximizar su valor y/o proteger la
privacidad de los individuos
Conlleva a que toda organizacin debe
proteger sus datos
Seguridad
Seguridad
Marzo 2012
Aspectos
El DBA
El SMBD
Manejo de Memoria
Aspectos legales y
ticos
Restauracin
Concurrencia
Diccionario Datos
Polticas a nivel
gubernamental ,
institucional o de
empresas
Consideracion
es generales
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Temas relativos al
sistema
Niveles de seguridad
para clasificar datos y
usuarios.
Aspectos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Aspectos legales y ticosPolticas a nivel
Aspectos legales y
gubernamental ,
Cierto
tipo
de
informacin
est considerada
institucional
o de
ticos
como privada y no puede empresas
ser accedida
legamente por personas no autorizadas.
En Venezuela se tienen las siguientes
legislaciones Consideracion
es generales
Constitucin, Articulo
28
Ley sobre Proteccin a la Privacidad de las
Comunicaciones del 16 de Diciembre de
1991.
Temas
relativos al
sistema
Ley
Especial contra Delitos Informticos del
usuarios.
30 de Octubre de 2001 (Artculos 20 al 30).
Aspectos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Polticas a nivel
Polticas
a nivelygubernamental
,
Aspectos
legales
gubernamental
,
institucional
institucional o de
ticos o de empresas
La organizacin establece empresas
que tipo de
informacin no debera estar disponible
pblicamente.
Consideracion
Por ejemplo:
es generales
Las concesiones de crditos por un banco
Los informes mdicos personales
Los datos de diseo deNiveles
partes electrnicas
de seguridad
Temas relativos al
sistema

usuarios.
Aspectos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Polticas a nivel
Aspectos
legales y
gubernamental ,
Temas relativos al sistema
institucional o de
ticos
Se refiere a los niveles del empresas
sistema donde
se deben
seguridad:
reforzar
las
funciones
de
Consideracion
Nivel fsico
del hardware
es generales
Nivel del SO
Nivel del SMBD
Nivel de red
Temas relativos al
sistema
usuarios.
Aspectos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Polticas a nivel
Niveles
de seguridad
para
clasificar
Aspectos
legales
y
gubernamental
,
datos
y usuarios
institucional o de
ticos
empresas
Ciertas organizaciones requieren
clasificar
los datos segn su nivel de importancia y

pueden
requerir
tratamiento
distinto
Consideracion
dependiendo de
su tipo o clasificacin
es generales
Por
ejemplo
en
departamentos
de
inteligencia
policial
puede
haber
informacin confidencial, secreta, y no
clasificada.
Temas
relativos al
sistema

usuarios.
Conceptos bsicos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Seguridad de la informacin
Privacidad
Autorizacin
Proteccin
Seguridad de la Base de Datos
Polticas de seguridad
Mecanismos de seguridad
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
Conceptos bsicos
El DBA
El SMBD
Manejo de Memoria
Seguridad de la informacin: es la proteccin

de la informacin contra destruccin, alteracin o
revelacin no autorizada.
Puede asegurarse mediante las caractersticas de
confidencialidad, integridad y no repudiacin
Restauracin
Concurrencia
Diccionario Datos
Privacidad: es el derecho que tienen los

individuos de controlar la informacin disponible
acerca de ellos mismos.
Proc. Consultas
Integridad
Seguridad
Marzo 2012
10
Conceptos bsicos
El DBA
El SMBD
Autorizacin: es la especificacin de reglas que

definen, para un sujeto, que derechos de acceso
tiene sobre que objetos de informacin.
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
Proteccin: en un ambiente computacional son

mecanismos de seguridad que se refieren a
tcnicas que controlan el acceso de usuarios y
programas a la data almacenada.
Seguridad de la BD: Proteccin de la base de
datos frente a amenazas intencionales o
accidentales aplicadas a todo el sistema y su
ambiente
11
Conceptos bsicos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Poltica de seguridad: son lineamientos de alto

nivel que tienen que ver con la seguridad de la
informacin. Estas polticas son dictadas por las
necesidades de los usuarios, el ambiente de
instalacin, las regulaciones de la institucin y
restricciones legales.
Mecanismos de seguridad: son conjuntos de
funciones que son usadas para asegurar e
implementar diferentes polticas de seguridad.
Pueden ser implementadas por HW, SW o medidas
administrativas.
12
Amenazas a la base de dato

El DBA
El SMBD
Cualquier situacin que puede afectar

adversamente a un sistema y la
organizacin.
Manejo de Memoria
Restauracin
Concurrencia
Robo o
Fraude
Prdida de
Confidenci
alidad
Prdida de
Integridad
Prdida de
Disponibili
dad
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
13

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
Robo o fraude:
Puesto que son personas las que perpetran estos

delitos, la atencin debe centrarse en reducir las
oportunidades de que este tipo de actividades se
produzca.
Perdida de confidencialidad:
hace referencia a la necesidad de proteger ciertos
datos frente al acceso no autorizado,
usualmente son datos crticos para la
organizacin, su prdida puede tener como
consecuencia una prdida de la competitividad de
la organizacin
14

El DBA
El SMBD
Manejo de Memoria
Restauracin
Prdida de privacidad:
tiene relacin con la proteccin de los datos
acerca de las personas,
su falla podra implicar que alguien iniciara
acciones legales porque la organizacin no ha
sabido custodiar sus datos.
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
Prdida de disponibilidad:
Tienen relacin con que los datos de la base de
datos estn disponibles para un usuario o sistema
que tenga los derechos correspondientes.
Puede afectar los resultados financieros de la
organizacin.
15
Polticas de administracin de
seguridad
El DBA
El SMBD
Manejo de Memoria
Control centralizado vs. control

descentralizado
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Con control centralizado, un nico autorizado (o

grupo) controla todos los aspectos de seguridad
del sistema
En un sistema descentralizado diferentes
administradores controlan diferente porciones de
la BD, normalmente siguiendo lineamientos que
aplican sobre la BD completa.
Seguridad
Marzo 2012
16
Polticas de administracin de
seguridad
El DBA
El SMBD
Manejo de Memoria
Propietario vs. Administrador
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
El propietario es el responsable de crear

la data, pero en BD compartidas es
difcil identificar un propietario nico
El ABD puede definir la data compartida
por el usuario y posee solo derechos de
control sobre los datos.
17
Medidas de control
El DBA
El SMBD
Manejo de Memoria
Control de
inferencias
Control de acceso
Restauracin
Concurrencia
Diccionario Datos
Medidas
de control
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de flujo
Cifrado de datos
18
Medidas de control
El DBA
El SMBD
Manejo de Memoria
Control de
inferencias
Control de acceso
Restauracin
Concurrencia
Diccionario Datos
Medidas
de control
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de flujo
Cifrado de datos
19
Medidas de Control
Control de acceso
El DBA
Definicin
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Proceso que asegura que la informacin

y otros objetos protegidos sean
accedidos solamente por los usuarios
autorizados y en formas autorizadas.
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Responsable
El DBA es el responsable crear los las
reglas de seguridad para un SBD
20
Control de Acceso
El DBA
Requiere
El SMBD
Reglas de
seguridad
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Se conceden
Autenticacin
Cuenta de usuario
Contrasea
Privilegios
Permite o evita acceder o
modificar los datos
Permite o evita crear,
modificar o eliminar
estructuras
21
Privilegios o tipos de acceso

El DBA
El SMBD
Manejo de Memoria
Datos
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Estructuras
DML
-Insert
-Update
-Delete
-Select
DDL
- Create
- Alter
- Drop
Tipos de Control de Acceso

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Control de Acceso Discrecional

(DAC: Discretional Access Control)
Control de Acceso Obligatorio
(MAC: Mandatory Access Control)
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Control de Acceso Basado en Roles

(RBAC: Role Based Access Control)

(DAC)
El DBA
El SMBD
Manejo de Memoria
Se basa en la concesin y
revocacin de privilegios,
Un usuario especfico tendr diferentes privilegios

sobre diferentes objetos
Restauracin
Pocas limitaciones
Concurrencia
Existen muy pocas limitaciones sobre que

usuarios pueden tener que derechos sobre que
objetos
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Soportados por la mayora de los

SMBDR
Declaraciones en SQL que permiten otorgar y
conceder privilegios (GRANT y REVOKE)

(DAC)
El DBA
El SMBD
Manejo de Memoria
Ventajas
Es un mecanismo muy flexible por lo que
puede ser usado en multiples dominios.
Restauracin
Desventajas
Concurrencia
Se trata de un mtodo de todo o nada un

usuario tiene o no tiene un privilegio
Vulnerabilidad a ataques maliciosos como los
Caballos de Troya, porque no imponen
controles sobre como se propaga y usa la
informacin una vez accedida
A veces se requiere que el tratamiento de los
datos difiera segn su nivel de seguridad.
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Control de Acceso Obligatorio

(MAC)
El DBA
Clasifica a los objetos y usuarios (sujetos)
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
clase (o)
TS (Top Secret)
S (Secret)
C (Confidential)
U (Unclassified)
Forman una jerarqua TS>S>C>U
Niveles de
autorizacin
clase (s)
Control de acceso Obligatorio

(MAC)
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Debe cumplir dos propiedades:

Regla de lectura no ascendente: A un sujeto
no se le permite acceso a un objeto a menos
que la clase(S) >= clase(O) (propiedad de
seguridad simple)
Regla de escritura no descendente: A un
sujeto no se le permite escribir un objeto a
menos que la clase(S) <=clase(O) (Propiedad
de seguridad estrella)

(MAC)
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad

(MAC)
El DBA
El SMBD
Manejo de Memoria
Ventajas
Aseguran un alto grado de proteccin ya
que previenen flujos ilegales
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Desventajas
Se basa en polticas que no pueden ser
modificadas por los usuarios individuales
Son muy rgidas ya que requieren una
clasificacin estricta de los datos y los
usuarios por lo que son aplicables en muy
pocos entornos.
Control de acceso basado en

roles (RBAC)
El DBA
Usuarios
Roles
Los permisos estn

asociadas a roles, y
a cada usuario se le
asignan los roles
apropiados
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Permisos

roles (RBAC)
El DBA
El SMBD
Usuarios
Garantiza que
slo los
Roles
usuarios autorizados
tengan acceso a los
objetos de datos.
Alternativa a
DAC y MAC
Manejo de Memoria
Restauracin
Permisos
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
La jerarqua de roles
refleja la jerarqua de
autoridades y
responsabilidades de
la organizacin

roles (RBAC)
El DBA
Ventajas
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Tienen la flexibilidad del DAC y un

soporte a la seguridad semejante al
MAC, puede imitar a ambos tipos de
control.
Mas sencillos de administrar, ya que los
privilegios se centralizan en los roles
A diferencia de MAC es soportado por la
mayora de los SMBD
Recomendado para el desarrollo de
aplicaciones web seguras.
Control de Acceso en SQL

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
SQL 2003
Se basa en la creacin de autoridades: si algo
esta autorizado no esta restringido.
Nombre de la autoridad: usuario o rol
Privilegios
Estructura de datos sobre la que se concede el
privilegio

El DBA
Concesin de privilegios
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
identificador de
autorizacin

El DBA
Revocacin de privilegios
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
identificador de
autorizacin

El DBA
El SMBD
Manejo de Memoria
Restauracin
Un identificador de autorizacin es
Un usuario
Un rol
<authorization identifier> ::=
<role name>
| <user identifier>
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Crear usuarios roles

CREATE USER <user identifier> IDENTIFIED BY <password>
Crear roles
CREATE ROLE <role name> [ WITH ADMIN {CURRENT_USER |
CURRENT_ROLE}]
Polticas de control de acceso

El DBA
Poltica del menor privilegio
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Control de acceso dependiente del

nombre

contenido

contexto
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Mxima comparticin de los datos
37

El DBA
El SMBD
Manejo de Memoria
Restauracin
Poltica del menor privilegio:

restringe la informacin a aquellas personas que
realmente la necesitan para su trabajo (Sistema
cerrado)
Solamente los accesos autorizados explcitamente
son permitidos
Concurrencia
Requerimiento
de acceso
Diccionario Datos
Proc. Consultas
Integridad
Si
Seguridad
Seguridad
Acceso
permitido
Marzo 2012
Existe una
regla que
autorice el
acceso?
No
Reglas de
acceso
Acceso
denegado
38

El DBA
El SMBD
Manejo de Memoria
Restauracin
Mxima comparticin de los datos:

La intencin es hacer el mximo uso de la
informacin de la BD (sistema abierto)
Los accesos que no son explcitamente prohibidos
son permitidos
Concurrencia
Requerimiento
de acceso
Diccionario Datos
Proc. Consultas
Integridad
No
Seguridad
Seguridad
Acceso
permitido
Marzo 2012
Existe una
regla que
niegue el
acceso?
Si
Reglas de
acceso
Acceso
denegado
39

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Control de acceso dependiente del nombre:

Se debe poder especificar los objetos de datos que
pueden acceder un usuario. Cada objeto tiene un
nombre
La granularidad de los accesos de los objetos de datos
es una poltica de decisin. En SMBD relacionales, la
granularidad ms fina permitida es a nivel de columnas
o atributos.
El usuario XXX puede acceder a la tabla YYY
Control de acceso dependiente del contenido:
La poltica del menor privilegio puede ser extendida an
ms especificando reglas de acceso que hacen
referencia al contenido de las ocurrencias
El usuario XXX puede acceder a la tabla YYY con la
condicin C.
Seguridad
Seguridad
Marzo 2012
40

Control dependiente del contexto:
El DBA
Restringe los campos que pueden ser accedidos

juntos.
El SMBD
Manejo de Memoria
Restauracin
CI
Nombre
Cargo
Sueldo
codD
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
CI
Nombre
Cargo codD
Sueldo
codD
41
Medidas de control
El DBA
El SMBD
Manejo de Memoria
Control de
inferencias
Control de acceso
Restauracin
Concurrencia
Diccionario Datos
Medidas
de control
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de flujo
Cifrado de datos
42
Control de inferencias
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de inferencias:
Previene que los usuarios puedan
acceder a informacin no autorizada a
travs de accesos que s estn
permitidos
Por ejemplo en algunos tipos de bases

de datos, como las BD estadsticas, los
usuarios solo tienen acceso a
informacin resumida, se debe
controlar que los usuarios accedan a
informacin detallada
43
Medidas de control
Ejemplo control de Inferencias
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Nombre
Sexo Hijos
Ocupacin
Andres
Programador
Impuesto Salario
s
10K
50K
Beatriz
Mdico
10K
130K
Cary
Programador
18K
56K
Daniela
Reportero
12K
60K
Eduardo
Empleado
4K
44K
Fabiola
Artista
0K
30K
Guy
Abogado
0K
190K
Hector
Constructor
2K
44K
Ines
Programador
10K
64K
Joice
Programador
20K
60K
SELECT COUNT (Ocupacin) FROM T1 WHERE Sexo=M and Ocupacin=Programador

Resultado:
SELECT SUM (Salario) FROM T1 WHERE Sexo=M and Ocupacin=Programador
Resultado:
Marzo 2012
44
Medidas de control
Ejemplo control de Inferencias
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Seguridad
Nombre
Sexo Hijos
Ocupacin
Andres
Programador
Impuesto Salario
s
10K
50K
Beatriz
Mdico
10K
130K
Cary
Programador
18K
56K
Daniela
Reportero
12K
60K
Eduardo
Empleado
4K
44K
Fabiola
Artista
0K
30K
Guy
Abogado
0K
190K
Hector
Constructor
2K
44K
Ines
Programador
10K
64K
Joice
Programador
20K
60K
Revela
informacin
detallada
SELECT COUNT (Ocupacin) FROM T1 WHERE Sexo=M and Ocupacin=Programador

Resultado: 1
SELECT SUM (Salario) FROM T1 WHERE Sexo=M and Ocupacin=Programador
Resultado: 50K
Marzo 2012
45
Polticas para Control de

inferencias
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
Control dependiente de la historia

Previene que los usuarios realicen
deducciones
Toma en cuenta no slo el contexto del
requerimiento inmediato, sino tambin
todos los requerimientos pasados
Se restringe el acceso actual del usuario
debido a los accesos que ya hecho en el
pasado.
Requiere llevar un registro histrico de los
requerimiento por usuario.
46
Medidas de control
El DBA
El SMBD
Manejo de Memoria
Control de
inferencias
Control de acceso
Restauracin
Concurrencia
Diccionario Datos
Medidas
de control
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de flujo
Cifrado de datos
47
Control de Flujo
El DBA
Flujo
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Un flujo entre el objeto X y el

objeto Y se produce cuando
un sujeto lee el valor de X y
escribe el valor en Y.
Si el flujo de informacin no
se controla puede dar lugar a
situaciones de prdida de
confidencialidad o privacidad.
Control de Flujo
El DBA
R1
R2
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Lee datos de R1
escribe datos
de R1 a R2
Diccionario Datos
Problema: U1
Puede leer datos
que vienen de R1
Proc. Consultas
Integridad
Seguridad
U1
tiene acceso a R1 y R2
U2
Tiene acceso a R2 pero no a R1
Control de Flujo
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Control de flujo
Previene la fuga de informacin
desde sistemas ms privilegiados a
los menos privilegiados.
Regula la distribucin de informacin
entre objetos accesibles
Slo se aceptan transferencias de
datos entre dos entidades sii ambas
comparten la misma cantidad de
privilegios
Medidas de control
El DBA
El SMBD
Manejo de Memoria
Control de
inferencias
Control de acceso
Restauracin
Concurrencia
Diccionario Datos
Medidas
de control
Proc. Consultas
Integridad
Seguridad
Seguridad
Marzo 2012
Control de flujo
Cifrado de datos
51
Cifrado
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Soportado mediante algoritmos de cifrado

Permite proteger objetos de la base de
datos al momento de ser almacenados o
transmitidos por una red
Un cifrado simtrico permite asegurar
confidencialidad y autenticidad de manera
inmediata.
Un cifrado asimtrico permite asegurar
confidencialidad y autenticidad de manera
separada.
Prxima clase
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Modelos de Seguridad para las BD

Modelo Bsico para el control de acceso
Modelo Bsico Extendido
Modelo Multinivel
Modelos de Seguridad para

Bases de Datos
El DBA
El SMBD
Manejo de Memoria
Restauracin
Modelo
Bsico
para el
control de
acceso
Modelo
Bsico
Extendido
Modelo
Multinivel
Modelo de
flujo de
datos
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Modelo Bsico de Seguridad

El DBA
Contiene tres elementos
El SMBD
permisos
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Sujetos:
Usuarios
Grupos de
usuarios
Roles
Procesos
(s,O,t)
Objetos:
Tablas, columnas
Indices
Vista
Tipos de acceso
Select
Insert
Update
Delete
permite modelar polticas de

control de acceso dependientes
del nombre
Modelo bsico para control de

acceso
El DBA
El SMBD
Se puede representar con la matriz de

control de acceso
Manejo de Memoria
Restauracin
S\O
O1
O2
Diccionario Datos
S1
p1,p2,
p3
ALL
Proc. Consultas
S2
Integridad
Seguridad
Sn
Concurrencia
Om
Permisos
Extensiones al modelo bsico

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Para modelar polticas dependientes del

contenido
se debe agregar a la tripleta un elemento
predicado p que define los miembros de un
conjunto.
(s,O,t,p)
Por ejemplo: un predicado puede restringir los
resultados de la consulta
Modelo bsico para control de

acceso: validacin
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
SELECT E.nombre
FROM Empleado E
WHERE E.salario =
150000;
Cules son las reglas
que deben tomarse en
cuenta para satisfacer
la consulta?
Extensiones al Mdelo Bsico

El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Se agregan tres nuevos componentes a la

tupla:
Autorizador (a,s,O,t,p)
Derecho de copia f (a,s,O,t,f,p)
Procedimientos auxiliaries (cn,pn)
(a,s,O,t,f,p,[(c1,p1),,(cn,pn)])
Modelo Multinivel
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Est asociado al control de acceso

obligatorio (MAC).
No slo controla el acceso de
informacin, sino tambin el flujo.
Se asigna a cada objeto y sujeto un

nivel de seguridad
Modelo multinivel: niveles de

seguridad
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Un nivel de clasificacin
Es un elemento de un conjunto jerrquicamente
ordenado
TS>S>C>U
Un conjunto de categoras
Es un subconjunto que refleja reas funcionales o
competencias
Finanzas, administracin, ventas, compras.
Integridad
Un nivel de seguridad
Seguridad
Es una composicin de nivel de clasificacin y

conjunto de categoras.
Modelo multinivel: niveles de

seguridad
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Relacin de dominio
Un nivel de seguridad S1 domina a un nivel
de seguridad S2 sii:
Nivel de clasificacin de S1 >= Nivel de
clasificacin deS2
El conjunto de categoras S1 contiene a las de
s2
MODELO MULTINIVEL: Acceso

al objeto
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Ni observar ni alterar
Slo observar (READ)
Slo alterar (APPEND)
Observar y Alterar (WRITE)
Modelo multinivel Estados de

un sistema seguro
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Se describen por:
El conjunto de accesos actuales descritos por
reglas de autorizacin (s,O,t)
Una matriz de acceso
El nivel de seguridad de cada sujeto
Los niveles de cada objeto
Modelo Multinivel: Estados de

un sistema seguro
El DBA
El SMBD
Manejo de Memoria
Restauracin
Un estado seguro se define por dos

propiedades:
1. La propiedad de seguridad simple: Para
cada acceso actual (s,o,t) con un tipo READ,
el nivel de seguridad del sujeto domina el
nivel de seguridad del objeto.
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
2. Propiedad *: En un acceso (s,O,t) implica:

1.
2.
3.
Si t = READ: ns(o) < ns(s)

Si t = APPEND: ns(o) >= ns(s)
Si t = WRITE ns(o) = ns(s)
Modelo de Flujo de
Informacin
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
El concepto de clases y categoras se

adapta en un nico concepto llamado
clase de seguridad.
Se introduce un operador de combinacin
variable.
Posee 5 componentes:
Conjunto de objetos
Conjunto de procesos
Conjunto de clases de seguridad
Operador de combinacin de clases
Relacin de flujo
Modelo de Flujo de
Informacin
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
m: Mdica
f: Financiera
c: Criminal
Qu sucede si se desea mover informacin desde

la clase {m,f} a {m}?
Buenas practicas en Seguridad

de BD
El DBA
El SMBD
Manejo de Memoria
Restauracin
Concurrencia
Diccionario Datos
Proc. Consultas
Integridad
Seguridad
Marzo 2012
No usar superusuarios de la BD en tareas del da a

da.
Las cuentas dueas de los esquemas no deben ser
usadas para ejecucin de aplicaciones
Los DBA no deben tener privilegios para modificar
o leer informacin de las aplicaciones
La actividad del SO que afecte la BD debe estar
restringida y ser auditada
Tomado de
http://www.acis.org.co/fileadmin/Base_de_Conoci
miento/X_JornadaSeguridad/ConferenciaFredPinto
.pdf
68

PP 02

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PP 02

Diunggah oleh

Hak Cipta:

Format Tersedia

Administracin de Base de Datos

Prof Mercy Ospina Torres

Aspectos a tomar en cuenta

Administracin de Base de Datos

La informacin es reconocida como:

Por lo tanto necesita ser protegida para

Administracin de Base de Datos

Administracin de Base de Datos

Aspectos legales y ticosPolticas a nivel

para clasificar datos y

para clasificar datos y

Administracin de Base de Datos

Administracin de Base de Datos

los datos segn su nivel de importancia y

para clasificar datos y

Administracin de Base de Datos

Administracin de Base de Datos

Seguridad de la informacin: es la proteccin

Privacidad: es el derecho que tienen los

Administracin de Base de Datos

Autorizacin: es la especificacin de reglas que

Proteccin: en un ambiente computacional son

Administracin de Base de Datos

Poltica de seguridad: son lineamientos de alto

Administracin de Base de Datos

Amenazas a la base de dato

Cualquier situacin que puede afectar

Administracin de Base de Datos

Amenazas a la base de dato

Puesto que son personas las que perpetran estos

Administracin de Base de Datos

Amenazas a la base de dato

Control centralizado vs. control

Con control centralizado, un nico autorizado (o

Administracin de Base de Datos

Propietario vs. Administrador

El propietario es el responsable de crear

Administracin de Base de Datos

Administracin de Base de Datos

Administracin de Base de Datos

Proceso que asegura que la informacin

Administracin de Base de Datos

Privilegios o tipos de acceso

Tipos de Control de Acceso

Control de Acceso Discrecional

Control de Acceso Basado en Roles

Control de Acceso Discrecional

Un usuario especfico tendr diferentes privilegios

Existen muy pocas limitaciones sobre que

Soportados por la mayora de los

Control de Acceso Discrecional

Se trata de un mtodo de todo o nada un

Control de Acceso Obligatorio

Clasifica a los objetos y usuarios (sujetos)

Forman una jerarqua TS>S>C>U

Control de acceso Obligatorio

Debe cumplir dos propiedades:

Control de acceso Obligatorio

Control de acceso Obligatorio

Control de acceso basado en

Los permisos estn

Control de acceso basado en

Control de acceso basado en