Universidad Central de Venezuela

Facultad de Ciencias
Escuela de Computacin

DICCIONARIO/DIRECTORIO Y
SEGURIDAD DE DATOS
Mara Gertrudis Lpez

Centro de investigacin en Sistemas de Informacin

CISI.

INDICE
INDICE ______________________________________________________________ 2
5.

Diccionario / directorio de Datos (D/D) [10] _____________________________ 3

5.1.

Sistema Diccionario / directorio (Sistema D/D) ______________________ 3

5.2.

Objetivos del Sistema D/D _______________________________________ 3

5.3.

Beneficios de un Sistema D/D_____________________________________ 3

5.4.

Clasificacin de los Sistemas D/D _________________________________ 4

5.5.

Componentes funcionales de un Sistema D/D _______________________ 5

5.6.
Casos de Estudio [12]___________________________________________ 6
5.6.1.
Oracle ____________________________________________________ 6
6.

Seguridad [11] _____________________________________________________ 7

6.1.

Conceptos bsicos ______________________________________________ 7

6.2.
Polticas de seguridad de base de datos_____________________________
6.2.1.
Polticas sobre la administracin de seguridad _____________________
6.2.2.
Polticas para la especificacin del control del acceso ______________
6.2.3.
Polticas de control de flujo de la informacin _____________________
6.2.4.
Polticas para asegurar el control _______________________________

7
7
8
9
9

6.3.
Modelos de seguridad de base de datos_____________________________ 9
6.3.1.
Modelo bsico para el control de acceso de base de datos ____________ 9
6.3.2.
Extensiones al Modelo Bsico ________________________________ 10
6.3.3.
Modelo Multinivel _________________________________________ 11
6.3.4.
Un Modelo de Flujo de Informacin ___________________________ 11
6.3.5.
Comparacin de Modelos ____________________________________ 12
6.4.
Casos de Estudio [12]__________________________________________ 12
6.4.1.
Oracle ___________________________________________________ 12
7.

REFERENCIAS BIBLIOGRAFICAS _________________________________ 14

5. Diccionario / directorio de Datos (D/D) [10]

Es el lugar donde se encuentra la informacin acerca de la definicin de los datos de una
organizacin tales como caractersticas de identificacin, relaciones existentes, autorizaciones,
etc.
El diccionario de datos almacena informacin sobre los datos relativos al origen de stos,
descripcin, relacin con otros datos, uso, responsabilidad y formato. Es la misma BD que
almacena datos sobre los datos. El diccionario de datos es una gua y contiene el mapa de la
ruta hacia la BD.

Diccionario

Directorio

Significado de los datos

Describe los atributos fsicos de los datos
Aspecto lgico de los datos
Dnde esta almacenado el dato?
Qu datos estn almacenados en el sistema y Cmo puede ser obtenido?
que significan?
Usuarios humanos
Usuario = Componentes del sistema que se
encargan de proveer acceso a los datos
almacenados
El D/D contiene meta datos (datos acerca de los datos).

5.1. Sistema Diccionario / directorio (Sistema D/D)

Es un sistema automatizado compuesto de:

Una base de datos llamada D/D.
Procesos que generan consultas acerca de los meta datos.
Herramientas que ayudan a garantizar la seguridad, integridad, validez y acceso compartido
a los datos del D/D.
Interfaces de software que permiten a otros sistemas extraer o actualizar informacin del
D/D.

5.2. Objetivos del Sistema D/D

1. Coleccionar datos: Sirve como punto de control central para la descripcin y especificacin
de los datos. Sirve como fuente generadora de informacin actualizada y confiable de
cualquier entidad de datos.
El primer paso en el diseo de una BD es recabar informacin sobre la empresa, esto es,
acerca del uso, relaciones y significado de los datos. Al avanzar el proceso de diseo es
necesario almacenar informacin sobre los modelos conceptual, lgico, interno y externo, en
un lugar central. La herramienta que da la posibilidad de controlar y manejar la informacin
sobre los datos en las fases de diseo, implantacin, operacin y expansin de una BD es
llamado D/D.
2. Apoyar el anlisis de datos: Provee a los analistas y diseadores de un mecanismo para
detectar inconsistencias y redundancias en las entidades de datos.
El diseador y el usuario deben estar convencidos de que cuando usan un trmino se
refieren a lo mismo. El objetivo bsico de un diccionario de datos es ayudar a establecer
una comunicacin efectiva entre el diseador y los usuarios y entre usuarios.
3. Documentar datos: Produce y maneja informacin de definicin y significado de los datos, lo
cual sirve de documentacin. Puesto que la BD sirve a varios usuarios, es vital que cada
uno de ellos entienda precisamente que son los datos y que significan.
4. Estandarizar datos: Mediante el sistema D/D se establecen estndares de uso,
representacin y responsabilidad de los datos.

5.3. Beneficios de un Sistema D/D

1. Permite documentar datos y programas: Los costos de desarrollo son menores debido a la
mejor documentacin de las especificaciones y al ms claro entendimiento de todo lo

2.

3.

4.

5.

implicado. Asimismo, el mantenimiento de la BD debera ser menos costoso con la ayuda de

un diccionario de datos que en un medio donde se carece de l, debido a la mejor
documentacin, al anlisis ms rpido de los efectos de los cambios propuestos y a la mejor
comunicacin entre el personal de mantenimiento y la gente que solicita los cambios.
Permite conocer las relaciones entre los programas y los elementos de datos. El diccionario
de datos hace ms completa y sistemtica la retencin de la informacin sobre los datos.
Los ahorros con un sistema D/D sern mayores en un medio con un gran nmero de campos
de datos y relaciones.
Permite saber que informacin existe de los elementos de datos y donde se encuentra. El
fcil acceso a una BD como consecuencia del uso de un diccionario de datos, como la fcil
referencia de un libro haciendo uso del ndice, no puede expresarse en $.
Permite saber quienes son los dueos y los usuarios de los datos. Un diccionario de datos
mejora la habilidad de crear registros de la informacin accedida y de las personas que lo
hicieron.
Permite establecer controles de acceso, seguridad y privacidad de la informacin. Debido a
que la informacin sobre la BD y su uso esta localizada centralmente, es ms fcil para los
auditores revisar la BD y su uso.

5.4. Clasificacin de los Sistemas D/D

1. De acuerdo al grado de integracin con el ambiente con el que interacta, un sistema D/D
puede ser:
Activo: Un sistema D/D es activo con respecto a un componente de procesamiento sii
ese componente es completamente dependiente del sistema D/D para obtener sus meta
datos.
Pasivo: Un sistema D/D es pasivo con respecto a un componente de procesamiento sii el
componente de procesamiento no depende del sistema D/D para obtener sus meta
datos. En este caso, el sistema D/D slo registra la meta data de la organizacin.
Potencialmente activo: Es cuando el sistema D/D tiene la capacidad de producir meta
data para un componente de procesamiento, pero ese componente no depende
exclusivamente de esa meta data para funcionar.
En lnea: Es cuando el sistema D/D esta directamente en lnea con todas las funciones
que ejecuta el componente de procesamiento en tiempo de ejecucin.
2. De acuerdo a su complejidad, un sistema D/D puede ser:
Bsico: Almacena los componentes bsicos de los objetos de datos (nombre, cdigo,
definicin, descripcin). Su funcin es listar y mantener la informacin de los elementos
de datos.
Promedio: Almacena la misma informacin que el bsico, pero adems contiene: fuentes
de datos, estructuras de datos, nombre del componente de procesamiento de origen,
etc. La entrada al sistema D/D la puede tener un usuario autorizado como tambin
programas especficos.
Sofisticado: Provee definicin de datos precisas que reducen el tiempo de codificacin
de los programadores. Incluye informacin de descripcin de sistemas, definicin y
descripcin de archivos, asociaciones, generacin de reportes, coleccin y evaluacin de
estadsticas de ejecucin, etc.
3. De acuerdo a su integracin con el SMBD, puede ser:
Independiente: El sistema D/D es autnomo, es decir, las actividades de manipulacin,
organizacin, acceso y control del D/D son ejecutadas por el software del mismo sistema
D/D, por lo que es independiente de cualquier SMBD, y lo que da la capacidad de
interactuar con varios de ellos.
Aplicacin de un SMBD: El D/D es para el SMBD otra BD ms sometida a su control. En
este caso el sistema D/D puede interactuar dinmicamente con el SMBD del cual es
aplicacin y puede interactuar estticamente con otros SMBD que operen bajo el mismo
hardware.

Dependiente o embebido: El D/D es un componente del SMBD. l es la nica fuente de

meta data para el SMBD. Los utilidades del SMBD proveen facilidades de manejo del
D/D y el SMBD usa el D/D para acceder las BD almacenadas.
Ventajas:

Dependiente

Independiente

Las descripciones de los datos no estn

almacenadas redundantemente en un paquete
de diccionario de datos y en el SMBD. Esto
reduce la ocurrencia de errores debido a fallas
en las actualizaciones de los 2 lugares.

Hay menos riesgo al implantar en el SMBD, un

diccionario independiente que uno integrado.
Tambin la implantacin de un diccionario
independiente es ms sencilla, ya que el
diccionario no tiene que ajustarse a las
caractersticas de implantacin de un SMBD.
Un diccionario de datos integrado necesita al
mismo tiempo todas las descripciones de los
datos requeridas para una BD, mientras que
estas descripciones se le pueden proporcionar
por
etapas
al
diccionario
de
datos
independiente.
En un diccionario de datos independiente existe
la opcin de recuperar las descripciones
apropiadas de los datos del diccionario mismo, o
bien
proporcionarle
al
diccionario
las
descripciones.

El diccionario de datos tiene acceso a los datos

de la BD. Un uso potencial del diccionario de
datos puede ser en el rea de seguimiento de
acceso a los datos, al proporcionar estadsticas
valiosas para mejorar el funcionamiento.

Un diccionario de datos puede servir como una

herramienta de control mucho ms poderosa
cuando esta integrada con el SMBD, ya que el
diseador de la BD y los usuarios tendrn que
reforzar el diccionario de datos como una
herramienta para la documentacin y el control
de los datos.
En un diccionario de datos integrado es Un diccionario de datos independiente puede
necesario verificar la exactitud de las requerir o no una verificacin de la actualizacin
descripciones de los datos antes de la ejecucin de las descripciones antes de ejecutar un
de un programa.
programa.
El diccionario de datos es un lugar central de informacin sobre descripciones de los
datos, tales como significado, relaciones con otros datos y responsabilidad de tener los datos
actualizados, as como tener registrados los orgenes. En un medio de BD, la informacin
almacenada en un diccionario de datos es sobre los datos almacenados en la base, mientras
que en un medio ajeno a una BD, la informacin almacenada en un diccionario de datos es sobre
los datos almacenados en archivos de BD. Es necesario instalar software (sw) para crear y
manejar el diccionario de datos de una BD. El sw tambin se conoce como diccionario de datos.
El paquete del diccionario de datos se puede integrar dentro de un SMBD o tratarse
aisladamente.

5.5. Componentes funcionales de un Sistema D/D

Los componentes funcionales
1. Funcin de Mantenimiento: Interpreta los requerimientos de transacciones para aadir,
cambiar o borrar ocurrencias de las entidades del D/D.
2. Funcin de Extensibilidad: Permite que la estructura del D/D pueda ser extendida por la
definicin de entidades, atributos y/o relaciones adicionales. Esta funcin debe incluir
tambin extensibilidad de procesamiento.
3. Funcin de Procesador de Reportes: Provee reportes predefinidos sobre informacin
contenida en el D/D y debe permitir la creacin de nuevos reportes segn las necesidades
de los usuarios.
4. Funcin de Procesador de Consultas: Se usa para recuperar poco volumen de informacin
del D/D utilizando lenguajes de consulta.
5. Funcin de Conversin: Los programas de aplicacin, libreras y esquemas generan las
transacciones de actualizacin que son la entrada de la funcin de mantenimiento,
describiendo la meta data en las fuentes de entrada.

6. Funcin de Interfaz de Software: Permite que el sistema D/D provea meta data a otros
sistemas de software tales como compiladores y procesadores de DDL y a su vez permite a
estos sistemas proporcionar y actualizar informacin al D/D. Tipos de interfaces:
Dinmica: Provee acceso directo de la informacin del D/D a otros mdulos de software
que necesitan esta informacin para su funcionamiento. Permite que un programa de
aplicacin interacte con el D/D al momento de ejecucin. Se usa principalmente
cuando la implementacin del SMBD es en base a interpretacin.
Esttica: Producen archivos, registros y descripciones de BD desde el D/D para los
programas usuarios. En este caso, cada componente de software tiene mecanismos
independientes para disponer de la meta data y tambin del mismo D/D.
7. Funcin de Facilidades de Exit: Permite agregar rutinas nuevas al sistema, como por
ejemplo, rutinas para el manejo de seguridad e integridad.
8. Funcin de manejo de directorio: Lleva a cabo tareas de manejo de BD tales como acceso
interno al D/D, control de concurrencia, manejo de integridad, seguridad, etc.

5.6. Casos de Estudio [12]

5.6.1. Oracle
El diccionario de datos de Oracle contiene descripciones de los objetos en la base de
datos. Incluye dos tipos de objetos:
Tablas bases que almacenan las descripciones de la Base de Datos asociada.
Vistas que resumen y muestran la informacin almacenada en las tablas base.
En general, el diccionario de datos de Oracle es un conjunto de tablas y vistas de solo
lectura que provee informacin sobre las Bases de datos asociadas. Este provee informacin
sobre: estructuras de datos fsicas y lgicas de la base de datos, definiciones y ubicaciones de
los objetos, restricciones de integridad, usuarios, roles, privilegios, informacin de auditoria, etc.
Las vistas del diccionario de datos son divididas en tres categoras, distinguibles por un
prefijo:
DBA: Vista del administrador. Contiene todos los objetos en la Base de datos.
ALL: Vista Expandida del usuario. Contiene los objetos accesibles por el usuario actual.
USER: Vista del usuario. Contiene los objetos que son propiedad del usuario.
A manera de ejemplo se mencionan algunas vistas del diccionario de Oracle:
DBA_TABLES,
DBA_OBJECTS,
DBA_CONSTRAINTS,
DBA_TAB_COLUMNS,
DBA_SEGMENTS,
DBA_EXTENTS,
DBA_FREE_SPACE,
DBA_DATAFILES,
DBA_TABLESPACES, etc.

6. Seguridad [11]
La operacin continua exitosa de una empresa con sus operaciones computarizadas
demanda:
1. Que la dada confidencial est disponible slo para las personas autorizadas, de manera
tal que los requerimientos de privacidad sean satisfechos y los secretos de la empresa
sean guardados.
2. Que la data refleje precisamente el estado de la empresa, esto es, que la data est
protegida contra alteraciones o destrucciones accidentales o premeditadas.
La informacin ha sido reconocida como un recurso con valor econmico para la
empresa y como sucede con otra clase de recursos, la informacin necesita ser protegida y
administrada para maximizar su valor. Sin embargo, en contraste con otros bienes tangibles, el
valor de la informacin es difcil de cuantificar pero usualmente la informacin crtica puede ser
identificada y se pueden tomar medidas contra accesos no autorizados y as asegurar su
precisin y disponibilidad.
Tan importante como el valor econmico de la informacin es la privacidad de los
individuos. El efecto de alterar o revelar informacin de una persona puede ser catastrfico para
ella. Por esto que existen tambin razones legales para que una empresa mantenga la
seguridad e integridad de su informacin.

6.1. Conceptos bsicos

Seguridad de la informacin: es la proteccin de la informacin contra destruccin,
alteracin o revelacin no autorizada.
Seguridad de base de datos: es la proteccin de la informacin mantenida en la base
de datos.
Privacidad: es el derecho que tienen los individuos de controlar la informacin
disponible de ellos mismos.
Autorizacin: es la especificacin de reglas que definen, para un sujeto, que derechos
de acceso tiene sobre que objetos de informacin.
Proteccin: en un ambiente computacional son mecanismos de seguridad que se
refieren a tcnicas que controlan el acceso de usuarios y programas a la data almacenada.
Control de acceso: es el proceso que asegura que la informacin y otros objetos
protegidos sean accesados solamente en formas autorizadas.

6.2. Polticas de seguridad de base de datos

Poltica de seguridad: son lineamientos de alto nivel que tienen que ver con la
seguridad de la informacin. Estas polticas son dictadas por las necesidades de los usuarios, el
ambiente de instalacin, las regulaciones de la institucin y restricciones legales.
Mecanismos de seguridad: son conjuntos de funciones que son usadas para asegurar
e implementar diferentes polticas de seguridad. Las funciones pueden ser implementadas en
hardware, software o a travs de procedimientos administrativos. Los mecanismos de propsito
general son tiles en sistemas que se usan en diferentes ambientes con diferentes polticas de
seguridad, tal y como sucede con los SMBD. Los mecanismos de propsito especial tienen la
ventaja de ser ms simples de implementar y por esto es ms fcil implementarlos
correctamente.
Una poltica de seguridad es de poco valor si se implementa incorrectamente, y esto
puede conllevar dos tipos de errores:
1. Que un acceso sea negado cuando, de acuerdo con la poltica, ha debido ser permitido.
2. Que un acceso sea permitido cuando, de acuerdo con la poltica, ha debido ser
rechazado.

6.2.1. Polticas sobre la administracin de seguridad

Control centralizado vs. control descentralizado

Con control centralizado, un nico autorizado (o grupo) controla todos los aspectos de
seguridad del sistema (por ejemplo, INGRES). En un sistema descentralizado diferentes
administradores controlan diferente porciones de la bd, normalmente siguiendo lineamientos que
aplican sobre la bd completa.
Propietario vs. administrador
El propietario de una bd es algunas veces considerado la persona que es responsable
de crear la data. Por ejemplo, una bd de nmina exclusivamente actualizada por el
departamento de nmina puede ser considerado como poseda por el gerente del departamento
de nmina. Pero, cuando las bd son compartidas es difcil identificar un propietario nico.
Entonces, mientras puede o no existir el concepto de propietario, siempre existe la necesidad de
una funcin de administracin cuyo objetivo es definir la data compartida por los usuarios y
controlar su uso. Esta funcin puede ser realizada por el propietario, si existe, o por un
administrador de bd. La distincin bsica entre estas dos polticas es que mientras al propietario
se le permite cualquier tipo de acceso, el administrador posee slo los derechos de control de la
data.

6.2.2. Polticas para la especificacin del control del acceso

Poltica del menor privilegio

Esta poltica restringe la informacin a aquellas personas que realmente necesitan la
informacin para su trabajo haciendo que todos los usuarios y programas operen con el menor
conjunto de privilegios necesarios para realizar sus funciones.
Mxima comparticin de los datos
La intencin es hacer el mximo uso de la informacin de la bd. Esto no significa que
cada usuario tenga todos los accesos permitidos a toda la informacin ya que se tienen que
cumplir ciertos requerimientos de privacidad y se debe proteger a la data sensitiva.
Sistemas abiertos y cerrados
En un sistema cerrado el acceso es permitido slo explcitamente autorizado. En un
sistema abierto el acceso es permitido a menos que est explcitamente prohibido. Un sistema
cerrado es el soporte bsico de la poltica de menor privilegio mientras que un sistema abierto es
el soporte bsico de la poltica de mximo comparticin.
Control de acceso dependiente del nombre
Como mnimo, se debe poder especificar los objetos de datos que pueden acceder un
usuario (objeto de dato: grupo de ocurrencias de data tems y relaciones que tienen un nombre
conocido por el SMBD). La granularidad de los accesos de los objetos de datos es otra poltica
de decisin. En SMBD relacionales, la granularidad ms fina permitida es a nivel de columnas o
atributos; en CODASYL es el data tem o campo.
Control de acceso dependiente del contenido
La poltica del menor privilegio puede ser extendida an ms especificando reglas de
acceso que hacen referencia al contenido de las ocurrencias (como tambin a los nombres)
proveyendo as una granularidad ms fina de control de acceso.
Tipos de acceso
Consiste en especificar los tipos de acceso que el usuario puede tener sobre los objetos
de datos, tales como READ, UPDATE, INSERT, DELETE alguna combinacin de ellos.
Cuando los usuarios slo necesitan informacin sumarizada o informacin estadstica, la poltica
del menor privilegio requiere que no tengan acceso a los datos base de la informacin. Para
este control de acceso funcional, el concepto de tipos de acceso puede ser extendido para incluir
tipos de acceso funcionales para as poder especificar que un usuario tiene acceso al promedio
de los salarios pero no tiene acceso a los salarios individuales.
Control dependiente del contexto
Una faceta de esta poltica restringe los campos que pueden ser accesados juntos. Por
ejemplo, si se tiene una relacin que contiene los nombres y los sueldos de los empleados juntos
y se quiere evitar que algunos usuarios vean los salarios de los empleados correspondientes, se
puede permitir accesos separados a los nombres y a los salarios, evitando que estos sean
accesados juntos en un mismo requerimiento o en un conjunto especfico de requerimiento (por
ejemplo, en un mismo programa)

Control dependiente de la historia

En general, no es suficiente controlar slo el contexto de los requerimientos inmediatos
si se quiere prevenir que los usuarios hagan ciertas deducciones. Por ejemplo, si la relacin
empleado tambin contiene el nmero de proyecto, un usuario puede listar primero todos los
empleados y los nmeros de proyecto y luego listar los sueldos y los proyectos. Entonces, se
puede hacer una correlacin entre el nombre y los salarios. El prevenir esta clase de
deducciones requiere control de acceso dependiente de la historia, el cual toma en cuenta no
slo el contexto del requerimiento inmediato, sino tambin todos los requerimientos pasados. Se
restringe el acceso actual del usuario debido a los accesos que ya hecho en el pasado.

6.2.3. Polticas de control de flujo de la informacin

Las polticas anteriormente descritas controlan el acceso a la data, pero no controlan
como la usa el programa una vez que ha sido accedida. Este tipo de control es necesario para
prevenir, por ejemplo, la fuga de informacin desde un programa autorizado a uno no autorizado.
Cuando un autorizador puede dar derechos a otros se habla de control de acceso
discrecional. Un enfoque ms simple pero menos flexible es compartamentalizar el uso de la
informacin y seguir una poltica fija donde la data que pertenezca a un comportamiento o
categora no pueda ser accedida por usuarios asignados a otras categoras. Este es un ejemplo
de control de acceso no discrecional. Una extensin de esta poltica es la poltica de control
multinivel donde la informacin adems de pertenecer a categoras, la informacin es clasificada
(de acuerdo a su sensibilidad) en niveles de confidencialidad, por ejemplo, no clasificada,
confidencial, secreta y supersecreta. Los usuarios tambin tienen asignados niveles de
categoras. Se define un nivel de seguridad como un par (nivel, categora) y un nivel del
seguridad se considera que domina a otro si el nivel del primero es mayor o igual que el nivel del
segundo y el conjunto de categoras del primero contiene a las del segundo. La poltica
establece que un usuario puede leer data a menos que el nivel de seguridad del usuario sea
mayor o igual al nivel de seguridad de la data, y que la estructura no cause flujo de informacin
de un nivel ms alto de seguridad a uno ms bajo.

6.2.4. Polticas para asegurar el control

Para esto pueden usarse mecanismos preventivos o mecanismos detectivos. En el caso
de los detectivos, el sistema puede permitir que sean satisfechos pero tambin los va a registrar
en un log. El log puede ser auditado para determinar si un usuario ha violado las polticas de
seguridad y si ese es el caso tomar las medidas necesarias.

6.3. Modelos de seguridad de base de datos

6.3.1. Modelo bsico para el control de acceso de base de datos
Este modelo tiene tres componentes bsicos: un conjunto de objetos, un conjunto de
sujetos y un conjunto de tipos de acceso. Las reglas de autorizacin definen que tipo de acceso
tiene el sujeto para un objeto.
El conjunto de todas las reglas de acceso puede representarse a travs de una matriz de
acceso en donde las columnas representan los objetos a ser protegidos, las filas representan los
sujetos y cada entrada de la matriz contiene una lista de los tipos de acceso permitidos para ese
sujeto sobre ese objeto.
En un modelo relacional los valores posibles del conjunto O pudieran ser los nombres
de todas las relaciones y atributos a proteger. Los sujetos pudieran ser usuarios finales, grupos
de ellos o programas. Los tipos de acceso son operaciones tales como READ, WRITE, ADD,
DELETE, etc.
Las matriz de acceso es capaz de modelar polticas de control de acceso dependiente
del nombre a cualquier nivel de granularidad soportado por el SMBD. Con el objeto de
representar las reglas de acceso dependientes del contenido, el modelo necesita ser extendido
para que la regla de acceso contenga un predicado p. Un predicado es una expresin que define

los miembros de un conjunto. Entonces, se puede representar una regla de acceso por las
tuplas (s, O, t , p), la cual especifica que el sujeto s tiene acceso sobre las ocurrencias de O
para las cuales el predicado p es verdad. A travs del uso de ciertos predicados, ciertos
controles de acceso dependiente del contexto se pueden especificar. Por ejemplo, un predicado
puede enumerar campos que no pueden aparecer juntos en una consulta.
El control de acceso involucra algo ms que slo especificar reglas de acceso. Debe
haber tambin un proceso de validacin que asegure que todos los accesos a la bd estn
autorizados por reglas de acceso. Un posible modelo de validacin se muestra en la siguiente
figura:

Figura 1: Modelo de validacin de acceso

En este modelo todos los requerimientos de acceso son interceptados y pasados al
proceso de validacin en la forma (s, O, t , p). Se asume que la identidad del sujeto s ha sido
autentificada previamente. Si la matriz de acceso contiene una regla con el mismo (s, O, t), se
recupera la data para evaluar el predicado; en otro caso el requerimiento es denegado. Si el
predicado en la regla de acceso se refiere a data tems no incluidos en O, es necesario
chequear que el sujeto tiene derecho de READ sobre esos datas tems. Por ejemplo, una
consulta puede requerir una lista de nombres de empleados que ganen ms de 100.000 Bs. No
es suficiente chequear que tenga derechos sobre los nombres de los empleados, es necesario
chequear que s tenga derechos sobre los salarios, porque de lo contrario no puede acceder la
informacin requerida. Luego, se evala el predicado en la regla, si es falso el requerimiento es
negado, de lo contrario se ejecuta.

6.3.2. Extensiones al Modelo Bsico

Se extiende el modelo bsico introduciendo tres nuevos componentes a la regla de
acceso, que son reglas para validar autorizaciones y requerimientos e interpretaciones
adicionales de sujetos, objetos y predicados.
Tal y como est especificado, el modelo bsico no permite implementar polticas sobre
quienes escribe las reglas de acceso. Una de estas polticas establece que slo el autorizador
puede hacer modificaciones a la regla de acceso. Para este propsito, se le agrega a la regla de
acceso un autorizador que es la persona que escribe la regla. Entonces, la regla queda de la
forma (a, s, O, t, p).
El modelo debe cubrir tambin polticas de delegacin de derechos. Un derecho es la
(O, t, p) de la regla de acceso. A un sujeto s1 que tiene el derecho (O1, t1, p1) se le puede
permitir delegar este derecho a otro sujeto s2; esta delegacin es equivalente a insertar una
nueva regla de acceso (s1, s2, O1, t1, p1). En el modelo se aade una bandera de copia f que

10

indica que el sujeto tiene derecho a delegar este derecho a otros usuarios, de manera tal que la
regla de acceso quedara como (a, s, O, t, f, p).
La ltima extensin a aplicar a la regla es la especificacin de procedimientos auxiliares
a ser realizado cuando la regla es usada durante la fase de validacin de requerimientos. Estos
procedimientos pueden ser usados antes o despus de que se toma la decisin de acceso; y su
uso despus de la decisin puede ser un mecanismo de contingencia. Un ejemplo de este
mecanismo de contingencia es para acciones cuando el requerimiento de acceso es negado,
momento en el que se puede notificar a un monitor de seguridad para que registre en el log
cierta informacin. Entonces, se introduce una lista de pares (c1, pa1), ..., (cn, pan) que
especifica los procedimientos auxiliares a ser invocados y sus condiciones de invocacin.
Finalmente, la regla de acceso queda de la forma (a, s, O, t, f, p, [(c1, pa1), ..., (cn, pan)]) .

6.3.3. Modelo Multinivel

Los modelos de seguridad multinivel tiene que ver con control de acceso no
discrecionales y, a diferencia de los anteriores, no slo controla el acceso a la informacin, sino
tambin el flujo de informacin dentro del sistema.
Caractersticas Bsicas de los Modelos Multinivel
Bell y LaPadula introducen los conceptos de nivel y categora. A cada sujeto se le
asigna un nivel de clearance y cada objeto se le asigna un n nivel de clasificacin. Cada sujeto y
cada objeto tambin tienen un conjunto de categoras. Un nivel de seguridad es una
composicin de (nivel de clasificacin, conjunto de categoras) y se dice que un nivel de
seguridad ns1 domina a un nivel de seguridad ns2 sii:
1. El nivel de ns1 es el nivel de ns2.
2. El conjunto de categoras de ns1 contiene el conjunto de categoras de ns2.
Un acceso a un objeto puede implicar observar el objeto (extraer informacin de l) o
alterar el objeto (insertar informacin en l). Segn las combinaciones de estos accesos, los
tipos de acceso posibles son:
Ni observar ni alterar
Slo observar (READ)
Slo alterar (APPEND)
Observar y alterar (WRITE)
El modelo considera los estados de un sistema seguro, los cuales son descritos por:
El conjunto de acceso actuales que es un conjunto de tripletas (s, o, t)
Una matriz de acceso
El nivel de seguridad de cada sujeto y
Los niveles de seguridad mximo y actual de cada sujeto.
Un estado seguro se define por dos propiedades:
La propiedad de seguridad simple: Para cada acceso actual (s, o, t) con un tipo de
acceso observe, el nivel de seguridad del sujeto domina el nivel de seguridad del
objeto.
La propiedad *: un acceso actual (s, o, t) implica:
Si t = READ: ns(o) < ns(s)
Si t = APPEND: ns(o) ns(s)
Si t = WRITE: ns(o) = ns(s)

6.3.4. Un Modelo de Flujo de Informacin

En este modelo, un concepto de clases y categoras esta adaptado por un nico
concepto llamado clase de seguridad y se introduce un operador de combinacin variable. Un
modelo de flujo de informacin que describe a un sistema especfico se define por cinco
componentes, que son:
1. Un conjunto de objetos
2. Un conjunto de procesos
3. Un conjunto de clases de seguridad

11

4. Un operador de combinacin de clases : especifica la clase de resultado de cualquier

operacin. Por ejemplo, si se concatenan dos objetos a y b, cuyas clases son a y b, la
clase del resultado es a b.
5. Una relacin de flujo: una relacin de flujo entre dos clases, por ejemplo A B, significa
que a la informacin de la clase A le es permitida fluir a la clase B. Un modelo de flujo
es seguro si una relacin de flujo no puede ser violada.
En la siguiente figura se muestra un ejemplo de un modelo de este tipo:

Figura 2: Ejemplo de un Modelo de Flujo

La figura anterior representa un sistema que contiene data de tres tipos: mdica,
financiera, y criminal.
Las clases muestran todos los subconjuntos del conjunto {m, f, c}; ellas representan
combinaciones de los tipos de datos. Los flujos de informacin son mostrados por flechas. El
operador representa la unin de dos clases. Una violacin de flujo pudiera ocurrir si se intenta
mover informacin de la clase {mdica, financiera} a clase {mdica}.

6.3.5. Comparacin de Modelos

En general, los modelos se pueden clasificar en dos grandes categoras:
a) Los que controlan el acceso a los objetos y son extensiones del enfoque de matriz de
acceso.
b) Los que controlan el flujo de la informacin.
Una ventaja de los modelos a) es su flexibilidad para permitir la especificacin fcil de un
amplio rango de polticas de seguridad. Su principal desventaja es el flujo de
informacin, cosa que hace los modelos tipo b), pero la desventaja de stos modelos es
que cuando se crean nuevos objetos de bases de datos con nuevos requerimientos de
seguridad, se puede requerir una reestructuracin completa del reticulado de clases, y
tambin requieren chequeos en tiempo de ejecucin.

6.4. Casos de Estudio [12]

6.4.1. Oracle
El administrador de la base de datos define los nombres de los usuarios que tienen
acceso a la base de datos. Antes de que un usuario pueda acceder a la base de datos, debe ser
autentificado por medio de una de las siguientes alternativas: Por la Base de datos, por el
sistema operativo o por la red.
Existen dos tipos de privilegios en Oracle:
Privilegios del sistema: Permite ejecutar una operacin sobre la base de datos. Existen 126
privilegios del sistema. Los privilegios del sistema incluye la creacin, eliminacin y
alteracin sobre tablas, vistas, ndices, sesiones, tablespaces, etc.
Privilegios del objeto: Permite ejecutar una operacin sobre un objeto especifico.
La autentificacin por medio del password file (por red) incluye los privilegios de
SYSDBA y SYSOPER. Conectarse como SYSDBA le da al usuario privilegios sin restriccin
para ejecutar cualquier operacin sobre la Base de datos o los objetos que incluye. SYSDBA
contiene los privilegios del SYSOPER, mas otros privilegios adicionales como son: la creacin de
la base de datos, recuperacin de la base de datos, etc.

12

Oracle tambin provee la facilidad del manejo de privilegios a travs de roles. Un rol no
es mas que un grupo de privilegios que se le asigna a los usuarios a otros roles.
Existen roles predefinidos en Oracle, como son:
CONNECT, RESOURCE: Provisto por compatibilidad con versiones anteriores.
DBA: Todos los privilegios del sistema.
EXP_FULL_DATABASE: Privilegio para exportar la base de datos.
IMP_FULL_DATABASE: Privilegio para importar la base de datos.
DELETE_CATALOG_ROLE: Privilegio de borrado sobre las tablas del diccionario.
EXECUTE_CATALOG_ROLE: Privilegio de ejecucin de paquetes del diccionario.
SELECT_CATALOG_ROLE: Privilegio de consulta sobre las tablas del diccionario.

13

7. REFERENCIAS BIBLIOGRAFICAS
[1] Date C.J. An Introduction to Database Systems. 7th edition, Addison-Wesley, 2000.
[2] Gio Wiederhold. Database Design. 2a edicin. Nueva York, N.Y.; McGraw-Hill (1983).
[3] T.H. Merret. Relational Information Systems. Reston, Va: Reston Publishing Company Inc.
(1984).
[4] Michael Stonebraker. Operating System Support for Database Management. CACM 24, nm
7. Julio 1981.
[5] Pratt P. and Adamski J. Database Systems Management and Design. Third Edition. Boyd &
Fraser publishing company. 1994.
[6] R. Bayer y C. McCreight. Organization and maintenance of Large Ordered Indexes. Acta
Informtica 1, nm 3 (1972).
[7] Elmasri / Navathe. Sistemas de Bases de Datos. Conceptos fundamentales. Addison
Wesley. Segunda Edicin 1997.
[8] szu, Tamar and Valduriez, P. Principles of Distributed Database Systems. 2nd Ed. Prentice
Hall, 1998.
[9] Korth H., Silberschatz A, Sudarshan, S. Fundamentos de bases de datos. Tercera edicin.
McGraw-Hill. 1998. ISBN 84-481-2021-3
[10] Leon-Hong B., Plagman B., Data Dictionary Directory Systems. J. Wiley, 1982.
[11] Fernandez E., Summers R., Wood C. Database Security and Integrity. Addison Wesley,
1981.
[12] Loney, Kevin. ORACLE 8. Manual del administrador. McGrawHill. Primera Edicin 2000.

FUENTES ELECTRNICAS
[13] Sybase. Fast Track to Adaptive Server Enterprise 11.9.2. 2001.
URL: www.sybase.com.

14