Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA
“SEGURIDAD Y RECUPERACION DE BASE DE DATOS”
MATERIA:
BASE DE DATOS ll
INTEGRANTES:
José Andrés Ocza Choque
Bill Alexander Pérez Rada
José Andrés Molina Roca
DOCENTE: Ing. Clarisa Hinojosa B.
Contenido
1.1.1 Catalogo............................................................................................................8
1.2 Recuperación..........................................................................................................14
1.2.2 Reorganizaciones............................................................................................18
1.2.3 Optimización...................................................................................................19
Seguridad aspecto básico de la seguridad en base de datos
Una copia de seguridad, respaldo, copy backup, copia de respaldo, copia de reserva (del
inglés backup) en ciencias de la información e informática es una copia de los datos
originales que se realiza con el fin de disponer de un medio para recuperarlos en caso de su
pérdida. Las copias de seguridad son útiles ante distintos eventos y usos: recuperar los
sistemas informáticos y los datos de una catástrofe informática, natural o ataque; restaurar
una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente,
corrompido, infectado por un virus informático u otras causas; guardar información
histórica de forma más económica que los discos duros y además permitiendo el traslado a
ubicaciones distintas de la de los datos originales; etc.
Ya que los sistemas de respaldo contienen por lo menos una copia de todos los datos que
vale la pena salvar, deben de tenerse en cuenta los requerimientos de almacenamiento. La
organización del espacio de almacenamiento y la administración del proceso de efectuar la
copia de seguridad son tareas complicadas. Para brindar una estructura de almacenamiento
es conveniente utilizar un modelo de almacenaje de datos. En noviembre de 2010 existían
muchos tipos diferentes de dispositivos para almacenar datos que eran útiles para hacer
copias de seguridad, cada uno con sus ventajas y desventajas a tener en cuenta para
elegirlos, como duplicidad, seguridad en los datos y facilidad de traslado.
Antes de que los datos sean enviados a su lugar de almacenamiento se lo debe seleccionar,
extraer y manipular. Se han desarrollado muchas técnicas diferentes para optimizar el
procedimiento de efectuar los backups. Estos procedimientos incluyen entre otras
optimizaciones para trabajar con archivos abiertos y fuentes de datos en uso y también
incluyen procesos de compresión, cifrado, y procesos de desduplicación, entendiéndose por
esto último a una forma específica de compresión donde los datos superfluos son
eliminados.
"SEGURIDAD DE LAS BASES DE DATOS"
La información es uno de los activos más importantes de las entidades, y de modo especial
en algunos sectores de actividad.
Es indudable que cada día las entidades dependen de mayor medida de la información y de
la tecnología, y que los sistemas de información están más soportadas por la tecnología,
frente a la realidad de hace pocas décadas.
Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y
terminales no inteligentes, pero hoy en día los entornos son realmente complejos, con
diversidad de plataformas y proliferación de redes, no sólo internos sino también externos,
incluso con enlaces internacionales.
Entre las plataformas físicas (hardware) pueden estar: ordenadores grandes y medios
ordenadores departamentales y personales, solos o formando parte de red, e incluso
ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace
mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y
sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.
Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a
menudo se hable de seguridad informática, de seguridad de los sistemas de información o
de seguridad de las tecnologías de la información.
En cualquier caso, hay tres aspectos principales, como distintas vertientes de la seguridad.
La confidencialidad: se cumple cuando solo las personas autorizadas (en su sentido
amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información
correspondiente.
Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros
empleados o clientes fuera cedido a terceros? ¿Cuál podría ser su uso final?¿habrá una
cadena de cesiones o ventas incontroladas de esos datos, que podría incluir datos como
domicilios o perfil económico, o incluso datos médicos?¡y si alguien se hiciera con un
disquete con lo que perciben los directivos de nuestra entidad?.
La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o
borrar) los datos. Además, deben quedar pistas para control posterior y para auditoria.
Pensemos que alguien variara datos de forma que perdiéramos la información de
determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información
en papel), o que modificara la última parte de los domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de
seguridad hechas a lo largo del tiempo estarían viciadas (corruptas decimos a veces), lo que
haría difícil la reconstrucción.
La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la
información.
El disponer de la información después del momento necesario puede equivaler a al no
disponibilidad. Otro tema es disponer de la información a tiempo pero que esta no sea
correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta. Por haberse producido algún desastre. En
este caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no
continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un
80% según estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso
de los daños en el área de Acapulco.
En relación con ello deben existir soluciones alternativas, basadas en medios propios o
contratados, copias actualizadas de la información crítica y de programas en un lugar
diferente, y un verdadero plan de continuidad que permitía restablecer las operaciones en
un tiempo inferior o igual al prefijo.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el
impacto en sus áreas por parte de un comité, se habrán determinado las prioridades.
En la preparación y actualización del plan debemos pensar en situaciones posibles y en el
impacto que tendrían en nuestra entidad (en su caso en las de nuestros clientes),
especialmente si no disponemos de la información necesaria almacenada en lugares
alternativos.
La seguridad tiene varios estratos:
El marco jurídico adecuado.
Medidas técnico-administrativas, como la existencia de políticas y procedimientos, o la
creación de funciones, como administración de la seguridad o auditoria de sistemas de
información interna.
Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las
dos ni existir dependencia jerárquica de una función respecto a otra.
En cuanto a la administración de seguridad pueden existir, además, coordinadores en las
diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión a
la complejidad organizativa o el volumen de la entidad así lo demandan
En el caso de multinacionales o grupos de empresas nacionales no está de más que exista
coordinación a niveles superiores.
En todo caso, debe existir una definición de funciones y separación de tareas; no tiene
sentido que una misma persona autorice una transacción, la introduzca, y revise después los
resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o
encubrir cualquier anomalía, por ello deben intervenir funciones personales diferentes y
existir controles suficientes.
La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas,
el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras
similares.
La llamada seguridad lógica, como el control de accesos a la información exigiendo la
identificación y autenticación del usuario, o el cifrado de soportes magnéticos
intercambiados transmitidos por línea. (Puede haber cifrado de la información por
dispositivos físicos o a través de programas, y en casos más críticos como la red SWFT
existen los dos niveles).
La autenticación suele ser mediante contraseña, si bien sería más lógico, aunque los
castores resultan aun altos para la mayoría de sistemas, que pudieran con características
biométricas del usuario, para impedir la suplantación. Entre estas pueden estar la
realización de la firma con reconocimiento automático por ordenador, el análisis del fondo
de ojo, la huella u otras.
autorización SYSCTRL
La autorización SYSCTRL proporciona control sobre las operaciones que afectan a los
recursos del sistema. Por ejemplo, un usuario con autorización SYSCTRL puede crear,
actualizar, iniciar, detener o descartar una base de datos. Este usuario también puede iniciar
o detener una instancia, pero no acceder a los datos de las tablas. Los usuarios con
autorización SYSCTRL también poseen autorización SYSMON.
Autorización SYSMAINT
La autorización SYSMAINT proporciona la autoridad necesaria para realizar operaciones
de mantenimiento en todas las bases de datos asociadas con una instancia. Un usuario con
autorización SYSMAINT puede actualizar la configuración de las bases de datos, realizar
una copia de seguridad de una base de datos o de un espacio de tablas, restaurar una base de
datos existente y supervisar una base de datos. Al igual que SYSCTRL, SYSMAINT no
proporciona acceso a los datos de las tablas. Los usuarios con autorización SYSMAINT
también poseen autorización SYSMON.
Autorización SYSMON (supervisor del sistema)
La autorización SYSMON (supervisor del sistema) proporciona la autorización necesaria
para utilizar el supervisor del sistema de bases de datos.
Autorización a nivel de base de datos
Catalogo
Los catálogos, en una base de datos, son indispensables para un buen diseño de la misma.
Es por eso la importancia de conocer las ventajas y desventajas de su uso. Comencemos
definiendo “catálogo” en una base de datos. Un catálogo es una tabla de datos que contiene
información relevante sobre las opciones finales de un usuario en una aplicación. A
continuación menciono las ventajas y desventajas de los catálogos en el diseño de base de
datos:
Ventajas
Permite una rápida obtención de los datos requeridos al momento de realizar una
consulta.
Permite una reducción de tiempo en programación.
Permite al usuario final la posibilidad de realizar una modificación de manera
dinámica a las opciones del software, fácil y rápidamente desde una
administración.
Permite crear una base de datos normalizada.
Desventajas
Ejemplo 1
“Un sistema requiere que almacene el país de origen de un cliente” pero este dato puede
cambiar y/o aumentar en base a las necesidades del usuario final. El desarrollador puede
elegir entre varias opciones:
1. Agregar un campo de tipo cadena de caracteres, permitiéndole al usuario escribir
el dato en un campo de texto.
2. Añadir un campo de tipo entero y colocando un campo de selección obteniendo la
información desde el código de manera estática.
Los problemas que se generan cuando se utiliza un campo de tipo cadena de caracteres,
radica en la integridad de los datos, pues en esta se pierde completamente. Los errores
humanos siempre hay que tenerlos presentes y por tanto, alguien como usuario final puede
llegar a escribir el nombre de un país de la manera incorrecta. Además, la normalización no
está presente en este caso.
Enseguida muestro una solución utilizando los catálogos: Se diseña la tabla –Cliente- y la
tabla –Pais-, La tabla Pais almacena los datos que necesitamos con dos simples campos:
“idPais y nomPais”, dicha tabla siendo relacionada 1:N con la tabla clientes, de esta
manera es posible obtener la información necesaria del cliente con una simple consulta
SQL, además de que el proceso de normalización e integridad de los datos se está dando de
manera automática.
Si el usuario final desea que su sistema sea capaz de aumentar los datos de los países, el
administrador del catálogo Pais podrá agregarlo fácil y rápidamente. Inclusive, los reportes
que se hayan programado no requerirán de inversión de tiempo, puesto que la información
que se pida será obtenida mediante una consulta SQL.
En la siguiente figura muestro un diagrama de clases de lo que sería una relación de la tabla
cliente con la tabla país (1:N).
Ejemplo 2
“Un sistema requiere que se almacene la especialidad de un médico” este dato se puede
aumentar, actualizar y/o eliminar.
La solución fácil y rápida pero errónea, sería crear un campo en la tabla médico llamado
“especialidad Médico” y que este sea de tipo cadena de caracteres. Como he venido
platicado, esta solución pierde completamente la integridad de los datos y por consiguiente
la normalización de la base de datos no existe. Por tanto, si se elige la solución por
catálogos como se muestra en la figura siguiente:
Realizar búsquedas, generar reportes, obtener información para desplegar en alguna lista,
etc., todo esto puede llevarse a cabo de manera rápida y eficiente. En todos los sistemas una
búsqueda es básica e indispensable, por lo tanto, imaginemos esto: El cliente desea una lista
desplegable con las especialidades que se tienen para realizar un mejor filtrado de la
información. Ahora, imagina esto en más de 10 páginas. Por último, imagina que el usuario
final te comenta que se requiere agregar una nueva especialidad.
Por ejemplo en casos cuando el programador se encuentra en reuniones con clientes para
hablar sobre las opciones que se desean en el sistema, siempre hay un punto en el que se
comenta “Este módulo debe ser así, porque CASI NO se eligen esas opciones” es entonces
cuando se tiene que realizar un análisis de ese caso, puesto que si eliges una opción errónea,
al momento de entregar tu software se te diga que SIEMPRE SI se usarán dichas opciones,
para solucionarlo te podrías ver en la necesidad de reprogramar uno o varios módulos; sin
embargo, al elegir la opción de catálogos, simplemente se agrega el dato a la base de datos
y listo.
Finalmente podemos concluir que si los desarrolladores ven la importancia del uso de
catálogos, esto puede significar auténticos ahorros en tiempo de programación, proceso de
normalización y mejorar la integridad de los datos en la aplicación.
Diccionario de datos
En un diccionario de datos se encuentra la lista de todos los elementos que forman parte del
flujo de datos de toda la base de datos. Los elementos más importantes son flujos de datos,
almacenes de datos y procesos. El diccionario de datos guarda los detalles y descripción de
todos estos elementos.
Estos diccionarios se desarrollan durante el análisis de flujo de datos y ayuda a los analistas
que participan en la determinación de los requerimientos del sistema, su contenido también
se emplea durante el diseño del proyecto.
Ventajas.
* Contiene la lista de todos los objetos que forman parte del sistema.
* Hace más fácil el manejo de los
detalles en los sistemas grandes
permitiendo una mayor visión de los
objetos en la base de datos.
* Si los analistas desean conocer cuántos caracteres abarca un determinado dato o qué otros
nombres recibe en distintas partes del sistema, o dónde se utiliza, encontrarán las respuestas
en un diccionario de datos desarrollado en forma apropiada.
Datos Elementales. Es la parte más pequeña de los datos que tiene significado en el
sistema de información pero al combinarlos con varios elementos de datos se puede obtener
una estructura de datos que provea la información completa que se desea consultar. Por
ejemplo un nombre. Por si solo no representa nada pero cuando se relaciona con su número
de cedula o algunos otros atributos se tendrá un estructura de datos acerca de esa persona.
Alias. Son los distintos nombres que puede recibir un dato dependiendo de quién y cual sea
el uso que se le va a dar a dicho dato.
* Los diccionarios de datos se deben aplicar cuando se desarrolla una base de datos o una
aplicación ya que la información que ellos proveen son de gran ayuda en el proceso de
desarrollo.
Ejemplos.
Recuperación
La recuperación de datos es necesaria por distintos motivos, como por ejemplo daños
físicos en el medio de almacenamiento (averías electrónicas, averías mecánicas, golpes,
incendios, inundaciones, etc.) o averías lógicas (daños en el sistema de archivos, daño en
las particiones, archivos eliminados, formateos accidentales, etc..).
El conjunto de herramientas para bases de datos copia los datos a otra base de
datos de servidor SQL o extrae los archivos .PST para Exchange, etc.
Técnica de recuperación
La extensión del daño sufrido por la base de datos. Por ejemplo, si se encuentra que ha sido
un único registro el que ha sufrido daños, la técnica de recuperación es trivial, en
comparación con el procedimiento de restauración necesario después de un choque de una
Cabeza.
Reorganizaciones
Optimización
Comenzamos diciendo que la optimización representa un reto y una oportunidad para los
sistemas relaciónales. De hecho, la posibilidad de optimización es una ventaja de esos
sistemas por varias razones, ya que un sistema relacional con un buen optimizador puede
superar muy bien a un sistema no relacional. Nuestro ejemplo introductorio dio algunas
ideas del tipo de mejoras que pueden ser logradas (un factor de 10,000 a 1 en ese caso
particular). Las cuatro grandes etapas de la optimización son
BIBLIOGRAFIA
HTTP://WIKIPEDIA.COM
HTTP://MONOGRAFIAS.COM
http://gplsi.dlsi.ua.es/bbdd/bd1/lib/exe/fetch.php?
media=bd1:0910:trabajos:seguridadbd.pdf