cuestiones de repaso

CUESTIONES DE REPASO CUESTIONES DE REPASO Y EJERCICIOSY EJERCICIOSCAPITULO 19SEGURIDAD

15/05/2008 1AUTOR: EDWIN FABIÁN MAZA S.

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

19 - SEGURIDAD19 - SEGURIDAD19.1. Explique el propósito y el

alcance de los mecanismos de seguridad en una base de datos


19.1. - SEGURIDAD19.1. - SEGURIDAD• El propósito es contrarrestar las

amenazas que pueden ocasionar desde la parte externa del sistema de base de datos como también los posibles accidentes que se pueden ocasionar durante el manejo y ejecución de un sistema de base de datos.

• Y todo esta a través de una buena implementación de seguridad tanto al Software y Hardware.


19 - SEGURIDAD19 - SEGURIDAD19.2. Indique los tipos principales

de amenazas que pueden afectar a un sistema base de datos y describa, para cada uno de ellos, los controles que podrían utilizarse para prevenir cada una de ellas.


19.2 - HARDWARE19.2 - HARDWARECambios climáticos que pueden

ocasionar un apagón o sobretensión de energía eléctrica. Fallos de mecanismos de seguridad, proporcionando un mayor acceso.

Robo de equiposDanos físicos a los quiposInterferencia electrónica y

radiación15/05/2008 5AUTOR: EDWIN FABIÁN MAZA S.

19.2 – SGBD y software de 19.2 – SGBD y software de aplicaciónaplicaciónFallo de los mecanismos de

seguridad que proporcione un acceso mayor.

Alteración de los programasRobo de los programas


19.2 – Redes de 19.2 – Redes de ComunicacionesComunicacionesEscuchasRupturas o desconexión de

cablesInterferencia electrónica y

radiación


19.2 – BASE DE DATOS19.2 – BASE DE DATOSModificación o copia no

autorizada de lkos datosRobo de los datosCorrupción de los datos debido a

un corte de suministro o sobretensión


19.2. USUARIOS19.2. USUARIOSUtilización de los medios de acceso

correspondientes a otra personaVisualización y divulgación de datos

no autorizadosFormación inadecuada del personalEntrada ilegal por parte de un hackerChantajeIntroducción de virus


19.2. PROGRAMADORES / 19.2. PROGRAMADORES / OPERADORESOPERADORESCreación de puertas traserasAlteración de los programasFormación inadecuada del

personalPolíticas y procedimientos de

seguridad inadecuados.Huelgas o carencias de personalAdministrador de datos/base de

datos15/05/2008 10AUTOR: EDWIN FABIÁN MAZA S.

19.2. Datos/Administrador de 19.2. Datos/Administrador de base de datosbase de datosProcedimientos y políticas de

seguridad inadecuados.


19 - SEGURIDAD19 - SEGURIDAD• 19.3. Explique los siguientes

conceptos en términos de la seguridad de una base de datos: Autorización; Controles de acceso; Vistas; Copias de seguridad y recuperación; Integridad; Cifrado; Tecnología RAID


AUTORIZACIÓNAUTORIZACIÓNEl proceso de autorización

implica la autenticación de los sujetos (usuario, programa) que soliciten acceso a los objetos (tabla de la base datos, vistas, disparadores, entre otros…) del sistema


AUTENTICACIÓNAUTENTICACIÓNEl administrador del sistema será

normalmente responsable de permitir que los usuarios tengan acceso al sistema informático, creando cuentas de usuario.

Puede que sea necesario llevar un procedimiento independiente pero similara para proporcionar el derecho a usar el SGBD, todo esto corresponde al administrador (DBA)


CONTROLES DE ACCESOCONTROLES DE ACCESO• Esta se basa en la concesión y

revocación de privilegios (a un usuario se le permite realizar cambios en los objetos de la base de datos).

• Estos privilegios se los conceden a los usuarios que requieran llevar a cabo sus tareas.

• Todo lo que se realice se lleva a cabo un control de cambios que algún usuario haya realizado, esto para garantizar la seguridad de los datos.


VISTASVISTASEste mecanismo permite ocultar

partes de la base de datos o ojos de ciertos usuarios.

Que en realidad se las puede usar siempre y cuando exista privilegios para el usuario que lo requiera.


COPIAS DE SEGURIDAD Y COPIAS DE SEGURIDAD Y RECUPERACIÓNRECUPERACIÓNEste mecanismo proporciona

facilidad de copia de seguridad para ayudar a la recuperación de la base de datos en caso de que se produzca algún fallo.


INTEGRIDADINTEGRIDADMantiene la seguridad del

sistema de base de datos, impidiendo que ingresen datos inválidos que puedan ocasionar incoherencias. (Restricciones de integridad)


CIFRADOCIFRADOEl cifrado protege los datos que

sean transmitidos a través de redes, por medio de la codificación de los datos, aunque pueda bajar el rendimiento del sistema, por lo que se necesita decodificarlos.


TECNOLOGÍA RAIDTECNOLOGÍA RAID• Se basa en una matriz de discos de

gran tamaño, son independientes, esto para una mejor fiabilidad y mejorar las prestaciones.

• Prestaciones – se puede incrementar mediante la técnica FRANJA DE DATOS (partición de datos de igual tamaño)

• Fiabilidad – mediante un esquema de PARIDAD O DE CORRECCIÓN DE ERRORES.


19 - SEGURIDAD19 - SEGURIDAD19.4. Describa las medidas de

seguridad proporcionadas por Microsoft Office Access y el SGBD de Oracle.


SEGURIDAD Microsoft Office SEGURIDAD Microsoft Office AccessAccessTiene una configuracion de

contraseñas que nadie puede acceder al contenido del archivo debido a que requiere una contraseña.

Utiliza métodos de identificacion de usuarios y contraseñas, al estar en el interno del archivo es considerado como miembros de grupo, los mismos que existen (grupo Admis) -> Administradores, los usuarios (grupo Users)


SGBD ORACLESGBD ORACLE• Tiene mecanismos de seguridad

estándar de nombres de usuarios y contraseñas. Que son necesarios para el ingreso a la base de datos.

• Este SGBD tiene mecanismos incorporados como:– Privilegios– Privilegios del sistema -> realiza acciones

sobre cualquier objeto del esquema.– Privilegios sobre los objetos -> privilegio

o derecho para realizar acciones concretas en una tabla.

– Roles


19 - SEGURIDAD19 - SEGURIDAD19.5. Describa las técnicas

disponibles para dotar de seguridad a un SGBD en la Web.


SERVIDORES PROXYSERVIDORES PROXYPermiten mejorar el rendimiento y

filtrar las solicitudes.Esto consiste en que guarda los

resultados de todas las solicitudes durante un cierto tiempo, esto mejora en buena manera. Y filtra solicitudes lo cual se evita de conjunto de sitios Web que serán visitados por los usuarios


CORTAFUEGOSCORTAFUEGOSEste impide el acceso no

autorizado hacia o desde una red privada. Estos se los implementa tanto en software y hardware.

Intervienen diversos tipos de técnicas como:◦Filtrado de paquetes◦Pasarela de aplicación (FTP Y Telnet)◦Pasarela de nivel de circuito (TCP O

UDP)◦Servidores proxy


ALGORITMOS DE ALGORITMOS DE COMPENDIO DE MENSAJES Y COMPENDIO DE MENSAJES Y FIRMAS DIGITALESFIRMAS DIGITALESO llamado función hash

unidireccional, toma como entrada una cadena de caracteres de tamaño arbitrario (el mensaje) y genera una cadena de longitud fija (el compendio o hash).

Debe ser únicoNo revela ninguna información del

mensaje original


CERTIFICADOS DIGITALESCERTIFICADOS DIGITALESEs un adjunto que se añade a un

mensaje electrónico que se utiliza para propósitos de seguridad.

En el momento de enviar un mensaje cifrado tiene que solicitar un certificado digital a una autoridad de certificación (AC). En esta se incluye la clave pública del solicitante y otros datos de identificación.


KERBEROSKERBEROSEs un servidor de nombres de

usuario y contraseñas seguros (recibe este nombre por el monstruo de tres cabezas de la mitología griega que guardaba las puertas del infierno).

Proporciona una seguridad centralizada para todos los datos y recursos de la red.

Similar a un servidor de certificados.


SECURE SOCKETS LAYER SECURE SOCKETS LAYER SECURE HTTPSECURE HTTPFunciona utilizando una clave privada

para cifrar los datos que se transfieren a través de la conexión SSL.

Este está situado entre los protocolos de nivel de aplicación como HTTP y el protocolo de nivel de transporte TCP/IP, esta diseñado para evitar las escuchas, la modificación del mensaje y su falcificación.


SECURE SOCKETS LAYER SECURE SOCKETS LAYER SECURE HTTPSECURE HTTPEsta diseñado para transmitir con

segiridad mensajes individuales.SSL Y S-HTTP son tecnologías

complementarias que han sido enviadas para que sean aprobadas por IETF (Internet Engineering Task Force).


SECURE ELECTRONIC SECURE ELECTRONIC TRANSACTIONS Y SECURE TRANSACTIONS Y SECURE TRANSACTION TECHNOLOGYTRANSACTION TECHNOLOGYSET es un estándar abierto e

interoperable para el procesamiento de transacciones basadas en tarjetas de crédito a través del Internet.

Permiten que las transacciones sean simples y seguras por Internet.

Resuelven problemas de privacidad.Se lo utiliza como mecanismo de

certificados, para las personas poseedoras de tarjetas de crédito


SEGURIDAD JAVASEGURIDAD JAVAGarantiza que las aplicaciones no

autorizadas no puedan acceder a recursos del sistema.

Para esto se utilizan componentes como:◦El cargador de clases◦El verificador de código intermedio◦Gestor de seguridad◦Seguridad avanzada para las applets


SEGURIDAD ACTIVEXSEGURIDAD ACTIVEXEste no impone ninguna restricción.

Pero para lo contrario, cada control ActiveX puede estar digitalmente firmado por su autor, utilizando un sistema.

Las firmas digitales son certificados por un(AC).

Este modelo de seguridad sitúa la responsabilidad de la seguridad del sistema en manos del usuario.


EJERCICIOSEJERCICIOS19.6. Examine los SGBD

utilizados por su organización e identifique las medidas de seguridad que proporcionen.


SGBD DE LA UTPLSGBD DE LA UTPLEs un sistema que para el manejo

se han desarrollado políticas de seguridad dependiendo de los roles y responsabilidades de cumplimiento, esto ha nivel de RRHH y Manuales.

Además a nivel de SW y HW se han implementado lo que son Routers y Firewalls para la seguridad interna y externa.


SGBD DE LA UTPLSGBD DE LA UTPLTrabaja con protocolos SSl y

seguridades Web para acceso a Servidores de Correos, base de datos, y más información que la Universidad tiene.

Incluye servidor proxy, cortafuegos, seguridades bajo Linux, Solaris, entre otros.


EJERCICIOSEJERCICIOS19.7. Identifique los tipos de

mecanismos de seguridad utilizados por su organización para dotar de seguridad a los SGBD acesibles a través de la Web.


MECANISMOS DE LA UTPLMECANISMOS DE LA UTPLLos mecanismos que utiliza son:

◦Copias de seguridad y recuperación◦Registro de acceso por los usuarios

especialmente los administradores◦Vistas de la información que solo el

usuario requiere◦Cifrado de los datos en la Web,

especialmente los datos del sistema académico.

◦La utilización de RAID en los servidores


EJERCICIOSEJERCICIOS19.8. Considere el caso de

estudio de DreamHome descrito en el Capítulo 10. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.


AMENAZAS - DREAMHOMEAMENAZAS - DREAMHOMEUsuarios pueden acceder ingresar

a cambiar los saldos o precios de los inmuebles en alquiler.

No tiene políticas la organización de administración de usuarios y administradores.

No se ha descrito requerimientos de seguridad para el sistema.

Se debería haber especificado el hardware se utilizará.


CONTRAMEDIDAS - CONTRAMEDIDAS - DREAMHOMEDREAMHOMEEl SGBD no ha sido nombrado

por parte del Gerente de Proyecto.

Se debería realizar la adquisición de RRHH con un contrato previo

Utilizar HW confiable y software que permita la administración de seguridades del sistema.


EJERCICIOSEJERCICIOS19.9. Considere el caso de

estudio de Wellmeadows Hospital descrito en el apéndice B.3. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.


AMENAZAS - Wellmeadows AMENAZAS - Wellmeadows HospitalHospitalSi el SGBD no soporta el procesar gran

información este puede saturarse y por tanto la caída del mismo.

Si no tiene un buen procesador no podrá realizar el proceso de la información.

Si no tiene implementado discos de gran capacidad de igual manera no tendrá espacio para la información.

Un sistema complejo, propenso a errores.


CONTRAMEDIDAS - CONTRAMEDIDAS - Wellmeadows HospitalWellmeadows HospitalSi utiliza redes en sucursales la

información debería viajar encriptada.La implementación de seguridades

con respecto a los usuarios debe ser bien definida.

Un gran capacitación para los usuarios.

Que se implemente sistemas complementarios a este para que no se redunde la información con respecto a los suministros farmacéuticos y quirúrgicos.


19 - SEGURIDAD19 - SEGURIDADFIN


cuestiones de repaso

Documents