Control de acceso por prioridad Auditoría Criptografía de Datos

 

Perfiles de usuario
Se refiere a sistemas donde muchos usuarios pueden tener acceso, esto obliga a que cada uno debe ser identificado en forma independiente (y esto es muy importante, para el control de acciones de los usuarios). Un usuario es creado por el administrador de la Base de Datos (DBA) y se le asigna una clave de acceso (password).
 
Pueden también ser creados roles, los cuales pueden ser concedidos a los usuarios. Considerando los diferentes elementos como objetos de la Base de Datos (tablas, campos, procedimientos almacenados, triggers, vistas, etc.), sobre estos se pueden conceder privilegios, según el caso, que permitan consultar, insertar, actualizar, borrar, ejecutar, definir integridad referencial.
Acceso a objetos de la Base de Datos
Un buen manejo de estas posibilidades permite el control de las actividades de los usuarios sobre el sistema. Este mecanismo es conocido como Control Discriminatorio, el cual posibilita que diferentes usuarios tengan privilegios de acceso a diferentes objetos de bases de datos.
 

Todos estos privilegios son inicialmente concedidos a los usuarios por el administrador del sistema. Quien crea el objeto es el propietario del mismo y puede ceder o compartir sus derechos sobre el mismo.

Para autorizar a los usuarios la manipulación de los datos, el comando general, en lenguaje SQL, es el siguiente:

GRANT operaciones ON tablas TO usuarios
 
Las operaciones o privilegios, según los estándares, pueden ser insertar (insert), borrar (delete), actualizar (update), consultar (select), uso de integridad referencial (references). También puede ser All Priivileges (todos los privilegios). Dependiendo de la implementación aparecen algunos otros
     

Las tablas podrían generalizarse a objetos de la base de datos, como vistas, procedimientos almacenados, desencadenantes, etc.

 
Los usuarios son reconocidos por el ID-usuario, único para cada usuario en una instalación. En ocasiones es posible manejar grupos de usuarios identificados por ID-grupo. Si se desea que el comando cubra a todos los usuarios se debe utilizar Public.
  
Si además de lo anterior se desea otorgar el privilegio a un usuario para que a la vez ceda parte de sus privilegios a otros usuarios se debe agregar al final de la sentencia la cláusula With grant option. Lo anterior puede facilitar la operación y administración, pero hace difícil el control de permisos que han sido dados a los usuarios y por ende el manejo de la seguridad.
     
     
Revocar permisos
El comando REVOKE operaciones ON tablas FROM usuarios, permite revocar la autorizaciones concedidas anteriormente.
    
     
Control de acceso por prioridad
Otra forma, conocida como Control de Acceso General, parte de un nivel de prioridad y clasificación otorgado a cada objeto de la Base de Datos, como por ejemplo, "súper secreto", "secreto", "confidencial", "público", etc. A su vez a cada usuario es atribuido un nivel de visualización, que posee un valor igual a uno de los niveles de clasificación atribuidos a los objetos.
 
El control del acceso a los objetos de la base de datos se determina con base en los niveles de prioridad de los objetos y de visualización de los usuarios. Por ejemplo, una regla puede ser: un usuario A puede recuperar el objeto B si el poder de visualización es mayor o igual a la clasificación de B.
     
Auditoría
En situaciones en que los datos sean críticos, se debe contar con el riesgo de violación de la seguridad por una persona no autorizada, además de errores involuntarios que igual pueden causar inconsistencias o falta de veracidad de la información.
 
Para estos casos es interesante mantener un archivo de auditoría (logs), donde son registradas todas las operaciones realizadas por los usuarios de las bases de datos. En caso de sospecha de falla en la seguridad, este archivo puede ser consultado para conocer los daños causados y/o identificar a los responsables de las operaciones irregulares.
     
     
Criptografía de Datos
Como recurso de seguridad, se puede mezclar o codificar los datos de modo que, al momento de ser almacenados en disco duro o trasmitidos por alguna línea de comunicación, no sean más que bits ininteligibles para aquellos que los accedan por un medio no oficial. La criptografía es de gran importancia en las bases de datos pues la información esta almacenada por largos periodos de tiempo en medios de fácil acceso, como discos duros.
  
   
Existen varias técnicas de criptografía de datos, cuya explicación no esta dentro del alcance planteado en este artículo.

 

CC



Universidad Nacional de Colombia
Carrera 30 No 45-03 - Edificio 477
Bogotá D.C. - Colombia
PBX: 3165000
webmaster@unal.edu.co
Aviso Legal - Copyright
Gobierno en LíneaAgencia de Noticias UN