Đang tải... (xem toàn văn)
Mục lục Lời mở đầu…………………………………………………………………………….. I.Thực trạng…………………………………………………………………………… II.Tổng quan về Oracle 11g…………………………………………………………... III.Bảo mật ……..……………………………………………………………………... 1. Các cơ chế bảo mật………………………………………………………………... 1.1 User CSDL và Schema…………………………………………………………… 1.2 Privilege (Đặc quyền)……………………………………………………………. 1.3 Role………………………………………………………………………………. 1.4 Các xác lập lưu trữ và Quota…………………………………………………….. 1.5 Các Profile (lược sử) và giới hạn tài nguyên…………………………………….. 1.6 Sự kiểm tra (auditing)……………………………………………………………. 2. Trusted Oracle……………………………………………………………………… IV. Bảo mật của ứng dụng…………………………………………………………….. 1. Tổng quan…………………………………………………………………………… 2. Sử dụng đối tượng CSDL của ứng dụng…………………………………………..... 3. Bảo mật ứng dụng điều khiển bằng bảng…………………………………………… Lời nói đầu Khi nói đến nghề quản trị trong lĩnh vực công nghệ thông tin tại Việt Nam, chúng ta thường liên tưởng đến nghề quản trị mạng, chỉ khoảng gần năm năm trở lại đây thì tại Việt Nam mới hình thành lên một nghề mới, đó là nghề quản trị hệ thống cơ sở dữ liệu (CSDL),thường gọi là DBA (Database Administrator). Hiện có 3 hệ quản trị CSDL được biết đến trên thế giới và tại Việt Nam, đó là: Oracle, Microsoft SQLServer và IBMDB2. Nhưng với số liệu thống kê năm 2010, Oracle chiếm đến 76,8% thị phần CSDL trên toàn thế giới và theo cáo cáo tài chính quý 3 của hang thì Oracle tăng 35% doanh thu so với cùng kỳ năm trước, từ các thông tin này chúng ta có thể đánh giá bước đầu Orace là Cơ sở dữ liệu được các doanh nghiệp ứng dụng nhiều nhất trên thế giới. Đa số các doanh nghiệp ngày nay đều trang bị các hệ thống tường lửa, hệ thống phát hiện xâm nhập, các kỹ thuật chóng spam. Việc bảo vệ này chỉ đảm bảo hệ thống an toàn trước các cuộc tấn công và xâm nhập từ bên ngoài. Tuy nhiên, những rủi ro, nguy cơ từ bên trong là không thể kiểm soát được. Do đó, vấn đề đặt ra là làm sao để đảm bảo an toàn dữ liệu trước các nguy cơ tấn công từ bên ngoài và các rủi ro từ bên trong là cần thiết. Giải pháp đưa ra để đảm bảo an toàn bảo mật dữ liệu là cần một chính sách bảo vệ theo chiều sâu, cho phép kiểm soát các hoạt động mang tính ngăn chặn và theo dõi bằng cách thực hiện các chính sách bảo mật “cần biết needtoknow” và “ tin tưởng nhưng xác thực trustbutverify”. I. Thực trạng Đối với một số doanh nghiệp, hiệu quả kinh doanh phụ thuộc hoàn toàn vào giá trị thông tin thì vấn đề an toàn thông tin được đặt trọng tâm hàng đầu. Hiện nay, các doanh nghiệp thường gặp khó khăn hoặc không thể trả lời các câu hỏi như: + Ai đã truy cập đén dữ liệu quan trọng này và vào thời gian nào? + Ai đã chỉnh sửa thông tin nhạy cảm của khách hàng? + Tại sao dữ liệu này lại bị thay đổi? + Hệ thống dữ liệu hiện có bị ai xâm phạm trái phéo không? …
HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ ***** BÀI TẬP LỚN MÔN: CƠ SỞ DỮ LIỆU II CHỦ ĐỀ: TÍNH NĂNG BẢO MẬT TRONG ORACLE Giáo viên hướng dẫn: Th.S Giang Thị Thu Huyền Nhóm thực : Nhóm 2016-2017 DANH SÁCH THÀNH VIÊN: Vũ Thị Hồng Duyên - 18A4040038 Nguyễn Thùy Liên - 18A4040115 Nguyễn Bảo Ngọc - 18A4040157 Phạm Thu Quỳnh - 18A4040177 Nguyễn Thị Tân - 18A4040180 Lê Thị Thơm – 18A4040203 Phạm Thị Thơm (NT)-18A4040204 Mục lục Lời mở đầu…………………………………………………………………………… I.Thực trạng…………………………………………………………………………… II.Tổng quan Oracle 11g………………………………………………………… III.Bảo mật …… …………………………………………………………………… Các chế bảo mật……………………………………………………………… 1.1 User CSDL Schema…………………………………………………………… 1.2 Privilege (Đặc quyền)…………………………………………………………… 1.3 Role……………………………………………………………………………… 1.4 Các xác lập lưu trữ Quota…………………………………………………… 1.5 Các Profile (lược sử) giới hạn tài nguyên…………………………………… 1.6 Sự kiểm tra (auditing)…………………………………………………………… Trusted Oracle……………………………………………………………………… IV Bảo mật ứng dụng…………………………………………………………… Tổng quan…………………………………………………………………………… Sử dụng đối tượng CSDL ứng dụng………………………………………… Bảo mật ứng dụng điều khiển bảng…………………………………………… Lời nói đầu Khi nói đến nghề quản trị lĩnh vực công nghệ thông tin Việt Nam, thường liên tưởng đến nghề quản trị mạng, khoảng gần năm năm trở lại Việt Nam hình thành lên nghề mới, nghề quản trị hệ thống sở liệu (CSDL),thường gọi DBA (Database Administrator) Hiện có hệ quản trị CSDL biết đến giới Việt Nam, là: Oracle, Microsoft SQL-Server IBM-DB2 Nhưng với số liệu thống kê năm 2010, Oracle chiếm đến 76,8% thị phần CSDL toàn giới theo cáo cáo tài quý hang Oracle tăng 35% doanh thu so với kỳ năm trước, từ thông tin đánh giá bước đầu Orace Cơ sở liệu doanh nghiệp ứng dụng nhiều giới Đa số doanh nghiệp ngày trang bị hệ thống tường lửa, hệ thống phát xâm nhập, kỹ thuật chóng spam Việc bảo vệ đảm bảo hệ thống an toàn trước công xâm nhập từ bên Tuy nhiên, rủi ro, nguy từ bên kiểm soát Do đó, vấn đề đặt để đảm bảo an toàn liệu trước nguy công từ bên rủi ro từ bên cần thiết Giải pháp đưa để đảm bảo an toàn bảo mật liệu cần sách bảo vệ theo chiều sâu, cho phép kiểm soát hoạt động mang tính ngăn chặn theo dõi cách thực sách bảo mật “cần biết - need-to-know” “ tin tưởng xác thực trust-but-verify” I Thực trạng Đối với số doanh nghiệp, hiệu kinh doanh phụ thuộc hoàn toàn vào giá trị thông tin vấn đề an toàn thông tin đặt trọng tâm hàng đầu Hiện nay, doanh nghiệp thường gặp khó khăn trả lời câu hỏi như: + Ai truy cập đén liệu quan trọng vào thời gian nào? + Ai chỉnh sửa thông tin nhạy cảm khách hàng? + Tại liệu lại bị thay đổi? + Hệ thống liệu có bị xâm phạm trái phéo không? … Để trả lời câu hỏi này, doanh nghiệp cần thiết phải trang bị giải pháp giám sát đầy đủ xác, đồng thời giải pháp phải đảm bảo không tăng tải làm chậm hệ thống Trong số lĩnh vực kinh doanh nhạy cảm, tính bí mật thông tin cần bảo đảm tuyệt đối Thông tin cần đạt tính bí mật nguyên vẹn lưu đĩa cứng, thông tin trao đổi vào mạng phải đảm bảo an toàn Điều cho thấy tầm quan trọng việc bảo vệ liệu hệ quản trị CSDL II Tổng quan Oracle 11g Oracle Database phần mềm sở liệu thiết kế cho điện toán lưới Cùng với phiên Oracle Database 11g, Oracle làm cho việc quản trị thông tin trở nên dễ dàng hết, giúp cho khách hàng hiểu nhiều hoạt động kinh doanh họ đổi nhanh Oracle Database 11g đem đến hiệu năng, khả mở rộng, tính sẵn sàng bảo mật tốt hơn, khả quản trị dễ dàng mạng lưới máy chủ lưu trữ theo chuẩn với chi phí thấp III Bảo mật Oracle sở liệu an toàn có tính bảo mật nâng cao Trong Oracle, có phương thức xác thực người dùng khác nhau, sau: Cơ sở liệu: Cơ sở liệu thực nhận dạng xác thực người dùng Bên ngoài: Hệ điều hành dịch vụ mạng thực xác thực Xác thực ủy quyền toàn bộ: Người dùng xác thực toàn SSL Xác thực ủy quyền ủy nhiệm: Máy chủ tầng trung gian thực xác thực Phương thức xác thực xác định tạo người dùng cách sử dụng lệnh CREATE USER Có số khung nhìn Data Dictionary (Từ điển liệu) có chứa thông tin người dùng Xác thực ủy quyền người dùng Oracle sử dụng mật mã hóa lưu từ điển người dùng tạo Cả hai Oracle hỗ trợ Thư mục Internet Oracle Máy chủ thư mục IBM (LDAP - Oracle Internet Directory IBM Directory Server) Oracle hỗ trợ đăng nhập lần (SSO - single sign on) Mã hóa liệu Oracle hỗ trợ mã hóa liệu nơi có liệu nhạy cảm số thẻ tín dụng số liệu kinh doanh nhạy cảm mã hóa Mã hóa mạng Oracle cung cấp mã hóa mạng với Bảo mật nâng cao Oracle (Oracle Advanced Security) Oracle sử dụng mã hóa chuẩn công nghiệp DES, 3DES RC4 Kiểm tra dấu vết Oracle cho phép bạn kiểm tra dấu vết người dùng đối tượng Cũng sử dụng Log miner (Trình khai phá ghi nhật ký) để kiểm tra nhanh phân tích truy vấn đáng ngờ Các chế bảo mật - Ngăn cản truy xuất liệu trái phép - Ngăn cản truy xuất trái phép đối tượng schema - Điều khiển việc sử dụng đĩa - Điều khiển việc sử dụng tài nguyên hệ thống - Giám sát hành động user Các chế bảo mật thực phương tiện sau : 1.1 User CSDL Schema Mỗi CSDL oracle có danh sách usename Để truy xuất CSDL, usename cần sử dụng CSDL gắn với usename hợp lệ CSDL Mỗi usename có password kết hợp để ngăn ngừa truy xuất trái phép - Nguyên lý: Hoàn toàn giống nguyên lý CSDL khác, oracle hỏi user định danh usename password tương ứng, câu trả lời khớp với số liệu lưu hệ thống bảo CSDL user quyền truy cập CSDL đó, user nhập lại bị cấm truy cập trả lời không khớp VD : cách nhập password thông qua giao tiếp chương trình - Bảo mật vùng ( Domain Securlty ) Mỗi User có Domain Securlty tập tính chất xác định điều + Hoạt động có sẵn cho User + Các Quota Tablespace ( không gian đĩa sẵn có ) + Giới hạn tài nguyên hệ thống 1.2 Đặc quyền ( Privilege ) Một đặc quyền quyền thực loại lệnh SQL đặc biệt VD : - Quyền kết nối vào CSDL ( tạo session ) - Quyền tạo bảng schema - Quyền chọn hàng từ User khác - Quyền thực Stored Procedure User khác Các đặc quyền CSDL Oracle chia thành loại riêng biệt : Privilege hệ thống Privilege đối tượng Schema - Privilege hệ thống Cho phép user thực hành động mức hệ thống đặc biệt hay hành động đặc biệt loại đối tượng schema đặc biệt VD: Đặc quyền tạo table space hay xóa hàng CSDL - Privilege đối tượng Schema Cho phép thực hành động đặc biệt đối tượng schema đặc biêt VD: Đặc quyền xóa hàng bảng - Cấp Privilege - Có cách : + Cấp tường minh + Các Privilege gán cho Role sau role gán cho hay nhiều User 1.3 Role( Vai trò ) Role nhóm privilege có liên quan đặt tên để cấp cho user hay role khác Tính chất : - Giảm việc cấp privilege - Tính sẵn có chọn lọc - Hỗ trợ ứng dụng 1.4 Các xác lập lưu trữ Quota Oracle cung cấp biện pháp để định hướng giới hạn việc sử dụng không gian CSDL User bao gồm: - Tablespace mặc định: giúp oracle định nơi lưu trữ trường hợp vị trí đối tượng Schema không định - Tablespace tạm thời: giảm tranh chấp xuất nhập - Các Quota Tablespace: điều khiển chọn lọc lượng không gian đĩa tiêu tốn đố tượng Schema xác định 1.5 Các profile giới hạn tài nguyên Mỗi User gán Profile định giới hạn số tài nguyên có sẵn - Số Session dược thiết lập đồng thời User - Thời gian truy xuất CPU + Sẵn có cho Session User + Sẵn có cho lần gọi Oracle lệnh SQL - Lượng xuất nhập logic + Sẵn có cho Session User + Sẵn có cho lần gọi oracle lệnh SQL - Lượng thời gian rỗi cho phép Session User - Lượng thời gian kết nối cho phép - Các giới hạn Password 1.6 Sự kiểm tra ( Auditing ) Oracle cho phép kiểm tra chọn lọc hành động user giám sát thực mức : - Kiểm tra lệnh : kiểm tra lệnh SQL mà không quan tâm đến đối tượng Schema - Kiểm tra đặc quyền : kiểm tra đặc quyền hệ thống mà không quan tâm đến đối tượng Schema - Kiểm tra đối tượng Schema : kiểm tra truy xuất mà không quan tâm đến User Trusted Oracle Trusted Oracle phần quản lí bảo mật CSDL nhiều mức oracle - Được thiết kế để cung cấp khả bảo mật cao nhằm phục vụ yêu cầu tổ chức xử lí liệu tế nhị hay mật - Tương thích với sản phẩm Oracle - Hỗ trợ tất tính Oracle - Thực kiểm soát truy nhập ủy nhiệm (MAC ) giả rộng môi trường điều hành bảo mật nhiều cấp + MAC biện pháp giới hạn truy xuất thông tin dựa nhãn - Nhãn user định thông tin User phép truy xuất loại truy xuất User thực - Nhãn đối tượng Schema định độ quan trọng thông tin mà chứa IV Bảo mật ứng dụng Tổng quan Chế độ bảo mật ứng dụng giới hạn việc truy cập CSDL từ phía Cilent hệ thống, giới hạn việc truy xuất đối tượng giao diện đặc biệt Nguyên nhân cần có thêm chế độ bảo mật ứng dụng bên cạnh bảo mật CSDL: • Tăng cường bổ sung chế độ bảo mật CSDL • Có thể nâng cao mức bảo mật CSDL cách giới hạn việc truy xuất đối tượng CSDL cung cấp lớp trừu tượng bổ sung • Trong giao diện ứng dụng thông thường, giao diện cho phép user làm việc với CSDL thông qua trình đơn, Forms tương ứng với tiến trình đối tượng hoạt động, thuận lợi cho việc ngăn ngừa user hiểu biết tên bảng cột truy xuất • Trong nhiều trường hợp thông tin CSDL dùng để quản lý hoạt động giao diện, dựa role user Các bảng hệ thống chứa thông tin bảo mật cho ứng dụng cho phép khả giao diện sẵn có Các tùy chọn trình đơn forms cho user có đặc quyền ẩn user không phép • Có thể truy xuất CSDL từ nhiều ứng dụng khác Sử dụng đối tượng CSDL ứng dụng Các đối tượng ( cluster, indexes, sequence) quyền cấp cho đối tượng thuộc loại bảo mật CSDL Các đối tượng khác view, procedure function coi đối tượng CSDL ứng dụng quyền cấp chúng thuộc loại bảo mật ứng dụng • Scrip nơi bảo mật CSDL chấm dứt nơi bảo mật ứng dụng bắt đầu • Synonym chung tạo để che ID hệ thống DBA, giới hạn quyền gán cho super-user ứng dụng • Các đối tượng ứng dụng bao gồm procedure, view, functions, packages • Ta cần phải dùng stored procedure function để thực tất chuyển tác, vì: - Sử dụng subroutine CSDL giữ tính toàn vẹn - Sử dụng procedure function nâng cao tính bảo mật CSDL - Sử dụng package ta gói trọn biến, cursor, subprogram đơn vị logic giúp đơn giản tiến trình gán đặc quyền nâng cao hiệu suất chung Bảo mật ứng dụng điều khiển bảng Ta dùng thông tin lưu bảng CSDL Oracle để điều khiển chế độ bảo mật ứng dụng QUY TRÌNH: • Tạo bảng chứa thông tin role user ứng dụng, user có role • Tạo bảng xác định tùy chọn trình đơn mà role sử dụng hay không • Xây dựng module khởi tạo để xử lý nội dung bảng trên, nhằm tạo trình đơn thực • Tạo trình đơn nút control động khởi tạo cửa sổ ứng dụng • Cần ý vấn đề: - Cần phải có cách xác định role user trước khởi tạo giao diện, menu - Trong bảng lưu liệu cần phải phân định rõ thông định danh ứng dụng CSDL Tóm lại, bảo mật ứng dụng thay bảo mật CSDL nâng cao độ an toàn hệ thống bảo mật CSDL Nó xác lập nguyên tắc mà xây dựng ràng buộc toàn vẹn 10