CUESTIONES DE REPASO Y EJERCICIOS CAPITULO 19 SEGURIDAD 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

19 - SEGURIDAD 19.1. Explique el propósito y el alcance de los mecanismos de seguridad en una base de datos 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.1. Explique el propósito y el alcance de los mecanismos de seguridad en una base de datos

19.1. - SEGURIDAD El propósito es contrarrestar las amenazas que pueden ocasionar desde la parte externa del sistema de base de datos como también los posibles accidentes que se pueden ocasionar durante el manejo y ejecución de un sistema de base de datos. Y todo esta a través de una buena implementación de seguridad tanto al Software y Hardware. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

El propósito es contrarrestar las amenazas que pueden ocasionar desde la parte externa del sistema de base de datos como también los posibles accidentes que se pueden ocasionar durante el manejo y ejecución de un sistema de base de datos.

Y todo esta a través de una buena implementación de seguridad tanto al Software y Hardware.

19 - SEGURIDAD 19.2. Indique los tipos principales de amenazas que pueden afectar a un sistema base de datos y describa, para cada uno de ellos, los controles que podrían utilizarse para prevenir cada una de ellas. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.2. Indique los tipos principales de amenazas que pueden afectar a un sistema base de datos y describa, para cada uno de ellos, los controles que podrían utilizarse para prevenir cada una de ellas.

19.2 - HARDWARE Cambios climáticos que pueden ocasionar un apagón o sobretensión de energía eléctrica. Fallos de mecanismos de seguridad, proporcionando un mayor acceso. Robo de equipos Danos físicos a los quipos Interferencia electrónica y radiación 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Cambios climáticos que pueden ocasionar un apagón o sobretensión de energía eléctrica. Fallos de mecanismos de seguridad, proporcionando un mayor acceso.

Robo de equipos

Danos físicos a los quipos

Interferencia electrónica y radiación

19.2 – SGBD y software de aplicación Fallo de los mecanismos de seguridad que proporcione un acceso mayor. Alteración de los programas Robo de los programas 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Fallo de los mecanismos de seguridad que proporcione un acceso mayor.

Alteración de los programas

Robo de los programas

19.2 – Redes de Comunicaciones Escuchas Rupturas o desconexión de cables Interferencia electrónica y radiación 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Escuchas

Rupturas o desconexión de cables

Interferencia electrónica y radiación

19.2 – BASE DE DATOS Modificación o copia no autorizada de lkos datos Robo de los datos Corrupción de los datos debido a un corte de suministro o sobretensión 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Modificación o copia no autorizada de lkos datos

Robo de los datos

Corrupción de los datos debido a un corte de suministro o sobretensión

19.2. USUARIOS Utilización de los medios de acceso correspondientes a otra persona Visualización y divulgación de datos no autorizados Formación inadecuada del personal Entrada ilegal por parte de un hacker Chantaje Introducción de virus 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Utilización de los medios de acceso correspondientes a otra persona

Visualización y divulgación de datos no autorizados

Formación inadecuada del personal

Entrada ilegal por parte de un hacker

Chantaje

Introducción de virus

19.2. PROGRAMADORES / OPERADORES Creación de puertas traseras Alteración de los programas Formación inadecuada del personal Políticas y procedimientos de seguridad inadecuados. Huelgas o carencias de personal Administrador de datos/base de datos 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Creación de puertas traseras

Alteración de los programas

Formación inadecuada del personal

Políticas y procedimientos de seguridad inadecuados.

Huelgas o carencias de personal

Administrador de datos/base de datos

19.2. Datos/Administrador de base de datos Procedimientos y políticas de seguridad inadecuados. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Procedimientos y políticas de seguridad inadecuados.

19 - SEGURIDAD 19.3. Explique los siguientes conceptos en términos de la seguridad de una base de datos: Autorización; Controles de acceso; Vistas; Copias de seguridad y recuperación; Integridad; Cifrado; Tecnología RAID 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.3. Explique los siguientes conceptos en términos de la seguridad de una base de datos:

Autorización;

Controles de acceso;

Vistas;

Copias de seguridad y recuperación;

Integridad;

Cifrado;

Tecnología RAID

AUTORIZACIÓN El proceso de autorización implica la autenticación de los sujetos (usuario, programa) que soliciten acceso a los objetos (tabla de la base datos, vistas, disparadores, entre otros…) del sistema 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

El proceso de autorización implica la autenticación de los sujetos (usuario, programa) que soliciten acceso a los objetos (tabla de la base datos, vistas, disparadores, entre otros…) del sistema

AUTENTICACIÓN El administrador del sistema será normalmente responsable de permitir que los usuarios tengan acceso al sistema informático, creando cuentas de usuario. Puede que sea necesario llevar un procedimiento independiente pero similara para proporcionar el derecho a usar el SGBD, todo esto corresponde al administrador (DBA) 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

El administrador del sistema será normalmente responsable de permitir que los usuarios tengan acceso al sistema informático, creando cuentas de usuario.

Puede que sea necesario llevar un procedimiento independiente pero similara para proporcionar el derecho a usar el SGBD, todo esto corresponde al administrador (DBA)

CONTROLES DE ACCESO Esta se basa en la concesión y revocación de privilegios (a un usuario se le permite realizar cambios en los objetos de la base de datos). Estos privilegios se los conceden a los usuarios que requieran llevar a cabo sus tareas. Todo lo que se realice se lleva a cabo un control de cambios que algún usuario haya realizado, esto para garantizar la seguridad de los datos. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Esta se basa en la concesión y revocación de privilegios (a un usuario se le permite realizar cambios en los objetos de la base de datos).

Estos privilegios se los conceden a los usuarios que requieran llevar a cabo sus tareas.

Todo lo que se realice se lleva a cabo un control de cambios que algún usuario haya realizado, esto para garantizar la seguridad de los datos.

VISTAS Este mecanismo permite ocultar partes de la base de datos o ojos de ciertos usuarios. Que en realidad se las puede usar siempre y cuando exista privilegios para el usuario que lo requiera. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Este mecanismo permite ocultar partes de la base de datos o ojos de ciertos usuarios.

Que en realidad se las puede usar siempre y cuando exista privilegios para el usuario que lo requiera.

COPIAS DE SEGURIDAD Y RECUPERACIÓN Este mecanismo proporciona facilidad de copia de seguridad para ayudar a la recuperación de la base de datos en caso de que se produzca algún fallo. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Este mecanismo proporciona facilidad de copia de seguridad para ayudar a la recuperación de la base de datos en caso de que se produzca algún fallo.

INTEGRIDAD Mantiene la seguridad del sistema de base de datos, impidiendo que ingresen datos inválidos que puedan ocasionar incoherencias. (Restricciones de integridad) 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Mantiene la seguridad del sistema de base de datos, impidiendo que ingresen datos inválidos que puedan ocasionar incoherencias. (Restricciones de integridad)

CIFRADO El cifrado protege los datos que sean transmitidos a través de redes, por medio de la codificación de los datos, aunque pueda bajar el rendimiento del sistema, por lo que se necesita decodificarlos. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

El cifrado protege los datos que sean transmitidos a través de redes, por medio de la codificación de los datos, aunque pueda bajar el rendimiento del sistema, por lo que se necesita decodificarlos.

TECNOLOGÍA RAID Se basa en una matriz de discos de gran tamaño, son independientes, esto para una mejor fiabilidad y mejorar las prestaciones. Prestaciones – se puede incrementar mediante la técnica FRANJA DE DATOS (partición de datos de igual tamaño) Fiabilidad – mediante un esquema de PARIDAD O DE CORRECCIÓN DE ERRORES. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Se basa en una matriz de discos de gran tamaño, son independientes, esto para una mejor fiabilidad y mejorar las prestaciones.

Prestaciones – se puede incrementar mediante la técnica FRANJA DE DATOS (partición de datos de igual tamaño)

Fiabilidad – mediante un esquema de PARIDAD O DE CORRECCIÓN DE ERRORES.

19 - SEGURIDAD 19.4. Describa las medidas de seguridad proporcionadas por Microsoft Office Access y el SGBD de Oracle. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.4. Describa las medidas de seguridad proporcionadas por Microsoft Office Access y el SGBD de Oracle.

SEGURIDAD Microsoft Office Access Tiene una configuracion de contraseñas que nadie puede acceder al contenido del archivo debido a que requiere una contraseña. Utiliza métodos de identificacion de usuarios y contraseñas, al estar en el interno del archivo es considerado como miembros de grupo, los mismos que existen (grupo Admis) -> Administradores, los usuarios (grupo Users) 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Tiene una configuracion de contraseñas que nadie puede acceder al contenido del archivo debido a que requiere una contraseña.

Utiliza métodos de identificacion de usuarios y contraseñas, al estar en el interno del archivo es considerado como miembros de grupo, los mismos que existen (grupo Admis) -> Administradores, los usuarios (grupo Users)

SGBD ORACLE Tiene mecanismos de seguridad estándar de nombres de usuarios y contraseñas. Que son necesarios para el ingreso a la base de datos. Este SGBD tiene mecanismos incorporados como: Privilegios Privilegios del sistema -> realiza acciones sobre cualquier objeto del esquema. Privilegios sobre los objetos -> privilegio o derecho para realizar acciones concretas en una tabla. Roles 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Tiene mecanismos de seguridad estándar de nombres de usuarios y contraseñas. Que son necesarios para el ingreso a la base de datos.

Este SGBD tiene mecanismos incorporados como:

Privilegios

Privilegios del sistema -> realiza acciones sobre cualquier objeto del esquema.

Privilegios sobre los objetos -> privilegio o derecho para realizar acciones concretas en una tabla.

Roles

19 - SEGURIDAD 19.5. Describa las técnicas disponibles para dotar de seguridad a un SGBD en la Web. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.5. Describa las técnicas disponibles para dotar de seguridad a un SGBD en la Web.

SERVIDORES PROXY Permiten mejorar el rendimiento y filtrar las solicitudes. Esto consiste en que guarda los resultados de todas las solicitudes durante un cierto tiempo, esto mejora en buena manera. Y filtra solicitudes lo cual se evita de conjunto de sitios Web que serán visitados por los usuarios 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Permiten mejorar el rendimiento y filtrar las solicitudes.

Esto consiste en que guarda los resultados de todas las solicitudes durante un cierto tiempo, esto mejora en buena manera. Y filtra solicitudes lo cual se evita de conjunto de sitios Web que serán visitados por los usuarios

CORTAFUEGOS Este impide el acceso no autorizado hacia o desde una red privada. Estos se los implementa tanto en software y hardware. Intervienen diversos tipos de técnicas como: Filtrado de paquetes Pasarela de aplicación (FTP Y Telnet) Pasarela de nivel de circuito (TCP O UDP) Servidores proxy 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Este impide el acceso no autorizado hacia o desde una red privada. Estos se los implementa tanto en software y hardware.

Intervienen diversos tipos de técnicas como:

Filtrado de paquetes

Pasarela de aplicación (FTP Y Telnet)

Pasarela de nivel de circuito (TCP O UDP)

Servidores proxy

ALGORITMOS DE COMPENDIO DE MENSAJES Y FIRMAS DIGITALES O llamado función hash unidireccional, toma como entrada una cadena de caracteres de tamaño arbitrario (el mensaje) y genera una cadena de longitud fija (el compendio o hash). Debe ser único No revela ninguna información del mensaje original 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

O llamado función hash unidireccional, toma como entrada una cadena de caracteres de tamaño arbitrario (el mensaje) y genera una cadena de longitud fija (el compendio o hash).

Debe ser único

No revela ninguna información del mensaje original

CERTIFICADOS DIGITALES Es un adjunto que se añade a un mensaje electrónico que se utiliza para propósitos de seguridad. En el momento de enviar un mensaje cifrado tiene que solicitar un certificado digital a una autoridad de certificación (AC). En esta se incluye la clave pública del solicitante y otros datos de identificación. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Es un adjunto que se añade a un mensaje electrónico que se utiliza para propósitos de seguridad.

En el momento de enviar un mensaje cifrado tiene que solicitar un certificado digital a una autoridad de certificación (AC). En esta se incluye la clave pública del solicitante y otros datos de identificación.

KERBEROS Es un servidor de nombres de usuario y contraseñas seguros (recibe este nombre por el monstruo de tres cabezas de la mitología griega que guardaba las puertas del infierno). Proporciona una seguridad centralizada para todos los datos y recursos de la red. Similar a un servidor de certificados. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Es un servidor de nombres de usuario y contraseñas seguros (recibe este nombre por el monstruo de tres cabezas de la mitología griega que guardaba las puertas del infierno).

Proporciona una seguridad centralizada para todos los datos y recursos de la red.

Similar a un servidor de certificados.

SECURE SOCKETS LAYER SECURE HTTP Funciona utilizando una clave privada para cifrar los datos que se transfieren a través de la conexión SSL. Este está situado entre los protocolos de nivel de aplicación como HTTP y el protocolo de nivel de transporte TCP/IP, esta diseñado para evitar las escuchas, la modificación del mensaje y su falcificación. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Funciona utilizando una clave privada para cifrar los datos que se transfieren a través de la conexión SSL.

Este está situado entre los protocolos de nivel de aplicación como HTTP y el protocolo de nivel de transporte TCP/IP, esta diseñado para evitar las escuchas, la modificación del mensaje y su falcificación.

SECURE SOCKETS LAYER SECURE HTTP Esta diseñado para transmitir con segiridad mensajes individuales. SSL Y S-HTTP son tecnologías complementarias que han sido enviadas para que sean aprobadas por IETF (Internet Engineering Task Force). 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Esta diseñado para transmitir con segiridad mensajes individuales.

SSL Y S-HTTP son tecnologías complementarias que han sido enviadas para que sean aprobadas por IETF (Internet Engineering Task Force).

SECURE ELECTRONIC TRANSACTIONS Y SECURE TRANSACTION TECHNOLOGY SET es un estándar abierto e interoperable para el procesamiento de transacciones basadas en tarjetas de crédito a través del Internet. Permiten que las transacciones sean simples y seguras por Internet. Resuelven problemas de privacidad. Se lo utiliza como mecanismo de certificados, para las personas poseedoras de tarjetas de crédito 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

SET es un estándar abierto e interoperable para el procesamiento de transacciones basadas en tarjetas de crédito a través del Internet.

Permiten que las transacciones sean simples y seguras por Internet.

Resuelven problemas de privacidad.

Se lo utiliza como mecanismo de certificados, para las personas poseedoras de tarjetas de crédito

SEGURIDAD JAVA Garantiza que las aplicaciones no autorizadas no puedan acceder a recursos del sistema. Para esto se utilizan componentes como: El cargador de clases El verificador de código intermedio Gestor de seguridad Seguridad avanzada para las applets 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Garantiza que las aplicaciones no autorizadas no puedan acceder a recursos del sistema.

Para esto se utilizan componentes como:

El cargador de clases

El verificador de código intermedio

Gestor de seguridad

Seguridad avanzada para las applets

SEGURIDAD ACTIVEX Este no impone ninguna restricción. Pero para lo contrario, cada control ActiveX puede estar digitalmente firmado por su autor, utilizando un sistema. Las firmas digitales son certificados por un(AC). Este modelo de seguridad sitúa la responsabilidad de la seguridad del sistema en manos del usuario. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Este no impone ninguna restricción. Pero para lo contrario, cada control ActiveX puede estar digitalmente firmado por su autor, utilizando un sistema.

Las firmas digitales son certificados por un(AC).

Este modelo de seguridad sitúa la responsabilidad de la seguridad del sistema en manos del usuario.

EJERCICIOS 19.6. Examine los SGBD utilizados por su organización e identifique las medidas de seguridad que proporcionen. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.6. Examine los SGBD utilizados por su organización e identifique las medidas de seguridad que proporcionen.

SGBD DE LA UTPL Es un sistema que para el manejo se han desarrollado políticas de seguridad dependiendo de los roles y responsabilidades de cumplimiento, esto ha nivel de RRHH y Manuales. Además a nivel de SW y HW se han implementado lo que son Routers y Firewalls para la seguridad interna y externa. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Es un sistema que para el manejo se han desarrollado políticas de seguridad dependiendo de los roles y responsabilidades de cumplimiento, esto ha nivel de RRHH y Manuales.

Además a nivel de SW y HW se han implementado lo que son Routers y Firewalls para la seguridad interna y externa.

SGBD DE LA UTPL Trabaja con protocolos SSl y seguridades Web para acceso a Servidores de Correos, base de datos, y más información que la Universidad tiene. Incluye servidor proxy, cortafuegos, seguridades bajo Linux, Solaris, entre otros. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Trabaja con protocolos SSl y seguridades Web para acceso a Servidores de Correos, base de datos, y más información que la Universidad tiene.

Incluye servidor proxy, cortafuegos, seguridades bajo Linux, Solaris, entre otros.

EJERCICIOS 19.7. Identifique los tipos de mecanismos de seguridad utilizados por su organización para dotar de seguridad a los SGBD acesibles a través de la Web. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.7. Identifique los tipos de mecanismos de seguridad utilizados por su organización para dotar de seguridad a los SGBD acesibles a través de la Web.

MECANISMOS DE LA UTPL Los mecanismos que utiliza son: Copias de seguridad y recuperación Registro de acceso por los usuarios especialmente los administradores Vistas de la información que solo el usuario requiere Cifrado de los datos en la Web, especialmente los datos del sistema académico. La utilización de RAID en los servidores 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Los mecanismos que utiliza son:

Copias de seguridad y recuperación

Registro de acceso por los usuarios especialmente los administradores

Vistas de la información que solo el usuario requiere

Cifrado de los datos en la Web, especialmente los datos del sistema académico.

La utilización de RAID en los servidores

EJERCICIOS 19.8. Considere el caso de estudio de DreamHome descrito en el Capítulo 10. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.8. Considere el caso de estudio de DreamHome descrito en el Capítulo 10. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.

AMENAZAS - DREAMHOME Usuarios pueden acceder ingresar a cambiar los saldos o precios de los inmuebles en alquiler. No tiene políticas la organización de administración de usuarios y administradores. No se ha descrito requerimientos de seguridad para el sistema. Se debería haber especificado el hardware se utilizará. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Usuarios pueden acceder ingresar a cambiar los saldos o precios de los inmuebles en alquiler.

No tiene políticas la organización de administración de usuarios y administradores.

No se ha descrito requerimientos de seguridad para el sistema.

Se debería haber especificado el hardware se utilizará.

CONTRAMEDIDAS - DREAMHOME El SGBD no ha sido nombrado por parte del Gerente de Proyecto. Se debería realizar la adquisición de RRHH con un contrato previo Utilizar HW confiable y software que permita la administración de seguridades del sistema. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

El SGBD no ha sido nombrado por parte del Gerente de Proyecto.

Se debería realizar la adquisición de RRHH con un contrato previo

Utilizar HW confiable y software que permita la administración de seguridades del sistema.

EJERCICIOS 19.9. Considere el caso de estudio de Wellmeadows Hospital descrito en el apéndice B.3. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

19.9. Considere el caso de estudio de Wellmeadows Hospital descrito en el apéndice B.3. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.

AMENAZAS - Wellmeadows Hospital Si el SGBD no soporta el procesar gran información este puede saturarse y por tanto la caída del mismo. Si no tiene un buen procesador no podrá realizar el proceso de la información. Si no tiene implementado discos de gran capacidad de igual manera no tendrá espacio para la información. Un sistema complejo, propenso a errores. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Si el SGBD no soporta el procesar gran información este puede saturarse y por tanto la caída del mismo.

Si no tiene un buen procesador no podrá realizar el proceso de la información.

Si no tiene implementado discos de gran capacidad de igual manera no tendrá espacio para la información.

Un sistema complejo, propenso a errores.

CONTRAMEDIDAS - Wellmeadows Hospital Si utiliza redes en sucursales la información debería viajar encriptada. La implementación de seguridades con respecto a los usuarios debe ser bien definida. Un gran capacitación para los usuarios. Que se implemente sistemas complementarios a este para que no se redunde la información con respecto a los suministros farmacéuticos y quirúrgicos. 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

Si utiliza redes en sucursales la información debería viajar encriptada.

La implementación de seguridades con respecto a los usuarios debe ser bien definida.

Un gran capacitación para los usuarios.

Que se implemente sistemas complementarios a este para que no se redunde la información con respecto a los suministros farmacéuticos y quirúrgicos.

19 - SEGURIDAD FIN 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

FIN