Sau khi hệ thống xác nhận danh tính hay đăng nhập của người dùng, thì một tập các điều khoản được đưa ra nhằm xác định xem đối tượng có được phép truy cập vào cơ sở dữ liệu hay không. Ủy quyền là quá trình đảm bảo sự cho phép cá nhân hoặc ứng dụng yêu cầu truy cập vào một môi trường hoặc một đối tượng trong môi trường.
Quản lý tài khoản đúng cách rất quan trọng trong việc kiểm soát an toàn và truy cập cơ sở dữ liệu. Các hoạt động phổ biến nhất mà người quản trị cần thực hiện trên một cơ sở dữ liệu là những vấn đề liên quan đến quản lý người dùng. Ở mức tối thiểu trong một cơ sở dữ liệu, một quản trị viên phải biết làm thế nào để thêm, gỡ bỏ và gán các đặc quyền cho người sử dụng trong môi trường của mình.
Trong hầu hết các cơ sở dữ liệu, tài khoản người dùng mặc định được tạo ra, trong đó tên người dùng truy cập được xác định trước, hầu hết là người dùng hệ thống hoặc quản trị tài khoản, nắm giữ quyền truy cập cao nhất vào bất kỳ vị trí nào trong cơ sở dữ liệu. Thông tin về các tài khoản này như: mật khẩu mặc định, tên người dùng, quyền và đặc quyền, khả năng tiếp cận tài khoản, có thể dễ dàng tìm thấy bằng cách thực hiện một tìm kiếm trực tuyến đơn giản.
Thêm người dùng vào một cơ sở dữ liệu là một quá trình khá đơn giản nếu người quản trị cơ sở dữ liệu đã có kế hoạch thích hợp, chuẩn bị trước danh sách quyền, cũng như khả năng tiếp cận dành cho người dùng đó. Trong việc tạo ra một tài khoản người dùng, quyền bảo mật và truy cập cũng được áp dụng, thao tác này người dùng mới phải thay đổi mật khẩu mặc định trước khi truy cập.
Trong khi đó, việc loại bỏ một người dùng có thể phức tạp hơn bởi liên quan đến tất cả các đối tượng mà người dùng sở hữu; mặt khác tùy thuộc vào vai trò của người dùng này trong công ty mà việc loại bỏ có thể là một rủi ro. Do vậy, trước khi gỡ bỏ bất kỳ người dùng nào ra khỏi cơ sở dữ liệu, người quản trị nên thực hiện kiểm kê cẩn thận các đối tượng mà người dùng đã tạo ra và sao lưu các tài khoản đó.
Đặc quyền người dùng có thể được quản lý, từ chối, hoặc thu hồi trong một cơ sở dữ liệu, cụ thể:
- Cấp một đặc quyền (Grant Privilege) là hành động cung cấp, trao cho một người dùng các quyền truy cập hay quyền thực hiện một hành động trong một cơ sở dữ liệu.
- Từ chối đặc quyền (Deny Privilege) là hành động tước bỏ các quyền truy cập hoặc quyền thực hiện một hành động trong một cơ sở dữ liệu của một người dùng.
- Thu hồi đặc quyền (Revoke Privilege) là hành động lấy đi hoặc thu hồi một đặc quyền đã cấp hoặc bị từ chối trước đây.
Vai trò
Vai trò (Role) là một tập hợp các đặc quyền liên quan được kết hợp để cung cấp một đơn vị tập trung mà từ đó có thể quản lý những người dùng hay đối tượng giống nhau trong cơ sở dữ liệu.
Role được tạo ra cho người sử dụng, các đối tượng, ứng dụng giống nhau và cung cấp nhiều thuận lợi trong việc quản lý cơ sở dữ liệu bằng cách tiết kiệm thời gian và nguồn lực, cũng như cung cấp việc quản lý tập trung cho các quản trị viên. Người dùng có thể được trao nhiều role và một role có thể được trao cho nhiều người sử dụng. Một role cũng có thể nằm trong một role khác và thừa hưởng đặc quyền.
Các cơ chế kiểm toán (auditing mechanisms) có chức năng giám sát việc sử dụng tài nguyên hệ thống của người dùng. Các cơ chế này bao gồm hai giai đoạn: Giai đoạn ghi vào nhật ký: tất cả các câu hỏi truy cập và câu trả lời liên quan đều được ghi lại (dù được trả lời hay bị từ chối) và giai đoạn báo cáo: các báo cáo của giai đoạn trước được kiểm tra, nhằm phát hiện các xâm phạm hoặc tấn công có thể xảy ra.
Các cơ chế kiểm toán thích hợp cho việc bảo vệ dữ liệu bởi chúng hỗ trợ: Đánh giá phản ứng của hệ thống đối với một số dạng hiểm họa. Từ đó, có thể phát hiện các điểm yếu và sự không đầy đủ của hệ thống; Phát hiện các xâm phạm chủ ý được thực hiện thông qua chuỗi các câu truy vấn.
Do quy mô của môi trường cơ sở dữ liệu và tài nguyên cần thiết để hoàn thành một kiểm toán cơ sở dữ liệu là rất lớn nên việc kiểm toán thường được thực hiện trong từng phần nhỏ, tập trung vào các chức năng cụ thể hoặc các khu vực tập trung. Kiểm toán các khu vực tập trung có thể bao gồm: kiểm toán bảo trì máy chủ, kiểm toán tài khoản quản trị, kiểm toán kiểm soát truy cập, kiểm toán đặc quyền dữ liệu, kiểm toán mật khẩu, kiểm toán mã hóa và kiểm toán hoạt động.
Việc bảo trì máy chủ nhằm đảm bảo các máy chủ hoạt động một cách hợp lý và chính xác, bao gồm việc xem xét các phần mềm, công cụ cập nhật, chiến lược sao lưu, kiểm tra phiên bản ứng dụng, quản lý tài nguyên, và cập nhật phần cứng. Một vài ví dụ về kiểm tra kiểm toán như: Các bản vá lỗi bảo mật mới nhất được áp dụng; Các cập nhật mới nhất của DBMS đã được áp dụng; Phiên bản của DBMS được hỗ trợ; Tồn tại một quy trình để duy trì các bản vá lỗi và phiên bản phần mềm...
Tài khoản quản trị là một phần quan trọng đối với an toàn cơ sở dữ liệu. Việc tài khoản người dùng được xử lý như thế nào là rất quan trọng để quản lý truy cập và điều khiển đặc quyền. Kiểm toán tài khoản quản trị bao gồm: đánh giá cách thức mà người quản trị xác định và tạo ra các tài khoản người dùng, loại bỏ tài khoản người dùng, áp dụng chính sách bảo mật và phân nhóm, vai trò và đặc quyền. Một số kiểm tra kiểm toán mẫu bao gồm: Vai trò của người quản trị được xác định rõ ràng; Tài khoản quản trị được phân bố hợp lý; Không được sử dụng tài khoản chung; Phải khóa hoặc gỡ bỏ các tài khoản mặc định; Kiểm tra tính toàn vẹn của việc sao lưu...
Kiểm soát truy cập là hành động kiểm soát, xử lý, cho phép và phát hiện người dùng truy cập vào cơ sở dữ liệu và tài nguyên của hệ thống, việc cần thiết để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ quản trị cơ sở dữ liệu. Kiểm toán kiểm soát truy cập là công việc tốn nhiều thời gian và có thể yêu cầu việc đăng nhập vào cơ sở dữ liệu trong một khoảng thời gian nhất định. Một số kiểm tra kiểm toán mẫu bao gồm: Xác định chỉ địa chỉ IP đáng tin cậy có thể truy cập cơ sở dữ liệu; Dữ liệu nhạy cảm được truy cập chỉ bởi những đối tượng hợp pháp; Liên kết cơ sở dữ liệu có phù hợp không; Những cơ sở dữ liệu riêng phải có kiểm soát truy cập thích hợp; Chỉ cho phép người dùng là người quản trị được phép truy cập sao lưu và phục hồi thảm họa trong cơ sở dữ liệu...
Việc giám sát đặc quyền người dùng chặt chẽ sẽ góp phần đảm bảo an toàn cơ sở dữ liệu. Đảm bảo tính phù hợp của đặc quyền trong một cuộc kiểm toán là công việc tốn nhiều thời gian nhất, thường đòi hỏi khá nhiều sự hợp tác của các nhà quản trị mạng. Một số kiểm tra kiểm toán mẫu bao gồm: Xem xét cẩn thận các đặc quyền được cấp ngầm định; Sử dụng nguyên tắc đặc quyền tối thiểu; Hạn chế các đặc quyền cho thủ tục lưu trữ.
Thiết lập mật khẩu mạnh rất quan trọng trong một môi trường an toàn, đó là hàng rào đầu tiên của hệ thống phòng thủ đối với những kẻ xâm nhập. Trong hầu hết các hệ thống quản lý cơ sở dữ liệu, việc xác thực người dùng được cấu hình bằng mật khẩu để đảm bảo an toàn. Kiểm toán quản lý mật khẩu liên quan đến việc xem xét lại các chính sách bằng văn bản, cấu hình máy chủ và các tài khoản người dùng mặc định. Dưới đây là một số kiểm tra kiểm toán mẫu: Khả năng quản lý mật khẩu được kích hoạt trong các DBMS; Mật khẩu mặc định đã được thay đổi hay chưa; Mật khẩu không được lưu trữ trong cơ sở dữ liệu (nếu có thể); Nếu lưu trữ mật khẩu trong cơ sở dữ liệu thì mật khẩu cần được mã hóa mạnh.
Đối với việc mã hóa, một số kiểm tra kiểm toán mẫu bao gồm: Dữ liệu lưu trữ được mã hóa bằng kỹ thuật mã hóa mạnh; Mã hóa được cấu hình chính xác; Khóa đối xứng được sử dụng để mã hóa dữ liệu; Dữ liệu nhạy cảm được ghi chép và gắn nhãn; Mật khẩu được mã hóa trong khi đăng nhập từ xa vào cơ sở dữ liệu.
Kiểm toán hoạt động là một kỹ thuật thực hành tốt nhằm bảo vệ cơ sở dữ liệu an toàn. Nhiều thông tin có thể được phát hiện bằng việc sử dụng công cụ giám sát và các bản ghi nhật ký sự kiện. Một số kiểm tra kiểm toán mẫu bao gồm: Theo dõi đăng nhập không thành công; Theo dõi truy vấn thất bại; Theo dõi thay đổi đối với các siêu dữ liệu.
Bước cuối cùng của quá trình kiểm toán an toàn là một cuộc họp, trong đó kiểm toán viên hoặc ủy ban kiểm toán giao tiếp bằng lời nói và bằng văn bản để trình bày kết quả kiểm toán. Bản báo cáo kiểm toán sẽ cung cấp một cái nhìn chi tiết về kiểm toán an toàn nội bộ của tổ chức, bao gồm cả các lỗ hổng bảo mật và các rủi ro, đồng thời trong một số trường hợp, đưa ra được những điểm mạnh của hệ thống.
Thông thường báo cáo kiểm toán bảo mật bao gồm các thành phần sau: thông tin kiểm toán cơ bản, phạm vi kiểm toán, đối tượng kiểm toán, các phát hiện quan trọng, phương thức sử dụng để kiểm toán rủi ro và cuối cùng là đề xuất khắc phục.
Bài báo đã trình bày những vấn đề an toàn cơ bản được cung cấp bởi các hệ quản trị cơ sở dữ liệu. Còn rất nhiều vấn đề an toàn khác cần quan tâm, tuy nhiên, trong phạm vi bài báo này tác giả chỉ đề cập vấn đề an toàn cơ bản nhất mà các DBMS cung cấp. Từ đó, phần nào giúp các nhà quản trị có thể hình dung những vấn đề trọng tâm cơ bản nhất để đảm bảo an toàn cho cơ sở dữ liệu cho tổ chức của mình.
TS. Trần Thị Lượng
(Theo Alfred Basta, Melissa Zgola, Database Security, Cengage Learning US, 2011)
15:34 | 04/04/2007
08:00 | 25/08/2021
14:00 | 31/08/2018
11:00 | 13/01/2020
10:00 | 16/12/2024
Công nghệ mạng 5G đánh dấu một bước ngoặt quan trọng trong lĩnh vực viễn thông với sự tích hợp của hàng loạt phương pháp tiên tiến như Massive MIMO, NOMA, mmWave, IoT và học máy. Những tiến bộ này không chỉ mang lại hiệu suất vượt trội trong truyền thông không dây mà còn mở ra cơ hội to lớn cho các ứng dụng trong đời sống và công nghiệp. Bài viết này cung cấp bức tranh tổng quan về các phương pháp tiên tiến trong công nghệ kết nối toàn cầu 5G.
07:00 | 07/11/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
10:00 | 30/12/2024