Mecanismos De Seguridad Oracle

Mecanismos de seguridad

El sistema de base de datos ORACLE provee control de acceso discrecional, el cual es un medio de restricción de acceso basado en privilegios. Para que un usuario pueda acceder a un objeto, se le deben otorgar los privilegios apropiados. Los usuarios con los privilegios adecuados pueden otorgar privilegios a otros usuarios a su criterio. Por esta razón, este tipo de seguridad es llamada "discrecional".

Oracle administra la seguridad de la base de datos utilizando diferentes servicios o facilidades:

• Usuarios y esquemas

• Privilegios

• Roles

• Configuración del almacenamiento y quotas

• Límites a los recursos

• Monitoreo

2.1 - Usuarios y esquemas

Cada base de datos tiene una lista de nombres de usuarios. Para acceder a la base de datos, un usuario debe usar una aplicación e intentar entablar una conexión con un nombre de usuario válido de la base de datos. Cada usuario tiene una clave de acceso asociada para prevenir el uso no autorizado.

1. Dominio de Seguridad

Cada usuario tiene un dominio de seguridad, un conjunto de propiedades que determinan factores como:

• Acciones (privilegios y roles) disponibles para el usuario.

• Límites de espacio en el Tablespace para los usuarios.

• Límites de utilización de los recursos del sistema para los usuarios.

2.2 - Privilegios

Un privilegio es un permiso para ejecutar un tipo particular se sentencias SQL.

Los privilegios de una base de datos ORACLE pueden ser divididos en dos categorías distintas: Privilegios de sistema y Privilegios de objetos.

2.2.1 Privilegios de sistema

Los Privilegios de sistema permiten a los usuarios desempeñar una acción particular dentro del sistema o una acción particular sobre un tipo determinado de objeto. Por ejemplo, el privilegio para crear un tablespace o para borrar filas de una tabla en la base de datos son privilegios de sistema. Muchos privilegios de sistema están disponibles solamente para administradores y desarrolladores de aplicaciones porque estos privilegios son muy poderosos.

2.2.2 Privilegios de objetos

Los privilegios de objetos permiten a los usuarios desempeñar acciones sobre un esquema específico. Por ejemplo, el privilegio para borrar filas de una tabla específica es un privilegio de objetos. Los privilegios de objetos son asignados a usuarios finales, entonces ellos pueden usar una aplicación de la base de datos para llevar a cabo tareas específicas.

2.2.3 Asignar privilegios

Un usuario puede recibir un privilegio de dos formas distintas:

• Los privilegios pueden ser asignados a los usuarios explícitamente.

• Los privilegios pueden ser asignados a roles (grupo de privilegios), y después el rol puede ser signado a uno o más usuarios.

Debido a que los roles permiten una mejor y más fácil administración de los privilegios, éstos normalmente son asignados a roles y no a usuarios específicos.

2.3 - Roles

ORACLE provee los roles para una administración más fácil y controlada de los privilegios. Los roles son un grupo con nombre de privilegios, que son asignados a usuarios o a otros roles. Las siguientes propiedades de los roles permiten administrar los privilegios de una manera más fácil:

• Reducida asignación de privilegios: En lugar de otorgar explícitamente el mismo conjunto de privilegios a muchos usuarios el administradorde la base de datos puede asignar los privilegios a un rol y éste a un grupo de usuarios.

• Administración dinámica de los privilegios: Cuando los privilegios de un grupo deben cambiar, sólo los privilegios del rol necesitan ser modificados. Los dominios de seguridad de todos los usuarios a los que asignó dicho rol, reflejarán automáticamente los cambios hechos en el rol.

• Selectiva disponibilidad de los privilegios: Los roles asignados a los usuarios pueden ser selectivamente activados o desactivados. Esto permite control específico de los privilegios de los usuarios en cualquier situación.

• Consciencia de aplicación: Una aplicación de la base de datos puede ser diseñada para habilitar o inhabilitar roles automáticamente cuando un usuario intenta usar la aplicación.

2.4 - Configuración del almacenamiento y quotas

ORACLE provee medios para limitar el uso del espacio de disco asignado a la base de datos, de acuerdo a cada usuario; incluyendo los default tablespaces, temporary tablespaces y los tablespaces quotas.

1. Cada usuario es asociado a un default tablespace. Cuando un usuario crea una tabla, índice, o cluster y no se especifica ningún tablespace que contenga físicamente al objeto, el default tablespace es utilizado si el usuario tiene privilegio para crear el objeto.

2. Default Tablespace

Cada usuario tiene un temporary tablespace. Cuando un usuario ejecuta una sentencia SQL que requiere la creación de objetos temporarios (por ejemplo un índice), se usa el temporary tablespace del usuario.

3. Temporay Tablespace

4. Tablespace Quotas

ORACLE puede limitar el espacio disponible de disco colectivo. Las quotas (límites de espacio) pueden ser configuradas para cada tablespace disponible para un usuario. Las tablespace quotas permiten un control selectivo sobre el espacio en disco que es consumido por cada objeto de cada esquema.

2.5 - Límites a los recursos

A cada usuario le es asignado un perfil que especifica las limitaciones sobre varios recursos del sistema disponibles para el usuario, incluyendo:

• El número de sesiones concurrentes que el usuario puede establecer

• El tiempo de CPU:

- disponible para la sesión del usuario

• disponible para una simple llamada a ORACLE realizada por una sentencia

...