Seguridad en SQL Server (LOPD)

30/10/2004 - 03:18 por Juan Pedro Gonzalez | Informe spam
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion... Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?
 

Leer las respuestas

#1 Antonio Soto
30/10/2004 - 10:13 | Informe spam
Hola Juan Pedro,

Los Roles de Aplicación son una buena opción.
Lo que pierdes es el usuario de la BBDD, pero no el Inicio de Sesión de SQL
Server, por lo que podrías tener auditado lo que realiza cada uno de los
inicios de sesión. Si pruebas esto lo verás:

use tempdb
go
sp_addapprole 'app','app'
go
sp_setapprole 'app','app'
go
select suser_sname() -- Me dará el inicio de sesión
select user_name() -- Me dará evidentemente el rol de aplicación

Espero te sea de ayuda

Saludos

Antonio Soto
Mentor Asociado
Solid Quality Learning


"Juan Pedro Gonzalez" wrote in message
news:
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion...
Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en
la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder
a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?


Preguntas similares