Bảo mật trong SQL

Bảo mật trong SQL trình bày khái quát hệ thảo bảo mật trong quản lý cơ sở dữ liệu. SQL Server là một hệ thống quản lý cơ sở dữ liệu sử dụng Transact-SQL để trao đổi dữ liệu giữa Client computer và SQL.Server computer.
Nội dung trích xuất từ tài liệu:
Bảo mật trong SQL BẢO MẬT TRONG SQLI. Các Khái Niệm Cơ Bản SQL Server là một hệ thống quản lý cơ sở dữ liệu (Relational Database ManagementSystem (RDBMS) ) sử dụng Transact-SQL để trao đổi dữ liệu giữa Client computer và SQLServer computer. Một RDBMS bao gồm databases, database engine và các ứng dụng dùng đểquản lý dữ liệu và các bộ phận khác nhau trong RDBMS. Bảo mật là một trong những yếu tố đóng vai trò quan trọng đối với sự sống còncủa cơ sở dữ liệu. Hầu hết các hệ quản trị cơ sở dữ liệu thương mại hiện nay đềucung cấp khả năng bảo mật cơ sở dữ liệu với những chức năng như: - Cấp phát quyền truy cập cơ sở dữ liệu cho người dùng và các nhóm người dùng, phát hiện và ngăn chặn những thao tác trái phép của người sử dụng trên cơ sở dữ liệu. - Cấp phát quyền sử dụng các câu lệnh, các đối tượng cơ sở dữ liệu đối với người dùng. - Thu hồi (huỷ bỏ) quyền của người dùng. Bảo mật dữ liệu trong SQL được thực hiện dựa trên ba khái niệm chính sau đây: - Người dùng cơ sở dữ liệu (Database user): Là đối tượng sử dụng cơ sở dữ liệu, thực thi các thao tác trên cơ sở dữ liệu như tạo bảng, truy xuất dữ liệu,... Mỗi một người dùng trong cơ sở dữ liệu được xác định thông qua tên người dùng (User ID). Một tập nhiều người dùng có thể được tổ chức trong một nhóm và được gọi là nhóm người dùng (User Group). Chính sách bảo mật cơ sở dữ liệu có thể được áp dụng cho mỗi người dùng hoặc cho các nhóm người dùng. - Các đối tượng cơ sở dữ liệu (Database objects): Tập hợp các đối tượng, các cấu trúc lưu trữ được sử dụng trong cơ sở dữ liệu như bảng, khung nhìn, thủ tục, hàm được gọi là các đối tượng cơ sở dữ liệu. Đây là những đối tượng cần được bảo vệ trong chính sách bảo mật của cơ sở dữ liệu. - Đặc quyền (Privileges): Là tập những thao tác được cấp phát cho người dùng trên các đối tượng cơ sở dữ liệu. Chằng hạn một người dùng có thể truy xuất dữ liệu trên một bảng bằng câu lệnh SELECT nhưng có thể không thể thực hiện các câu lệnh INSERT, UPDATE hay DELETE trên bảng đó. SQL cung cấp hai câu lệnh cho phép chúng ta thiết lập các chính sách bảo mật trong cơ sở dữ liệu: Lệnh GRANT: Sử dụng để cấp phát quyền cho người sử dụng trên các đối tượng cơ sở dữ liệu hoặc quyền sử dụng các câu lệnh SQL trong cơ sở dữ liệu. Lệnh REVOKE: Được sử dụng để thu hồi quyền đối với người sử dụng.1. Platform Platform cho SQL Server bao gồm các phần cứng vật lý và các hệ thống mạngkết nối khách hàng đến các máy chủ cơ sở dữ liệu và các tập tin nhị phân đ ược s ửdụng để xử lý các yêu cầu cơ sở dữ liệu. Operating System Security: Các gói dịch vụ và nâng cấp hệ điều hành bao gồmviệc tăng cường an ninh mạng.2. Authentication SQLServer xác thực việc truy cập dữ liệu thông qua việc phân quyền truy cậpdữ liệu bao gồm:- Login và user: SQL Server cho phép truy nhập vào hệ thống thông qua các login.Chỉ khi có quyền ở mức độ nhất định bạn mới có thể tạo thêm login.- Server role: Role thực chất là tập hợp một nhóm các quyền và đại diện bằng m ộttên để thuận tiện cho việc quản lý.- Database role: database role tập hợp các quyền truy nh ập vào database thành t ừngnhóm để dễ tạo lập và sửa đổi.- Authentication: SQL Server xác thực các đăng nhập bằng hai c ơ chế, WindowsAuthentication và SQL Server Authentication.3. Object Security (Bảo mật đối tượng cơ sở dữ liệu) Encryption and Certificates: Encryption không giải quyết các vấn đề điều khiển,tuy nhiên nó tăng cường bảo mật bằng cách làm hạn chế mất mát dữ liệu. Certificates: là phần mềm chìa khóa được chia sẻ giữa 2 máy chủ cho phéptruyền thông tin an toàn bằng cách xác thực quyền người dùng, đồng th ời tăng kh ảnăng bảo mật các kết nối tới từng đối tượng.4. Application Security SQLServer cung cấp khả năng bảo mật từ phía các ứng dụng thông qua vi ệc c ấuhình ứng dụng, tạo kết nối tới database. Các tính năng Stored procedure và function do người dùng tự định nghĩa nhằm tránh khảnăng dữ liệu bị mất cắp hoặc bị phá hoại qua lỗ hổng SQL injection. II. SECURABLES VÀ PRINCIPAL. 1. SECURABLES Securable là nguồn tài nguyên (đối tượng cơ sở dữ liệu) mà hệ thống cơ sở dữ liệuSQL Server cho phép quy định truy cập (kiểm soát sự quy định truy c ập và cấp cho cácprincipal các quyền). Phạm vi Securable Server: Thiết bị đầu cuối, đăng nhập, vai trò máy chủ, c ơ sở d ữliệu, các thông báo sự kiện. - Phạm vi securable database: Người sử dụng, vai trò cơ sở dữ liệu, vai trò ứng dụng, khoá bất đối xứng, khóa đối xứng…. - Phạm vi securable schema: loại, lược đồ XML và đối tượng - lớp đối tượng hay nói cách khác là các đối tượng nằm bên trong một phạm vi cơ sở dữ liệu như: view, table, các thủ tục…. Kiểm soát truy cập vào một Securable: Một thực thể nhận được một “permission” đến mộtsecurable gọi là principal. Một principal phổ biến nhất là có database và user. Truy cập vàosecurables được điều khiển bởi sự cấp hoặc từ chối quyền truy cập hoặc bằng cách thêm uservà sử dụng vai trò đó có thể truy cập. 2. PRINCIPAL Principal là các nơi có thể yêu cầu tài nguyên SQL Server. Như các thành ph ầnkhác của mô hình SQL Server cho phép, principal có th ể đ ược sắp x ếp theo m ột h ệthống phân cấp. Phạm vi ảnh hưởng của principal phụ thuộc vào phạm vi định nghĩacủa principal: Windows, máy chủ, cơ sở dữ liệu, và principal không thể tách rời hoặcmột mô hình SQL server. a. Role: Role là một công cụ cực mạnh cho phép ta tập hợp các user vào cùng 1 unit nh ờđó ta có thể gán quyền chung cho cả unit đó. Vai trò của role: Để dễ quản lý 1 DB, nên xác định 1 tập hợp các role dựa theo yêu cầu công việc vàgán mỗi role những quyền hạn (permission) khác nhau. Sau đó, chỉ cần chuyển các us ...