cuestiones de repaso
Upcoming SlideShare
Loading in...5
×
 

cuestiones de repaso

on

  • 2,413 views

cuestiones de repaso

cuestiones de repaso

Statistics

Views

Total Views
2,413
Views on SlideShare
2,412
Embed Views
1

Actions

Likes
1
Downloads
43
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

cuestiones de repaso cuestiones de repaso Presentation Transcript

  • CUESTIONES DE REPASO Y EJERCICIOS CAPITULO 19 SEGURIDAD 15/05/2008 AUTOR: EDWIN FABIÁN MAZA S. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
  • 19 - SEGURIDAD
    • 19.1. Explique el propósito y el alcance de los mecanismos de seguridad en una base de datos
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.1. - SEGURIDAD
    • El propósito es contrarrestar las amenazas que pueden ocasionar desde la parte externa del sistema de base de datos como también los posibles accidentes que se pueden ocasionar durante el manejo y ejecución de un sistema de base de datos.
    • Y todo esta a través de una buena implementación de seguridad tanto al Software y Hardware.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19 - SEGURIDAD
    • 19.2. Indique los tipos principales de amenazas que pueden afectar a un sistema base de datos y describa, para cada uno de ellos, los controles que podrían utilizarse para prevenir cada una de ellas.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2 - HARDWARE
    • Cambios climáticos que pueden ocasionar un apagón o sobretensión de energía eléctrica. Fallos de mecanismos de seguridad, proporcionando un mayor acceso.
    • Robo de equipos
    • Danos físicos a los quipos
    • Interferencia electrónica y radiación
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2 – SGBD y software de aplicación
    • Fallo de los mecanismos de seguridad que proporcione un acceso mayor.
    • Alteración de los programas
    • Robo de los programas
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2 – Redes de Comunicaciones
    • Escuchas
    • Rupturas o desconexión de cables
    • Interferencia electrónica y radiación
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2 – BASE DE DATOS
    • Modificación o copia no autorizada de lkos datos
    • Robo de los datos
    • Corrupción de los datos debido a un corte de suministro o sobretensión
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2. USUARIOS
    • Utilización de los medios de acceso correspondientes a otra persona
    • Visualización y divulgación de datos no autorizados
    • Formación inadecuada del personal
    • Entrada ilegal por parte de un hacker
    • Chantaje
    • Introducción de virus
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2. PROGRAMADORES / OPERADORES
    • Creación de puertas traseras
    • Alteración de los programas
    • Formación inadecuada del personal
    • Políticas y procedimientos de seguridad inadecuados.
    • Huelgas o carencias de personal
    • Administrador de datos/base de datos
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19.2. Datos/Administrador de base de datos
    • Procedimientos y políticas de seguridad inadecuados.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19 - SEGURIDAD
    • 19.3. Explique los siguientes conceptos en términos de la seguridad de una base de datos:
      • Autorización;
      • Controles de acceso;
      • Vistas;
      • Copias de seguridad y recuperación;
      • Integridad;
      • Cifrado;
      • Tecnología RAID
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • AUTORIZACIÓN
    • El proceso de autorización implica la autenticación de los sujetos (usuario, programa) que soliciten acceso a los objetos (tabla de la base datos, vistas, disparadores, entre otros…) del sistema
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • AUTENTICACIÓN
    • El administrador del sistema será normalmente responsable de permitir que los usuarios tengan acceso al sistema informático, creando cuentas de usuario.
    • Puede que sea necesario llevar un procedimiento independiente pero similara para proporcionar el derecho a usar el SGBD, todo esto corresponde al administrador (DBA)
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CONTROLES DE ACCESO
    • Esta se basa en la concesión y revocación de privilegios (a un usuario se le permite realizar cambios en los objetos de la base de datos).
    • Estos privilegios se los conceden a los usuarios que requieran llevar a cabo sus tareas.
    • Todo lo que se realice se lleva a cabo un control de cambios que algún usuario haya realizado, esto para garantizar la seguridad de los datos.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • VISTAS
    • Este mecanismo permite ocultar partes de la base de datos o ojos de ciertos usuarios.
    • Que en realidad se las puede usar siempre y cuando exista privilegios para el usuario que lo requiera.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • COPIAS DE SEGURIDAD Y RECUPERACIÓN
    • Este mecanismo proporciona facilidad de copia de seguridad para ayudar a la recuperación de la base de datos en caso de que se produzca algún fallo.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • INTEGRIDAD
    • Mantiene la seguridad del sistema de base de datos, impidiendo que ingresen datos inválidos que puedan ocasionar incoherencias. (Restricciones de integridad)
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CIFRADO
    • El cifrado protege los datos que sean transmitidos a través de redes, por medio de la codificación de los datos, aunque pueda bajar el rendimiento del sistema, por lo que se necesita decodificarlos.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • TECNOLOGÍA RAID
    • Se basa en una matriz de discos de gran tamaño, son independientes, esto para una mejor fiabilidad y mejorar las prestaciones.
    • Prestaciones – se puede incrementar mediante la técnica FRANJA DE DATOS (partición de datos de igual tamaño)
    • Fiabilidad – mediante un esquema de PARIDAD O DE CORRECCIÓN DE ERRORES.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19 - SEGURIDAD
    • 19.4. Describa las medidas de seguridad proporcionadas por Microsoft Office Access y el SGBD de Oracle.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SEGURIDAD Microsoft Office Access
    • Tiene una configuracion de contraseñas que nadie puede acceder al contenido del archivo debido a que requiere una contraseña.
    • Utiliza métodos de identificacion de usuarios y contraseñas, al estar en el interno del archivo es considerado como miembros de grupo, los mismos que existen (grupo Admis) -> Administradores, los usuarios (grupo Users)
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SGBD ORACLE
    • Tiene mecanismos de seguridad estándar de nombres de usuarios y contraseñas. Que son necesarios para el ingreso a la base de datos.
    • Este SGBD tiene mecanismos incorporados como:
      • Privilegios
      • Privilegios del sistema -> realiza acciones sobre cualquier objeto del esquema.
      • Privilegios sobre los objetos -> privilegio o derecho para realizar acciones concretas en una tabla.
      • Roles
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19 - SEGURIDAD
    • 19.5. Describa las técnicas disponibles para dotar de seguridad a un SGBD en la Web.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SERVIDORES PROXY
    • Permiten mejorar el rendimiento y filtrar las solicitudes.
    • Esto consiste en que guarda los resultados de todas las solicitudes durante un cierto tiempo, esto mejora en buena manera. Y filtra solicitudes lo cual se evita de conjunto de sitios Web que serán visitados por los usuarios
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CORTAFUEGOS
    • Este impide el acceso no autorizado hacia o desde una red privada. Estos se los implementa tanto en software y hardware.
    • Intervienen diversos tipos de técnicas como:
      • Filtrado de paquetes
      • Pasarela de aplicación (FTP Y Telnet)
      • Pasarela de nivel de circuito (TCP O UDP)
      • Servidores proxy
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • ALGORITMOS DE COMPENDIO DE MENSAJES Y FIRMAS DIGITALES
    • O llamado función hash unidireccional, toma como entrada una cadena de caracteres de tamaño arbitrario (el mensaje) y genera una cadena de longitud fija (el compendio o hash).
    • Debe ser único
    • No revela ninguna información del mensaje original
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CERTIFICADOS DIGITALES
    • Es un adjunto que se añade a un mensaje electrónico que se utiliza para propósitos de seguridad.
    • En el momento de enviar un mensaje cifrado tiene que solicitar un certificado digital a una autoridad de certificación (AC). En esta se incluye la clave pública del solicitante y otros datos de identificación.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • KERBEROS
    • Es un servidor de nombres de usuario y contraseñas seguros (recibe este nombre por el monstruo de tres cabezas de la mitología griega que guardaba las puertas del infierno).
    • Proporciona una seguridad centralizada para todos los datos y recursos de la red.
    • Similar a un servidor de certificados.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SECURE SOCKETS LAYER SECURE HTTP
    • Funciona utilizando una clave privada para cifrar los datos que se transfieren a través de la conexión SSL.
    • Este está situado entre los protocolos de nivel de aplicación como HTTP y el protocolo de nivel de transporte TCP/IP, esta diseñado para evitar las escuchas, la modificación del mensaje y su falcificación.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SECURE SOCKETS LAYER SECURE HTTP
    • Esta diseñado para transmitir con segiridad mensajes individuales.
    • SSL Y S-HTTP son tecnologías complementarias que han sido enviadas para que sean aprobadas por IETF (Internet Engineering Task Force).
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SECURE ELECTRONIC TRANSACTIONS Y SECURE TRANSACTION TECHNOLOGY
    • SET es un estándar abierto e interoperable para el procesamiento de transacciones basadas en tarjetas de crédito a través del Internet.
    • Permiten que las transacciones sean simples y seguras por Internet.
    • Resuelven problemas de privacidad.
    • Se lo utiliza como mecanismo de certificados, para las personas poseedoras de tarjetas de crédito
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SEGURIDAD JAVA
    • Garantiza que las aplicaciones no autorizadas no puedan acceder a recursos del sistema.
    • Para esto se utilizan componentes como:
      • El cargador de clases
      • El verificador de código intermedio
      • Gestor de seguridad
      • Seguridad avanzada para las applets
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SEGURIDAD ACTIVEX
    • Este no impone ninguna restricción. Pero para lo contrario, cada control ActiveX puede estar digitalmente firmado por su autor, utilizando un sistema.
    • Las firmas digitales son certificados por un(AC).
    • Este modelo de seguridad sitúa la responsabilidad de la seguridad del sistema en manos del usuario.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • EJERCICIOS
    • 19.6. Examine los SGBD utilizados por su organización e identifique las medidas de seguridad que proporcionen.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SGBD DE LA UTPL
    • Es un sistema que para el manejo se han desarrollado políticas de seguridad dependiendo de los roles y responsabilidades de cumplimiento, esto ha nivel de RRHH y Manuales.
    • Además a nivel de SW y HW se han implementado lo que son Routers y Firewalls para la seguridad interna y externa.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • SGBD DE LA UTPL
    • Trabaja con protocolos SSl y seguridades Web para acceso a Servidores de Correos, base de datos, y más información que la Universidad tiene.
    • Incluye servidor proxy, cortafuegos, seguridades bajo Linux, Solaris, entre otros.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • EJERCICIOS
    • 19.7. Identifique los tipos de mecanismos de seguridad utilizados por su organización para dotar de seguridad a los SGBD acesibles a través de la Web.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • MECANISMOS DE LA UTPL
    • Los mecanismos que utiliza son:
      • Copias de seguridad y recuperación
      • Registro de acceso por los usuarios especialmente los administradores
      • Vistas de la información que solo el usuario requiere
      • Cifrado de los datos en la Web, especialmente los datos del sistema académico.
      • La utilización de RAID en los servidores
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • EJERCICIOS
    • 19.8. Considere el caso de estudio de DreamHome descrito en el Capítulo 10. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • AMENAZAS - DREAMHOME
    • Usuarios pueden acceder ingresar a cambiar los saldos o precios de los inmuebles en alquiler.
    • No tiene políticas la organización de administración de usuarios y administradores.
    • No se ha descrito requerimientos de seguridad para el sistema.
    • Se debería haber especificado el hardware se utilizará.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CONTRAMEDIDAS - DREAMHOME
    • El SGBD no ha sido nombrado por parte del Gerente de Proyecto.
    • Se debería realizar la adquisición de RRHH con un contrato previo
    • Utilizar HW confiable y software que permita la administración de seguridades del sistema.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • EJERCICIOS
    • 19.9. Considere el caso de estudio de Wellmeadows Hospital descrito en el apéndice B.3. Enumere las potenciales amenazas a las que tendría que enfrentarse y proponga contramedidas para prevenirlas.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • AMENAZAS - Wellmeadows Hospital
    • Si el SGBD no soporta el procesar gran información este puede saturarse y por tanto la caída del mismo.
    • Si no tiene un buen procesador no podrá realizar el proceso de la información.
    • Si no tiene implementado discos de gran capacidad de igual manera no tendrá espacio para la información.
    • Un sistema complejo, propenso a errores.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • CONTRAMEDIDAS - Wellmeadows Hospital
    • Si utiliza redes en sucursales la información debería viajar encriptada.
    • La implementación de seguridades con respecto a los usuarios debe ser bien definida.
    • Un gran capacitación para los usuarios.
    • Que se implemente sistemas complementarios a este para que no se redunde la información con respecto a los suministros farmacéuticos y quirúrgicos.
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.
  • 19 - SEGURIDAD
    • FIN
    15/05/2008 AUTOR: EDWIN FABIÁN MAZA S.