UNIDAD IV: Seguridad Objetivo: Que el alumno comprenda la importancia de la seguridad en las bases de datos, adems de implementarla.

Los SGBD incluyen herramientas de seguridad que permiten el acceso nicamente a los programas o a las personas autorizadas y adems, restringe los tipos de procesamiento que se pueden realizar una vez que se tenga el acceso. Existen tres tipos de seguridad que pueden ser implementadas: Autentificacin: Se refiere a la persona que solicita la entrada del sistema, para lo cual debe proporcionar su identidad de las siguientes maneras: Un nombre de acceso y contrasea. Tarjeta plstica de identificacin. Huella digital, registro de voz, etc. Autorizacin y vistas: una vista es un medio de proporcionar un modelo personalizado de la base de datos. Los datos que un usuario no necesita ver son simplemente ocultados por la vista. Adems, hay 4 tipos de autorizacin: Autorizacin de lectura: permite la lectura pero no la modificacin de los datos. Autorizacin de insercin: permite la insercin de nuevos datos, pero no la modificacin de datos. Autorizacin de modificacin: permite la modificacin de los datos, pero no la eliminacin. Autorizacin de eliminacin: permite la eliminacin de datos. Cifrado: las diversas medidas de autentificacin y de automatizacin que son las normas para proteger el acceso a las bases de datos pueden no ser adecuadas para datos altamente sensibles. En tales casos, puede ser deseable cifrar los datos. Los datos cifrados no pueden ser ledos por un intruso, a menos que conozca el mtodo de cifrado. La definicin de cifrado es convertir un texto legible en un texto ilegible mediante el uso de un algoritmo para proteger datos sensibles. Por mencionar algunos ejemplos de mtodos de cifrado, es posible considerar al algoritmo del Csar (utilizado en la poca del imperio romano), el algoritmo DES (que genera de manera aleatoria las claves para cifrar datos) o el algoritmo RSA (el cual utiliza funciones matemticas para proteger la informacin). Polticas de Negocios Se refieren a las reglas establecidas por los administradores de los sistemas de informacin, para su acceso y manipulacin. No todos los usuarios que tengan acceso a la base de datos tendrn acceso a todos los datos. Hay varios tipos de polticas de acceso a la informacin, dentro de las cuales podemos considerar a la seguridad orientada a objetos y la seguridad orientada a entidades, que son las ms utilizadas. Ejemplo de Seguridad Orientada a Objetos: Acciones Clientes Leer OK Insertar X Modificar OK Eliminar X Conceder X

Vendedor OK X OK OK X

Pedido OK OK OK X X

11

Ejemplo de Seguridad Orientada a Entidades: Acciones Contrasea: SESAMO Leer OK Insertar OK Modificar OK Eliminar OK Conceder X

Contrasea: AVALON OK X X X X

Control de Acceso por Niveles Este tipo de control hace referencia al acceso de la informacin que puede utilizar un usuario de acuerdo a su nivel, esto es, que al menos hay tres tipos de usuarios: el super usuario, el administrador y el usuario normal. El super usuario tiene acceso total y control absoluto del SGBD, adems puede crear cuentas de usuario y concederles permisos. El usuario por default (root) es un ejemplo de super usuario. SQL: Grant all privileges on *.* to superuser@localhost identified by psw with grant option; El administrador tiene acceso a todas las tablas de una o varias bases de datos. SQL: Grant reload, process on *.* to admin@localhost identified by psw; Al final tenemos al usuario normal que tiene acceso y control restringido al SGBD. SQL: Grant usage on *.* to usuario@localhost; Tipos de Acceso a la Base de Datos por Niveles Global: Se aplica a todas las bases de datos del servidor. Base de datos: se aplica a todos los objetos de la base de datos. Tabla: se aplica a todas las columnas de la tabla. Atributo: se aplica a un atributo de una tabla. Rutina: se aplica a los privilegios de creacin y mantenimiento de rutinas (create routine, alter routine, etc). Control de Acceso por Privilegios Se refiere a las acciones permitidas que tiene un usuario, por ejemplo: crear bases de datos, tablas, ndices, vistas, etc. SQL: Grant select, insert, update, create, drop on db_nombre.* to cliente@localhost identified by psw De todo lo que hemos visto hasta el momento, podemos asegurar que el activo ms valioso de cualquier empresa es su informacin.

12