Professional Documents
Culture Documents
Hay dos niveles de asignacin de privilegios discrecionales para usar el sistema de base de datos:
El nivel de cuenta en el que el DBA especifica los privilegios particulares que tiene cada usuario,
independientemente de las relaciones de la base de datos.
El nivel de relacin en el que podemos controlar el privilegio para tener acceso a cada relacin o
vista individual de la base de datos.
Confidencialidad perfiles
El objetivo es gestionar el uso de los recursos de la BD
Establecer recursos cuando se crea el usuario: un tablespace por defecto, temporal, cuotas de
espacio y uso.
Limitar recursos:
A nivel de sesin: a cada sesin un determinado tiempo de CPU, determinada cantidad de
memoria
A nivel de llamadas: ordenes SQL.
En este tipo de bases de datos se debe evitar que a partir de consultas que afecten a datos globales se
puedan inferir valores de datos individuales o inferir que un dato elemental no tiene determinado valor.
Las tcnicas de proteccin de inferencia se pueden clasificar en:
Seguridad
- Introduccin
El objetivo es proteger los datos de accesos no autorizados
Quin puede estar interesado en atacar el sistema?
Un antiguo empleado recientemente despedido o alguien externo a la organizacin o un usuario del
sistema que trata de obtener mayores privilegios o podra ser un hacker profesional con un propsito
especfico
- Tipos de Ataques
Desbordamiento de memoria
Se basa en pasar como entrada a un programa ms datos de los que espera recibir.
Esto permite escribir en una zona de memoria ms all de la reservada (depende del S.O. entre otras
cosas).
Inyeccin de Cdigo SQL.
Consiste en incluir o modificar comando SQL al enviarlos al servidor.
- Auditoras
Para evitar posibles ataques como los anteriormente descritos deben realizarse auditoras.
Propiedades:
Una auditora es una revisin de los permisos de cada usuario y de los ficheros del sistema con el
propsito de detectar agujeros de seguridad.
Una auditora completa no es un conjunto estricto de validaciones a realizar, sino que evoluciona segn
los riesgos detectados.
Es una tarea ardua, consume mucho tiempo y no asegura al 100% que el sistema est limpio.
La recogida de informacin de auditora puede centrarse en distintos elementos: