CARACTERÍSTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD

SELECCIONADO

EDITH CRISTINA MONSALVE USUGA

CAMILO ANDRES GUTIERREZ OVIEDO

Docente

Especialización en Seguridad de Bases de Datos

SENA
2020
INTRODUCCIÓN

Las organizaciones deben definir políticas y estrategias para proteger la

información, ya que debe cumplir con los estándares de seguridad definidos en
niveles de confidencialidad, integridad y disponibilidad.
Dentro del plan de asegurar la información se deben gestionar los riesgos de
seguridad de la información y esto incluye conocer los programas con los cuales
se va a trabajar.
Seguridad de datos incluye conceptos como encriptación de datos, prácticas de
gestión de claves que ayudan a proteger los datos en todas las aplicaciones y
plataformas de una organización.
El sistema Manejador de la base de datos seleccionado para la Alcaldía de San
Antonio del SENA es SQL Server 2014, a continuación, detallamos las
características del Software seleccionado y que soporta la nueva Base de Datos.
Se determinan las Funciones de seguridad con las que cuenta SQL Server 2014.
CARACTERÍSTICAS DE SEGURIDAD CONFIGURABLES.
Antes de instalar sql server se debe:
 Mejorar la seguridad física,
 Usar firewalls,
 Aislar servicios,
 Configurar un sistema de archivos seguro,
 Deshabilitar NetBIOS y Bloque de mensajes de servidor,
 Instalar SQL Server en un controlador de dominio.

Cuentas de servicio

 Ejecute los servicios de SQL Server con los mínimos permisos posibles.
 Asocie los servicios de SQL Server a las cuentas de usuario local de
Windows con menos privilegios, o a las cuentas de usuario de dominio.

Modo de autenticación

 Requiera la autenticación de Windows para las conexiones a SQL Server.

 Utilice la autenticación Kerberos. Para obtener más información, vea
Registrar un nombre de entidad de seguridad de servicio para las
conexiones con Kerberos.

Contraseñas seguras

 Asigne una contraseña segura a la cuenta sa.

 Habilite siempre la directiva de contraseñas comprobando el nivel y la fecha
de expiración de la contraseña.
 Use siempre contraseñas seguras en todos los inicios de sesión de SQL
Server.

CUENTAS DE USUARIO Y PRIVILEGIOS SOBRE LOS OBJETOS DEL

SISTEMA.

Roles fijos de servidor

Los roles fijos de servidor cuentan con un conjunto fijo de permisos y ámbito de
servidor. Están pensadas para su uso en la administración de SQL Server y los
permisos asignadas a ellas no se pueden modificar. Se pueden asignar inicios de
sesión a los roles fijos de servidor sin necesidad de disponer de una cuenta de
usuario en una base de datos.
El rol fijo de servidor sysadmin incluye a todos los demás roles y cuenta con un
ámbito ilimitado. No agregue entidades de seguridad a este rol a menos que sean
de total confianza.
El rol bulkadmin permite a los usuarios insertar el contenido de cualquier archivo
local en una tabla, lo que puede poner en peligro la integridad de los datos.
Roles fijos de base de datos
Los roles fijos de base de datos incluyen un conjunto predefinido de permisos
diseñados para permitir administrar grupos de permisos con facilidad.
Los miembros del rol db_owner pueden realizar todas las actividades de
configuración y mantenimiento de la base de datos.
Roles y usuarios de base de datos
Para trabajar con objetos de base de datos, se deben asignar inicios de sesión a
cuentas de usuario de base de datos.
Rol public
El rol public está contenido en todas las bases de datos, incluidas las bases de
datos del sistema. No se puede eliminar y no se pueden agregar ni quitar usuarios
de ella. Solo debe conceder al rol public los permisos que desee que tengan todos
los usuarios.
Cuenta de usuario dbo
dbo, o propietario de base de datos, es una cuenta de usuario con permisos
implícitos para realizar todas las actividades en la base de datos. Los miembros
del rol fijo del servidor sysadmin se asignan automáticamente a dbo.
Cuenta de usuario guest
La cuenta guest es una cuenta integrada en todas las versiones de SQL Server.
De forma predeterminada, está deshabilitada en las bases de datos nuevas. Si
está habilitada, se puede deshabilitar mediante la revocación de su permiso
CONNECT, que se lleva a cabo con la ejecución de la instrucción REVOKE
CONNECT FROM GUEST de Transact-SQL.

Integridad
Cuenta con la protección de la exactitud y estado completo de los activos.
• Licencia de software. Es un contrato en donde se especifican todas las normas
y cláusulas que rigen el uso de un determinado producto de software, teniendo en
cuenta aspectos como: alcances de uso, instalación, reproducción y copia de
estos productos.

•Log’s. Registro o datos de quién, qué, cuándo, dónde y por qué un evento ocurre
para un dispositivo o sistema en particular.

•MAC (Media Access Control): Es un identificador de 48 bits (3 bloques

hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red.
Es la identificación única de cualquier dispositivo físico que hace parte de la una
red de datos.

•Perfiles de usuario. Son grupos que concentran varios usuarios con similares
necesidades de autorizaciones idénticas sobre los recursos tecnológicos o los
sistemas de información a los cuales se les conceden acceso de acuerdo con las
funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a
todos los usuarios que se encuentran dentro del mismo grupo.

•Plan de recuperación ante desastres. Es un conjunto de protocolos de

recuperación de la plataforma tecnológica de la Institución y cubre aspectos como
los datos, el hardware y el software crítico, para que la Policía Nacional pueda
restablecer sus operaciones en caso de un desastre natural o causado por
humanos en forma rápida, eficiente y con el menor costo y pérdidas posibles. El
Plan también debe incluir las consideraciones necesarias para enfrentarse a la
pérdida inesperada o repentina de personal crítico.

•Propietario de activos de información. Funcionario, unidad organizacional que

tiene responsabilidad aprobada del alto mando por el control de la producción, el
desarrollo, el mantenimiento, el uso y la seguridad de los activos.

•Programa de concienciación en seguridad de la información. Es un conjunto

de estrategias que busca que todos los funcionarios de la Policía Nacional y el
personal provisto por terceras partes interioricen y adopten la política, normas,
procedimientos y guías existentes al interior de la Institución dentro de sus
actividades diarias.
•Propiedad intelectual. Es el reconocimiento de un derecho particular en favor de
un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este
reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza
intelectual y merecedora de protección, incluyendo las invenciones científicas y
tecnológicas, las producciones literarias o artísticas, las marcas y los
identificadores, los dibujos y modelos industriales y las indicaciones geográficas.

•Reasignación de derechos de acceso. Es la modificación de los privilegios con

que cuenta un funcionario sobre recursos tecnológicos, la red de datos o los
sistemas de información de la Institución por cambio de sus funciones.

•Recursos tecnológicos. Son aquellos componentes de hardware y software

tales como: servidores de aplicaciones y de servicios de red, estaciones de
trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad,
equipos de radio, servicios de red de datos y bases de datos, entre otros, los
cuales tienen como finalidad apoyar las tareas administrativas necesarias para el
buen funcionamiento y la optimización del trabajo al interior de la Institución.

MECANISMOS DE INTEGRIDAD Y PRIVACIDAD

Para establecer los mecanismos de integridad se debe clasificar la información:

Confidencial: cuando el nivel de confidencialidad de la información se
incremente.
Restringido: para niveles medios de confidencialidad.
Uso interno: información con un nivel bajo de confidencialidad.
Público: cuando todas las personas pueden ver la información.

El Motor de base de datos administra un conjunto jerárquico de entidades que se

pueden proteger mediante permisos.
Estas entidades se conocen como elementos protegibles. Los protegibles más
prominentes son los servidores y las bases de datos, pero los permisos discretos
se pueden establecer en un nivel mucho más específico.
SQL Server regula las acciones de las entidades de seguridad en los elementos
protegibles comprobando que se les ha concedido los permisos adecuados.

Según el nivel de confidencialidad se puede asegurar la información y el acceso a

ella mediante Cifrado de archivos, Cifrado de columnas, datos y claves, protección
desde el Firewall, cifrado de datos en tránsito.
Propiedad y separación de esquemas de usuario en SQL Server
Describe la propiedad de los objetos y separación entre usuario y esquema, y
proporciona vínculos a recursos adicionales.
La sintaxis de asignación de nombres de cuatro partes para hacer referencia a los
objetos especifica el nombre de esquema.
Server.Database.DatabaseSchema.DatabaseObject
Los esquemas pueden pertenecer a cualquier entidad de seguridad de base de
datos y una entidad de seguridad puede ser propietaria de varios esquemas.
Puede aplicar reglas de seguridad a un esquema, que heredan todos los objetos
incluidos en él. Después de configurar los permisos de acceso de un esquema,
estos permisos se aplican automáticamente a medida que se agregan nuevos
objetos al esquema. Se puede asignar un esquema predeterminado a los usuarios
y varios usuarios de base de datos pueden compartir el mismo esquema.
SQL Server incluye diez esquemas predefinidos que usan el mismo nombre que
los usuarios y los roles de base de datos integrados. Estos esquemas se han
creado principalmente por compatibilidad con versiones anteriores. No puede
quitar los esquemas con el mismo nombre que las funciones fijas de base de
datos, aunque no los necesite. No puede colocar los siguientes esquemas:
Los esquemas sys y INFORMATION_SCHEMA están reservados para los objetos
del sistema. No puede crear objetos en ellos ni quitarlos.
Esquema dbo
dbo es el esquema predeterminado en una base de datos recién creada. El
esquema dbo pertenece a la cuenta de usuario dbo. De forma predeterminada, los
usuarios creados con el comando CREATE USER de Transact-SQL usan dbo
como esquema predeterminado.
Los usuarios a los que se asigna el esquema dbo no heredan los permisos de la
cuenta de usuario dbo. Los usuarios no heredan ningún permiso de un esquema;
los permisos de esquema se heredan en los objetos de base de datos incluidos en
el esquema.
FUNCIONES DE SEGURIDAD

CERTENCODED (Transact-SQL): Devuelve la parte pública de un certificado en

formato binario. Esta función toma un identificador de certificado y devuelve el
certificado codificado. El resultado binario se puede pasar a CREATE
CERTIFICATE… WITH BINARY para crear un nuevo certificado.

PWDCOMPARE (Transact-SQL): Obtiene el valor hash de una contraseña y lo

compara con el de otra existente.

CERTPRIVATEKEY (Transact-SQL): Devuelve la clave privada de un certificado

en formato binario.

PWDENCRYPT (Transact-SQL): Devuelve el valor hash de la contraseña de SQL

Server correspondiente al valor de entrada que usa la versión actual del algoritmo
de hash de contraseñas.

CURRENT_USER (Transact-SQL): Devuelve el nombre de usuario actual.

SCHEMA_ID (Transact-SQL): Devuelve el identificador de esquema asociado a un

nombre de esquema.

DATABASE_PRINCIPAL_ID (Transact-SQL): Devuelve el número de Id. de una

entidad de seguridad de la base de datos actual.

SCHEMA_NAME (Transact-SQL): Devuelve el número de Id. de una entidad de

seguridad de la base de datos actual.

SYS.FN_BUILTIN_PERMISSIONS (Transact-SQL): Devuelve una descripción de

la jerarquía de permisos integrados del servidor.
SESSION_USER (Transact-SQL): SESSION_USER devuelve el nombre de
usuario del contexto actual en la base de datos actual.

SYS.FN_GET_AUDIT_FILE (Transact-SQL): Devuelve información de un archivo

de auditoría creado por una auditoría de servidor en SQL Server.

SUSER_ID (Transact-SQL): Devuelve el número de identificación de inicio de

sesión del usuario

SYS.FN_MY_PERMISSIONS (Transact-SQL): Devuelve una lista de los permisos

concedidos a la entidad de seguridad para un elemento protegible.

SUSER_SID (Transact-SQL): Devuelve el número de identificación de seguridad

(SID) que corresponde al nombre de inicio de sesión especificado.

HAS_PERMS_BY_NAME (Transact-SQL): Evalúa el permiso efectivo del usuario

actual sobre un elemento protegible.

SUSER_SNAME (Transact-SQL): Devuelve el nombre de inicio de sesión

asociado a un número de identificación de seguridad (SID).

IS_MEMBER (Transact-SQL): Indica si el usuario actual es miembro del grupo de

Microsoft Windows o del rol de base de datos de SQL Server especificados.

SYSTEM_USER (Transact-SQL): Permite insertar en una tabla un valor

proporcionado por el sistema para el inicio de sesión actual cuando no se
especifica ningún valor predeterminado.

IS_ROLEMEMBER (Transact-SQL): Indica si una entidad de seguridad de base de

datos especificada es miembro del rol de base de datos especificado.
SUSER_NAME (Transact-SQL): Devuelve el nombre de identificación de inicio de
sesión del usuario.

IS_SRVROLEMEMBER (Transact-SQL): Indica si en el inicio de sesión de SQL

Server es miembro del rol de servidor especificado.

USER_ID (Transact-SQL): Devuelve el número de identificación para un usuario

de la base de datos.

ORIGINAL_LOGIN (Transact-SQL): Devuelve el nombre del inicio de sesión que

se conectó a la instancia de SQL Server

USER_NAME (Transact-SQL): Devuelve un nombre de usuario de base de datos

a partir de un número de identificación especificado.

PERMISSIONS (Transact-SQL): Devuelve un valor que contiene un mapa de bits

que indica los permisos del usuario actual sobre una instrucción, objeto o columna.
BIBLIOGRAFÍA

https://docs.microsoft.com/es-es/sql/relational-databases/security/security-center-
for-sql-server-database-engine-and-azure-sql-database?view=sql-server-ver15
https://docs.microsoft.com/es-es/sql/t-sql/functions/security-functions-transact-sql?
view=sql-server-ver15