En las agrupaciones se crean grupos de entidades y objetos, y se asigna al grupo unos derechos de acceso determinados. De este modo el derecho de acceso se basa en la pertenencia a un grupo. Es posible que una entidad o un objeto pertenezcan a más de un grupo. Las listas de acceso se asocian a los objetos e identifican a las entidades que tienen derechos de acceso. La lista puede incluir, además, el tipo de acceso que se otorga a cada entidad. Similares a las anteriores las listas de capacitación asocian a cada entidad una lista en la que se relacionan los objetos a los que tiene acceso, y el modo en que lo tienen. Por último, los mecanismos de bloqueo asignan a cada objeto una clave que cada entidad debe demostrar que conoce para poder acceder a él.
Dada la importancia que tiene el control de acceso en la seguridad de un sistema, se han desarrollado varias implementaciones en modelos formales. Las más comunes son el modelo Bell-LaPadula, el Bilba y el Lattice.
El modelo Bell-LaPadula: clasifica las entidades en niveles de seguridad:
desclasificado, confidencial o secreto, por ejemplo. La regla fundamental de
este modelo es la que ninguna entidad debe tener acceso de lectura a un objeto
clasificado por encima de su propio nivel de seguridad. Es decir, el nivel de
seguridad de una entidad debe ser igual o superior al del objeto al que se va
a acceder. Sin embargo este modelo permite la escritura en objetos de un nivel
superior al de la propia entidad basándose en la regla de que para escribir
en un objeto la entidad debe tener un nivel de seguridad igual o inferior al
del objeto. Por tanto, si no existen los mecanismos de control adecuados de
la entidad hacia el objeto se puede llegar a la violación de la integridad
del objeto. Este modelo suele aplicarse en entornos en los que diversas entidades
generan información para objetos o entidades se una seguridad superior,
y que no pueden conocer el contenido global de esta información.
El modelo Bilba:
Es igual al anterior con la particularidad de que se orienta a preservar la integridad más que la confidencialidad. Esto se lleva a cabo permitiendo solo la escritura hacia abajo, es decir, se asegura que las entidades solo puedan escribir en objetos con nivel de seguridad igual o inferior al suyo. De esta forma se evita que una entidad altere objetos con clasificaciones superiores, y por tanto se impide la violación de la integridad. Sin embargo este modelo permite la lectura de objetos con clasificaciones igual o superior a la de la entidad, lo que puede llevar a cabo la violación de la confidencialidad. La solución proviene de la adecuada combinación de ambos modelos en un mismo sistema. Su implementación puede resultar algo más compleja al tenerse que definir todas las posibles relaciones; pero el grado de seguridad será mucho mayor.
El modelo Lattice:
Es el que utilizan el gobierno y el ejército de los Estados Unidos. Se basa en una política de control de acceso imperativa. Este método utiliza una jerarquía de niveles de seguridad (llamados compartimentos) asociada a una clasificación de seguridad para los objetos (ver Figura 4). Cada objeto tiene asignada una clasificación de seguridad que está en uno o más compartimentos, y ambos son comprobados por el control de acceso del sistema imperativo. Para acceder a un objeto, una entidad debe pertenecer a todas los compartimentos a los que pertenece ese objeto, y debe tener asignado un nivel de seguridad igual o superior al del objeto. En el ejemplo solo una entidad clasificada como secreta o muy secreta, y que pertenezca al menos a los compartimentos F, G y H podrá acceder al objeto 2.
Este modelo proporciona un elevado grado de seguridad aunque su implementación requiere un estudio detallado de los requisitos de seguridad y un seguimiento continuado de la clasificación de los objetos.
Restricciones o protección de acceso, cuentas de usuarios
El objetivo es proteger la Base de Datos contra accesos no autorizados. Se llama también privacidad.
INCLUYE ASPECTOS DE:
Aspectos legales, sociales y éticos
Políticas de la empresa, niveles de información publica y privada
Controles de tipo físico, acceso a las instalaciones
Identificación de usuarios: voz, retina del ojo, etc.
Controles de sistema operativo
En relación al SGBD, debe mantener información de los usuarios, su tipo y los accesos y operaciones permitidas a éstos.
TIPOS DE USUARIOS:
· DBA, están permitidas todas las operaciones, conceder privilegios y establecer usuarios
Usuario con derecho a crear, borrar y modificar objetos y que además puede conceder privilegios a otros usuarios sobre los objetos que ha creado.
Usuario con derecho a consultar, o actualizar, y sin derecho a crear o borrar objetos.
Privilegios sobre los objetos, añadir nuevos campos, indexar, alterar la estructura de los objetos, etc.
Los SGBD tienen opciones que permiten manejar la seguridad, tal como GRANT, REVOKE, etc. También tienen un archivo de auditoria en donde se registran las operaciones que realizan los usuarios.
MEDIDAS DE SEGURIDAD
Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc
Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.
SO: Seguridad a nivel de SO
SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.
Un SMBD cuenta con un subsistema de seguridad y autorización que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de códigos de acceso y palabras claves, exámenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc
Autorización: usar derechos de acceso dados por el terminal, por la operación que puede realizar o por la hora del día.
Uso de técnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet.
Diferentes tipos de cuentas: en especial del ABD con permisos para: creación de cuentas, concesión y revocación de privilegios y asignación de los niveles de seguridad.
Manejo de la tabla de usuarios con código y contraseña, control de las operaciones efectuadas en cada sesión de trabajo por cada usuario y anotadas en la bitácora, lo cual facilita la auditoría de la Base de Datos.
Discrecional: Se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificación).
El ABD asigna el propietario de un esquema, quien puede otorgar o revocar privilegios a otros usuarios en la forma de consulta (select), modificación o referencias. A través del uso de la instrucción grant option se pueden propagar los privilegios en forma horizontal o vertical.
Ejemplo: grant select on Empleado to códigoUsuario
revoke select on Empleado from códigoUsuario
Obligatoria: sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.
El problema de la seguridad consiste en lograr que los recursos de un sistema sean, bajo toda circunstancia, utilizados para los fines previstos. Para eso se utilizan mecanismos de protección.
Los sistemas operativos proveen algunos mecanismos de protección para poder implementar políticas de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración), y los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra. Los mismos mecanismos, si son flexibles, pueden usarse para implementar distintas políticas.
Un aspecto importante de la seguridad es el de impedir la pérdida de información, la cual puede producirse por diversas causas: fenómenos naturales, guerras, errores de hardware o de software, o errores humanos. La solución es una sola: mantener la información respaldada, de preferencia en un lugar lejano.
Otro aspecto importante de la seguridad, es el que tiene que ver con el uso no autorizado de los recursos:
Lectura de datos.
Modificación de datos.
Destrucción de datos.
Uso de recursos: ciclos de CPU, impresora, almacenamiento.
Principios básicos para la seguridad
Suponer que el diseño del sistema es público.
El defecto debe ser: sin acceso.
Chequear permanentemente.
Los mecanismos de protección deben ser simples, uniformes y construidos en las capas más básicas del sistema.
Los mecanismos deben ser aceptados sicológicamente por los usuarios.
SEGURIDAD: Fallos lógicos o físicos que destruyan los datos.
– Evitar pérdidas de datos por fallos hardware o software (fallo disco, etc.). Normalmente suelen ser fallos de disco o pérdida de memoria RAM.
– Aparte del punto de vista de los SGBD, intervienen otros niveles (ej: discos replicados, etc.)
– A pesar de estos posibles fallos la base de datos debe quedar siempre en un estado consistente.
El concepto de seguridad, según Date (1992), se puede entender como la protección de los datos contra acceso, alteración o destrucción no autorizados.
LAS TRES PRINCIPALES CARACTERÍSTICAS DE LA SEGURIDAD
Que se deben mantener en una base de datos son la confidencialidad, la integridad y la disponibilidad de la información. – Los datos contenidos en una Base de Datos pueden ser individuales o de una Organización. Sean de un tipo o de otro, a no ser que su propietario lo autorice, no deben ser desvelados. Si esta revelación es autorizada por dicho propietario la confidencialidad se mantiene. Es decir, asegurar la confidencialidad significa prevenir/ detectar/ impedir la revelación impropia de la información.
LA SEGURIDAD (FIABILIDAD) DEL SISTEMA
El concepto de Seguridad lo medimos en:
La protección del sistema frente a ataques externos.
La protección frente a caídas o fallos en el software o en el equipo.
La protección frente a manipulación por parte del administrador.
Puesto que trabajamos con un sistema que utiliza una serie de bases de datos, y dado que dicha base de datos está sujeta a una serie de requerimientos legales en base a la LORTAD, estos puntos son de obligado cumplimiento. Especialmente severa es la LORTAD en cuanto al papel y actuación del responsable del sistema y las sanciones por incumplimiento de las normas establecidas. Entre estas, podemos citar la obligatoriedad de existencia de protocolos de actuación, sistemas de encriptación, mecanismos de backup y recuperación, registro de incidencias, etc. Todo esto está reglamentado y documentado en los en los reglamentos de aplicación de la LORTAD, y su correcta aplicación permiten confiar -hasta cierto punto- en el administrador. Realmente haría falta una "Autoridad de emisión de consultas", al igual que existe una "Autoridad de emisión de certificados digitales"
La seguridad de los datos se refiere a la protección de estos contra el acceso por parte de las personas no autorizadas y contra su indebida destrucción o alteración.
El analista de sistemas que se hace responsable de la seguridad debe estar familiarizado con todas las particularidades del sistema, porque este puede ser atacado con fines ilícitos desde muchos ángulos. A veces se presta mucha atención a alguno de los aspectos del problema mientras se descuidan otros.
Los siguientes siete requisitos son esenciales para la seguridad de la base de datos:
La base de datos debe ser protegida contra el fuego, el robo y otras formas de destrucción.
Los datos deben ser reconstruibles, porque por muchas precauciones que se tomen, siempre ocurren accidentes.
Los datos deben poder ser sometidos a procesos de auditoria. La falta de auditoria en los sistemas de computación ha permitido la comisión de grandes delitos.
El sistema debe diseñarse a prueba de intromisiones. Los programadores, por ingeniosos que sean, no deben poder pasar por alto los controles.
Ningún sistema puede evitar de manera absoluta las intromisiones malintencionadas, pero es posible hacer que resulte muy difícil eludir los controles. El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier acción indebida o errónea.
SERVICIOS DE SEGURIDAD
Existen varios servicios y tecnologías relacionadas con la seguridad. Accede a cada una de ellas para conocer qué tecnologías son las más interesantes:
Autenticación: Se examinan las capacidades de logon único a la red, autenticación y seguridad. Además, se proporciona información sobre el interfaz Security Support Provider Interface (SSPI) para obtener servicios de seguridad integrados del sistema operativo. Kerberos es el protocolo por defecto en Windows 2000 para autenticación en red.
Sistema de Archivos Encriptado: El Sistema de Archivos Encriptado (Encrypted File System – EFS) proporciona la tecnología principal de encriptación de archivos para almacenar archivos del sistema de archivos NTFS de Windows NT encriptados en disco.
Seguridad IP: Windows IP Security, del Internet Engineering Task Force, proporciona a los administradores de redes un elemento estratégico de defensa para la protección de sus redes.
Servicios de seguridad en Windows 2000: se examinan los procedimientos relacionados con la gestión de cuentas, autenticación de red a nivel corporativo, así como el Editor de Políticas de Seguridad.
Tarjetas Inteligentes: se examinan los procesos de autenticación utilizando tarjetas inteligentes y los protocolos, servicios y especificaciones asociadas.
Tecnologías de Clave Pública: se revisa la infraestructura de clave pública incluida en los sistemas operativos de Microsoft y se proporciona información sobre criptografía.
Un SMBD cuenta con un subsistema de seguridad y autorización que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de códigos de acceso y palabras claves, exámenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc.
Autorización: usar derechos de acceso dados por el terminal, por la operación que puede realizar o por la hora del día.
Uso de técnicas de cifrado: para proteger datos en BD distribuidas o con acceso por red o internet.
Diferentes tipos de cuentas: en especial la del ABD con permisos para: creación de cuentas, concesión y revocación de privilegios y asignación de los niveles de seguridad.
Manejo de la tabla de usuarios con código y contraseña, control de las operaciones efectuadas en cada sesión de trabajo por cada usuario y anotadas en la bitácora, lo cual facilita la auditoría de la BD.
Discrecional: se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificación).
El ABD asigna el propietario de un esquema, quien puede otorgar o revocar privilegios a otros usuarios en la forma de consulta (select), modificación o referencias. A través del uso de la instrucción grant option se pueden propagar los privilegios en forma horizontal o vertical.
Ejemplo: grant select on Empleado to códigoUsuario
revoke select on Empleado from códigoUsuario.
Obligatoria: sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.
Problemas de seguridad.
La información de toda empresa es importante, aunque unos datos lo son más que otros, por tal motivo se debe considerar el control de acceso a los mismos, no todos los usuarios pueden visualizar alguna información, por tal motivo para que un sistema de base de datos sea confiable debe mantener un grado de seguridad que garantice la autenticación y protección de los datos. En un banco por ejemplo, el personal de nóminas sólo necesita ver la parte de la base de datos que tiene información acerca de los distintos empleados del banco y no a otro tipo de información.
4.2 Identificación y autentificación
En un SGBD existen diversos elementos que ayudan a controlar el acceso a los datos.
En primer lugar el sistema debe identificar y autentificar a los usuarios utilizando alguno de las siguientes formas:
Código y contraseña
Identificación por hardware
Características bioantropométricas
Conocimiento, aptitudes y hábitos del usuario
Información predefinida (Aficiones, cultura, etc)
Además, el administrador deberá especificar los privilegios que un usuario tiene sobre los objetos:
Usar una B.D.
Consultar ciertos datos
Actualizar datos
Crear o actualizar objetos
Ejecutar procedimientos almacenados
Referenciar objetos
Indexar objetos
Crear identificadores
Mecanismos de autentificación
La autentificación, que consiste en identificar a los usuarios que entran al sistema, se puede basar en posesión (llave o tarjeta), conocimiento (clave) o en un atributo del usuario (huella digital).
Claves
El mecanismo de autentificación más ampliamente usado se basa en el uso de claves o passwords; es fácil de entender y fácil de implementar. En UNIX, existe un archivo /etc/passwd donde se guarda los nombres de usuarios y sus claves, cifradas mediante una función one-way F. El programa login pide nombre y clave, computa F(clave), y busca el par (nombre, F(clave)) en el archivo.
Con claves de 7 caracteres tomados al azar de entre los 95 caracteres ASCII que se pueden digitar con cualquier teclado, entonces las 957 posibles claves deberían desincentivar cualquier intento por adivinarla. Sin embargo, una proporción demasiado grande de las claves escogidas por los usuarios son fáciles de adivinar, pues la idea es que sean también fáciles de recordar. La clave también se puede descubrir mirando (o filmando) cuando el usuario la digita, o si el usuario hace login remoto, interviniendo la red y observando todos los paquetes que pasan por ella. Por último, además de que las claves se pueden descubrir, éstas también se pueden "compartir", violando las reglas de seguridad.
En definitiva, el sistema no tiene ninguna garantía de que quien hizo login es realmente el usuario que se supone que es.
Identificación física
Un enfoque diferente es usar un elemento físico difícil de copiar, típicamente una tarjeta con una banda magnética. Para mayor seguridad este enfoque se suele combinar con una clave (como es el caso de los cajeros automáticos). Otra posibilidad es medir características físicas particulares del sujeto: huella digital, patrón de vasos sanguíneos de la retina, longitud de los dedos. Incluso la firma sirve.
Algunas medidas básicas:
Demorar la respuesta ante claves erróneas; aumentar la demora cada vez. Alertar si hay demasiados intentos.
Registrar todas las entradas. Cada vez que un usuario entra, chequear cuándo y desde dónde entró la vez anterior.
Hacer chequeos periódicos de claves fáciles de adivinar, procesos que llevan demasiado tiempo corriendo, permisos erróneos, actividades extrañas (por ejemplo cuando usuario está de vacaciones).
Un SMBD cuenta con un subsistema de seguridad y autorización que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de códigos de acceso y palabras
claves, exámenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc.
Autorización: usar derechos de acceso dados por el terminal, por la operación que puede realizar o por la hora del día.
Uso de técnicas de cifrado: para proteger datos en BD distribuidas o con acceso por red o internet.
Diferentes tipos de cuentas: en especial la del ABD con permisos para: creación de cuentas, concesión y revocación de privilegios y asignación de los niveles de seguridad.
Manejo de la tabla de usuarios con código y contraseña, control de las operaciones efectuadas en cada sesión de trabajo por cada usuario y anotadas en la bitácora, lo cual facilita la auditoría de la BD.
Discrecional: se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificación).
El ABD asigna el propietario de un esquema, quien puede otorgar o revocar privilegios a otros usuarios en la forma de consulta (select), modificación o referencias. A través del uso de la instrucción grant option se pueden propagar los privilegios en forma horizontal o vertical.
Ejemplo: grant select on Empleado to códigoUsuario
revoke select on Empleado from códigoUsuario
Obligatoria: sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.
Llamamos autentificación a la comprobación de la identidad de una persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para la autentificación de servidores, de mensajes y de remitentes y destinatarios de mensajes. Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en máquinas clientes y cualquiera que tenga acceso a estas máquinas puede utilizar las claves que tenga instaladas y suplantar la identidad de su legítimo usuario.
Por tanto es necesario que los usuarios adopten medidas de seguridad y utilicen los medios de autentificación de usuario de los que disponen sus ordenadores personales. Hay tres sistemas de identificación de usuario, mediante contraseña, mediante dispositivo y mediante dispositivo biométrico.
La autentificación mediante contraseña es el sistema más común ya que viene incorporado en los sistemas operativos modernos de todos los ordenadores. Los ordenadores que estén preparados para la autentificación mediante dispositivo sólo reconocerán al usuario mientras mantenga introducida una "llave", normalmente una tarjeta con chip. Hay sistemas de generación de claves asimétricas que introducen la clave privada en el chip de una tarjeta inteligente.
Los dispositivos biométricos son un caso especial del anterior, en los que la "llave" es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris. Existen ya en el mercado a precios relativamente económicos ratones que llevan incorporado un lector de huellas dactilares.
Control de acceso.- La seguridad de las Bases de Datos se concreta mediante mecanismos, tanto "hardware" como "software". Así estos mecanismos son: – El primero se denomina identificación, que procede a identificar a los sujetos (procesos, normalmente transacciones que actúan en su nombre o usuarios) que pretenden acceder a la base de datos. – El siguiente mecanismo que actúa es el de autenticación. El proceso usual es mediante contraseñas, constituidas por un conjunto de caracteres alfanuméricos y especiales que sólo el sujeto conoce. También se puede realizar mediante algún dispositivo en poder del mismo o alguna de sus características bioantropométricas. – En caso de que el sujeto sea positivamente identificado y autenticado, se debe controlar el acceso que pretende a los objetos (datos y recursos accedidos por los sujetos. Por ejemplo, si se considera un SGBD relacional los recursos que deben protegerse son las relaciones, vistas y atributos).
Concepción y revocación de privilegios
Desde los orígenes del tiempo (informático) se ha tratado de controlar el acceso a los recursos de información. La tecnología utilizada para este control de accesos ha evolucionado con los propios sistemas de información protegidos. En este artículo se pretende contemplar en una perspectiva histórica el problema de la autorización, contemplando su pasado, su presente y, de manera especial, su futuro, que indudablemente estará ligado con las nuevas tecnologías de clave pública, actualmente tan en boga en este microcosmos de la seguridad.
La autenticación pretende establecer quién eres. La autorización (o control de accesos) establece qué puedes hacer con el sistema. Ambos conceptos parecen ir ligados de forma indisoluble, pero no siempre. La posesión de la llave de mi coche le parece autoridad suficiente para dejarse conducir, incluso por un individuo cuyo pasaporte poco tiene que ver con el mío. Estos dos conceptos, que a menudo se mezclan de manera difusa, son completamente independientes. Sin embargo, especialmente cuando se accede a un recurso de información vía red, sin protección física, existen tres actividades que irán siempre ligadas: La autenticación (quién soy), la autorización (qué puedo hacer) y el registro de auditoría (qué he hecho).
En un mundo cada vez más dependiente de las redes, es vital no sólo proteger el acceso a los recursos por los 'malos', sino también evitar una manipulación accidental con fatales consecuencias. Un ejemplo en boga: la protección de los ficheros de datos personales, objeto del reciente Reglamento de la LORTAD.
Existen tradicionalmente dos tipos básicos de controles de acceso con filosofías diametralmente opuestas:
* En el modelo de control de acceso discrecional (DAC), un usuario bien identificado (típicamente, el creador o 'propietario' del recurso) decide cómo protegerlo estableciendo cómo compartirlo, mediante controles de acceso impuestos por el sistema. Este es el modelo habitual en buena parte de los sistemas operativos más habituales. Lo esencial es que el propietario del recurso puede cederlo a un tercero.
En sus inicios estos sistemas eran excesivamente simples, al permitir un conjunto limitado de operaciones posibles sobre un recurso (rwx por propietario, grupo o resto de usuarios, como en Unix), si bien pronto se añadieron las famosas listas de control de accesos (ACLs), listas de usuarios y grupos con sus permisos específicos. Las ACLs permiten un nivel de granularidad que, en ocasiones, es inconveniente, por cuanto complica la administración de la seguridad.
* En el modelo de control de acceso mandatorio (MAC), es el sistema quién protege los recursos. Todo recurso del sistema, y todo principal (usuario o entidad del sistema que represente a un usuario) tiene una etiqueta de seguridad. Esta etiqueta de seguridad sigue el modelo de clasificación de la información militar, en donde la confidencialidad de la información es lo más relevante, formando lo que se conoce como política de seguridad multinivel. Una etiqueta de seguridad se compone de una clasificación o nivel de seguridad (número en un rango, o un conjunto de clasificaciones discretas, desde DESCLASIFICADO hasta ALTO SECRETO) y una o más categorías o compartimentos de seguridad (CONTABILIDAD, VENTAS, I+D…). En este tipo de sistemas, todas las decisiones de seguridad las impone el sistema, comparando las etiquetas del accesor frente al recurso accedido, siguiendo un modelo matemático (Bell-LaPadula, 1973). Los criterios de seguridad TCSEC correspondientes al nivel de seguridad B1 o superior incluyen este modelo.
El modelo DAC se ha venido usando profusamente en sistemas operativos de propósito general con clasificación de seguridad TCSEC C1 o superior, y en virtualmente todos los sistemas de bases de datos, aplicativos, y sistemas de comunicaciones de propósito comercial. El modelo MAC no ha salido habitualmente del entorno militar, donde la clasificación de la información es lo más relevante.
Los modelos DAC y MAC son inadecuados para cubrir las necesidades de la mayor parte de las organizaciones. El modelo DAC es demasiado débil para controlar el acceso a los recursos de información de forma efectiva, en tanto que el MAC es demasiado rígido. Desde los 80 se ha propuesto el modelo de control de accesos basado en roles (RBAC), como intento de unificar los modelos clásicos DAC y MAC, consiguiendo un sistema donde el sistema impone el control de accesos, pero sin las restricciones rígidas impuestas por las etiquetas de seguridad.
Básicamente, un rol establece un nivel de indirección entre los usuarios y los derechos de acceso, a través de un par de relaciones: asignación de roles a usuarios, y asignación de permisos y privilegios a roles. Las políticas de control de accesos basado en roles regulan el acceso de los usuarios a la información en términos de sus actividades y funciones de trabajo, representándose así de forma natural la estructura de las organizaciones.
Uno de los problemas más acuciantes en la gestión de grandes sistemas de información heterogéneos es la complejidad de la administración de seguridad. La aproximación RBAC, intuitivamente, modela de forma natural la estructura de autorización en las organizaciones del mundo real, facilitando las tareas administrativas al separar la asignación de individuos a funciones o perfiles de trabajo, y la definición de políticas de acceso (definición de roles en términos de lo que pueden hacer en el sistema). Permiten asimismo la construcción jerárquica de estas políticas de acceso, por herencia o especialización. Así, la política de control de accesos para un supervisor de planta puede ser una especialización de la del operador de planta. Por ello, la tecnología RBAC tiene el potencial de reducir la complejidad y el coste de la administración de seguridad en estos entornos heterogéneos.
Además, dada la alta integración entre los roles y las responsabilidades de los usuarios, pueden seguirse los principios del mínimo privilegio y de la separación de responsabilidades. Estos principios son vitales para alcanzar el objetivo de integridad, al requerir que a un usuario no se le otorguen mayores privilegios que los necesarios para efectuar su trabajo, y que para completar una transacción de cierta seguridad (por ejemplo, la autorización de un pago) se requiera la culminación de una cadena de transacciones simples por más de un usuario.
El modelo RBAC es hoy día ubicuo: desde sistemas de base de datos relacionales, pasando por sistemas operativos de red, cortafuegos, productos de seguridad mainframe y entornos abiertos, sistemas de Sign-On único y de seguridad web…
La industria ha venido usando otros modelos de control de accesos, como complemento de estos tres básicos, como el modelo de capacidades, en donde parte de las decisiones de autorización se toman a partir de 'capacidades', 'derechos efectivos' o atributos de privilegio, contenidos en las credenciales que un usuario adquiere durante la autenticación. DCE, por ejemplo, incorpora este modelo en su servicio de seguridad. A menudo estos atributos de autorización se integran en un objeto conocido como 'Certificado de Atributos de Privilegio' (PAC, por sus siglas en inglés). Un PAC es como una acreditación de visitante: Se obtiene tras prueba de identidad, está emitida por una autoridad en la que se confía, no identifica al individuo pero sí lo categoriza (e.g. 'Visitante'), es de duración limitada, y no encierra en sí mismo información de privilegios o permisos (qué puertas puedo franquear, por ejemplo).
Propagación de privilegios Grand option
Concede permisos sobre un elemento protegible a una entidad de seguridad. El concepto general es GRANT ON TO .
SINTAXIS
Simplified syntax for GRANT
GRANT { ALL [ PRIVILEGES ] }
| permission [ ( column [ ,…n ] ) ] [ ,…n ]
[ ON [ class :: ] securable ] TO principal [ ,…n ]
[ WITH GRANT OPTION ] [ AS principal ]
La sintaxis completa de la instrucción GRANT es compleja. El diagrama de sintaxis anterior se ha simplificado para concentrar la atención en su estructura. La sintaxis completa para conceder permisos para elementos protegibles específicos se describe en los temas enumerados a continuación.
Se puede utilizar la instrucción REVOKE para retirar permisos concedidos y la instrucción DENY para evitar que una entidad de seguridad obtenga un permiso específico mediante una instrucción GRANT.
La concesión de un permiso quita DENY o REVOKE de ese permiso para el elemento protegible especificado. Si se deniega el mismo permiso en un ámbito superior que contiene el elemento protegible, DENY tiene prioridad. No obstante, revocar el permiso concedido en un ámbito superior no tiene prioridad.
Los permisos de nivel de base de datos se conceden en el ámbito de la base de datos especificada. Si un usuario necesita permisos para objetos de otra base de datos, cree la cuenta del usuario en la otra base de datos o conceda a la cuenta del usuario acceso a la otra base de datos y a la base de datos actual.
Autor:
T.S.U Manuela Varela
Enviado por:
Alexa
Sección: IN4A
REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL POPDER POPULAR PARA LA EDUCACION UNIVERSITARIA
INSTITUTO UNIVERSITARIO DE TECNOLOGIA AGRO-INDUSTRIAL
EL PIÑAL, ZONA SUR – ESTADO TACHIRA
PNF INFORMATICA
El Piñal, Febrero, 2013
 Página anterior | Volver al principio del trabajo | Página siguiente  |