[Document title] Chương 1: Tổng quan an toàn thông tin CSDL 1.1 Các mối đe dọa đến với CSDL gì? (NTA) Một hiểm hoạ xác định đối phương (người nhóm người) sd kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan trọng hệ thống quản lý Gồm đọc, sửa, xoá liệu trái phép: Khai thác liệu trái phép thông qua suy diễn thông tin phép Sửa đổi liệu trái phép Tấn công từ chối dịch vụ Người dùng lạm dụng quyền Tấn công leo thang đặc quyền Các hiểm hoạ an toàn phân lớp, tuỳ theo cách thức xuất chúng, hiểm hoạ có chủ ý vô ý (ngẫu nhiên) Hiểm hoạ ngẫu nhiên: hiểm hoạ gây phá hỏng CSDL: Các thảm hoạ thiên nhiên (động đất, hoả hoạn, lụt lội ) phá hỏng hệ thống pần cứng, hệ thống lưu giữ số liệu, dẫn đến xâm pạm tính toàn vẹn sẵn sàng hệ thống Các lỗi pần cứng hay pần mềm dẫn đến việc áp dụng sách an toàn ko đúng, từ cho pép truy nhập, đọc, sửa đổi liệu trái phép, từ chối dịch vụ người dùng hợp pháp Các sai phạm vô ý người gây ra, nhập liệu đầu vào ko xác, hay sd ứng dụng ko đúng, hậu tương tự nguyên nhân lỗi phần mềm hay lỗi kỹ thuật gây Hiểm họa cố ý: liên quan đến lớp người dùng sau: Ngf dùng pép ngf lạm dụng quyền, sd vượt quyền hạn pép họ Đối phương người, hay nhóm người truy nhập thông tin trái phép, người nằm tổ chức hay bên tổ chức Họ tiến hành hành vi phá hoại phần mềm CSDL hay phần cứng hệ thống, đọc ghi liệu trái phép Tấn công họ virus, Trojan Horse, Trapdoor [Document title] 1.2 Tìm hiểu cấu hình xử lý CSDL(CSDL tập trung, phân tán, Client/Server) Các cấu hình áp dụng thực tế (Chú ý: nêu rõ đặc điểm – chất vẽ hình minh họa) (TTA) Mọi ứng dụng CSDL bao gồm thành phần: Thành phần xử lý ứng dụng Thành phần phần mềm sở liệu (DBMS) Cơ sở liệu (DB) Các mô hình xử lý CSDL phụ thuộc vào định vị thành phần trên, có mô hình là: Mô hình sở liệu tập trung (Centralized database model) Mô hình sở liệu phân tán (Distributed database model) Mô hình sở liệu Client/Server (Client/Server database model) Mô hình sở liệu tập trung: Cả thành phần: xử lý ứng dụng, phần mềm CSDL CSDL nằm máy Ví dụ ứng dụng máy sd pần mềm CSDL Oracle, CSDL nằm máy Mô hình sở liệu phân tán: CSDL nằm nhiều máy khác Khi máy chủ cần truy xuất liệu, gọi đến máy này, cần trình đồng liệu Mô hình phù hợp cho công ty có nhiều chi nhánh khác Mô hình sở liệu Client/Server Trong mô hình CSDL nằm máy gọi Server Các thành phần xử lý ứng dụng nằm máy Client [Document title] [Document title] 1.3 Nêu rõ đặc điểm kiểm soát truy nhập MAC DAC CSDL, nêu khác chúng Ứng dụng sách thực tế hệ quản trị nào? (Ngoan) Kiểm soát truy nhập bắt buộc (MAC): hạn chế truy nhập chủ thể vào đối tượng cách sd nhãn an toàn Nó áp dụng cho thông tin có yêu cầu bảo vệ nghiêm ngặt môi trường mà đó: Dữ liệu hệ thống phân loại Người dùng xác định rõ ràng Nó định nghĩa sách kiểm soát luồng ngăn chặn dòng thông tin chảy vào đối tượng có mức phân loại thấp Chính sách bắt buộc định việc truy nhập vào liệu thông qua việc định nghĩa lớp an toàn chủ thể đối tượng Hai đặc điểm lớp an toàn là: mức pân loại phản ánh thông tin có loại (vùng ứng dụng) thông tin mà đối tượng đề cập tới Các mức phân loại là: = không phân loại = mật = tuyệt mật = tối mật Mỗi đối tượng chủ thể gán lớp an toàn (bao gồm mức nhạy cảm tập hợp loại/vùng ứng dụng) Phân loại chủ thể phản ánh mức độ tin cậy gán cho chủ thể vùng ứng dụng mà chủ thể làm việc Phân loại đối tượng phán ánh mức độ nhạy cảm thông tin có đối tượng Một tập tiên đề xác định quan hệ kiểm tra lớp chủ thể đối tượng, cho phép chủ thể truy nhập vào đối tượng theo tiêu chuẩn an toàn Mô hình: Kiểm soát truy nhập tùy ý (DAC): cho phép lan truyền quyền truy nhập từ chủ thể đến chủ thể khác [Document title] Nó rõ đặc quyền mà chủ thể thực đối tượng hệ thống Các yêu cầu truy nhập kiểm tra, thông qua chế kiểm soát tùy ý, truy nhập trao cho chủ thể thỏa mãn quy tắc trao quyền có Nó dựa vào định danh người dùng có y/c truy nhập (việc phân quyền kiểm soát dựa vào quyền sở hữu) quản trị tập trung quản trị phi tập trung Nó cần chế trao quyền phức tạp nhằm tránh quyền kiểm soát lan truyền quyền từ người trao quyền Nhược điểm: cho phép đọc thông tin từ đối tượng chuyển đến đối tượng khác mà ghi chủ thể, (có thể lợi dụng chủ thể để lấy đọc lấy liệu chủ thể đó) So sánh MAC DAC: MAC - Có phân mức nhạy cảm: người dùng đối tượng phân mức nhạy cảm rõ ràng - Trao quyền hủy bỏ quyền: người quản trị cao nắm giữ chủ thể ko thể trao quyền cho chủ thể khác (kiểu sách trao quyền tập trung) DAC - Không có phân mức Chủ thể cấp phát thu hồi quyền chủ thể khác, đồng thời chủ thể vừa cấp quyền lại trao quyền cho chủ thể khác (nếu phép) Trong thực thế, chúng sử dụng kết hợp: MAC dùng để kiểm soát trao quyền DAC dùng để kiếm soát truy nhập hệ quản trị [Document title] 1.4 Thế mô hình an toàn? Sự khác mô hình an toàn sách an toàn.Tìm hiểu mô hình an toàn Bell-Lapadula (Thùy) Mô hình an toàn: là một mô hình khái niệm mức cao, độc lập phần mềm và xuất phát từ các đặc tả yêu cầu của tổ chức để mô tả nhu cầu bảo vệ của một hệ thống Một mô hình an toàn bao gồm: Chủ thể an toàn: là một thực thể chủ động (có thể là user hay các process…) Đối tượng an toàn: là một thực thể thụ động (có thể là file, CSDL, khung nhìn…) Hành động: là các thao tác mà chủ thể thực hiện lên đối tượng (các quyền) Phân loại: Mô hình an toàn tùy chọn: cho phép lan truyền các quyền lên đối tượng này từ chủ thể này sang chủ thể khác Đặc trưng của mô hình này được thể hiện thông qua mô hình ma trận truy nhập Mỗi phần tử ma trận thể hiện quyền truy nhập của chủ thể lên đối tượng Mô hình an toàn bắt buộc: các hành động mà chủ thể được phép thực hiện lên đối tượng nào đó được xác định thông qua các nhãn an toàn Đặc trưng của mô hình này được thể hiện thông qua mô hình Bell-Lapadula Sự khác giữa mô hình an toàn và chính sách an toàn: Chính sách an toàn là một tập các hướng dẫn ở mức cao, định nghĩa các nguyên tắc, quy định truy cập vào sở dữ liệu Mô hình an toàn là mô hình khái niệm mức cao, thể hiện đầy đủ về các chính sách bảo vệ cho sở dữ liệu Mô hình an toàn Bell-Lapadula: là mô hình chính tắc đầu tiên về điều khiển luồng thông tin Mô hình thực hiện nhiệm vụ đảm bảo tính bí mật, là mô hình tĩnh với mức an toàn không thay đổi Người dùng được phân mức an toàn Clear(S), đối tượng được phân mức nhạy cảm Class(O) Thuộc tính của mô hình: Thuộc tính Not Read Up: một chủ thể S được phép truy nhập đọc đến một đối tượng O chỉ khi: Clear(S) ≥ Class(O) Thuộc tính Not Write Down: một chủ thể S được phép truy nhập ghi lên một đối tượng O chỉ khi: Clear(S) ≤ Class(O) Ưu: các nhãn an toàn của các chủ thể và đối tượng không bao giờ được thay đổi suốt thời gian hoạt động của hệ thống Nhược: chỉ quan tâm đến tính bí mật, chưa chỉ cách thay đổi các quyền truy nhập cũng cách tạo, xóa các chủ thể, đối tượng [Document title] 1.5 Các bước để thiết kế sở liệu (mô tả) Học viết (chính xác) câu lệnh SQL trình thiết kế CSDL (NTA) Các bước để thiết kế sở liệu: Đặc tả vấn đề: tìm thực thể, ràng buộc yêu cầu toán Xây dựng mô hình E-R: vẽ mô hình gồm tập thực thể E (thuộc tính) quan hệ (R) Xây dựng mô hình CSDL logic: table, khóa, thuộc tính Mô hình E-R Thực thể Thuộc tính Thuộc tính định danh Mqh -> Mô hình CSDL quan hệ Table Cột Khóa Khóa ngoại Các câu lệnh SQL bản: * * CREATE TABLE - tạo bảng * ALTER TABLE - thay đổi cấu trúc bảng * DROP TABLE - xoá bảng * CREATE INDEX - tạo mục (khoá để tìm kiếm - search key) * DROP INDEX - xoá mục tạo Lệnh Alter: * ALTER TABLE Employees * ADD email varchar(40) NULL Lệnh Drop hoàn toàn xóa table khỏi database nghĩa định nghĩa table data bên table biến (khác với lệnh Delete xóa data table tồn tại) * DROP TABLE Employees Lệnh Select * SELECT EmpID, Name * FROM Employees WHERE (EmpID = 10) Lệnh Insert * INSERT INTO Employees * VALUES (101, ‘Lan', ‘HN’,’lan@yahoo.com’) Lệnh Update * UPDATE Employees SET Name = ‘Minh' * WHERE EmpID = 101 Lệnh Delete * DELETE FROM Employees * WHERE EmpID = 101 [Document title] Chương 2: Các chế an toàn 2.1 Tìm hiểu mô tả số pp xác thực (Username password, CHAP) (TTA) Xác thực dựa User Name Password: Người dùng xác thực Username Password nhập vào có CSDL Là phương pháp xác thực phổ biến đơn giản chi phí thấp Phương pháp ko bảo mật Username Password truyền dạng rõ đường truyền Một password đủ mạnh phải bao gồm: Ít ký tự Chứa loại ký tự sau: Chữ thường, Chữ hoa, Chữ số, Ký tự đặc biệt Không liên quan đến username, login name Không phải từ có nghĩa từ điển Challenge Handshake Authentication Protocol (CHAP): CHAP mô hình xác thực dựa username password Khi user muốn login, server đảm nhiệm vai trò xác thực gửi thông điệp thử thách (challenge message) trở lại máy tính User Lúc máy tính User phản hồi lại user name password mã hóa dạng băm Server xác thực so sánh username pass vừa nhận với danh sách CSDL, trùng khớp, user xác thực 2.2 Địa rào gì? Ưu nhược điểm (Ngoan) Địa rào: đánh dấu ranh giới vùng nhớ dành cho hệ điều hành vùng nhớ dành cho tiến trình người dùng Cơ chế dựa vào địa rào: Cơ chế kiểm tra: địa chương trình tạo có tham chiếu đến vùng cao nhớ hay không? Địa (do chương trình người dùng tạo ra) so sánh với giá trị địa rào, lớn tham chiếu xác tới vùng nhớ người dùng, nhỏ tham chiếu không hợp lệ chương trình bị dừng thông báo lỗi Ưu điểm: bảo vệ vùng nhớ hệ điều hành tránh khỏi can thiệp tiến trình người dùng Nhược điểm: [Document title] Trong hệ đơn chương trình: có tiến trình người dùng gây lãng phí cpu Trong hệ chương trình: địa rào không bảo vệ vùng nhớ người dùng với người dùng khác [Document title] 2.3 Tái định vị gì, tái định vị động, tái định vị tĩnh thực thời điểm nào? (Thùy) Tái định vị là việc chuyển đổi từ địa chỉ logic của chương trình sang địa chỉ vật lý Với K là địa chỉ rào, ta có: Địa chỉ vật lý = K + địa chỉ logic ///////////////////////////////////////////////////////////////////// 2.4 Tìm hiểu chế phân trang, phân đoạn (bảng trang, bảng phân đoạn) so sánh chúng (chú ý phải vẽ hình minh họa) Thế phân mảnh nội vi, phân mảnh ngoại vi, cho ví dụ? (NTA) Phân trang: Bộ nhớ vật lý logic chia thành page có kích thước Cơ chế chuyển đổi địa dùng bảng trang (page table) hệ điều hành quản lý Cho phép chia sẻ trang tiến trình Một tiến trình nạp vào trang không liên tục Có phân mảnh nội vi Khi cần nạp tiến trình vào nhớ để xử lý, trang tiến trình nạp vào khung trang trống Một tiến trình có N trang yêu cầu N khung trang tự Cơ chế phần cứng hỗ trợ chuyển đổi địa kỹ thuật phân trang: HĐH quản lý trực tiếp bảng trang Mỗi pần tử bảng trang chứa địa bắt đầu khung trang nhớ vật lý Cơ chế chuyển đổi: 10 [Document title] GrantAdmin option tùy chọn câu lệnh gán quyền đối tượng, cho phép chủ thể lan truyền quyền cho chủ thể khác 3.4 Tìm hiểu đặc điểm kiến trúc chủ thể tin cậy (Trusted Subject) kiến trúc Woods Hole Mô tả chi tiết kiến trúc Woods Hole là: Integrity Lock, Kernelized, Replicated, kiến trúc có sản phẩm thương mại nào? (Ngoan) Kiến trúc chủ thể tin cậy (trusted subject): Sử dụng DBMS tin cậy OS tin cậy Người dùng kết nối tới DBMS qua phần mềm untrusted front end (vì họ kết nối qua Internet) Người dùng phân loại mức nhạy cảm khác nhau: high, low, mức DBMS khác hai mức DBMS tin cậy hoạt động chủ thể tin cậy OS Có nghĩa miễn nhiều khía cạnh sách an toàn OS, miễn kiếm soát bắt buộc DBMS OS ước tính để xác định mức bảo vệ DBMS có trách nhiệm việc bảo vệ đa mức đối tượng csdl Nhãn DBMS gắn cho đối tượng chủ thể không giống với mức high low Chỉ có chủ thể DBMS thực chương trình truy nhập dl với nhãn DBMS Các chủ thể có nhãn DBMS xem chủ thể tin cậy miễn kiểm soát bắt buộc với OS Có DBMS thương mại: oracle, sybase, informix, DEC,… 19 [Document title] Kiến trúc wood hole: sd DBMS ko tin cậy với lọc tin cậy không quan tâm đến OS có tin cậy hay không Chúng ta nhận thấy tập hợp UFE tương tác với người dùng hoạt động mức cho phép khác nhau, chúng đơn giản hoá thành High Low Lần lượt, UFE tương tác với TFE (trusted front end), hoạt động giám sát tham chiếu TFE tương tác với UBED (untrusted back end DBMS), có trách nhiệm việc truy nhập liệu vào CSDL (Back-end software: phần mềm bao gồm phần mềm sở liệu Client/Server phần mềm mạng chạy máy đóng vai trò Server sở liệu) Phần mềm untrusted front-end thực công việc xử lý trước sau câu truy vấn (phân tích, tối ưu hóa, phép chiếu) Phần mềm trusted front end (TFE) thực thi chức an toàn bảo vệ nhiều mức, hoạt động TCB (Trusted Computing Base) Kiến trúc integrity lock: dùng để kiểm soát tính toàn vẹn truy nhập cho sở liệu 20 [Document title] TFE thực thi bảo vệ nhiều mức cách gắn nhãn an toàn vào đối tượng CSDL dạng tem – Stamps Một tem trường đặc biệt đối tượng, lưu thông tin nhãn an toàn liệu điều khiển liên quan khác Tem dạng mã hóa thông tin trên, sử dụng kỹ thuật niêm phong mật mã gọi Integrity Lock TFE có nhiệm vụ tạo kiểm tra tem Nó sử dụng mật mã khóa bí mật để tạo tem giải mã tem Khóa bí mật có TFE biết Mô hình khóa toàn vẹn bản: Tính toàn vẹn nằm chỗ dl dù bị sửa đổi hay bị lỗi đường truyền kẻ công tính tem hợp lệ Kiến trúc sd mẫu thử nghiên cứu Mitre DBMS TRUDATA thương mại Kiến trúc kernelized: sử dụng OS tin cậy, có trách nhiệm truy nhập vật lý vào liệu (trong CSDL) có trách nhiệm tuân theo bảo vệ bắt buộc High User (người dùng làm việc mức cao) tương tác với High DBMS, thông qua TFE, Low User (người dùng làm việc mức thấp) tương tác với Low DBMS thông qua TFE Sau đó, yêu cầu họ chuyển cho OS, OS lấy lại liệu hợp lệ từ CSDL Mô hình: 21 [Document title] Các đối tượng (có nhãn an toàn giống nhau) CSDL lưu giữ đối tượng OS tin cậy (đóng vai trò kho chứa đối tượng csdl) Vì vậy, OS tin cậy tiến hành kiểm soát an toàn đối tượng lưu giữ này, cần có trình phân tách khôi phục quan hệ nhiều mức Qtr phân tách: thực chuyển đổi qhệ đa mức (đối tượng CSDL) thành số qhệ đơn mức, (chỉ chứa liệu mức an toàn đó), lưu giữ đối tượng OS Qtr phân tách: thực chuyển đổi qhệ đa mức (đối tượng CSDL) thành số qhệ đơn mức, (chỉ chứa liệu mức an toàn đó), lưu giữ đối tượng OS Các thuật toán phân tách khôi phục phải định nghĩa xác, nhằm đảm bảo tính đắn hiệu hệ thống Kiến trúc sử dụng mẫu thử nghiên cứu sae view DBMS oracle thương mại Kiến trúc replicated: có mẫu thử NRL chưa có DBMS thương mại Dữ liệu mức thấp lặp csdl Người dùng mức thấp phép truy nhập vào csdl độ ưu tiên thấp, khả sửa đổi dl mức cao Người dùng mức cao xem sửa đổi dl mức cao mức thấp Để tuân theo giải pháp cần có thuật toán đồng an toàn để đảm bảo tính tương thích lặp chi phí lặp lớn 22 [Document title] 3.5 Các bước thiết kế sở liệu an toàn Yêu cầu: cần thiết kế CSDL an toàn phải đưa giải pháp an toàn cho toán đó! (Thùy) Phân tích sơ bộ: tiến hành nghiên cứu tính khả thi của hệ thống an toàn để đưa được một tập các đe dọa dễ xảy với hệ thống Các đe dọa được sắp xếp theo quyền ưu tiên và đánh giá khả áp dụng, tích hợp các sản phẩm thương mại an toàn với các chế hiện tại Phân tích và đánh giá các rủi ro Ước lượng các chi phí thiết kế Phát triển các ứng dụng cụ thể nào và xác định quyền ưu tiên của chúng Các yêu cầu và chính sách an toàn: Phân tích yêu cầu: Phân tích giá trị: xác định mức nhạy cảm của DL Nhận dạng đe dọa và phân tích điểm yếu Phân tích và đánh giá rủi ro: khả xảy của các biến cố không mong muốn và tác động của chúng Xác định yêu cầu Lựa chọn chính sách: định nghĩa các chế độ truy nhập (đọc, ghi) của chủ thể vào đối tượng của hệ thống, đảm bảo các yêu cầu: Tính bí mật, toàn vẹn, tin cậy Chia sẻ tối đa và đặc quyền tối thiểu Mức độ chi tiết của kiểm soát Các thuộc tính được sử dụng cho kiểm soát truy nhập Thiết kế khái niệm: thực hiện thiết kế một mô hình an toàn khái niệm Mô hình an toàn khái niệm được định nghĩa thông qua: Nhận dạng các chủ thể, đối tượng liên quan đến một quan điểm an toàn Nhận dạng các chế độ truy nhập được trao cho các chủ thể khác các đối tượng khác nhau, các ràng buộc truy nhập Phân tích việc thừa kế các quyền hệ thống, thông qua các đặc quyền trao/thu hồi Yêu cầu của một mô hình an toàn khái niệm: Đầy đủ: mô hình đáp ứng được tất cả các yêu cầu an toàn đã được xác định ban đầu Nhất quán: đảm bảo các yêu cầu không có sự xung đột hay dư thừa Thiết kế logic: Chuyển từ mô hình khái niệm sang mô hình logic dựa một DBMS cụ thể Sử dụng một số kỹ thuật dựa vào câu truy vấn và khung nhìn để kiểm soát truy nhập Cần quan tâm các chế mức OS và các chức mà các gói an toàn có thể đưa Thiết kế vật lý: Quan tâm đến các chi tiết liên quan đến việc tổ chức lưu trữ và các chế độ thực hiện/tích hợp các mô hình Thực hiện thiết kế chi tiết các chế an toàn: thiết kế cấu trúc vật lý các quy tắc truy nhập 23 [Document title] Chương Cơ sở liệu thống kê 4.1 Cơ sở liệu thống kê (statistical database) gì? (Viết câu lệnh SQL cho thống kê) Ứng dụng thực tế? (NTA) Cơ sở liệu thống kê (SDB)- Statistical database CSDL thống kê (SDB) CSDL chứa ghi nhạy cảm mô tả cá nhân câu truy vấn thống kê (như: COUNT, SUM, MEAN, MAX, MIN…) trả lời, câu truy vấn truy vấn vào liệu riêng không đáp lại COUNT: Select count(*) from Nhanvien (Trả lại tổng số lượng bg table) Select count(Luong) AS count_Luong from Nhanvien Select count(Distinct Luong) from Nhanvien (Trả lại số lượng loại lương phân biệt nhau) select count(*) from nhanvien where Luong1000 Select AVG(distinct Luong) AS avg_Luong from Nhanvien Select chucvu, AVG(Luong) as avg_Luong, SUM(Luong) as sum_luong from Nhanvien Group by chucvuOrder by chucvu Ứng dụng SDB (Statistical Database): CSDL điều tra dân số, CSDL số người tử vong, kế hoạch kinh tế, CSDL thống kê khám chữa bệnh, CSDL vụ tai nạn ô tô, CSDL công nhân, CSDL thống kê tội phạm… 24 [Document title] Ví dụ: Bệnh viện Bạch Mai lập Cơ sở liệu thống kê số bệnh nhân đến khám hàng tháng 4.2 Thế công thức đặc trưng? (TTA) Công thức đặc trưng công thức logic, ký hiệu chữ viết hoa (A,B,C,…), giá trị thuộc tính kết hợp với thông qua toán tử Boolean AND, OR, NOT (∧,∨,¬) 4.3 Thế thống kê nhạy cảm, cho ví dụ? Working knowledge Supplementary knowledge? (Ngoan) Thống kê nhạy cảm sd để khám phá liệu bí mật liến quan đến cá nhân SDB Ví dụ: ta có bảng sau: ID 01 02 03 04 05 Tên Nam Lan Huệ Minh Quỳnh Chức vụ Nhân viên Trưởng phòng Nhân viên Giám sát viên Nhân viên Phòng Tài vụ Kế hoạch Kế hoạch Maketing Kế hoạch Tuổi 29 33 27 24 24 Giới tính F M M F f Lương 3500 6200 4000 3600 2900 Khi kẻ công thực thống kê cá nhân có mức lương 4000 kết suy mức lương cao chắn người có chức vụ cao => trưởng phòng or quản lý => lộ thông tin cá nhân => thống kê nhạy cảm 4.4 Nêu cách thức công trực tiếp Nêu ví dụ (Thùy) Tấn công trực tiếp: là việc sử dụng các câu truy thông thường, không phải các truy vấn thống kê để truy vấn, lấy thông tin CSDL Ví dụ: SELECT Ten FROM NhanVien Where Luong > 5.000; Giải pháp: sử dụng bộ lọc để loại bỏ các truy vấn không hợp lệ với CSDL 4.5 Nêu cách thức công dựa vào đếm Nêu ví dụ (NTA) Là loại công cách kết hợp giá trị đếm với giá trị tổng để thu thông tin bí mật Ví dụ: COUNT ( ChucVu = “Trưởng phòng”, Phong= “Kế hoạch” ) = => SUM (Luong, (ChucVu= “Trưởng phòng”, Phong= “Kế hoạch”)) 25 [Document title] 4.6 Nêu cách thức công dựa vào trình theo dõi Nêu ví dụ (TTA) Kiểu 1: Giả thiết: K=2 User cần tính Count(C), Sum(C, Luong) Công thức C = (A∧B), Count (C) = => Câu truy vấn bị cấm! Tấn công: Tính T = A∧¬B thỏa mãn k ≤ |X(T)| ≤ N-k Tính gián tiếp Count (C): Q(C) = Q (A∧B) = Q (A)- Q (A∧¬B) => Q (C) = Q (A) - Q (T) Ví dụ: ID 01 02 03 04 05 Ten Nam Lan Huệ Minh Quỳnh ChucVu Nhân viên Trưởng phòng Nhân viên Giám sát viên Nhân viên Phong Maketing Kế hoạch Kế hoạch Maketing Kế hoạch Tuoi 29 33 27 24 24 GioiTinh F M F F F Luong 3500 6200 4000 3600 2900 Giả thiết: N = C = (Phong=‘Kế hoạch’)∧(Tuoi =24) ∧(GioiTinh=F) User cần tính Count(C) Count (C) = Tấn công: K=2 => Câu truy vấn bị cấm! Đặt C = (A∧ B ) A = (Phong=‘Kế hoạch’) B = (Tuoi =24) ∧(GioiTinh = F) Tính Count(T) = Count(A∧¬ B) = Tính gián tiếp Count (C): Count(C) (thỏa mãn: ≤ Coun(T) = ≤ 3) = Count (A∧B) = Count(A)-Count(A∧¬B) = Count(A) - Count(T) = - =1 Kiểu 2: Giả thiết: Cần tính Count(C), Count(C)Thống kê bị cấm! Tấn công: (trường hợp Q = Count) Chọn T thỏa mãn: k ≤ |X(T)|, | X(¬T) | ≤ N-k Q(D) = Q(All) = Q(T) + Q(¬T)( Q(All) bị cấm ) 26 [Document title] Tính gián tiếp Q(C): Q(C) = Q(C ∨ T) + Q(C ∨ ) – Q(D) Ví dụ: SDB vụ tai nạn môtô: Ten Tài Hoàng Minh Minh Hòa Tuoi 25 37 42 19 22 D/C HN HD PT PT HN MauXe Xanh Đỏ Trắng Vàng Xanh LoaiXe ThoiGian CoLoi SayRuou Honda 13.30 1 Toyota 6.25 Honda 17.45 Volkswagon 3.30 Honda 6.30 Giả thiết: C = (Ten=‘Minh’) ∧ (MauXe=‘Trắng’) N=5 Count(C) = 1, SUM(CoLoi, C) =1 =>2 Câu truy vấn bị cấm! Tấn công: K=2 Chọn T = (Tuoi < 25) => Count(T) = 2, Count(¬ T) = Count(All) = Count(T) + Count(¬ T) = Tính: Count(C) = Count(CVT) + Count(CV¬ T)–Count(All) = + – = SUM(CoLoi, C) = Sum(CoLoi, CVTuoi q1=3 C2 = (phòng = ”kế hoạch”)/\(giới tính=M) = => q2=2 q1 = 0X1+1X2+1X3+0X4+1X5 = q2 = 0X1+1X2+1X3+0X4+0X5 = q = q1 - q2 = – = => liệu nhạy cảm Bây ta tính lương làm việc khác 28 Lương 3500 6200 4000 3600 2900 [Document title] 4.6 Tìm hiểu kỹ thuật chống suy diễn CSDL thống kê, nêu ưu nhược điểm phương pháp (Chú ý tìm hiểu kỹ kiểm soát này) Câu này các bạn xem thật kỹ các ví dụ slide để dễ hiểu Từ slide 51 đến hết Có thể phần này sẽ vào bài tập Kiểm soát kích cỡ tập truy vấn: một thống kê q(C) chỉ được phép nếu tập truy vấn của nó X(C) thỏa mãn quan hệ sau: K ≤ | X(C) | ≤ N – K Với ≤ K ≤ N/2, K DBA định nghĩa N là tổng số bản ghi SDB; Ưu điểm: ngăn chặn các tấn công đơn giản, dựa vào các tập truy vấn rất nhỏ hoặc rất lớn Nhược điểm: Hạn chế khả hữu ích của SDB Chỉ ngăn chặn các tấn công đơn giản, khó có thể ngăn chặn được các tấn công phức tạp như: tấn công trình theo dõi, tấn công hệ tuyến tính Kiểm soát kích cỡ tập truy vấn mở rộng: thực hiện tăng số lượng các tập truy vấn cần được kiểm soát Thành lập công thức đặc trưng C, tìm tập truy vấn ngầm định của C, kiểm soát kích cỡ tập truy vấn với cả tập này Cho trước một thống kê bậc m có dạng: q(A1 = a1 ∧ A2= a2 ∧ ∧ Am =am) Hoặc: q(A1 = a1 ∨ A2= a2 ∨ ∨ Am =am) Khi đó tồn tại tồn 2m = Cm0 + Cm1 +Cm2 +…+ Cmm-1 tập truy vấn ngầm định, tương ứng với thống kê sau đây: q(A1 = a1 ∧ A2= a2∧ ∧ Am =am) q(A1 = a1 ∧ A2= a2∧ ∧¬ Am =am) q(A1= a1 ∧ ¬A2= a2 ∧ ∧ Am =am) q(¬A1 = a1 ∧ A2= a2 ∧ ∧ Am =am) q(¬A1 = a1 ∨ ¬A2= a2 ∨ ∨ ¬ Am =am) Ưu điểm: chống được các kiểu tấn công: trình theo dõi, hệ tuyến tính Nhược điểm: Phải kiểm tra 2m tập truy vấn ngầm định (hàm mũ tăng lớn theo m) => Rất tốn công! Gộp: các câu truy vấn thống kê được tính toán các nhóm gộp Dữ liệu riêng sẽ được nhóm lại thành một khối nhỏ trước đưa Giá trị trung bình của nhóm gộp sẽ thay thế cho mỗi giá trị riêng của dữ liệu được gộp Ưu điểm: tránh được việc để lộ thông tin nhạy cảm Nhược điểm: kết quả đưa không chính xác Kỹ thuật giấu ô: giấu tất cả các ô tương ứng với các thống kê nhạy cảm Giấu thêm các ô tương ứng với các thống kê có thể gián tiếp khám phá các thống kê nhạy cảm (giấu bổ sung) 29 [Document title] Ưu điểm: chống được các tấn công kết hợp dựa vào Count và Sum Nhược điểm: hạn chế khả hữu ích của SDB vì phải che giấu một số ô CSDL Kỹ thuật gây nhiễu: làm nhiễu CSDL thống kê hoặc làm nhiễu kết quả đầu của mọi câu truy vấn bằng cách thêm các “nhiễu” Gây nhiễu dữ liệu Gây nhiễu cố định: cho N là kích cỡ của SDB và xét thuộc tính A j Với mỗi giá trị thực Xij (với i=1,…,N) của thuộc tính Aj bị thay thế bằng giá trị gây nhiễu X’ ij: X‘ij = Xij + ei với i =1, ,N e là một vector gây nhiễu ngẫu nhiên Ưu điểm: chống được nhiều tấn công, kể cả tấn công tính trung bình (lặp nhiều lần) Nhược điểm: chỉ áp dụng cho thuộc tính số Kết quả trả về không chính xác Gây nhiễu dựa vào truy vấn: với mỗi truy vấn được tạo SDB, một hàm gây nhiễu sẽ được áp dụng với tất cả các thuộc tính của tập truy vấn đó Giả sử thống kê q(C) với mọi giá trị Xij thuộc X(C) có: X’ij = fc(Xij) Ưu điểm: gây nhiễu dữ liệu nên chống được nhiều tấn công Nhược điểm: với mỗi thống kê, lại phải áp dụng một hàm gây nhiễu f => tốn công, giảm hiệu hệ thống Kết quả đưa không chính xác Gây nhiễu đầu ra: thực hiện sửa đổi các kết quả được tính toán chính xác của một câu truy vấn thống kê, trước chuyển nó cho người sử dụng Thực hiện kỹ thuật làm tròn: Làm tròn có hệ thống: Q' kết sửa đổi, tính toán cho thống kê yêu cầu q(C) b' = (b+1)/2 (ký hiệu   làm tròn xuống số nguyên gần nhất), giá trị b Admin chọn d = Q mod b r(Q) Làm tròn ngẫ = u nhiên: Q' kết sửa đổi, tính toán cho thống kê yêu cầu q(C) b'= (b+1)/2 (ký hiệu   làm tròn xuống số nguyên gần nhất) d = Q mod b r(Q) = Xác suất p = d/b Ưu điểm: bảo vệ được những tấn công đơn giản Nhược điểm: không chống được những tấn công trung bình, tấn công trình theo dõi, kết quả đưa không chính xác Kiểm soát dựa vào hạn chế: chống suy diễn bằng cách hạn chế các câu truy vấn thống kê theo một điều kiện hạn chế nào đó 30 [Document title] Chương Phát xâm nhập trái phép 5.1 Tại phải bảo vệ CSDL? Phương pháp mã hóa CSDL cần giải vấnđề gì? Đưa nhận xét so với phương pháp bảo vệ khác (NTA) Lý do: Một CSDL cung cấp thông tin quan trọng khách hàng, kế hoạch phát triển doanh nghiệp, dự đoán kinh tế, nhiều mục đích quan trọng khác… Tin tặc công vào csdl thu nhiều thông tin nghe giao tiếp mạng Dữ liệu thường mã hóa đường truyền lại lưu dạng rõ CSDL Sự cố an ninh xảy với CSDL ảnh hưởng nghiêm trọng đến danh tiếng công ty quan hệ với khách hàng Mã hóa CSDL cần giải vấn đề sau: Hỗ trợ mã hóa mức liệu cấp bảng, cột, hàng Hỗ trợ sách an ninh phân quyền truy cập đến mức liệu cột, hỗ trợ RBAC Cơ chế mã hóa không ảnh hưởng đến ứng dụng So sánh với phương pháp khác: /////////////////////////////// 5.2 Định nghĩa hệ thống phát xâm nhập (IDS) So sánh với hệ thống ngăn chặn xâm nhập (IPS) (TTA) IDS (Intrusion Detection System) hệ thống pần mềm phần cứng chuyên dụng tự động thực quy trình giám sát kiện mạng, thực phân tích để phát đề an ninh cho hệ thống IDS hệ thống giám sát thụ động, chế ngăn chặn công xâm nhập trái phép hạn chế (không chống công) Phần lớn hệ thống IDS đưa cảnh báo công, xâm nhập ảnh hưởng tới hệ thống IPS (Intrustion Prevention System) kết hợp IDS với Firewall, có khả phát công tự động ngăn chặn công IPS khắc phục nhược điểm IDS 31 [Document title] 5.3 So sánh hệ thống IDS máy trạm (HIDS) hệ thống IDS mạng (NIDS) (Ng) Giống nhau: hệ thông giám sát, phân tích hoạt động nhằm tìm dấu hiệu vi phạm quy tắc bảo máy tính, sách sử dụng quy định ATTT, tiêu chuẩn ATTT Khác nhau: Đặc điểm Phạm vi áp dụng Khả phát xâm nhập Tính phụ thuộc vào tảng Cài đặt triển khai Quản trị Băng thông HIDS Áp dụng cho máy trạm Phát công từ mạng Phụ thuộc vào tảng hệ điều hành NIDS Áp dụng cho toàn mạng Phát công từ mạng Không phụ thuộc Mất nhiều thời gian cài đặt, triển khai Đơn giản dễ cài đặt, triển khai Quản trị riêng lẻ Không chiếm băng thông mạng Quản trị tập trung Chiếm băng thông mạng 5.4 Trình bày mô hình pát xâm nhập hệ thống IDS (phát lạm dụng phát trình trạng bất thường)? Nêuưu, nhượcđiểm mô hình Cho ví dụ (Thùy) Phát hiện sự lạm dụng: phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa các cảnh báo sai làm giảm khả hoạt động của mạng và giúp các nhà quản trị xác định các lỗ hổng bảo mật hệ thống của mình Nhược điểm: không phát hiện được các cuộc tấn công không có CSDL, các kiểu tấn công mới, vậy HT phải cập nhật các mẫu tấn công mới Phát hiện tình trạng bất thường: ban đầu lưu giữ các mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ gây các hoạt động bất thường, và HT sẽ phát hiện các hoạt động bất thường đó dựa trên: Phát hiện dựa mức ngưỡng Phát hiện nhờ quá trình tự học Phát hiện dựa những bất thường về giao thức Ưu điểm: có thể phát hiện các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp phát hiện sự lạm dụng Nhược điểm: thg tạo số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng 32 [Document title] 5.5 Trình bày công vào CSDL (NTA) Tấn công bên trong: Tin tặc người bên tổ chức (bên firewall) biết kiến trúc mạng Tấn công bên ngoài: Tin tặc phải vượt qua firewall, IDS kiến trúc mạng Tấn công tính bí mật: loại công người dùng bất hợp pháp có khả truy nhập vào thông tin nhạy cảm CSDL: Kiểm soát mức thấp đọc CSDL Ví dụ: Tin tặc kiểm soát toàn máy chủ CSDL download toàn file CSDL, nạp file vào database engine để truy nhập liệu người dùng bình thường Kiểm soát truy nhập: thường sử dụng để bảo vệ CSDL chưa đủ: Thường cấu hình chưa Tạo khe hở cho người dùng muốn lạm dụng quyền Việc backup CSDL không an toàn: khả cho kẻ công truy nhập vào liệu nhạy cảm Tấn công SQL Injection: người lập trình viên không kiểm soát liệu đầu vào, tạo khe hở để kẻ công truy nhập trái phép CSDL (trong ứng dụng web) Truy nhập vào file CSDL vật lý Giải pháp: Mã hóa file CSDL, mã hóa CSDL (các bảng, khung nhìn thông tin bí mật) Áp dụng chế bảo vệ mức cao cho thân CSDL (dùng Label – Multilevel) Tấn công tính toàn vẹn: loại công gây sửa đổi trái phép thông tin CSDL Yêu cầu: kẻ công phải có quyền write CSDL Tấn công từ admin ác ý Sự gây hại ứng dụng lỗi Sử dụng tài khoản đánh cắp có truy nhập write CSDL Khả leo thang đặc quyền số tài khoản Giải pháp: Tách bạch nhiệm vụ (Separaton of duties): Nguyên tắc đưa nhằm hạn chế tối đa cá nhân phá hoại liệu để đảm bảo toàn vẹn liệu Tách bạch nhiệm vụ gắn liền với kiểm soát chuỗi giao tác Để chuỗi hoàn thành phải có nhiều người tham gia (eg: giao dịch ngân hàng) Chỉ người dùng hợp pháp phép thực ứng dụng (đã phê duyệt) để thay đổi thông tin CSDL 33 [...]... SQL cho các ví dụ đó Nêu sự khác nhau giữa Admin option và Grant option (Ví dụ các câu lệnh SQL) (TTA) Đặc quyền hệ thống: cho phép người sử dụng tạo những cơ sở dữ liệu mới, tạo các đối tượng mới bên trong cơ sở dữ liệu có sẵn, hay sao lưu cơ sở dữ liệu hoặc nhật ký giao tác Một số đặc quyền hệ thống như: CREATE DATABASE CREATE TABLE CREATE PROCEDURE CREATE DEFAULT CREATE RULE CREATE VIEW BACKUP DATABASE... quyền đối tượng: cho phép người sử dụng, role thực hiện những hành động trên một đối tượng cụ thể trong cơ sở dữ liệu Một số đặc quyền đối tượng: SELECT: Xem dữ liệu trong bảng, View, hay cột INSERT: Thêm dữ liệu vào bảng hoặc view UPDATE: Sửa đổi dữ liệu có sẵn trong bảng, view hoặc cột DELETE: Xoá dữ liệu trong bảng hoặc view EXECUTE: Chạy một thủ tục được lưu REFERENCE: Tham khảo một bảng bằng khoá... như một bộ giám sát tham chiếu TFE tương tác với một UBED (untrusted back end DBMS), có trách nhiệm trong việc truy nhập dữ liệu vào CSDL (Back-end software: phần mềm này bao gồm phần mềm cơ sở dữ liệu Client/Server và phần mềm mạng chạy trên máy đóng vai trò là Server cơ sở dữ liệu) Phần mềm untrusted front-end thực hiện các công việc xử lý trước và sau các câu truy vấn (phân tích, tối ưu hóa, phép... cơ chế mức OS và các chức năng mà các gói an toàn có thể đưa ra Thiết kế vật lý: Quan tâm đến các chi tiết liên quan đến việc tổ chức lưu trữ và các chế độ thực hiện/tích hợp các mô hình Thực hiện thiết kế chi tiết các cơ chế an toàn: thiết kế cấu trúc vật lý và các quy tắc truy nhập 23 [Document title] Chương 4 Cơ sở dữ liệu thống kê 4.1 Cơ sở dữ liệu. .. sd thanh ghi cơ sở/ giới hạn có thể bảo vệ vùng nhớ của tiến trình người dùng Hỗ trợ tái định vị động: nhờ có thanh ghi cơ sở nên có thể di chuyển chương trình trong bộ nhớ khi chúng xử lý bằng cách thay đổi giá trị trong thanh ghi cơ sở Nhược điểm: Chỉ bảo vệ được vùng nhớ bên trong của tiến trình => đoạn lệnh có thể bị ghi đè 14 [Document title] Chương trình = 1 đoạn lệnh + 1 đoạn dữ liệu Nếu 2 đoạn... thương mại Dữ liệu mức thấp được lặp trong csdl Người dùng mức thấp chỉ được phép truy nhập vào csdl độ ưu tiên thấp, không có khả năng sửa đổi dl mức cao Người dùng mức cao có thể xem và sửa đổi cả dl mức cao và mức thấp Để tuân theo giải pháp này cần có các thuật toán đồng bộ an toàn để đảm bảo tính tương thích lặp và chi phí lặp cũng rất lớn 22 [Document title] 3.5 Các bước thiết kế một cơ sở dữ liệu. .. Kiến trúc integrity lock: được dùng để kiểm soát tính toàn vẹn và sự truy nhập cho cơ sở dữ liệu 20 [Document title] TFE thực thi bảo vệ nhiều mức bằng cách gắn các nhãn an toàn vào các đối tượng CSDL dưới dạng các tem – Stamps Một tem là một trường đặc biệt của một đối tượng, lưu thông tin về nhãn an toàn và các dữ liệu điều khiển liên quan khác Tem là dạng mã hóa của các thông tin trên, sử dụng một... các câu lệnh SQL cho các thống kê) Ứng dụng trong thực tế? (NTA) Cơ sở dữ liệu thống kê (SDB)- Statistical database CSDL thống kê (SDB) là một CSDL chứa các bản ghi nhạy cảm mô tả về các cá nhân nhưng chỉ các câu truy vấn thống kê (như: COUNT, SUM, MEAN, MAX, MIN…) mới được trả lời, ngoài các câu truy vấn này thì những truy vấn vào các dữ liệu riêng sẽ không được đáp lại COUNT: Select count(*) from Nhanvien... ra với CSDL có thể ảnh hưởng nghiêm trọng đến danh tiếng của công ty và quan hệ với khách hàng Mã hóa CSDL cần giải quyết các vấn đề sau: Hỗ trợ mã hóa tại các mức dữ liệu cấp bảng, cột, hàng Hỗ trợ chính sách an ninh phân quyền truy cập đến mức dữ liệu cột, hỗ trợ RBAC Cơ chế mã hóa không ảnh hưởng đến các ứng dụng hiện tại So sánh với các phương pháp khác: /////////////////////////////// 5.2 Định... database engine để truy nhập dữ liệu như người dùng bình thường Kiểm soát truy nhập: thường được sử dụng để bảo vệ CSDL nhưng chưa đủ: Thường được cấu hình chưa đúng Tạo khe hở cho những người dùng muốn lạm dụng quyền Việc backup CSDL không an toàn: là một khả năng cho kẻ tấn công có thể truy nhập vào dữ liệu nhạy cảm Tấn công SQL Injection: do người lập trình viên không kiểm soát dữ liệu đầu vào, tạo khe ... phần mềm sở liệu (DBMS) Cơ sở liệu (DB) Các mô hình xử lý CSDL phụ thuộc vào định vị thành phần trên, có mô hình là: Mô hình sở liệu tập trung (Centralized database model) Mô hình sở liệu phân... nhập 23 [Document title] Chương Cơ sở liệu thống kê 4.1 Cơ sở liệu thống kê (statistical database) gì? (Viết câu lệnh SQL cho thống kê) Ứng dụng thực tế? (NTA) Cơ sở liệu thống kê (SDB)- Statistical... câu lệnh SQL) (TTA) Đặc quyền hệ thống: cho phép người sử dụng tạo sở liệu mới, tạo đối tượng bên sở liệu có sẵn, hay lưu sở liệu nhật ký giao tác Một số đặc quyền hệ thống như: CREATE DATABASE