(TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

34 4 0
(TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - AN TOÀN CƠ SỞ DỮ LIỆU TÌM HIỂU KIỂM TỐN CSDL VÀ THỰC HIỆN TRÊN ORACLE Ngành: An tồn thơng tin Mã số: ATCTHT10 Giảng Viên: TS Trần Thị Lượng Nhóm sinh viên thực hiện: Nhóm 07 Vũ Thị Dịu: AT140408 Nguyễn Thị Lan: AT140221 Bùi Thị Thư Thư Trần Thị Ngân Hà Nội, tháng 12/2020 MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG 1.TỔNG QUAN VỀ KIỂM TOÁN CSDL 1.1 KHÁI NIỆM KIỂM TOÁN 1.2 MỘT SỐ ĐỊNH NGHĨA CHUNG TRONG KIỂM TỐN 1.3 MỤC ĐÍCH VÀ VAI TRỊ CỦA KIỂM TỐN 1.3.1 Mục đích 1.3.2 Vai trò 1.4 MỘT SỐ LƯU Ý TRONG KIỂM TOÁN CHƯƠNG 2.KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 2.1 GIỚI THIỆU VỀ KIỂM TOÁN TRONG ORACLE 2.2 CÁC CƠ CHẾ KIỂM TOÁN CSDL 2.3 CÁC PHƯƠNG PHÁP KIỂM TOÁN TRONG ORACLE 2.3.1 Kiểm toán application serv 2.3.2 Kiểm toán trigger 2.3.3 Kiểm toán câu lệnh 2.4 DANH MỤC KIỂM TOÁN CSDL 2.4.1 Kiểm toán đăng nhập/đăng xuất 2.4.2 Kiểm toán nguồn sử dụng sở 2.4.3 Kiểm toán hoạt động câu lệnh D 2.4.4 Kiểm toán hoạt động câu lệnh D 2.4.5 Kiểm tốn sử dụng CSDL ngồi 2.4.6 Kiểm toán lỗi CSDL .18 2.4.7 Một số loại kiểm toán CSDL khác 19 CHƯƠNG 3: THỰC NGHIỆM MỘT SỐ KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 20 3.1 KỊCH BẢN THỰC NGHIỆM 20 3.1.1 Kiểm toán đăng nhập, đăng xuất 20 3.1.2 Kiểm toán câu lệnh DDL 23 3.1.3 Kiểm toán câu lệnh DML .25 3.1.4 Kiểm tra lỗi CSDL 29 3.2 Đánh giá kết thực nghiệm 30 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 32 DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ Hình 2-1: Khóa tài khoản sử dụng cảnh báo thủ tục CSDL 14 Hình 2-2: Một dịng sở truy cập CSDL 17 Hình 3-1:User1 User2 sau gán quyền thành cơng 20 Hình 3-2: Bảng lưu kết kiểm toán 20 Hình 3-3:Ttrigger kiểm tốn đăng nhập tạo thành cơng 21 Hình 3-4: Trigger kiểm tốn đăng xuất tạo thành cơng .22 Hình 3-5: Thực hành động đăng nhập, đăng xuất với user 22 Hình 3-6: Kết kiểm tốn sau thực đăng nhập, đăng xuất .23 Hình 3-7: Bảng ddl_audit lưu kết kiểm toán 23 Hình 3-8: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành cơng .24 Hình 3-9: Thực số câu lệnh create, alter 24 LỜI NÓI ĐẦU Với nhiều tổ chức, sở liệu (CSDL) nơi chứa toàn thông tin bao gồm thông tin nhạy cảm, bí mật Đây mục tiêu mà tin tăc thường xuyên nhắm tới Bất kì mát liên quan đến sở liệu gây tổn thất nặng nề, định đến thành bại tổ chức Vì thế, hoạt động liên quan đến CSDL phải ghi lại, đặc biệt câu truy vấn có liên quan đến liệu nhạy cảm, cáo giao dịch bất thường nhằm đảm tính bảo mật, an tồn sẵn sàng thơng tin Một phương pháp giúp quản trị viên theo dõi, đảm bảo an toàn cho sở liệu hiệu kiểm toán Đây coi hàng rào cuối để bảo vệ cuối cho sở liệu khỏi xâm phạm bất hợp pháp Xuất phát từ thực tế đó, nhóm chúng em chọn đề tài “ Tìm hiểu kiểm tốn sở liệu thực Oracle” Mục đích đề tài tìm hiểu mục đích vai trị việc kiểm toán, chế, phương pháp loại kiểm toán sở liệu tiến hành thực nghiêm hệ quản trị sở liệu Oracle Báo cáo bao gồm chương sau: Chương 1: Tổng quan kiểm toán CSDL Chương 2: Kỹ thuật kiểm toán CSDL Oracle Chương 3: Thực nghiệm số kỹ thuật kiểm toán CSDL Oracle Do thời gian thực đề tài nhiều hạn chế, báo cáo nhóm khơng thể sai sót trình thực Chúng em mong nhận góp ý chân thành để đề tài hoàn thiện Chúng em xin chân thành cảm ơn! CHƯƠNG 1.TỔNG QUAN VỀ KIỂM TOÁN CSDL 1.1 KHÁI NIỆM KIỂM TỐN Kiểm tốn (auditing) hiểu toàn hoạt động giám sát ghi lại xảy hệ thống cơng nghệ thơng tin Các thơng tin ghi lại thay đổi trạng thái hoạt động hệ thống hay tương tác qua lại hệ thống người dùng Nó dựa hành động cá nhân, chẳng hạn kiểu câu lệnh SQL thực thi dựa kết hợp yếu tố bao gồm tên người dùng, ứng dụng, thời gian, Dựa ghi kiểm toán, quản trị viên sở liệu (DBA) phát kịp thời công hay lỗ hổng ảnh hưởng đến sở liệu, từ ngăn chặn hành vi phá hoại hay xâm phạm tin tặc, nhanh chóng sửa đổi bất thường hệ thống 1.2 MỘT SỐ ĐỊNH NGHĨA CHUNG TRONG KIỂM TOÁN CSDL KIỂM TOÁN CSDL (Database Auditing) : việc theo dõi ghi lại hành động người dùng thực CSDL Người quản trị CSDL thường cài đặt tính kiểm tốn mục đích an tồn, nhằm đảm bảo người khơng có thẩm quyền không phép truy cập vào liệu NHẬT KÝ KIỂM TOÁN (Audit Log) : tài liệu chứa tất hoạt động kiểm toán xếp theo thứ tự thời gian KIỂM TỐN VIÊN (Auditor): người phép thực cơng việc kiểm tốn THỦ TỤC KIỂM TỐN (Audit Procedure): tập hợp câu lệnh tiến trình kiểm tốn BÁO CÁO KIỂM TOÁN (Audit Report): tài liệu chứa q trình tìm kiếm kiểm tốn, ghi lại kết kiếm tốn đạt BẢN GHI KIỂM TỐN (Audit Record): bao gồm thông tin hoạt động kiểm toán, người sử dụng thực hoạt động, ngày thời gian hoạt động VẾT KIỂM TOÁN (Audit Trail): ghi lưu lại thay đổi tài liệu, thay đổi liệu hoạt động hệ thống kiện thao tác DỮ LIỆU KIỂM TOÁN (Audit Data): ghi theo thời gian liệu thay đổi lưu trữ tập tin log đối tượng bảng CSDL KIỂM TOÁN NỘI BỘ (Internal Auditing): kiểm toán thực kiểm tra hoạt động quản lý thành viên có quyền tổ chức kiểm tốn KIỂM TỐN MỞ RỘNG (External Auditing): kiểm toán thực kiểm tra, xác minh tính hợp lệ tài liệu, tiến trình, thủ tục, hoạt động quản lý thành viên có quyền bên ngồi tổ chức kiểm tốn 1.3 MỤC ĐÍCH VÀ VAI TRỊ CỦA KIỂM TỐN 1.3.1 Mục đích Mục đích kiếm tốn xem xét, đánh giá tính sẵn sàng, an tồn xác thơng qua việc trả lời câu hỏi như: Hệ thống máy tính có sẵn sàng cho hoạt động thời điểm hay không? Việc truy cập liệu dành cho người có thẩm quyền hay khơng? CSDL có cung cấp thơng tin xác, trung thực, kịp thời hay chưa? 1.3.2 Vai trò Vai trị kiểm tốn xem phần sách an tồn:  Theo dõi hành động lược đồ, bảng, hàng, cột nội dung liệu cụ thể  Giám sát hoạt động CSDL phát người sử dụng bất hợp pháp thao tác sửa đổi với CSDL Thơng báo có người dùng khơng ủy quyền lại thao tác liệu mà đòi hỏi phải có đủ quyền truy cập  Điều tra hoạt động đáng ngờ: Chẳng hạn, người dùng trái phép thực hành động xóa liệu từ bảng đó, DBA kiếm tốn tất kết nối CSDL, việc xóa bỏ thành công không thành công bảng CSDL để phát hành vi  Theo dõi thu thập liệu hoạt động CSDL cụ thể Chẳng hạn, DBA thu thập số liệu thống kê bảng cập nhật, làm nhiều người dùng đồng thời kết nối thời gian cao điểm.Từ đó, có biện pháp để cải thiện hiệu suất  Kiểm toán để thỏa mãn yêu cầu pháp lý: thể trách nhiệm với liệu khách hàng Kết q trình kiểm tốn bắt buộc người dùng phải có trách nhiệm hành động mà họ thực hiện, cách theo dõi hành vi họ 1.4 MỘT SỐ LƯU Ý TRONG KIỂM TOÁN Kiểm toán thời điểm từ hệ thống bắt đầu hoạt động.Nên sử dụng kết hợp kiểm toán bên kiểm tốn bên ngồi Kiểm tốn cách có chọn lọc cần thiết, việc kiểm tốn làm giảm hiệu suất hệ thống Những hoạt động cần phải kiếm toán:  Hoạt động người dùng có quyền  Đăng nhập đăng xuất  Những thay đổi application trigger data trigger  Thay đổi quyền thay đổi thông tin người dùng  Cấu trúc liệu bị thay đổi  Các truy cập đọc ghi liệu nhạy cảm  Những lỗi ngoại lệ… Thơng tin nhật ký kiểm tốn cần lưu trữ bảo mật.Ngồi ra, nên tự động hóa giám sát hoạt động kiểm toán 10 Khi thực kiểm tốn ngồi giờ, DBA nên loại trừ hoạt động ứng dụng thực hiện, cách sử dụng tên đăng nhập đến từ địa IP Kiểm toán thực có khác biệt từ dịng sở giúp làm giảm kích thước vết kiểm tốn kiểm tra, kiểm toán ghi nhận hoạt động xảy bên chuẩn (đã định nghĩa dịng sở) 2.4.6 Kiểm tốn lỗi CSDL Kiểm toán lỗi trả từ sở liệu quan trọng vệt kiểm toán bạn nên thực hiện.Điều đặc biệt theo quan điểm an toàn Chẳng hạn, tìm hiểu cơng SQL injection, nhiều trường hợp kẻ công nỗ lực thực nhiều lần dựa thông báo lỗi hệ thống họ nhận kết mong đợi Bên cạnh đó, lỗi CSDL hiển thị giúp DBA tìm vấn đề ảnh hưởng đến thời gian phản hồi tính sẵn sàng Kiểm toán lỗi chi tiết hỗ trợ số nhà cung cấp CSDL DBA tham khảo tài liệu hướng dẫn môi trường để thực 2.4.7 Một số loại kiểm toán CSDL khác Ngồi loại kiểm tốn trên, cịn có dạng kiểm toán CSDL khác như: Kiểm toán thay đổi nguồn thủ tục lưu trữ trigger: kẻ cơng giấu đoạn mã độc hại vào trigger hay stored procedure Kiểm toán thay đổi đặc quyền, định nghĩa User/Login thuộc tính an tồn khác Kiểm toán việc tạo, thay đổi sử dụng liên kết CSDL lưu 20 Kiểm toán thay đổi liệu nhạy cảm: ghi nhận thay đổi giá trị cũ giá trị thao tác thuộc thao tác ngôn ngữ liệu CHƯƠNG 3: THỰC NGHIỆM MỘT SỐ KỸ THUẬT KIỂM TOÁN CSDL TRONG ORACLE 3.1 KỊCH BẢN THỰC NGHIỆM 3.1.1 Kiểm toán đăng nhập, đăng xuất Kịch bản: Tạo user có tên User1, User2 Thực kiểm tốn đăng nhập, đăng xuất với người dùng vừa tạo Thực nghiệm: Tạo user có tên USER1, USER2 gán quyền cho user: 21 Hình 3-3:User1 User2 sau gán quyền thành công Tạo bảng lưu kết kiểm tốn: Hình 3-4: Bảng lưu kết kiểm tốn Tạo trigger cho đăng nhập: 22 Hình 3-5:Ttrigger kiểm tốn đăng nhập tạo thành cơng Tạo trigger cho đăng xuất: 23 Hình 3-6: Trigger kiểm tốn đăng xuất tạo thành công Thực đăng nhập, đăng xuất user: Hình 3-7: Thực hành động đăng nhập, đăng xuất với user Xem kết kiểm tốn: 24 Hình 3-8: Kết kiểm toán sau thực đăng nhập, đăng xuất 3.1.2 Kiểm toán câu lệnh DDL Kịch bản:  Sử dụng người dùng SYS User1 tạo phần 3.1  Thực việc tạo xoá bảng người dùng SYS User1  Thực kiểm toán DDL với người dùng Thực nghiệm: Tạo bảng lưu kết kiểm tốn: Hình 3-9: Bảng ddl_audit lưu kết kiểm toán Tạo trigger kiểm tốn: 25 Hình 3-10: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành công Thực câu lệnh DDL với người dùng sys: Hình 3-11: Thực số câu lệnh create, alter 26 Thực câu lệnh DDL với người dùng USER1: Xem kết kiểm toán: 3.1.3 Kiểm toán câu lệnh DML Kịch bản:  Đăng nhập oracle với người dùng SYS quyền sysdba, tạo bảng Product  Gán quyền thực số thao tác lên bảng Product ( sử dụng User1 User2 tạo phần 3.1)  Thực kiểm toán DML bảng Product Thực nghiệm: 27 Thực đăng nhập vào tạo bảng có tên Product: Gán quyền Select, Insert, Update cho user USER1, USER2: Khởi tạo kiểm toán bảng Product: 28 Chèn liệu vào bảng Product: Thực câu lệnh DML bảng Product USER1: 29 USER2: Kết kiểm toán: 30 3.1.4 Kiểm tra lỗi CSDL Kịch bản:  Sử dụng người dùng SYS User1, USER2 tạo phần 3.1  Thực thao tác lỗi người dùng USER1, USER2  Thực kiểm tra lỗi người dùng Thực nghiệm: Tạo bảng lưu kết kiểm toán: Tạo trigger kiểm toán: 31 Đánh giá kết thực nghiệm Các chế kiểm toán giúp quản trị viên theo dõi, đảm bảo an toàn cho sở liệu hiệu Hầu hết chế dễ dàng thực theo dõi cách tốt Kiểm toán đăng nhập, đăng xuất giúp ghi lại người dùng, thời gian, ngày tháng hay địa máy khách kết nối nhằm theo dõi hành động đăng nhập thành cơng hay thất bại, từ phát nhanh chóng kịp thời hành động bất thường cố gắng đăng nhập trái phép vào sở liệu Kiểm toán hoạt động câu lệnh DDL ghi lại kiện:Create, alter, drop để định nghĩa lược đồ sở liệu logic Công tác ghi lại chi tiết ngày, câu lệnh DDL thực đối tượng thực Cũng giống kiểm toán DDL, kiểm toán hoạt động câu lệnh DML ghi lại kiện tìm kiếm, chèn , xóa, cập nhật liệu Loại kiểm tốn tạo lượng liệu lớn cần kiểm tốn cách có chọn lọc Kiểm tốn hoạt động cần thiết, nhiên nên kiểm tốn cần thiết dễ giảm hiệu suất hệ thống 32 KẾT LUẬN Việc nghiên cứu nghiên cứu, phát truy cập liệu trái phép cách sử dụng chế kiểm toán hệ quản trị CSDL trở nên vô quan trọng cần thiết hết Đặc biệt q trình phát triển cơng nghệ thơng tin ngày biến đổi mạnh mẽ nhanh chóng Các hệ quản trị CSDL đại hầu hết hỗ trợ chế kiểm toán CSDL mạnh, chẳng hạn: Sybase, DB2, Oracle, SQL Server, MySQL, Những vết kiểm toán thu tài liệu hữu ích giúp DBA phát hiện, theo dõi, cảnh báo đưa hành động cần thiết giúp bảo vệ CSDL khỏi công tin tặc Qua khoảng thời gian tìm hiểu kiểm tốn nhóm chúng em tìm hiểu vấn đề sau: Tổng quan kiểm tốn CSDL Đi vào tìm hiểu cơ chế, loại kiểm toán CSDL Thực hành số loại kiểm toán hệ quản trị CSDL Oracle Nhìn chung báo cáo đáp ứng yêu cầu bản, nhiên số hạn chế Hướng phát triển đề tài: Tiếp tục nghiên cứu, tìm hiểu giải pháp có hệ quản trị sở liệu khác, sản phẩm giới để từ nâng cao kiến thức hiểu biết hệ quản trị, khả lập trình sở liệu kỹ thuật kiểm toán 33 TÀI LIỆU THAM KHẢO [1] Ron Ben Natan, Implementing Database Security and Auditing [2] Tạp chí An Tồn Thơng Tin [3] Diễn đàn CSDL ORAVN [4].Giáo trình Bảo mật hệ thống thông tin, Trường Đại học Bách khoa Thành Phố HCM 34 ... vệ CSDL khỏi công tin tặc Qua khoảng thời gian tìm hiểu kiểm tốn nhóm chúng em tìm hiểu vấn đề sau: Tổng quan kiểm tốn CSDL Đi vào tìm hiểu cơ chế, loại kiểm toán CSDL Thực hành số loại kiểm toán. .. 2.2 CÁC CƠ CHẾ KIỂM TOÁN CSDL 2.3 CÁC PHƯƠNG PHÁP KIỂM TOÁN TRONG ORACLE 2.3.1 Kiểm toán application serv 2.3.2 Kiểm toán trigger 2.3.3 Kiểm toán câu lệnh 2.4 DANH MỤC KIỂM TOÁN CSDL ... gồm chương sau: Chương 1: Tổng quan kiểm toán CSDL Chương 2: Kỹ thuật kiểm toán CSDL Oracle Chương 3: Thực nghiệm số kỹ thuật kiểm toán CSDL Oracle Do thời gian thực đề tài nhiều hạn chế, báo cáo

Ngày đăng: 30/11/2022, 14:01

Hình ảnh liên quan

Hình 2-1: Khóa tài khoản sử dụng một cảnh báo và thủ tục CSDL - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 2.

1: Khóa tài khoản sử dụng một cảnh báo và thủ tục CSDL Xem tại trang 16 của tài liệu.
Hình 3-3:User1 và User2 sau khi được gán quyền thành công. - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 3.

3:User1 và User2 sau khi được gán quyền thành công Xem tại trang 22 của tài liệu.
Hình 3-5:Ttrigger kiểm tốn đăng nhập tạo thành cơng. - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 3.

5:Ttrigger kiểm tốn đăng nhập tạo thành cơng Xem tại trang 23 của tài liệu.
Hình 3-6: Trigger kiểm tốn đăng xuất tạo thành cơng - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 3.

6: Trigger kiểm tốn đăng xuất tạo thành cơng Xem tại trang 24 của tài liệu.
Hình 3-8: Kết quả kiểm tốn sau khi thực hiện đăng nhập, đăng xuất - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 3.

8: Kết quả kiểm tốn sau khi thực hiện đăng nhập, đăng xuất Xem tại trang 25 của tài liệu.
Hình 3-10: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành công Thực hiện các câu lệnh DDL với người dùng sys: - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

Hình 3.

10: Trigger kiểm tốn hoạt động câu lệnh DDL tạo thành công Thực hiện các câu lệnh DDL với người dùng sys: Xem tại trang 26 của tài liệu.
Chèn dữ liệu vào bảng Product: - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

h.

èn dữ liệu vào bảng Product: Xem tại trang 29 của tài liệu.
3.1.4 Kiểm tra lỗi trong CSDL Kịch bản: - (TIỂU LUẬN) AN TOÀN cơ sở dữ LIỆU tìm HIỂU KIỂM TOÁN CSDL và THỰC HIỆN TRÊN ORACLE

3.1.4.

Kiểm tra lỗi trong CSDL Kịch bản: Xem tại trang 31 của tài liệu.