Sau khi hệ thống hay đăng nhập của người dùng, thì một tập các điều khoản được đưa ra nhằm xác định xem đối tượng có được phép truy cập vào cơ sở dữ liệu hay không. Ủy quyền là quá trình đảm bảo sự cho phép cá nhân hoặc ứng dụng yêu cầu truy cập vào một môi trường hoặc một đối tượng trong môi trường.
Quản lý tài khoản đúng cách rất quan trọng trong việc kiểm soát an toàn và truy cập cơ sở dữ liệu. Các hoạt động phổ biến nhất mà người quản trị cần thực hiện trên một cơ sở dữ liệu là những vấn đề liên quan đến quản lý người dùng. Ở mức tối thiểu trong một cơ sở dữ liệu, một quản trị viên phải biết làm thế nào để thêm, gỡ bỏ và gán các đặc quyền cho người sử dụng trong môi trường của mình.
Trong hầu hết các cơ sở dữ liệu, tài khoản người dùng mặc định được tạo ra, trong đó tên người dùng truy cập được xác định trước, hầu hết là người dùng hệ thống hoặc quản trị tài khoản, nắm giữ quyền truy cập cao nhất vào bất kỳ vị trí nào trong cơ sở dữ liệu. Thông tin về các tài khoản này như: mật khẩu mặc định, tên người dùng, quyền và đặc quyền, khả năng tiếp cận tài khoản, có thể dễ dàng tìm thấy bằng cách thực hiện một tìm kiếm trực tuyến đơn giản.
Thêm người dùng vào một cơ sở dữ liệu là một quá trình khá đơn giản nếu người quản trị cơ sở dữ liệu đã có kế hoạch thích hợp, chuẩn bị trước danh sách quyền, cũng như khả năng tiếp cận dành cho người dùng đó. Trong việc tạo ra một tài khoản người dùng, quyền bảo mật và truy cập cũng được áp dụng, thao tác này người dùng mới phải thay đổi mật khẩu mặc định trước khi truy cập.
Trong khi đó, việc loại bỏ một người dùng có thể phức tạp hơn bởi liên quan đến tất cả các đối tượng mà người dùng sở hữu; mặt khác tùy thuộc vào vai trò của người dùng này trong công ty mà việc loại bỏ có thể là một rủi ro. Do vậy, trước khi gỡ bỏ bất kỳ người dùng nào ra khỏi cơ sở dữ liệu, người quản trị nên thực hiện kiểm kê cẩn thận các đối tượng mà người dùng đã tạo ra và sao lưu các tài khoản đó.
Đặc quyền người dùng có thể được quản lý, từ chối, hoặc thu hồi trong một cơ sở dữ liệu, cụ thể:
- Cấp một đặc quyền (Grant Privilege) là hành động cung cấp, trao cho một người dùng các quyền truy cập hay quyền thực hiện một hành động trong một cơ sở dữ liệu.
- Từ chối đặc quyền (Deny Privilege) là hành động tước bỏ các quyền truy cập hoặc quyền thực hiện một hành động trong một cơ sở dữ liệu của một người dùng.
- Thu hồi đặc quyền (Revoke Privilege) là hành động lấy đi hoặc thu hồi một đặc quyền đã cấp hoặc bị từ chối trước đây.
Vai trò
Vai trò (Role) là một tập hợp các đặc quyền liên quan được kết hợp để cung cấp một đơn vị tập trung mà từ đó có thể quản lý những người dùng hay đối tượng giống nhau trong cơ sở dữ liệu.
Role được tạo ra cho người sử dụng, các đối tượng, ứng dụng giống nhau và cung cấp nhiều thuận lợi trong việc quản lý cơ sở dữ liệu bằng cách tiết kiệm thời gian và nguồn lực, cũng như cung cấp việc quản lý tập trung cho các quản trị viên. Người dùng có thể được trao nhiều role và một role có thể được trao cho nhiều người sử dụng. Một role cũng có thể nằm trong một role khác và thừa hưởng đặc quyền.
Các cơ chế kiểm toán (auditing mechanisms) có chức năng giám sát việc sử dụng tài nguyên hệ thống của người dùng. Các cơ chế này bao gồm hai giai đoạn: Giai đoạn ghi vào nhật ký: tất cả các câu hỏi truy cập và câu trả lời liên quan đều được ghi lại (dù được trả lời hay bị từ chối) và giai đoạn báo cáo: các báo cáo của giai đoạn trước được kiểm tra, nhằm phát hiện các xâm phạm hoặc tấn công có thể xảy ra.
Các cơ chế kiểm toán thích hợp cho việc bảo vệ dữ liệu bởi chúng hỗ trợ: Đánh giá phản ứng của hệ thống đối với một số dạng hiểm họa. Từ đó, có thể phát hiện các điểm yếu và sự không đầy đủ của hệ thống; Phát hiện các xâm phạm chủ ý được thực hiện thông qua chuỗi các câu truy vấn.
Do quy mô của môi trường cơ sở dữ liệu và tài nguyên cần thiết để hoàn thành một kiểm toán cơ sở dữ liệu là rất lớn nên việc kiểm toán thường được thực hiện trong từng phần nhỏ, tập trung vào các chức năng cụ thể hoặc các khu vực tập trung. Kiểm toán các khu vực tập trung có thể bao gồm: kiểm toán bảo trì máy chủ, kiểm toán tài khoản quản trị, kiểm toán kiểm soát truy cập, kiểm toán đặc quyền dữ liệu, kiểm toán mật khẩu, kiểm toán mã hóa và kiểm toán hoạt động.
Việc bảo trì máy chủ nhằm đảm bảo các máy chủ hoạt động một cách hợp lý và chính xác, bao gồm việc xem xét các phần mềm, công cụ cập nhật, chiến lược sao lưu, kiểm tra phiên bản ứng dụng, quản lý tài nguyên, và cập nhật phần cứng. Một vài ví dụ về kiểm tra kiểm toán như: Các bản vá lỗi bảo mật mới nhất được áp dụng; Các cập nhật mới nhất của DBMS đã được áp dụng; Phiên bản của DBMS được hỗ trợ; Tồn tại một quy trình để duy trì các bản vá lỗi và phiên bản phần mềm...
Tài khoản quản trị là một phần quan trọng đối với an toàn cơ sở dữ liệu. Việc tài khoản người dùng được xử lý như thế nào là rất quan trọng để quản lý truy cập và điều khiển đặc quyền. Kiểm toán tài khoản quản trị bao gồm: đánh giá cách thức mà người quản trị xác định và tạo ra các tài khoản người dùng, loại bỏ tài khoản người dùng, áp dụng chính sách bảo mật và phân nhóm, vai trò và đặc quyền. Một số kiểm tra kiểm toán mẫu bao gồm: Vai trò của người quản trị được xác định rõ ràng; Tài khoản quản trị được phân bố hợp lý; Không được sử dụng tài khoản chung; Phải khóa hoặc gỡ bỏ các tài khoản mặc định; Kiểm tra tính toàn vẹn của việc sao lưu...
Kiểm soát truy cập là hành động kiểm soát, xử lý, cho phép và phát hiện người dùng truy cập vào cơ sở dữ liệu và tài nguyên của hệ thống, việc cần thiết để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ quản trị cơ sở dữ liệu. Kiểm toán kiểm soát truy cập là công việc tốn nhiều thời gian và có thể yêu cầu việc đăng nhập vào cơ sở dữ liệu trong một khoảng thời gian nhất định. Một số kiểm tra kiểm toán mẫu bao gồm: Xác định chỉ địa chỉ IP đáng tin cậy có thể truy cập cơ sở dữ liệu; Dữ liệu nhạy cảm được truy cập chỉ bởi những đối tượng hợp pháp; Liên kết cơ sở dữ liệu có phù hợp không; Những cơ sở dữ liệu riêng phải có kiểm soát truy cập thích hợp; Chỉ cho phép người dùng là người quản trị được phép truy cập sao lưu và phục hồi thảm họa trong cơ sở dữ liệu...
Việc giám sát đặc quyền người dùng chặt chẽ sẽ góp phần đảm bảo an toàn cơ sở dữ liệu. Đảm bảo tính phù hợp của đặc quyền trong một cuộc kiểm toán là công việc tốn nhiều thời gian nhất, thường đòi hỏi khá nhiều sự hợp tác của các nhà quản trị mạng. Một số kiểm tra kiểm toán mẫu bao gồm: Xem xét cẩn thận các đặc quyền được cấp ngầm định; Sử dụng nguyên tắc đặc quyền tối thiểu; Hạn chế các đặc quyền cho thủ tục lưu trữ.
Thiết lập mật khẩu mạnh rất quan trọng trong một môi trường an toàn, đó là hàng rào đầu tiên của hệ thống phòng thủ đối với những kẻ xâm nhập. Trong hầu hết các hệ thống quản lý cơ sở dữ liệu, việc xác thực người dùng được cấu hình bằng mật khẩu để đảm bảo an toàn. Kiểm toán quản lý mật khẩu liên quan đến việc xem xét lại các chính sách bằng văn bản, cấu hình máy chủ và các tài khoản người dùng mặc định. Dưới đây là một số kiểm tra kiểm toán mẫu: Khả năng quản lý mật khẩu được kích hoạt trong các DBMS; Mật khẩu mặc định đã được thay đổi hay chưa; Mật khẩu không được lưu trữ trong cơ sở dữ liệu (nếu có thể); Nếu lưu trữ mật khẩu trong cơ sở dữ liệu thì mật khẩu cần được mã hóa mạnh.
Đối với việc mã hóa, một số kiểm tra kiểm toán mẫu bao gồm: Dữ liệu lưu trữ được mã hóa bằng kỹ thuật mã hóa mạnh; Mã hóa được cấu hình chính xác; Khóa đối xứng được sử dụng để mã hóa dữ liệu; Dữ liệu nhạy cảm được ghi chép và gắn nhãn; Mật khẩu được mã hóa trong khi đăng nhập từ xa vào cơ sở dữ liệu.
Kiểm toán hoạt động là một kỹ thuật thực hành tốt nhằm bảo vệ cơ sở dữ liệu an toàn. Nhiều thông tin có thể được phát hiện bằng việc sử dụng công cụ giám sát và các bản ghi nhật ký sự kiện. Một số kiểm tra kiểm toán mẫu bao gồm: Theo dõi đăng nhập không thành công; Theo dõi truy vấn thất bại; Theo dõi thay đổi đối với các siêu dữ liệu.
Bước cuối cùng của quá trình kiểm toán an toàn là một cuộc họp, trong đó kiểm toán viên hoặc ủy ban kiểm toán giao tiếp bằng lời nói và bằng văn bản để trình bày kết quả kiểm toán. Bản báo cáo kiểm toán sẽ cung cấp một cái nhìn chi tiết về kiểm toán an toàn nội bộ của tổ chức, bao gồm cả các lỗ hổng bảo mật và các rủi ro, đồng thời trong một số trường hợp, đưa ra được những điểm mạnh của hệ thống.
Thông thường báo cáo kiểm toán bảo mật bao gồm các thành phần sau: thông tin kiểm toán cơ bản, phạm vi kiểm toán, đối tượng kiểm toán, các phát hiện quan trọng, phương thức sử dụng để kiểm toán rủi ro và cuối cùng là đề xuất khắc phục.
Bài báo đã trình bày những vấn đề an toàn cơ bản được cung cấp bởi các hệ quản trị cơ sở dữ liệu. Còn rất nhiều vấn đề an toàn khác cần quan tâm, tuy nhiên, trong phạm vi bài báo này tác giả chỉ đề cập vấn đề an toàn cơ bản nhất mà các DBMS cung cấp. Từ đó, phần nào giúp các nhà quản trị có thể hình dung những vấn đề trọng tâm cơ bản nhất để đảm bảo an toàn cho cơ sở dữ liệu cho tổ chức của mình.
TS. Trần Thị Lượng
(Theo Alfred Basta, Melissa Zgola, Database Security, Cengage Learning US, 2011)
15:34 | 04/04/2007
08:00 | 25/08/2021
14:00 | 31/08/2018
11:00 | 13/01/2020
10:00 | 17/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024
