HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - AN TOÀN CƠ SỞ DỮ LIỆU TÌM HIỂU KIỂM TỐN CSDL VÀ THỰC HIỆN TRÊN ORACLE Ngành: An tồn thơng tin Mã số: ATCTHT10 Giảng Viên: TS Trần Thị Lượng Nhóm sinh viên thực hiện: Nhóm 08 Vũ Thị Dịu: AT140408 Nguyễn Thị Lan: AT140221 Bùi Thị Thư Thư: AT140741 Trần Thị Ngân: AT140431 Hà Nội, tháng 12/2020 download by : skknchat@gmail.com MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG 1.TỔNG QUAN VỀ KIỂM TOÁN CSDL 1.1 KHÁI NIỆM KIỂM TOÁN 1.2 MỘT SỐ ĐỊNH NGHĨA CHUNG TRONG KIỂM TỐN 1.3 MỤC ĐÍCH VÀ VAI TRỊ CỦA KIỂM TỐN 1.3.1 Mục đích 1.3.2 Vai trò 1.4 MỘT SỐ LƯU Ý TRONG KIỂM TOÁN CHƯƠNG 2.KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 2.1 GIỚI THIỆU VỀ KIỂM TOÁN TRONG ORACLE 2.2 CÁC CƠ CHẾ KIỂM TOÁN CSDL 2.3 CÁC PHƯƠNG PHÁP KIỂM TỐN TRONG ORACLE 2.3.1 Kiểm tốn application serv 2.3.2 Kiểm toán trigger 2.3.3 Kiểm toán câu lệnh 2.4 DANH MỤC KIỂM TOÁN CSDL 2.4.1 Kiểm toán đăng nhập/đăng xuất 2.4.2 Kiểm toán nguồn sử dụng sở 2.4.3 Kiểm toán hoạt động câu lệnh D 2.4.4 Kiểm toán hoạt động câu lệnh D 2.4.5 Kiểm tốn sử dụng CSDL ngồi download by : skknchat@gmail.com 2.4.6 Kiểm toán lỗi CSDL 2.4.7 Một số loại kiểm toán CSDL khác CHƯƠNG 3: THỰC NGHIỆM MỘT SỐ KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 3.1 KỊCH BẢN THỰC NGHIỆM 3.1.1 Kiểm toán đăng nhập, đăng xuất 3.1.2 Kiểm toán câu lệnh DDL 3.1.3 Kiểm toán câu lệnh DML 3.1.4 Kiểm tra lỗi CSDL 3.2 Đánh giá kết thực nghiệm KẾT LUẬN TÀI LIỆU THAM KHẢO download by : skknchat@gmail.com DANH MỤC TỪ VIẾT TẮT download by : skknchat@gmail.com DANH MỤC HÌNH VẼ Hình 2-1: Khóa tài khoản sử dụng cảnh báo thủ tục CSDL Hình 2-2: Một dòng sở truy cập CSDL Hình 3-1: User1 User2 sau gán quyền thành công Hình 3-2: Bảng lưu kết kiểm tốn Hình 3-3: Ttrigger kiểm tốn đăng nhập tạo thành cơng .2 Hình 3-4: Trigger kiểm tốn đăng xuất tạo thành cơng .2 Hình 3-5: Thực hành động đăng nhập, đăng xuất với user Hình 3-6: Kết kiểm toán sau thực đăng nhập, đăng xuất .2 Hình 3-7: Bảng ddl_audit lưu kết kiểm tốn Hình 3-8: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành cơng .2 Hình 3-9: Thực số câu lệnh create, alter download by : skknchat@gmail.com LỜI NÓI ĐẦU Với nhiều tổ chức, sở liệu (CSDL) nơi chứa toàn thông tin bao gồm thông tin nhạy cảm, bí mật Đây mục tiêu mà tin tăc thường xuyên nhắm tới Bất kì mát liên quan đến sở liệu gây tổn thất nặng nề, định đến thành bại tổ chức Vì thế, hoạt động liên quan đến CSDL phải ghi lại, đặc biệt câu truy vấn có liên quan đến liệu nhạy cảm, cáo giao dịch bất thường nhằm đảm tính bảo mật, an tồn sẵn sàng thơng tin Một phương pháp giúp quản trị viên theo dõi, đảm bảo an toàn cho sở liệu hiệu kiểm toán Đây coi hàng rào cuối để bảo vệ cuối cho sở liệu khỏi xâm phạm bất hợp pháp Xuất phát từ thực tế đó, nhóm chúng em chọn đề tài “ Tìm hiểu kiểm tốn sở liệu thực Oracle” Mục đích đề tài tìm hiểu mục đích vai trị việc kiểm toán, chế, phương pháp loại kiểm toán sở liệu tiến hành thực nghiêm hệ quản trị sở liệu Oracle Báo cáo bao gồm chương sau: Chương 1: Tổng quan kiểm toán CSDL Chương 2: Kỹ thuật kiểm toán CSDL Oracle Chương 3: Thực nghiệm số kỹ thuật kiểm toán CSDL Oracle download by : skknchat@gmail.com Do thời gian thực đề tài nhiều hạn chế, báo cáo nhóm khơng thể sai sót q trình thực Chúng em mong nhận góp ý chân thành để đề tài hồn thiện Chúng em xin chân thành cảm ơn! CHƯƠNG TỔNG QUAN VỀ KIỂM TOÁN CSDL 1.1 KHÁI NIỆM KIỂM TỐN Kiểm tốn (auditing) hiểu tồn hoạt động giám sát ghi lại xảy hệ thống công nghệ thông tin Các thơng tin ghi lại thay đổi trạng thái hoạt động hệ thống hay tương tác qua lại hệ thống người dùng Nó dựa hành động cá nhân, chẳng hạn kiểu câu lệnh SQL thực thi dựa kết hợp yếu tố bao gồm tên người dùng, ứng dụng, thời gian, Dựa ghi kiểm toán, quản trị viên sở liệu (DBA) phát kịp thời công hay lỗ hổng ảnh hưởng đến sở liệu, từ ngăn chặn hành vi phá hoại hay xâm phạm tin tặc, nhanh chóng sửa đổi bất thường hệ thống 1.2 MỘT SỐ ĐỊNH NGHĨA CHUNG TRONG KIỂM TOÁN CSDL KIỂM TOÁN CSDL (Database Auditing): việc theo dõi ghi lại hành động người dùng thực CSDL Người quản trị CSDL thường cài đặt tính kiểm tốn mục đích an tồn, nhằm đảm bảo người khơng có thẩm quyền khơng phép truy cập vào liệu NHẬT KÝ KIỂM TOÁN (Audit Log) : tài liệu chứa tất hoạt động kiểm toán xếp theo thứ tự thời gian KIỂM TOÁN VIÊN (Auditor): người phép thực cơng việc kiểm tốn download by : skknchat@gmail.com THỦ TỤC KIỂM TOÁN (Audit Procedure): tập hợp câu lệnh tiến trình kiểm tốn BÁO CÁO KIỂM TOÁN (Audit Report): tài liệu chứa q trình tìm kiếm kiểm tốn, ghi lại kết kiếm tốn đạt BẢN GHI KIỂM TỐN (Audit Record): bao gồm thông tin hoạt động kiểm toán, người sử dụng thực hoạt động, ngày thời gian hoạt động VẾT KIỂM TOÁN (Audit Trail): ghi lưu lại thay đổi tài liệu, thay đổi liệu hoạt động hệ thống kiện thao tác DỮ LIỆU KIỂM TOÁN (Audit Data): ghi theo thời gian liệu thay đổi lưu trữ tập tin log đối tượng bảng CSDL KIỂM TOÁN NỘI BỘ (Internal Auditing): kiểm toán thực kiểm tra hoạt động quản lý thành viên có quyền tổ chức kiểm tốn KIỂM TỐN MỞ RỘNG (External Auditing): kiểm toán thực kiểm tra, xác minh tính hợp lệ tài liệu, tiến trình, thủ tục, hoạt động quản lý thành viên có quyền bên ngồi tổ chức kiểm tốn 1.3 MỤC ĐÍCH VÀ VAI TRỊ CỦA KIỂM TỐN 1.3.1 Mục đích Mục đích kiếm tốn xem xét, đánh giá tính sẵn sàng, an tồn xác thông qua việc trả lời câu hỏi như: Hệ thống máy tính có sẵn sàng cho hoạt động thời điểm hay không? Việc truy cập liệu dành cho người có thẩm quyền hay khơng? download by : skknchat@gmail.com CSDL có cung cấp thơng tin xác, trung thực, kịp thời hay chưa? 1.3.2 Vai trị Vai trị kiểm tốn xem phần sách an tồn:  Theo dõi hành động lược đồ, bảng, hàng, cột nội dung liệu cụ thể  Giám sát hoạt động CSDL phát người sử dụng bất hợp pháp thao tác sửa đổi với CSDL Thơng báo có người dùng không ủy quyền lại thao tác liệu mà địi hỏi phải có đủ quyền truy cập  Điều tra hoạt động đáng ngờ: Chẳng hạn, người dùng trái phép thực hành động xóa liệu từ bảng đó, DBA kiếm toán tất kết nối CSDL, việc xóa bỏ thành cơng khơng thành cơng bảng CSDL để phát hành vi  Theo dõi thu thập liệu hoạt động CSDL cụ thể Chẳng hạn, DBA thu thập số liệu thống kê bảng cập nhật, làm nhiều người dùng đồng thời kết nối thời gian cao điểm.Từ đó, có biện pháp để cải thiện hiệu suất  Kiểm toán để thỏa mãn yêu cầu pháp lý: thể trách nhiệm với liệu khách hàng Kết q trình kiểm tốn bắt buộc người dùng phải có trách nhiệm hành động mà họ thực hiện, cách theo dõi hành vi họ download by : skknchat@gmail.com 1.4 MỘT SỐ LƯU Ý TRONG KIỂM TỐN Kiểm tốn thời điểm từ hệ thống bắt đầu hoạt động.Nên sử dụng kết hợp kiểm toán bên kiểm tốn bên ngồi Kiểm tốn cách có chọn lọc cần thiết, việc kiểm tốn làm giảm hiệu suất hệ thống Những hoạt động cần phải kiếm toán:  Hoạt động người dùng có quyền  Đăng nhập đăng xuất  Những thay đổi application trigger data trigger  Thay đổi quyền thay đổi thông tin người dùng  Cấu trúc liệu bị thay đổi  Các truy cập đọc ghi liệu nhạy cảm  Những lỗi ngoại lệ… Thông tin nhật ký kiểm toán cần lưu trữ bảo mật.Ngồi ra, nên tự động hóa giám sát hoạt động kiểm toán 10 download by : skknchat@gmail.com lọc bảng cột để trì giá trị cũ mới, thay kiểm tốn cho tồn CSDL hay tồn bảng 2.4.5 Kiểm tốn sử dụng CSDL làm việc Một loại kiểm toán khác liên quan đến kiểm toán đăng nhập CSDL hoạt động kiểm tốn thực ngồi làm việc bình thường Đây yêu cầu đáng quan tâm thường yêu cầu từ doanh nghiệp Bởi hoạt động thực thường đáng ngờ kết việc người sử dụng cố gắng truy cập trái phép sửa đổi liệu Tuy nhiên, hacker giỏi thường cố gắng đăng nhập sở liệu thời gian “ngụy trang” Việc cố gắng truy cập trái phép tốt có nhiều “nhiễu” lúc thực Nhưng hacker tinh vi thường thực vào ban đêm lúc sáng sớm có người cơng ty Nói chung, DBA mong muốn nhận hoạt động người dùng thực hiện, thường mức câu lệnh SQL Nếu hoạt động đăng nhập đáng ngờ, việc nắm bắt họ sử dụng CSDL điều quan trọng Do vết kiểm tốn ngồi có ý nghĩa Một cách tiếp cận để lọc hoạt động bình thường xảy bên làm việc sử dụng dịng sở User1 User2 Hình 2-2: Một dòng sở truy cập CSDL Khi thực kiểm tốn ngồi giờ, DBA nên loại trừ hoạt động ứng dụng thực hiện, cách sử dụng tên đăng nhập đến từ địa IP 19 download by : skknchat@gmail.com Kiểm toán thực có khác biệt từ dịng sở giúp làm giảm kích thước vết kiểm toán kiểm tra, kiểm toán ghi nhận hoạt động xảy bên chuẩn (đã định nghĩa dòng sở) 2.4.6 Kiểm toán lỗi CSDL Kiểm toán lỗi trả từ sở liệu quan trọng vệt kiểm toán bạn nên thực hiện.Điều đặc biệt theo quan điểm an tồn Chẳng hạn, tìm hiểu cơng SQL injection, nhiều trường hợp kẻ công nỗ lực thực nhiều lần dựa thông báo lỗi hệ thống họ nhận kết mong đợi Bên cạnh đó, lỗi CSDL hiển thị giúp DBA tìm vấn đề ảnh hưởng đến thời gian phản hồi tính sẵn sàng Kiểm tốn lỗi chi tiết hỗ trợ số nhà cung cấp CSDL DBA tham khảo tài liệu hướng dẫn môi trường để thực 2.4.7 Một số loại kiểm tốn CSDL khác Ngồi loại kiểm tốn trên, cịn có dạng kiểm tốn CSDL khác như: Kiểm toán thay đổi nguồn thủ tục lưu trữ trigger: kẻ công giấu đoạn mã độc hại vào trigger hay stored procedure Kiểm toán thay đổi đặc quyền, định nghĩa User/Login thuộc tính an tồn khác Kiểm tốn việc tạo, thay đổi sử dụng liên kết CSDL lưu Kiểm toán thay đổi liệu nhạy cảm: ghi nhận thay đổi giá trị cũ giá trị thao tác thuộc thao tác ngôn ngữ liệu 20 download by : skknchat@gmail.com CHƯƠNG 3: THỰC NGHIỆM MỘT SỐ KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 3.1 KỊCH BẢN THỰC NGHIỆM 3.1.1 Kiểm toán đăng nhập, đăng xuất Kịch bản: Tạo user có tên User1, User2 Thực kiểm tốn đăng nhập, đăng xuất với người dùng vừa tạo Thực nghiệm: Tạo user có tên USER1, USER2 gán quyền cho user: Hình 3-3:User1 User2 sau gán quyền thành công 21 download by : skknchat@gmail.com Tạo bảng lưu kết kiểm tốn: Hình 3-4: Bảng lưu kết kiểm tốn Tạo trigger cho đăng nhập: Hình 3-5:Ttrigger kiểm tốn đăng nhập tạo thành cơng 22 download by : skknchat@gmail.com Tạo trigger cho đăng xuất: Hình 3-6: Trigger kiểm tốn đăng xuất tạo thành cơng Thực đăng nhập, đăng xuất user: Hình 3-7: Thực hành động đăng nhập, đăng xuất với user 23 download by : skknchat@gmail.com Xem kết kiểm tốn: Hình 3-8: Kết kiểm toán sau thực đăng nhập, đăng xuất 3.1.2 Kiểm toán câu lệnh DDL Kịch bản:  Sử dụng người dùng SYS User1 tạo phần 3.1  Thực việc tạo xoá bảng người dùng SYS User1  Thực kiểm toán DDL với người dùng Thực nghiệm: Tạo bảng lưu kết kiểm tốn: Hình 3-9: Bảng ddl_audit lưu kết kiểm toán 24 download by : skknchat@gmail.com Tạo trigger kiểm tốn: Hình 3-10: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành công Thực câu lệnh DDL với người dùng sys: Hình 3-11: Thực số câu lệnh create, alter 25 download by : skknchat@gmail.com Thực câu lệnh DDL với người dùng USER1: Xem kết kiểm toán: 3.1.3 Kiểm toán câu lệnh DML Kịch bản:  Đăng nhập oracle với người dùng SYS quyền sysdba, tạo bảng Product  Gán quyền thực số thao tác lên bảng Product ( sử dụng User1 User2 tạo phần 3.1)  Thực kiểm toán DML bảng Product 26 download by : skknchat@gmail.com Thực nghiệm: Thực đăng nhập vào tạo bảng có tên Product: Gán quyền Select, Insert, Update cho user USER1, USER2: Khởi tạo kiểm toán bảng Product: 27 download by : skknchat@gmail.com Chèn liệu vào bảng Product: Thực câu lệnh DML bảng Product USER1: 28 download by : skknchat@gmail.com USER2: Kết kiểm toán: 29 download by : skknchat@gmail.com 3.1.4 Kiểm tra lỗi CSDL Kịch bản:  Sử dụng người dùng SYS User1, USER2 tạo phần 3.1  Thực thao tác lỗi người dùng USER1, USER2  Thực kiểm tra lỗi người dùng Thực nghiệm: Tạo bảng lưu kết kiểm toán: Tạo trigger kiểm toán: 30 download by : skknchat@gmail.com Đánh giá kết thực nghiệm Các chế kiểm toán giúp quản trị viên theo dõi, đảm bảo an toàn cho sở liệu hiệu Hầu hết chế dễ dàng thực theo dõi cách tốt Kiểm toán đăng nhập, đăng xuất giúp ghi lại người dùng, thời gian, ngày tháng hay địa máy khách kết nối nhằm theo dõi hành động đăng nhập thành cơng hay thất bại, từ phát nhanh chóng kịp thời hành động bất thường cố gắng đăng nhập trái phép vào sở liệu Kiểm toán hoạt động câu lệnh DDL ghi lại kiện:Create, alter, drop để định nghĩa lược đồ sở liệu logic Công tác ghi lại chi tiết ngày, câu lệnh DDL thực đối tượng thực Cũng giống kiểm toán DDL, kiểm toán hoạt động câu lệnh DML ghi lại kiện tìm kiếm, chèn , xóa, cập nhật liệu Loại kiểm tốn tạo lượng liệu lớn cần kiểm tốn cách có chọn lọc Kiểm tốn hoạt động cần thiết, nhiên nên kiểm tốn cần thiết dễ giảm hiệu suất hệ thống 31 download by : skknchat@gmail.com KẾT LUẬN Việc nghiên cứu nghiên cứu, phát truy cập liệu trái phép cách sử dụng chế kiểm toán hệ quản trị CSDL trở nên vô quan trọng cần thiết hết Đặc biệt q trình phát triển cơng nghệ thơng tin ngày biến đổi mạnh mẽ nhanh chóng Các hệ quản trị CSDL đại hầu hết hỗ trợ chế kiểm toán CSDL mạnh, chẳng hạn: Sybase, DB2, Oracle, SQL Server, MySQL, Những vết kiểm toán thu tài liệu hữu ích giúp DBA phát hiện, theo dõi, cảnh báo đưa hành động cần thiết giúp bảo vệ CSDL khỏi công tin tặc Qua khoảng thời gian tìm hiểu kiểm tốn nhóm chúng em tìm hiểu vấn đề sau: Tổng quan kiểm tốn CSDL Đi vào tìm hiểu cơ chế, loại kiểm toán CSDL Thực hành số loại kiểm toán hệ quản trị CSDL Oracle Nhìn chung báo cáo đáp ứng yêu cầu bản, nhiên số hạn chế Hướng phát triển đề tài: Tiếp tục nghiên cứu, tìm hiểu giải pháp có hệ quản trị sở liệu khác, sản phẩm giới để từ nâng cao kiến thức hiểu biết hệ quản trị, khả lập trình sở liệu kỹ thuật kiểm toán 32 download by : skknchat@gmail.com TÀI LIỆU THAM KHẢO [1] Ron Ben Natan, Implementing Database Security and Auditing [2] Tạp chí An Tồn Thơng Tin [3] Diễn đàn CSDL ORAVN [4].Giáo trình Bảo mật hệ thống thơng tin, Trường Đại học Bách khoa Thành Phố HCM 33 download by : skknchat@gmail.com ... ORACLE 2. 2 CÁC CƠ CHẾ KIỂM TOÁN CSDL 2. 3 CÁC PHƯƠNG PHÁP KIỂM TOÁN TRONG ORACLE 2. 3.1 Kiểm toán application serv 2. 3 .2 Kiểm toán trigger 2. 3.3 Kiểm toán câu lệnh 2. 4 DANH MỤC KIỂM TOÁN CSDL. .. vệ CSDL khỏi công tin tặc Qua khoảng thời gian tìm hiểu kiểm tốn nhóm chúng em tìm hiểu vấn đề sau: Tổng quan kiểm tốn CSDL Đi vào tìm hiểu cơ chế, loại kiểm toán CSDL Thực hành số loại kiểm toán. .. TOÁN CSDL 2. 4.1 Kiểm toán đăng nhập/đăng xuất 2. 4 .2 Kiểm toán nguồn sử dụng sở 2. 4.3 Kiểm toán hoạt động câu lệnh D 2. 4.4 Kiểm toán hoạt động câu lệnh D 2. 4.5 Kiểm tốn sử dụng CSDL ngồi download