An toàn thông tin trong Cơ sở dữ liệu

Chương này tr×nh bày những hiểm họa tiềm ẩn cô thể xảy ra đối với CSDL đồng thời tr×nh bày những giải ph¸p cô thể sử dụng để bảo vệ CSDL đối với những hiểm họa đã. 1.1 . Giíi thiÖu Sù ph¸t triÓn lín m¹nh cña c«ng nghÖ th«ng tin trong nh÷ng n¨m qua ®• dÉn ®Õn viÖc sö dông réng r•i c¸c hÖ thèng m¸y tÝnh trong hÇu hÕt c¸c tæ chøc c¸ nh©n vµ c«ng céng, ch¼ng h¹n nh­ ng©n hµng, tr­êng häc, tæ chøc dÞch vô vµ s¶n xuÊt, bÖnh viÖn, th­ viÖn, qu¶n lý ph©n t¸n vµ tËp trung..vv. §é tin cËy cña phÇn cøng, phÇn mÒm ngµy cµng ®­îc n©ng cao cïng víi viÖc liªn tôc gi¶m gi¸, t¨ng kü n¨ng chuyªn m«n cña c¸c chuyªn viªn th«ng tin vµ sù s½n sµng cña c¸c c«ng cô trî gióp ®• gãp phÇn khuyÕn khÝch viÖc sö dông c¸c dÞch vô m¸y tÝnh mét c¸ch réng r•i. V× vËy, d÷ liÖu ®­îc l­u gi÷ vµ qu¶n lý trong c¸c hÖ thèng m¸y tÝnh ngµy cµng nhiÒu h¬n. C«ng nghÖ c¬ së d÷ liÖu sö dông c¸c hÖ qu¶n trÞ c¬ së d÷ liÖu ®• ®¸p øng ®­îc sè l­îng lín c¸c yªu cÇu vÒ l­u gi÷ vµ qu¶n lý d÷ liÖu. NhiÒu ph­¬ng ph¸p luËn thiÕt kÕ c¬ së d÷ liÖu ®• ®­îc ph¸t triÓn nh»m hç trî c¸c yªu cÇu th«ng tin kh¸c nhau vµ c¸c m«i tr­êng lµm viÖc cña øng dông. C¸c m« h×nh d÷ liÖu kh¸i niÖm vµ l«gÝc ®• ®­îc nghiªn cøu, cïng víi nh÷ng ng«n ng÷ liªn kÕt, c¸c c«ng cô ®Þnh nghÜa d÷ liÖu, thao t¸c vµ hái ®¸p d÷ liÖu. Môc tiªu lµ ®­a ra c¸c DBMS cã kh¶ n¨ng qu¶n trÞ vµ khai th¸c d÷ liÖu tèt. Mét ®Æc ®iÓm c¬ b¶n cña DBMS lµ kh¶ n¨ng qu¶n lý ®ång thêi nhiÒu giao diÖn øng dông. Mçi øng dông cã mét c¸i nh×n thuÇn nhÊt vÒ c¬ së d÷ liÖu, cã nghÜa lµ cã c¶m gi¸c chØ m×nh nã ®ang khai th¸c c¬ së d÷ liÖu. §©y lµ mét yªu cÇu hÕt søc quan träng ®èi víi c¸c DBMS, vÝ dô c¬ së d÷ liÖu cña ng©n hµng víi c¸c kh¸ch hµng trùc tuyÕn cña nã; hoÆc c¬ së d÷ liÖu cña c¸c h•ng hµng kh«ng víi viÖc ®Æt vÐ tr­íc. Xö lý ph©n t¸n ®• gãp phÇn ph¸t triÓn vµ tù ®éng ho¸ c¸c hÖ thèng th«ng tin. Ngµy nay, ®¬n vÞ xö lý th«ng tin cña c¸c tæ chøc vµ c¸c chi nh¸nh ë xa cña nã cã thÓ giao tiÕp víi nhau mét c¸ch nhanh chãng th«ng qua c¸c m¸y tÝnh c¸ nh©n vµ m¸y tr¹m v× vËy cho phÐp truyÒn t¶i rÊt nhanh c¸c khèi d÷ liÖu lín

Tổng quan về

an toàn thông tin trong cơ sở dữ liệu

Chương này trình bày những hiểm họa tiềm ẩn cụ thể xảy ra đối với CSDL đồng thời trình bày những giải pháp cụ thể sử dụng để bảo vệ CSDL đối với những

hiểm họa đó

1.1Giới thiệu

Sự phát triển lớn mạnh của công nghệ thông tin trong những năm qua đã dẫn

đến việc sử dụng rộng rãi các hệ thống máy tính trong hầu hết các tổ chức cá nhân

và công cộng, chẳng hạn nh ngân hàng, trờng học, tổ chức dịch vụ và sản xuất, bệnh viện, th viện, quản lý phân tán và tập trung vv Độ tin cậy của phần cứng, phần mềm ngày càng đợc nâng cao cùng với việc liên tục giảm giá, tăng kỹ năng chuyên môn của các chuyên viên thông tin và sự sẵn sàng của các công cụ trợ giúp

đã góp phần khuyến khích việc sử dụng các dịch vụ máy tính một cách rộng rãi Vì vậy, dữ liệu đợc lu giữ và quản lý trong các hệ thống máy tính ngày càng nhiều hơn Công nghệ cơ sở dữ liệu sử dụng các hệ quản trị cơ sở dữ liệu đã đáp ứng đ ợc

số lợng lớn các yêu cầu về lu giữ và quản lý dữ liệu

Nhiều phơng pháp luận thiết kế cơ sở dữ liệu đã đợc phát triển nhằm hỗ trợ các yêu cầu thông tin khác nhau và các môi trờng làm việc của ứng dụng Các mô hình dữ liệu khái niệm và lôgíc đã đợc nghiên cứu, cùng với những ngôn ngữ liên kết, các công cụ định nghĩa dữ liệu, thao tác và hỏi đáp dữ liệu Mục tiêu là đa ra các DBMS có khả năng quản trị và khai thác dữ liệu tốt

Một đặc điểm cơ bản của DBMS là khả năng quản lý đồng thời nhiều giao diện ứng dụng Mỗi ứng dụng có một cái nhìn thuần nhất về cơ sở dữ liệu, có nghĩa là có cảm giác chỉ mình nó đang khai thác cơ sở dữ liệu Đây là một yêu cầu hết sức quan trọng đối với các DBMS, ví dụ cơ sở dữ liệu của ngân hàng với các khách hàng trực tuyến của nó; hoặc cơ sở dữ liệu của các hãng hàng không với việc đặt vé trớc

Xử lý phân tán đã góp phần phát triển và tự động hoá các hệ thống thông tin Ngày nay, đơn vị xử lý thông tin của các tổ chức và các chi nhánh ở xa của nó có thể giao tiếp với nhau một cách nhanh chóng thông qua các máy tính cá nhân và máy trạm vì vậy cho phép truyền tải rất nhanh các khối dữ liệu lớn

( Xử lý Phõn tán

Có hai khái niợ̀m xử lý phõn tán và có liờn quan với nhau Khái niợ̀m thứ nhṍt

liờn quan đờ́n viợ̀c tính toán trờn hợ̀ Client/Server Trong đó ứng dụng được chia ra thành hai phõ̀n, phõ̀n của server và phõ̀n của client và được vọ̃n hành ở hai nơi Trong tính toán phõn tán nay cho phép truy cọ̃p trực tiờ́p dữ liợ̀u trờn đĩa và xử lý các thụng tin trờn đĩa cho các client

Khái niợ̀m thứ hai là viợ̀c thực hiợ̀n các tác vụ xử lý phức tạp trờn nhiờ̀u hợ̀ thụ́ng

Khụng gian nhớ và bụ̣ xử lý của nhiờ̀u máy cùng hoạt đụ̣ng chia nhau tác vụ xử lý Máy trung tõm sẽ giám sát và quản lý các tiờ́n trình nõ̀y Có trường hợp thụng qua Internet, hàng nghìn máy cùng xử lý mụ̣t tác vụ Và cũng có trường hợp các sinh viờn đã dùng kỹ thuọ̃t nõ̀y đờ̉ đụ̣t nhọ̃p và bẻ khóa

TỪ MỤC LIấN QUAN

Client/Server Computing; Component software Technology; DCE (Distributed Computing Environment), The Open Group; Distributed Applications; Distributed Computer Networks; Distributed Database; Distributed File Systems; và

Distributed Object Computing

ời và máy phục vụ để tạo ra các cơ sở dữ liệu đáp ứng đợc cho nhiều dạng ngời dùng khác nhau; Vì vậy đã nảy sinh thêm nhiều vấn đề về an toàn Trong các hệ thống thông tin thì các kỹ thuật, công cụ và các thủ tục an toàn đóng vai trò thiết yếu, cả hai đều đợc sử dụng để đảm bảo tính liên tục và tin cậy của hệ thống, bảo

vệ dữ liệu và các chơng trình không bị xâm nhập, sửa đổi, đánh cắp và tiết lộ thông tin trái phép

Độ phức tạp trong thiết kế và thực thi của các hệ thống an toàn dựa vào nhiều yếu tố, chẳng hạn nh tính không đồng nhất của ngời sử dụng, sự phân nhỏ hoặc mở rộng khu vực của các hệ thống thông tin(cả ở cấp quốc gia và quốc tế), các hậu quả khó lờng do mất mát thông tin, những khó khăn trong việc xây dựng mô hình, đánh giá và kiểm tra độ an toàn của dữ liệu

An toàn thông tin trong cơ sở dữ liệu

An toàn thông tin trong cơ sở dữ liệu bao gồm 3 yếu tố chính: tính bí mật, toàn vẹn và sẵn sàng Trong tài liệu này, các thuật ngữ nh cấp quyền, bảo vệ và an toàn

sẽ đợc sử dụng để diễn đạt cùng một nội dung trong các ngữ cảnh khác nhau Chính xác hơn, thuật ngữ cấp quyền đợc sử dụng trong các hệ thống cơ sở dữ liệu, thuật ngữ bảo vệ thờng sử dụng khi nói về hệ điều hành, còn thuật ngữ an toàn đợc

sử dụng chung

 Đảm bảo tính bí mật (secrecy) có nghĩa là ngăn chặn/phát hiện/xác định

những tiếp cận thông tin trái phép Nói chung, tính bí mật đợc sử dụng để bảo vệ dữ liệu trong những mỗi trờng bảo mật cao nh các trung tâm quân

sự hay kinh tế quan trọng

 Tính riêng t (privacy) là thuật ngữ chỉ ra quyền của một cá nhân, một tổ

chức đối với các thông tin, tài nguyên nào đó Tính riêng t đợc luật pháp của nhiều quốc gia bảo đảm

 Đảm bảo tính toàn vẹn của thông tin có nghĩa là ngăn chặn/phát hiện/xác

định các sửa đổi thông tin trái phép Ví dụ nh trong quân sự tọa độ mục tiêu của tên lửa không thể đợc sửa đổi trái phép, hay trong thơng mại một nhân công không đợc tùy tiện sửa đổi lơng của anh ta hay sửa đổi trái phép việc trả lơng điện tử

 Đảm bảo tính sẵn sàng của hệ thống (hay còn gọi là tránh từ chối dịch vụ)

có nghĩa là ngăn chặn/phát hiện/xác định sự từ chối trái phép các truy cập

đến dịch vụ trong hệ thống Ví dụ nh trong thơng mại việc trả tiền thuế phải thực hiện đúng hạn theo luật, hay trong quân sự nếu lệnh bắn đã đợc thực hiện thì tên lửa phải đợc phóng lên

1.2Một số khái niệm trong cơ sở dữ liệu

Cơ sở dữ liệu là một tập hợp dữ liệu không nhất thiết đồng nhất, có quan hệ với nhau về mặt lôgíc và đợc phân bố trên một mạng máy tính

Hệ thống phần mềm cho phép quản lý, thao tác trên cơ sở dữ liệu, tạo ra sự trong suốt phân tán với ngời dùng gọi là hệ quản trị cơ sở dữ liệu (DBMS)

Trong thiết kế cơ sở dữ liệu, chúng ta cần phân biệt pha quan niệm và pha lôgíc Các mô hình quan niệm và lôgíc tơng ứng thờng dùng để mô tả cấu trúc của cơ sở dữ liệu Trong các mô hình này, mô hình lôgíc phụ thuộc vào hệ quản trị cơ sở dữ liệu, còn mô hình quan niệm thì độc lập với hệ quản trị cơ sở dữ liệu Mô hình quan

hệ thực thể là một trong các mô hình quan niệm phổ biến nhất, đợc xây dựng dựa trên khái niệm thực thể Thực thể đợc xem nh là lớp các đối tợng của thế giới hiện thực đợc mô tả bên trong cơ sở dữ liệu và quan hệ mô tả mối liên hệ giữa hai hay nhiều thực thể.

Trong quá trình thiết kế lôgíc, lợc đồ khái niệm đợc chuyển sang lợc đồ lôgíc, mô tả dữ liệu theo mô hình lôgíc do DBMS cung cấp Các mô hình phân cấp, mạng

và quan hệ là các mô hình lôgíc do công nghệ DBMS truyền thống quản lý

Các ngôn ngữ sẵn có trong DBMS bao gồm ngôn ngữ định nghĩa dữ liệu (DDL), ngôn ngữ thao tác dữ liệu (DML) và ngôn ngữ hỏi (QL)

 DDL hỗ trợ định nghĩa lợc đồ cơ sở dữ liệu lôgíc

 DML hay QL thao tác dữ liệu bằng các phép toán trên cơ sở dữ liệu Các phép toán trên cơ sở dữ liệu bao gồm tìm kiếm, chèn, xoá và cập nhật Ngôn ngữ DML chỉ có thể đợc sử dụng bởi những ngời dùng đặc biệt nh ngời phát triển ứng dụng, đòi hỏi phải có hiểu biết đầy đủ về lợc đồ và mô hình logíc QL thì ngợc lại, nó là ngôn ngữ khai báo hỗ trợ cho ngời dùng cuối Ngôn ngữ DML có thể nhúng trong một ngôn ngữ lập trình thông thờng, gọi là ngôn ngữ nhúng Vì vậy, các ứng dụng sử dụng ngôn ngữ lập trình có thể đa vào các câu lệnh của DML cho các phép toán h-ớng dữ liệu

• Các bảng mô tả cơ sở dữ liệu

• Các bảng cấp quyền

• Các bảng truy nhập đồng thời

Ngời dùng cuối hoặc các chơng trình ứng dụng có thể sử dụng dữ liệu trong cơ

sở dữ liệu, thông qua các câu lệnh DML hoặc QL Sau đó, DBMS sẽ biên dịch các câu lệnh này thông qua bộ xử lý DML và QL (DML processor, QL processor) Mục

đích là để tối u hóa các câu hỏi qua lợc đồ cơ sở dữ liệu (đã đợc trình bày trong các bảng mô tả cơ sở dữ liệu) Những bảng này đợc định nghĩa thông qua các câu lệnh của DDL và đợc trình biên dịch DDL biên dịch Các câu hỏi tối u đợc bộ quản trị cơ sở dữ liệu xử lý và chuyển thành các thao tác trên các file dữ liệu vật lý

Bộ quản trị cơ sở dữ liệu có thể kiểm tra quyền truy cập của ngời dùng và các

ch-ơng trình thông qua bảng cấp quyền truy nhập Đồng thời, bộ quản trị cơ sở dữ liệu cũng chịu trách nhiệm quản lý truy nhập dữ liệu đồng thời của các ứng dụng Các thao tác đợc phép sẽ đợc gửi tới bộ quản trị file và bộ quản trị file sẽ thực hiện các thao tác này

Vùng làm việc của các trình ứng dụng

Thủ tục của DBMS

Vùng làm việc của DBMS

Hình 1.1 Tơng tác giữa trình ứng dụng và cơ sở dữ liệu

Hình 1.1 minh hoạ tơng tác giữa các chơng trình ứng dụng (có chứa các câu lệnh DML) và cơ sở dữ liệu Việc thực hiện một câu lệnh DML tơng ứng với một thủ tục truy nhập cơ sở dữ liệu của DBMS Thủ tục lấy dữ liệu từ cơ sở dữ liệu đa tới vùng làm việc của ứng dụng tơng ứng với câu lệnh retrieval, thủ tục chuyển dữ liệu từ vùng làm việc của ứng dụng vào cơ sở dữ liệu tơng ứng với các câu lệnh

insert, update, hay thủ tục xoá dữ liệu khỏi cơ sở dữ liệu câu lệnh delete Nh vậy,

mỗi một câu lệnh thao tác dữ liệu của các chơng trình ứng dụng đều tơng ứng với một thủ tục truy nhập cơ sở dữ liệu của DBMS

1.2.2 Các mức mô tả dữ liệu

DBMS mô tả dữ liệu theo nhiều mức khác nhau Mỗi mức cung cấp một mức trừu tợng về cơ sở dữ liệu Trong DBMS có thể có các mức mô tả sau:

Khung nhìn logíc (Logical view)

Việc xây dựng các khung nhìn tuỳ thuộc các yêu cầu của mô hình logíc và các mục đích của ứng dụng Khung nhìn lôgíc mô tả một phần lợc đồ cơ sở dữ liệu lôgíc Nói chung, ngời ta thờng sử dụng DDL để định nghĩa các khung nhìn lôgíc, DML để thao tác trên các khung nhìn này

Lợc đồ dữ liệu lôgíc

ở mức này, mọi dữ liệu trong cơ sở dữ liệu đợc mô tả bằng mô hình lôgíc của DBMS Các dữ liệu và quan hệ của chúng đợc mô tả thông qua DDL của DBMS Các thao tác khác nhau trên lợc đồ lôgíc đợc xác định thông qua DML của DBMS

đó

Lợc đồ dữ liệu vật lý

Mức này mô tả cấu trúc lu trữ dữ liệu trong các file trên bộ nhớ ngoài Dữ liệu

đ-ợc lu trữ dới dạng các bản ghi (có độ dài cố định hay thay đổi) và các con trỏ trỏ tới bản ghi

Trong mô tả dữ liệu, DBMS cho phép các mức khác nhau hỗ trợ độc lập lôgíc và

Mức khung nhìn logic

Mức lược đồ dữ

liệu logic

Mức dữ liệu vật lý

hợp này, mọi thay đổi trên lợc đồ lôgíc cần đợc thay đổi lại trên các khung nhìn lôgíc có liên quan với lợc đồ đó.

 Độc lập vật lý có nghĩa là: một lợc đồ vật lý có thể đợc thay đổi mà không cần phải thay đổi các ứng dụng truy nhập dữ liệu đó Đôi khi, còn có nghĩa là: các cấu trúc lu trữ dữ liệu vật lý có thể thay đổi mà không làm

ảnh hởng đến việc mô tả lợc đồ dữ liệu lôgíc

1.2.3 Các thành phần của mô hình dữ liệu quan hệ

Ngày nay các DBMS chủ yếu dựa vào mô hình dữ liệu quan hệ Lý do là bởi vì mô hình này đem lại tính độc lập cao trong cấu trúc vật lý của dữ liệu Thêm vào

đó, nó cho phép thực hiện nhiều thao tác và các truy vấn khác nhau mà không bị giới hạn bởi các đặc tính vật lý phía dới, không giống các mô hình mạng hay mô hình phân cấp

Nền tảng của mô hình quan hệ là khái niệm toán học về quan hệ theo lý thuyết tập hợp Đó là, quan hệ là một tập con của tích đề các D1ìD2 ì….ìDn, trong đó D1,

D2, …, Dn là tập các miền (domain) Do đó một quan hệ R là một tập của các bộ n phần tử (d1, d2, …, dn) với:

đợc gán với một tên duy nhất đợc gọi là các thuộc tính Trong một số thuộc tính mà giá trị của chúng khác nhau ở tất cả các hàng của bảng thì những thuộc tính đó gọi

là khóa của quan hệ

Một phụ thuộc hàm tồn tại giữa hai thuộc tính đơn A1 và A2 của một quan hệ R nếu và chỉ nếu với mọi giá trị của A1 trong R sẽ tơng ứng với chỉ một giá trị của A2 trong R ( ký hiệu là A1 -> A2)

Một lợc đồ quan hệ bao gồm tên của quan hệ và tên của tất cả các thuộc tính của quan hệ Một lợc đồ của một cơ sở dữ liệu quan hệ là tập các lợc đồ quan hệ

của tất cả các quan hệ (thể hiện các thực thể) và các mối quan hệ giữa các thực thể

đó trong cơ sở dữ liệu

1.3 Vấn đề an toàn trong cơ sở dữ liệu

1.3.1 Các hiểm hoạ đối với an toàn cơ sở dữ liệu

Một hiểm hoạ có thể đợc xác định khi đối phơng (ngời, hoặc nhóm ngời) sử

dụng các kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan trọng do hệ thống quản lý

Các xâm phạm tính an toàn cơ sở dữ liệu bao gồm đọc, sửa, xoá dữ liệu trái

phép Thông qua những xâm phạm này, đối phơng có thể:

 Khai thác dữ liệu trái phép thông qua suy diễn thông tin đợc phép

 Sửa đổi dữ liệu trái phép

 Các lỗi phần cứng hay phần mềm có thể dẫn đến việc áp dụng các chính sách

an toàn không đúng, từ đó cho phép truy nhập, đọc, sửa đổi dữ liệu trái phép, hoặc từ chối dịch vụ đối với ngời dùng hợp pháp

 Các sai phạm vô ý do con ngời gây ra, chẳng hạn nh nhập dữ liệu đầu vào không chính xác, hay sử dụng các ứng dụng không đúng, hậu quả cũng tơng

tự nh các nguyên nhân do lỗi phần mềm hay lỗi kỹ thuật gây ra

Các hiểm họa cố ý liên quan đến hai lớp ngời dùng sau:

 Ngời dùng đợc phép là ngời có thể lạm dụng quyền, sử dụng vợt quá quyền hạn đợc phép của họ

 Đối phơng là ngời, hay nhóm ngời truy nhập thông tin trái phép, có thể là những ngời nằm ngoài tổ chức hay bên trong tổ chức Họ tiến hành các hành

vi phá hoại phần mềm cơ sở dữ liệu hay phần cứng của hệ thống, hoặc đọc ghi dữ liệu trái phép Tấn công của họ có thể là virus, con ngựa thành Tơroa, các cửa sập (Giải thích:

• Virus: là một đoạn mã lệnh có thể sao chép chính nó và phá hủy một cách lâu dài, không thể sửa chữa nổi hệ thống mà nó vừa tự sao chép

• Con ngựa thành Tơroa (Trojan Horse): là một chơng trình núp dới những tiện ích xác định, nó tập hợp thông tin, sở hữu thông tin đó và có khả năng sử dụng giả mạo những thông tin mà nó làm chủ Nó là một chơng trình đợc cài đặt trong hệ thống, không đợc viết bởi những ngời

sử dụng hợp pháp Nó có thể khai thác những đặc quyền của ngời sử dụng hợp pháp tạo ra một lỗ hổng bảo mật

• Cửa sập (trapdoor): là một đoạn mã lệnh ẩn trong một chơng trình Một

đầu vào đặc biệt nào đó sẽ khởi động đoạn mã này và cho phép chủ của

nó bỏ qua các cơ chế bảo vệ và có thể truy nhập đến những tài nguyên

hệ thống không thuộc quyền hạn của anh ta.)Trong cả hai trờng hợp trên, họ đều thực hiện với chủ ý rõ ràng

1.3.2 Các yêu cầu bảo vệ cơ sở dữ liệu

Bảo vệ cơ sở dữ liệu khỏi các hiểm hoạ, có nghĩa là bảo vệ tài nguyên đặc biệt là dữ liệu khỏi các thảm hoạ hoặc truy nhập trái phép

Các yêu cầu bảo vệ cơ sở dữ liệu gồm:

Bảo vệ chống truy nhập trái phép

Đây là một vấn đề cơ bản, bao gồm trao quyền truy nhập cơ sở dữ liệu cho ngời dùng hợp pháp Yêu cầu truy nhập của ứng dụng, hoặc ngời dùng phải đợc DBMS kiểm tra Kiểm soát truy nhập cơ sở dữ liệu phức tạp hơn kiểm soát truy nhập file (giống trong bài toán suy diễn: nếu ngời dùng đọc một file họ không thể suy ra đợc nội dung của file khác, nhng trong cơ sở dữ liệu nếu đọc đợc mục này thì có thể suy ra nội dung mục khác) Việc kiểm soát cần tiến hành trên các đối tợng dữ liệu

ở mức thấp hơn mức file (chẳng hạn nh các bản ghi, các thuộc tính và các giá trị) Dữ liệu trong cơ sở dữ liệu thờng có quan hệ với nhau về ngữ nghĩa, do đó cho

phép ngời sử dụng có thể biết đợc giá trị của dữ liệu mà không cần truy nhập trực tiếp, bằng cách suy diễn từ các giá trị đã biết.

Bảo vệ chống suy diễn

Suy diễn là khả năng có đợc các thông tin bí mật từ những thông tin không bí mật Đặc biệt, suy diễn ảnh hởng tới các cơ sở dữ liệu thống kê, trong đó ngời dùng không đợc phép dò xét thông tin của các cá thể khác từ các dữ liệu thống kê

đó

Bảo vệ toàn vẹn cơ sở dữ liệu

Yêu cầu này bảo vệ cơ sở dữ liệu khỏi những ngời dùng không hợp pháp có các truy nhập trái phép mà có thể dẫn đến việc thay đổi nội dung dữ liệu nh việc gây ra các lỗi, virus, hỏng hóc trong hệ thống có thể gây hỏng dữ liệu DBMS đa ra dạng bảo vệ này, thông qua các kiểm soát về sự đúng đắn của hệ thống, các thủ tục sao l-

u, phục hồi và các thủ tục an toàn đặc biệt

Để duy trì tính tơng thích của cơ sở dữ liệu, mỗi giao tác phải là một hành động nguyên tử (liên tục)

Hệ thống khôi phục (recovery system) sử dụng file nhật ký giao tác Với mỗi giao tác, file nhật ký ghi lại các phép toán đã đợc thực hiện trên dữ liệu (chẳng hạn

nh read, write, delete, insert), cũng nh các phép toán điều khiển giao tác (chẳng

hạn nh: ‘bắt đầu giao tác’, ‘commit’- kết thúc thành công, abort‘ ’- kết thúc không thành công hay là hủy bỏ, ‘kết thúc giao tác’), file này ghi cả giá trị cũ và mới của các bản ghi kéo theo Hệ thống phục hồi đọc file nhật ký để xác định giao tác nào

bị huỷ bỏ và giao tác nào cần phải thực hiện lại Huỷ một giao tác có nghĩa là phục hồi lại giá trị cũ của mỗi phép toán trên bản ghi liên quan Thực hiện lại giao tác có nghĩa là cập nhật giá trị mới của mỗi phép toán vào bản ghi liên quan

Các thủ tục an toàn đặc biệt có nhiệm vụ bảo vệ dữ liệu không bị truy nhập trái phép Xây dựng mô hình, thiết kế và thực hiện các thủ tục này là một trong các mục tiêu của an toàn cơ sở dữ liệu (chúng sẽ đợc giới thiệu sau)

Toàn vẹn dữ liệu thao tác

Yêu cầu này đảm bảo tính phù hợp lôgíc của dữ liệu khi có nhiều giao tác thực hiện đồng thời trên dữ liệu

Bộ quản lý tơng tranh trong DBMS đảm bảo tính chất khả tuần tự và cô lập của các giao tác Khả tuần tự có nghĩa là kết quả của việc thực hiện đồng thời một tập hợp các giao tác giống với việc thực hiện tuần tự các giao tác này Tính cô lập để chỉ sự độc lập giữa các giao tác, tránh đợc hiệu ứng Domino, trong đó việc huỷ bỏ một giao tác dẫn đến việc huỷ bỏ các giao tác khác (theo kiểu thác đổ)

Để đảm bảo việc truy nhập đồng thời của các giao tác đến cùng một thực thể dữ liệu không làm ảnh hởng đến tính tơng thích của dữ liệu, hệ DBMS đã giải quyết bằng các kỹ thuật khóa

Các kỹ thuật khoá và giải phóng khoá đợc thực hiện theo nguyên tắc: khoá các mục dữ liệu trong một khoảng thời gian cần thiết để thực hiện phép toán và giải phóng khoá khi phép toán đã hoàn tất Nghĩa là một giao tác có thể khóa một mục dữ liệu làm cho các giao tác khác không thể truy nhập tới, và chúng chỉ có thể truy nhập tới mục dữ liệu đó khi giao tác trên đã giải phóng dữ liệu Tuy nhiên kỹ thuật này không đảm bảo tính khả tuần tự Nhợc điểm này đợc khắc phục bằng cách sử dụng kỹ thuật khoá hai pha

Trong kỹ thuật khóa hai pha: các hoạt động khóa và giải phóng khóa phải đợc thực hiện để ngăn cản một giao tác khi đã giải phóng một số mục dữ liệu mà vẫn khóa những tài nguyên khác Trong kỹ thuật này, tính khả tuần tự của giao tác đợc

đảm bảo nhờ sử dụng một pha tăng để giành khóa và một pha giảm để giải phóng khóa Theo kỹ thuật này thì các giao tác phải thực hiện xong tất cả các phép toán commit, abort… sau đó mới giải phóng tất cả các tài nguyên

Toàn vẹn ngữ nghĩa của dữ liệu

Yêu cầu này đảm bảo tính tơng thích lôgíc của các dữ liệu bị thay đổi, bằng cách kiểm tra các giá trị dữ liệu có nằm trong khoảng cho phép hay không Các hạn chế (trên các giá trị dữ liệu) đợc biểu diễn nh là các ràng buộc toàn vẹn Các ràng buộc

có thể đợc xác định trên toàn bộ cơ sở dữ liệu hoặc là cho một số các giao tác

Yêu cầu này thực sự cần thiết để xác định tính duy nhất của ngời dùng Định danh ngời dùng làm cơ sở cho việc trao quyền Ngời dùng đợc phép truy nhập dữ liệu, khi hệ thống xác định đợc ngời dùng này là hợp pháp.

Quản lý và bảo vệ dữ liệu nhạy cảm

Có những cơ sở dữ liệu chứa nhiều dữ liệu nhạy cảm (là những dữ liệu không nên đa ra công bố công khai) Có những cơ sở dữ liệu chỉ chứa các dữ liệu nhạy cảm, chẳng hạn nh dữ liệu quân sự, còn có các cơ sở dữ liệu mang tính công cộng, chẳng hạn nh các cơ sở dữ liệu của th viện

Các cơ sở dữ liệu bao gồm cả thông tin nhạy cảm và thông tin thờng cần phải có các chính sách quản lý phức tạp hơn Một mục dữ liệu là nhạy cảm khi chúng đợc ngời quản trị cơ sở dữ liệu (DBA) khai báo là nhạy cảm

Kiểm soát truy nhập vào các cơ sở dữ liệu bao hàm: bảo vệ tính tin cậy của dữ liệu nhậy cảm và chỉ cho phép ngời dùng hợp pháp truy nhập vào Những ngời dùng này đợc trao một số quyền thao tác nào đó trên dữ liệu và không đợc phép lan truyền chúng Do vậy, ngời dùng có thể truy nhập vào các tập con dữ liệu nhạy cảm

Bảo vệ nhiều mức

Bảo vệ nhiều mức bao gồm một tập hợp các yêu cầu bảo vệ Thông tin có thể đợc phân loại thành nhiều mức khác nhau, ví dụ các cơ sở dữ liệu quân sự cần đợc phân loại chi tiết hơn (mịn hơn) các cơ sở dữ liệu thông thờng Trong các môi trờng đó,

có thể có nhiều mức nhạy cảm khác nhau đối với các mục dữ liệu khác nhau trong cùng một bản ghi hoặc các giá trị khác nhau của cùng một thuộc tính Mục đích của bảo vệ nhiều mức là phân loại các mục thông tin khác nhau, đồng thời phân quyền cho các mức truy nhập khác nhau vào các mục dữ liệu riêng biệt

Một yêu cầu nữa đối với bảo vệ nhiều mức là khả năng gán mức nhạy cảm cho các thông tin đã đợc tập hợp lại để thể hiện mức nhạy cảm của chúng cao hơn hay thấp hơn so với các mục dữ liệu riêng trong tập hợp Tính bí mật và toàn vẹn của thông tin nhiều mức đợc thực hiện bằng việc gán một nhón cho ngời sử dụng và chỉ cho phép họ truy nhập đến dữ liệu đợc phân loại ở mức truy nhập của ngời sử dụng

Sự hạn chế

Mục đích của việc hạn chế là tránh truyền các thông tin không mong muốn giữa các chơng trình trong hệ thống, ví dụ truyền dữ liệu quan trọng tới các chơng trình

không không hợp pháp Việc truyền thông tin đợc thực hiện giữa các kênh truyền hợp pháp, các kênh bộ nhớ và các kênh chuyển đổi

 Các kênh hợp pháp cung cấp thông tin đầu ra thông qua các hoạt động đợc phép, nh soạn thảo hay biên dịch một file

 Kênh bộ nhớ là các vùng bộ nhớ, nơi một chơng trình có thể lu giữ dữ liệu, các chơng trình khác cũng có thể đọc dữ liệu này Ví dụ, một chơng trình có thể thay đổi tốc độ đánh trang của nó khi đang xử lý một số dữ liệu quan trọng, chơng trình này có thể truyền thông tin tới một chơng trình khác, và chơng trình kia có thể tìm lại đợc dữ liệu quan trọng đó bằng cách thực hiện một số biến đổi trên

 Kênh chuyển đổi là kênh truyền thông dựa trên việc sử dụng tài nguyên

mà không đợc mong muốn truyền thông giữa các tiến trình của hệ thống

Ví dụ, một kênh chuyển đổi thông tin giữa một tiến trình bậc cao với một tiến trình bậc thấp có thể thực hiện thông qua một con ngựa thành Tơroa gồm phần mềm bậc cao và phần mềm bậc thấp, có thể tiết lộ thông tin mà tiến trình bậc cao không biết

1.4 Kiểm soát an toàn

Có thể bảo vệ đợc cơ sở dữ liệu thông qua các phơng pháp an toàn sau:

 Kiểm soát luồng

 Kiểm soát suy diễn

 Kiểm soát truy nhập

Với các kiểm soát này, kỹ thuật mật mã có thể đợc đa vào để mã hoá dữ liệu với khoá mã bí mật Thông qua kỹ thuật này, bí mật của thông tin đợc bảo đảm, bằng cách tạo ra dữ liệu mà ai cũng có thể nhìn đợc nhng chỉ ngời dùng hợp pháp mới hiểu đợc

1.4.1 Kiểm soát luồng

Các kiểm soát luồng điều chỉnh phân bố luồng thông tin giữa các đối tợng (tiến trình) có khả năng truy nhập Một luồng giữa đối tợng X và đối tợng Y xuất hiện khi có một lệnh đọc (read) giá trị từ X và ghi (write) giá trị vào Y Kiểm soát luồng

là kiểm tra xem thông tin có trong một số đối tợng có chảy vào các đối tợng có mức bảo vệ thấp hơn hay không Nếu điều này xảy ra thì một ngời sử dụng có thể gián

tiếp đa vào Y những giá trị mà họ không thể lấy đợc trực tiếp từ X, dẫn đến vi phạm tính bí mật

Việc sao chép dữ liệu từ X tới Y là một ví dụ điển hình về luồng thông tin (từ X tới Y) Ví dụ là một bài test phép toán trong X: bằng cách quan sát kết quả của bài test này có thể suy diễn ra các giá trị của X

Các chính sách kiểm soát luồng cần phải chỉ ra các luồng có thể đợc chấp nhận, hoặc phải điều chỉnh Một sự xâm phạm luồng có thể thực hiện qua yêu cầu truyền dữ liệu giữa hai đối tợng, việc truyền dữ liệu có thể là không hợp pháp do đó các cơ chế kiểm soát luồng nên từ chối thực hiện các yêu cầu đó

Thông thờng, trong kiểm soát luồng ngời ta phải tính đến việc phân loại các phần tử của hệ thống, đó là các đối tợng và chủ thể Các phép toán ‘đọc’ và ‘ghi’ ở giữa đối tợng và chủ thể, chúng là các phép toán hợp pháp và dựa trên quan hệ giữa các lớp Các đối tợng ở lớp cao hơn sẽ có mức bảo vệ cao hơn trong suốt quá trình

‘đọc’ dữ liệu hơn là các đối tợng ở mức thấp Kiểm soát luồng ngặn chặn việc truyền thông tin vào các mức thấp hơn, là các mức dễ truy nhập hơn Vấn đề của chính sách kiểm soát luồng đợc giải quyết bằng cách xác định các phép toán cho phép các đối tợng truyền dữ liệu tới các mức thấp hơn mà vẫn giữ nguyên đợc mức nhạy cảm của dữ liệu của những đối tợng này

1.4.2 Kiểm soát suy diễn

Kiểm soát suy diễn nhằm mục đích bảo vệ dữ liệu không bị khám phá gián tiếp Kênh suy diễn là kênh mà ở đó ngời dùng có thể tìm thấy mục dữ liệu X, sau đó sử dụng X để suy ra mục dữ liệu Y, thông qua Y=f(X)

Một kênh suy diễn là một kênh mà ngời sử dụng có thể tìm thấy một mục dữ liệu

X, và có thể đa ra đợc Y với Y = f(X)

Các kênh suy diễn chính trong hệ thống là:

(1) Truy nhập gián tiếp: điều này xảy ra khi ngời sử dụng không hợp pháp khám phá ra bộ dữ liệu Y thông qua các câu hỏi truy vấn đợc phép trên dữ liệu X, cùng với các điều kiện trên Y

Ví dụ, câu truy vấn sau:

SELECT X FROM R WHERE Y = value

Select Name, phongngu From Table Where matuy = 1

(2) Dữ liệu tơng quan: Dữ liệu tơng quan là một kênh suy diễn tiêu biểu, xảy ra

khi dữ liệu có thể nhìn thấy đợc X và dữ liệu không thể nhìn thấy đợc Y kết nối với nhau về mặt ngữ nghĩa Kết quả là có thể khám phá đợc thông tin về Y nhờ đọc X

Ví dụ: z = kì t là một dữ liệu không thể nhìn thấy nhng k, t có thể nhìn thấy, nh

vậy giá trị của z có thể suy diễn đợc từ quan hệ toán học đã có

(3) Thiếu dữ liệu: Kênh thiếu dữ liệu là một kênh suy diễn mà qua đó, ngời dùng

có thể biết đợc sự tồn tại của một tập giá trị X Đặc biệt, ngời dùng có thể tìm đợc tên của đối tợng, mặc dù họ không đợc phép truy nhập vào thông tin chứa trong đó

Ví dụ: là việc trả lời một câu truy vấn của ngời sử dụng về một quan hệ bằng cách hiển thị các giá trị đợc phép, còn những giá trị null ứng với các giá trị của thông tin nhạy cảm mà ngời dùng không đợc phép truy nhập Những giá trị null đó làm ngời sử dụng có thể suy ra đợc sự tồn tại của các giá trị đợc đánh dấu đó, hoặc

ít nhất cũng làm giảm sự không rõ ràng về nó

Suy diễn thống kê là một khía cạnh khác của suy diễn dữ liệu Trong các cơ sở

dữ liệu thống kê, ngời dùng không đợc phép truy nhập vào các dữ liệu đơn lẻ, chỉ

đợc phép truy nhập vào dữ liệu thông qua các hàm thống kê Dữ liệu chỉ đợc phép truy nhập thông qua các hàm thống kê Tuy nhiên với một ngời có kinh nghiệm, anh ta vẫn có thể khám phá đợc dữ liệu thông qua các thống kê đó Có hai loại kiểm soát đối với các tấn công thống kê:

1 Kiểm soát dữ liệu:

Kiểu kiểm soát này đợc thực hiện trực tiếp trên dữ liệu đợc bảo vệ

2 Kiểm soát câu truy vấn: Là kiểu kiểm soát đợc sử dụng rộng nhất Hỗu hết các kiểu kiểm soát này dựa vào ‘kích thớc’ (số các bản ghi) của tập truy vấn Một kỹ thuật nổi tiếng là ‘kiểm soát kích thớc tập truy vấn’, đó là chỉ trả lại dữ liệu với các câu truy vấn có kích thớc từ k đến n-k, n là tổng kích thớc của cơ sở dữ liệu và k>1

cuối cùng ngời sử dụng thu đợc và mức độ nguy hiểm đến tính bí mật của thông tin Tuy nhiên loại kiểm soát này đắt giá và khó khăn để quản lý Việc xác định mức độ hiểu biết thông tin của ngời sử dụng là rất khó khăn vì nó phụ thuộc vào các nguồn bên ngoài của hệ thống.

1.4.3 Kiểm soát truy nhập

Kiểm soát truy nhập trong các hệ thống thông tin là đảm bảo mọi truy nhập trực tiếp vào các đối tợng của hệ thống tuân theo các kiểu và các quy tắc đã đợc xác

định trong chính sách bảo vệ Một hệ thống kiểm soát truy nhập (hình 1.2) bao gồm các chủ thể (ngời dùng, tiến trình) truy nhập vào đối tợng (dữ liệu, chơng trình) thông qua các phép toán read, write, run

Hình 1.2 Hệ thống kiểm soát truy nhập

Các chính sách an toàn

Chính sách an toàn của hệ thống là các hớng dẫn ở mức cao, có liên quan đến việc thiết kế và quản lý hệ thống cấp quyền Nhìn chung, chúng biểu diễn các lựa chọn cơ bản của một tổ chức nhằm đảm bảo mục tiêu an toàn dữ liệu của chính tổ chức đó Chính sách an toàn định nghĩa các nguyên tắc cho phép hoặc từ chối các truy nhập

Các quy tắc truy nhập

Các thủ tục kiểm soát

Truy nhập bị

từ chối Truy nhập được phép

Sửa đổi yêu cầu

Các chính

sách an toàn

Yêu cầu

truy nhập