Administración de un SGBD relacional · Sistema de Gestión de Base de Datos Un Sistema de...

Administración de un SGBD relacionalBases de Datos 2 - Tecnologo de Informatica

BD2 - Administración de un SGBD relacional

Outline

1 Catálogos y SQL esquemas (schema)Catálogos del sistemaEsquemas SQL

2 Seguridad y AutorizaciónTipos de seguridadMecanismos de seguridad: DAC, MAC


Sistema de Gestión de Base de Datos

Un Sistema de Gestión de Base de Datos (SGBD, oDBMS por su siglas en ingles Database ManagementSystem) es un sistema computarizado que permite alusuario crear y mantener una base de datos.Definir una base de datos involucra especificar los tipos dedatos, estructuras y restricciones de los datos a seralmacenados en la base.La definición o información descritiva de la base de datoses también almacenada por el DBMS en forma de uncatálogo o diccionario.


Catálogo del sistema

Contiene una descripción completa de la estructura de labase de datos y sus restricciones.

Tipos de datos de los elementos de datos.Mapeo entre esquemas y las restricciones.Incluye información como nombres y tamaños de archivos.Detalles del almacenamiento de cada archivo.Información de usuario.

La información almacenada en el catalogo se denominameta-datos.Su principal utilidad es la de conocer que datos existen sinacceder a ellos.


Ficheros tradicionales

En el procesamiento la definición de datos normalmenteforma parte de los propios programas de aplicación.Por lo que solo pueden trabajar con un único tipo dearchivo o “base de datos”.El único que sabe como leer el archivo es el programapara el cual está hecho.


Ficheros DBMS

Puede acceder a varios “tipos” de archivo utilizando ladefinición existente en el catálogo.Cada vez que un DBMS intenta acceder a un archivo (porejemplo con una sentencia SELECT sobre una tabla):

1 Primero se fija en el catálogo del sistema para ver laestructura del fichero y que tipo de datos contiene.

2 La estructura le dice: donde esta cada dato (en que byte yque largo tiene).

3 Luego ingresa al fichero usando la información obtenidadel catálogo.


Catálogos del sistema de Postgres

Todos los catálogos del sistema tienen un nombre conprefijo “pg_”.

Figura : PostgreSQL - System catalogs

http://www.postgresql.org/docs/current/static/catalogs-overview.htmlBD2 - Administración de un SGBD relacional

http://www.postgresql.org/docs/current/static/catalogs-overview.htmlhttp://www.postgresql.org/docs/current/static/catalogs-overview.html

Catálogos del sistema de Postgres

Los catalogos del sistema de PostgreSQL son tablas.Estas pueden ser modificadas, eliminadas y/o alterar susdatos como cualquier tabla.Para no tener que manipular los catalogos manualmente,se cuenta con comandos SQL especiales.Por ejemplo, el comando CREATE DATABASE inserta unafila en el catalogo pg_database y crea la base de datos endisco.


Catálogos del sistema de ORACLE

ORACLE utiliza el término Data Dictionary (diccionario dedatos) en lugar de catalog.Su data dictionary consiste de:

Tablas base (base tables). Almacenan la informaciónsobre la base de datos. Solo Oracle DBMS escribe o lee deestas tablas.Vistas. Decodifican las tablas base en información util. Lasvistas contienen los nombres y descripción de todos losobjetos en el data dictionary. Algunas vistas son accesiblespor todos los usuarios de la base de datos y otras estánpensada solo para el acceso de administradores.


Catálogos del sistema de ORACLE

Las vistas del data dictionary están agrupadas enconjuntos.Se disintguen por el prefijo de su nombre.

Prefijo Acceso usuario Contenido Notas

DBA_ Administradores Todos los objetosAlgunas vistas agreganInformación util para losadministradores.

ALL_ Todos losusuarios

Objetos a loscuales tieneacceso un usuario

Incluye objetos que sonpropiedad del usuario.

USER_ Todos losusuariosObjetos propiedaddel usuario

Las vistas omiten elatributo owner, semuestra informaciónrelacionada con el usuarioque consulta.

https://docs.oracle.com/database/121/CNCPT/datadict.htm#CNCPT002


https://docs.oracle.com/database/121/CNCPT/datadict.htm#CNCPT002https://docs.oracle.com/database/121/CNCPT/datadict.htm#CNCPT002

Esquemas en Bases de Datos

Un clúster de bases de datos contiene una o más basesde datos con un nombre asociado.Usuarios y grupos de usuarios se comparten en el clústerpero no se comparte nada más entre las bases de datos.Un cliente que se conecta al servidor de bases de datossolo puede acceder a los datos de la base de datos a laque se conectó.Por ejemplo, si quisiera conectarse a una baseconteniendo información de usuario centralizada (loginúnico) y luego acceder a una base de datos usada por unsoftware particular, debería realizar dos conexiones.



Una base de datos puede contener uno o variosesquemas, que a su vez contiene tablas.Además, el esquema contiene otro tipo de objetos connombre, como ser:

Tipos de datos.FuncionesOperadores

Un objeto puede ser usado con el mismo nombre enesquemas diferentes.



Hay varias razones para usar esquemas en Bases deDatos:

Para permitir que muchos usuarios usen una base de datossin interferir unos con otros.Para organizar los objetos de una Base de Datos engrupos lógicos más manejables.Aplicaciones Third-party puede ser “instaladas” enesquemas diferentes y así evitar colisiones con losnombres de objetos entre distintas aplicaciones.Los esquemas son análogos a los directorios a nivel deS.O., con excepción que no pueden anidarse.

Para crear un esquema se usa la sentencia:CREATE SCHEMA ;


Conceptos y amenazas

¿Por qué es necesaria la seguridad y restricción en elacceso a información?

Por cuestiones éticas o legales.Cuestiones de política institucional, estatal, etc.Ej.: historia medica.Necesidad en las organizaciones de identificar múltiplesniveles de seguridad y categorizar la información y losusuarios acorde a éstos.Ej.: Top Secret, Secret, Confidential, Unclassified.

La falta o carencia en mecanismos de seguridad yautorización puede resultar en la perdida o degradación delos siguientes aspectos: integridad, disponibilidad yconfindencialidad.


NOTAS - Tipos de SeguridadConceptos y amenazas

Pérdida de integridad. La integridad de la base de datos tienerelación con el requisito a cumplir de que la información seencuentre protegida frente a modificaciones inadecuadas. Lamodificación de datos incluye la creación, inserción,modificación, cambio del estado de los datos y el borrado. Laintegridad se pierde si se realizan cambios no autorizados enlos datos mediante acciones intencionadas o accidentales. Sino se corrige la pérdida de integridad del sistema o de losdatos, el uso continuado de un sistema contaminado o dedatos corrompidos podría tener como consecuencia la toma dedecisiones inexactas, fraudulentas o erróneas.


NOTAS - Tipos de SeguridadConceptos y amenazas

Pérdida de disponibilidad. La disponibilidad de la base dedatos tiene relación con que los objetos estén disponibles paraun usuario humano o para un programa que tenga losderechos correspondientes.

Pérdida de confidencialidad. La confidencialidad de la basede datos tiene relación con la protección de los datos frente alacceso no autorizado. El impacto del acceso no autorizado a lainformación confidencial puede variar desde la violación de lasleyes sobre privacidad de los datos hasta la amenaza a laseguridad nacional. El acceso no autorizado, no previsto o nointencionado podría tener como resultado la pérdida de laconfianza en la organización, el que ésta quede en entredichoo que sea objeto de acciones legales en su contra.


Conceptos y amenazasMedidas de control

Para proteger las bases de datos contra estos tipos deamenazas, es habitual implementar cuatro tipos demedidas de control:

Control de accesos (access control)Control de inferencias (inference control)Control de flujo (flow control)Cifrado (data encryption)


Mecanismos de seguridadDAC, MAC, Basado en roles

¿Qué mecanismos existen para proteger el acceso aBases de Datos contra personas que no esténautorizadas?

Control de Acceso Discrecional (DAC, DiscretionaryAccess Control)

conceder y revocar privilegios.Control de Acceso Obligatorio o Mandatorio (MAC,Mandatory Access Control)

múltiples niveles de seguridad (Ejército).


Administrador de Base de Datos

Usuario con “superpoderes”.Puede crear cuentas y grupos (acceso a BD)También realiza la concesión de privilegios (DAC)

Revocación de privilegios (DAC)Asignación de niveles de seguridad a usuarios y objetos(MAC)


Control de Acceso Discrecional (DAC)Tipos de privilegios

Se basa en conceder y revocar privilegios.Tipos de privilegios (siempre para usuarios):

Nivel de Cuentaprivilegios que tiene el usuario independiente de lasrelaciones de BD.CREATE. SCHEMA, TABLE, VIEW, etc.GRANT, REVOKE.

Nivel de Relación (o Tabla)se controlan los privilegios de un usuario a nivel de relacióno vista.Modelo de Matriz de Acceso: M(i,j)


Control de Acceso Discrecional (DAC)Modelo de Matriz de Acceso

Modelo de Matriz de Acceso: M(i, j)i - son usuarios, cuentas, programas (SUJETOS)j - son relaciones, registros, columnas, vistas, operaciones(OBJETOS)

Cada elemento de la matriz m(i,j) representa los tipos deprivilegios (lectura, escritura o modificación) para el sujetoi y el objeto j.Para controlar la concesión o revocación de privilegios acada relación se le asigna un usuario propietario que tienetodos los derechos sobre la misma.


Control de Acceso Mandatorio (MAC)Clases de seguridad / Bell-LaPadula

Para ciertas aplicaciones se necesita una política deseguridad que clasifique los datos y los usuarios porniveles o clases de seguridad.Se crean clases de seguridad.

Las más usuales son: TS, S, C, U.Se sigue el modelo de Bell-LaPadula (o BLP)

Asigna a cada sujeto (usuario, cuenta, programa) y objeto(relación, tupla, columna, vista, operación) una clasificaciónde seguridad: TS, S, C, U u otra definida.NO al par sino a CADA UNO.


Control de Acceso Mandatorio (MAC)Reglas del modelo Bell-LaPadula

El modelo BLP tiene las siguientes reglas.Ningún sujeto puede leer un objeto cuya clasificación deseguridad sea más alta que la acreditación del sujeto.Se prohíbe a un sujeto escribir un objeto que tenga laclasificación de seguridad menor que la acreditación delsujeto.

La violación de esta regla permitiría el flujo de informacióndesde un nivel de seguridad alto a uno más bajo.


Seguridad en BD Estadísticas

Las BD Estadísticas son BD cuyo principal objetivo esobtener estadísticas generales de distinta índole:promedio, media, total, etc.Las técnicas de seguridad en éstas BD se basan en lograrque no se puede obtener tupas individuales de unaconsulta cualquiera.

Ej.: La persona que gana más de 100.000 pesos


Catálogos y SQL esquemas (schema)Catálogos del sistemaEsquemas SQL

Seguridad y AutorizaciónTipos de seguridadMecanismos de seguridad: DAC, MAC

Administración de un SGBD relacional · Sistema de Gestión de Base de Datos Un Sistema de...

Documents

Transcript of Administración de un SGBD relacional · Sistema de Gestión de Base de Datos Un Sistema de...