Tài liệu Nghiên cứu một số mô hình đảm bảo an ninh cơ sở dữ liệu và thử nghiệm ứng dụng.

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ SINH NGHIÊN CỨU MỘT SỐ MÔ HÌNH ĐẢM BẢO AN NINH CƠ SỞ DỮ LIỆU VÀ THỬ NGHIỆM ỨNG DỤNG LUẬN VĂN THẠC SĨ Hà Nội - 2010 1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ SINH NGHIÊN CỨU MỘT SỐ MÔ HÌNH ĐẢM BẢO AN NINH CƠ SỞ DỮ LIỆU VÀ THỬ NGHIỆM ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Công nghệ phần mềm Mã số: 60 48 10 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội - 2010 2 MỤC LỤC LỜI CAM ĐOAN ........................................................ Error! Bookmark not defined. DANH MỤC CÁC HÌNH VẼ ...................................................................................... 6 DANH MỤC CÁC BẢNG BIỂU ................................................................................ 6 BẢNG CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT .............................................................. 7 LỜI NÓI ĐẦU ............................................................................................................. 8 Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN ........................ 10 1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU ........................................................... 10 1.1.1. Khái niệm Cơ sở dữ liệu .......................................................................... 10 1.1.1.1. Cơ sở dữ liệu và mô hình Cơ sở dữ liệu ............................................ 10 1.1.1.2. Cơ sở dữ liệu dạng quan hệ ............................................................... 11 1.1.2. Vấn đề bảo vệ Cơ sở dữ liệu .................................................................... 11 1.1.2.1. Những hiểm họa đối với Cơ sở dữ liệu ............................................. 11 1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu................................................. 12 1.1.2.3. Các phƣơng pháp bảo vệ Cơ sở dữ liệu ............................................. 13 1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH ....................................................... 18 1.2.1. Khái niệm Mạng máy tính ....................................................................... 18 1.2.2. Vấn đề bảo vệ Mạng máy tính ................................................................. 19 1.2.2.1. Những hiểm họa đối với Mạng máy tính ........................................... 19 1.2.2.2. Những yêu cầu bảo vệ Mạng máy tính .............................................. 20 1.3. VẤN ĐỀ AN NINH HỆ ĐIỀU HÀNH [4]-[7] ................................................ 22 1.3.1. Khái niệm Hệ điều hành .......................................................................... 22 1.3.2. Vấn đề bảo vệ Hệ điều hành .................................................................... 24 1.3.2.1. Những hiểm họa đối với Hệ điều hành .............................................. 24 1.3.2.2. Những yêu cầu bảo vệ Hệ điều hành ................................................. 24 1.3.2.3. Các phƣơng pháp bảo vệ Hệ điều hành ............................................. 24 1.4. VẤN ĐỀ BẢO VỆ DỮ LIỆU ......................................................................... 28 1.4.1. Khái niệm dữ liệu .................................................................................... 28 1.4.2. Vấn đề bảo vệ dữ liệu trong CSDL .......................................................... 28 1.4.2.1. Những hiểm họa đối với dữ liệu trong CSDL .................................... 28 1.4.2.2. Những yêu cầu bảo vệ dữ liệu trong CSDL ....................................... 28 1.4.2.3. Các phƣơng pháp bảo vệ dữ liệu trong CSDL ................................... 28 Chương 2. MỘT SỐ NHIỆM VỤ VÀ PHƢƠNG PHÁP BẢO VỆ DỮ LIỆU ............ 29 2.1. BẢO MẬT DỮ LIỆU ..................................................................................... 29 2.1.1. Bảo mật dữ liệu bằng hệ mật mã .............................................................. 29 2.1.2. Một số hệ mật mã dữ liệu [2] ................................................................... 29 2.1.3. Hệ mật mã chuẩn DES (Data Encryption Standard) [6]............................ 30 2.2. BẢO TOÀN DỮ LIỆU [2] ............................................................................. 36 3 2.2.1. Bảo toàn dữ liệu bằng chữ ký số. ............................................................. 36 2.2.2. Bảo toàn dữ liệu bằng hàm băm. .............................................................. 36 2.3. XÁC THỰC DỮ LIỆU [6] ............................................................................. 37 2.3.1. Xác thực dữ liệu bằng chữ ký số. ............................................................. 37 2.3.2. Một số phƣơng pháp ký số. ...................................................................... 37 2.3.3. Sơ đồ chữ ký số RSA. .............................................................................. 38 Chương 3. MỘT SỐ MÔ HÌNH AN NINH CSDL [7] ............................................... 40 3.1. TỔNG QUAN VỀ MÔ HÌNH AN NINH CSDL ............................................ 40 3.2. MÔ HÌNH MA TRẬN TRUY CẬP HARRISON–RUZZO–ULLMAN (HRU) ...... 42 3.2.1. Trạng thái cấp quyền (Authorization State) .............................................. 42 3.2.2. Các kiểu truy cập (Access Modes) ........................................................... 44 3.2.3. Các phép toán (Operations)...................................................................... 44 3.2.4. Các câu lệnh (Commands) ....................................................................... 47 3.2.5. Ủy quyền ................................................................................................. 50 3.2.6. Thực thi của mô hình ma trận truy cập (Model Implementation) .............. 51 3.2.7. Mở rộng mô hình: .................................................................................... 51 3.3. MÔ HÌNH TAKE - GRANT ........................................................................... 53 3.3.1. Trạng thái ủy quyền (Authorization State) ............................................... 53 3.3.2. Các kiểu truy cập (Access Modes) ........................................................... 54 3.3.3. Các phép toán (Operations and Transfer to privileges) ............................. 55 3.3.4. Mở rộng của mô hình ............................................................................... 58 3.4. MÔ HÌNH ACTEN (ACTION – ENTITY MODEL) ...................................... 60 3.4.1. Các kiểu truy cập ..................................................................................... 60 3.4.1.1 Kiểu truy cập Static ........................................................................... 60 3.4.1.2 Kiểu truy cập Dynamic ...................................................................... 60 3.4.2. Việc cấp quyền (Authorizations) .............................................................. 62 3.4.3. Sự phân lớp thực thể (Entity classification) .............................................. 63 3.4.4. Các cấu trúc của mô hình (Model structures) ........................................... 63 3.4.5. Luật biến đổi và luật kiên định ................................................................. 65 3.5. MÔ HÌNH WOOD ET AL .............................................................................. 69 3.5.1. Kiến trúc ANSI/SPARC .......................................................................... 69 3.5.2. Chủ thể và đối tƣợng ............................................................................... 70 3.5.3. Kiểu truy nhập ......................................................................................... 71 3.5.4. Hàm ánh xạ (Mapping function) .............................................................. 72 3.5.5. Trạng thái cấp quyền (Authorization state) .............................................. 72 3.5.6. Các luật truy nhập ở mức khái niệm ......................................................... 74 3.5.7. Các luật truy nhập ở mức ngoài ............................................................... 75 3.5.8. Kiểm soát truy cập ................................................................................... 76 3.6. THẢO LUẬN VỀ MÔ HÌNH TỰ QUYẾT..................................................... 78 3.7. MÔ HÌNH SEA VIEW ................................................................................... 80 4 3.7.1. Mô hình MAC (Mandatory Access Control) ............................................ 80 3.7.2. Mô hình TCB (Trusted Computing Base) ................................................ 82 3.7.2.1 Quan hệ đa mức ................................................................................. 82 3.7.2.2 Truy nhập tới quan hệ đa mức ........................................................... 86 3.7.2.3 Chính sách “an ninh thận trọng” ........................................................ 87 3.7.2.4 Kiểm soát truy nhập “thận trọng” ...................................................... 88 3.7.2.5 Quản trị cấp quyền............................................................................. 88 3.7.3. Mô tả về quan hệ đa mức ......................................................................... 88 3.8. MÔ HÌNH JAJODIA VÀ SANDHU .............................................................. 89 3.8.1. Quan hệ đa mức ....................................................................................... 89 3.8.1.1 Các đặc trƣng .................................................................................... 89 3.8.1.2 Truy cập vào mô hình đa mức. ........................................................... 91 3.8.2. Mở rộng của mô hình ............................................................................... 91 3.9. MÔ HÌNH SMITH AND WINSLELT ............................................................ 93 3.9.1. Các đặc trƣng cơ bản ............................................................................... 93 3.9.2. Truy nhập tới quan hệ đa mức.................................................................. 95 Chương 4. THỬ NGHIỆM ỨNG DỤNG................................................................. 102 4.1. GIỚI THIỆU HỆ THỐNG QUẢN LÝ ĐÀO TẠO...................................... 102 4.2. ÁP DỤNG MÔ HÌNH AN NINH MA TRẬN TRUY NHẬP........................ 103 4.2.1. Chủ thể và các quyền truy cập ............................................................... 103 4.2.3. Tập các kiểu truy cập ............................................................................. 104 4.3 ÁP DỤNG PHƢƠNG PHÁP MÃ HOÁ DỮ LIỆU ........................................ 107 4.3.1. Bảo vệ chƣơng trình quản lý .................................................................. 107 4.3.2. Bảo vệ dữ liệu bằng phƣơng pháp mã hoá.............................................. 107 KẾT LUẬN ............................................................................................................. 108 TÀI LIỆU THAM KHẢO........................................................................................ 109 5 DANH MỤC CÁC HÌNH VẼ Tên hình Trang Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y 12 Hình 1.2 Hệ thống kiểm soát truy nhập 13 Hình 1.3 Hệ thống đóng 14 Hình 1.4 Hệ thống mở 15 Hình 1.5 Phiên làm việc của ngƣời dùng 20 Hình 3.1 Mô hình Harrison-Ruzzo-Ullman 36 Hình 3.2 Các phƣơng pháp lƣu trữ khác nhau cho một ma trận truy cập 45 Hình 3.3 Kết quả thực hiện tuần tự các phép toán trên đồ thị G 50 Hình 3.4 Ví dụ về quyền thuận nghịch trong mô hình Take- Grant 52 Hình 3.5 Ví dụ về đồ thị tĩnh 56 Hình 3.6 Ví dụ về đồ thị động 57 Hình 3.7 Kiến trúc cơ sở dữ liệu 3 mức ANSI/SPARC 63 Hình 3.8 Mối quan hệ giữa các luật tại các mức khác nhau 67 Hình 3.9 Minh họa một kiểu tấn công Trojan Hourse 71 DANH MỤC CÁC BẢNG BIỂU Tên bảng Trang Bảng 3.1 Các mô hình an ninh HĐH và CSDL 34 Bảng 3.2 Ma trận truy cập 36 Bảng 3.3: Các phép toán của mô hình HRU 38 Bảng 3.4 Các phép toán trong mô hình Take -Grant 45 Bảng 3.5 Cách thức truy cập và mức ƣu tiên 54 Bảng 3.6 Bảng lớp an ninh 58 Bảng 3.7 Trạng thái các thực thể 58 Bảng 3.8 Ví dụ về bảng truy nhập bắt buộc AC 66 6 Tên bảng Trang Bảng 3.9 Ví dụ về bảng các luật mức khái niệm 68 Bảng 3.10 Ví dụ về một quan hệ đa mức EMPLOYEE 85 Bảng 3.11. Giải thích ở các mức khác nhau của quan hệ EMPLOYEE 86 Bảng 3.12 Quan hệ đa mức EMPLOYEE sau khi chèn 88 Bảng 3.13 Ví dụ 1 về update trong quan hệ đa mức 89 Bảng 3.14 Ví dụ 2 về update trong quan hệ đa mức 89 BẢNG CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT TỪ VIẾT TẮT NGHĨA TIẾNG ANH NGHĨA TIẾNG VIỆT CNTT Information Technology Công nghệ thông tin CSDL Data Base Cở sở dữ liệu DAC Dicretionary Access Control Models Mô hình điều khiênt truy nhập tự quyết HĐH Operating Systems Hệ điều hành HSSV Student Học sinh, sinh viên MAC Mandatory Access Control Models Mô hình bắt buộc TCB Trusted Computing Base Cơ sở tính toán tin cậy AC Access Constraint table Bảng truy nhập bắt buộc ER External Rules Các luật truy nhập mức ngoài CR Conceptual Rules Các luật truy nhập khái niệm CL Capability List Danh sách khả năng ACL Access Control List Danh sách điều khiển truy cập 7 LỜI NÓI ĐẦU Hiện nay, ngành Công nghệ thông tin đã có những phát triển vƣợt bậc. Sự phát triển này đã đem lại sự thay đổi to lớn về mọi mặt trong nền kinh tế cũng nhƣ xã hội. Từ các văn bản đơn giản, các dữ liệu quan trọng cho đến các công trình nghiên cứu đều đƣợc tổ chức và lƣu trữ trên máy. Đặc biệt khi mạng Internet và các mạng cục bộ phát triển, các dữ liệu không chỉ đƣợc tổ chức và lƣu trữ trên các máy đơn lẻ mà chúng còn đƣợc trao đổi, truyền thông qua hệ thống mạng một cách nhanh chóng, dễ dàng. Việc kết nối máy tính vào mạng hết sức đơn giản, nhƣng lợi ích từ việc sử dụng mạng để chia sẻ tài nguyên giữa những ngƣời sử dụng lại hết sức to lớn. Mạng máy tính hiện nay đã là công cụ không thể thiếu đƣợc trong hầu hết các hoạt động của con ngƣời nhƣ giải trí, giáo dục, kinh doanh, bảo hiểm, ngân hàng,…. Tuy nhiên, lại phát sinh một vấn đề mới là các thông tin quan trọng nằm trong kho dữ liệu hoặc đang trên đƣờng truyền có thể bị ăn cắp, có thể bị làm sai lệch hoặc giả mạo. Điều đó làm ảnh hƣởng không nhỏ đến các tổ chức, các công ty hay cả một quốc gia. Để giải quyết vấn đề trên, các nhà nghiên cứu đã bắt tay vào nghiên cứu và xây dựng các mô hình nhằm đảm bảo an toàn và bảo mật thông tin. Hiện nay đã có một số lý luận, khái niệm và một số mô hình về an toàn bảo mật thông tin, an ninh cơ sở dữ liệu (CSDL), an ninh hệ điều hành đƣợc đƣa ra. Các phần mềm ứng dụng cũng đã đƣợc phát triển và cung cấp môi trƣờng giúp ngƣời lập trình có thể khắc phục, hạn chế các chỗ hổng trong việc quản lý CSDL. Thông tin trong máy tính hoặc trên đƣờng truyền cần đảm bảo ba yêu cầu cơ bản là: - Yêu cầu bí mật: Thông tin không bị lộ cho những ngƣời không có trách nhiệm. - Yêu cầu toàn vẹn: Thông tin không bị thay đổi trong quá trình sử dụng. - Yêu cầu sẵn sàng: Cung cấp kịp thời, đáp ứng yêu cầu của ngƣời sử dụng. Khi kho dữ liệu ngày càng nhiều và việc truyền tin trên mạng ngày càng gia tăng, phổ biến thì hiểm họa đối với máy tính ngày càng nguy hiểm. Hiểm họa đối với máy tính đƣợc định nghĩa nhƣ một sự cố tiềm tàng có ác ý, có thể tác động không mong muốn lên các tài sản, tài nguyên gắn liền với hệ thống máy tính đó. Các nhà nghiên cứu đã chia hiểm họa thành ba dạng khác nhau: lộ tin, xâm phạm tính toàn vẹn và từ chối dịch vụ. Trong môi trƣờng CSDL, những ứng dụng và ngƣời dùng khác nhau cùng khai thác dữ liệu thông qua hệ quản trị CSDL. Qua quá trình khai thác dữ liệu có thể mâu thuẫn nhau. Khi đó những hiểm họa trở lên nghiêm trọng hơn vì các hiểm họa này phát sinh trong môi trƣờng CSDL. 8 Sự an ninh đạt đƣợc trong môi trƣờng CSDL có nghĩa là nhận ra các hiểm họa, lựa chọn đúng đắn cách và cơ chế giải quyết các hiểm hoạ đó. Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lƣu trữ dữ liệu chi tiết. Việc bảo vệ CSDL có thể đạt đƣợc thông qua các biện pháp an ninh nhƣ: kiểm soát lƣu lƣợng, kiểm soát suy diễn, kiểm soát truy nhập. Cùng với nó, kỹ thuật mật mã có thể đƣợc sử dụng để lƣu trữ dữ liệu dƣới dạng mã hóa với khóa bí mật, bí mật về thông tin đƣợc bảo đảm, vì dữ liệu mọi ngƣời có thể nhìn thấy nhƣng chỉ ngƣời dùng có khóa hợp lệ mới có khả năng hiểu. An ninh và bảo mật CSDL dựa trên các vấn đề về an ninh và bảo mật máy tính (phần cứng), hệ điều hành, hệ quản trị CSDL, mã hóa. Các hiểm họa đe dọa sự an toàn CSDL hầu hết bắt nguồn từ bên ngoài hệ thống. Phạm vi luận văn đề cập đến vấn đề về an toàn thông tin dựa trên một số mô hình về an ninh CSDL điển hình nhƣ mô hình ma trận truy cập, mô hình Take Grant, mô hình Acten…. Từ đó áp dụng xây dựng chƣơng trình ứng dụng để đảm bảo an toàn CSDL trong phạm vi chƣơng trình. Luận văn gồm bốn chƣơng  Chƣơng 1. Tổng quan về an ninh hệ thống thông tin: chƣơng này giới thiệu một số khái niệm chung về CSDL, an ninh CSDL, an ninh mạng máy tính, an ninh hệ điều hành và một số vấn đề về bảo vệ dữ liệu.  Chƣơng 2. Một số phƣơng pháp bảo vệ dữ liệu: chƣơng này giới thiệu một số phƣơng pháp bảo vệ dữ liệu nhƣ bảo mật, bảo toàn và xác thực dữ liệu.  Chƣơng 3. Một số mô hình đảm bảo an ninh CSDL: Chƣơng này giới thiệu một số mô hình về an ninh CSDL điển hình nhƣ mô hình ma trận truy cập, mô hình Take Grant, mô hình Acten, Wood at al, Sea View, Jajodia and Sandhu, Smith and Winslelt.  Chƣơng 4. Thử nghiệm ứng dụng: Chƣơng này giới thiệu phần mềm ứng dụng quản lý đào tạo của trƣờng Cao đẳng Kinh Tế - Kỹ Thuật Hải Dƣơng trong khuôn khổ một mô hình đảm bảo an ninh CSDL. Để hoàn thành luận văn này, trƣớc hết tôi xin chân thành cảm ơn PGS.TS Trịnh Nhật Tiến - ngƣời đã trực tiếp hƣớng dẫn, cung cấp tài liệu và có nhiều ý kiến đóng góp cho luận văn. Tôi cũng xin chân thành cảm ơn các thày cô giáo, cán bộ khoa Công nghệ thông tin, phòng Sau đại học, Trƣờng Đại học công nghệ (ĐHQG Hà nội) đã tận tình giảng dậy, giúp đỡ tôi trong suốt khóa học. Cuối cùng tôi xin chân thành cảm ơn lãnh đạo Trƣờng Cao đẳng Kinh tế - Kỹ thuật Hải Dƣơng, các đồng nghiệp và gia đình đã tạo điều kiện giúp đỡ về vật chất cũng nhƣ tinh thần để tôi hoàn thành luận văn này. 9 Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN 1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU Với sự phát triển ngày càng cao của công nghệ máy tính thì yêu cầu thao tác và xử lý thông tin với khối lƣợng lớn trong một thời gian ngắn là hết sức cần thiết. Vì vậy các dữ liệu đó phải đƣợc tổ chức và lƣu trữ một cách hợp lý trên máy tính, đáp ứng mọi yêu cầu khai thác thông tin của nhiều ngƣời dùng hợp pháp. Với khối lƣợng lớn dữ liệu đƣợc lƣu nên giá trị của dữ liệu lƣu trữ trong máy tính thƣờng rất lớn so với hệ thống chứa nó, vì vậy việc đảm bảo an toàn cho dữ liệu là hết sức quan trọng. Ở góc độ HĐH mà xem xét, hệ thống quản lý CSDL chỉ là một chƣơng trình ứng dụng loại lớn. Chính sách an ninh của hệ thống CSDL một phần là do HĐH thực hiện, phần khác là do giải pháp an toàn của bản thân hệ thống CSDL. Ở góc độ an toàn và bảo mật CSDL mà xem xét, thì đặc điểm cơ bản của hệ thống CSDL có thể khái quát nhƣ sau: - Yêu cầu bảo vệ thông tin trong CSDL tƣơng đối nhiều, yêu cầu bảo vệ thông tin ngày càng cao. - Thời gian tồn tại CSDL là tƣơng đối dài. - Sự an toàn CSDL có liên quan đến an toàn thông tin ở nhiều mức độ khác nhau. Từ các góc độ trên ta thấy hệ thống CSDL sẽ phải đối phó với nhiều hiểm họa. Các nhà khoa học đã định nghĩa hiểm họa đối với một hệ thống máy tính nhƣ một sự cố tiềm tàng có ác ý, có thể tác động không mong muốn lên các tài sản, tài nguyên gắn liền với hệ thống máy tính đó. Hiểm họa đƣợc chia thành ba dạng cơ bản nhƣ sau [3]: - Hiểm họa lộ tin: Thông tin đƣợc lƣu dữ trong máy tính hoặc trên đƣờng truyền bị lộ cho ngƣời không có trách nhiệm. Đây là một hiểm họa đƣợc quan tâm rất lớn trong an toàn thông tin. - Hiểm họa xâm phạm tính toàn vẹn: Thông tin bị sửa đổi trái phép trong quá trình sử dụng. - Hiểm họa từ chối dịch vụ: Ngăn cản ngƣời dùng hợp pháp truy cập dữ liệu và sử dụng tài nguyên. 1.1.1. Khái niệm Cơ sở dữ liệu 1.1.1.1. Cơ sở dữ liệu và mô hình Cơ sở dữ liệu Cơ sở dữ liệu (CSDL) là tập hợp các dữ liệu, và tập hợp các quy tắc tổ chức dữ liệu chỉ và mối quan hệ giữa chúng. Thông qua các quy tắc này, ngƣời sử dụng xác định khuôn dạng logic cho dữ liệu. Ngƣời quản trị CSDL là ngƣời xác định các quy tắc tổ chức và kiểm soát, cấp quyền truy cập đến các thành phần của dữ liệu. Ngƣời dùng tƣơng tác với CSDL thông qua hệ quản trị CSDL. 10 Mô hình CSDL là sự biểu diễn các đối tƣợng trong thế giới thực dƣới dạng một quan niệm nào đó. Nó gồm tập hợp các khái niệm biểu diễn cấu trúc của CSDL nhƣ: các kiểu dữ liệu, các mối liên kết, các ràng buộc dữ liệu, các thao tác trên CSDL, cách thức bảo vệ CSDL,… 1.1.1.2. Cơ sở dữ liệu dạng quan hệ CSDL dạng quan hệ đƣợc xây dựng trên nền tảng là khái niệm lý thuyết tập hợp trên các quan hệ. CSDL dạng quan hệ đƣợc lƣu trữ nhƣ sau: mỗi quan hệ tƣơng ứng với một bảng dữ liệu, mỗi dòng trong bảng tƣơng ứng với một bản ghi (một mẩu tin hay một bộ dữ liệu) cần quản lý, mỗi cột (trƣờng) lƣu trữ một thuộc tính nào đó của đối tƣợng. Mô hình dữ liệu quan hệ là mô hình đƣợc nghiên cứu và sử dụng nhiều nhất bởi nó có cơ sở lý thuyết đầy đủ nhất. Đảm bảo an ninh trong CSDL dạng quan hệ chính là việc đảm bảo an ninh cho các bảng, các cột và các dòng dữ liệu cơ sở. 1.1.2. Vấn đề bảo vệ Cơ sở dữ liệu 1.1.2.1. Những hiểm họa đối với Cơ sở dữ liệu Trong CSDL, hiểm họa đƣợc hiểu là những tác nhân không thân thiện (cố ý hay vô ý) sử dụng kỹ thuật đặc biệt để làm lộ tin hay sửa đổi thông tin do hệ thống quản lý. Sự xâm phạm tới an ninh CSDL bao gồm việc xem trộm, sửa chữa hoặc xóa dữ liệu. Hậu quả của sự xâm phạm là các hiểm họa, các hiểm họa đƣợc chia thành ba nhóm sau: - Lộ tin: Ngƣời dùng không hợp pháp truy cập CSDL để xem dữ liệu, hay lấy tin mật bằng cách suy diễn từ các thông tin đƣợc phép. - Sửa chữa dữ liệu không hợp pháp: Ngƣời dùng không hợp pháp xâm phạm tính toàn vẹn của dữ liệu trong CSDL. - Từ chối dịch vụ: Ngăn cản ngƣời dùng hợp pháp truy nhập dữ liệu hay sử dụng tài nguyên trong CSDL. Hiểm họa cũng đƣợc phân loại theo hai cách sau: - Hiểm họa không cố ý: là các rủi ro về thiên tai nhƣ động đất, hỏa hoạn, lụt; các thiếu sót kỹ thuật trong phần cứng, phần mềm; sự xâm phạm không cố ý của con ngƣời. Tất cả những điều đó có thể tác động đến hệ thống và dữ liệu. - Hiểm họa cố ý: là do ngƣời dùng cố tình gây ra. Ngƣời dùng lạm dụng đặc quyền và ủy quyền của mình để gây lên các hiểm họa hay hành động thù địch bằng việc tạo ra virut, trojan horse hay “cửa sập” để lấy cắp thông tin với mục đích gian lận. 11 1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lƣu trữ dữ liệu, tránh khỏi việc cập nhật dữ liệu không hợp pháp (một cách vô tình hay cố ý). Những yêu cầu về bảo vệ CSDL bao gồm: * Yêu cầu bí mật: - Bảo vệ tránh những truy nhập không được phép: Chỉ cho phép ngƣời dùng hợp pháp truy nhập đến CSDL. Các truy nhập phải đƣợc hệ quản trị CSDL kiểm soát để chống lại những ngƣời dùng hoặc các ứng dụng không đƣợc phép. - Bảo vệ tránh suy diễn: Suy diễn là khả năng thu đƣợc thông tin bí mật từ những dữ liệu không bí mật, đƣợc hình thành từ việc thống kê. Do đó ngƣời dùng phải ngăn ngừa việc truy tìm tới các thông tin cá nhân bắt đầu từ việc thống kê thu thập thông tin. * Yêu cầu toàn vẹn: - Toàn vẹn của CSDL: Bảo vệ CSDL tránh các truy nhập không đƣợc phép, từ đó có thể thay đổi nội dung dữ liệu. Việc bảo vệ CSDL, một mặt thông qua hệ thống kiểm soát chính xác, thông qua các thủ tục sao lƣu và phục hồi khác nhau của hệ quản trị CSDL, mặt khác thông qua thủ tục an ninh đặc biệt. - Toàn vẹn hoạt động của dữ liệu: Bảo đảm tính ổn định về logic của dữ liệu trong CSDL khi xảy ra tranh chấp. - Toàn vẹn ngữ nghĩa của dữ liệu: Bảo đảm tính ổn định logic của việc chỉnh sửa dữ liệu nhƣ sự toàn vẹn bắt buộc. - Kế toán và kiểm toán: Khả năng ghi lại tất cả các truy nhập tới dữ liệu. Đây là công cụ đƣợc dùng để bảo đảm tính toàn vẹn dữ liệu về mặt vật lý. - Quản lý và bảo vệ các dữ liệu nhạy cảm: CSDL có thể chứa các dữ liệu nhạy cảm (ví dụ CSDL Quân sự), một số CSDL khác lại công khai (ví dụ CSDL Thƣ viện). Với CSDL pha trộn bao gồm cả dữ liệu nhạy cảm và dữ liệu công khai, thì vấn đề bảo vệ phức tạp hơn nhiều. - Bảo vệ đa mức: Thiết lập các yêu cầu bảo vệ, thông tin có thể đƣợc phân thành các mức khác nhau, ở đó mức nhạy cảm có thể khác biệt trong các mục của cùng bản ghi hoặc cùng thuộc tính giá trị. Phân chia theo lớp các mục thông tin khác nhau, phân chia truy cập tới các mục đơn của bản ghi trong phân lớp của chúng. - Hạn chế chuyển dịch thông tin: Loại bỏ việc chuyển thông tin không đƣợc phép giữa các chƣơng trình. Việc chuyển thông tin xuất hiện theo các kênh đƣợc quyền, các kênh bộ nhớ và các kênh chuyển đổi. Các kênh đƣợc quyền cung cấp thông tin ra, qua các hoạt động đƣợc phép nhƣ soạn thảo hoặc dịch file. Kênh bộ nhớ là vùng nhớ, ở đó thông tin đƣợc lƣu trữ bởi chƣơng trình và có thể đọc đƣợc bằng các chƣơng trình khác. Kênh chuyển đổi là kênh liên lạc trên cơ sở sử dụng tài nguyên hệ thống không bình thƣờng cho các liên lạc giữa các đối tƣợng của hệ thống. 12 1.1.2.3. Các phương pháp bảo vệ Cơ sở dữ liệu Để bảo vệ dữ liệu trong CSDL chúng ta cần phải bảo vệ bằng nhiều lớp: + Lớp ngoài cùng: Lớp mạng máy tính. + Lớp trong: Lớp Hệ điều hành. + Lớp trong tiếp theo: Lớp CSDL. + Lớp dữ liệu trong CSDL. Các biện pháp an ninh để bảo vệ CSDL có thể đạt đƣợc thông qua: + Kiểm soát luồng + Kiểm soát suy diễn + Kiểm soát truy nhập Đối với các biện pháp này ngƣời ta sử dụng kỹ thuật mật mã để mã hoá thông tin. Thông tin đƣợc đảm bảo an toàn hơn vì nó tạo ra dữ liệu mọi ngƣời có thể nhìn thấy, nhƣng chỉ có ngƣời dùng hợp lệ mới có khả năng hiểu đƣợc. Tuy nhiên biện pháp bảo vệ này không có tác dụng đối với ngƣời dùng trực tiếp nhƣ xâm nhập qua mạng, mà chủ nhân đã mở sẵn thông tin. * Kiểm soát luồng (lƣu lƣợng): Đó là điều khiển phân bố thông tin trong các đối tƣợng có khả năng truy nhập. Luồng xuất hiện giữa hai đối tƣợng X và Y khi có trạng thái “đọc” giá trị từ X và “ghi” giá trị vào Y. Kiểm soát luồng là kiểm tra thông tin chứa trong một vài đối tƣợng có bị rò rỉ sang đối tƣợng khác hay không. Nếu có, ngƣời dùng sẽ nhận đƣợc trong Y những gì mà anh không thể nhận trực tiếp từ X, nhƣ vậy thông tin trong X đã bị lộ. Đối tƣợng X Luồng thông tin Đối tƣợng Y Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y Chính sách kiểm soát luồng yêu cầu liệt kê và điều phối các luồng thông tin. Việc vi phạm luồng xuất hiện qua yêu cầu chuyển dữ liệu giữa hai đối tƣợng không đƣợc phép. Cơ chế kiểm soát sẽ từ chối yêu cầu đó. Để kiểm soát luồng thông tin, cần phân lớp các yếu tố hệ thống, đó là chủ thể và đối tƣợng. Hoạt động “đọc” và “ghi” là hợp lệ trên cơ sở mối quan hệ trong lớp. Đối tƣợng ở lớp cao hơn đƣợc bảo vệ cao hơn khi truy nhập “đọc” so với đối tƣợng ở mức thấp hơn. Ở đây, kiểm soát luồng loại bỏ những vi phạm về thông tin chuyển cho lớp thấp hơn. 13 * Kiểm soát suy diễn: Theo Denning và Schlorer (1983), kiểm soát suy diễn nhằm bảo vệ dữ liệu khỏi các truy nhập gián tiếp. Điều này xảy ra khi ngƣời dùng đọc X, và dùng hàm f để tính lại: Y = f(X). Các kênh suy diễn thông tin chính có thể làm lộ thông tin trong hệ thống gồm có: (1) Truy nhập gián tiếp: Xảy ra khi ngƣời không đƣợc quyền có thể thu đƣợc thông tin qua câu hỏi trên tập dữ liệu X đƣợc phép sử dụng. Ví dụ: Câu lệnh Select * from HANG where Y=15 Các giá trị thoả mãn của điều kiện câu lệnh sẽ bị lộ ra, khi đó sẽ biết đƣợc giá trị của các thuộc tính khác mà CSDL muốn giữ bí mật. (2) Dữ liệu tương quan: Là kênh suy diễn điển hình, trong đó dữ liệu X đƣợc phép truy nhập có liên hệ ngữ nghĩa với dữ liệu Y cần bảo vệ. Ví dụ: Thunhap(Y) = Luong(X) - Thue(X). Nếu thông tin về Lƣơng và Thuế bị lộ thì việc bảo vệ Thu nhập không có ý nghĩa. (3) Mất dữ liệu: Là kênh suy diễn cho ngƣời dùng biết sự có mặt của tập dữ liệu X, đặc biệt ngƣời dùng có thể biết tên đối tƣợng, qua đó có thể truy nhập đến thông tin chứa trong đó. * Kiểm soát truy nhập: Biện pháp đảm bảo tất cả các đối tƣợng truy nhập hệ thống phải tuân theo quy tắc, chính sách bảo vệ dữ liệu. Hệ thống kiểm soát truy nhập (hình 1.2) gồm ngƣời sử dụng và tiến trình. Các chủ thể này khai thác dữ liệu, chƣơng trình thông qua các phép toán. Chức năng hệ thống kiểm soát truy nhập gồm hai phần: (1) Tập chính sách an ninh và quy tắc truy nhập: Đặt ra kiểu khai thác thông tin lƣu trữ trong hệ thống. (2) Tập các thủ tục kiểm soát (cơ chế an ninh): Kiểm tra yêu cầu truy nhập, cho phép hay từ chối yêu cầu khai thác. Yêu cầu truy nhập Các thủ tục kiểm soát Từ chối truy nhập Chấp nhận truy nhập Sửa đổi truy nhập Các chính sách an ninh Các quy tắc truy nhập Hình 1.2 Hệ thống kiểm soát truy nhập 14 Các chính sách an ninh: Liên quan đến thiết kế và quản lý hệ thống cấp quyền khai thác. Một cách thông thƣờng để đảm bảo an ninh dữ liệu là định danh các đối tƣợng tham gia hệ thống và xác định quyền truy nhập cho đối tƣợng. - Tên (Identifier): gán cho đối tƣợng một tên (hay một số) theo cách thống nhất, không có sự trùng lặp giữa các tên. - Uỷ quyền (Authrization): uỷ quyền khai thác một phép toán của chủ thể trên đối tƣợng. Giới hạn quyền truy nhập: Để trả lời câu hỏi bao nhiêu thông tin có thể truy nhập cho mỗi chủ thể là đủ? Do vậy cần xác định giới hạn truy nhập. Có hai chính sách cơ bản: - Chính sách đặc quyền tối thiểu: Các chủ thể sử dụng lƣợng thông tin tối thiểu cần thiết cho hoạt động. Đảm bảo chính sách này ngƣời dùng có thể truy nhập vào dữ liệu, thuận lợi cho truy nhập. - Chính sách đặc quyền tối đa: dựa trên nguyên tắc tối đa dữ liệu khả dụng trong CSDL, tức là chia sẻ tối đa, đảm bảo thông tin không bị truy nhập quá mức cho phép. Có hai kiến trúc kiểm soát truy nhập là hệ thống đóng và hệ thống mở. - Hệ thống đóng: chỉ các yêu cầu có quyền mới đƣợc phép truy nhập. - Hệ thống mở: chỉ các yêu cầu không bị cấm mới đƣợc phép truy nhập. 15 Yêu cầu truy nhập Các luật truy nhập Truy nhập có đƣợc chấp nhận không? Không Không chấp nhận truy nhập Có Chấp nhận truy nhập Hình 1.3 Hệ thống đóng Yêu cầu truy nhập Các luật cấm truy cập Truy nhập có bị cấm không? Có Không chấp nhận truy nhập Không Chấp nhận truy nhập Hình 1.4 Hệ thống mở 16 Quản lý quyền truy nhập: Chính sách quản lý quyền truy nhập có thể đƣợc dùng trong điều khiển tập trung hoặc phân tán, việc lựa chọn này cũng là một chính sách an ninh, có thể kết hợp để có chính sách an ninh phù hợp. - Phân cấp uỷ quyền: Cơ chế kiểm soát đƣợc thực hiện ở nhiều trạm điều khiển tập trung, chúng có trách nhiệm điều khiển các trạm. - Chọn ngƣời sở hữu: Khi mô tả quan hệ phải mô tả ngƣời sở hữu và đảm bảo quyền khai thác dữ liệu của họ. - Quyết định tập thể: Có tài nguyên do một nhóm sở hữu, do đó khi có yêu cầu truy nhập nào thì cần có sự đồng ý của cả nhóm. Chính sách kiểm soát truy nhập: Chính sách này thiết lập khả năng và chỉ ra cách để các chủ thể và đối tƣợng trong hệ thống đƣợc nhóm lại, để dùng chung các điều khiển truy nhập. Ngoài ra, chính sách còn cho phép thiết lập việc chuyển giao quyền truy nhập. Chính sách phân cấp: Có thể coi là chính sách điều khiển luồng thông tin đi về các đối tƣợng có độ ƣu tiên thấp hơn. Hệ thống các mức phân loại nhƣ sau: 0 = thƣờng (Unclassified – U) 1 = mật (Confidential – C) 2 = tối mật (Secret – S) 3 = tuyệt mật (Top Secret –TS) 17 1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.2.1. Khái niệm Mạng máy tính Mạng máy tính là tập hợp các máy tính đƣợc nối với nhau bởi đƣờng truyền theo một cấu trúc nào đó, và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau. Các thành phần trong hệ thống mạng máy tính gồm: - Các thiết bị cuối là các thiết bị tính toán (PC, máy tính vừa và lớn), thiết bị ngoại vi thông minh và thiết bị cuối không thông minh (Terminal). Chúng thực hiện nhiệm vụ tính toán, xử lý, lƣu trữ, trao đổi dữ liệu, là giao diện tƣơng tác giữa ngƣời và máy. - Các thiết bị kết nối mạng gồm thiết bị chuyển mạch, dồn/tách kênh (Multiplexer), các bộ tập trung (Concentrator). Các thiết bị chuyển mạch thực hiện chuyển tiếp số liệu chính xác giữa các thiết bị đầu cuối đƣợc kết nối trong mạng. Các thiết bị dồn/tách kênh thực hiện kết nối nhiều thiết bị cuối có tốc độ trao đổi số liệu thấp trên cùng một đƣờng truyền có dung lƣợng cao. Các bộ tập trung thực hiện kết nối các thiết bộ cuối không thông minh. - Hệ thống truyền dẫn (có dây và không dây) kết nối vật lý các thiết bị mạng với các thiết bị cuối. Số liệu của các ứng dụng đƣợc truyền dƣới dạng tín hiệu điện trên hệ thống truyền dẫn, tín hiệu ở dạng số hoá hay dạng tƣơng tự. Máy tính lƣu trữ dữ liệu ở dạng số hoá, còn phƣơng tiện truyền thông lại lƣu trữ dữ liệu ở dạng tƣơng tự, do vậy các tín hiệu phải đƣợc biến đổi trong quá trình truyền tin. Thiết bị biến đổi đó là Modem. Các hình thức kết nối: (1) Kết nối điểm - Điểm: - Kết nối hình sao: một thiết bị chính (Master) điều khiển quá trình trao đổi số liệu giữa các thiết bị cuối (Slaver). - Kết nối theo đƣờng tròn: số liệu đƣợc truyền tuần tự từ thiết bị cuối này đến thiết bị cuối khác theo một chiều nhất định. - Kết nối theo hình cây. - Kết nối toàn phần: Mỗi thiết bị cuối đƣợc kết nối với thiết bị cuối còn lại. (2) Kết nối quảng bá - Kết nối theo đƣờng thẳng (Bus): các thiết bị cuối sử dụng chung một đƣờng truyền, tại một thời điểm chỉ có một thiết bị cuối đƣợc phát số liệu, các thiết bị còn lại đều có thể nhận số liệu. 18 - Kết nối theo đƣờng tròn (Ring): nhƣ kết nối điểm - điểm về mặt vật lý, thuật toán điểu khiển truy nhập mạng đƣờng tròn đảm bảo phƣơng thức kết nối quảng bá. - Kết nối vệ tinh: một vệ tinh thực hiện thu phát số liệu với một nhóm các trạm mặt đất (còn gọi là thông báo nhóm). Các kiểu mạng: (1) Mạng cục bộ (LAN): Mạng LAN đƣợc thiết lập để liên kết các máy tính trong khu vực nhƣ trong một toà nhà, một khu nhà. Thƣờng mạng LAN liên kết một số máy tính, một vài máy in và một vài thiết bị lƣu trữ. Đặc trƣng cơ bản của mạng LAN là kiểm soát cục bộ, nhỏ (thƣờng dƣới 100 máy), thiết bị tập trung trong khu vực nhỏ và đƣợc bảo vệ vật lý. (2) Mạng diện rộng (WAN): Mạng WAN lớn hơn mạng LAN về cả kích thƣớc, khoảng cách, kiểm soát cũng nhƣ sở hữu. Đặc trƣng cơ bản là kiểm soát riêng rẽ, bao phủ một diện rộng, thƣờng sử dụng môi trƣờng truyền thông công khai. (3) Liên mạng (Internets): Internet kết nối nhiều mạng riêng biệt. Internet là mạng toàn cầu, có các đặc tính: không kiểm soát đƣợc, không đồng nhất, bất kỳ ai cũng có thể tiếp cận mạng từ môi trƣờng công khai, đơn giản. 1.2.2. Vấn đề bảo vệ Mạng máy tính 1.2.2.1. Những hiểm họa đối với Mạng máy tính (1) Nguyên nhân: Từ kiến trúc mạng máy tính, chúng ta nhận thấy trong mạng xuất hiện các “hiểm họa” do các nguyên nhân sau: - Dùng chung tài nguyên dẫn đến nhiều ngƣời có khả năng truy cập đến các hệ thống nối mạng hơn các tài nguyên đơn lẻ. - Sự phức tạp của hệ thống mạng máy tính dẫn đến có thể có nhiều HĐH khác nhau cùng hoạt động, hơn nữa trong HĐH mạng việc kiểm soát mạng thƣờng phức tạp hơn HĐH trên máy tính đơn lẻ. Sự phức tạp trên sẽ khó khăn trong việc bảo vệ mạng. - Ngoại vi không giới hạn khiến một máy chủ có thể là một nút trên hai mạng khác nhau, vì vậy các tài nguyên trên một mạng cũng có thể đƣợc một ngƣời dùng của mạng khác truy cập tới. Đây là một kẽ hở trong an ninh mạng. - Nhiều điểm tấn công: Trong một máy đơn lẻ, việc kiểm soát truy nhập và đảm bảo bí mật dữ liệu đơn giản hơn nhiều so với một máy tính đã kết nối mạng. Bởi khi một file đƣợc lƣu trên máy chủ cách xa ngƣời dùng, nó có thể bị các máy khác tấn công khi ngƣời dùng sử dụng. 19 (2) Hiểm hoạ: Các nguyên nhân trên sẽ ẩn chứa các hiểm hoạ, ngƣời ta có thể nhóm thành các loại sau: - Nghe trộm: hiểu theo nghĩa chặn bắt thông tin lƣu thông trên mạng. - Mạo danh: là giả mạo một quá trình, một cá nhân để nhận đƣợc thông tin trực tiếp trên mạng, hiểm họa này thƣờng xảy ra trên mạng diện rộng. - Vi phạm bí mật thông báo: do chuyển sai địa chỉ đích, bộc lộ trên đƣờng truyền tại các bộ đệm, bộ chuyển mạch, bộ định tuyến, các cổng, các máy chủ trung chuyển trên toàn tmạng. - Vi phạm toàn vẹn thông báo: trong quá trình truyền tin, thông báo có thể bị sai lệch do bị sửa nội dung (một phần hoặc toàn bộ). - Sự can thiệp của tin tặc (Hacker): ngoài khả năng thực hiện các tấn công gây ra các hiểm hoạ trên, hacker còn có thể phát triển các công cụ tìm kiếm các yếu điểm trên mạng và sử dụng chúng theo mục đích riêng. - Toàn vẹn mã: là sự phá hoại mã khả thi, thƣờng là cố ý nhằm xoá hoặc cài lại chƣơng trình trên máy chủ. - Từ chối dịch vụ: có thể do kết nối vào mạng bị sai lệch hoặc do phá hoại, đƣa vào các thông báo giả làm gia tăng luồng tin trên mạng. 1.2.2.2. Những yêu cầu bảo vệ Mạng máy tính Yêu cầu bảo vệ mạng máy tính bao gồm bảo vệ cả phần cứng và phần mềm. - Yêu cầu các dịch vụ luôn sẵn sàng: đƣờng truyền giữa các máy trong mạng luôn đƣợc thông, các mã chƣơng trình phải luôn khả thi và sẵn sàng phục vụ khi có yêu cầu. - Yêu cầu bí mật: dữ liệu không bị kẻ xấu nghe, lấy trộm hoặc nếu lấy đƣợc cũng khó để có thể hiểu nội dung. - Yêu cầu chính xác, toàn vẹn: dữ liệu trên đƣờng truyền không bị kẻ xấu giả mạo hoặc thay đổi nội dung, liệu truyền trên mạng phải đến đúng địa chỉ, hạn chế các thông báo giả trên đƣờng truyền. Các phƣơng pháp bảo vệ Mạng máy tính: (1) Mã hoá: là công cụ mạnh để bảo đảm bí mật, xác thực, toàn vẹn và hạn chế truy nhập tới dữ liệu trong môi trƣờng mạng có độ rủi ro khá cao. Mã hoá có thể sử dụng giữa hai máy chủ hoặc giữa hai ứng dụng. 20