Bài giảng Bảo mật hệ thống thông tin: Chương 10 - Các vấn đề khác trong bảo mật hệ thống thông tin sau đây cung cấp cho các bạn những kiến thức về các lỗ hổng bảo mật cơ sở dữ liệu, bảo vệ bản quyền số, bảo vệ tính riêng tư cho ứng dụng dựa trên vị trí.
Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Khoa Khoa học Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Các lỗ hổng bảo mật sở liệu Bảo vệ quyền số Bảo vệ tính riêng tư cho ứng dụng dựa vị trí Tổng kết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Các lỗ hổng bảo mật sở liệu Giới thiệu lỗ hổng bảo mật Phân loại lỗ hổng sở liệu Các kỹ thuật phát lỗ hổng bảo mật sở liệu Các công cụ phát lỗ hổng bảo mật sở liệu Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Lỗ hổng bảo mật Lỗ hổng bảo mật (security flaw) tập hợp điều kiện mà cho phép kẻ xấu cơng làm vi phạm sách bảo mật cách tương minh ngầm Khai thác (exploit) việc lợi dụng lỗ hổng bảo mật để công vào hệ sở liệu, làm vi phạm sách bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Phân loại lỗ hổng bảo mật Ứng dụng Hệ điều hành Server Ứng dụng Môi trường mạng Hệ quản trị sở liệu (DBMS) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Lỗ hổng bảo mật sở liệu Database security flaws System security settings Audit settings System config Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Users/ Accounts Password policy Privileges/ Roles Account settings Roles Packages/ Procedures/ Functions Privileges Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin System security settings System security settings: cấu hình liên quan đến bảo mật Lỗ hổng dạng người quản trị hệ thống cấu hình chưa đúng/đủ thơng số liên quan đến bảo mật Cấu hình audit Ví dụ: Oracle, cấu hình sau cần ý dba_stmt_audit_opts dba_priv_audit_opts dba_obj_audit_opts Kiểm tra xem “Create any procedure” có audit chưa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 7 System security settings Cấu hình hệ thống Trong Oracle: V$Parameter – cung cấp thông tin tất parameter Cách kiểm tra: SELECT value FROM v$Parameter WHERE name=“O7_DICTIONARY_ACCESSIBILITY” TRUE Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 8 Lỗ hổng bảo mật sở liệu Database security flaws System security settings Audit settings System config Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Users/ Accounts Password policy Privileges/ Roles Account settings Roles Packages/ Procedures/ Functions Privileges Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Users/Accounts Lỗ hổng dạng liên quan đến cách quản lý user/account Chính sách Password Hạn chế password yếu: password mặc định, password đơn giản, … Thay đổi password định kỳ: tránh password cũ Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 10 Các mối nguy hiểm dịch vụ LBS Người sử dụng dịch vụ quan tâm Sẽ hy sinh riêng tư an toàn cho gọi công nghệ mới? Những biện pháp để bảo vệ quyền tự riêng tư cơng dân với dịch vụ định vị? Chính sách bảo vệ tính riêng tư dịch vụ? Như nói rằng: Người dùng mong muốn sử dụng dịch vụ dựa vị trí mà đảm bảo tính riêng tư (ở mức cần thiết) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 50 Kiến trúc bảo vệ tính riêng tư LBS Kiến trúc không cộng tác (Non-cooperative Architecture) Kiến trúc cộng tác ngang hàng (Peer to peer Cooperative Architecture) Kiến trúc thành phần thứ ba tin cậy (Centralized Trusted Party Architecture) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 51 Kiến trúc không cộng tác Người dùng dựa vào hiểu biết để bảo vệ tính riêng tư họ Người dùng đánh lừa hệ thống cách sử dụng định danh vị trí khơng xác Các phương pháp thực đơn giản, dễ dàng Chất lượng thấp, mục đích hướng đến tính riêng tư Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 52 Kiến trúc không cộng tác Phương pháp sử dụng vùng đối tượng (Landmark objects) Phương pháp làm sai thơng tin vị trí (False Dummies) Phương pháp làm xáo trộn vị trí (Location obfuscation) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 53 Kiến trúc cộng tác ngang hàng Các người dùng cộng tác với để bảo vệ tính riêng tư người Khó khăn việc tìm nhóm Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 54 Kiến trúc cộng tác ngang hàng Sự thành lập nhóm (Group Formation) Phương pháp sử dụng mật mã Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 55 Kiến trúc thành phần thứ ba tin cậy Thành phần trung gian tin cậy có nhiệm vu thu thập thơng tin cung cấp theo yêu cầu tính riêng tư người dùng Cung cấp tính riêng tư mạnh, đảm bảo dịch vụ chất lượng cao Hệ thống bị thắt cổ chai việc xử lý phức tạp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 56 Kiến trúc thành phần thứ ba tin cậy Giảm độ xác vị trí Phương pháp pha trộn vùng (Mix Zones) Phương pháp che dấu vùng nhạy cảm sử dụng thuật toán karea Phương pháp che dấu khơng gian chia ¼ (Quadtree Spatial Cloaking) Thuật tốn che dấu CliqueCloak – sử dụng đồ thị vô hướng Thuật toán che dấu sử dụng lân cận gần (Nearest Neighbor Cloaking – NNC) Thuật tốn che dấu khơng gian Hilbert (Hilbert Cloaking) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 57 Nội dung Các lỗ hổng bảo mật sở liệu Bảo vệ quyền số Bảo vệ tính riêng tư cho ứng dụng dựa vị trí Tổng kết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 58 Các thành phần cần bảo vệ HTTT Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 59 Các thành phần cần bảo vệ HTTT Mã hóa Định danh xác thực Điều khiển truy cập Kiểm tốn giải trình Thiết kế DBMS CSDL bảo mật Bảo mật dịch vụ CSDL thuê Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 60 Các thành phần cần bảo vệ HTTT Mã hóa Các giao thức trao đổi khóa An tồn vật lý Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 61 Các thành phần cần bảo vệ HTTT An toàn vật lý Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 62 Các thành phần cần bảo vệ HTTT Đào tạo Kiểm toán giải trình Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 63 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin 64 ... hổng bảo mật sở liệu Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Lỗ hổng bảo mật ... sách bảo mật Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông tin Phân loại lỗ hổng bảo mật ... trạng hệ thống, … Tìm mẫu có lỗ hổng bảo mật Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 10: Các vấn đề khác bảo mật Hệ thống thông