Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Gestión de Datos 2020 Cátedra de Gestión de Datos Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas Unidad VIII Cátedra de Gestión de Datos Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas Cátedra de Gestión de Datos Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas UNIDAD 8: Seguridad en Bases de Datos Seguridad en Bases de Datos. Privacidad. Amenazas. Mecanismos. Autenticación. SEGURIDAD EN BASES DE DATOS Cátedra de Gestión de Datos Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS La Seguridad de la Base de Datos se refiere a los mecanismos que protegen a la base de datos de amenazas, intencionales o accidentales. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS No se refiere solamente a los datos almacenados, sino también a otras situaciones que pueden afectar a los mismos: • Robo y Fraude • Pérdida de Confidencialidad • Pérdida de Privacidad • Pérdida de Integridad • Pérdida de Disponibilidad Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS Una Amenaza es cualquier situación o suceso, intencionado o accidental, que puede afectar adversamente a un sistema y, consecuentemente, a la organización. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AMENAZAS Amenazas: • Robo y Fraude: no solo abarca al entorno de la base de datos, sino a toda la organización. Deben reducirse la oportunidad de perpetrar tales conductas. No necesariamente implica la alteración de la información. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AMENAZAS Amenazas: • Perdida de Confidencialidad: implica que se ha violado el secreto de datos críticos para la organización. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AMENAZAS Amenazas: • Perdida de Privacidad: violación del deber de proteger la privacidad de los datos referidos a personas y expone a la organización a acciones legales por parte de los afectados. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AMENAZAS Amenazas: • Perdida de Integridad: provoca la aparición de datos inválidos o corrompidos, lo cual puede afectar seriamente el funcionamiento de la organización. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AMENAZAS Amenazas: • Perdida de Disponibilidad: los datos, el sistema, o ambos, dejan de estar accesibles, situación que puede afectar seriamente a la organización. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - CONTRAMEDIDAS Contramedidas: Las contramedidas para enfrentar a las amenazas, son, entre otras, las siguientes: • Autorización • Controles de Acceso • Vistas • Copias de Seguridad y Recuperación • Integridad • Cifrado • RAID Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - AUTORIZACION • La Autorización es la concesión de un derecho o privilegio que permite a una persona acceder legítimamente a un sistema o a un objeto del sistema • El proceso de autorización implica la Autenticación de los usuarios que consiste en un mecanismo para determinar si un usuario es quien pretende ser. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS – CONTROLES DE ACCESO • Los controles de acceso se basan en la concesión y revocación de privilegios. • Un privilegio permite a un usuario crear o acceder a algún objeto de la base de datos • Desde el punto de vista de la seguridad, sólo deben concederse privilegios a un usuario que realmente lo necesita. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS – CONTROLES DE ACCESO Control de Acceso Discrecional (DAC, Discretionary Access Control). • Se basa en el otorgamiento discrecional de privilegios. • Tiene algunas debilidades, en cuanto un usuario puede ser engañado para revelar datos confidenciales. • SQL soporta este mecanismos mediante los comandos GRANT y REVOKE Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS – CONTROLES DE ACCESO Control de Acceso Obligatorio (MAC, Mandatory Access Control). • Se basa en políticas del sistema que no pueden ser modificadas por usuarios individuales. • Cada objeto de la base de datos tiene una clase de seguridad, cada usuario un nivel de autorización para cada clase de seguridad y existen reglas de lectura y escritura de objetos por parte de los usuarios. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS – VISTAS • Una vista es una relación virtual que no existe físicamente en la base de datos, sino que se genera en el momento de la solicitud de datos, como resultado de una o más operaciones relacionales que operan sobre las tablas físicas. • En materia de seguridad, se pueden ocultar partes de la base de datos, sin que el usuario tenga conciencia de la existencia de otros atributos que no están presentes en la vista. • En SQL se usa el comando CREATE VIEW Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS COPIA DE SEGURIDAD Y RECUPERACION • Copia de Seguridad: Proceso de realizar una copia de la base de datos, del archivo de registro, almacenando la copia en un medio de almacenamiento fuera de línea. • Registro: Proceso de mantener y alma-cenar un registro de todos los cambios realizados en la base de datos, con la finalidad de poder efectuar una recuperación en caso de fallo. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - INTEGRIDAD • Restricciones de Integridad: contribuyen a la seguridad al impedir que los datos lleguen a ser inválidos y puedan conducir a resultados erróneos o susceptibles de ser mal interpretados. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - CIFRADO • El cifrado consiste en la codificación de los datos mediante un algoritmo especial que hace que éstos no sean legibles por quienes no dispongan la clave de descifrado. • Es muy útil para proteger datos confidenciales o que sean transmitidos por canales inseguros (ej. Internet) Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - CIFRADO • Criptosistema: Texto en Claro Texto en Claro Algoritmo de Cifrado Texto Cifrado Texto en Claro Algoritmo de Descifrado Clave de Cifrado Clave de Descifrado Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - CIFRADO Técnicas de Cifrado: - Cifrado Simétrico: utiliza la misma clave para el cifrado como para el descifrado. - Cifrado Asimétrico: utiliza diferentes claves para el cifrado y para el descifrado. Sistemas de clave pública y clave privada. Utilizados para firma digital. Facultad RegionalTucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - PRIVILEGIOS EN SQL Clausula GRANT • La clausula GRANT concede privilegios. • Sintaxis: GRANT Lista de Privilegios ON Nombre Objeto TO Lista Usuarios [WITH GRANT OPTION] • Lista de Privilegios: SELECT, DELETE, INSERT, UPDATE, entre otros. ALL PRIVILEGES otorga todos los privilegios. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - PRIVILEGIOS EN SQL Clausula GRANT (continuación) • Nombre del Objeto: tabla, vista, dominio. • Lista de Usuarios: se deben enumerar los usuarios autorizados. PUBLIC autoriza a todos los usuarios presente y futuros. • WITH GRANT OPTION: permite al usuario transmitir a su vez a otros usuarios los privilegios concedidos. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - PRIVILEGIOS EN SQL Clausula REVOKE • La clausula REVOKE revoca privilegios en SQL • Sintaxis: REVOKE[GRANT OPTION FOR] Lista de Privilegios ON Nombre Objeto FROM Lista Usuarios [RESTRICT - CASCADE] • Lista de Privilegios: SELECT, DELETE, INSERT, UPDATE, entre otros. ALL PRIVILEGES revoca todos los privilegios otorgados • Nombre del Objeto: tabla, vista, dominio. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS – PRIVILEGIOS EN SQL Clausula REVOKE (continuación) • Lista de Usuarios: se deben enumerar los usuarios autorizados. PUBLIC revoca los privilegios a todos los usuarios. • GRANT OPTION FOR: permite que los privilegios pasados sean revocados de manera separada. • RESTRICT: no permite la revocación si se da el caso de un objeto abandonado. • CASCADE: se ejecuta un DROP para los objetos abandonados. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas SEGURIDAD EN BASES DE DATOS - RAID RAID: Redundant Array of Independent Disks“ (RAID). • Significa “matriz redundante de discos independientes” • Constituye un método de combinación de varios discos duros para formar una única unidad lógica en la que se almacenan los datos de forma redundante. • Consta de dos o mas discos que funcionan como un único dispositivo. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas Referencias • Libro “Sistemas de bases de datos. Un enfoque práctico para diseño, implementación y gestión”, Connolly, Thomas M. – Begg, Carolyn E., 4º edicion, Editorial Pearson • Libro “Procesamiento de Bases de Datos”, Kroenke David. 8º Edicion, Editorial Pearson. Facultad Regional Tucumán Universidad Tecnológica Nacional Gestión de Datos Departamento Sistemas
Compartir