   !"#$"%&  !" GV phụ trách: 1 '(" Phần 1: Sự cần thiết của mã hóa cho cơ sở dữ liệu Phần 2: Phương pháp tấn công SQL Injection Phần 3: Biện pháp mã hóa, bảo vệ CSDL 2 )*+,-*./0,12 1. Sự cần thiết. - 034&".$5 !"!64."7/#%  !"--*.8 - 9-$:  !";;<%=!>--* .=6/:"7/?9"%@#4: A" $=!<!-4;4*"6B#$4C!< "A"D&? EF;G6!H-&'I)#%JK#L?M 3 )*+,-*./0,12ENM 2. Những khó khăn của bảo mật CSDL. - 9$0,12*46OPG"#%@Q>$@R6SP G!>;O?%4D$!26O4TK>6.4C CR4U46O"*";#R<4&">4C !"C>&" 6SQ(!38VW%4XYRE$Y$M%!"8 - F4U46O%@"*"/> !"#U!4- 46OK"!! !"E,Z2Z09[\]^_`Z\ZM?'6%Ya#$6S >E>Y%bY!M*46OaP!c$B4D? 4 )*+,-*./0,12EdM 3. Những khía cạnh có thể bảo mật. - `%#*!:.46O 6S.>.$A"$J0,12EU! *&!:6]$!Y#^$e#???MU>R4( 6S>?0f Ca"BA"$J0,124Cg > 7 6S PG;O# 6U-6.=>46O$($?9"%%#fCA"%. 0,125(" Mô hình xác thực bằng Cisco Secure 5 )*+,-*./0,12EhM 3. Những khía cạnh có thể bảo mật. Mô hình sử dụng tầng kiểm soát Proxy 6 )*+,-*./0,12EiM 3. Những khía cạnh có thể bảo mật. - 9G.>7j/4&"<A"$J0,12?,">- 4DY6S>7&k/4&"6l 4"%46OG?0*-A"$J*.4C"%4 >7j/? -    !" / 0,12$@ 46S $"%& 6 JG <>Ee? m# Yn !#???M5PG*& !"6o),YD,,2?p:6SP G$"%RaA"\YYY,Y$Y$C>C5*&E;G6Q 0,Y"$Y4:.J/0E`=+MM?F>C$a-C-Y /G90,0q%\1or,? 7 )*+,-*./0,12EsM 3. Những khía cạnh có thể bảo mật. - F> !"$<2'f*.#6fC-46OS G?A"%.B4&$@46S$"%&*4DA"K4:!D !" E\Y!M ,Y$Y$E=KM?FA"%.%G"(A"$J0,124t g3C"$u.!D !"/R0,12?^(C-46O:,I2,Y$Y$ 6!<>G46O]$!Y6O!<? Mô hình mã hóa dữ liệu trên đường truyền 8 )*N)6B,I2ovY 1. Khái niệm. 2. SQL Injection và vấn đề an ninh CSDL. 3. Các phương pháp tấn công chủ yếu 9 )*N)6B,I2ovY 1. Khái niệm ,I2ovY!(=UB$4$"%w,I2/UG4v x@4*">6SQ#R4 !46OP:0,124CK;3- VUGyYB<$!4*"#%>Q =U=>zBC{4&"|A"$=aK%- $"%B,I2?^(>>zBCPK"$"%B,I2= $"%B ,I2"W46O-:A"%&/6S "UG? 10 [...]... các dữ liệu nhạy cảm Thêm vào đó, giải pháp này bị hạn chế vì không cho phép phân quyền khác nhau cho người sử dụng CSDL 17 Phần 3: Phương pháp bảo mật dữ liệu (3) - Giải pháp thứ hai: mã hóa ở mức ứng dụng - Mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL Ứng dụng hỗ trợ quản lý khóa và quyền truy cập Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi... Yêu cầu kiểu dữ liệu mã hóa là varbinary Dữ liệu có thể được mã hóa bằng cách sử dụng mật khẩu, khóa bất đối xứng, khóa đối xứng, hoặc chứng chỉ • • • 27 Phần 3: Phương pháp bảo mật dữ liệu (12) 3 Giới thiệu mã hóa dữ liệu trong SQL server 3.1 Khả năng mã hóa o o Mã hóa và giải mã dữ liệu với NET Framework • • Có ở tất cả các phiên bản của SQL Server Cần viết code ứng dụng để thực hiện mã hóa bằng cách... quá trình thực thi tầng mã hóa 26 Phần 3: Phương pháp bảo mật dữ liệu (12) 3 Giới thiệu mã hóa dữ liệu trong SQL server 3.1 Khả năng mã hóa o o Mã hóa dữ liệu trong suốt (Transparent Data Encryption - TDE) • • • Sql server 2008,2012; phiên bản Enterprise TDE cho phép chúng ta mã hóa toàn bộ một cơ sở dữ liệu TDE là hoàn toàn trong suốt, không cần sửa đổi mã lệnh để thực hiện Mã hóa mức cột (Column-level):... Phương pháp bảo mật dữ liệu 1 2 3 4 Xây dựng tầng CSDL trung gian Sử dụng các cơ chế có sẵn trong CSDL Giới thiệu mã hóa dữ liệu trong SQL server Bảo mật truyền dữ liệu 15 Phần 3: Phương pháp bảo mật dữ liệu 16 Phần 3: Phương pháp bảo mật dữ liệu (2) - Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL là hình thức mã hóa Tuy nhiên, mã. .. cách hàm mã hóa và giải mã trong NET Framework Mã hóa đối xứng hoặc bất đối xứng Mã hóa hệ thống tập tin (Encrypting File Systems - EFS) Giới thiệu trong Windows 2000 Windows Server hỗ trợ EFS để mã hóa dữ liệu vào file và cấp độ thư mục, mã hóa dựa vào smartcard Tập tin cơ sở dữ liệu được mã hóa dưới danh tính của các tài khoản đang chạy SQL Server • • • • 28 Phần 3: Phương pháp bảo mật dữ liệu (12)... cách thức quản trị dữ liệu, giải pháp này có những hạn chế sau: - Những cột index không thể được mã hóa, do đó hạn chế các ứng dụng cần hỗ trợ index Dữ liệu mã hóa có kích thước lớn so với dữ liệu gốc Sự chênh lệch này không đáng kể đối với các dữ liệu chữ (text), nhưng rất đáng kể đối với các dữ liệu số và dạng nhị phân Ví dụ, dữ liệu số 1 byte sẽ bị tăng lên 2 byte sau khi mã hóa Tốc độ truy cập... Phương pháp bảo mật dữ liệu (9) - Các truy xuất dữ liệu đến bảng gốc sẽ được thay thế bằng truy xuất đến bảng ảo Bảng ảo được tạo ra để mô phỏng dữ liệu trong bảng gốc Khi thực thi lệnh “select”, dữ liệu sẽ được giải mã cho bảng ảo từ bảng gốc (đã được mã hóa) Khi thực thi lệnh “Insert, Update”, “instead of” trigger sẽ được thi hành và mã hóa dữ liệu xuống bảng gốc 24 Phần 3: Phương pháp bảo mật dữ liệu. .. liệu (12) 3 Giới thiệu mã hóa dữ liệu trong SQL server 3.2 Quản lý khóa o SQL Server chia ra làm nhiều loại khóa • • • • • Service Master Key - SMK (mã hóa thông tin nhạy cảm ) Database Master Key – DMK (khóa đối xứng) Khóa bất đối xứng Khóa đối xứng Chứng chỉ số 29 Phần 3: Phương pháp bảo mật dữ liệu (12) 3 Giới thiệu mã hóa dữ liệu trong SQL server 3.2 Quản lý khóa o Phân cấp khóa trong SQL Server 2012:... các cơ chế sau: - Các hàm Stored Procedure trong CSDL cho chức năng mã hóa và giải mã Sử dụng cơ chế View trong CSDL tạo các bảng ảo, thay thế các bảng thật đã được mã hóa Cơ chế “instead of” trigger được sử dụng nhằm tự động hóa quá trình mã hóa từ View đến bảng gốc 22 Phần 3: Phương pháp bảo mật dữ liệu (8) - Dữ liệu trong các bảng gốc sẽ được mã hóa, tên của bảng gốc được thay đổi Một bảng ảo (View)... mức dữ liệu cột, hỗ trợ RBAC 3 Cơ chế mã hóa không ảnh hưởng đến các ứng dụng hiện tại 19 Phần 3: Phương pháp bảo mật dữ liệu (5) 1 Xây dựng tầng CSDL trung gian - Một CSDL trung gian (proxy) được xây dựng giữa ứng dụng và CSDL gốc (Sơ đồ 1) CSDL trung gian này mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, giải mã dữ liệu trước khi cung cấp cho ứng dụng, cung cấp thêm các chức năng quản lý khóa, . trách: 1 '(" Phần 1: Sự cần thiết của mã hóa cho cơ sở dữ liệu Phần 2: Phương pháp tấn công SQL Injection Phần 3: Biện pháp mã hóa, bảo vệ CSDL 2 )*+,-*./0,12 1 !" 1. Xây dựng tầng CSDL trung gian. 2. Sử dụng các cơ chế có sẵn trong CSDL. 3. Giới thiệu mã hóa dữ liệu trong SQL server. 4. Bảo mật truyền dữ liệu 15 )*d)6 !" 16 )*d)6. !"/R0,12?^(C-46O:,I2,Y$Y$ 6!<>G46O]$!Y6O!<? Mô hình mã hóa dữ liệu trên đường truyền 8 )*N)6B,I2ovY 1. Khái niệm. 2. SQL Injection và vấn đề an ninh CSDL. 3. Các phương pháp tấn công chủ yếu 9 )*N)6B,I2ovY 1. Khái