Bases-de-Datos-Unidad-VII-2017-SQL-Parte-1

Vista previa del material en texto

Catedra de 
Base de Datos 
Facultad de Ciencias Exactas y Tecnología 
Universidad Nacional de Tucumán 
Ciclo Lectivo 2017 
Unidad 7: Seguridad en bases de datos, Tipos. Amenazas. Supervivencias de las Bases de 
datos. El rol del DBA. Protección de Accesos, Cuentas de usuarios y auditorías de bases de 
datos, Mecanismos de seguridad y medidas para el control : Control de accesos: Acceso 
Discrecional, obligatorio, basado en roles y basado en roles multinivel. Control de flujo: 
Canales Ocultos. Cifrado de datos: Clave Pública, Firmas Digitales. 
 
Programa Analítico de la Materia 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Seguridad 
Gene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y 
experto en seguridad de datos, dijo que: 
 
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de 
cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien 
armados. Aún así, yo no apostaría mi vida por él” 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Seguridad 
Las bases de datos contienen información que pueden ser vitales para una organización y las 
consecuencias de vulnerarlas ya sea el objetivo del ataque obtener información o bien dejar 
interrumpido el sistema de información puede ser perjudiciales económicamente o drástica si la 
información que se está accediendo es de confidencialidad relacionada a la seguridad. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Amenazas 
✓Pérdida de integridad: Está referida a la protección contra las modificaciones de la información 
por el atacante. 
 
✓Pérdida de disponibilidad: Tanto para un usuario como un programa se debe garantizar el 
acceso cuando se requiera. 
 
✓Pérdida de confidencialidad: Relacionada con la protección al acceso no autorizado a los datos. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Superviviencia 
Un DBMS además de estar preparado contra un ataque y de poder detectarlo en caso de que 
suceda, debería ser capaz de realizar lo siguiente: 
 
✓Aislamiento: Eliminar el acceso del atacante y aislar o contener el problema evitando que se 
extienda. 
 
✓Evaluación de los daños: Determinar el alcance del problema. 
 
✓Reconfiguración: Permitir que continúe el funcionamiento aún estando dañado mientras se lleva 
a cabo la recuperación. 
 
✓Reparación: Tanto de los datos perdidos o corrompidos como de las funciones dañadas del 
sistema. 
 
✓Tratamiento de los fallos: Identificar las debilidades que han sido aprovechadas por el ataque. 
 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – El Rol del DBA 
El administrador de la base de datos es el responsable principal de la gestión de un sistema de bd 
por lo tanto es el encargado de: 
 
✓Creación de cuentas. 
 
✓ Concesión de privilegios. 
 
✓Retirada de privilegios. 
 
✓Asignación del nivel de seguridad. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Protección de Accesos, Cuentas de usuarios y auditorías de bd 
El DBA crea una cuenta de usuario con la contraseña respectiva para los privilegios correspondido a 
ese usuario.- 
 
El DBMS se encargará de validar al usuario que quiera tener acceso de acuerdo a los permisos que 
le sean concedidos. 
 
El DBMS puede seguir el rastro de cada cuenta y almacenar en un 
archivo denominado registro de sucesos del sistema, almacenando todas las transacciones que ha 
tenido un determinado usuario. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Medidas de Control 
Existen 3 medidas principales que se utilizan para proporcionar seguridad a los datos: 
 
✓Control de Accesos 
 
✓Control de Flujo 
 
✓Cifrado de datos 
 
Control de Accesos 
Discrecional: Basado en concesión, revocación de privilegios y propagación de privilegios. La posesión de 
una cuenta no significa necesariamente que el propietario de la cuenta esté autorizado a toda la 
funcionalidad que permita el sistema. 
 
 Nivel de cuenta: El DBA especifica los privilegios en particular que posee cada cuenta, independientemente 
de las relaciones existentes en la base de datos. 
 
 Nivel de relación: El DBA puede controlar el privilegio de Acceso a cada relación en la base de datos. 
Existe la concesión de privilegios. (Grant Option) 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Control de accesos - Discrecional 
Existen tres tipos de privilegios que se pueden conceder: 
 
 Privilegio de Selección: Sólo podrá obtener información. (Select) 
 
 Privilegio de modificación: Podrá modificar túplas dentro de la relación. (Update, Delete, Insert) 
 
 Privilegio de referencia: Permite especificar restricciones de integridad. 
 
Comandos para concesión de privilegios: 
 
✓Create Schema ejemplo Authorization A1 ; Concede privilegios al usuario A1 para crear tablas pero 
permitiéndole conceder a su vez privilegios; 
 
✓Grant Insert, Delete On empleado, Departamento To A2; Concede privilegios al usuario A2 para 
insertar o eliminar tuplas en las relaciones empleado y Departamento pero no puede conceder 
privilegios. 
 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Control de accesos - Discrecional 
Comandos para concesión de privilegios: 
 
✓Grant Select On empleado, Departamento To A3 With Grant Option : 
Concede privilegios al usuario A3 ver datos de las tablas y a su vez este usuario puede conceder 
privilegio. 
 
✓Revoke Select On Empleado From A3 : Elimina el privilegio tanto para A3 como para los Usuarios 
que les fueron concedidos por A3; 
 
✓Grant Update On Empleado(sueldo) To A4: Concede privilegios al usuario A4 modificar únicamente 
el campo sueldo de la tabla Empleado. 
El control de acceso obligatorio apunta a clasificar la información contenida dentro de la bases de 
datos en distintos niveles, por ej: Ultra Secreto – Secreto – Confidencial – No clasificado 
 
Supone una mayor seguridad con respecto a la discrecional 
No lo implementa el DBMS 
Seguridad – Control de accesos - Obligatorio 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Control de Flujo 
El control de flujo regula distribución o flujo de información entre objetos accesibles. Cuando un 
programa lee valores en X y escribe valores en Y 
 
Una política de flujo sencilla especifica dos clases de información Confidencial y No confidencial 
permitiendo todos los flujos excepto aquellos que fluyen de C a N. 
 
✓Canales Ocultos permiten el flujo de la información entre Objetos de mayor privilegio a otro de 
menor privilegio. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Cifrado de datos 
El cifrado se utiliza para el caso en que el atacante tenga acceso a la lectura de los datos, estos vayan 
desvirtuados de tal forma que el atacante no pueda descifrarlo. 
 
✓Cifrado con clave pública: 
• Cada Usuario genera un par de claves a utilizar 
• Cada Usuario coloca una clave en algún lugar público 
• El emisor cifra el mensaje con la clave pública del receptor 
• El receptor descifra el mensaje con su clave privada 
 
Ana redacta un mensaje 
Ana cifra el mensaje con la clave pública de David 
Ana envía el mensaje cifrado a David a través de internet, ya sea por correo electrónico, mensajería instantánea 
o cualquier otro medio 
David recibe el mensaje cifrado y lo descifra con su clave privada 
David ya puede leer el mensaje original que le mandó Ana 
BASES DE DATOS 
Bases de Datos Ing. FrancoD. Menendez 
Seguridad – Cifrado de datos 
✓Firmas Digitales: Sirve para autenticar el usuario que generó El mensaje, utilizados por ejemplo en 
el comercio electrónico, deben ser: 
 
Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. 
Por tanto la firma debe depender del firmante. 
 
Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos 
de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. 
 
Verificables: Las firmas deben ser fácilmente verificables por los 
 receptores de las mismas y, si ello es necesario, también por los 
jueces o autoridades competentes. 
 
Innegables: El firmante no debe ser capaz de negar su propia firma. 
 
Viables: Las firmas han de ser fáciles de generar por parte del firmante. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad – Cifrado de datos 
David redacta un mensaje 
David firma digitalmente el mensaje con su clave privada 
David envía el mensaje firmado digitalmente a Ana a través de internet, ya sea por correo 
electrónico, mensajería instantánea o cualquier otro medio 
Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la clave 
pública de David 
Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Seguridad 
“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran 
el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la 
gente que usa y administra los ordenadores” 
 Kevin Mitnick 
 
"Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla 
regularmente y no debes compartirla con extraños“ 
 Chris Pirillo 
 
 
Gene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto 
en seguridad de datos, dijo que: 
 
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de 
cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien 
armados. Aún así, yo no apostaría mi vida por él” 
 
Fundamentos de bases de datos / 
Abraham Silberschatz, Henry F. 
Korth /y/ S. Sudarshan.—(Tra. 
Fernándo Sáenz Pérez, Antonio 
García Cordero /y/ Jesús Correas 
Fernández.-- Rev. Tca. Luis Grau 
Fernández). McGraw Hill. Madrid 
/c.2008/5a. Edic. 
 
Introducción al SQL para Usuarios y 
Programadores / Cornelio et al / 
THOMSON / 2003 / 2da. Edic 
 
Fundamentos de sistemas de 
bases de datos / Ramez Elmasri 
/y/ Shamkant B. Navathe.—(Tra. 
Verónica Canivell Castillo, Beatriz 
Galán Espiga /y/ Gloria Zaballa 
Pérez.--Rev. Tca. Alfredo Goñi 
Sarriguren , Arturo Jaime Elizondo 
/y/ Tomás A. Pérez Fernández) 
Pearson Educación. Madrid 
/c.2002/3a. ed. 
 
Bibliográficas Principal 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
Bibliografía 
• Paper “A relational model for a large shared data banks”, E. F. Codd. ” – ACM – 1970. 
• “Procesamiento de bases de datos. fundamentos, diseño e implementación” - David M. Kroenke — (Tra. 
Ana Elizabeth García Hernández.--Rev. Tca. Juan Raúl Esparza Martínez). Pearson Educación – México - 
c.2003 – 8ª Edic. 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
 Sitio Web de la Cátedra http://catedras.facet.unt.edu.ar/bd 
BASES DE DATOS 
Bases de Datos Ing. Franco D. Menendez 
http://catedras.facet.unt.edu.ar/bd