Gần đây vấn đề bảo mật cơ sở dữ liệu diễn ra lan tràn trên các phương tiện thông tin đại chúng và mạng lưới tin tức Internet. Đầu tiên là sâu Slammer và gần đây nhất là vụ truy cập bất hợp pháp hơn 8 triệu mã số thẻ tín dụng. Nhiều người đặt ra câu hỏi: “Các admin quản trị hệ thống ngủ sau bánh xe cho chúng hoạt động hay sao?”. Giống như mạng Internet bị đánh bom vậy. Hiện người ta thường hay sử dụng các tiện ích rẻ tiền hơn của các hệ thống thông...
Bảo mật sở liệu (các nguyên tắc sử dụng thông thường) Gần vấn đề bảo mật sở liệu diễn lan tràn phương tiện thông tin đại chúng mạng lưới tin tức Internet Đầu tiên sâu Slammer gần vụ truy cập bất hợp pháp triệu mã số thẻ tín dụng Nhiều người đặt câu hỏi: “Các admin quản trị hệ thống ngủ sau bánh xe cho chúng hoạt động hay sao?” Giống mạng Internet bị đánh bom Hiện người ta thường hay sử dụng tiện ích rẻ tiền hệ thống thơng tin sử dụng web, họ trở nên lười áp dụng biện pháp bảo mật sở Vấn đề phải cấp bách áp dụng biện pháp an toàn với người quản trị hệ thống sáng suốt Câu hỏi cho admin thường “Sửa chữa nhanh nào” khơng phải “Có mối nguy hiểm” trước Muốn giải vấn đề tại, trước hết phải điều chỉnh lại ý thức suy nghĩ người Bây xin cung cấp vài phương pháp bảo mật sau Hy vọng chúng giúp bạn nhiều bảo vệ sở liệu quan trọng Cấu trúc bảo mật sở Các doanh nghiệp dường trọng vào thành phần bảo mật mà quên tranh tồn cảnh: “Nếu khơng có hệ thống tổ chức bảo mật sở, sách bảo mật thất bại” Người quản trị hệ thống thường hay quản lý bảo mật theo ý muốn riêng mình, khơng có giám sát từ người quản lý cao Điều làm gia tăng câu hỏi: • • • • Ai đảm bảo người quản trị hệ thống theo hướng dẫn bảo mật? Một tổ chức đảm bảo tất quản trị viên hệ thống cập nhật vá lỗi nào? Một tổ chức lấy để đảm bảo vá lỗi kiểm tra để chắn chúng không trở thành nguyên nhân gây hỏng hóc cho hệ thống? Ai người kiểm chứng bảo mật cho toàn tập đồn hay tổng cơng ty? Ví dụ tổ chức bảo mật mạng hiệu rõ ràng Dù có cấu trúc phù hợp, bạn gặp phải lộn xộn vấn đề quan trọng bảo mật Các vấn đề lộn xộn gây khơng biến động lớn, chẳng hạn: Jim văn phịng Bờ biển Đơng cập nhật tất vá lỗi có mối liên kết khơng an tồn với Bill bờ biển tây Anh thất bại thiết lập cấu hình phù hợp cho tường lửa Và cần đủ cho tổng công phá hoại Trước trường hợp thế, bạn cần xem xét lại toàn thiết lập cấu trúc bảo mật sở Bây giờ, sau có tổ chức bảo mật sở cho hệ thống, bắt đầu xem xét vấn đề kỹ thuật bảo mật sở liệu Lỗ hổng sở liệu (muôn mặt chiến tranh bảo mật!) Bảo mật sở liệu bị cơng theo lĩnh vực sau: • • • • Các dịch vụ bảo mật (Server Security) Các kết nối sở liệu (Database Connection) Điều khiển truy cập bảng (Table Access Control) Giới hạn truy cập sở liệu (Restricting Database Access) Các dịch vụ bảo mật (Server Security) Server Security chương trình tự giới hạn quyền truy cập thực vào dịch vụ sở liệu Đây khía cạnh quan trọng bảo mật, bạn nên lập kế hoạch cẩn thận cho Ý tưởng là: “Bạn truy cập vào mà bạn thấy” Đây web server không nên kết nối nạc danh Khi cần cung cấp thông tin cho web động, sở liệu bạn không nên đặt máy với web server Điều khơng mục đích bảo mật mà cịn tốt cho q trình thực thi Nếu sở liệu để đáp ứng cho web server, nên cấu hình cho phép kết nối với web server Truy cập điạ IP tin cậy, giới hạn dịch vụ sở liệu yêu cầu thông tin trả lời từ IP web server biết Địa IP tin cậy Mỗi server nên cấu hình cho phép liên hệ với điạ IP tin cậy Tương tự nhà bạn, bạn khơng cho phép nói chuyện với người lạ, bạn nên biết xác quyền “nói chuyện” với database server Nếu điểm trả cuối web server nên cho phép điạ web server quyền truy cập database server Nếu database server cung cấp thơng tin cho ứng dụng chạy mạng nội nên giới hạn điạ chỉ mạng nội Không nên để trạng thái yếu web database server với thông tin sở liệu nội Các kết nối sở liệu (Database Connection) Các ứng dụng động (Dynamic Application) trở thành nguyên nhân khiến nhiều người cập nhật sở liệu trực tiếp mà không qua thẩm định Nếu bạn cho phép người dùng cập nhật sở liệu qua trang web, đảm bảo cập nhật an tồn Chẳng hạn với mã nguồn SQL, người dùng thông thường không nhập liệu vào liệu chưa xem xét Nếu cần sử dụng kết nối ODBC, đảm bảo có số người dùng đươc quyền truy cập file chia sẻ Có nhân viên cơng ty bạn quyền có tất chìa khố phịng cơng ty? Vì thể đừng cho phép tài khoản người dùng sử dụng kết nối nguồn liệu server Điều khiển truy cập bảng (Table Access Control) Điều khiển truy cập bảng dạng thức hay bị bỏ sót bảo mật sở liệu Vì khó kế thừa áp dụng Sử dụng cách thích hợp điều khiển truy cập bảng địi hỏi phải có hợp tác quản trị viên hệ thống người phát triển sở liệu Và tất biết “hợp tác” từ lạ công nghiệp IT Nhiều ngưịi dùng quy tội có quyền truy cập người quản trị hệ thống để sở liệu mức public Hoặc bảng sử dụng cho mức hệ thống lại có quyền truy cập khác bên cạnh quyền admin Đáng tiếc cấu trúc bảng, sở liệu quan hệ phù hợp vấn đề phát triển khơng nằm phạm vi Có thể bàn kỹ sau Giới hạn truy cập sở liệu (Restricting Database Access) Đây mốc cuối tổng quan bảo mật sở liệu xem xét Vấn đề chủ yếu mục truy cập mạng hệ thống, tập trung sở liệu internet Hầu hết đích nhắm công database sở mạng, tất ứng dụng sử dụng web có cổng cho kẻ cơng “nghe ngóng” Tội phạm mạng thường chủ yếu sử dụng hình thức đơn giản “port scan” (quét cổng) để tìm cổng mở đặt mặc định cho hệ thống sở liệu phổ biến Nói mặc định bạn thay đổi cổng thành dịch vụ nghe, cách hay tránh công Đầu tiên chúng cố gắng dị xem liệu máy có địa cụ thể không Chúng sử dụng câu lệnh ping, đơn giản cách mở cửa sổ lệnh command gõ từ khoá “ping”vào, chẳng hạn: C:\ ping 127.0.0.1 hay root@localhost: ~$: ping 127.0.0.1 Phần trả lời dạng: Pinging 127.0.0.1 with 32 bytes of data: Reply from 127.0.0.1: bytes=32 time