cuestiones de repaso

1,469
-1

Published on

cuestiones de repaso

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,469
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
45
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

cuestiones de repaso

  1. 1. CUESTIONES DE REPASO Y EJERCICIOS CAPITULO 19 SEGURIDAD 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
  2. 2. 19 - SEGURIDAD <ul><li>19.1. Explique el propósito y el alcance de los mecanismos de seguridad en una base de datos </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  3. 3. 19.1. - SEGURIDAD <ul><li>El propósito es contrarrestar las amenazas que pueden ocasionar desde la parte externa del sistema de base de datos como también los posibles accidentes que se pueden ocasionar durante el manejo y ejecución de un sistema de base de datos. </li></ul><ul><li>Y todo esta a través de una buena implementación de seguridad tanto al Software y Hardware. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  4. 4. 19 - SEGURIDAD <ul><li>19.2. Indique los tipos principales de amenazas que pueden afectar a un sistema base de datos y describa, para cada uno de ellos, los controles que podrían utilizarse para prevenir cada una de ellas. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  5. 5. 19.2 - HARDWARE <ul><li>Cambios climáticos que pueden ocasionar un apagón o sobretensión de energía eléctrica. Fallos de mecanismos de seguridad, proporcionando un mayor acceso. </li></ul><ul><li>Robo de equipos </li></ul><ul><li>Danos físicos a los quipos </li></ul><ul><li>Interferencia electrónica y radiación </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  6. 6. 19.2 – SGBD y software de aplicación <ul><li>Fallo de los mecanismos de seguridad que proporcione un acceso mayor. </li></ul><ul><li>Alteración de los programas </li></ul><ul><li>Robo de los programas </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  7. 7. 19.2 – Redes de Comunicaciones <ul><li>Escuchas </li></ul><ul><li>Rupturas o desconexión de cables </li></ul><ul><li>Interferencia electrónica y radiación </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  8. 8. 19.2 – BASE DE DATOS <ul><li>Modificación o copia no autorizada de lkos datos </li></ul><ul><li>Robo de los datos </li></ul><ul><li>Corrupción de los datos debido a un corte de suministro o sobretensión </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  9. 9. 19.2. USUARIOS <ul><li>Utilización de los medios de acceso correspondientes a otra persona </li></ul><ul><li>Visualización y divulgación de datos no autorizados </li></ul><ul><li>Formación inadecuada del personal </li></ul><ul><li>Entrada ilegal por parte de un hacker </li></ul><ul><li>Chantaje </li></ul><ul><li>Introducción de virus </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  10. 10. 19.2. PROGRAMADORES / OPERADORES <ul><li>Creación de puertas traseras </li></ul><ul><li>Alteración de los programas </li></ul><ul><li>Formación inadecuada del personal </li></ul><ul><li>Políticas y procedimientos de seguridad inadecuados. </li></ul><ul><li>Huelgas o carencias de personal </li></ul><ul><li>Administrador de datos/base de datos </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  11. 11. 19.2. Datos/Administrador de base de datos <ul><li>Procedimientos y políticas de seguridad inadecuados. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  12. 12. 19 - SEGURIDAD <ul><li>19.3. Explique los siguientes conceptos en términos de la seguridad de una base de datos: </li></ul><ul><ul><li>Autorización; </li></ul></ul><ul><ul><li>Controles de acceso; </li></ul></ul><ul><ul><li>Vistas; </li></ul></ul><ul><ul><li>Copias de seguridad y recuperación; </li></ul></ul><ul><ul><li>Integridad; </li></ul></ul><ul><ul><li>Cifrado; </li></ul></ul><ul><ul><li>Tecnología RAID </li></ul></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  13. 13. AUTORIZACIÓN <ul><li>El proceso de autorización implica la autenticación de los sujetos (usuario, programa) que soliciten acceso a los objetos (tabla de la base datos, vistas, disparadores, entre otros…) del sistema </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  14. 14. AUTENTICACIÓN <ul><li>El administrador del sistema será normalmente responsable de permitir que los usuarios tengan acceso al sistema informático, creando cuentas de usuario. </li></ul><ul><li>Puede que sea necesario llevar un procedimiento independiente pero similara para proporcionar el derecho a usar el SGBD, todo esto corresponde al administrador (DBA) </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  15. 15. CONTROLES DE ACCESO <ul><li>Esta se basa en la concesión y revocación de privilegios (a un usuario se le permite realizar cambios en los objetos de la base de datos). </li></ul><ul><li>Estos privilegios se los conceden a los usuarios que requieran llevar a cabo sus tareas. </li></ul><ul><li>Todo lo que se realice se lleva a cabo un control de cambios que algún usuario haya realizado, esto para garantizar la seguridad de los datos. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  16. 16. VISTAS <ul><li>Este mecanismo permite ocultar partes de la base de datos o ojos de ciertos usuarios. </li></ul><ul><li>Que en realidad se las puede usar siempre y cuando exista privilegios para el usuario que lo requiera. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  17. 17. COPIAS DE SEGURIDAD Y RECUPERACIÓN <ul><li>Este mecanismo proporciona facilidad de copia de seguridad para ayudar a la recuperación de la base de datos en caso de que se produzca algún fallo. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  18. 18. INTEGRIDAD <ul><li>Mantiene la seguridad del sistema de base de datos, impidiendo que ingresen datos inválidos que puedan ocasionar incoherencias. (Restricciones de integridad) </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  19. 19. CIFRADO <ul><li>El cifrado protege los datos que sean transmitidos a través de redes, por medio de la codificación de los datos, aunque pueda bajar el rendimiento del sistema, por lo que se necesita decodificarlos. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  20. 20. TECNOLOGÍA RAID <ul><li>Se basa en una matriz de discos de gran tamaño, son independientes, esto para una mejor fiabilidad y mejorar las prestaciones. </li></ul><ul><li>Prestaciones – se puede incrementar mediante la técnica FRANJA DE DATOS (partición de datos de igual tamaño) </li></ul><ul><li>Fiabilidad – mediante un esquema de PARIDAD O DE CORRECCIÓN DE ERRORES. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  21. 21. 19 - SEGURIDAD <ul><li>19.4. Describa las medidas de seguridad proporcionadas por Microsoft Office Access y el SGBD de Oracle. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  22. 22. SEGURIDAD Microsoft Office Access <ul><li>Tiene una configuracion de contraseñas que nadie puede acceder al contenido del archivo debido a que requiere una contraseña. </li></ul><ul><li>Utiliza métodos de identificacion de usuarios y contraseñas, al estar en el interno del archivo es considerado como miembros de grupo, los mismos que existen (grupo Admis) -> Administradores, los usuarios (grupo Users) </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  23. 23. SGBD ORACLE <ul><li>Tiene mecanismos de seguridad estándar de nombres de usuarios y contraseñas. Que son necesarios para el ingreso a la base de datos. </li></ul><ul><li>Este SGBD tiene mecanismos incorporados como: </li></ul><ul><ul><li>Privilegios </li></ul></ul><ul><ul><li>Privilegios del sistema -> realiza acciones sobre cualquier objeto del esquema. </li></ul></ul><ul><ul><li>Privilegios sobre los objetos -> privilegio o derecho para realizar acciones concretas en una tabla. </li></ul></ul><ul><ul><li>Roles </li></ul></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  24. 24. 19 - SEGURIDAD <ul><li>19.5. Describa las técnicas disponibles para dotar de seguridad a un SGBD en la Web. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  25. 25. SERVIDORES PROXY <ul><li>Permiten mejorar el rendimiento y filtrar las solicitudes. </li></ul><ul><li>Esto consiste en que guarda los resultados de todas las solicitudes durante un cierto tiempo, esto mejora en buena manera. Y filtra solicitudes lo cual se evita de conjunto de sitios Web que serán visitados por los usuarios </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  26. 26. CORTAFUEGOS <ul><li>Este impide el acceso no autorizado hacia o desde una red privada. Estos se los implementa tanto en software y hardware. </li></ul><ul><li>Intervienen diversos tipos de técnicas como: </li></ul><ul><ul><li>Filtrado de paquetes </li></ul></ul><ul><ul><li>Pasarela de aplicación (FTP Y Telnet) </li></ul></ul><ul><ul><li>Pasarela de nivel de circuito (TCP O UDP) </li></ul></ul><ul><ul><li>Servidores proxy </li></ul></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  27. 27. ALGORITMOS DE COMPENDIO DE MENSAJES Y FIRMAS DIGITALES <ul><li>O llamado función hash unidireccional, toma como entrada una cadena de caracteres de tamaño arbitrario (el mensaje) y genera una cadena de longitud fija (el compendio o hash). </li></ul><ul><li>Debe ser único </li></ul><ul><li>No revela ninguna información del mensaje original </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  28. 28. CERTIFICADOS DIGITALES <ul><li>Es un adjunto que se añade a un mensaje electrónico que se utiliza para propósitos de seguridad. </li></ul><ul><li>En el momento de enviar un mensaje cifrado tiene que solicitar un certificado digital a una autoridad de certificación (AC). En esta se incluye la clave pública del solicitante y otros datos de identificación. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  29. 29. KERBEROS <ul><li>Es un servidor de nombres de usuario y contraseñas seguros (recibe este nombre por el monstruo de tres cabezas de la mitología griega que guardaba las puertas del infierno). </li></ul><ul><li>Proporciona una seguridad centralizada para todos los datos y recursos de la red. </li></ul><ul><li>Similar a un servidor de certificados. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  30. 30. SECURE SOCKETS LAYER SECURE HTTP <ul><li>Funciona utilizando una clave privada para cifrar los datos que se transfieren a través de la conexión SSL. </li></ul><ul><li>Este está situado entre los protocolos de nivel de aplicación como HTTP y el protocolo de nivel de transporte TCP/IP, esta diseñado para evitar las escuchas, la modificación del mensaje y su falcificación. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  31. 31. SECURE SOCKETS LAYER SECURE HTTP <ul><li>Esta diseñado para transmitir con segiridad mensajes individuales. </li></ul><ul><li>SSL Y S-HTTP son tecnologías complementarias que han sido enviadas para que sean aprobadas por IETF (Internet Engineering Task Force). </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  32. 32. SECURE ELECTRONIC TRANSACTIONS Y SECURE TRANSACTION TECHNOLOGY <ul><li>SET es un estándar abierto e interoperable para el procesamiento de transacciones basadas en tarjetas de crédito a través del Internet. </li></ul><ul><li>Permiten que las transacciones sean simples y seguras por Internet. </li></ul><ul><li>Resuelven problemas de privacidad. </li></ul><ul><li>Se lo utiliza como mecanismo de certificados, para las personas poseedoras de tarjetas de crédito </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  33. 33. SEGURIDAD JAVA <ul><li>Garantiza que las aplicaciones no autorizadas no puedan acceder a recursos del sistema. </li></ul><ul><li>Para esto se utilizan componentes como: </li></ul><ul><ul><li>El cargador de clases </li></ul></ul><ul><ul><li>El verificador de código intermedio </li></ul></ul><ul><ul><li>Gestor de seguridad </li></ul></ul><ul><ul><li>Seguridad avanzada para las applets </li></ul></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  34. 34. SEGURIDAD ACTIVEX <ul><li>Este no impone ninguna restricción. Pero para lo contrario, cada control ActiveX puede estar digitalmente firmado por su autor, utilizando un sistema. </li></ul><ul><li>Las firmas digitales son certificados por un(AC). </li></ul><ul><li>Este modelo de seguridad sitúa la responsabilidad de la seguridad del sistema en manos del usuario. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  35. 35. EJERCICIOS <ul><li>19.6. Examine los SGBD utilizados por su organización e identifique las medidas de seguridad que proporcionen. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  36. 36. SGBD DE LA UTPL <ul><li>Es un sistema que para el manejo se han desarrollado políticas de seguridad dependiendo de los roles y responsabilidades de cumplimiento, esto ha nivel de RRHH y Manuales. </li></ul><ul><li>Además a nivel de SW y HW se han implementado lo que son Routers y Firewalls para la seguridad interna y externa. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  37. 37. SGBD DE LA UTPL <ul><li>Trabaja con protocolos SSl y seguridades Web para acceso a Servidores de Correos, base de datos, y más información que la Universidad tiene. </li></ul><ul><li>Incluye servidor proxy, cortafuegos, seguridades bajo Linux, Solaris, entre otros. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  38. 38. EJERCICIOS <ul><li>19.7. Identifique los tipos de mecanismos de seguridad utilizados por su organización para dotar de seguridad a los SGBD acesibles a través de la Web. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  39. 39. MECANISMOS DE LA UTPL <ul><li>Los mecanismos que utiliza son: </li></ul><ul><ul><li>Copias de seguridad y recuperación </li></ul></ul><ul><ul><li>Registro de acceso por los usuarios especialmente los administradores </li></ul></ul><ul><ul><li>Vistas de la información que solo el usuario requiere </li></ul></ul><ul><ul><li>Cifrado de los datos en la Web, especialmente los datos del sistema académico. </li></ul></ul><ul><ul><li>La utilización de RAID en los servidores </li></ul></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  40. 40. EJERCICIOS <ul><li>19.8. Considere el caso de estudio de DreamHome descrito en el Capítulo 10. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  41. 41. AMENAZAS - DREAMHOME <ul><li>Usuarios pueden acceder ingresar a cambiar los saldos o precios de los inmuebles en alquiler. </li></ul><ul><li>No tiene políticas la organización de administración de usuarios y administradores. </li></ul><ul><li>No se ha descrito requerimientos de seguridad para el sistema. </li></ul><ul><li>Se debería haber especificado el hardware se utilizará. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  42. 42. CONTRAMEDIDAS - DREAMHOME <ul><li>El SGBD no ha sido nombrado por parte del Gerente de Proyecto. </li></ul><ul><li>Se debería realizar la adquisición de RRHH con un contrato previo </li></ul><ul><li>Utilizar HW confiable y software que permita la administración de seguridades del sistema. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  43. 43. EJERCICIOS <ul><li>19.9. Considere el caso de estudio de Wellmeadows Hospital descrito en el apéndice B.3. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  44. 44. AMENAZAS - Wellmeadows Hospital <ul><li>Si el SGBD no soporta el procesar gran información este puede saturarse y por tanto la caída del mismo. </li></ul><ul><li>Si no tiene un buen procesador no podrá realizar el proceso de la información. </li></ul><ul><li>Si no tiene implementado discos de gran capacidad de igual manera no tendrá espacio para la información. </li></ul><ul><li>Un sistema complejo, propenso a errores. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  45. 45. CONTRAMEDIDAS - Wellmeadows Hospital <ul><li>Si utiliza redes en sucursales la información debería viajar encriptada. </li></ul><ul><li>La implementación de seguridades con respecto a los usuarios debe ser bien definida. </li></ul><ul><li>Un gran capacitación para los usuarios. </li></ul><ul><li>Que se implemente sistemas complementarios a este para que no se redunde la información con respecto a los suministros farmacéuticos y quirúrgicos. </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  46. 46. 19 - SEGURIDAD <ul><li>FIN </li></ul>15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.

×