Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguridad en BD
Cap. Seguridad e Integridad (cap. 16 - 2da. ed ici n del libro)
Libro: Fundamentos de Bases de Datos Korth y S ilbersc hatz
Ed itoria l: McGraw Hill
a t zada de datos
t
Des rucci n no u ori
Seguridad
Integridad
En a lgunos casos no es fcil esta blecer una d ist inci n cla ra ent re
La seguridad y la integridad
03/07/2011
Niveles de Seguridad
Se de ben tener med idas de seguridad en va rios niveles:
d
d datos
a d d
F S CO L
ta
I I : os lug res on e se encuen r n los serv i ores e
de ben protegerse del ingreso cla ndest ino de int rusos
,
tambi n de ben esta r en luga res seguros con prevenci n
de accidentes
U A NO : Preca uciones a l conceder a utorizaci n a los usua rios
H M
VISTAS
V ISTA : Permite a un usua rio q ue acceda a una pa rte de la informaci n
03/07/2011
Creacin de USUARIOS
El DBA de be to ma r las siguientes decisiones:
si la a utent icaci n del usua rio va a ser rea lizada por la base de datos,
el siste ma o perat ivo, o el serv icio de a utent icaci n de la red
asigna r los va lores defa ult a l usua rio y sus ta bles paces te mpora rios
los priv ilegios y roles q ue el usua rio posee pa ra acceder a los o bjetos
de la base de datos .
03/07/2011
Privilegios y Roles
Priv ilegio es un derec ho pa ra ejecuta r un t ipo pa rt icula r de sentencia
SQ L pa ra acceder un o bjeto de ot ro usua rio
Privilegios de Objetos
Un priv ilegio de o bjeto es un derec ho a rea liza r una acci n pa rt icula r
so bre un o bjeto es pec fico (ta bla, v ista, secuencia, proced imiento,
funci n o paq uete)
03/07/2011
Privilegios de Objetos
ALT ER: permite mod ifica r la est ruct ura interna de un o bjeto .
No implica q ue permite a l usua rio a mod ifica r el contenido de los datos .
DELET E: permite elimina r una mas filas de datos de los o bjetos
EX EC UT E: permite a l usua rio ejecuta r un paq uete proced imiento
funci n
INDEX : permite crea r un nd ice en la ta bla. Nota r q ue no es suficiente
conta r con un priv ilegio SELECT
INSERT : permite agrega r una mas filas de datos de los o bjetos
SELECT : permite leer filas desde los o bjetos usa ndo sentencias SELECT
REFERENCES : permite crea r o a ltera r ot ra ta bla q ue referencia esta
co mo clave for nea
Insert
Delete
Index
Alter
Delete
VISTA
TABLA
References
Insert
Select
Execute
Update
Update
Select
PROCEDIMIENTO
Pa ra tener priv ilegios so bre una v ista se de ben tener priv ilegios
so bre la/s ta bla/s por las cua les se genera n las v istas
03/07/2011
Ejemplos
G RA NT Select O N Prestamo TO U1, U2, U3
G RA NT Update (saldo) O N Cuenta TO U1, U2, U3
G RA NT Ref erences (nombre-sucursal) O N Sucursal TO U1
G RA NT Select O N Prestamo TO U1 W IT H G RA NT O PT IO N
03/07/2011
Los q ue asigna n priv ilegios s lo puede q uit rselos a aq uellos usua rios
a los q ue ellos le ha n asignado esos priv ilegios .
C ua ndo se q uita n priv ilegios de o bjetos estos se q uita n en cascada
cua ndo fueron asignados W IT H G RA NT O PT IO N. Por eje mplo:
1 - USER1 o bt iene un priv ilegio SELECT so bre un o bjeto con la
o pci n G RA NT O PT IO N de SCOTT
2 - USER1 ga ra nt iza el priv ilegio SELECT so bre la ta bla EMP a USER2
3 - Se q uita el priv ilegio SELECT a USER1 este tambi n se le q uita
,
a USER2
Ejemplos
REVO KE
REVO KE Update
REVO KE
03/07/2011
BASE de DATOS
TA BLESPACE
Create Table
Tablas
Create Index
Indices
Create view
Vista
Create procedure
Create any procedure
Alter any procedure
Proced.
Drop any procedure
03/07/2011
| role }
y
te m_ priv | role
s
s
,
FRO M { user | rol | PUBLIC }
[ { user | rol | PUBLIC } ] . . .
,
[{
}]
...
Q uita r priv ilegios del siste ma puede tener efectos so bre o bjetos
de pend ientes
03/07/2011
Ejemplos
G RA NT CREATE TABLE TO U1, U2, U3
G RA NT DBA TO U5
G RA NT CREATE ANY PROCEDURE TO DBA
G RA NT DROP ANY TABLE TO U7 W IT H A DMIN O PT IO N
REVO KE CREATE TABLE FRO M U3
10
03/07/2011
Roles
Los roles se emplean para asignar privilegios relacionados con los
usuarios finales de un sistema
Funcionalidades de los roles:
puede tener privilegios del sistema y privilegios de objetos del schema
puede asignarse a otro roles. No obstante un rol no se puede autorizar
a si mismo ni tampoco de manera circular
a cualquier usuario de la base de datos se le puede asignar un rol
se puede habilitar y deshabilitar en cualquier momento
un rol garantizado indirectamente (un rol asignado a un rol) puede
ser explcitamente habilitado o inhabilitado al usuario. No obstante
para habilitar un rol que contiene otro roles, los roles contenidos se
habilitan implcitamente habilitando el rol que los contiene
C REAT E RO LE rol;
rol
11
03/07/2011
Dominio de un Usuario
Un usua rio t iene priv ilegios so bre:
12