Đề cương cơ sở dữ liệu

 Nó áp dụng cho các thông tin có yêu cầu bảo vệ nghiêm ngặt trong các môi trường mà ở đó:  Dữ liệu hệ thống được phân loại  Một tập các tiên đề xác định các quan hệ được kiểm tra giữa

Chương 1: Tổng quan về an toàn thông tin trong CSDL

1.1 Các mối đe dọa có thể đến với CSDL là gì? (NTA)

Một hiểm hoạ có thể được xác định khi đối phương (người hoặc nhóm người) sd các kỹ thuật đặcbiệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan trọng do hệ thống quản lý Gồm đọc,sửa, xoá dữ liệu trái phép:

 Khai thác dữ liệu trái phép thông qua suy diễn thông tin được phép

 Sửa đổi dữ liệu trái phép

 Tấn công từ chối dịch vụ

 Người dùng lạm dụng quyền

 Tấn công leo thang đặc quyền

Các hiểm hoạ an toàn có thể được phân lớp, tuỳ theo cách thức xuất hiện của chúng, là hiểm hoạ

có chủ ý và vô ý (ngẫu nhiên)

Hiểm hoạ ngẫu nhiên: là các hiểm hoạ gây phá hỏng CSDL:

 Các thảm hoạ thiên nhiên (động đất, hoả hoạn, lụt lội ) có thể phá hỏng các hệ thống pầncứng, hệ thống lưu giữ số liệu, dẫn đến xâm pạm tính toàn vẹn và sẵn sàng của hệ thống

 Các lỗi pần cứng hay pần mềm có thể dẫn đến việc áp dụng các chính sách an toàn kođúng, từ đó cho pép truy nhập, đọc, sửa đổi dữ liệu trái phép, hoặc từ chối dịch vụ đối vớingười dùng hợp pháp

 Các sai phạm vô ý do con người gây ra, như nhập dữ liệu đầu vào ko chính xác, hay sdcác ứng dụng ko đúng, hậu quả cũng tương tự như các nguyên nhân do lỗi phần mềm haylỗi kỹ thuật gây ra

Hiểm họa cố ý: liên quan đến 2 lớp người dùng sau:

 Ngf dùng được pép là ngf có thể lạm dụng quyền, sd vượt quá quyền hạn được pép củahọ

 Đối phương là người, hay nhóm người truy nhập thông tin trái phép, có thể là nhữngngười nằm ngoài tổ chức hay bên trong tổ chức Họ tiến hành các hành vi phá hoại phầnmềm CSDL hay phần cứng của hệ thống, hoặc đọc ghi dữ liệu trái phép Tấn công của họ

có thể là virus, Trojan Horse, Trapdoor

1.2 Tìm hiểu các cấu hình xử lý CSDL(CSDL tập trung, phân tán, Client/Server) Các cấu hình này được áp dụng như thế nào trong thực tế (Chú ý: nêu rõ đặc điểm – bản chất

và vẽ hình minh họa) (TTA)

Mọi ứng dụng CSDL đều bao gồm 3 thành phần:

 Thành phần xử lý ứng dụng

 Thành phần phần mềm cơ sở dữ liệu (DBMS)

 Cơ sở dữ liệu (DB)

Các mô hình xử lý CSDL phụ thuộc vào định vị của 3 thành phần trên, có 3 mô hình chính là:

 Mô hình cơ sở dữ liệu tập trung (Centralized database model)

 Mô hình cơ sở dữ liệu phân tán (Distributed database model)

 Mô hình cơ sở dữ liệu Client/Server (Client/Server database model)

Mô hình cơ sở dữ liệu tập trung:

 Cả 3 thành phần: xử lý ứng dụng, phần mềm CSDL và CSDL đều nằm trên một máy

 Ví dụ các ứng dụng trên một máy sd pần mềm CSDL Oracle, CSDL nằm trong máy đó

Mô hình cơ sở dữ liệu phân tán:

 CSDL nằm trên nhiều máy khác nhau Khi máy chủ cần truy xuất dữ liệu, nó sẽ gọi đến cácmáy này, và cần quá trình đồng bộ dữ liệu

 Mô hình này phù hợp cho các công ty có nhiều chi nhánh khác

Mô hình cơ sở dữ liệu Client/Server

 Trong mô hình này CSDL nằm trên một máy gọi là Server Các thành phần xử lý ứng dụngnằm trên các máy Client

1.3 Nêu rõ đặc điểm của kiểm soát truy nhập MAC và DAC trong CSDL, nêu sự khác nhau giữa chúng Ứng dụng 2 chính sách này trong thực tế các hệ quản trị như thế nào? (Ngoan)

Kiểm soát truy nhập bắt buộc (MAC): hạn chế truy nhập của các chủ thể vào các đối tượng

bằng cách sd nhãn an toàn

 Nó áp dụng cho các thông tin có yêu cầu bảo vệ nghiêm ngặt trong các môi trường mà ở đó:

 Dữ liệu hệ thống được phân loại

 Một tập các tiên đề xác định các quan hệ được kiểm tra giữa lớp chủ thể và đối tượng, chophép các chủ thể truy nhập vào các đối tượng theo tiêu chuẩn an toàn Mô hình:

Kiểm soát truy nhập tùy ý (DAC): cho phép lan truyền các quyền truy nhập từ chủ thể này đến

chủ thể khác

 Nó chỉ rõ những đặc quyền mà chủ thể có thể được thực hiện trên các đối tượng của hệthống Các yêu cầu truy nhập được kiểm tra, thông qua một cơ chế kiểm soát tùy ý, truynhập chỉ được trao cho các chủ thể thỏa mãn các quy tắc trao quyền hiện có.

 Nó dựa vào định danh người dùng có y/c truy nhập (việc phân quyền kiểm soát dựa vàoquyền sở hữu) quản trị tập trung và quản trị phi tập trung

 Nó cần một cơ chế trao quyền phức tạp hơn nhằm tránh mất quyền kiểm soát khi lan truyềnquyền từ người trao quyền

 Nhược điểm: cho phép đọc thông tin từ 1 đối tượng và chuyển đến 1 đối tượng khác mà cóthể được ghi bởi chủ thể, (có thể lợi dụng chủ thể để lấy đọc và lấy dữ liệu của chủ thể đó)

So sánh MAC và DAC:

- Có phân mức nhạy cảm: người dùng và

đối tượng được phân mức nhạy cảm rõ

ràng

- Trao quyền và hủy bỏ quyền: do người

quản trị cao nhất nắm giữ và các chủ thể ko

thể trao quyền cho chủ thể khác (kiểu chính

sách trao quyền tập trung)

- Không có phân mức

Chủ thể có thể cấp phát và thu hồi quyềncủa chủ thể khác, đồng thời chủ thể vừađược cấp quyền lại có thể trao quyền chocác chủ thể khác (nếu được phép)

Trong thực thế, chúng được sử dụng kết hợp: MAC được dùng để kiểm soát trao quyền còn DACdùng để kiếm soát truy nhập trong các hệ quản trị

1.4 Thế nào là mô hình an toàn? Sự khác nhau giữa mô hình an toàn và chính sách an toàn.Tìm hiểu mô hình an toàn là Bell-Lapadula (Thùy)

Mô hình an toàn: là một mô hình khái niệm mức cao, độc lập phần mềm và xuất phát từ các đặc

tả yêu cầu của tổ chức để mô tả nhu cầu bảo vệ của một hệ thống

Một mô hình an toàn bao gồm:

 Chủ thể an toàn: là một thực thể chủ động (có thể là user hay các process…)

 Đối tượng an toàn: là một thực thể thụ động (có thể là file, CSDL, khung nhìn…)

 Hành động: là các thao tác mà chủ thể thực hiện lên đối tượng (các quyền)

Phân loại:

 Mô hình an toàn tùy chọn: cho phép lan truyền các quyền lên đối tượng này từ chủ thể nàysang chủ thể khác Đặc trưng của mô hình này được thể hiện thông qua mô hình ma trậntruy nhập Mỗi phần tử trong ma trận thể hiện quyền truy nhập của chủ thể lên đối tượng

 Mô hình an toàn bắt buộc: các hành động mà chủ thể được phép thực hiện lên đối tượng nào

đó được xác định thông qua các nhãn an toàn Đặc trưng của mô hình này được thể hiệnthông qua mô hình Bell-Lapadula

Sự khác nhau giữa mô hình an toàn và chính sách an toàn:

 Chính sách an toàn là một tập các hướng dẫn ở mức cao, định nghĩa các nguyên tắc, quyđịnh khi truy cập vào cơ sở dữ liệu

 Mô hình an toàn là mô hình khái niệm mức cao, thể hiện đầy đủ về các chính sách bảo vệcho cơ sở dữ liệu

Mô hình an toàn Bell-Lapadula: là mô hình chính tắc đầu tiên về điều khiển luồng thông tin.

Mô hình thực hiện nhiệm vụ đảm bảo tính bí mật, là mô hình tĩnh với mức an toàn không thay đổi

Người dùng được phân mức an toàn Clear(S), đối tượng được phân mức nhạy cảm Class(O).

 Thuộc tính của mô hình:

 Thuộc tính Not Read Up: một chủ thể S được phép truy nhập đọc đến một đối tượng Ochỉ khi: Clear(S) ≥ Class(O)

 Thuộc tính Not Write Down: một chủ thể S được phép truy nhập ghi lên một đối tượng Ochỉ khi: Clear(S) ≤ Class(O)

 Ưu: các nhãn an toàn của các chủ thể và đối tượng không bao giờ được thay đổi trong suốt

thời gian hoạt động của hệ thống

 Nhược: chỉ quan tâm đến tính bí mật, chưa chỉ ra cách thay đổi các quyền truy nhập cũng

như cách tạo, xóa các chủ thể, đối tượng

1.5 Các bước để thiết kế cơ sở dữ liệu (mô tả) Học và viết được (chính xác) những câu lệnh SQL cơ bản trong quá trình thiết kế CSDL (NTA)

Các bước để thiết kế cơ sở dữ liệu:

 Đặc tả vấn đề: tìm thực thể, ràng buộc và yêu cầu bài toán

 Xây dựng mô hình E-R: vẽ mô hình gồm tập thực thể E (thuộc tính) và quan hệ (R)

 Xây dựng mô hình CSDL logic: table, khóa, thuộc tính

 * * CREATE TABLE - tạo ra một bảng mới

 * ALTER TABLE - thay đổi cấu trúc của bảng

 * DROP TABLE - xoá một bảng

 * CREATE INDEX - tạo chỉ mục (khoá để tìm kiếm - search key)

 * DROP INDEX - xoá chỉ mục đã được tạo

 Lệnh Alter:

 * ALTER TABLE Employees

 * ADD email varchar(40) NULL

 Lệnh Drop sẽ hoàn toàn xóa table khỏi database nghĩa là cả định nghĩa của table và data bêntrong table đều biến mất (khác với lệnh Delete chỉ xóa data nhưng table vẫn tồn tại)

 * DROP TABLE Employees

 Lệnh Select

 * SELECT EmpID, Name

 * FROM Employees WHERE (EmpID = 10)

 Lệnh Insert

 * INSERT INTO Employees

 * VALUES (101, ‘Lan', ‘HN’,’lan@yahoo.com’)

Chương 2: Các cơ chế an toàn cơ bản

2.1 Tìm hiểu và mô tả một số pp xác thực hiện nay (Username và password, CHAP) (TTA)

Xác thực dựa trên User Name và Password:

 Người dùng sẽ được xác thực nếu Username và Password nhập vào có trong CSDL

 Là phương pháp xác thực phổ biến do nó đơn giản và chi phí thấp

 Phương pháp này ko bảo mật vì Username và Password truyền dưới dạng rõ trên đườngtruyền

 Một password đủ mạnh phải bao gồm:

 Ít nhất 8 ký tự

 Chứa ít nhất 3 trong 4 loại ký tự sau: Chữ thường, Chữ hoa, Chữ số, Ký tự đặc biệt

 Không liên quan đến username, login name

 Không phải là từ có nghĩa trong từ điển

Challenge Handshake Authentication Protocol (CHAP):

 CHAP là mô hình xác thực dựa trên username và password

 Khi user muốn login, server đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách(challenge message) trở lại máy tính User Lúc này máy tính User sẽ phản hồi lại user name

và password được mã hóa dưới dạng băm Server xác thực sẽ so sánh username và pass vừanhận được với danh sách trong CSDL, nếu trùng khớp, user sẽ được xác thực

2.2 Địa chỉ rào là gì? Ưu nhược điểm (Ngoan)

Địa chỉ rào: đánh dấu ranh giới giữa vùng nhớ dành cho hệ điều hành và vùng nhớ dành cho tiến

trình người dùng

Cơ chế dựa vào địa chỉ rào:

Cơ chế này kiểm tra: mỗi địa chỉ do chương trình tạo ra có tham chiếu đến vùng cao của bộ nhớhay không? Địa chỉ (do chương trình người dùng tạo ra) được so sánh với giá trị của địa chỉ rào, nếulớn hơn thì đây là tham chiếu chính xác tới vùng nhớ người dùng, nếu nhỏ hơn thì tham chiếu nàykhông hợp lệ chương trình bị dừng và thông báo lỗi

Ưu điểm: bảo vệ được vùng nhớ hệ điều hành tránh khỏi can thiệp của tiến trình người dùng.

Nhược điểm:

 Trong hệ đơn chương trình: chỉ có một tiến trình người dùng thì sẽ gây lãng phí cpu

 Trong hệ đã chương trình: địa chỉ rào không bảo vệ được vùng nhớ của người dùng này vớingười dùng khác

2.3 Tái định vị là gì, tái định vị động, tái định vị tĩnh có thể thực hiện trong những thời điểm nào? (Thùy)

Tái định vị là việc chuyển đổi từ địa chỉ logic của chương trình sang địa chỉ vật lý Với K là địachỉ rào, ta có:

Địa chỉ vật lý = K + địa chỉ logic

/////////////////////////////////////////////////////////////////////

2.4 Tìm hiểu 2 cơ chế phân trang, phân đoạn (bảng trang, bảng phân đoạn) và so sánh chúng (chú ý phải vẽ hình minh họa) Thế nào là phân mảnh nội vi, phân mảnh ngoại vi, cho ví dụ? (NTA)

Phân trang:

 Bộ nhớ vật lý và logic được chia thành các page có kích thước bằng nhau

 Cơ chế chuyển đổi địa chỉ dùng bảng trang (page table) do hệ điều hành quản lý

 Cho phép chia sẻ các trang giữa các tiến trình

 Một tiến trình có thể được nạp vào các trang không liên tục nhau

 Có phân mảnh nội vi

 Khi cần nạp một tiến trình vào bộ nhớ để xử lý, các trang của tiến trình sẽ được nạp vàonhững khung trang còn trống Một tiến trình có N trang sẽ yêu cầu N khung trang tự do

 Cơ chế phần cứng hỗ trợ chuyển đổi địa chỉ trong kỹ thuật phân trang:

 HĐH quản lý trực tiếp bảng trang này

 Mỗi pần tử trong bảng trang chứa địa chỉ bắt đầu của một khung trang trong bộ nhớ vật

lý

 Cơ chế chuyển đổi:

 Mỗi địa chỉ logic do CPU sinh ra bao gồm 2 phần (P n , P 0) trong đó :

 P n là số hiệu trang (trong không gian địa chỉ logic) được dùng như chỉ mục đến phần

tử tương ứng trong bảng trang

 P 0 là địa chỉ tương đối trong trang (trong không gian logic)

 Giả sử Sp là kích thước của một trang (hay khung trang - thường là 216byte = 64 KB), khi

đó ta có địa chỉ vật lý tương ứng với địa chỉ logic trên là L= PA= P n *Sp +P 0

 Kích thước của một trang do phần cứng quy định

 Chia sẻ bộ nhớ trong cơ chế phân trang:

 Ưu điểm của cơ chế phân trang là cho phép chia sẻ các trang giữa các tiến trình

 Sự chia sẻ được thể hiện ở chỗ có nhiều địa chỉ logic cùng ánh xạ đến một địa chỉ vật lýduy nhất

 Có thể áp dụng kỹ thuật này để cho phép có nhiều tiến trình cùng chia sẻ các trang chứađoạn mã - code chung, với dữ liệu riêng của từng tiến trình đó

Phân đoạn:

 Bộ nhớ vật lý và logic được chia thành các segment có kích thước khác nhau

 Cơ chế chuyển đổi địa chỉ dùng bảng phân đoạn ( segment table) do hệ điều hành quản lý

 Cho phép chia sẻ các phân đoạn giữa các tiến trình

 Bộ nhớ tổ chức theo kiểu phân vùng động, các phân đoạn được cấp phát động

 - Một tiến trình có thể được nạp vào các phân đoạn không liên tục nhau.

 - Phân mảnh ngoại vi

 Cơ chế chuyển đổi địa chỉ:

 Sử dụng bảng phân đoạn (segment table) để ánh xạ địa chỉ logic sang địa chỉ vật lý.

 Mỗi thành pần trong bảng pân đoạn bao gồm 1 thanh ghi cơ sở và một thanh ghi giới hạn.

 Thanh ghi cơ sở luu trữ địa chỉ vật lý nơi bắt đầu phân đoạn trong bộ nhớ vật lý

 Mỗi địa chỉ logic do CPU sinh ra là một bộ đôi (s, d):

 s là số hiệu phân đoạn: dùng nh chỉ mục tới phần tử tơng ứng trong bảng phân đoạn.

 d là địa chỉ tương đối trong phân đoạn: có giá trị trong khoảng từ 0 đến giới hạn chiều

dài của phân đoạn Nếu địa chỉ này hợp lệ sẽ đợc cộng với giá trị chứa trong thanh ghi cơ

sở để phát sinh địa chỉ vật lý

 Chia sẻ phân đoạn:

 Tương tự như trong cơ chế phân trang, cơ chế phân đoạn cũng cho phép chia sẻ các phânđoạn giữa các tiến trình Tuy nhiên các tiến trình có thể chia sẻ với nhau từng phần củachương trình (ví dụ: thủ tục, hàm) không nhất thiết phải chia sẻ toàn bộ chương trìnhnhư trong trờng hợp phân trang

So sánh phân trang và phân đoạn (chắc 1 là hỏi cái trên 2 là hỏi cái nay thôi):

Hiện tượng phân mảnh nội vi và ngoại vi

 Phân mảnh ngoại vi: là hiện tượng khi các khối nhớ tự do (trong bộ nhớ vật lý) đều quá

nhỏ, không đủ để chứa một phân đoạn (trong bộ nhớ logic), phân mảnh ngoại vi xảy ra khimột thuật toán phân bổ bộ nhớ năng động phân bổ một số bộ nhớ và một phần nhỏ còn lạitrên không thể được sử dụng hiệu quả Nếu quá nhiều phân mảnh bên ngoài xảy ra, số lượng

bộ nhớ có thể sử dụng được giảm mạnh

 Ví dụ: Các tiến trình (trong không gian logic) có yêu cầu các phân đoạn với dung lượng

ít nhất là 25856 KB, nhưng tất cả các phân đoạn trống trong bộ nhớ vật lý đều nhỏ hơndung lượng này, do đó chúng sẽ bị lãng phí vì không thể dùng cho bất kỳ tiến trình nào

 Phân mảnh nội vi(internal fragmentation): là lãng phí không gian bên trong các khối cấp

phát bộ nhớ do hạn chế về kích thước cho phép của khối đã cấp phát Cấp phát bộ nhớ cóthể lớn hơn một chút so với bộ nhớ yêu cầu, sự khác biệt kích thước bộ nhớ nội bộ để phânvùng một, nhưng không được sử dụng

 Ví dụ: Tiến trình A yêu cầu 450KB, nhưng lại được cấp 460 KB, do đó lãng phí mất

10KB

2.5 Nêu biện pháp bảo vệ bộ nhớ dựa vào thanh ghi (TTA)

Bằng cách bổ sung vào cấu trúc phần cứng của máy tính một thanh ghi cơ sở (base register) vàmột thanh ghi giới hạn (limit register)

 Thanh ghi cơ sở: chứa địa chỉ bắt đầu của vùng nhớ cấp phát cho tiến trình

 Thanh ghi giới hạn: lưu kích thước của tiến trình

Thanh ghi tái định vị chứa giá trị địa chỉ vật lý nhỏ nhất; thanh ghi giới hạn chứa dãy các địa chỉlogic Với các thanh ghi tái định vị và giới hạn, mỗi địa chỉ logic phải ít hơn thanh ghi giới hạn; MMUánh xạ địa chỉ logic động bằng cách cộng giá trị trong thanh ghi tái định vị Địa chỉ được tái định vịnày được gửi tới bộ nhớ

Ưu điểm:

 Nhờ sd thanh ghi cơ sở/giới hạn có thể bảo vệ vùng nhớ của tiến trình người dùng

 Hỗ trợ tái định vị động: nhờ có thanh ghi cơ sở nên có thể di chuyển chương trình trong bộnhớ khi chúng xử lý bằng cách thay đổi giá trị trong thanh ghi cơ sở

Nhược điểm: Chỉ bảo vệ được vùng nhớ bên trong của tiến trình => đoạn lệnh có thể bị ghi đè

 Chương trình = 1 đoạn lệnh + 1 đoạn dữ liệu

 Nếu 2 đoạn này nằm chung một vùng nhớ, giả sử trong 1 lệnh chứa một biến được gán chomột giá trị nằm ngoài vùng dữ liệu

2.6 Tìm hiểu các mức bảo vệ của tiêu chuẩn DoD (Ngoan)

Tiêu chuẩn với 4 phần phân cấp:

A1 Kiểm chuẩn hình thứcB3 Các miền an toànB2 Bảo vệ có cấu trúcB1 Bảo vệ an toàn có gán nhãnC2 Kiểm soát truy cập

C1 Bảo vệ tùy chọn

D Bảo vệ tối thiểu

Phân loại các mức bảo vệ:

Mức D - Không có yêu cầu

- Lưu thông tin về User

- Sd lại đối tượng

- Kiểm toán SQL server

Mức B

Lớp B1

- C2

- Nhãn an toàn đối tượng

- Kiểm soát MAC

- Oracle chạy trong unix

- Sybase chạy trong unix

- Oracle chạy trong GEMSOS

Chương 3 Thiết kế CSDL an toàn

3.1 Nêu sự khác nhau giữa hệ điều hành và hệ quản trị CSDL (Thùy).

data, time, context, history

- Ko có tương quan ngữ nghĩa

Siêu dữ liệu

- Siêu dữ liệu cung cấp thông tin về cấu trúc của dữ liệu như: table, view, rows…

- Không có các siêu dữ liệu

Đối tượng

logic và vật lý

- Chứa các đối tượng logic như:

table,view, index… và chúng độc lậpvới các đối tượng của OS

- Chứa các đối tượng vật lýnhư: file, memory, process…

Multi-datatypes

- Có rất nhiều kiểu DL, do đó cácCSDL cũng yêu cầu nhiều chế độ truynhập như: chế độ thống kê, quản trị…

- Có các truy cập vật lý như:read, write, execute…

Đối tượng

động và tĩnh

- Quản lý cả các đối tượng có thể đượctạo ra động như: views hay SQL query

và ko có các đối tượng thực tương tác

Quản lý các đối tượngtĩnh và tương ứng với các đốitượng thực