AN NINH CƠ SỞ DỮ LIỆU Vấn đề an ninh liệu nghiên cứu nhiều năm, tập trung vào vấn đề như: an ninh vật lý, điều khiển truy cập, mã hoá liệu An ninh liệu không bao gồm tính chất như: độc lập liệu, truy cập chia sẻ, toàn vẹn liệu mà có tính chất sau: tính riêng tư, kiên định, sẵn sàng Các nghiên cứu an ninh CSDL dựa vấn đề như: an ninh vật lý, an ninh hệ điều hành, an ninh hệ quản trị CSDL, mã hoá liệu Ví dụ việc kiểm soát truy cập, việc suy diễn hệ quản trị CSDL góp phần đảm bảo tính bí mật, toàn vẹn, sẵn sàng hệ thống Hầu hết mối đe doạ an ninh hệ CSDL bắt nguồn từ bên hệ thống Các hệ thống xác nhận người dùng qua thông tin đăng nhập người dùng: tài khoản, mật Sau hoàn thành thủ tục đăng nhập, tiến trình ứng dụng tiến hành Chúng hoạt động xác nhận người dùng vừa hoàn thành thủ tục đăng nhập, gọi người dùng hợp lệ Tuy nhiên người dùng hợp lệ làm thất thoát thông tin Một số phương thức xâm nhập hệ thống khai thác thông tin: xâm phạm quyền truy cập, suy luận logic kết nhập thông tin Trong suy diễn logic hacker sử dụng nhiều liệu sẵn có để suy luận dẫn thông tin bí mật Kết nhập thông tin gần giống với suy luận logic Bản thân liệu đơn lẻ không mang thông tin bí mật, ta tập hợp nhiều thông tin đơn lẻ ta có thông tin quan trọng bí mật Ngoài có phương thức như: giả danh người dùng hợp lệ, vượt qua chế điều khiển truy cập, duyệt thông tin, cài phần mềm mong muốn người dùng 1 Giới thiệu chung 1.1 Cơ sở liệu Theo wikipedia sở liệu (CSDL) hiểu theo cách định nghĩa kiểu kĩ thuật tập hợp thông tin có cấu trúc Tuy nhiên, thuật ngữ thường dùng công nghệ thông tin thường hiểu rõ dạng tập hợp liên kết liệu, thường đủ lớn để lưu thiết bị lưu trữ đĩa hay băng Dữ liệu trì dạng tập hợp tập tin hệ điều hành hay lưu trữ hệ quản trị sở liệu Hiểu cách đơn giản CSDL tập hợp liệu liên quan đến chương trình truy cập đến liệu CSDL giúp cho tiến trình xử lí liệu thực cách thuận tiện hiệu 1.2 An ninh sở liệu Thông tin xem nguồn tài nguyên có giá trị quan trọng doanh nghiệp Các hệ thống thông tin trở thành công cụ đắc lực phục vụ công tác kinh doanh doanh nghiệp, CSDL đóng vai trò quan trọng sống công ty Sự mát thông tin nhiều ảnh hưởng tới doanh thu kế hoạch phát triển lâu dài Dữ liệu doanh nghiệp bao gồm: báo cáo tài chính, nhiều liệu khác sở cho thành công hoạt động doanh nghiệp Chúng bí mật thương mại Khái niệm an toàn CSDL rộng, bảo vệ thông tin là: tránh mát thông tin, để lộ, truy cập trái phép, phá huỷ, sửa đổi… An toàn CSDL liên quan tới việc đảm bảo tính bí mật, toàn vẹn sẵn sàng liệu - Bí mật: bảo vệ thông tin không bị truy cập trái phép cách trực tiếp hay gián tiếp, cố ý hay vô ý Hơn nữa, tính khả thông tin bị lộ người dùng truy cập trái phép, hoạt động “kênh thông tin” chuyển thông tin bí mật tới người không cấp quyền - Toàn vẹn: bảo vệ thông tin không bị sửa đổi cách ác ý hay vô tình, bao gồm chèn liệu sai, phá huỷ liệu - Tính sẵn sàng: đảm bảo liệu sẵn sàng người dùng đăng nhập hợp lệ cần sử dụng Các biện pháp giúp bảo vệ CSDL: điều khiển luồng thông tin, điều khiển suy diễn, điều khiển truy cập Đối với biện pháp này, người ta bổ sung thêm kỹ thuật mã hoá Mã hoá liệu tức liệu lưu trữ dạng mã bí mật Những thông tin mã hóa người có thẩm quyền mở hiểu Điều khiển truy cập 2.1 Định nghĩa Điều khiển truy cập trách nhiệm đảm bảo tất truy cập đối tượng hệ thống tuân theo kiểu cách quy luật bảo vệ liệu Một hệ thống điều khiển truy cập gồm người sử dụng trình Các chủ thể khai thác liệu, chương trình thông qua phép toán Về chức hệ thống điều khiển truy cập có phần: - Tập sách luật truy cập: Đặt kiểu cách khai thác thông tin lưu trữ hệ thống Có thể người, trình - Tập thủ tục điều khiển: Tập kiểm soát câu hỏi, cho phép hay từ chối yêu cầu khai thác câu hỏi 2.2 Chính sách an toàn Chính sách an toàn liên quan đến việc thiết kế quản lý hệ thống cấp quyền khai thác Một cách thông thường để đảm bảo an toàn liệu định tên đối tượng tham gia vào hệ thống xác định quyền truy cập cho đối tượng - Tên (identifier): Việc đặt tên gán cho đối tượng tên, hay số theo cách Không có trùng lặp tên - Uỷ quyền (authoirization): Là quyền khai thác phép toán chủ thể đối tượng 2.3 Giới hạn truy cập Để trả lời cho câu hỏi thông tin cung cấp cho đối tượng đủ? Do cần xác định giới hạn truy cập Có hai sách bản: - Chính sách tối thiểu: Các đối tượng sử dụng lượng tối thiểu thông tin cần thiết cho hoạt động Đảm bảo với sách người dùng truy cập vào liệu, tạo thuận lợi cho truy cập - Chính sách tối đa: Chính sách dựa vào nguyên tắc cung cấp lượng liệu nhiều Đối tượng phép truy cập lên liệu với quyền tối đa đó, đảm bảo thông tin không bị xâm phạm vượt mức cho phép Có hai kiến trúc hệ thống đóng mở Trong hệ thống đóng, yêu cầu có quyền khai thác truy cập vào liệu Ngược lại, hệ thống mở nhấn mạnh việc chia sẻ thông tin Hệ thống ngăn cấm yêu cầu bị cấm Hình 1: Hệ thống đóng Hình 2: Hệ thống mở 2.4 Quản lí quyền truy cập Chính sách quản lý quyền truy cập dùng điều khiển tập trung phân tán Việc chọn điều khiển tập trung phân tán sách an toàn Tuy kết hợp điều khiển quản lý để có sách phù hợp: - Phân quyền cấp: Cơ chế điều khiển thực nhiều trạm điều khiển tập trung có trách nhiệm điều khiển trạm - Chọn quyền sở hữu: Khi mô tả quan hệ người ta mô tả người sở hữu đảm bảo quyền khai thác liệu họ bảng - Quyết định tập thể: Có tài nguyên tập thể sở hữu, có yêu cầu truy cập cần phải có đồng ý nhóm 2.5 Các sách điều khiển truy cập Chính sách thiết lập khả cách để chủ thể hệ thống đối tượng nhóm lại, để dùng chung điều khiển truy cập Ngoài ra, sách cho phép thiết lập việc chuyển giao quyền truy cập 2.6 Chính sách phân cấp Chính sách coi sách điều khiển luồng thông tin ngăn ngừa luồng thông tin đối tượng có độ ưu tiên thấp Hệ thống có mức phân loại sau: • Top secret (TS) • Secret (S) • Confidential(C) • Unclassified (U) 2.7 Ma trận điều khiển truy cập (Access Control Matrix –ACM) ACM công cụ hình thức để thể trạng thái bảo vệ hệ thống cách chi tiết xác Nó cung cấp thông tin chi tiết xác rằng, thời điểm xét, tài nguyên truy cập NSD với quyền cho phép cụ thể xác định Cụ thể là, mô hình đặc trưng ba (S,O,R) đó: - S={s1,s2, …, sn}: tập hợp chủ thể (subjects) yêu cầu truy cập đến tài nguyên, ví dụ NSD (users) hay tiến trình kích hoạt NSD − O={o1,o2, …, om}: tập hợp đối tượng truy cập (objects) tức tài nguyên, phổ biến tệp liệu lưu trữ − R={r1,r2, …, rk}: tập quyền cụ thể xác định sẵn mà phần tử S có phần tử O Trên lý thuyết, thiết lập ma trận truy cập (ACM) hữu lý Tuy nhiên cài đặt trực tiếp ma trận lại vừa lớn, vừa lãng phí Trong thực tế, ma trận cho hệ điều hành kiểu Unix lớn tưởng tượng được: cần nhớ tệp liệu chiếm cột bảng Lãng phí lớn đa phần ô bảng rỗng hầu hết tài nguyên dạng dành cho người sử dụng nhóm nhỏ người sử dụng, tức số dòng bảng Đó chưa kể với kích thước lớn, khả lưu trữ toàn ma trận nhớ thấp, thao tác truy cập, tìm kiếm lâu, đến mức chấp nhận thực tế ứng dụng hệ điều hành.Vì vậy, người ta cần nghiên cứu cách đặt gián tiếp ACM để mang lại tính khả thi cao Các giải pháp để cài đặt ACM cách khả thi dựa nguyên tắc chung phân rã ma trận để tiện lưu trữ truy xuất đồng thời biểu diễn thành phần khái niệm biểu (đối tượng quản lý hệ điều hành) thích ứng với phạm vi Cụ thể có giải pháp phổ biến sau: - Phân rã theo cột: tạo nên đối tượng quản lý danh sách điều khiển truy cập (access control list: ACL) Các ACL gắn vào đối tượng tài nguyên (object), cung cấp danh sách NSD quyền truy cập đến đối tượng - Phân rã theo dòng: tạo nên danh sách khả (capability list), gắn với chủ thể (người sử dụng), cung cấp danh sách tài nguyên mà chủ thể sử dụng với quyền truy cập cụ thể tương ứng - Thông qua biểu diễn gián tiếp khác, ví dụ khóa, nhóm, vai trò Tất giải pháp cố gắng tạo môi trường hoạt động có ngữ nghĩa sử dụng thuận tiện File File File File Alice Read, write, execute, own execute Bob Read Read, write, execute, own read write Alice →{(file 1,{Read, write, execute, own}), (file 2, execute), (file 3, read), (file 4, write)}  CL File →{(Bob, read), (Alice, {Read, write, execute, own})}  ACL Các phương pháp điều khiển truy cập 3.1 Điều khiển truy cập tùy quyền Điều khiển truy cập tùy quyền (Discretionary Acess Control - DAC) thể nguyên lý: quyền truy cập (right) cho cặp (chủ thể, đối tượng) xác định riêng rẽ định chủ thể chủ nhân đối tượng (owner) Điều khiển truy cập DAC thể loại điều khiển truy cập sử dụng sớm phổ biến hệ điều hành từ thời buổi sơ khai Nó định nghĩa chặt chẽ, xác tác giả đưa mà hình thành cách tự nhiên thực tế Cho đến DAC mô hình ưa dùng phổ biến hệ điều hành đại Đặc trưng gắn liền với sử dụng khái niệm chủ nhân đối tượng, tức chủ thể có quyền cấp kiểm soát khả truy cập chủ thể khác đối tượng Có thể thấy, mô hình gắn bó với tiếp cận cài đặt ACL ACM (sử dụng danh sách quyền truy cập ACL) Bản thân quyền làm chủ thứ quyền cấp phát Do quyền truy cập lan truyền chủ thể Điều khiển truy cập tùy nghi tạo nên linh hoạt mềm dẻo tối đa cho việc quản lý quyền truy cập Tuy nhiên phân tán cao độ việc quản lý, cho phép dễ dãi việc cấp phát quyền, tạo lan truyền quyền cách không mong muốn, tức tạo vấn đề an toàn bảo mật Sự mềm dẻo dễ dãi dễ bị khai thác, hệ thống dễ bị tổn thương chống lại nguồn hình thức công như: Trojan horse, mã độc, lỗi phần mềm, người sử dụng nội có ý đồ xấu Nguyên nhân chủ yếu nói, hệ thống kiểm soát luồng thông tin (information flow) điểu khiển truy cập, kẻ khách vãng lai vai trò thứ yếu hệ thống thu hoạch quyền truy cập đối tượng quan trọng hệ thống 3.2 Điều khiển truy cập bắt buộc Ngược với DAC, điều khiển truy cập bắt buộc (Mandatory Access Control – MAC), không cho phép cá nhân chủ thể toàn quyền định truy cập cho đối tượng mà cưỡng chế truy cập tất đối tượng theo sách chung, qui định chế phân loại cấp bậc Theo phân loại chủ thể phân loại gán nhãn cấp bậc, thể tầm quan trọng (đặc quyền) cao hay thấp hệ thống (xét phương diện an toàn bảo mật), đối tượng phân loại gán nhãn thể tính mật, tức cần bảo vệ, cao hay thấp Cấp bậc chủ thể (security class) phải đủ cao truy cập vào đối tượng có nhãn bảo mật mức (security clearance) Thông thường, Cấp chủ thể cần phải không thấp Mức bảo mật đối tượng Tóm lại, luật truy cập chung áp dụng để định cho tất yêu cầu truy cập thay quản lý phân tán chủ nhân đối tượng mô hình DAC Bên cạnh việc khống chế truy cập thông qua cấp bậc chủ thể mức an toàn đối tượng, khái niệm thường sử dụng phân nhóm theo thể loại thông tin Thông tin hệ thống phân loại theo nhóm thể loại (cathegories), mà áp dụng cho chủ thể đối tượng Mỗi nhãn chủ thể hay đối tượng có hai thành phần (cấp/mức, nhóm thể loại) nhóm thể loại hiểu tập tập vũ trụ tất dạng thông tin có Một cách khái quát, nhãn phần tử không gian tích đề-các (A,C) không gian cấp/mức A có quan hệ thứ tự đầy đủ không gian thể loại C không gian tập có dạng quan hệ thứ tự bán phần (tức quan hệ tập con) Có thể thấy luật truy cập xây dựng quan hệ so sánh nhãn, mà hay gọi dominate tức “chiếm ưu hơn” hay “cao hơn” Một nhãn (A,C) ưu (dominate) nhãn (A’,C’) A≥A’ C⊇C’ (Lưu ý dấu xảy chỗ chấp nhận.) Chú ý rằng, có khái quát gộp chung lại khái niệm cấp bậc chủ thể mức bảo mật đối tượng thông tin Chính nhãn chủ thể nhãn đối tượng thông tin đưa vào không gian chung để so sánh tạo nên tính đơn giản quy luật truy cập Ví dụ 7.5 Trong hệ thống quản lý thông tin điểm số khoa đại học, có cấp/mức bảo mật confidential (mật) public (công khai), đồng thời loại thông tin studentinfo (thông tin sinh viên) dept-info (thông tin khoa/viện) Như có nhãn như: label(Joe)=(confidential,{student-info}) label(grades)=(confidential,{student-info}) Dễ thấy luật truy nhập cho phép Joe đọc liệu grades nhãn Joe không thua nhãn grades Để biểu diễn quan hệ “ưu hơn” hệ thống thực tế, người ta vẽ đồ thị có hướng nhãn (như nút đồ thị) mà cạnh chúngthể quan hệ “ưu hơn” có Tuy nhiên để tránh phức tạp người ta dấu không vẽ cạnh thể tính bắc cầu hiển nhiên quan hệ “ưu hơn” quan hệ bắc cầu Biểu diễn dạng đồ thị gọi lưới 3.3 Điều khiển truy cập dựa vai trò Thực tế ứng dụng điều khiển truy nhập làm nảy sinh tiếp cận thiết kế điều khiển truy nhập kiểu mới, có khả bám sát phản ánh tốt đặc trưng khái quát hệ thống thông tin doanh nghiệp, đặc biệt hệ thống có nghiệp vụ riêng (ví dụ doanh nghiệp ngân hàng tài chính) Theo tiếp cận này, việc cấp quyền truy nhập, khai thác tài nguyên (permission) không trực tiếp hướng tới người sử dụng cuối mà hướng tới, lớp hay cụm người sử dụng giống phương diện nhiệm vụ, vai trò xử lý thông tin Khái niệm vai trò (role) đưa để khái quát tượng trưng cho dạng, lớp nhiệm vụ xử lý tin Dễ thấy hệ thống doanh nghiệp đặc thù, người ta đưa định nghĩa tập vai trò bản, bao phủ hết dạng nghiệp vụ đặc thù mà người sử dụng phải thực Tập vài trò thường có kích thước nhỏ tập người dùng cuối nhiềuvì thường vai trò có nhóm người dùng cuối gán thuộc cho Như ý tưởng tiếp cận định nghĩa tập hợp vai trò công việc (thường mang nặng tính nghiệp vụ), tương ứng với vai trò dạng nhiệm vụ xử lý thông tin bản, việc ban phát quyền sử dụng, truy nhập tài nguyên đến vai trò Một người dùng cuối không ban phát quyền truy nhập cách trực tiếp, hưởng quyền thích hợp “ăn theo” vai trò mà người dùng gán cho Chú ý người dùng có nhiều vai trò khác Mô hình goi mô hình điều khiển truy nhập hướng vai trò (Role-Based Access Control – RBAC) Cách tiếp cận phù hợp với mô hình doanh nghiệp có nghiệp vụ đặc trưng, khái niệm gần với trực giác, bám sát yêu cầu quản lý sử dụng tài nguyên phản ánh trách nhiệm, quyền hạn lực dạng vị trí (vai trò) công việc doanh nghiệp Chú ý RBAC, gắn quyền vào vai trò (role-permission assignment) thường lâu dài, DAC gắn quyền trực tiếp đến người dùng cuối (user-permission assignment) mang tính ngắn hạn thay đổi thường xuyên (không bám sát đặc thù công việc, mà bám vào nhu cầu cụ thể thay đổi hàng ngày) Vì RBAC thể hàng loạt ưu điểm phù hợp với quản lý hệ thống thông tin doanh nghiệp Hiển nhiên, có khả diễn tả cao sách tổ chức doanh nghiệp: phân công theo vai trò sở cho sự tách biệt nhiệm vụ tạo chế đại diện ủy nhiệm RBAC hỗ trợ khả đảm bảo đặc quyền tối thiểu hợp lý (Least previledge) khai hóa thông tin liệu (data abstraction) Đồng thời RBAC mềm dẻo tiện lợi kinh tế cho việc đáp ứng nhanh thay đổi sách bảo mật Một yêu cầu bảo mật dẫn đến thay đổi cách thức gán quyền truy nhập vào vai trò, không dẫn đến thay đổi cụ thể trực tiếp vào liệu điều khiển người sử dụng Mô hình RBAC độc lập với mô hình DAC MAC Mô hình trung tính với sách (policy neutral): cách cấu hình vai trò hệ thống xác định, thể sách muốn áp đặt vào hệ thống Không nên hiểu khái niệm vai trò (RBAC) tương tự với nhóm người dùng (user group, RBAC) Nhóm người dùng đơn giản tập thể người dùng (cùng làm việc, hay chia sẻ điều đó) người dùng có quyền khai thác khác Vai trò coi khái niệm trung gian tập người dùng tập quyền khai thác Demo mô hình DAC SQL server 4.1 Cơ sở lí thuyết GRANT: truyền quyền đối tượng liệu cho người dùng khác GRANT ON TO /* Lan truyền quyền GRANT ON To [WITH GRANT OPTION] */ 10 REVOKE: lấy lại (hủy bỏ) quyền đối tượng liệu từ người dùng khác REVOKE ON FROM Điều khiển truy cập tùy quyền VIEW (quan hệ ảo) Người dùng A chủ quan hệ R A muốn gán cho người dùng B quyền truy xuất R muốn cho B xem số thuộc tính định A tạo view V R chứa thuộc tính sau gán cho B quyền SELECT V 4.2 Thực nghiệm - Bước 1: tạo CSDL “QUẢN LÍ BÁN HÀNG” - Bước 2: tạo login ID với user tương ứng sau: Login ID caohoc cntt ccbb User lanhuong K27 keomit Password 123456 123456 123456 - Bước 3: kiểm tra quyền K27 CSDL - Bước 4: + thực gán quyền user lanhuong cho user K27 + tạo view HANG với thuộc tính MaHH, TenHH + gán quyền View với lan truyền quyền - Bước 5: kiểm tra lại quyền K27, keomit - Bước 6: thực thu hồi quyền - Bước 7: kiểm tra quyền K27 keomit 11 Ghi owner [...]...REVOKE: lấy lại (hủy bỏ) những quyền trên các đối tượng dữ liệu của mình từ những người dùng khác REVOKE ON FROM Điều khiển truy cập tùy quyền bằng VIEW (quan hệ ảo) Người dùng A là chủ của quan hệ R A muốn gán cho người dùng B quyền truy xuất trên R nhưng chỉ muốn cho B xem một số thuộc... 2: tạo ra 3 login ID với 3 user tương ứng như sau: Login ID caohoc cntt ccbb User lanhuong K27 keomit Password 123456 123456 123456 - Bước 3: kiểm tra các quyền của K27 trên CSDL - Bước 4: + thực hiện gán quyền của user lanhuong cho user K27 + tạo ra view HANG với 2 thuộc tính MaHH, TenHH + gán quyền trên View với lan truyền quyền - Bước 5: kiểm tra lại các quyền của K27, keomit - Bước 6: thực hiện