Một số vấn đề về an toàn và bảo mật cơ sở dữ liệu

Việc kết nôi vào mạng máy tính hết sức đơn giản, chỉ cần một đường diện thoại là đủ, Khi đã đãng nhập vào mạng, máy lính chia xe tài nguyên của mình, đồng thời sứ dụng tài nguyên của các

ơ im m g 1: VẤN ĐỂ AN TOÀN THÔNG T IN 4

1.1 Các khái niệm về an toàn thòng tin 4

1.1.1 Các hiểm hoạ đối với máy tính và dữ liệu nói chune 4

1.1.2 Những vấn dề an ninh trong CSDL 4

1.1.3 Các hiện pháp an ninh 7

1.2 Các cơ chẻ an ninh 11

1.2.1 Hệ điều hành, các chức năng an ninh của HĐH 11

1.2.2 Nhận dạng và xác thực người dùng 14

1.2.3 Các chức năng khác 16

1.3 An ninh mạng máy tính 18

1.3.1 Kiến trúc mạng máy tính 18

1.3.2 Các hiểm hoạ trong mạng 22

1.3.3 Các biện pháp an ninh mạng 23

1.4 Các vấn đẻ an ninh khác 27

1.4.1 An ninh máy tính 27

1.4.2 An ninh CSDL 27

1.4.3 An toàn dữ liệu 28

1.5 Mật khẩu 28

1.5.1 Tiêu chuẩn mật khẩu an loàn 28

1.5.2 Phương pháp lạo mật khẩu 29

1.5.3 Các tấn công dò tìm mậl khẩu 30

1.5.4 Các biện pháp hão vệ mật khẩu 31

1.6 Chúc nâng an ninh trong một so HĐH 33

1.6.1 IBM MVS 33

1.6.2 UNIX 35

1.6.3 IBM VM/SP 36

1.6.4 Windows XP 38

M Ụ C L Ụ C LỜI MỞ ĐẦU 1

2.1 Một sỏ mó hình an ninh hệ điểu hành 40

2.1.1 Mô hình an ninh Bell-La Pađula 40

2.1.2 Mô hình an ninh Biba 46

2.1.3 Mô hình an ninh Dion 51

2.2 Một số ITÌỎ hình an ninh CSDL 52

2.2.1 Mô hình an ninh Wood et al 52

2.2.2 Mô hình an ninh Sea View 60

2.3 Kết luận 75

Chương 3: VẦN t)Ể MẢ HOÁ l ) ữ LIỆU 76

3.1 Các loại mã hoá 76

3.1.1 Mã hoá đối xứng (mã hoá cổ điển) 76

3.1.2 Mã hoá không đối xứng (mã khoá cổng khai) 78

3.2 Hệ mã hoá DES 79

3.2.1 Thuâl toán mã hoá DES 81

3.2.2 Các tranh luận về DES 88

3.2.3 Các điếm yếu của DES 89

3.2.4 Các chê dộ hoại động của DES 93

3.2.5 Triple DES 96

3.3 K ết luận %

Chương 4: ỨNG DỤNG 97

4.1 Chương trình minh hoạ 97

4.1.1 Giới thiệu phán mềm kế toán MISA AD 5 0 97

4.1.2 ÜC xuâì biện pháp háo mật CSDL của MISA 98

4.2 Đánh giá và kết luận 103

4.2.1 Đánh giá 103

4.2.2 Kết luận 103

PHẦN KẾT LUẬN 104

TÀI LlỆl' THAM KHẢO 105

PHỤ LỤC

Giải thích một số thuật ngữ trong luận vãn.

CSDL

HDH

MAC (Mandatory Access Control)

DBMS (Database Management System)

TCB (Trusted Computing Base)

Hệ quản trị CSDL

Cơ sở tính toán tin cậy trội hơn

Mức rõ Cảnh nhìn

Ngày nay, hệ thống máy tính dã phát tricn hết sức mạnh mõ, các máy lính đơn lẻ trước đây đã liôn kết thành những mạng máy tính, nhỏ là trong giới hạn một đim vị, rộnẹ hơn là mội (hành phố, một nước, rộng h(m nữa là khắp loàn cầu Việc kết nôi vào mạng máy tính hết sức đơn giản, chỉ cần một đường diện thoại là đủ, Khi đã đãng nhập vào mạng, máy lính chia xe tài nguyên của mình, đồng thời sứ dụng tài nguyên của các máy trong mạng.

Với sự phát triển của mạng máy tính như vậy, việc bảo mật thông tin (đặc biệt là CSDL) trong máy lính, trên đường truyền, trên mạng là hết sức quan trọng.

Thông tin trong máy lính hoặc trên đường truyền cần đám báo 3 yêu cầu cơ bàn là:

- Bí mật: Thôrm tin khỏng bị lộ cho người không có trách nhiệm.

- Toàn vẹn: Thông tin không bị thay đổi nong quá trình sử dụng.

- Sắn sàng: Cung cấp kịp thời, đáp ứng yêu cầu người sử dụng.

Việc nghiôn cứu an toàn và bảo mật CSDL trong các cơ quan, doanh nghiệp là cần thiết Vấn đề càng trờ nên cấp thiết khi kho dữ liệu ngày càng nhiều và viôc truyền tin trôn mang ngày càng gia tăng vì các muc đích giao dịch hành chính và thương mại.

Trên thế giới việc nghiên cún và ứng dụng đã được tiến hành từ lâu; Tại Việt Nam, cả nghiên cứu và ứng dụng mới chỉ bắt đáu.

Hiểm hoạ đối với hệ thống máy tính được định nghĩa như là một sự cố tiồm tàng có ác ý, có thể tác đông khồng mong muốn lên tài sản và tài nguyên Hắn liền với hệ máy tính đó Các nhà nghiên cứu đã chia hiểm hoạ thành 3 dạng khác nhau: lộ tin, xâm phạm tính toàn vẹn và lừ chối dịch vụ.

Trong môi trường CSDL, những ứng dụng và người dùng khác nhau cùng khai thác dữ liệu, thông qua hệ quản trị CSDL Qua quá trình khai thác

L Ờ I M Ỏ ĐẦU

Mộ! sô ván dề về An toàn và bảo mật CSDL - Pliạm lỉữu Duyên

dữ liệu có thể máu ihuấn nhau tuỳ ihuộc chương trình ứng dụng và cấu trúc dữ liệu Đổng thời, những hiểm hoạ (rử nên nghiổm trọng hơn và quan trọng là các hiểm hoạ này phát sinh trong môi trường CSDL.

Sự an ninh đạt được trong môi tixrờng CSDL có nghĩa là nhận ra các hiểm hoạ, lựa chọn đúng đắn cách và cơ chế giải quyốl các hiểm hoạ đó.

Bào vệ CSDL tránh kliòi những hiểm hoạ có nghĩa là hảo vệ lài nguyôn, lưu trữ dữ liệu chi tiêt Việc hảo vệ CSDL có thể đạt được, thông qua các biện pháp an ninh như: kiểm soát lưu lượng, kiểm soái suy diỗn, kiểm soái truy nhập Cùng với nó, kỹ thuật mật mã có thể được sử dụne, với việc lưu trữ dữ liệu dưới dạng mã hoá với khoá mã bí mật, hí mật về thông tin được bảo đám

vì tạo ra dữ liệu mà mọi người có thế thấy, nhưng chi người dùng hợp lệ mới

có khả năng hiểu.

An ninh và bảo mặi CSDL d ự a trôn các vấn đề về an ninh và bảo mật máy tính (phần cứng), hệ điều hành, hệ quán trị CSDL, mã hoá Các hiểm hoạ

đc doạ sự an ninh CSDL hầu hết hắt nguồn lừ bên ngoài hệ thống.

Các phán mềm quán lý được sử dụng ử nước ta hiện nay, nhìn chung văn còn nhiổu khiếm khuyếl trong bảo mật, CSDL dỗ bị xâm nhập, thông tin

có thể bị lộ với nhữnsí người khổng được cấp quyền.

Luận vãn tập trung nghiên cứu an ninh và báo mậl CSDL bằng mã hoá

dữ liệu, hăng một số mô hình an ninh CSDL.

Luận vãn gồm 4 chương:

Chưtmg 1: Vấn đổ an loàn Ihông tin.

Tim hiểu về vấn đề an loàn thông tin nói chung: các khái niệm về a n

(oàn, a n n i n h về phần cứng, hệ điều hành, an ninh mang, a n ninh máy tính, a n

ninh CSDL, an ninh dữ liệu, các phương thức an ninh, các cách tân công và biện pháp phòng chống Mối quan hệ giữa hão mật và sự tiện dụng, nhìn chung độ an loàn càng cao thì sự tiện dụng càng giảm.

Một số vàn dề về An toàn và báo mật CSDi, - Pliụtn Hữu Duyên

Chươnu 2: Vấn đé an ninh CSDL.

An ninh CSDL cũng chính là an ninh hệ điều hành, vì vậy nghiên cứu gổm an ninh của HĐH và an ninh hệ quản trị CSDL.

Chuông 3: Vân đề mã hoá dữ liệu.

Nghiên cứu các hệ thống mã hoá: CƯ sở toán học ihuậl toán mã hoá và giải mã, các tấn công giải mã, độ an toàn, tập trung nghiên cứu hệ thống mã hoá DES và các chế độ hoạt động của chúng.

Chưtmg 4: úng dụng.

Giới thiệu phần mềm kế loán iMISA, phân tích biện pháp hảo mật CSDL của hệ thống kế toán MISA (sử dụng hệ quản trị CSDL VisualFox), những hạn chế trong mật khẩu bảo vệ chương Irình (có thổ dễ dàng truy nhập vào hệ thống kế toán của bất cứ đơn vị nào có sử dụng MISA).

Úng dụng việc báo vộ CSDL của hệ ihông kế toán MISA bằn£> mã hoá

dừ liệu, sử dụng các chương uình có sẩn như Windows XP, một số chương trình dùng mã hoá đóng gói ihư<mg mại, giới thiệu chương trình mã nguồn mở

Mộl sô vấn dề vé An loàn vù há tì ttiậl CSDL - Phạm Hữu Duyên

Chương 1:

1.1 Các khái niệm ve an toàn thòng tin.

Thông tin được lưu trữ trong máy tính hoặc hệ ihống, vì vậy nếu xám nhập được vào hệ thống lliì có ihể lấy được thông tin.

1.1.1 Các hiểm hoạ đối với máy tính và dữ liệu nói chung.

Cho đến nay, (rong an toàn máy tính không định nghĩa mộl cách nhất quán khái niệm hiểm hoạ Hiểm hoạ đối với một hộ thống máy tính được định nghĩa như là sự cố liềm tàng có ác ý, hay nói cách khác đó là những tác động không mong muốn lôn tài sán và tài nguyên gắn liền với hệ máy tính đó.

Các nhà nghiên cứu đã cho rằng các hiểm hoạ được chia thành 3 dạng

eơ hán là: lộ tin, toàn vẹn và (ừ chối dịch vụ.

- Hiểm hoạ lộ tin: Thông tin được cất giữ trong máy tính hoặc trôn đường truyền bị lộ cho người không có trách nhiêm.

Đây là vấn đổ được quan tâm rất lớn trong an loàn máy tính Trôn thực

lế phần lớn các nghiên cứu và phái triển trong an toàn máy tính đều tập trung vào hiểm ho ạ này.

- Hiểm hoạ xâm phạm tính toàn vẹn: Thông tin bị thay đối trái phép irong quá trình sử dụng.

- Hiểm hoạ lừ chối dịch vụ: Ngăn cản người dùng iruy nhập dữ liệu hoặc sử dụng lài nguyên.

1.1.2 Những vấn dé an ninh trong CSDL:

Cơ sở dữ liệu (CSDL) là một tập hợp dữ liệu và một tập các qui tắc tổ chức dừ liệu chi ra các mối quan hệ giữa chúng Thông qua các qui tắc này, nụưừi sử dụng mô lả khuôn dạnụ logie cho dữ liệu Người quán trị CSDL là

Chương l: Vấn dế an toàn thông tin - phạm Hữu Duyên

n g ư ờ i xác định các qui tắc tổ chức và kiểm soái, cấp quyền truy nhập đến các phần của dữ liệu Người sử dụng lương lác với CSDL thông qua hệ quản trị CSDL (DBMS).

An ninh đạt được trong môi trường CSDL có nghĩa là nhận ra nguy cơ

và lựa chọn đúng đắn cách và cơ chế ẹiải quyết.

Những hiểm hoạ đối vói CSDL.

Trong CSDL hiểm hoạ được dịnh nghĩa như là các tác nhân không thán

thiện, hoặc vô V hoặc sử dụng kv (huậl đặc biệt có thổ làm lộ hoặc sửa đổi

ihông tin được hệ (hống quàn lý.

Sự xâm phạm tới an ninh CSDL bao gồm đọc trộm, sửa chữa hoặc xoá

dữ liệu Hậu quả của sự xàm phạm là các hiểm hoạ, cũng được chia thành 3 nhóm:

- Lộ tin: do những người dùng không hợp lệ truy nhập đọc dữ liệu, bao gồm cả việc lẩy được bí mật hằng việc suy diễn từ các thông lin dược phép.

- Sửa chữa dữ liệu khổng hạp pháp: bao gồm tất cả những gì xâm phạm đến tính toàn vẹn của dữ liộu.

- Từ chối dịch vụ: Ngăn cản người dùng Iruy nhập dữ liệu hoặc sử dụng lài nguyên.

Ngoài ra, hiểm hoạ cũng có thổ được phân loại theo cách chúng cỏ thổ xảy ra, đó là khôníí cố ý và cổ' ý.

Không cố ý, đó là các rủi ro nhir: Thiôn tai: động đất lụt, hoả hoạn, có ihể tác động đốn hệ thống và dữ liệu: Lỗi hoặc ihiếu sót kỹ ihuật Irong phần cứng hoặc phần mềm dẫn đến truy nhập không hợp pháp; Lỗi của con người xâm phạm khỏng cố ý.

Cố ý: Người sử dụng: nhữnti người có thể lạm dụng đặc quyền và uỷ quyền của mình đổ gây nôn các hiểm hoạ; Hành động thù địch: lạo ra virus, irojan horse hoặc các cửa sập dể lấy cắp (hông tin với mục đích gian lận.

Chương ì: Vấn dề an toàn íhông tin - Phạm lỉữu Duyén

Những yéu cầu bảo vệ CSDL:

Bảo vệ CSDL tránh khỏi nhừnt: hiểm hoạ có niíhĩa là báo vệ lài rmuyên, lưu trữ dữ liệu tránh khỏi việc đọc, cập nhật không hợp lệ một cách vô tình hay cố ý Những yêu cầu bảo vệ CSDL hao gồm:

- Bảo vệ tránh n h ừ n ụ iruy nhập không được phép: Chỉ cho phcp những người dùng hợp lệ truy nhập tới CSDL Các truy nhập đòi hỏi phải được hệ quản trị CSDL kiểm soát để chống lại những người dùng hoặc ứng dụng không dược phép Việc kiểm soát truy nhập CSDL phức tạp hơn nhiều so với quán lý file của HĐH.

- Bảo vệ tránh suy diễn: Suy diễn là khả năng thu được các thông tin hí mật từ những dữ liệu không bí mậi, dược hình thành từ việc thống kê, do đó người dùng phải ngăn ngừa việc truy tìm tới các thông tin cá nhân bắt đầu từ việc thống kê thu ihập thông tin.

- Toàn vẹn của CSDL: bảo vệ CSDL khỏi các truy nhập không đ ư ợ c

phép, lừ đó có thể thay đổi nội dung dữ liệu Việc hảo vệ, một mặt thông qua

hộ thống kicm soát chính xác, các thủ tục sao lưu dự phòng và phục hồi khác nhau của DBMS Mặl khác ihồng qua ihủ lục an ninh dặc biệl.

- Toàn vẹn hoại động của dữ liệu: ổn định về logic của dữ liệu trong CSDL trong khi xày ra tranh chấp.

- Toàn vẹn ngữ nghĩa của dữ liệu: hảo đảm tính ổn định logic của việc chính sửa dữ liệu như sự loàn vẹn bắt buộc.

- Kế toán và kiểm toán: gồm khả năng ghi lại tất cả các truy nhập tới dữ liệu Đây là công cụ được dùng bảo đảm lính toàn vẹn dữ liệu vồ mặt vật lý.

- Quản lý và b ả o vệ các dữ liệu nhạy cảm: CSDL có thể chứa các dữ liệu nhạy cảm, không được công khai Một vài CSDL chí chứa các dữ liệu nhạy cám (V í dụ CSDL quân sự) Trong khi một số CSDL khác lại hoàn loàn cổng khai (V í dụ CSDL Ihư viện) CSDL pha trộn bao gồm cả dữ liệu nhạy cãm và dữ liệu công khai thì vấn đề bảo vệ phức lạp hơn nhiều.

Chương I : Vấn dê an toàn thòng tin - Phạm IIữu Duyên

- Rảo vệ đa mức: thiết lập yêu cầu h à o vệ, thông tin có thổ được phân ihành các mức hảo vệ khác nhau, ở đó mức nhạy cảm có thể khác biệt trong các mục của cùng bản ghi hoặc cùnc thuộc tính giá irị; Phân chia theo lớp các mục thônụ tin khác nhau, phân chia truy nhập tới mục đ(m của bản ghi trong phân lớp của chúng.

chương trình Việc chuyển thòng tin xuất hiện theo các kênh được quyền, các kênh hộ nhớ và các kônh chuyển đổi Các kênh được quyền cung cấp thông tin

ra, qua các hoạt động được phép nhu soạn thảo hoặc dịch ỉile Kênh bộ nhớ là vùnụ nhớ, ở đó thông tin được lưu trữ hởi chương trinh và có Ihế đọc được bằng các chương trình khác Kênh chuyển đổi là kênh liên lạc trên cơ sở sử dụng tài nguyên hệ (hống không bình thường cho liôn lạc giữa các đối tượng của hệ ihống.

Tuy nhiên các hảo vệ này lại không có tác dụng đối với những người dùng khổng irực tiếp như xâm nhập qua mạng mà chủ nhân đã mừ sẩn.

- Kiểm soát dòng (lưu lượng): điều c h ỉn h phân hố ihông tin trong đối lượng có khả năng truy nhập Dòng xuất hiện giữa 2 đối iượne X và Y khi có irạng thái “đọc” giá trị từ X và ‘'ghi"’ giá trị vào Y Kiểm soái dòng là kiếm tra các thông tin chứa trong một vài đối tượng cỏ bị rò ri sang đổi tượng khác hay không Nếu có, người dùng sẽ không trực tiếp nhận được trong Y những gì anh la không nhận được trực tiếp từ X, như vậy thổn‘4 tin đã bị lộ.

Chương ĩ: Vân dề an toàn ihông tin - Phạm Ilừu Duyên

Chính sách kiểm soát dòng đòi hỏi nhận được dòng qua việc ghi hoặc điều chỉnh Việc vi phạm dòng xuất hiộn qua yêu cẩu chuyển dữ liệu giữa hai

đối lượng trôn cơ sở nhập vào dòng, việc chuyển như vậy là không được phép

Cơ chế kiểm soát sẽ lừ chối các yêu cầu đó.

Thường vấn đồ kiểm soát dòng phân ánh việc phân lứp các yếu tổ' hệ

thốniỊ, đó là chủ thổ và đối lượng Hoạt động “đọc” và “ghi” trong đó là hợp lệ

liên cơ sở mối quan hệ irong lớp Đối tưựng ở lớp cao hơn được bảo vệ hơn khi truy nhâp “đọc” so với đối lượng lớp thấp hơn: ở đây, kiổm soát dòng loại

hò nhữnụ, vi phạm hiện tại về ihône lin chuyển cho lớp thấp hơn.

- Kiem soát suv diễn: Theo Denning và Schlorer (1983) kiểm soái suy điển nhằm hảo vệ dữ liệu khỏi các truy nhập gián tiếp Điéu này xảy ra khi

Các giá trị ihoá mãn điêu kiện của câu lệnh sẽ bị lộ ra, khi đó sẽ biếi

được giá uị của thuộc tính khác mà CSDL muốn giữ bí mật.

(2) Dữ liệu tưcmg quan: Là kônh suy diễn điển hình, trong đó dừ liệu X

dược phép truy nhập có liôn hệ ngữ nghĩa với dữ liệu Y cẩn hảo vệ.

Ví dụ: Thunhap(Y) = Luong(Xl) - Thue(X2) Nếu như thông tin về lươne và thuế bị lộ thì việc hảo vệ Thu nhập không có nghĩa.

(3) Mất dữ liệu: Là kênh suy tliỗn cho người dùng biết sự có mặt của lập

dừ liệu X, đặc biệt người dùm; có thể biết tên đôi tượng, qua đó có thể truy nhập đến ihổng tin chứa trong đó.

Chương l : Ván dé an toán thòng lin - Phạm ììừu Duyên

- Kien) soát triiv nhập: là việc đáp ứng đảm bảo tất cả các truy nhập trực tiếp đến đôi tượng hệ thông luân theo cách và chính sách bào vệ dữ liệu

Hệ thống kiểm soát iruy nhập (hình 1.1) gồm người sử dụne và liến trình, các

chủ thổ nàv khai ihác dữ liệu, chương trình thônẹ qua các phép toán Chức

năng hệ thống kiểm soát iruy nhập gồm 2 phần:

(1) Tập chính sách và qui tắc truy nhập: Đặt ra kiểu khai thác thông tin

lưu Iñr trong hệ thống.

(2) Tập các Chù tục kiểm soái (cơ ch ố an ninh): kiểm tra yêu cầu truy

nhập, cho phép hay từ chối yêu cáu khai thác.

Hình 1.1 Hệ thống kiểm soát truy nhập

Chính sách an ninh: Liên quan đến thiêì kế và quản lý hộ thống cấp

quyền khai thác Một cách thông ihường dê bảo đàm an ninh dữ liệu là định

lên các đối tượng tham gia hệ Ihống và xác định quyền Iruy nhập cho đổi

tượng.

Tên (Identifier): gán cho đối tượng một tên hay một số theo một cách

thống nhât không có sự trùnẹ lặp giữa các tên.

ơv quyén{Aulhrizalion): Là quyền khai ihác mội phép toán của một chủ

thể Iren mội đối tượng.

Chương í: Vấn (lé an toàn thông tin - Phạm Hữu Duyên

Có hai kiến trúc kiổtn soát iruy nhập:

Hô thống đỏng: Chỉ các yêu cầu có quyền truy nhập mới được phép.

Hệ ihống mở: Các truy nhập không bị cấm thì được phốp.

Quản lý quyên truy nhập: Chính sách quàn lý quyổn truy nhập có thể được dùng trong điểu khiến tập trung hoặc phân tán, việc lựa chọn này cũng là một chính sách an ninh, có Ihể kết hợp để có chính sách phù hợp.

+ Phân cấp uỷ quyền: Cơ chế kiểm soát được thực hiện tại nhiều trạm, diồu khiển tập trung điều khiển các trạm.

+ Chọn người sở hữu: khi mô tả quan hệ, mô tả ne ười sở hữu và đảm hảo quyền khai (hác dừ liệu của họ.

+ Quyct định tập (hố: có tài nguyên do mỏl nhóm sớ hữu, khi có yôu Cầu iruy nhập cần dược sự đồng ý của cả nhóm.

Chính sách kiểm soát truy nhập: Thiết lập khả năng và chỉ ra cách các chủ thể và đối tượng Irong hệ ihống được nhóm lại, để dùng chung các kiểu truy nhập, ngoài ra cho phép thiết lập việc chuyển quyền truy nhập.

Chính sách phán cấp: có thổ coi là chính sách kiểm soát dòng ihồng tin vì ngăn ngừa dòng Ihông tin đi vổ các đối tượng có mức phân loại thấp hơn.

Hệ ihống có các mức phân loại:

0 = thường (Unclassified - U).

1 = mật (Confidential - C)

Chương ỉ: Ván (lé an (oàn thòng tin - phạm Hữu Duyên

2 = Tối mật (Secret - S)

3 = Tuyệt mậl (Top Secret - TS)

1.2 Các cơ chế an ninh.

1.2.1 Hệ điều hành, các chức nùng an ninh của HĐH.

- Mỏ hình an ninh: là sự thiết lập trạng thái được uỷ quyền Irừu lượng của hệ thống an ninh, nếu như hệ thống có Ihê hoạt động được, thì đó là sự chấp nhận an toàn theo các nguyên tắc cúa mó hình an ninh.

Sự (hông nhất giữa trạng thái vật ]ý của hệ ihống và trạng thái được uỷ quyền của mô hình được đảm hảo bằng cơ chế an ninh.

- Cơ chê an ninh được cung cấp cho hệ (hống xử lý và cho các ứng dụng dựa vào các chức năng an ninh khả dụng trong hệ điều hành (HĐH) An ninh trong HĐH được nghiên cứu lừ đầu những năm 70 và đã có những kết cjLlá gây ấn lượng (Lampson 1974; Harrison et al 1976; Lampson et a) 1977; Hsiao and Kerr 197X) là căn cứ cho an ninh CSDL Tuy nhiên với những ứníi dụng CSDL thì các chức năng hảo VÇ mà HĐH cung cấp khônü đủ đáp ứng đổ

hỗ trợ chính sách an ninh CSDL Do đó nảy sinh vấn đồ cần đề xuất tiôu chuẩn

an ninh định hướng cho mở rộng cơ chế an ninh HĐH, hoặc thiết kế HĐH an loàn hoặc sử dụng phần mom với mục đích an toàn.

- Hệ điêu hành thường được nhìn nhận n h ư sự phân cấp trừu tượng về các chức năng, khởi động ở mức Ihấp nhất của liên kết vật lý và các ihành phần diện tử.

Bên trên mức phổn cứng, các mức trừu lượng khác của hẹ thống đều hirÓTig lới mức ứng dụng Mỗi mức quản lý và kiểm soát tài nguyên mà nó sở hữu ban đẩu, liên hộ với các máy ảo, hoạt dộng thông qua ngôn ngừ cúa mức.

Kiến trúc tiêu hiểu của hệ thống tính toán bao gồm các phần mô tả irong hình 1.2.

Chương í : Vấn (lẻ an toan thông tín - Phạm Hữu ìhiyèn

HĐH nẳm giữa mức các ứng dụng và mức máy, đóng vai trò giao diện giữa chương irình ứng dụng và lài nguyên hệ Ihống HĐH quán lý tất cả tài nguyên hệ thống, tối ưu hoá khả năng sử dụng tài nguyên cho các trình ứng đụnụ khác nhau.

Aplieations Operating system Assembler machine Firmware machinc Hardware machine Hình 1.2: Các mức của hệ thống xử lý

Chức năng HĐH có thổ tóm tắt như sau:

- Tiến trinh và quản lý tiến trình: các chức năng này được nhân HĐH cung cấp.

- Quản lý tài nguyôn: phân phối tài nguyên hệ thống cho các ứiiíi dụng

có yêu cầu sử dụng.

- Giám sát: giao diên trực tiếp với các ứng dụng, hỗ trợ thực thi các

nu, ôn nu ừ lập lịch tiến trình dáp ứng các chương trình đang hoạt động, loại bỏ các sử dụng hệ thông tài nguyên không hợp lệ, phân phối vùng nhớ dành cho các chương trình hoặc giữa chương trình và HĐH.

Các HĐH được liên lục phát triển, từ những chương trình đơn giản để kiểm soát Irao đổi giữa các chương trình, tới hệ thống phức tạp hỗ trợ đa nhiệm, xử lý thời gian thực, đa xử lý và kiến trúc phân tán.

Nói chung, HĐH cung cấp một số chức năng bảo vệ dữ liệu Trong hệ Ihống xử lý, dừ liệu lập trung irong tài nguyên (bộ nhớ, file, thiết bị Iruy xuất).

Hình 1.3 minh hoạ các chức năng của HĐH hỗ UỢ an ninh qua một phiên làm việc của người dùng trong hệ thống đa người dùng.

Chương Ị: Vàn dê an loàn thõng tin - Phạm Hữu Duyên

Ngoài chức năng dịch vụ, một vài chức năng của HĐH còn hướng tới

hỗ Irợ an ninh, đó là: Nhặn dạng / xác thực người dùng; Báo vộ hộ nhớ; Kiểm soát truy nhập tài nguyên; Kiểm soát dòng; Kiểm loán.

Hình 1.3: Phiôn làm việc của người sử dụng.

Chương ì: Vấn dê an loàn thông tin - Phạm ỉìữu Duyên

1.2.1.1 Nhận dạng và xác thực người dùng.

Tiền dề của hệ ihống an ninh, đó là nhận dạng đúng người dùng Với mục đích đó, cơ chế xác (hực giá trị nhận dạng người dùng qua một vài chủ đề: hoặc là những ihông tin nhận biết người dùng qua mội vài sờ hữu riêng hoặc liên kết các mô hình đó.

Hộ (hống xác thực dùng thông tin đế nhận biết người dùng:

- Hệ thống mật kháu: người dùng dược nhận dạng qua chuỗi ký tự bí mật (password) chỉ riêng người dùng và hệ thống biết.

- Hệ thống hỏi - đáp: Người dùng được nhận dạng qua việc trả lời các câu hỏi của hệ Ihống đưa ra Câu hỏi là khác nhau cho mỗi người dùng, và thưởng là các hàm toán học dược máy tính loán sau khi nhận được các giá trị

lừ người dùng.

Một số hàm dơn giản sử dụna trong hệ thống hỏi - đáp:

+ Hàm đa thức (giá trị của hiến X đ ư ợ c hệ thống cung cấp) kết quả đầy

dử (ví dụ: f(x) = X* + X2 - X + 4) được người dùng lính toán.

+ Hàm hiến đổi chuồi ký tự: hệ thống đưa ra cho người dùng mộl chuỗi

ký lự để biến đổi đúng theo sơ đồ đã biết (ví dụ: í’(a1a2a ta4a5) = a4a Ja5a2a1 ) + Hàm sử dụng thuậl toán mã hoá đơn giản, ụiá trị mã hoá dược hộ (hống dưa ra, nguời dùng giải mã và dùng nó dô’ tính hàm, sau đó mã hoá kết quả Ví dụ f(E(x)) = E(D(E(x))2).

- Hệ thống xác thực kép (hắt tay): Hộ thống lự giới ihiệu với nẹưừi dùn<4 người dùng tự xác íhực lại vứi hệ thống Việc xác thực của hộ thống xuất hiện qua ihông tin chỉ người dùng biết (ví dụ: ngày, giờ của phiên làm việc cuối cùng) Người dùng xác Ihực đó là mật khẩu.

Hệ thống xác thực dùng thông tin sỏ hữu của người dùng:

Về cơ hán là hệ ihống ihẻ: ihc lừ chứa mã vạch hoặc mã lừ hoặc bộ vi xữ

lý Việc xác thực xuất hiện lúc chấp nhận thẻ đưa vào đọc, dôi khi kem theo

mã hí mật.

Chương ĩ : Vấn dé an toàn thòng tin - Phạm ỉlữu Duyên

Hệ thống xác thực dùng thông tin cá nhân của người dùng:

Thống Ún cá nhân: là những Ihông tin đặc thù chí có của người dùng như ảnh, ánh vân tay, ảnh lưới võng mạc, áp lực chữ ký, độ dài các ngón lay trong hàn lay, giọng nói Nhữnu Ihông tin này dược sử dụnẹ, để nhận dạng người dùng, hiện nay có các hệ thống sau:

- Hệ ihông l'ax - máy lính: ảnh của người dùng được lưu trữ, nh ận dạng hằnu cách đối chiếu người với ảnh lưu trữ hiện trôn màn hình.

- Hệ thống vân tay: nhận dạng theo kết quả so sánh dấu vân tay người dùne vứi vân tay lưu trữ.

- Hệ thống áp lực tay: nhận dạng trôn cơ s ở áp lực chữ ký hoặc c h ừ viết trên thiết bị phù hợp.

- Hệ thống ghi âm: ẹiọng nói của người dùng được đối chiếu với mẳu lưu trữ.

- Hệ thống lưới võnu mạc: nhận dạng người dùng bằng cách kiếm tra lưới võniì mạc Hong đáy mắt.

Các hệ [hống Iren có thể được dùne, độc lập hoặc phối hợp nhiều hộ thống cùng lúc, tuỳ thuộc vào mức độ an ninh cần thiết.

Các ihông tin cá nhân, bằng cách (hông thường người khác không có được, tuy vậy với nhữnu người chuyên nghiệp thì các (hỏng lin này có thể lấy được

và lưu trữ liirức, sau dó làm ui à mà máy khỏng phát hiện được.

Các hệ thống này có độ phức tạp cao him so với các hệ thống trước đó do phức tạp trong so sánh giữa các đặc điểm riồng được lưu trữ với các đặc điểm

đó trên thực tế Việc ứng dụng cũng gặp khó khăn, các nghiôn cứu cho ihấy tỷ

lệ lừ chối chính người dùrìtí, cao, ngoài ra khi có sự thay đổi cua chính người

đó với thông tin đã dãnụ ký (tai nạn hoặc sự cố làm sai lệch thông tin) thì với chính người đó máy cũng không chấp nhận Mặt khác chi phí cao, tốn kém nên chí dùng trong những lrường hợp hảo mật đạc hiệt Không uỷ quyền cho người khác dược khi gặp sự cố, dẫn đến có thể bị mất thông lin vĩnh viỗn.

Chương ỉ: Vàn de un loàn íhônjỊ tin - Phạm Hữu Duyen

1.2.1.2 Các chức nâng khác:

- Bao vệ bộ nhớ: Trong môi trường da nhiệm (da c h ư ơ n g trinh), b ộ n h ớ

cơ hán dược phân vùng và chia xẻ cho dữ liệu và chương trình của các người

dù nụ khác nhau, yêu cẩu này tránh việc suy diễn lần nhau Bộ nhớ có nhiều mức chia xẻ, từ không chia xỏ đến không kiểm soát chia xỏ Việc thực hiện cơ chế kiểm soát chia xỏ cần được hảo vệ tinh vi ở mức HĐH đổ kiểm soát các liên hệ:

TruV nhập đóng thời: đòi hỏi truy nhập đến cùng một đối lượng từ những người dùng khác nhau tại cùng một thời diổm Công việc đổng thời ở cùng một đôi lượng phái dược loại bó theo nẹlíĩa hoại động tuần tự.

Hạn ché: (chỉ cho chưưng trình) Chương trình dược gọi ỉà han chế khi nó loại bỏ khỏi bản sao những iham số, như vậy, chương trình được chia xẻ loại

bỏ khỏi bản sao và chuyển vào f ile hệ thống thỏng tin hạn chế từ đầu vào.

Các cơ chế phần cứntí để háo vệ và kiếm soái chia xẻ hộ nhớ gồm: Địa chỉ phân cách, chuyển vị, thanh ghi giới hạn, đánh số, chia đoạn, thường các cơ chế này cấu lạo trong phần cứng nôn khống đi sâu nghiên cứu.

- Kiem soát truy nhập tài nguvẽn: Các chưtmg ninh trong khi hoại độnt> (thực hiện liến trình) cần tài nụuyôn hệ ihống dể truyền trong nó các nhiệm vụ Thông ihường, tiến (rinh tham chiếu lới địa chí hộ nhớ, sử dụng CPU gọi đến các chương Irình khác Ihao tác trên file và truy nhập thông tin trong bộ nhớ ihứ cấp (các thiết bị vậl lv) Tấl cá các tài nguyên đó phải dược háo vệ tránh các truy nhập không đưực phép, hoặc ngầu nhiên hoặc cố ý.

Bảo vệ hộ nhớ và chia xỏ chương trình là các (hực ihi trực tiếp Iheo phần cứng như trên đã thảo luận Báo vệ CPU cũng như vậy.

Báo vệ các lài nuuycn khác (file, ihiết bị—) thực thi qua cơ chế plìần cứng và modul phần mềm của HĐH Các modul đó có các nhiệm vụ sau:

- Phân tích và kiếm tra lừng truy nhập tới tài nguyôn.

- Kiếm tra đích đến để loại irừ lan truyền dữ liệu hí mật.

Chương i: Vấn dề an loàn thông tin - Phạm ỉỉữu Duyên

- Kicm soái và ghi các thao lác hoạt động đổ có thể phát hiện việc sử dụng tài nguyên không hợp pháp.

Cơ chế kiểm soát truv nhập:

Kiểm soát truy nhập đốn tài nụuyên đòi hỏi tài nguyên phải được nhận

dạng Các phương pháp nhận dạng tài nguyôn khác nhau tuỳ thuộc vào dạng

lài nguyén.

Bộ nhớ được nhìn nhận như là sự xác lập về địa chỉ, phân vùng lới tiến

trình và tới phần mềm hệ thống Các vùng hộ nhớ khác nhau có thể đưực nhận

dạne qua mội cặp thanh e,hi giới hạn, các bảng biến đổi và các cơ chế khác

Các thiếi bị và CPU được nhận dạng trong phần cứng Các file được nhận dạng

qua tôn Các chương trình (thù tục) được nhận dạng qua tên và địa chỉ khởi

động Người dùng dược nhận dạng qua kỹ thuật cấp quyền khi mở máy.

Bảo vệ tài neuyên có nghĩa là loại bỏ cả hai truy nhập ngẩu nhiên và cố

ý cua người dùng không được phép Điều này có thể được bảo <Jàm bằng khả

năng cấp quyền xác dinh, sau đó chấp nhận mỗi tiến (rình được cấp quyền chỉ

truy nhập lới tài nguyên cần thiốl đổ hoàn ihành tiến Irình đổ (nguyên tắc đặc

quyền tối thiổu) Theo nguyên lắc này, chương trình dược cho phép chi uuy

nhập tới những tài nguyên cần thiết để hoàn thành nhiệm vụ dó.

Cơ chế kiếm soái truy nhập hoạt động theo hai kiểu khác nhau:

Phán cấp truy nhập: Là cơ chê' sử dụng các kiểu đặc quyén hoặc các

đơn vị chương trình lồng nhau Tuỳ ihco cơ chế kiểu đặc quyền, liến trình có

Ihổ hoạt dộng theo các kiểu (trạng thái) khác nhau, mỗi một đáp ứng vẻ đặc

quyền được thiết lập liên Cịuan đốn bảng, chi dẫn Ihực hiện Trong đa số các hệ

thống, cùng tổn tại hai kiếu thực hiện là kicu đặc quyền (supervisor - người

giám sát) và kiểu người dùng.Sự khác nhau giữa hai kiổu này là dạng chi dần

bộ xử ]ý có thể hoạt động đúng, trong kiểu đặc quyền chủ yếu là quán lý hệ

thống (chí dẫn xuất/ nhập, chuyến trạng thái )

» t i o h s i Chương I : Vấn (lê an toàn thòng lin - Phạm Hữu Duyên

Theo HaiTĨson (1976) ma trận hảo vệ là cấu trúc phù hợp cho các truy nhập đại diện được quyền vào HĐH: các đối lượng là liến trình tài nguyên hệ ihốnụ dược háo vệ, chủ thế là hộ chống những người dùng và tiến (rình được

họ bắt đấu.

- Cơ chế kiểm soát dòng: Cơ chế kiếm soát truy nhập chịu trách nhiệm kiểm tra quyền dược cấp của người dùng truy nhập tài nguyên: chỉ cho phép các hoạt động ià thực Ìhi Cơ ché kiểm soát dòng chịu trách nhiệm kiểm chứng đích cuối của hoạt động ra, theo thứ bậc loại bò sự lan Huyền dữ liệu bí mật.

Dòng xuất hiện khi thông tin được chuyển từ đối tượng nguồn vào trong đối tượng đích Phân hiệt hai loại dòng: dòng rõ ràng là dòng xuất hiện như là kết quả của sự phân vùníi chi dân dạng y = xn) Dòng khống rõ ràng là dòng thưởng theo chỉ dần có điều kiện dạng “if - then” Cơ chế kiểm soát dòng phải kiếm chứng rằng chỉ những dòng được cấp quyền là thực Ihi.

1.3 An ninh mạng máy tính

1.3.1 Kiến trúc mạng máy tínhMạng máy lính gồm nhiều máy tính được nối với nhau qua môi trường truyền dẫn bằng phẩn cứng và phấn mém đế hoàn lất sự liên lạc Các ihành phần của hộ thống mạng máy tính được mô tả Irong hình 1.4, bao gồm:

Các Ihiêt bị cuối là các thiết bị tính toán (PC máy tính vừa và lớn), các thiết bị ngoại vi thông minh hoặc các thiết bị cuối không thông minh (Terminal), thực hiện các nhiệm vụ tính toán, xử lý , lưu trữ, Irao đổi số liệu và giao diện người máy.

Chương ỉ: Vấn dê an loàn thông tin - Phạm Hữii Duyên

Hệ thống truyền dẫn (có dây và không dây) kếl nối vật lý các thiết bị mạng với các thiết bị cuối Số liệu của các ứng dụng được Iruyén dưới dạng tín hiệu điện (rên các hệ thống truyền dẫn, tín hiệu này có thể ơ dạng số hoá (dữ liệu được hiểu diẽn hằng cấc giá trị nhị phân rời rạc), hoặc ờ dạng lương lự (dừ liộu được biểu diỗn như các điếm trong một phạm vi liên tục) Thường các máy tính lưu trữ dữ liệu ở dạng s ổ hoá còn các phưimtỉ tiện truyền th ô n u lại ở

dạng tuơnụ tự, (Jo vậy các lín hiệu phải được biến đổi trong quá irình truyền tin Thiết bị biến đổi đ ó là Modem {Modulator Demđulator)

Chương I: Vấn (lề an toàn thõng tin - Phạm íỉữu Duyên

- Kết nối điểm - điểm (hình 1.5);

+ Kếl nối hình sao: một thiết bị chính (Maslcr) điéu khiển quá irình trao đổi số liệu giữa các thiết bị cuối (Slaves)

+ Kốt nối theo đường tròn: sô' liệu dược truyền tuần tự (ừ thiết bị cuối này đến thiết bị cuối khác theo một chiều nhất định.

+ Kết nối Iheo hình cây.

+ Kết nối toàn phần: mỗi thiết bị cuối được kết nối với lất cả các thiết bị cuối còn lại.

C ác h ìn h th ứ c k ét n ố i:

a/ Hình sao

Hình 1.5: Kếl nối diếm - điếm.

Chương í: Vàn dề an toàn ¡hông tin - Phạm ĩlữu Duyên

Kết nối quảng bá (Hình 1.6):

+ K ê ì nối iheo dạng dườnu, thẳng (Bus): Các thiết bị cuối sử dung chung mội đường Iruyền, tại một thời diổm chỉ có một thiối bị cuối được phái

số liệu, các thiết bị còn lại đều có thể nhận số liệu.

+ Kết nối iheo dạng đường tròn (Ring): như kết nối điểm - điểm về mặt vật lý, thuật toán diều khiển truy nhập mạng đườnỵ, tròn đảm bảo phương Ihức kết nối quảng há.

+ Kết nôi vệ tinh: một Irạm vệ linh thực hiện thu phát sô' liệu với một nhóm các trạm mặt đất (còn gọi là thông báo nhóm).

Các kieu mạng:

Mạng cục hộ (LAN); hao phủ một khoảng cách không gian nhỏ, thường irong khuôn khổ một loà nhà, hoặc mộl công ty Thường LAN liên kết mộl số máy tính, một vài máy in và một vài thiếl bị lưu Irữ Đặc trưng cơ bản của LAN là kiểm soái cục hộ, nhỏ (thường dưới 100 máy), thiết bị lập trung trong một khu vực nhó, mạng dược bào vệ vậi lý.

Mạng diên rộng (WAN): lớn hơn LAN cả về kích thước và khoảng cách, cũng như kiểm soát và sở hữu Đặc trưng cơ hán là kiểm soát riêng rẽ, hao phủ rnộl diện lộng, ihườnụ sử dụng môi lrường Iruyền thông cổng khai Liên mạng (Internets): là sự kết nối nhiều mạng riêng biệi Internet là mạng toàn cầu, có các đặc tính: không kiểm soát được, không đồng nhất, bất

kỳ ai cũng cỏ thể tiếp cận mạng từ mòi trường công khai, đơn giản.

1.3.2 Các hiểm hoạ trong mạng:

Từ kiến irức của mạng máy tính đã trinh bày ở trên, chúng la nhặn ihấy irong mạng xuấl hiện các vấn đề an ninh vì các nguyỗn nhân sau:

- Dùng chung tài nguyên, dẩn đ ố n nhiều người có khả năng truy nhập đến các hộ nối mạng hơn lại các máy đ(Tii lẻ.

- Sự phức lạp của hệ: trên mạng có thể có nhiồu HĐH khác nhau cùng hoạt động, vì vậy một HĐH mạng/kiểm soát mạng Ihường phức tạp hơn HĐH trôn các máy đơn Sự phức tạp sẽ hạn chế sự bảo mật Irong an ninh mạng.

- Ngoại vi khônỵ, giới hạn: lính c h ấ t mở rộng của mạng làm biên giới của mạng cũim bất định, một máy chủ có Ihể là mội núi trôn hai mạng khác nhau,

vì vậy các tài nguyên trên một mạng cũng có thể được người dùng của một mạng khác truy nhập lới Đây là một kõ h(V (rong an ninh mạng.

- Nhiều điểm tấn công: trong mội máy đơn, các kiểm soát truy nhập sẽ hảo đảm bí mật dữ liệu trong bộ xử lý Khi một file lưu trên máy chủ cách xa Iluười dùng thì có Ihc hị các máy khác đọc dược trong quá trình sử dụng.

Chương ỉ : Vùn (ìề an loàn thông tin - Phạm //ửu Duyén

Từ những nguyên nhân trôn, sẽ ẩn chứa các hiểm hoạ, người ta có thể nhổm Ihành các loại sau:

- Nghe trộm: hiếu Iheo nghĩa c h ặ n bắt thông tin lưu thông (rên mạng.

- Mạo danh: giả mạo mội quá irình, mộl cá n h ả n đế n h ậ n được thông t i n

irực tiếp từ mạng Thường xảy ra trên mạne diện rộng.

- Vi phạm bí mật thône, báo: do chuyển sai địa chỉ đích, bộc lộ trôn đường truyền tại các bộ đệm, bỏ chuyển mạch, bộ định tuyến, các cổng, các máv chủ trung chuyển trôn toàn rnạnẹ.

- Vi phạm toàn vẹn thôrm háo: Tronẹ quá liình truyền tin ihôm; háo có Ihể bị sai lệch do bị sửa đối nội dung (mộl phần hoặc toàn hộ) hoặc bị nhiều.

- Sự can thiệp của tin tặc (Hacker): ngoài khả năng thực hiện các tấn công gây ra các hiếm hoạ tròn, harker còn có thế phát triển công cụ lìm kiếm các diểm yếu trên mang và sử dụng chúng theo mục đích l iêng.

- Toàn vẹn mã: là sự phá hoại mã khả Ihi , thường là cố ý nhằm xoá hoặc cài lại chương trình irên máy chủ.

- Từ chối dịch vụ: có thể do kếl nối vào mạng bị sai lệch hoặc dí) phá hoại, đưa vào các ihông háo giả làm gia lãng luổng tin Iren mạng.

1.3.3 Các biện pháp an ninh mạng

- Mã hoá:

Mã hoá là cóng cụ mạnh dề hảo đảm hí mật, xác thực, toàn vẹn và hạn chế huy nhập lới dữ liộu Irong môi lrường mạng có độ rủi ro khá cao Mã hoá

có ihể dược sử dụng giữa hai máy chủ hoặc giữa hai ứng dụng.

Mã kết nôi giữa hai máy: Dữ liệu được mã hoá trước khi đưa lén kết nói liên lạc vật lý, việc mã hoá được thực hiện ở tầng 1 hoặc tầng 2 trong mô hình 7 mức và được uiải mã ngay khi đến máy nhân Mã hoá bào vệ thông tin

di chuyển giữa hai máy nhưng bán rõ vẫn còn trong máy Vì mã hoá chỉ ở

Ch trưng l: Vân dề an toàn thông tin - Phạm Hữu Duyên

tầng đáy nên dữ liệu bị lộ ơ lất cả các tầng khác Việc lộ tin có thổ xảy ra ớ hai tầni> của các máy trung gian hoặc hộ định tuyến vì quá trình định tuyến và lập (lịa chí được Ihực hiện ở các lầng cao hơn

Mã hoá dấu cuối (mã hoá ứng dụng): Thực hiện qua thiết bị phần cứng hoặc phần mềm Việc mã hoá thực hiện irướe khi kêí nối (ở lầng 7) nôn

dữ liệu đưực truyền đi ở dạng m ã qua toàn bộ mạng, vì vậy nếu bị lô cũng khống ành hương đến bí mật của dữ liệu

Trong rnã hoá đầu cuối tồn tại một kổnh m ật mã áo giữa mồi cặp người dùng Đ ể đảm hảo an ninh, mồi cặp người dùng phải sử dụng chun g một khoá,

số lượng khoá hằng số cặp người dùng và bằng n (n -ỉ)/2 đối với n người dùng,

đo vậy khi n lớn thì việc quản lý và phân phối khoá ỉà vấn đề cần quan tâm

- B ức tư ờ n g lửa:

Khi một mạng LA N được nối với Intem el, hiểm hoạ sẽ rất lớn nốu như

có kè xâm nhập lọt được vào hệ thống, iruy nhập tới c á c dữ liệu nhạy cảm Một cách lý iưởng, chúng ta m ong muốn có một bộ lọc sẽ chí cho qua những tương tác m ong muốn Có hai vấn đổ kiểm soát truy nhập là xác định những gì

!à lương tác m ong muốn, ch« phép truy nhập và cách ly những cái còn lại Mộl loại báo vệ máy tính như thô được gọi là hức tường lửa

Bức tường lửa là một quá (rình lọc tất cá các luồng thông tin giữa mạng dược hảo vệ (m ạng hôn trong) và m ạng kém tin cậy (m ạng hên ngoài) Bức tưìmg lửa thực hiện chính sách an ninh có thể ngăn chặn hất kỳ các truy nhập

lừ hên ngoài vào ( trong khi vẩn cho phép từ hên trong ra), cỏ thổ chỉ cho phép truy nhập lừ các địa chí xác định, nhữnụ người dùng xác định hoặc dành cho một số hoạt động nhất định một cách lựa chọn

C á c loại bức tư ờ n g lửa:

Kiến trúc hai giao diện (Dual-Homed Host): Là một hệ thống máy lính dược nôi với với ú nhất hai mạng, hoạt động như một hệ định tuyến đổ chuyển các gói lin giữa mạng dùng riêng dược bảo vệ và các mạng khác, các

C hưtm g í: Vân dé un toàn (hóng tin - Phạm H ữ u Duyẻn

hộ (hống ở mạng d ùn g riêng và mạng bên ngoài có thổ giai) liếp với hệ ihốnu bào vệ nhung không thế giao tiếp trực tiếp với nhau (Hình 1.7).

Hình 1.7: Mô hình kiến trúc D ual-H om ed

Hệ thống bảo vệ hai giao diện chỉ có thể: cung cấp dịch vụ thông qua

uỷ quyền hoặc cho người dùng đăng nhập trực tiếp vào hệ thống bảo vệ

Kiến trúc Screened Host: Cung cấp các dịch vụ từ một hệ thống “ pháo đài" (Bastion Host) chi có kết nối với m ạng dược hảo vệ và mạng hên ngoài hãng thiết bị định luyến riêng biệt có cài đặl phán mềm lọc gói (Hình l.X)

Baslion Host Hình 1.8: Mô hình kiến trúc Screened Host

Chư<fìiị' í : Vấn ílế a n toàn thông lin - P hạm H ữ u Duyèn

Nhược điếm cùa kiến trúc này là, nếu kẻ tấn c ổ n e đột nhập được vào trạm pháo đài thì không còn c ơ c h ế an ninh nào ngăn chặn việc xâm nhập vào

m ạng riêng nữa Hem nữa nếu hê định tuyến hoạt động sai thì toàn hộ mạng riềng sẽ là mục tiôu lấn cồng

Kiến trúc Screened Subnet: Đây là mô hình m ớ rộng c ủ a mổ hình Screened-Host hằng cách thêm mội mạng vành dai giữa m ạng dùng riêng và mạnụ hên nẹoài Việc bảo vệ trạm pháo đài trên m ạng vành đai có thể làm

¿lảm khá năng tấn công vào trạm (Hình 1.9)

Hình 1.9: Mổ hình kiến trúc Screened Subnet

Có hai hệ định luyến dược nối vào m ạng vành đai, một nằm giữa mạng vành đai và m ạng dùng riêng (định tuyến trong), một nằm giữa many vành đai

Chương Ị : Vấn d ể an toàn thông tin - p h ạ m H ữu Duyên

và mạng ngoài (định tuyến ngoài) Như vậy muôn vào được mạnti d ùn g riêng cần phái vượt qua dược hai hộ định luyến Đổ sử dụng được các dịch vụ ở mạng ngoài cần: thiết lập các hệ lọc gói trôn các bộ định tuyên để cho phép

ne ười dùng trong mạnẹ, dùng riêng được truy nhập trực tiếp các máy phục vụ ngoài mạng Thiết lập các máy phục vu uỷ quyền trên pháo đài cho phép người dùng Irên mạng dùng riêng sử dụng được các máv dịch vụ bên ngoài Các trạm kết nối trong mạng dùng riêng chi cổ thổ giao tiếp trực liếp với các dịch vụ uý quyền trôn trạm phát) đài, không truy nhập trực liếp dược với mạng bèn ngoài

Bộ định tuyến trong đảm nhận lọc gói cho hức tường lửa Bộ định tuyến ngoài dùng hảo vệ cà mạng vành đai và mạng dùng riêng Các luật lọc trong hai bộ định luyến không được giống nhau, vì nếu có một lỗi trong các luật lọc

là kẽ hở tấn côn g thì sẽ xuất hiện trôn cả hai bộ định luyen và m ạ n e dùng riêng sẽ dỗ bị tấn cổng

1.4 C á c v à n đ ề a n n in h k h á c

1.4.1 A n n in h m á y tính

Đối với các m á y l í mh đơn le, việc bảo d á m an ninh đơn giản htm mạng máy lính Việc hảo vệ về mặt vật lý, cách ly máy lính khỏi những người dùng khôní» lệ, kiểm soát các thiết bị ngoai vi nối với máy là đảm bảo an toàn Nụoài ra, sử dụng hệ thống xác Ihực nẹười dùng cùa HĐH, đặl mậ l khẩu khởi dộng máy (trong CMOS) và sử dụng mậí khẩu theo đúng qui định cũng lăng khả năng bảo vệ cho m áy tính

1.4.2 A n n in h C S D L

Việc hào đàm an ninh cho CSDL như dã đề cập ở trên là rất phức tạp, còn khó hơn quản lv file irong HĐH, chúng ta sẽ tập trung nghiên cứu vấn đề này trong ehươnu 2: Vấn dề an ninh CSDL

C hương ỉ : Ván dê an loàn th ông tin - Phạtn ỉlữ u Duyên

1.4.3 An to à n d ữ liệu

Dữ liệu là thông tin cư bản tạo nên CSDL, một tron í» các hiện pháp đế hảo đàm an toàn cho dừ liệu, chống lộ tin là mã hoá Ihông tin, chú ng ta sẽ nghiên cứu kỹ vấn đề này trong chương 3: Vấn đề mã hoá đừ liệu

1.5 M ậ t k h ẩ u

Phần này tập irung nghiôn cứu cơ c h ế sử dụng mật khẩu, đãy vẫn là hiện pháp an ninh có hiệu quà Irong các hệ thòng hiện nay Các nhà nghiên cứu cho rằng hệ thống mật khấu là an toàn vì khổng thể hoặc không có khả năng tính được hàm ngược của hàm một chiều mã hoá mậl khẩu Nghiôn cứu liêu chuẩn xác định mật khẩu an toàn, các tấn công và các biện pháp phòng chống

M ật khẩu là xâu ký lự hí mật chỉ có người dùng và hệ ihống biêí, vì ihế

hệ thống mặc nhiên nhận dạng người dùng duy nhất theo giá trị mật khẩu

1.5.1 T iê u c h u ẩ n m ậ t k h á u a n to à n

- Sử dụng lối thiểu X ký tự Nói chung là mật khẩu dài

- Mật khẩu gồm 3 trưng 4 nhóm ký tự sau:

+ Ký lự “ số” (0 -Ọ)

+ Chữ in

+ Chữ thường

+ Ký hiệu đặc hiệt Irên hàn phím (như (cù, #, %,

- G hép 2 từ không hiệu chỉnh, cắt bỏ (n -1 ) vị trí của kết quả, chèn thêm vào đó 1 ký hiệu đặc biệt (n là độ dài mật khẩu được chấp nhận)

- Chọn tiếng nước ngoài.

- Chọn thuật ngữ gợi nhớ về thói quen hoặc môn Ihể thao yêu thích Luôn chọn thuật ngũ' dỗ nhở

Lưu ý: Trong mật khẩu của C M O S m áy tính, không sử dụng ký hiệu đặc biệl và số ký tự tối đa là 8

Chương ì: Vấn d ề un loàn th ông tin - P hạm H ữ u Duyên

1.5.2 P h ư ơ n g p h á p tạ o m ậ t k h ẩ u

Mật khấu do người dùng tạo ra: Là mật khẩu do người dùng tạo ra cho

m ục đích riông của họ Lợi ích chủ yêu là người dùng chắc chắn nhớ dược mật khẩu đó, do vậy bỏ nhu cầu ghi nhớ mật kháu, tránh dược việc truy lìm mật khẩu từ các ghi chép

Tuy vậy, lại náy sinh vấn đồ là do chọn mật khẩu dể nhớ, nên người dùng thường chọn các các mật khẩu chứa các thỏny, tin cá nhân (như tôn vợ,

ch ồn g, con, vật nuôi, n g à y sinh, các số đ ă n g ký ), hoặc các mẩu dựa trên bàn phím (như “q w o p ’\ ‘‘12309” ), hoặc dùng cùng một mật khẩu ưa Ihích trên nhiều m áy, các mật khẩu này dỗ bị người tấn công có ý xấu đoán dược

Mật khẩu do máy tạo ra: Nhữnụ mật khẩu này íl đoán được, do sử dụng chưưng trình tạo mật khẩu cho người dùng nên những mật khẩu lồi có thổ được loại khỏi hệ ihống Các chương trình này thường đưa ra cho người dùng một số mậl khẩu để họ lựa chọn, người dùnu quyết định bằng cách gõ lại mật khẩu đã chọn Chương trình hoạt động Iheo chu kỳ đc nêu mậv khẩu bị lộ

c ù n g chỉ có hiệu lực iront; một Ihời gian nhất định (eọi là tuổi của mậl khẩu)

Tuy vậy, các mật khâu này không dễ nhớ, thường bắt buộc phải ghi lại Các nghiôn cứu cho thấy người dùng thích dùng mậi khẩu tự tạo hơn các mật khẩu do máy tạo ra vì lý do nhở mật khẩu

Những mật khấu có thể hiệu chỉnh: Đây là hướng thoả hiệp nhằm tận

đ ụn g ưu điểm của hai loại mật khẩu đã nêu mà không có các nhược điểm liên quan Sư đổ tạo mật khẩu có thể hiệu chỉnh cho phép người quản trị hệ thống cung cấp cho người dùng một phần mật khẩu, trên cơ S(V đ ó người dùng c ó Ihể xày dựng mật khẩu mới theo liêu chuẩn đã đề ra Sơ đổ được gọi là hiệu chính

vì người quản trị có thể thay dổi độ dài và những, thuộc tính khác của xâu ký

tự được lạo ra

Ví dụ: Giả sử người dùng được cung cấp xâu “ w 5G ” và qui tắc là các ký

lự “w ”, “ 5 ” , “G ” phải xuấl hiện trong mật khẩu sẽ được lạo ra theo đúng liât

lự đã cho Người d ùng có thố lạo mậ( khâu: paw n5Grand, why5G o6,

w as5yrsA G O những lựa chọn này người dùng có thể n hứ dược vì họ đã chọn được một cái gì đổ cổ ý nghĩa với họ, đổng thời loại bò được những lựa chọn mậi kháu lồi

Một ưu điểm khác của sơ đồ này là có thể được sử d ụ ng để miêu tả mật khâu do người cỉùng và máy tạo ra trong khuôn khổ hợp nhất

1.5.3 C á c t â n cón g dò tìm m ậ t k h á u

Tấn công toàn diện: Trong tấn công toàn diện (vél cạn) người tấn công thử mọi mật khẩu có thổ Sô' mật khẩu có Ihể tuỳ thuộc hệ thống nhất định.Nêu lấy mật khẩu có độ dài từ 1 đến X ký tự trong 26 ký lự A-Z, có chú

ý đốn chữ Ihưởng và chữ ill, ta SC có 52' mật khẩu 1 ký tự, 522 mật khấu 2 ký tự, 52* mật khẩu 8 ký tự Hệ thống sẽ có 52+ 5 22+ +52* » 5 ,5 x 1 o 1-* mật khẩu có thể Với tốc độ xứ lý 10''giây/mật khẩu sẽ mất khoảng 1728 năm Nếu tốc độ lăng lôn 10'6giây/mật khẩu sẽ mất khoảng 1,7 năm

Rõ ràng việc tấn công toàn diện gặp khó khăn khi mật khẩu có độ dài kín hơn s và theo dúní» tiêu chuẩn chọn mật khẩu Tuy nhiôn, để tìm một mật khẩu cụ thể không cân thử toàn hộ mật khẩu có thể, vì phải nhớ được nên người dùng thường chọn mật khẩu đơn giản

Đ ể đơn giản mật khẩu sẽ không quá dài N eu như độ dài mật khẩu chỉ còn khổng quá 3, thì khi đó số mật khẩu trong trường hợp như trôn chỉ còn lại

5 2 + 5 2 ^ + 5 2 = 1 4 3 3 6 4 và thời gian là ch ấp nhận được

Đối với một người dùng, mậi khẩu thường liên quan đến các Ihông tin

cá nhân như tôn vợ chổng, con, vật nuôi, ngày sinh, các số đăng ký , do vậy những mật khẩu có Ihố khổng nhiều lắm Việc tìm hiểu vổ thồng tin cá nhân của người dùng cụ thể, sẽ tạo diều kiện đổ việc dò tìm thành cô ng với xác suất lớn

Ngoài ra còn có thể dò lìm dựa trên thỏi quen sử dụng bàn phím với các phím ở các vị trí đặc hiệt, kiểu như zqpm, qvvpo, hay aqip

Chương I: Vấn d ề an ttììin th ông tin - Phạm H ữ u Duyên

Tìm file mật khau của hệ thống: Các cách dò tìm như trên dựa theo việc suy đoán các khà nãnụ có ihể, nhưng các mật khẩu lại được lưu Irôn máy, như vậy tìm các file này dể đọc là hướnụ hiệu quả hưn.

Các file chứa mật khẩu, nếu không đưực m ã hoá thì việc đọc chúng là quá đơn gián, nhưng ihường chúng dược m ã hoá, file đọc được là bán mã, <J()vậy có thể sử dim tỉ các thuật toán m ã hoá đổ tìm ra hàn rõ tương ứng

Tương tự, c ó thổ tìm các ghi chép lim mật khẩu của người dùng tại nơi

1.5.4 C á c b iện p liá p bả o vệ m ậ t k h á u

Báo vệ mật khấu dối với người dùng: Người dùng cần tuân thủ các liêu chuẩn lựa chọn mậl khẩu; Không sử dụng các từ có trong lừ điển; Khổng ghi lại mật khấu (Điều này khó ihực hiện nếu như một người nào đó có nhiều lài khoán liên nhiều máy hoặc the lín dụng cẩn phải nhớ mật khẩu Iruy nhập); Không tiêì lộ mật khẩu; Thường xuyên thay dổi mật khẩu ngay cả khi không

có nghi n g ờ m ật khẩu đã bị lộ (Điều này cũn g đang gãy nhiều tranh cãi, irong irườnt» hợp bị thúc ép do yêu cầu của máy, người dùng có thể chọn mật khẩu đáp ứnu yêu cầu nhưng lại không phái là một mật khẩu tốt)

Mật khẩu dùng một lần: Là loại mật khẩu thay đổi mỗi lần được sử(.lụng, thực chất đây là hệ thống xác nhận người dùng hằntỉ hói đáp, hàm cho lừng người dùng là cố định, nhưng các tham số c ủa mỗi lần xác nhận là khác nhau, do vậy câu trà lời của người dù n^ {mật khẩu) là khác nhau

C hương I : Vấn dê an toàn th ông ủ n - P hạm H ữu Duyên

Bảo vệ mật khẩu lưu trong máy: File mậl khẩu trong máy được mă hoá để chông lại việc Iruv nhập và lấy cắp thông tin về mậl khâu Thường dùng hai cách là mã hoá truyền thống và m ã hoá một chiổu

hoá Khi nhận dược mậl khấu của người dùng, mật khẩu lưu trữ được giải mã

và so sánh T heo cách này, tại thời điểm mật khẩu người dừng ở dạng rõ trong

hộ nhớ, nó dể lộ cho bất cứ ai được quyển truy nhập hộ nhớ

M ũ hoá một chiều: Khắc phục điểm yếu trên Các mật khẩu đăn ẹ ký dược mã hoá một chiều và lưu giữ, khi người dùnu nhập mậi khẩu, nó SC được

mã hoá và so sánh với bẳn mã lưu irữ Các Ihuật toán m ã hoá đảm bảo khồng

có hai hán rõ khác nhau cho ra cùng một bản mã

Muối mật khẩu

Hình 1.10: Cơ c h ế muối mật khấu trong UNIX

Muối mật khẩu: Có thố xáy ra trường hợp hai người khác nhau cùng dùng chu ng mội mật khẩu, khi đó trong bàn mã hoá sẽ có hai hẳn mã như nhau, đâv là kẽ hở để cổ ihể dò lìm mật khấu đã mã hoá Để khắc phục tình irạng này, HĐ H UNIX sử d ụng một c ư c h ế mở rộng mật khẩu gọi là “ m uối” (Salt) mậi khẩu M uối là một số 12 bit hình thành từ ngày hộ thống và số hiệu liốn trình dược thêm vào mật kháu Cơ c h ế muối mật khẩu (hình 1.10) như sau:Mật khấu và muối dược mã hoá, bán mã và muối iươnụ ứng cùng dược lưu Irong file mậi khẩu Khi người dùng nhập mật khẩu, nỏ sẽ được m ã hoá cùng với muối, kêì quả được so sánh với bản mã đã lưu trữ.

Ngoài ra, cơ c h ế xác thực hằng mật khấu không cho phép nhập sai mậi khẩu quá 3 lần để giảm khá năng dò tìm Ihông thường

1.6 C h ứ c n ă n g a n n in h t r o n g m ộ t sỏ H Đ H

1.6.1 IB M M V S

Đa lưu Irữ ảo (M V S - Multiple Viiual M em ory Space) ià HĐH IBM được dùng trong các tnáv tính thế hộ 370 Các chức năng an ninh ba« gồm kicm soái u uy nhập, quản lý hộ nhớ ảo và kiểm toán truy nhập Việc bảo vệ

có thể được tăng cường bằng cách kết hợp thêm các gói an loàn Tiện ích kiểm soái Iruy nhập lài nguyên (R A C F - R esource Access Control Facility) được hiểu một cách đặc biệt về bảo vệ và kiểm soái truy nhập tài nguyên của môi Irường MVS Hệ (hống M V S hoạt động trong c h ế độ chia xẻ thời gian qua chức năng chia sẻ thời gian (TSO) C ác chức năng an ninh trực tiếp của MVS (trừ kết hợp R A CF) có thổ tóm lắt như sau:

- Bộ xử lý có thể hoạt động trong hai c h ế độ riêng, c h ế độ kiểm soát và

ch ế <jộ người dùng, (ư<mg ứng với phần mém hệ thống và chương trình người dùng

- Sụ tiếp nối những người dùng lới hệ [hống thực hiện qua mật khẩu và nhận dạng Cá mật khẩu người dùn ẹ và nhận dạng được lưu Irữ dưới hình thức

Chương l: Vấn dé an toàn ihỏng tin - P hạm ĩỉữ u Duyên

rõ ràng trong Ihư viện hệ thống “S Y S l.U A D S ” , cùng lúc dữ liệu liên hộ tới thú lục đãng nhập, số kế toán, sư lược người dùng và c ác m ục quản Irị khác Thư viện mật khâu có (hc được bảo VÇ.

đọc hoặc ghi truy nhập tới dữ liệu Mật khẩu này được chứa trong dãy dữ liệu đặc hiệt và được HĐ H bảo vệ

- Dãy dữ liệu được kiểm soát bằng phương pháp truy nhập hộ nhớ áo (V SA M - Vitual Storage Access M ethod) có thể được hảo vệ bằng mậi khẩu lưu trữ trong thư mục

- Dãy d ữ liệu có the được xác định thời hạn những yêu cầu cập nhật sau ngày này được báo cáo tới người điểu hành đế quyếl định chấp nhận hoặc từ chối

Real memory

OS Program A

Dala A Program B

Program c

Data R Dala c

- Bộ nhớ được diều khiển bằng kỹ lliuậi hộ nhớ ảo Mỗi người dùng giữ mộl vùng hộ nhớ riêng (khổnụ gian địa chi) áo có cùng kích thước với hộ nhớ Ihựe loàn cục K hông gian địa chí cúa các người dùng khác nhau không bi suy diễn lẫn nhau HĐH thường (rú trong không gian ảo của nuười dùng (Hình 1.11) Kỹ thuật đánh số được được dùng đố điều khiển bộ nhớ Việc hảo vệ time, vùng hộ nhớ dựa trôn cơ chê khoá 4 hit với mỗi trang 4096 hit Trong khi iruy nhập Iran« hộ nhớ, khoá truy nhập của chương Irình phải so với khoá của khôi.

1.6.2 UNIX

Hệ diéu hành UNIX được dùng irong mói 1 rường “thân thiện ” với chính sách chia sẻ tài nguyên đặc trưng và không cần chính sách an ninh đặc biệl Hiện tại UNIX được sử dụnti rộng lãi trong eôn ẹ ng hiệp và trơ thành liêu chuẩn (ham khảo của HĐH

Về an ninh, UNIX cung cấp cơ c h ế có khả năng giữ dấu vết kếl nối các ntiuừi đùng, xác thực nu ười đùng trong khi kết nối, tách file của người dùng

và kiểm soát truy nhập lới lài nguyên Theo c ơ c h ế này, những người dùng không được phép có thể bị lừ chối truy nhập hệ (hống: lệnh của người tạo liên

hệ (ới quá trình và file truy nhập chỉ được thừa nhận khi những yêu cẩu của người d ùng được cấp quyền đúng với truy nhập được yêu cầu

Trong UNIX, các yếu tô' an nính thích hợp là người dùng, nhóm, tiến trình và file

Người dùng: được nhận dạrm bẳng tên đăng nhập và số dinh danh (uid), dược d ù n g ở cơ c h ế mức thấp c ủa hệ thố ng , người d ù n g được xác nhận qua tôn và mật khấu, được đưa vào trong khi kết nối và so sánh với lên và mậl khẩu lưu Uong file /etc/passwd

Nhóm: Đó là danh sách người dùng được nhóm lại trôn cơ sử sắp xếp

c ác truy nhập chung Người dùng cỏ thổ thuộc vổ nhiều nhóm , nhưng tại thời

Chương ỉ ; Vấn d ể an loàn thõng tin - P hạm H ữ u Duyén

N hận dạng nhóm thực: đáp úng cho nhóm người dùng mặc định, nhưnc

có khá năng đổi sang nhóm khác

N h ận d ạng nhóm hiện tại: đáp ứng cho nhóm người dùrm sử dụng đặc quyền, hiện tại khà dụng liến irình

File: Mỗi file liên hệ với với cấu Irúc 16 bít được gọi là i-node, bao gồm tấl cả c ác thông tin liên hệ đến file và bảo vệ chúng, 12 bit đầu chứa thông tin hảo vệ file, 4 bú sau là kiểu file

1.6.3 I B M V M /S P

Hệ điều hành VM/SP (Vilual M achine / System Product) của IBM đã được dùnụ để quản lý các H Đ H khác nhu DOS, DOS/VS, DOS/VSE, MVS/SP, VM/370

V M /SP điều khiển mói trường đa chương trình, ở đổ các nhóm người dùng có thể sở hữu HĐH của mình và tất cả các H ĐH thường trú trong cùng

hệ thống lính toán Nhữntì người d ùng của mỗi H Đ H hoạt động trong hệ thống “ ảo” chuyên biệt, ở đó họ sở hữu tài nguyên (CPU, bộ nhớ, thiêì bị ngoại vi) Trên Ihực tế, chương Irình kiểm soát bắt chước môi trường chuyên hiệt (m áy áo) cho mỗi HĐH: máy ảo làm việc tách riông cộng đồng, ngoài viộc chia xẻ lài nguyên (Hình 1.12) Nhiệm vụ của chương trình kiểm soái là:

C hương ỉ : Vấn d ề un loíìn thòng tin - Phạm ỉỉữ u Duyên