Bảo mật cơ sở dữ liệu

Tham khảo tài liệu bảo mật cơ sở dữ liệu, công nghệ thông tin, cơ sở dữ liệu phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Bảo mật cơ sở dữ liệu Bảo mật cơ sở dữ liệu (các nguyên tắc sử dụng thông thường)Gần đây vấn đề bảo mật cơ sở dữ liệu diễn ra lan tràn trên các phương tiệnthông tin đại chúng và mạng lưới tin tức Internet. Đầu tiên là sâu Slammer vàgần đây nhất là vụ truy cập bất hợp pháp hơn 8 triệu mã số thẻ tín dụng.Nhiều người đặt ra câu hỏi: “Các admin quản trị hệ thống ngủ sau bánh xe chochúng hoạt động hay sao?”. Giống như mạng Internet bị đánh bom vậy. Hiệnngười ta thường hay sử dụng các tiện ích rẻ tiền hơn của các hệ thống thông tinsử dụng web, do đó họ trở nên lười áp dụng các biện pháp bảo mật c ơ sở.Vấn đề ở đây là phải cấp bách áp dụng các biện pháp an toàn với người quảntrị hệ thống sáng suốt. Câu hỏi đầu tiên cho các admin hi ện nay thường là “Sửachữa nhanh như thế nào” chứ không phải “Có bao nhiêu mối nguy hiểm” nhưtrước kia. Muốn giải quyết đ ược vấn đề hiện tại, tr ước hết chúng ta phải điềuchỉnh lại ý thức và suy nghĩ trong mỗi người.Bây giờ chúng tôi xin cung cấp một vài phương pháp bảo mật cơ bản sau đây.Hy vọng chúng sẽ giúp bạn ít nhiều bảo vệ đ ược các cơ sở dữ liệu quan trọng.Cấu trúc bảo mật c ơ sởCác doanh nghiệp hiện nay dường như quá chú trọng vào từng thành phần bảomật mà quên đi bức tranh toàn cảnh: “Nếu như không có một hệ thống tổ chứcbảo mật cơ sở, bất kỳ chính sách bảo mật nào cũng đều thất bại”.Người quản trị hệ thống th ường hay quản lý bảo mật theo ý muốn riêng củamình, không có hoặc chỉ một ít giám sát từ ng ười quản lý cao hơn. Điều nàylàm gia tăng các câu hỏi: Ai đảm bảo rằng người quản trị hệ thống theo đúng các h ướng dẫn bảo  mật? Một tổ chức đảm bảo tất cả quản trị viên hệ thống cập nhật bản vá lỗi  mới nhất như thế nào? Một tổ chức lấy gì để đảm bảo bản vá lỗi mới nhất đã được kiểm tra để  chắc chắn chúng không trở th ành nguyên nhân gây ra hỏng hóc cho hệ thống? Ai là người kiểm chứng bảo mật cho toàn bộ tập đoàn hay tổng công ty?  Ví dụ về một tổ chức bảo mật mạng hiệu quả và rõ ràngDù có một cấu trúc phù hợp, bạn cũng vẫn gặp phải sự lộn xộn trong nhữngvấn đề quan trọng như bảo mật. Các vấn đề lộn xộn n ày gây ra không ít bi ếnđộng lớn, chẳng hạn:Jim tại văn phòng ở Bờ biển Đông đã cập nhật tất cả bản vá lỗi nh ưng anh tacó mối liên kết không an toàn với Bill ở bờ biển tây. Anh này thất bại khi thiếtlập cấu hình phù hợp cho tường lửa. Và chỉ cần như thế là đủ cho một cuộctổng tấn công phá hoại.Trước những trường hợp như thế, bạn cần xem xét lại toàn bộ khi thiết lập cấutrúc bảo mật cơ sở.Bây giờ, sau khi đã có tổ chức bảo mật c ơ sở cho hệ thống, chúng ta sẽ bắt đầuxem xét các vấn đề kỹ thuật của bảo mật cơ sở dữ liệu.Lỗ hổng cơ sở dữ liệu (muôn mặt chiến tranh bảo mật!)Bảo mật cơ sở dữ liệu về cơ bản có thể bị tấn công theo trên các lĩnh vực sau: Các dịch vụ bảo mật (Server Security)  Các kết nối cơ sở dữ liệu (Database Connection)  Điều khiển truy cập bảng (Table Access Control)  Giới hạn truy cập cơ sở dữ liệu (Restricting Database Access) Các dịch vụ bảo mật (Server Security)Server Security là chương trình tự giới hạn quyền truy cập thực vào dịch vụ cơsở dữ liệu. Đây l à khía cạnh quan trọng nhất của bảo mật, bạn nên lập kế hoạchcẩn thận cho nó.Ý tưởng cơ bản của nó là: “Bạn không thể truy cập vào cái mà bạn không thểthấy”. Đây không phải là một web server và cũng không nên là một kết nối nạcdanh. Khi cần cung cấp thông tin cho web động, c ơ sở dữ liệu của bạn khôngnên đặt cùng một máy với web server. Điều đó không chỉ vì mục đích bảo mậtmà còn tốt cho cả quá trình thực thi. Nếu cơ sở dữ liệu là để đáp ứng cho webserver, nên cấu hình chỉ cho phép kết nối với web server đó. Truy cập điạ chỉ IP tin cậy, giới hạn dịch vụ cơ sở dữ liệu chỉ trong các yêu cầu thông tin trả lời từ IP web server đã biếtĐịa chỉ IP tin cậyMỗi một server chỉ nên cấu hình cho phép liên hệ với các điạ chỉ IP tin cậy.Tương tự như ở nhà bạn, bạn không cho phép con mình nói chuyện với ngườilạ, thì ở đây bạn cũng nên biết chính xác ai được quyền “nói chuyện” vớidatabase server.Nếu điểm trả cuối là một web server thì chỉ nên cho phép điạ chỉ của webserver đó được quyền truy cập database server. Nếu database server cung cấpthông tin cho ứng dụng chính chạy trên mạng nội bộ thì nên giới hạn điạ chỉchỉ trong mạng nội bộ.Không nên để trạng thái yếu của các web database trên cùng một server vớithông tin cơ sở dữ liệu nội bộ.Các kết nối cơ sở dữ liệu (Database Connection)Các ứng dụng động (Dynamic Application) hiện nay đang trở th ành nguyênnhân khiến nhiều người cập nhật c ơ sở dữ liệu trực tiếp m à không qua thẩmđịnh. Nếu bạn cho phép ng ười dùng cập nhật cơ sở dữ liệu qua trang web, h ãyđảm bảo rằng bản cập nhật đó là an toàn. Chẳng hạn với mã nguồn S ...