Todas las tablas cuentan con llave primaria que evita tener información repetida en la base de datos
Se mantiene la integridad referencial de la base de datos? (garantiza que solo se puedan incluir registros para valores previamente ingresados en otras tablas
Se realiza una asignación de nombres de usuarios, con su respectiva clave de acceso (password) y perfiles asociados?
Se cuentan conpistas de auditoría propias de Oracle donde son registradas todas las operaciones realizadas por los usuarios de las bases de datos.?
. Asegúrese que cada usuario esta propiamente restringido por el programa o por el menú de seguridad dentro de la aplicación.
b. Asegúrese que cada usuario esta restringido desde la administración de bases de datos y las herramientas de desarrollo, igualmente desdelas herramientas de consultas.
Si los usuarios se conectan a las bases de datos a través de interfaces de administración o desarrollo a. Asegúrese que cada perfil de usuario en las tablas de usuarios es auditado.
b. Asegúrese que los roles y privilegios son auditados usuario por usuario.
4. Realice una detallada revisión de los login, procesos de autenticación, perfiles de usuario y roles yprivilegios.
5. Si un programa es una aplicación Web a través de http o Programas CGI en el servidor:
a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.
b. Determine que son adecuados los controles de accesos al servidor web.
c. Que se realizan procesos de auditoria sobre los usuarios del sistema operativo y de la base de datos.
3. Auditoria a la seguridad de labase de datos para propietarios y grupos.
a. Asegúrese que la cuenta del dba, realmente es usada por el administrador de la base de datos.
b. En el caso unix, asegúrese que los miembros del grupo dba son limitados a los usuarios de cuenta en la base de datos.
c. Asegúrese que los permisos para los archivos de administración de la base de datos están restringidos con acceso solo a la cuentadel administrador del sistema.
|Procesos de Conexión y Autenticación |
| |
| |
|Propósito. Asegurarse que todos los procesos y usuarios son autorizados y autenticados en la base de datos y que los procesos |
|de usuario son controlados. |
|1. Sobre las tablas de usuarios:|
| |
| |
| |
|a. Determine que todos los usuarios representan un usuario valido y autenticado. |
|b. Prueba que el passwords por defecto en las cuentas de administración del sistema han sido cambiadas. |
|c. Verifique que están definidos los procedimientos para cambios de claves periódicamente y que los passwords son seguros. |
|d. Encaso de conexiones con parámetros string, verifique que a través de comandos como ps, no es posible ver la clave del |
|usuario. |
|e. Si la conexión a la base de datos se hace a través de programas o utilidades, asegúrese que están protegidos por permisos |
|de archivos y…