FUNDACIN UNIVERSITARIA CAFAM

TECNOLOGA EN TELEMTICA V SEMESTRE

BASES DE DATOS
Estudiantes: Oscar Eduardo Cruz C.
Edgar William Torres Bernal
Docente: Yasmin Becerra

Seguridad y Confiabilidad en la base de Datos

Confidencialidad
En un SGBD existen diversos elementos que ayudan a controlar el acceso a los datos. En primer lugar el
sistema debe identificar y autenticar a los usuarios utilizando alguno de las siguientes formas:
cdigo y contrasea
identificacin por hardware
caractersticas bioantropomtricas (huellas dactilares, voz, retina del ojo.)
conocimientos, aptitudes y hbitos del usuario
informacin predefinida
Adems, el administrador deber especificar los privilegios que un usuario tiene sobre los objetos:
utilizar una BD
consultar ciertos datos
actualizar datos.
Para facilitar la administracin los SGBD suelen incorporar el concepto de perfil, rol o grupo de usuarios
que agrupa una serie de privilegios por lo que el usuario que se asigna a un grupo hereda todos los
privilegios del grupo. El mecanismo de control de acceso se encarga de denegar o conceder el acceso a los
usuarios. En un SGBD pueden existir diferentes tipos de autorizacin.
Una primera distincin puede hacerse entre:

Autorizacin explcita. Normalmente usada en los sistemas tradicionales. Consiste en almacenar

que sujetos pueden acceder a ciertos objetos con determinados privilegios para lo que suele
utilizarse una matriz de control de accesos
Autorizacin implcita. Consiste en que una autorizacin definida sobre un objeto puede deducirse
a partir de otras.

Tambin se puede distinguir Tipos de Usuario (Oracle 9i):

Usuario: nombre definidos en la BD que puede conectarse y acceder a objetos de la BD.

Usuario externo: usuarios externos al SGBD (usuarios de un Sistema Operativo)
Usuarios de empresa (global): grupo de usuarios (gestionados en un directorio) con permisos a las
mismas BD sin necesidad de crear una cuenta o esquema en cada BD.

Hay dos niveles de asignacin de privilegios discrecionales para usar el sistema de base de datos:
El nivel de cuenta en el que el DBA especifica los privilegios particulares que tiene cada usuario,
independientemente de las relaciones de la base de datos.
El nivel de relacin en el que podemos controlar el privilegio para tener acceso a cada relacin o
vista individual de la base de datos.

El objetivo es proporcionar a los usuarios privilegios de acceso a objetos de la BD como:

Permiso: privilegio de acceso a objetos de la BD
Rol: conjunto de privilegios (agrupados).
Quin tiene privilegios para asignar privilegios?:
El ABD (privilegios de cuenta, sistema y objetos de esquemas).
Otros usuarios a los que le hayan dado privilegios de forma especfica.
El propietario del esquema tiene todos los privilegios sobre sus objetos.
Los privilegios en el nivel de cuenta pueden incluir los siguientes privilegios: CREATE SCHEMA, CREATE
TABLE, CREATE VIEW, ALTER, DROP, MODIFY, SELECT.
Los privilegios del segundo tipo se aplican a las relaciones individuales: SELECT, MODIFY, REFERENCES.
BD estadsticas.

Confidencialidad perfiles
El objetivo es gestionar el uso de los recursos de la BD

Establecer recursos cuando se crea el usuario: un tablespace por defecto, temporal, cuotas de
espacio y uso.
Limitar recursos:
A nivel de sesin: a cada sesin un determinado tiempo de CPU, determinada cantidad de
memoria
A nivel de llamadas: ordenes SQL.

En este tipo de bases de datos se debe evitar que a partir de consultas que afecten a datos globales se
puedan inferir valores de datos individuales o inferir que un dato elemental no tiene determinado valor.
Las tcnicas de proteccin de inferencia se pueden clasificar en:

Conceptuales. Proporcionan una representacin conceptual de los requisitos de la base de datos

Basadas en restricciones. Restringen las consultas estadsticas que podran revelar al usuario
informacin confidencial
Basadas en perturbaciones. Introducen algunos tipos de modificaciones durante el procesamiento
de la consulta.

Seguridad
- Introduccin
El objetivo es proteger los datos de accesos no autorizados
Quin puede estar interesado en atacar el sistema?
Un antiguo empleado recientemente despedido o alguien externo a la organizacin o un usuario del
sistema que trata de obtener mayores privilegios o podra ser un hacker profesional con un propsito
especfico

- Tipos de Ataques
Desbordamiento de memoria
Se basa en pasar como entrada a un programa ms datos de los que espera recibir.
Esto permite escribir en una zona de memoria ms all de la reservada (depende del S.O. entre otras
cosas).
Inyeccin de Cdigo SQL.
Consiste en incluir o modificar comando SQL al enviarlos al servidor.

- Auditoras
Para evitar posibles ataques como los anteriormente descritos deben realizarse auditoras.
Propiedades:
Una auditora es una revisin de los permisos de cada usuario y de los ficheros del sistema con el
propsito de detectar agujeros de seguridad.
Una auditora completa no es un conjunto estricto de validaciones a realizar, sino que evoluciona segn
los riesgos detectados.
Es una tarea ardua, consume mucho tiempo y no asegura al 100% que el sistema est limpio.
La recogida de informacin de auditora puede centrarse en distintos elementos:

Sentencias SQL: Registro de los intentos de conexin con la base de datos.

Privilegios: Consiste en recopilar las operaciones que se han efectuado sobre la base de datos y por
qu usuarios.
Objetos: Se pueden recoger operaciones realizadas sobre determinados objetos de la base de datos.