Chương THIẾT KẾ CSDL AN TOÀN GV: Nguyễn Phương Tâm Mục tiêu Trình bày giải pháp sử dụng hệ quản trị sở liệu an toàn Trình bày số mẫu nghiên cứu sản phẩm DBMS an toàn thương mại Trình bày giải pháp mang tính phương pháp luận nhằm thiết kế sở liệu an toàn Trường CĐ CNTT HN Việt Hàn 2/110 Nguyễn Phương Tâm Nội dung 3.1 Giới thiệu 3.2 An toàn DBMS 3.3 Thiết kế sở liệu an toàn Trường CĐ CNTT HN Việt Hàn 3/110 Nguyễn Phương Tâm 3.1 Giới thiệu Một DBMS an toàn  Nền tảng CSDL an toàn DBMS an toàn  Có nhiều kiến trúc DBMS an toàn khác nhau, phụ thuộc vào phần không tin cậy toàn hệ thống Thiết kế CSDL an toàn  Lựa chọn sách an toàn  Thực thi  Kiểm tra Trường CĐ CNTT HN Việt Hàn 4/110 Nguyễn Phương Tâm 3.2 AN TOÀN TRÊN DBMS 3.2.1 Các chế an toàn DBMS 3.2.2 Mô hình cấp quyền System R 3.2.3 Các kiến trúc DBMS an toàn Trường CĐ CNTT HN Việt Hàn 5/110 Nguyễn Phương Tâm 3.2 AN TOÀN TRÊN DBMS CSDL? Việc đảm bảo an toàn cho CSDL thực hai mức: DBMS, OS DBMS khai thác chức an toàn bắt buộc mức OS Trường CĐ CNTT HN Việt Hàn 6/110 Nguyễn Phương Tâm Sự khác OS DBMS Độ chi tiết đối tượng (Object granularity):  Trong OS, độ chi tiết mức tệp (file), thiết bị  Trong DBMS, chi tiết (ví dụ như: quan hệ, hàng, cột, trường) Trường CĐ CNTT HN Việt Hàn 7/110 Nguyễn Phương Tâm Sự khác OS DBMS Các tương quan ngữ nghĩa liệu (Semantic correlations among data):  Trong OS không có,  Trong CSDL, liệu có ngữ nghĩa liên quan với thông qua quan hệ ngữ nghĩa như: • Dữ liệu (data) • Thời gian truy cập (time) • Ngữ cảnh (context) • Lịch sử truy cập (history) Trường CĐ CNTT HN Việt Hàn 8/110 Nguyễn Phương Tâm Sự khác OS DBMS Siêu liệu (Metadata): Siêu liệu tồn DBMS, cung cấp thông tin cấu trúc liệu CSDL, cấu trúc lưu trữ vật lý đối tượng CSDL(quan hệ, thuộc tính, ràng buộc, miền…) Trong OS Các đối tượng logic vật lý: Các đối tượng OS đối tượng vật lý (ví dụ: file, thiết bị, nhớ tiến trình) Các đối tượng DBMS đối tượng logic (ví dụ: quan hệ, khung nhìn) chúng độc lập với đối tượng OS Trường CĐ CNTT HN Việt Hàn 9/110 Nguyễn Phương Tâm Sự khác OS DBMS Nhiều kiểu liệu: Đặc điểm CSDL có nhiều kiểu liệu, CSDL yêu cầu nhiều chế độ truy nhập (ví chế độ thống kê, chế độ quản trị) Tại mức OS tồn truy nhập vật lý, bao gồm thao tác file như: đọc, ghi thực Các đối tượng động tĩnh: Các đối tượng OS quản lý đối tượng tĩnh tương ứng với đối tượng thực Trong CSDL, đối tượng tạo động (ví dụ khung nhìn hay kết hỏi đáp) đối tượng thực tương ứng Trường CĐ CNTT HN Việt Hàn 10/110 Nguyễn Phương Tâm 3.3.3 Thiết kế khái niệm Phân tích sơ Các yêu cầu sách an toàn Thiết kế khái niệm Thiết kế lôgíc Thiết kế vật lý Trường CĐ CNTT HN Việt Hàn 96/110 Nguyễn Phương Tâm 3.3.4 Thiết kế lôgíc Chuyển đổi từ mô hình khái niệm sang mô hình logic dựa DBMS cụ thể Sử dụng số kỹ thuật dựa vào câu truy vấn khung nhìn để kiểm soát truy nhập Cần quan tâm chế mức OS chức mà gói an toàn đưa Trường CĐ CNTT HN Việt Hàn 97/110 Nguyễn Phương Tâm 3.3.4 Thiết kế sở liệu an toàn Phân tích sơ Các yêu cầu sách an toàn Thiết kế khái niệm Thiết kế lôgíc Thiết kế vật lý Trường CĐ CNTT HN Việt Hàn 98/110 Nguyễn Phương Tâm 3.3.5 Thiết kế vật lý Trong giai đoạn người ta quan tâm đến chi tiết liên quan đến việc tổ chức lưu trữ chế độ thực hiện/tích hợp mô hình Từ mô hình logic, thiết kế chi tiết chế an toàn, bao gồm:  Thiết kế cấu trúc vật lý  Các quy tắc truy nhập Trường CĐ CNTT HN Việt Hàn 99/110 Nguyễn Phương Tâm Các phân tích sơ (Preliminary analysis) Ngôn ngữ đặc tả yêu cầu an toàn (Security requirement specification language ) Mô hình khái niệm an toàn (Security Conceptual model) Mô hình lôgíc an toàn (Security Logical model) Mô hình vật lý an toàn (Security Physical model) Các yêu cầu sách an toàn (Security requirements and policies) Thiết kế khái niệm (Conceptual design) Thiết kế lôgíc (Lôgícal design) Thiết kế vật lý (Physical design) Kỹ thuật DBMS (DBMS technology) Lược đồ lôgíc an toàn (Security Logical schema) Các tham số chiếu (hiệu năng) Project parameters (performances) Các chế an toàn (Security mechanisms) 10/29/2015 Thực thi (Implementation) 100 3.3.6 Việc thực chế an toàn  Một số quy tắc trình thiết kế hệ thống bảo vệ an toàn:  Tính kinh tế chế: Một hệ thống bảo vệ cần nhỏ, đơn giản minh bạch, giảm bớt chi phí, độ tin cậy cao hơn, việc kiểm tra kiểm toán giai đoạn hệ thống dễ dàng Các chế cần đơn giản đến mức  Hiệu quả: Các chế nên hiệu quả, chúng thường gọi thời gian chạy Cách hướng tiếp cận dựa vào nhân không thoả mãn hoàn toàn yêu cầu tải gánh nặng hiệu Trường CĐ CNTT HN Việt Hàn 101/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Độ tuyến tính chi phí : Sau giai đoạn cài đặt, chi phí hoạt động nên cân xứng với việc sử dụng thực tế chế  Phân tách đặc quyền: ý tưởng phân tầng chế kiểm soát làm cho truy nhập phải phụ thuộc vào nhiều điều kiện (ví dụ có nhiều mức mật khẩu)  Đặc quyền tối thiểu • Hạn chế lỗi • Bảo trì • Ngăn chặn Trojan Trường CĐ CNTT HN Việt Hàn 102/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Dàn xếp toàn : Mỗi truy nhập vào đối tượng phải kiểm tra kiểm soát truy nhập  Thiết kế mở: nên để công khai kỹ thuật an toàn, thành phần bí mật, dùng khóa mật để che dấu  An toàn mặc định: Nếu người sử dụng không định tuỳ chọn tuỳ chọn bảo vệ thường đặt ngầm định Trường CĐ CNTT HN Việt Hàn 103/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Các chế chung tối thiểu: việc chia sẻ tạo nên kênh thông tin tiềm tàng, chế nên độc lập với  Dễ sử dụng: Việc sử dụng chế phải dễ dàng, cho phép người dùng sử dụng chúng cách phù hợp  Tính mềm dẻo: Một chế an toàn nên tuân theo sách khác nhau, hiệu nhiều trường hợp khác tình xấu Trường CĐ CNTT HN Việt Hàn 104/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Sự cách ly: Cơ chế an toàn nên cách ly (trong suốt) từ thành phần khác hệ thống, chống lại nhiều kiểu công  Tính đầy đủ quán: Cơ chế an toàn phải đầy đủ (có nghĩa tuân theo toàn đặc tả thiết kế) quán (có nghĩa không tồn mâu thuẫn vốn có)  Khả quan sát: Cần có khả kiểm soát chế an toàn công chống lại chế Trường CĐ CNTT HN Việt Hàn 105/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Vấn đề bỏ sót: Phần bị bỏ sót đoạn thông tin lưu trữ nhớ sau tiến trình kết thúc Dữ liệu bị lộ chủ thể trái phép kiểm tra phần bị bỏ sót  Khả không nhìn thấy liệu: Nội dung đối tượng tồn đối tượng cần che dấu để tránh người dùng trái phép suy diễn đối tượng  Hệ số làm việc: Việc phá vỡ chế an toàn phải công việc khó khăn, đòi hỏi nhiều nỗ lực Trường CĐ CNTT HN Việt Hàn 106/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Các bẫy chủ ý: Chúng ta thiết kế chế với lỗi chủ ý bên trong, sau kiểm soát chúng thời gian thực hệ thống, để phát cố gắng xâm nhập có thể, nhằm giám sát hành vi kẻ xâm nhập  Xác định tình trạng khẩn cấp: Chúng ta nên thiết kế chế với phương thức “disable”"mất khả làm việc“ trường hợp cần xây dựng lại hay cấu hình lại hệ thống, có cố xảy ra, có nhu cầu tổ chức lại hệ thống Trường CĐ CNTT HN Việt Hàn 107/110 Nguyễn Phương Tâm 3.3.6 Việc thực chế an toàn  Phần cứng an toàn: Yêu cầu dành cho hệ thống bảo vệ Phần cứng phải tin cậy bảo vệ vật lý, kẻ xâm nhập dễ dàng sử dụng lỗi phần cứng/phần mềm nhằm vượt qua kiểm soát an toàn  Ngôn ngữ lập trình: cần lựa chọn ngôn ngữ lập trình dùng nhà lập trình có kỹ để giảm tối thiểu lỗi xảy Việc sửa đổi chương trình phải song hành với việc cập nhật đặc tả  Tính đắn: Các chế phải thông dịch cách xác mô hình, ngược lại chế xem không Trường CĐ CNTT HN Việt Hàn 108/110 Nguyễn Phương Tâm 3.3.7 Việc kiểm tra thử nghiệm  Mục đích giai đoạn kiểm tra yêu cầu sách an toàn Việc kiểm tra thực thông qua sản phẩm phần mềm  Chứng minh tính đắn chương trình: chứng minh mã lệnh số ngôn ngữ lập trình đắn  Thử nghiệm: phân tích hoạt động hệ thống cách kiểm tra, thuê chuyên gia để thử xâm nhập vào hệ thống… Trường CĐ CNTT HN Việt Hàn 109/110 Nguyễn Phương Tâm Câu hỏi tập Tìm hiểu số mô hình an toàn: Take-Grant, Action-Entity, Seaview… Thiết kế sở liệu an toàn cho toán: Quản lý sinh viên hệ quản trị SQL Server Trường CĐ CNTT HN Việt Hàn 110/110 Nguyễn Phương Tâm [...]... có các giao tác liên quan đến dữ liệu ở các mức an toàn khác nhau (ví dụ: select, insert, update, delete), vì một đối tượng trong CSDL có thể chứa các dữ liệu ở các mức an toàn khác nhau Tại mức OS, một đối tượng chỉ có thể chứa dữ liệu ở một mức an toàn, chỉ có các thao tác cơ bản (ví dụ, đọc, ghi, thực hiện)  Thời gian tồn tại của dữ liệu: Dữ liệu trong một CSDL có thời gian tồn tại dài và DBMS... có thể đảm bảo việc bảo vệ từ đầu đến cuối trong suốt thời gian tồn tại của dữ liệu Nhưng dữ liệu trong một hệ điều hành thường không được lưu trữ một cách an toàn Trường CĐ CNTT HN Việt Hàn 11/110 Nguyễn Phương Tâm Tổng quát các cơ chế an toàn cơ bản của OS và DBMS Trường CĐ CNTT HN Việt Hàn 12/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS Mức độ chi tiết khác nhau của truy nhập:... mở rộng các cơ chế của DBMS cũng được đưa ra Trường CĐ CNTT HN Việt Hàn 28/110 Nguyễn Phương Tâm Các cơ chế toàn vẹn trong các DBMS  Nhóm 3: Người sử dụng được xác thực, kiểm tra thực tế và dễ dàng sử dụng an toàn Xác thực là trách nhiệm của OS, kiểm tra thực tế tuỳ thuộc vào an toàn tổ chức Trường CĐ CNTT HN Việt Hàn 29/110 Nguyễn Phương Tâm 3.2 An toàn trên DBMS 3.2.1 Các cơ chế an toàn trong các... mục dữ liệu được kết nhập => quản lý chúng dễ dàng hơn Trường CĐ CNTT HN Việt Hàn 18/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS  Giải pháp: Trong một CSDL quan hệ có thể có các giải pháp như: - Kỹ thuật hạn chế câu truy vấn - Kỹ thuật đa thể hiện (polyinstantiation) - Kiểm toán  Đặc biệt kiểm soát suy diễn trong CSDL thống kê Trường CĐ CNTT HN Việt Hàn 19/110 Nguyễn Phương Tâm. .. được tính an toàn Trường CĐ CNTT HN Việt Hàn 21/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS  Nhận xét:  Mặc dù ta nói các đối tượng logic của DBMS không phụ thuộc vào đối tượng OS, tuy nhiên trong một số OS vẫn xảy ra tình trạng những truy nhập trái phép vào file chứa CSDL làm thay đổi độ nhạy cảm của dữ liệu => Cần bảo vệ thêm bằng cách mã hoá file  Ngoài ra, các cơ chế an toàn làm... sự cố xảy ra (quan tâm đến các biện pháp an toàn vật lý) Trường CĐ CNTT HN Việt Hàn 26/110 Nguyễn Phương Tâm Các cơ chế toàn vẹn trong các DBMS Dựng lại các sự kiện (Reconstruction of events): Việc dựng lại các sự kiện trong một DBMS phụ thuộc vào các vết kiểm toán, để phát hiện ra các hoạt động sai trái Dễ dàng sử dụng an toàn (Ease of safe use): Điều này có nghĩa là các thủ tục an toàn nên đơn giản,... dùng, thời gian)  Các kiểm soát phụ thuộc lược sử (History): quan tâm đến các thông tin về chuỗi câu truy vấn (ví dụ như: các kiểu câu truy vấn, dữ liệu trả lại, profile của người dùng đang yêu cầu, tần suất yêu cầu) Trường CĐ CNTT HN Việt Hàn 15/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS Quyền động: DBMS nên hỗ trợ việc sửa đổi các quyền của người dùng trong khi CSDL đang hoạt động... GRANT/REVOKE Trường CĐ CNTT HN Việt Hàn 27/110 Nguyễn Phương Tâm Các cơ chế toàn vẹn trong các DBMS Khi quan tâm đến tính toàn vẹn của một DBMS, các nguyên tắc được phân nhóm như sau:  Nhóm 1: Các giao tác đúng đắn, tính liên tục của hoạt động Các nguyên tắc này bao trùm hoàn toàn lên các cơ chế của DBMS  Nhóm 2: Đặc quyền tối thiểu, tách bạch nhiệm vụ, xây dựng lại các biến cố và uỷ quyền Nhiều cơ. .. đồ mã hoá Trường CĐ CNTT HN Việt Hàn 17/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS Các kiểm soát suy diễn (Inference controls): Các kiểm soát suy diễn nên ngăn chặn người dùng suy diễn dựa vào các thông tin mà họ thu được trong CSDL Trong một hệ thống CSDL, các vấn đề suy diễn thường liên quan đến việc kết nhập (aggregation) và gắn kết dữ liệu (data association)  DBMS nên cung cấp... CNTT HN Việt Hàn 20/110 Nguyễn Phương Tâm 3.2.1 Các cơ chế an toàn trong các DBMS Các kiểm soát luồng (Flow controls): Các kiểm soát luồng kiểm tra đích của đầu ra, tránh làm lộ thông tin mật Không cửa sau (No back door): Truy nhập vào dữ liệu chỉ nên xảy ra thông qua DBMS Phải đảm bảo không có các đường dẫn truy nhập ẩn Hiệu năng hợp lý : Các kiểm soát an toàn làm tăng thời gian hoạt động, do đó cần