ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
LÊ THỊ SINH
NGHIÊN CỨU MỘT SỐ MÔ HÌNH ĐẢM BẢO
AN NINH CƠ SỞ DỮ LIỆU VÀ THỬ NGHIỆM ỨNG DỤNG
LUẬN VĂN THẠC SĨ
Hà Nội - 2010
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
LÊ THỊ SINH
NGHIÊN CỨU MỘT SỐ MÔ HÌNH ĐẢM BẢO
AN NINH CƠ SỞ DỮ LIỆU VÀ THỬ NGHIỆM ỨNG DỤNG
Ngành:
Công nghệ thông tin
Chuyên ngành:
Công nghệ phần mềm
Mã số:
60 48 10
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến
Hà Nội - 2010
2
MỤC LỤC
LỜI CAM ĐOAN ........................................................ Error! Bookmark not defined.
DANH MỤC CÁC HÌNH VẼ ...................................................................................... 6
DANH MỤC CÁC BẢNG BIỂU ................................................................................ 6
BẢNG CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT .............................................................. 7
LỜI NÓI ĐẦU ............................................................................................................. 8
Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN ........................ 10
1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU ........................................................... 10
1.1.1. Khái niệm Cơ sở dữ liệu .......................................................................... 10
1.1.1.1. Cơ sở dữ liệu và mô hình Cơ sở dữ liệu ............................................ 10
1.1.1.2. Cơ sở dữ liệu dạng quan hệ ............................................................... 11
1.1.2. Vấn đề bảo vệ Cơ sở dữ liệu .................................................................... 11
1.1.2.1. Những hiểm họa đối với Cơ sở dữ liệu ............................................. 11
1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu................................................. 12
1.1.2.3. Các phƣơng pháp bảo vệ Cơ sở dữ liệu ............................................. 13
1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH ....................................................... 18
1.2.1. Khái niệm Mạng máy tính ....................................................................... 18
1.2.2. Vấn đề bảo vệ Mạng máy tính ................................................................. 19
1.2.2.1. Những hiểm họa đối với Mạng máy tính ........................................... 19
1.2.2.2. Những yêu cầu bảo vệ Mạng máy tính .............................................. 20
1.3. VẤN ĐỀ AN NINH HỆ ĐIỀU HÀNH [4]-[7] ................................................ 22
1.3.1. Khái niệm Hệ điều hành .......................................................................... 22
1.3.2. Vấn đề bảo vệ Hệ điều hành .................................................................... 24
1.3.2.1. Những hiểm họa đối với Hệ điều hành .............................................. 24
1.3.2.2. Những yêu cầu bảo vệ Hệ điều hành ................................................. 24
1.3.2.3. Các phƣơng pháp bảo vệ Hệ điều hành ............................................. 24
1.4. VẤN ĐỀ BẢO VỆ DỮ LIỆU ......................................................................... 28
1.4.1. Khái niệm dữ liệu .................................................................................... 28
1.4.2. Vấn đề bảo vệ dữ liệu trong CSDL .......................................................... 28
1.4.2.1. Những hiểm họa đối với dữ liệu trong CSDL .................................... 28
1.4.2.2. Những yêu cầu bảo vệ dữ liệu trong CSDL ....................................... 28
1.4.2.3. Các phƣơng pháp bảo vệ dữ liệu trong CSDL ................................... 28
Chương 2. MỘT SỐ NHIỆM VỤ VÀ PHƢƠNG PHÁP BẢO VỆ DỮ LIỆU ............ 29
2.1. BẢO MẬT DỮ LIỆU ..................................................................................... 29
2.1.1. Bảo mật dữ liệu bằng hệ mật mã .............................................................. 29
2.1.2. Một số hệ mật mã dữ liệu [2] ................................................................... 29
2.1.3. Hệ mật mã chuẩn DES (Data Encryption Standard) [6]............................ 30
2.2. BẢO TOÀN DỮ LIỆU [2] ............................................................................. 36
3
2.2.1. Bảo toàn dữ liệu bằng chữ ký số. ............................................................. 36
2.2.2. Bảo toàn dữ liệu bằng hàm băm. .............................................................. 36
2.3. XÁC THỰC DỮ LIỆU [6] ............................................................................. 37
2.3.1. Xác thực dữ liệu bằng chữ ký số. ............................................................. 37
2.3.2. Một số phƣơng pháp ký số. ...................................................................... 37
2.3.3. Sơ đồ chữ ký số RSA. .............................................................................. 38
Chương 3. MỘT SỐ MÔ HÌNH AN NINH CSDL [7] ............................................... 40
3.1. TỔNG QUAN VỀ MÔ HÌNH AN NINH CSDL ............................................ 40
3.2. MÔ HÌNH MA TRẬN TRUY CẬP HARRISON–RUZZO–ULLMAN (HRU) ...... 42
3.2.1. Trạng thái cấp quyền (Authorization State) .............................................. 42
3.2.2. Các kiểu truy cập (Access Modes) ........................................................... 44
3.2.3. Các phép toán (Operations)...................................................................... 44
3.2.4. Các câu lệnh (Commands) ....................................................................... 47
3.2.5. Ủy quyền ................................................................................................. 50
3.2.6. Thực thi của mô hình ma trận truy cập (Model Implementation) .............. 51
3.2.7. Mở rộng mô hình: .................................................................................... 51
3.3. MÔ HÌNH TAKE - GRANT ........................................................................... 53
3.3.1. Trạng thái ủy quyền (Authorization State) ............................................... 53
3.3.2. Các kiểu truy cập (Access Modes) ........................................................... 54
3.3.3. Các phép toán (Operations and Transfer to privileges) ............................. 55
3.3.4. Mở rộng của mô hình ............................................................................... 58
3.4. MÔ HÌNH ACTEN (ACTION – ENTITY MODEL) ...................................... 60
3.4.1. Các kiểu truy cập ..................................................................................... 60
3.4.1.1 Kiểu truy cập Static ........................................................................... 60
3.4.1.2 Kiểu truy cập Dynamic ...................................................................... 60
3.4.2. Việc cấp quyền (Authorizations) .............................................................. 62
3.4.3. Sự phân lớp thực thể (Entity classification) .............................................. 63
3.4.4. Các cấu trúc của mô hình (Model structures) ........................................... 63
3.4.5. Luật biến đổi và luật kiên định ................................................................. 65
3.5. MÔ HÌNH WOOD ET AL .............................................................................. 69
3.5.1. Kiến trúc ANSI/SPARC .......................................................................... 69
3.5.2. Chủ thể và đối tƣợng ............................................................................... 70
3.5.3. Kiểu truy nhập ......................................................................................... 71
3.5.4. Hàm ánh xạ (Mapping function) .............................................................. 72
3.5.5. Trạng thái cấp quyền (Authorization state) .............................................. 72
3.5.6. Các luật truy nhập ở mức khái niệm ......................................................... 74
3.5.7. Các luật truy nhập ở mức ngoài ............................................................... 75
3.5.8. Kiểm soát truy cập ................................................................................... 76
3.6. THẢO LUẬN VỀ MÔ HÌNH TỰ QUYẾT..................................................... 78
3.7. MÔ HÌNH SEA VIEW ................................................................................... 80
4
3.7.1. Mô hình MAC (Mandatory Access Control) ............................................ 80
3.7.2. Mô hình TCB (Trusted Computing Base) ................................................ 82
3.7.2.1 Quan hệ đa mức ................................................................................. 82
3.7.2.2 Truy nhập tới quan hệ đa mức ........................................................... 86
3.7.2.3 Chính sách “an ninh thận trọng” ........................................................ 87
3.7.2.4 Kiểm soát truy nhập “thận trọng” ...................................................... 88
3.7.2.5 Quản trị cấp quyền............................................................................. 88
3.7.3. Mô tả về quan hệ đa mức ......................................................................... 88
3.8. MÔ HÌNH JAJODIA VÀ SANDHU .............................................................. 89
3.8.1. Quan hệ đa mức ....................................................................................... 89
3.8.1.1 Các đặc trƣng .................................................................................... 89
3.8.1.2 Truy cập vào mô hình đa mức. ........................................................... 91
3.8.2. Mở rộng của mô hình ............................................................................... 91
3.9. MÔ HÌNH SMITH AND WINSLELT ............................................................ 93
3.9.1. Các đặc trƣng cơ bản ............................................................................... 93
3.9.2. Truy nhập tới quan hệ đa mức.................................................................. 95
Chương 4. THỬ NGHIỆM ỨNG DỤNG................................................................. 102
4.1. GIỚI THIỆU HỆ THỐNG QUẢN LÝ ĐÀO TẠO...................................... 102
4.2. ÁP DỤNG MÔ HÌNH AN NINH MA TRẬN TRUY NHẬP........................ 103
4.2.1. Chủ thể và các quyền truy cập ............................................................... 103
4.2.3. Tập các kiểu truy cập ............................................................................. 104
4.3 ÁP DỤNG PHƢƠNG PHÁP MÃ HOÁ DỮ LIỆU ........................................ 107
4.3.1. Bảo vệ chƣơng trình quản lý .................................................................. 107
4.3.2. Bảo vệ dữ liệu bằng phƣơng pháp mã hoá.............................................. 107
KẾT LUẬN ............................................................................................................. 108
TÀI LIỆU THAM KHẢO........................................................................................ 109
5
DANH MỤC CÁC HÌNH VẼ
Tên hình
Trang
Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y
12
Hình 1.2 Hệ thống kiểm soát truy nhập
13
Hình 1.3 Hệ thống đóng
14
Hình 1.4 Hệ thống mở
15
Hình 1.5 Phiên làm việc của ngƣời dùng
20
Hình 3.1 Mô hình Harrison-Ruzzo-Ullman
36
Hình 3.2 Các phƣơng pháp lƣu trữ khác nhau cho một ma trận truy cập
45
Hình 3.3 Kết quả thực hiện tuần tự các phép toán trên đồ thị G
50
Hình 3.4 Ví dụ về quyền thuận nghịch trong mô hình Take- Grant
52
Hình 3.5 Ví dụ về đồ thị tĩnh
56
Hình 3.6 Ví dụ về đồ thị động
57
Hình 3.7 Kiến trúc cơ sở dữ liệu 3 mức ANSI/SPARC
63
Hình 3.8 Mối quan hệ giữa các luật tại các mức khác nhau
67
Hình 3.9 Minh họa một kiểu tấn công Trojan Hourse
71
DANH MỤC CÁC BẢNG BIỂU
Tên bảng
Trang
Bảng 3.1 Các mô hình an ninh HĐH và CSDL
34
Bảng 3.2 Ma trận truy cập
36
Bảng 3.3: Các phép toán của mô hình HRU
38
Bảng 3.4 Các phép toán trong mô hình Take -Grant
45
Bảng 3.5 Cách thức truy cập và mức ƣu tiên
54
Bảng 3.6 Bảng lớp an ninh
58
Bảng 3.7 Trạng thái các thực thể
58
Bảng 3.8 Ví dụ về bảng truy nhập bắt buộc AC
66
6
Tên bảng
Trang
Bảng 3.9 Ví dụ về bảng các luật mức khái niệm
68
Bảng 3.10 Ví dụ về một quan hệ đa mức EMPLOYEE
85
Bảng 3.11. Giải thích ở các mức khác nhau của quan hệ EMPLOYEE
86
Bảng 3.12 Quan hệ đa mức EMPLOYEE sau khi chèn
88
Bảng 3.13 Ví dụ 1 về update trong quan hệ đa mức
89
Bảng 3.14 Ví dụ 2 về update trong quan hệ đa mức
89
BẢNG CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT
TỪ VIẾT TẮT
NGHĨA TIẾNG ANH
NGHĨA TIẾNG VIỆT
CNTT
Information Technology
Công nghệ thông tin
CSDL
Data Base
Cở sở dữ liệu
DAC
Dicretionary Access Control
Models
Mô hình điều khiênt truy nhập
tự quyết
HĐH
Operating Systems
Hệ điều hành
HSSV
Student
Học sinh, sinh viên
MAC
Mandatory Access Control
Models
Mô hình bắt buộc
TCB
Trusted Computing Base
Cơ sở tính toán tin cậy
AC
Access Constraint table
Bảng truy nhập bắt buộc
ER
External Rules
Các luật truy nhập mức ngoài
CR
Conceptual Rules
Các luật truy nhập khái niệm
CL
Capability List
Danh sách khả năng
ACL
Access Control List
Danh sách điều khiển truy cập
7
LỜI NÓI ĐẦU
Hiện nay, ngành Công nghệ thông tin đã có những phát triển vƣợt bậc. Sự phát
triển này đã đem lại sự thay đổi to lớn về mọi mặt trong nền kinh tế cũng nhƣ xã hội.
Từ các văn bản đơn giản, các dữ liệu quan trọng cho đến các công trình nghiên cứu
đều đƣợc tổ chức và lƣu trữ trên máy. Đặc biệt khi mạng Internet và các mạng cục bộ
phát triển, các dữ liệu không chỉ đƣợc tổ chức và lƣu trữ trên các máy đơn lẻ mà chúng
còn đƣợc trao đổi, truyền thông qua hệ thống mạng một cách nhanh chóng, dễ dàng.
Việc kết nối máy tính vào mạng hết sức đơn giản, nhƣng lợi ích từ việc sử dụng
mạng để chia sẻ tài nguyên giữa những ngƣời sử dụng lại hết sức to lớn. Mạng máy
tính hiện nay đã là công cụ không thể thiếu đƣợc trong hầu hết các hoạt động của con
ngƣời nhƣ giải trí, giáo dục, kinh doanh, bảo hiểm, ngân hàng,….
Tuy nhiên, lại phát sinh một vấn đề mới là các thông tin quan trọng nằm trong
kho dữ liệu hoặc đang trên đƣờng truyền có thể bị ăn cắp, có thể bị làm sai lệch hoặc
giả mạo. Điều đó làm ảnh hƣởng không nhỏ đến các tổ chức, các công ty hay cả một
quốc gia. Để giải quyết vấn đề trên, các nhà nghiên cứu đã bắt tay vào nghiên cứu và
xây dựng các mô hình nhằm đảm bảo an toàn và bảo mật thông tin. Hiện nay đã có
một số lý luận, khái niệm và một số mô hình về an toàn bảo mật thông tin, an ninh cơ
sở dữ liệu (CSDL), an ninh hệ điều hành đƣợc đƣa ra. Các phần mềm ứng dụng cũng
đã đƣợc phát triển và cung cấp môi trƣờng giúp ngƣời lập trình có thể khắc phục, hạn
chế các chỗ hổng trong việc quản lý CSDL.
Thông tin trong máy tính hoặc trên đƣờng truyền cần đảm bảo ba yêu cầu cơ bản là:
- Yêu cầu bí mật: Thông tin không bị lộ cho những ngƣời không có trách nhiệm.
- Yêu cầu toàn vẹn: Thông tin không bị thay đổi trong quá trình sử dụng.
- Yêu cầu sẵn sàng: Cung cấp kịp thời, đáp ứng yêu cầu của ngƣời sử dụng.
Khi kho dữ liệu ngày càng nhiều và việc truyền tin trên mạng ngày càng gia tăng,
phổ biến thì hiểm họa đối với máy tính ngày càng nguy hiểm. Hiểm họa đối với máy
tính đƣợc định nghĩa nhƣ một sự cố tiềm tàng có ác ý, có thể tác động không mong
muốn lên các tài sản, tài nguyên gắn liền với hệ thống máy tính đó. Các nhà nghiên
cứu đã chia hiểm họa thành ba dạng khác nhau: lộ tin, xâm phạm tính toàn vẹn và từ
chối dịch vụ.
Trong môi trƣờng CSDL, những ứng dụng và ngƣời dùng khác nhau cùng khai
thác dữ liệu thông qua hệ quản trị CSDL. Qua quá trình khai thác dữ liệu có thể mâu
thuẫn nhau. Khi đó những hiểm họa trở lên nghiêm trọng hơn vì các hiểm họa này phát
sinh trong môi trƣờng CSDL.
8
Sự an ninh đạt đƣợc trong môi trƣờng CSDL có nghĩa là nhận ra các hiểm họa,
lựa chọn đúng đắn cách và cơ chế giải quyết các hiểm hoạ đó.
Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lƣu trữ dữ
liệu chi tiết. Việc bảo vệ CSDL có thể đạt đƣợc thông qua các biện pháp an ninh nhƣ:
kiểm soát lƣu lƣợng, kiểm soát suy diễn, kiểm soát truy nhập. Cùng với nó, kỹ thuật
mật mã có thể đƣợc sử dụng để lƣu trữ dữ liệu dƣới dạng mã hóa với khóa bí mật, bí
mật về thông tin đƣợc bảo đảm, vì dữ liệu mọi ngƣời có thể nhìn thấy nhƣng chỉ ngƣời
dùng có khóa hợp lệ mới có khả năng hiểu. An ninh và bảo mật CSDL dựa trên các
vấn đề về an ninh và bảo mật máy tính (phần cứng), hệ điều hành, hệ quản trị CSDL,
mã hóa. Các hiểm họa đe dọa sự an toàn CSDL hầu hết bắt nguồn từ bên ngoài hệ
thống.
Phạm vi luận văn đề cập đến vấn đề về an toàn thông tin dựa trên một số mô hình
về an ninh CSDL điển hình nhƣ mô hình ma trận truy cập, mô hình Take Grant, mô
hình Acten…. Từ đó áp dụng xây dựng chƣơng trình ứng dụng để đảm bảo an toàn
CSDL trong phạm vi chƣơng trình.
Luận văn gồm bốn chƣơng
Chƣơng 1. Tổng quan về an ninh hệ thống thông tin: chƣơng này giới thiệu
một số khái niệm chung về CSDL, an ninh CSDL, an ninh mạng máy tính, an ninh hệ
điều hành và một số vấn đề về bảo vệ dữ liệu.
Chƣơng 2. Một số phƣơng pháp bảo vệ dữ liệu: chƣơng này giới thiệu một số
phƣơng pháp bảo vệ dữ liệu nhƣ bảo mật, bảo toàn và xác thực dữ liệu.
Chƣơng 3. Một số mô hình đảm bảo an ninh CSDL: Chƣơng này giới thiệu
một số mô hình về an ninh CSDL điển hình nhƣ mô hình ma trận truy cập, mô hình
Take Grant, mô hình Acten, Wood at al, Sea View, Jajodia and Sandhu, Smith and
Winslelt.
Chƣơng 4. Thử nghiệm ứng dụng: Chƣơng này giới thiệu phần mềm ứng dụng
quản lý đào tạo của trƣờng Cao đẳng Kinh Tế - Kỹ Thuật Hải Dƣơng trong khuôn khổ
một mô hình đảm bảo an ninh CSDL.
Để hoàn thành luận văn này, trƣớc hết tôi xin chân thành cảm ơn
PGS.TS Trịnh Nhật Tiến - ngƣời đã trực tiếp hƣớng dẫn, cung cấp tài liệu và có nhiều
ý kiến đóng góp cho luận văn. Tôi cũng xin chân thành cảm ơn các thày cô giáo, cán
bộ khoa Công nghệ thông tin, phòng Sau đại học, Trƣờng Đại học công nghệ
(ĐHQG Hà nội) đã tận tình giảng dậy, giúp đỡ tôi trong suốt khóa học. Cuối cùng tôi
xin chân thành cảm ơn lãnh đạo Trƣờng Cao đẳng Kinh tế - Kỹ thuật Hải Dƣơng,
các đồng nghiệp và gia đình đã tạo điều kiện giúp đỡ về vật chất cũng nhƣ tinh thần để
tôi hoàn thành luận văn này.
9
Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN
1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU
Với sự phát triển ngày càng cao của công nghệ máy tính thì yêu cầu thao tác và
xử lý thông tin với khối lƣợng lớn trong một thời gian ngắn là hết sức cần thiết. Vì vậy
các dữ liệu đó phải đƣợc tổ chức và lƣu trữ một cách hợp lý trên máy tính, đáp ứng
mọi yêu cầu khai thác thông tin của nhiều ngƣời dùng hợp pháp. Với khối lƣợng lớn
dữ liệu đƣợc lƣu nên giá trị của dữ liệu lƣu trữ trong máy tính thƣờng rất lớn so với hệ
thống chứa nó, vì vậy việc đảm bảo an toàn cho dữ liệu là hết sức quan trọng.
Ở góc độ HĐH mà xem xét, hệ thống quản lý CSDL chỉ là một chƣơng trình ứng
dụng loại lớn. Chính sách an ninh của hệ thống CSDL một phần là do HĐH thực hiện,
phần khác là do giải pháp an toàn của bản thân hệ thống CSDL.
Ở góc độ an toàn và bảo mật CSDL mà xem xét, thì đặc điểm cơ bản của hệ
thống CSDL có thể khái quát nhƣ sau:
- Yêu cầu bảo vệ thông tin trong CSDL tƣơng đối nhiều, yêu cầu bảo vệ thông tin
ngày càng cao.
- Thời gian tồn tại CSDL là tƣơng đối dài.
- Sự an toàn CSDL có liên quan đến an toàn thông tin ở nhiều mức độ khác nhau.
Từ các góc độ trên ta thấy hệ thống CSDL sẽ phải đối phó với nhiều hiểm họa.
Các nhà khoa học đã định nghĩa hiểm họa đối với một hệ thống máy tính nhƣ
một sự cố tiềm tàng có ác ý, có thể tác động không mong muốn lên các tài sản, tài
nguyên gắn liền với hệ thống máy tính đó. Hiểm họa đƣợc chia thành ba dạng cơ bản
nhƣ sau [3]:
- Hiểm họa lộ tin: Thông tin đƣợc lƣu dữ trong máy tính hoặc trên đƣờng truyền
bị lộ cho ngƣời không có trách nhiệm. Đây là một hiểm họa đƣợc quan tâm rất lớn
trong an toàn thông tin.
- Hiểm họa xâm phạm tính toàn vẹn: Thông tin bị sửa đổi trái phép trong quá
trình sử dụng.
- Hiểm họa từ chối dịch vụ: Ngăn cản ngƣời dùng hợp pháp truy cập dữ liệu và
sử dụng tài nguyên.
1.1.1. Khái niệm Cơ sở dữ liệu
1.1.1.1. Cơ sở dữ liệu và mô hình Cơ sở dữ liệu
Cơ sở dữ liệu (CSDL) là tập hợp các dữ liệu, và tập hợp các quy tắc tổ chức dữ
liệu chỉ và mối quan hệ giữa chúng. Thông qua các quy tắc này, ngƣời sử dụng xác
định khuôn dạng logic cho dữ liệu. Ngƣời quản trị CSDL là ngƣời xác định các quy
tắc tổ chức và kiểm soát, cấp quyền truy cập đến các thành phần của dữ liệu. Ngƣời
dùng tƣơng tác với CSDL thông qua hệ quản trị CSDL.
10
Mô hình CSDL là sự biểu diễn các đối tƣợng trong thế giới thực dƣới dạng một
quan niệm nào đó. Nó gồm tập hợp các khái niệm biểu diễn cấu trúc của CSDL nhƣ:
các kiểu dữ liệu, các mối liên kết, các ràng buộc dữ liệu, các thao tác trên CSDL, cách
thức bảo vệ CSDL,…
1.1.1.2. Cơ sở dữ liệu dạng quan hệ
CSDL dạng quan hệ đƣợc xây dựng trên nền tảng là khái niệm lý thuyết tập hợp
trên các quan hệ. CSDL dạng quan hệ đƣợc lƣu trữ nhƣ sau: mỗi quan hệ tƣơng ứng
với một bảng dữ liệu, mỗi dòng trong bảng tƣơng ứng với một bản ghi (một mẩu tin
hay một bộ dữ liệu) cần quản lý, mỗi cột (trƣờng) lƣu trữ một thuộc tính nào đó của
đối tƣợng.
Mô hình dữ liệu quan hệ là mô hình đƣợc nghiên cứu và sử dụng nhiều nhất bởi
nó có cơ sở lý thuyết đầy đủ nhất.
Đảm bảo an ninh trong CSDL dạng quan hệ chính là việc đảm bảo an ninh cho
các bảng, các cột và các dòng dữ liệu cơ sở.
1.1.2. Vấn đề bảo vệ Cơ sở dữ liệu
1.1.2.1. Những hiểm họa đối với Cơ sở dữ liệu
Trong CSDL, hiểm họa đƣợc hiểu là những tác nhân không thân thiện (cố ý hay
vô ý) sử dụng kỹ thuật đặc biệt để làm lộ tin hay sửa đổi thông tin do hệ thống quản lý.
Sự xâm phạm tới an ninh CSDL bao gồm việc xem trộm, sửa chữa hoặc xóa dữ
liệu. Hậu quả của sự xâm phạm là các hiểm họa, các hiểm họa đƣợc chia thành ba
nhóm sau:
- Lộ tin: Ngƣời dùng không hợp pháp truy cập CSDL để xem dữ liệu, hay lấy tin
mật bằng cách suy diễn từ các thông tin đƣợc phép.
- Sửa chữa dữ liệu không hợp pháp: Ngƣời dùng không hợp pháp xâm phạm tính
toàn vẹn của dữ liệu trong CSDL.
- Từ chối dịch vụ: Ngăn cản ngƣời dùng hợp pháp truy nhập dữ liệu hay sử dụng
tài nguyên trong CSDL.
Hiểm họa cũng đƣợc phân loại theo hai cách sau:
- Hiểm họa không cố ý: là các rủi ro về thiên tai nhƣ động đất, hỏa hoạn, lụt; các
thiếu sót kỹ thuật trong phần cứng, phần mềm; sự xâm phạm không cố ý của con
ngƣời. Tất cả những điều đó có thể tác động đến hệ thống và dữ liệu.
- Hiểm họa cố ý: là do ngƣời dùng cố tình gây ra. Ngƣời dùng lạm dụng đặc
quyền và ủy quyền của mình để gây lên các hiểm họa hay hành động thù địch bằng
việc tạo ra virut, trojan horse hay “cửa sập” để lấy cắp thông tin với mục đích gian lận.
11
1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu
Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lƣu trữ dữ
liệu, tránh khỏi việc cập nhật dữ liệu không hợp pháp (một cách vô tình hay cố ý).
Những yêu cầu về bảo vệ CSDL bao gồm:
* Yêu cầu bí mật:
- Bảo vệ tránh những truy nhập không được phép: Chỉ cho phép ngƣời dùng hợp
pháp truy nhập đến CSDL. Các truy nhập phải đƣợc hệ quản trị CSDL kiểm soát để
chống lại những ngƣời dùng hoặc các ứng dụng không đƣợc phép.
- Bảo vệ tránh suy diễn: Suy diễn là khả năng thu đƣợc thông tin bí mật từ những
dữ liệu không bí mật, đƣợc hình thành từ việc thống kê. Do đó ngƣời dùng phải ngăn
ngừa việc truy tìm tới các thông tin cá nhân bắt đầu từ việc thống kê thu thập thông tin.
* Yêu cầu toàn vẹn:
- Toàn vẹn của CSDL: Bảo vệ CSDL tránh các truy nhập không đƣợc phép, từ đó
có thể thay đổi nội dung dữ liệu. Việc bảo vệ CSDL, một mặt thông qua hệ thống kiểm
soát chính xác, thông qua các thủ tục sao lƣu và phục hồi khác nhau của hệ quản trị
CSDL, mặt khác thông qua thủ tục an ninh đặc biệt.
- Toàn vẹn hoạt động của dữ liệu: Bảo đảm tính ổn định về logic của dữ liệu
trong CSDL khi xảy ra tranh chấp.
- Toàn vẹn ngữ nghĩa của dữ liệu: Bảo đảm tính ổn định logic của việc chỉnh sửa
dữ liệu nhƣ sự toàn vẹn bắt buộc.
- Kế toán và kiểm toán: Khả năng ghi lại tất cả các truy nhập tới dữ liệu. Đây là
công cụ đƣợc dùng để bảo đảm tính toàn vẹn dữ liệu về mặt vật lý.
- Quản lý và bảo vệ các dữ liệu nhạy cảm: CSDL có thể chứa các dữ liệu nhạy
cảm (ví dụ CSDL Quân sự), một số CSDL khác lại công khai (ví dụ CSDL Thƣ viện).
Với CSDL pha trộn bao gồm cả dữ liệu nhạy cảm và dữ liệu công khai, thì vấn đề bảo
vệ phức tạp hơn nhiều.
- Bảo vệ đa mức: Thiết lập các yêu cầu bảo vệ, thông tin có thể đƣợc phân thành
các mức khác nhau, ở đó mức nhạy cảm có thể khác biệt trong các mục của cùng bản
ghi hoặc cùng thuộc tính giá trị. Phân chia theo lớp các mục thông tin khác nhau, phân
chia truy cập tới các mục đơn của bản ghi trong phân lớp của chúng.
- Hạn chế chuyển dịch thông tin: Loại bỏ việc chuyển thông tin không đƣợc phép
giữa các chƣơng trình. Việc chuyển thông tin xuất hiện theo các kênh đƣợc quyền, các
kênh bộ nhớ và các kênh chuyển đổi. Các kênh đƣợc quyền cung cấp thông tin ra, qua
các hoạt động đƣợc phép nhƣ soạn thảo hoặc dịch file. Kênh bộ nhớ là vùng nhớ, ở đó
thông tin đƣợc lƣu trữ bởi chƣơng trình và có thể đọc đƣợc bằng các chƣơng trình
khác. Kênh chuyển đổi là kênh liên lạc trên cơ sở sử dụng tài nguyên hệ thống không
bình thƣờng cho các liên lạc giữa các đối tƣợng của hệ thống.
12
1.1.2.3. Các phương pháp bảo vệ Cơ sở dữ liệu
Để bảo vệ dữ liệu trong CSDL chúng ta cần phải bảo vệ bằng nhiều lớp:
+ Lớp ngoài cùng: Lớp mạng máy tính.
+ Lớp trong: Lớp Hệ điều hành.
+ Lớp trong tiếp theo: Lớp CSDL.
+ Lớp dữ liệu trong CSDL.
Các biện pháp an ninh để bảo vệ CSDL có thể đạt đƣợc thông qua:
+ Kiểm soát luồng
+ Kiểm soát suy diễn
+ Kiểm soát truy nhập
Đối với các biện pháp này ngƣời ta sử dụng kỹ thuật mật mã để mã hoá thông tin.
Thông tin đƣợc đảm bảo an toàn hơn vì nó tạo ra dữ liệu mọi ngƣời có thể nhìn thấy,
nhƣng chỉ có ngƣời dùng hợp lệ mới có khả năng hiểu đƣợc. Tuy nhiên biện pháp bảo
vệ này không có tác dụng đối với ngƣời dùng trực tiếp nhƣ xâm nhập qua mạng, mà
chủ nhân đã mở sẵn thông tin.
* Kiểm soát luồng (lƣu lƣợng):
Đó là điều khiển phân bố thông tin trong các đối tƣợng có khả năng truy nhập.
Luồng xuất hiện giữa hai đối tƣợng X và Y khi có trạng thái “đọc” giá trị từ X và
“ghi” giá trị vào Y. Kiểm soát luồng là kiểm tra thông tin chứa trong một vài đối tƣợng
có bị rò rỉ sang đối tƣợng khác hay không. Nếu có, ngƣời dùng sẽ nhận đƣợc trong Y
những gì mà anh không thể nhận trực tiếp từ X, nhƣ vậy thông tin trong X đã bị lộ.
Đối tƣợng X
Luồng thông tin
Đối tƣợng Y
Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y
Chính sách kiểm soát luồng yêu cầu liệt kê và điều phối các luồng thông tin. Việc
vi phạm luồng xuất hiện qua yêu cầu chuyển dữ liệu giữa hai đối tƣợng không đƣợc
phép. Cơ chế kiểm soát sẽ từ chối yêu cầu đó.
Để kiểm soát luồng thông tin, cần phân lớp các yếu tố hệ thống, đó là chủ thể và
đối tƣợng. Hoạt động “đọc” và “ghi” là hợp lệ trên cơ sở mối quan hệ trong lớp. Đối
tƣợng ở lớp cao hơn đƣợc bảo vệ cao hơn khi truy nhập “đọc” so với đối tƣợng ở mức
thấp hơn. Ở đây, kiểm soát luồng loại bỏ những vi phạm về thông tin chuyển cho lớp
thấp hơn.
13
* Kiểm soát suy diễn:
Theo Denning và Schlorer (1983), kiểm soát suy diễn nhằm bảo vệ dữ liệu khỏi
các truy nhập gián tiếp. Điều này xảy ra khi ngƣời dùng đọc X, và dùng hàm f để tính
lại: Y = f(X).
Các kênh suy diễn thông tin chính có thể làm lộ thông tin trong hệ thống gồm có:
(1) Truy nhập gián tiếp: Xảy ra khi ngƣời không đƣợc quyền có thể thu đƣợc
thông tin qua câu hỏi trên tập dữ liệu X đƣợc phép sử dụng.
Ví dụ: Câu lệnh Select * from HANG where Y=15
Các giá trị thoả mãn của điều kiện câu lệnh sẽ bị lộ ra, khi đó sẽ biết đƣợc giá trị
của các thuộc tính khác mà CSDL muốn giữ bí mật.
(2) Dữ liệu tương quan: Là kênh suy diễn điển hình, trong đó dữ liệu X đƣợc
phép truy nhập có liên hệ ngữ nghĩa với dữ liệu Y cần bảo vệ.
Ví dụ: Thunhap(Y) = Luong(X) - Thue(X).
Nếu thông tin về Lƣơng và Thuế bị lộ thì việc bảo vệ Thu nhập không có ý
nghĩa.
(3) Mất dữ liệu: Là kênh suy diễn cho ngƣời dùng biết sự có mặt của tập dữ liệu
X, đặc biệt ngƣời dùng có thể biết tên đối tƣợng, qua đó có thể truy nhập đến thông tin
chứa trong đó.
* Kiểm soát truy nhập:
Biện pháp đảm bảo tất cả các đối tƣợng truy nhập hệ thống phải tuân theo quy
tắc, chính sách bảo vệ dữ liệu. Hệ thống kiểm soát truy nhập (hình 1.2) gồm ngƣời sử
dụng và tiến trình. Các chủ thể này khai thác dữ liệu, chƣơng trình thông qua các phép
toán. Chức năng hệ thống kiểm soát truy nhập gồm hai phần:
(1) Tập chính sách an ninh và quy tắc truy nhập: Đặt ra kiểu khai thác thông tin
lƣu trữ trong hệ thống.
(2) Tập các thủ tục kiểm soát (cơ chế an ninh): Kiểm tra yêu cầu truy nhập, cho
phép hay từ chối yêu cầu khai thác.
Yêu cầu truy
nhập
Các thủ tục
kiểm soát
Từ chối truy nhập
Chấp nhận truy nhập
Sửa đổi truy nhập
Các chính
sách an ninh
Các quy tắc
truy nhập
Hình 1.2 Hệ thống kiểm soát truy nhập
14
Các chính sách an ninh:
Liên quan đến thiết kế và quản lý hệ thống cấp quyền khai thác. Một cách thông
thƣờng để đảm bảo an ninh dữ liệu là định danh các đối tƣợng tham gia hệ thống và
xác định quyền truy nhập cho đối tƣợng.
- Tên (Identifier): gán cho đối tƣợng một tên (hay một số) theo cách thống nhất,
không có sự trùng lặp giữa các tên.
- Uỷ quyền (Authrization): uỷ quyền khai thác một phép toán của chủ thể trên đối
tƣợng.
Giới hạn quyền truy nhập:
Để trả lời câu hỏi bao nhiêu thông tin có thể truy nhập cho mỗi chủ thể là đủ?
Do vậy cần xác định giới hạn truy nhập. Có hai chính sách cơ bản:
- Chính sách đặc quyền tối thiểu: Các chủ thể sử dụng lƣợng thông tin tối thiểu
cần thiết cho hoạt động. Đảm bảo chính sách này ngƣời dùng có thể truy nhập vào dữ
liệu, thuận lợi cho truy nhập.
- Chính sách đặc quyền tối đa: dựa trên nguyên tắc tối đa dữ liệu khả dụng trong
CSDL, tức là chia sẻ tối đa, đảm bảo thông tin không bị truy nhập quá mức cho phép.
Có hai kiến trúc kiểm soát truy nhập là hệ thống đóng và hệ thống mở.
- Hệ thống đóng: chỉ các yêu cầu có quyền mới đƣợc phép truy nhập.
- Hệ thống mở: chỉ các yêu cầu không bị cấm mới đƣợc phép truy nhập.
15
Yêu cầu truy
nhập
Các luật truy
nhập
Truy nhập có
đƣợc chấp
nhận không?
Không
Không chấp
nhận truy nhập
Có
Chấp nhận truy
nhập
Hình 1.3 Hệ thống đóng
Yêu cầu truy
nhập
Các luật cấm
truy cập
Truy nhập có
bị cấm
không?
Có
Không chấp
nhận truy nhập
Không
Chấp nhận truy
nhập
Hình 1.4 Hệ thống mở
16
Quản lý quyền truy nhập: Chính sách quản lý quyền truy nhập có thể đƣợc
dùng trong điều khiển tập trung hoặc phân tán, việc lựa chọn này cũng là một chính
sách an ninh, có thể kết hợp để có chính sách an ninh phù hợp.
- Phân cấp uỷ quyền: Cơ chế kiểm soát đƣợc thực hiện ở nhiều trạm điều khiển
tập trung, chúng có trách nhiệm điều khiển các trạm.
- Chọn ngƣời sở hữu: Khi mô tả quan hệ phải mô tả ngƣời sở hữu và đảm bảo
quyền khai thác dữ liệu của họ.
- Quyết định tập thể: Có tài nguyên do một nhóm sở hữu, do đó khi có yêu cầu
truy nhập nào thì cần có sự đồng ý của cả nhóm.
Chính sách kiểm soát truy nhập: Chính sách này thiết lập khả năng và chỉ ra
cách để các chủ thể và đối tƣợng trong hệ thống đƣợc nhóm lại, để dùng chung các
điều khiển truy nhập. Ngoài ra, chính sách còn cho phép thiết lập việc chuyển giao
quyền truy nhập.
Chính sách phân cấp: Có thể coi là chính sách điều khiển luồng thông tin đi về
các đối tƣợng có độ ƣu tiên thấp hơn. Hệ thống các mức phân loại nhƣ sau:
0 = thƣờng (Unclassified – U)
1 = mật (Confidential – C)
2 = tối mật (Secret – S)
3 = tuyệt mật (Top Secret –TS)
17
1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH
1.2.1. Khái niệm Mạng máy tính
Mạng máy tính là tập hợp các máy tính đƣợc nối với nhau bởi đƣờng truyền theo
một cấu trúc nào đó, và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau.
Các thành phần trong hệ thống mạng máy tính gồm:
- Các thiết bị cuối là các thiết bị tính toán (PC, máy tính vừa và lớn), thiết bị
ngoại vi thông minh và thiết bị cuối không thông minh (Terminal). Chúng thực hiện
nhiệm vụ tính toán, xử lý, lƣu trữ, trao đổi dữ liệu, là giao diện tƣơng tác giữa ngƣời
và máy.
- Các thiết bị kết nối mạng gồm thiết bị chuyển mạch, dồn/tách kênh
(Multiplexer), các bộ tập trung (Concentrator). Các thiết bị chuyển mạch thực hiện
chuyển tiếp số liệu chính xác giữa các thiết bị đầu cuối đƣợc kết nối trong mạng. Các
thiết bị dồn/tách kênh thực hiện kết nối nhiều thiết bị cuối có tốc độ trao đổi số liệu
thấp trên cùng một đƣờng truyền có dung lƣợng cao. Các bộ tập trung thực hiện kết
nối các thiết bộ cuối không thông minh.
- Hệ thống truyền dẫn (có dây và không dây) kết nối vật lý các thiết bị mạng
với các thiết bị cuối. Số liệu của các ứng dụng đƣợc truyền dƣới dạng tín hiệu điện
trên hệ thống truyền dẫn, tín hiệu ở dạng số hoá hay dạng tƣơng tự. Máy tính lƣu trữ
dữ liệu ở dạng số hoá, còn phƣơng tiện truyền thông lại lƣu trữ dữ liệu ở dạng tƣơng
tự, do vậy các tín hiệu phải đƣợc biến đổi trong quá trình truyền tin. Thiết bị biến đổi
đó là Modem.
Các hình thức kết nối:
(1) Kết nối điểm - Điểm:
- Kết nối hình sao: một thiết bị chính (Master) điều khiển quá trình trao đổi số
liệu giữa các thiết bị cuối (Slaver).
- Kết nối theo đƣờng tròn: số liệu đƣợc truyền tuần tự từ thiết bị cuối này đến
thiết bị cuối khác theo một chiều nhất định.
- Kết nối theo hình cây.
- Kết nối toàn phần: Mỗi thiết bị cuối đƣợc kết nối với thiết bị cuối còn lại.
(2) Kết nối quảng bá
- Kết nối theo đƣờng thẳng (Bus): các thiết bị cuối sử dụng chung một đƣờng
truyền, tại một thời điểm chỉ có một thiết bị cuối đƣợc phát số liệu, các thiết bị còn lại
đều có thể nhận số liệu.
18
- Kết nối theo đƣờng tròn (Ring): nhƣ kết nối điểm - điểm về mặt vật lý, thuật
toán điểu khiển truy nhập mạng đƣờng tròn đảm bảo phƣơng thức kết nối quảng bá.
- Kết nối vệ tinh: một vệ tinh thực hiện thu phát số liệu với một nhóm các trạm
mặt đất (còn gọi là thông báo nhóm).
Các kiểu mạng:
(1) Mạng cục bộ (LAN):
Mạng LAN đƣợc thiết lập để liên kết các máy tính trong khu vực nhƣ trong một
toà nhà, một khu nhà. Thƣờng mạng LAN liên kết một số máy tính, một vài máy in và
một vài thiết bị lƣu trữ. Đặc trƣng cơ bản của mạng LAN là kiểm soát cục bộ, nhỏ
(thƣờng dƣới 100 máy), thiết bị tập trung trong khu vực nhỏ và đƣợc bảo vệ vật lý.
(2) Mạng diện rộng (WAN):
Mạng WAN lớn hơn mạng LAN về cả kích thƣớc, khoảng cách, kiểm soát cũng
nhƣ sở hữu. Đặc trƣng cơ bản là kiểm soát riêng rẽ, bao phủ một diện rộng, thƣờng sử
dụng môi trƣờng truyền thông công khai.
(3) Liên mạng (Internets):
Internet kết nối nhiều mạng riêng biệt. Internet là mạng toàn cầu, có các đặc tính:
không kiểm soát đƣợc, không đồng nhất, bất kỳ ai cũng có thể tiếp cận mạng từ môi
trƣờng công khai, đơn giản.
1.2.2. Vấn đề bảo vệ Mạng máy tính
1.2.2.1. Những hiểm họa đối với Mạng máy tính
(1) Nguyên nhân: Từ kiến trúc mạng máy tính, chúng ta nhận thấy trong mạng
xuất hiện các “hiểm họa” do các nguyên nhân sau:
- Dùng chung tài nguyên dẫn đến nhiều ngƣời có khả năng truy cập đến các hệ
thống nối mạng hơn các tài nguyên đơn lẻ.
- Sự phức tạp của hệ thống mạng máy tính dẫn đến có thể có nhiều HĐH khác
nhau cùng hoạt động, hơn nữa trong HĐH mạng việc kiểm soát mạng thƣờng phức tạp
hơn HĐH trên máy tính đơn lẻ. Sự phức tạp trên sẽ khó khăn trong việc bảo vệ mạng.
- Ngoại vi không giới hạn khiến một máy chủ có thể là một nút trên hai mạng
khác nhau, vì vậy các tài nguyên trên một mạng cũng có thể đƣợc một ngƣời dùng của
mạng khác truy cập tới. Đây là một kẽ hở trong an ninh mạng.
- Nhiều điểm tấn công: Trong một máy đơn lẻ, việc kiểm soát truy nhập và đảm
bảo bí mật dữ liệu đơn giản hơn nhiều so với một máy tính đã kết nối mạng. Bởi khi
một file đƣợc lƣu trên máy chủ cách xa ngƣời dùng, nó có thể bị các máy khác tấn
công khi ngƣời dùng sử dụng.
19
(2) Hiểm hoạ: Các nguyên nhân trên sẽ ẩn chứa các hiểm hoạ, ngƣời ta có thể
nhóm thành các loại sau:
- Nghe trộm: hiểu theo nghĩa chặn bắt thông tin lƣu thông trên mạng.
- Mạo danh: là giả mạo một quá trình, một cá nhân để nhận đƣợc thông tin trực
tiếp trên mạng, hiểm họa này thƣờng xảy ra trên mạng diện rộng.
- Vi phạm bí mật thông báo: do chuyển sai địa chỉ đích, bộc lộ trên đƣờng truyền
tại các bộ đệm, bộ chuyển mạch, bộ định tuyến, các cổng, các máy chủ trung chuyển
trên toàn tmạng.
- Vi phạm toàn vẹn thông báo: trong quá trình truyền tin, thông báo có thể bị sai
lệch do bị sửa nội dung (một phần hoặc toàn bộ).
- Sự can thiệp của tin tặc (Hacker): ngoài khả năng thực hiện các tấn công gây ra
các hiểm hoạ trên, hacker còn có thể phát triển các công cụ tìm kiếm các yếu điểm trên
mạng và sử dụng chúng theo mục đích riêng.
- Toàn vẹn mã: là sự phá hoại mã khả thi, thƣờng là cố ý nhằm xoá hoặc cài lại
chƣơng trình trên máy chủ.
- Từ chối dịch vụ: có thể do kết nối vào mạng bị sai lệch hoặc do phá hoại, đƣa
vào các thông báo giả làm gia tăng luồng tin trên mạng.
1.2.2.2. Những yêu cầu bảo vệ Mạng máy tính
Yêu cầu bảo vệ mạng máy tính bao gồm bảo vệ cả phần cứng và phần mềm.
- Yêu cầu các dịch vụ luôn sẵn sàng: đƣờng truyền giữa các máy trong mạng
luôn đƣợc thông, các mã chƣơng trình phải luôn khả thi và sẵn sàng phục vụ khi có
yêu cầu.
- Yêu cầu bí mật: dữ liệu không bị kẻ xấu nghe, lấy trộm hoặc nếu lấy đƣợc cũng
khó để có thể hiểu nội dung.
- Yêu cầu chính xác, toàn vẹn: dữ liệu trên đƣờng truyền không bị kẻ xấu giả
mạo hoặc thay đổi nội dung, liệu truyền trên mạng phải đến đúng địa chỉ, hạn chế các
thông báo giả trên đƣờng truyền.
Các phƣơng pháp bảo vệ Mạng máy tính:
(1) Mã hoá: là công cụ mạnh để bảo đảm bí mật, xác thực, toàn vẹn và hạn chế
truy nhập tới dữ liệu trong môi trƣờng mạng có độ rủi ro khá cao. Mã hoá có thể sử
dụng giữa hai máy chủ hoặc giữa hai ứng dụng.
20
- Xem thêm -