intTypePromotion=1
ADSENSE

Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:81

32
lượt xem
4
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục tiêu chính của luận văn tìm hiểu các kỹ thuật và phương pháp để thực hiện nhiệm vụ bảo mật và an toàn dữ liệu như mật mã, xác thực, bảo mật, chữ ký số… có liên quan tới truyền thông an toàn và cơ sở dữ liệu, sau đó sử dụng hệ quản trị cơ sở dữ liệu MySQL với bài toán quản lý dữ liệu và truyền thông bảo mật dữ liệu về kết quả học tập của học sinh cho một trường THPT của tỉnh Quảng Ninh để thử nghiệm.

Chủ đề:
Lưu

Nội dung Text: Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh

  1. ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN THỊ THU TRANG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU ỨNG DỤNG CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH THÁI NGUYÊN - 2020
  2. ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN THỊ THU TRANG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU ỨNG DỤNG CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH Chuyên ngành: Khoa học máy tính Mã số: 8 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hướng dẫn: TS. Hồ Văn Hương THÁI NGUYÊN - 2020
  3. i LỜI CẢM ƠN Trong suốt quá trình học tập vừa qua, em đã được quý thầy cô cung cấp và truyền đạt tất cả kiến thức chuyên môn cần thiết và quý giá nhất. Ngoài ra, em còn được rèn luyện một tinh thần học tập và làm việc độc lập và sáng tạo. Đây là tính cách hết sức cần thiết để có thể thành công khi bắt tay vào nghề nghiệp trong tương lai. Đề tài luận văn thạc sĩ là cơ hội để em có thể áp dụng, tổng kết lại những kiến thức mà mình đã học. Đồng thời, rút ra được những kinh nghiệm thực tế và quý giá trong suốt quá trình thực hiện đề tài. Sau một thời gian em tập trung công sức cho đề tài và làm việc tích cực, đặc biệt là nhờ sự chỉ đạo và hướng dẫn tận tình của TS Hồ Văn Hương cùng với các thầy cô trong trường Đại học Công nghệ thông tin & Truyền thông - Đại học Thái Nguyên, đã giúp cho em hoàn thành đề tài một cách thuận lợi và gặt hái được những kết quả mong muốn. Bên cạnh những kết quả khiêm tốn mà em đạt được, chắc chắn không tránh khỏi những thiếu sót khi thực hiện luận văn của mình, kính mong thầy cô thông cảm. Sự phê bình, góp ý của quý thầy cô sẽ là những bài học kinh nghiệm rất quý báu cho công việc thực tế của em sau này. Là sinh viên ngành công nghệ thông tin, em rất tự hào về khoa mà mình theo học, tự hào về tất cả các thầy cô của mình. Em xin chân thành cảm ơn TS Hồ Văn Hương đã tận tình giúp đỡ em hoàn thành đề tài này. Em xin chân thành cảm ơn! Thái Nguyên, tháng 9 năm 2020 Học viên Nguyễn Thị Thu Trang
  4. ii LỜI CAM ĐOAN Em xin cam đoan nội dung luận văn này là do chính em thực hiện, các số liệu thu thập và kết quả phân tích trong báo cáo là trung thực, không sao chép từ bất cứ đề tài nghiên cứu khoa học nào. Nếu sai, em xin hoàn toàn chịu trách nhiệm trước Nhà trường. Thái Nguyên, tháng 9 năm 2020 Học viên Nguyễn Thị Thu Trang
  5. iii MỤC LỤC LỜI CẢM ƠN ..............................................................................................................i LỜI CAM ĐOAN ...................................................................................................... ii DANH MỤC HÌNH ẢNH .........................................................................................vi MỞ ĐẦU .....................................................................................................................1 1. Tính khoa học và cấp thiết của đề tài ......................................................................1 2. Đối tượng và phạm vi nghiên cứu của đề tài ..........................................................2 3. Phương pháp luận nghiên cứu .................................................................................2 4. Nội dung và bố cục của luận văn ............................................................................3 CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRONG CƠ SỞ DỮ LIỆU ............................................................................................................................4 1.1. Giới thiệu chung về an toàn, bảo mật cơ sở dữ liệu .........................................4 1.2. Khái niệm cơ bản .............................................................................................4 1.2.1. Các thành phần của DBMS .......................................................................5 1.2.2. Các mức mô tả dữ liệu ..............................................................................6 1.3. Vấn đề an toàn trong cơ sở dữ liệu ..................................................................7 1.3.1. Các hiểm hoạ đối với an toàn cơ sở dữ liệu .............................................7 1.3.2. Các yêu cầu bảo vệ cơ sở dữ liệu..............................................................8 1.4. Kiểm soát an toàn .............................................................................................9 1.4.1. Kiểm soát luồng.......................................................................................10 1.4.2. Kiểm soát suy diễn ..................................................................................10 1.4.3. Kiểm soát truy nhập ................................................................................10 1.5. Khảo sát thực trạng an toàn và bảo mật cơ sở dữ liệu tại Sở Giáo dục và Đào tạo tỉnh Quảng Ninh ..............................................................................................11 1.6. Kết luận chương 1 ..........................................................................................15 CHƯƠNG 2. LÝ THUYẾT MẬT MÃ TRONG BẢO MẬT CƠ SỞ DỮ LIỆU .....17 2.1. Giới thiệu về lý thuyết mật mã .......................................................................17 2.2. Mã hóa bằng khóa bí mật ...............................................................................18 2.2.1. Khái niệm ................................................................................................18 2.2.2. Ưu khuyết điểm........................................................................................18 2.2.3. Cơ chế mã hóa khóa bí mật.....................................................................19 2.3. Mã hóa bằng khóa công khai .........................................................................21 2.3.1. Khái niệm ................................................................................................21 2.3.2. Ưu khuyết điểm........................................................................................22
  6. iv 2.3.3. Cơ chế mã hóa khóa công khai ...............................................................22 2.4. Xác thực thông tin ..........................................................................................25 2.4.1. Bảo vệ tính toàn vẹn của thông tin ..........................................................26 2.4.2. Kiểm chứng danh tính nguồn gốc thông tin ............................................27 2.4.3. Chống từ chối bản tin gốc .......................................................................28 2.5. Hàm băm ........................................................................................................30 2.6. Chữ ký số .......................................................................................................32 2.7. Một số vấn đề về bảo mật cơ sở dữ liệu .........................................................35 2.7.1. Mô hình bảo mật CSDL ..........................................................................35 2.7.2. Các yếu tố mất an toàn với cơ sở dữ liệu ................................................39 2.7.3. Những yêu cầu khi xây dựng một hệ thống cơ sở dữ liệu an toàn ..........40 2.8. Kết luận chương 2 ..........................................................................................41 CHƯƠNG 3. THỰC NGHIỆM MỘT SỐ GIẢI PHÁP AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU MYSQL ỨNG DỤNG CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH ...............................................................................................42 3.1. Mục tiêu và giải pháp bảo mật cơ sở dữ liệu .................................................42 3.1.1. Mục tiêu ...................................................................................................42 3.1.2. Giải pháp .................................................................................................42 3.2. Giải pháp bảo mật CSDL trong hệ quản trị CSDL MySQL ..........................49 3.2.1. Giới thiệu.................................................................................................49 3.2.2. Vấn đề bảo mật trong MySQL.................................................................50 3.3. Thử nghiệm bảo mật cơ sở dữ liệu trong phát triển website quản lý điểm ....57 3.3.1. Phạm vi và yêu cầu bài toán ...................................................................57 3.3.2. Mô hình bảo mật của hệ thống................................................................58 3.3.3. Triển khai mô hình bảo mật ....................................................................59 3.3.4. Một số kết quả sau khi phát triển website ...............................................59 3.4. Kết luận chương 3 ..........................................................................................69 KẾT LUẬN VÀ ĐỀ NGHỊ .......................................................................................70 TÀI LIỆU THAM KHẢO .........................................................................................72
  7. v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT AES : Advanced Encrypition Standard CA : Certificate Authority CSDL : Cơ sở dữ liệu DBMS : Database Management System DDL : Data Definition Language DES : Data Encript Standard DDM : Data Manipulation Language MAC : Message Authentication Code QL : Query Language SQL : Structured Query Language
  8. vi DANH MỤC HÌNH ẢNH Hình 1.1: Tương tác giữa trình ứng dụng và cơ sở dữ liệu .........................................6 Hình 1.2: Hệ thống kiểm soát truy nhập ...................................................................11 Hình 2.1: Mã hóa bằng khóa bí mật ..........................................................................18 Hình 2.2: Tiến trình mã hoá AES..............................................................................20 Hình 2.3: Mã hóa bằng khóa công khai ....................................................................22 Hình 2.4: Các bước thực hiện của thuật toán RSA ...................................................23 Hình 2.5: Lược đồ tạo chữ ký số ...............................................................................33 Hình 2.6: Lược đồ kiểm tra chữ ký số ......................................................................34 Hình 2.7: Các thành phần của mô hình an toàn trong một hệ thống an toàn ............39 Hình 3.1: Dòng dữ liệu trao đổi giữa hai nút ............................................................44 Hình 3.2: Mô hình khai thác CSDL được bảo mật ...................................................46 Hình 3.3: Giao thức bắt tay của SSL.........................................................................52 Hình 3.4: Mô hình bảo mật của hệ thống ..................................................................58 Hình 3.5: Giao diện đăng nhập người dùng ..............................................................60 Hình 3.6: Bản mã tài khoản người dùng ...................................................................60 Hình 3.7: Giao diện thêm mới học sinh ....................................................................61 Hình 3.8: Sửa thông tin học sinh ...............................................................................61 Hình 3.9: Bản mã thông tin học sinh ........................................................................61 Hình 3.10: Giao diện nhập điểm của học sinh ..........................................................62 Hình 3.11: Giao diện xem bản mã điểm của học sinh ..............................................62 Hình 3.12: Bản mã được lưu trong CSDL ................................................................63 Hình 3.13: Giao diện sau khi đăng nhập ...................................................................63 Hình 3.14: Giao diện thiết lập năm học ....................................................................64 Hình 3.15: Giao diện thêm mới năm học ..................................................................65 Hình 3.16: Giao diện thiết lập môn học ....................................................................65 Hình 3.17: Giao diện thêm mới môn học ..................................................................66 Hình 3.18: Giao diện quản lý người dùng .................................................................66 Hình 3.19: Giao diện quản lý lớp học .......................................................................67
  9. vii Hình 3.20: Giao diện danh sách học sinh trong lớp ..................................................68 Hình 3.21: Giao diện sửa và xét hạnh kiểm học sinh trong lớp ................................68 Hình 3.22: Giao diện tìm kiếm điểm .........................................................................69
  10. 1 MỞ ĐẦU 1. Tính khoa học và cấp thiết của đề tài An toàn thông tin luôn là vấn đề được bàn luận và quan tâm trong thời đại Internet phát triển, đảm bảo thông tin được bảo mật, không bị đánh cắp, sửa đổi làm ảnh hưởng đến quyền lợi của người dùng cá nhân cũng như của các tổ chức. Ngày nay, lĩnh vực bảo mật an toàn thông tin đang được nghiên cứu, phát triển và ứng dụng rộng rãi trong nhiều hệ thống thông tin nhằm đảm bảo một hệ thống có tính bảo mật, tin cậy và sẵn sàng. Đặc biệt là những hệ thống có cơ sở dữ liệu lưu trữ lớn cần phải có giải pháp đảm bảo an toàn và bí mật như trong lĩnh vực ngân hàng, tài chính, bảo hiểm. Do đó, việc tạo ra một hệ thống an toàn phục vụ cho nhu cầu truy cập, sửa đổi, cập nhật là hết sức cần thiết và chỉ có những cá nhân hay các tổ chức có quyền hợp lệ mới có khả năng tương tác dữ liệu với hệ thống. Vì thế, nhiệm vụ đảm bảo tính bí mật cho cơ sở dữ liệu là hết sức quan trọng, giúp tạo ra một hệ thống bảo mật, hoạt động chặt chẽ và an toàn cho việc cập nhật và truy cập dữ liệu. Hiện nay, Quảng Ninh là một trong những tỉnh tiên phong trong việc triển khai Chính phủ điện tử và ứng dụng công nghệ thông tin vào hầu hết các ngành nghề, các lĩnh vực trong cuộc sống. Trong đó, giáo dục và đào tạo là ngành được quan tâm hàng đầu. Sở Giáo dục và Đào tạo tỉnh Quảng Ninh đã không ngừng áp dụng những ứng dụng mới vào công tác quản lý cũng như công tác dạy và học, mang lại nhiều hiệu quả tích cực. Nhưng cùng với thực trạng chung trên cả nước, sự phát triển nhanh chóng của công nghệ thông tin đang khiến cho vấn đề mất an toàn thông tin của Sở Giáo dục và Đào tạo tỉnh Quảng Ninh ở mức độ cao. Do năng lực chống lại sự xâm nhập về thông tin còn yếu, hầu hết không biết rõ đối tượng tấn công cơ sở dữ liệu của mình và chưa có quy trình thao tác để ứng phó khi có sự cố xảy ra. Từ đó đặt ra những nhiệm vụ quan trọng đối với Sở Giáo dục và Đào tạo tỉnh Quảng Ninh là công tác đảm bảo an toàn và bảo mật thông tin cho cơ sở dữ liệu.
  11. 2 Được sự gợi ý của thầy giáo hướng dẫn tôi đã chọn đề tài “Nghiên cứu một số giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh” làm luận văn tốt nghiệp của mình. Mục tiêu chính của luận văn tìm hiểu các kỹ thuật và phương pháp để thực hiện nhiệm vụ bảo mật và an toàn dữ liệu như mật mã, xác thực, bảo mật, chữ ký số… có liên quan tới truyền thông an toàn và cơ sở dữ liệu, sau đó sử dụng hệ quản trị cơ sở dữ liệu MySQL với bài toán quản lý dữ liệu và truyền thông bảo mật dữ liệu về kết quả học tập của học sinh cho một trường THPT của tỉnh Quảng Ninh để thử nghiệm. 2. Đối tượng và phạm vi nghiên cứu của đề tài - Đối tượng nghiên cứu: Tìm hiểu, nghiên cứu thực trạng và nhu cầu về an ninh, an toàn thông tin trong bộ dữ liệu của Sở Giáo dục và Đào tạo tỉnh Quảng Ninh, dựa trên các tiêu chuẩn, cơ sở mật mã, chữ ký số nhằm đưa ra các giải pháp an toàn và bảo mật cơ sở dữ liệu cho Sở Giáo dục và Đào tạo. - Phạm vi nghiên cứu: Luận văn tập trung nghiên cứu trên bài toán bảo mật thông tin trong CSDL MySQL. 3. Phương pháp luận nghiên cứu - Phương pháp nghiên cứu lý thuyết: Nghiên cứu, thu thập các tài liệu đã xuất bản, các bài báo trên các tạp chí khoa học và các tài liệu trên mạng Internet có liên quan đến vấn đề đang nghiên cứu của các tác giả trong và ngoài nước. Từ đó, chọn lọc và sắp xếp lại theo ý tưởng của mình. Tìm hiểu, vận dụng một số giải pháp an toàn và bảo mật cơ sở dữ liệu. Thực hiện triển khai cài đặt ứng dụng demo sử dụng một số giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh. - Phương pháp nghiên cứu thực nghiệm: Nghiên cứu tài liệu, ứng dụng và công nghệ liên quan. Tổng hợp các tài liệu lý thuyết về bảo mật CSDL. Xây dựng ứng dụng để bảo mật CSDL MySQL. - Phương pháp trao đổi khoa học: Thảo luận, xemina, lấy ý kiến chuyên gia.
  12. 3 4. Nội dung và bố cục của luận văn Ngoài phần mở đầu, kết luận và hướng phát triển, luận văn được bố cục thành ba chương chính như sau: Chương 1. Tổng quan về an toàn thông tin trong cơ sở dữ liệu: Giới thiệu một cách tổng quan về an toàn thông tin trong cơ sở dữ liệu. Chương 2. Cơ sở lý thuyết mật mã trong bảo mật cơ sở dữ liệu: Giới thiệu những kiến thức chung về mã hóa đối xứng, mã hoá công khai và cơ chế mã hóa. Nêu ra các vấn đề an toàn trong dùng các hệ mã, phân phối và sử dụng khóa. Chương 3. Thực nghiệm một số giải pháp an toàn và bảo mật cơ sở dữ liệu MySQL ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh: Trình bày các giải pháp bảo mật trong CSDL, từ đó đưa ra hướng bảo mật CSDL MySQL và xây dựng ứng dụng bảo mật CSDL MySQL. Xây dựng ứng dụng bảo mật CSDL điểm cho các trường THPT.
  13. 4 CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRONG CƠ SỞ DỮ LIỆU 1.1. Giới thiệu chung về an toàn, bảo mật cơ sở dữ liệu An ninh cơ sở dữ liệu đã trở thành một vấn đề có tầm quan trọng toàn cầu, những kẻ xâm nhập tìm mọi con đường để đánh cắp dữ liệu. Hướng triển khai nhiều lớp bảo mật trong môi trường cơ sở dữ liệu quan trọng là phương pháp hữu hiệu nhất để giảm thiểu nguy cơ xâm phạm dữ liệu. Nếu nhiều lớp bảo mật được áp dụng cho một môi trường lưu trữ dữ liệu, khi đó những kẻ xâm nhập sẽ có một thời gian khó khăn hơn khi truy cập dữ liệu. Để bảo mật môi trường lưu trữ dữ liệu cần có những lớp bảo vệ sau: Bảo mật cơ sở dữ liệu, bảo mật máy tính và an ninh mạng. 1.2. Khái niệm cơ bản CSDL được hiểu là một tập hợp các dữ liệu, các quy tắc dữ liệu và chỉ ra mỗi quan hệ giữa các dữ liệu ấy. Thông qua quy tắc này thì người tạo lập CSDL mô tả khuôn dạng logic cho dữ liệu [1]. Hệ quản trị CSDL: Hay trình quản lý CSDL (DBMS) là một hệ thống chương trình hỗ trợ thuận lợi cho người tạo lập CSDL và quản lý CSDL. Ví dụ như hệ quản trị CSDL Access của Microsoft: Hỗ trợ cho việc tạo bảng, câu lệnh truy vẫn, các khung nhìn, thủ tục lưu trữ... rất thuận tiện, thực hiện các chính sách về truy cập CSDL. Người quản trị CSDL: Là những người xác định các quy tắc về tổ chức, kiểm soát, cấp quyền truy cập đến các thành phần của CSDL. Ví dụ như hệ quản trị CSDL của Microsoft là SQL server: Người quản trị có thể tạo ra những quy tắc, cấp quyền truy xuất đến CSDL,...
  14. 5 Người dùng tương tác đến CSDL: Là những đối tượng truy xuất đến CSDL thông qua hệ quản trị CSDL hay ứng dụng có tương tác (truy xuất) đến CSDL. Ví dụ: Website báo chí cần truy xuất thông tin bài báo bằng cách thực hiện kết nối đến CSDL. 1.2.1. Các thành phần của DBMS Một DBMS thông thường bao gồm nhiều môđun tương ứng với các chức năng sau:  Định nghĩa dữ liệu - DDL.  Thao tác dữ liệu - DML.  Hỏi đáp cơ sở dữ liệu - QL.  Quản trị cơ sở dữ liệu - DBMS.  Quản lý file. Nguyên lý hoạt động: Yêu cầu người dùng cuối hoặc một chương trình ứng dụng thông qua câu lệnh của DML hoặc QL để thao tác với CSDL. Các câu lệnh này được thông dịch bằng bộ xử lý DML, QL. Kết quả đưa ra các câu hỏi tối ưu theo lược đồ CSDL. Sau đó các câu lệnh được đưa tới bộ quản lý CSDL. Tại đây bộ quản lý CSDL kiểm tra xem người dùng hoặc chương trình có được phép truy cập tới CSDL không, thông qua bảng phân quyền. Ngoài tra chương trình quản lý CSDL không, thông qua bảng truy cập đồng thời. Tiếp đó thực hiện truy vấn tới chương trình quản lý file, thực thi các thao tác trên file. Chương trình này chịu trách nhiệm lấy dữ liệu từ trong CSDL rồi trả về kết quả cho người dùng thông qua chương trình quản lý file, chương trình quản lý CSDL. Bộ xử lý DML, QL là nơi tiếp nhận sự trả về cuối cùng [1].
  15. 6 Hình 1.1: Tương tác giữa trình ứng dụng và cơ sở dữ liệu Tất cả mọi thao tác nhằm truy vấn tới CSDL đều được thực hiện thông qua các thủ tục của DBMS. Thực hiện một câu lệnh DML tương ứng với một thủ tục của DBMS truy cập tới CSDL. 1.2.2. Các mức mô tả dữ liệu DBMS mô tả dữ liệu theo nhiều mức khác nhau và được mô tả như sau [1]:  Tầng hiển thị logic: Chức năng của tầng là hỗ trợ các ứng dụng hiển thị trên đó, việc xây dựng tầng này phụ thuộc vào các yêu cầu của mô hình logic và mục đích của ứng dụng. Tầng hiển thị logic mô tả một phần tầng lược đồ CSDL logic. Tầng này sử dụng DDL để định nghĩa các hiển thị logic và DML để thực hiện các thao tác trên đó.  Tầng lược đồ dữ liệu logic: Ở tầng này tất cả dữ liệu của CSDL được mô tả sử dụng mô hình logic của DBMS. Dữ liệu và các mối quan hệ của dữ liệu được mô tả qua DDL của DBMS và các thao tác khác nhau trên tầng này được xác định thông qua DML của DBMS.  Tầng dữ liệu vật lý: Ở tầng này kiến trúc lưu trữ của dữ liệu chính là các file trên bộ nhớ ngoài. Dữ liệu là các dữ liệu vật lý được lưu trữ như bản ghi hay con trỏ của bản ghi.
  16. 7  Việc DBMS tạo ra các tầng khác nhau trong mô tả của dữ liệu làm cho khái niệm về logic và vật lý của dữ liệu trở nên độc lập ở cả hai mức logic và vật lý.  Độc lập logic nghĩa là một lược đồ logic có thể được thay đổi mà không làm thay đổi các chương trình ứng dụng làm việc của lược đồ này.  Độc lập vật lý nghĩa là lược đồ dữ liệu vật lý có thể thay đổi mà không cần thay đổi các ứng dụng truy cập dữ liệu trên đó. 1.3. Vấn đề an toàn trong cơ sở dữ liệu 1.3.1. Các hiểm hoạ đối với an toàn cơ sở dữ liệu Hiểm họa đối với an ninh cơ sở dữ liệu là người truy cập trái phép vào CSDL nhằm sao chép, sửa đổi, khám phá thông tin. Hiện nay, hiểm họa hàng đầu đối với an toàn cơ sở dữ liệu là:  Lạm dụng quyền vượt mức: Người dùng sử dụng quyền vượt mức các yêu cầu trong chức năng công việc của mình.  Lạm dụng quyền hợp pháp: Người dùng sử dụng không dúng mục đích quyền của mình để thu thập dữ liệu...  Nâng cấp quyền bất hợp pháp: Kẻ tấn công thay đổi quyền truy nhập của người bình thường thành quyền truy nhập của một người quản trị.  Lợi dụng các điểm yếu của nền tảng: Các điểm yếu trên hệ điều hành, điểm yếu trong các dịch vụ được cài đặt máy chủ CSDL có thể dẫn tới truy nhập bất hợp pháp, hay từ chối dịch vụ.  SQL Injection: Kẻ tấn công chèn các mệnh đề CSDL bất hợp pháp vào nguồn CSDL SQL. Để truy nhập và khai thác dữ liệu.  Mã độc:
  17. 8 Kẻ tấn công sử dụng các mã độc, hoặc phần mềm độc hại để thâm nhập vào các tổ chức để lấy cắp dữ liệu nhạy cảm.  Lợi dụng lỗ hổng truy vết: Không phát hiện và ngăn chặn được hành động tấn công của người dùng do không ghi lại được đầy đủ những hành động của người dùng.  Từ chối dịch vụ: Người dùng hợp pháp sẽ không thể truy cập được dữ liệu hay các ứng dụng trên mạng.  Lợi dụng sự sơ hở để khai thác phương tiện lưu trữ: Do các phương tiện lưu trữ không thường xuyên được bảo vệ khỏi các tấn công dễ dẫn đến mất mát đĩa và băng sao lưu CSDL. 1.3.2. Các yêu cầu bảo vệ cơ sở dữ liệu Bảo vệ cơ sở dữ liệu khỏi các hiểm hoạ, có nghĩa là bảo vệ tài nguyên, đặc biệt là dữ liệu khỏi các thảm hoạ, hoặc truy nhập trái phép. Các yêu cầu bảo vệ cơ sở dữ liệu gồm [2]:  Bảo vệ chống truy cập trái phép: Đây là một vấn đề được quan tâm chính trong an toàn CSDL. Nó bao gồm việc truy cập hợp pháp tới dữ liệu của người được cấp quyền. Các yêu cầu truy cập sẽ được DBMS kiểm tra lại để xem xét có chấp nhận quyền đó của người dùng hay chương trình ứng dụng không thông qua bảng phân quyền.  Bảo vệ chống suy diễn: Suy diễn chỉ rõ khả năng thu được thông tin bí mật từ những dữ liệu đã được công khai. Vấn đề suy diễn thường là mối đe dọa lớn của cơ sở dữ liệu thống kê. Người dùng sẽ bắt đầu tìm thông tin ẩn từ những dấu vết để lại trên thông tin đã được công khai.  Bảo vệ toàn vẹn CSDL:
  18. 9 Bảo vệ truy vấn lại sự truy cập trái phép bắt nguồn từ các lỗi, virut, sự phá hoại hoặc các lỗi hệ thống. DBMS dựa vào dạng bảo vẹn thông qua việc kiểm soát tính đúng đắn của hệ thống, các thủ tục sao lưu, phục hồi dữ liệu, các thủ tục an toàn dữ liệu.  Tính đúng đắn của các phép toán thực hiện trên dữ liệu: Yêu cầu này đảm bảo tính tương thích logic của dữ liệu và các thao tác thực hiện đồng thời trên dữ liệu.  Tính toàn vẹn về mặt ngữ nghĩa của dữ liệu: Yêu cầu đảm bảo tính tương thích logic của dữ liệu bị thay đổi, bằng cách kiểm tra dữ liệu có nằm trong khoảng giá trị cho phép hay không.  Dữ liệu có khả năng lưu vết và kiểm tra: Là khả năng ghi lại mọi truy cập tới dữ liệu và dữ liệu có khả năng kiểm tra được nhằm đảm bảo tính toàn vẹn dữ liệu.  Xác thực người dùng: Hệ thống phải có khả năng xác thực đối tượng người dùng và quyền truy cập của người dùng tới dữ liệu, chỉ có người có quyền hợp pháp mới được truy cập tới dữ liệu.  Bảo vệ dữ liệu nhạy cảm: Bảo vệ dữ liệu nhạy cảm là một vấn đề rất quan trọng đặt biệt trong các môi trường năng động, nhạy cảm như quân đội, thương mại…  Có nhiều cấp độ bảo vệ khác nhau: Tùy vào tính chất nhạy cảm của dữ liệu mà phân cấp, cấp độ bảo vệ khác nhau và trao quyền cho người dùng truy cập tới dữ liệu là khác nhau.  Giới hạn thông tin truyền nhằm tránh mất mát thông tin trên đường truyền. 1.4. Kiểm soát an toàn Có thể bảo vệ được cơ sở dữ liệu thông qua các phương pháp an toàn sau:  Kiểm soát luồng.  Kiểm soát suy diễn.
  19. 10  Kiểm soát truy nhập. 1.4.1. Kiểm soát luồng Kiểm soát luồng là kiểm tra xem thông tin có trong một số đối tượng có đi vào các đối tượng có mức bảo vệ thấp hơn hay không. Các kiểm soát luồng điều chỉnh phân bố luồng thông tin giữa các đối tượng có khả năng truy nhập. Các chính sách kiểm soát luồng cần phải chỉ ra các luồng có thể được chấp nhận, hoặc phải điều chỉnh. 1.4.2. Kiểm soát suy diễn Kiểm soát suy diễn nhằm mục đích bảo vệ dữ liệu không bị khám phá gián tiếp. Các kênh suy diễn chính trong hệ thống là:  Truy nhập gián tiếp: Từ dữ liệu được phép truy nhập để khám phá ra những dữ liệu khác qua các câu hỏi truy vấn.  Dữ liệu tương quan: Dữ liệu tương quan là một kênh suy diễn đặc trưng, xảy ra khi dữ liệu có thể nhìn thấy được X và dữ liệu không thể nhìn thấy được Y kết nối với nhau mặt ngữ nghĩa. Kết quả là có thể khám phá được thông tin về Y nhờ đọc X.  Thiếu dữ liệu: Kênh thiếu dữ liệu là một kênh suy diễn mà qua đó, người dùng có thể biết được sự tồn tại của một tập giá trị X. 1.4.3. Kiểm soát truy nhập Kiểm soát truy nhập trong các hệ thống thông tin là đảm bảo mọi truy nhập trực tiếp vào các đối tượng của hệ thống tuân theo các kiểu và các quy tắc đã được xác định trong chính sách bảo vệ. Hình 1.2 minh hoạ một hệ thống kiểm soát truy nhập.
  20. 11 Hình 1.2: Hệ thống kiểm soát truy nhập 1.5. Khảo sát thực trạng an toàn và bảo mật cơ sở dữ liệu tại Sở Giáo dục và Đào tạo tỉnh Quảng Ninh Hiện tại, Sở Giáo dục và Đào tạo tỉnh Quảng Ninh đã và đang thực hiện quản lý nhiều lĩnh vực khác nhau, trong đó bao gồm một số lĩnh vực sau: - Quản lý cán bộ (CB) gồm các thông tin sau: Mã CB, tên CB, ngày sinh, giới tính, trình độ đào tạo, bộ môn, hình thức hợp đồng, phòng ban/đơn vị, email, số điện thoại, tình trạng. - Quản lý Đảng viên (ĐV) gồm các thông tin sau: Mã ĐV, tên ĐV, chức vụ, trình độ đào tạo, phòng ban/đơn vị, ngày vào Đảng, ngày chính thức, trạng thái. - Quản lý học sinh (HS) gồm các thông tin sau: Mã HS, tên HS, ngày sinh, giới tính, lớp, trường, trạng thái. - Quản lý điểm học sinh được tác giả trình bày chi tiết ở phần tiếp theo của luận văn. Quảng Ninh là một trong những tỉnh tiên phong trong việc triển khai Chính phủ điện tử và ứng dụng công nghệ thông tin vào hầu hết các ngành nghề, các lĩnh vực trong cuộc sống. Sở Giáo dục và đào tạo tỉnh Quảng Ninh cũng triển khai các
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2