Sau khi hệ thống xác nhận danh tính hay đăng nhập của người dùng, thì một tập các điều khoản được đưa ra nhằm xác định xem đối tượng có được phép truy cập vào cơ sở dữ liệu hay không. Ủy quyền là quá trình đảm bảo sự cho phép cá nhân hoặc ứng dụng yêu cầu truy cập vào một môi trường hoặc một đối tượng trong môi trường.
Quản lý tài khoản đúng cách rất quan trọng trong việc kiểm soát an toàn và truy cập cơ sở dữ liệu. Các hoạt động phổ biến nhất mà người quản trị cần thực hiện trên một cơ sở dữ liệu là những vấn đề liên quan đến quản lý người dùng. Ở mức tối thiểu trong một cơ sở dữ liệu, một quản trị viên phải biết làm thế nào để thêm, gỡ bỏ và gán các đặc quyền cho người sử dụng trong môi trường của mình.
Trong hầu hết các cơ sở dữ liệu, tài khoản người dùng mặc định được tạo ra, trong đó tên người dùng truy cập được xác định trước, hầu hết là người dùng hệ thống hoặc quản trị tài khoản, nắm giữ quyền truy cập cao nhất vào bất kỳ vị trí nào trong cơ sở dữ liệu. Thông tin về các tài khoản này như: mật khẩu mặc định, tên người dùng, quyền và đặc quyền, khả năng tiếp cận tài khoản, có thể dễ dàng tìm thấy bằng cách thực hiện một tìm kiếm trực tuyến đơn giản.
Thêm người dùng vào một cơ sở dữ liệu là một quá trình khá đơn giản nếu người quản trị cơ sở dữ liệu đã có kế hoạch thích hợp, chuẩn bị trước danh sách quyền, cũng như khả năng tiếp cận dành cho người dùng đó. Trong việc tạo ra một tài khoản người dùng, quyền bảo mật và truy cập cũng được áp dụng, thao tác này người dùng mới phải thay đổi mật khẩu mặc định trước khi truy cập.
Trong khi đó, việc loại bỏ một người dùng có thể phức tạp hơn bởi liên quan đến tất cả các đối tượng mà người dùng sở hữu; mặt khác tùy thuộc vào vai trò của người dùng này trong công ty mà việc loại bỏ có thể là một rủi ro. Do vậy, trước khi gỡ bỏ bất kỳ người dùng nào ra khỏi cơ sở dữ liệu, người quản trị nên thực hiện kiểm kê cẩn thận các đối tượng mà người dùng đã tạo ra và sao lưu các tài khoản đó.
Đặc quyền người dùng có thể được quản lý, từ chối, hoặc thu hồi trong một cơ sở dữ liệu, cụ thể:
- Cấp một đặc quyền (Grant Privilege) là hành động cung cấp, trao cho một người dùng các quyền truy cập hay quyền thực hiện một hành động trong một cơ sở dữ liệu.
- Từ chối đặc quyền (Deny Privilege) là hành động tước bỏ các quyền truy cập hoặc quyền thực hiện một hành động trong một cơ sở dữ liệu của một người dùng.
- Thu hồi đặc quyền (Revoke Privilege) là hành động lấy đi hoặc thu hồi một đặc quyền đã cấp hoặc bị từ chối trước đây.
Vai trò
Vai trò (Role) là một tập hợp các đặc quyền liên quan được kết hợp để cung cấp một đơn vị tập trung mà từ đó có thể quản lý những người dùng hay đối tượng giống nhau trong cơ sở dữ liệu.
Role được tạo ra cho người sử dụng, các đối tượng, ứng dụng giống nhau và cung cấp nhiều thuận lợi trong việc quản lý cơ sở dữ liệu bằng cách tiết kiệm thời gian và nguồn lực, cũng như cung cấp việc quản lý tập trung cho các quản trị viên. Người dùng có thể được trao nhiều role và một role có thể được trao cho nhiều người sử dụng. Một role cũng có thể nằm trong một role khác và thừa hưởng đặc quyền.
Các cơ chế kiểm toán (auditing mechanisms) có chức năng giám sát việc sử dụng tài nguyên hệ thống của người dùng. Các cơ chế này bao gồm hai giai đoạn: Giai đoạn ghi vào nhật ký: tất cả các câu hỏi truy cập và câu trả lời liên quan đều được ghi lại (dù được trả lời hay bị từ chối) và giai đoạn báo cáo: các báo cáo của giai đoạn trước được kiểm tra, nhằm phát hiện các xâm phạm hoặc tấn công có thể xảy ra.
Các cơ chế kiểm toán thích hợp cho việc bảo vệ dữ liệu bởi chúng hỗ trợ: Đánh giá phản ứng của hệ thống đối với một số dạng hiểm họa. Từ đó, có thể phát hiện các điểm yếu và sự không đầy đủ của hệ thống; Phát hiện các xâm phạm chủ ý được thực hiện thông qua chuỗi các câu truy vấn.
Do quy mô của môi trường cơ sở dữ liệu và tài nguyên cần thiết để hoàn thành một kiểm toán cơ sở dữ liệu là rất lớn nên việc kiểm toán thường được thực hiện trong từng phần nhỏ, tập trung vào các chức năng cụ thể hoặc các khu vực tập trung. Kiểm toán các khu vực tập trung có thể bao gồm: kiểm toán bảo trì máy chủ, kiểm toán tài khoản quản trị, kiểm toán kiểm soát truy cập, kiểm toán đặc quyền dữ liệu, kiểm toán mật khẩu, kiểm toán mã hóa và kiểm toán hoạt động.
Việc bảo trì máy chủ nhằm đảm bảo các máy chủ hoạt động một cách hợp lý và chính xác, bao gồm việc xem xét các phần mềm, công cụ cập nhật, chiến lược sao lưu, kiểm tra phiên bản ứng dụng, quản lý tài nguyên, và cập nhật phần cứng. Một vài ví dụ về kiểm tra kiểm toán như: Các bản vá lỗi bảo mật mới nhất được áp dụng; Các cập nhật mới nhất của DBMS đã được áp dụng; Phiên bản của DBMS được hỗ trợ; Tồn tại một quy trình để duy trì các bản vá lỗi và phiên bản phần mềm...
Tài khoản quản trị là một phần quan trọng đối với an toàn cơ sở dữ liệu. Việc tài khoản người dùng được xử lý như thế nào là rất quan trọng để quản lý truy cập và điều khiển đặc quyền. Kiểm toán tài khoản quản trị bao gồm: đánh giá cách thức mà người quản trị xác định và tạo ra các tài khoản người dùng, loại bỏ tài khoản người dùng, áp dụng chính sách bảo mật và phân nhóm, vai trò và đặc quyền. Một số kiểm tra kiểm toán mẫu bao gồm: Vai trò của người quản trị được xác định rõ ràng; Tài khoản quản trị được phân bố hợp lý; Không được sử dụng tài khoản chung; Phải khóa hoặc gỡ bỏ các tài khoản mặc định; Kiểm tra tính toàn vẹn của việc sao lưu...
Kiểm soát truy cập là hành động kiểm soát, xử lý, cho phép và phát hiện người dùng truy cập vào cơ sở dữ liệu và tài nguyên của hệ thống, việc cần thiết để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ quản trị cơ sở dữ liệu. Kiểm toán kiểm soát truy cập là công việc tốn nhiều thời gian và có thể yêu cầu việc đăng nhập vào cơ sở dữ liệu trong một khoảng thời gian nhất định. Một số kiểm tra kiểm toán mẫu bao gồm: Xác định chỉ địa chỉ IP đáng tin cậy có thể truy cập cơ sở dữ liệu; Dữ liệu nhạy cảm được truy cập chỉ bởi những đối tượng hợp pháp; Liên kết cơ sở dữ liệu có phù hợp không; Những cơ sở dữ liệu riêng phải có kiểm soát truy cập thích hợp; Chỉ cho phép người dùng là người quản trị được phép truy cập sao lưu và phục hồi thảm họa trong cơ sở dữ liệu...
Việc giám sát đặc quyền người dùng chặt chẽ sẽ góp phần đảm bảo an toàn cơ sở dữ liệu. Đảm bảo tính phù hợp của đặc quyền trong một cuộc kiểm toán là công việc tốn nhiều thời gian nhất, thường đòi hỏi khá nhiều sự hợp tác của các nhà quản trị mạng. Một số kiểm tra kiểm toán mẫu bao gồm: Xem xét cẩn thận các đặc quyền được cấp ngầm định; Sử dụng nguyên tắc đặc quyền tối thiểu; Hạn chế các đặc quyền cho thủ tục lưu trữ.
Thiết lập mật khẩu mạnh rất quan trọng trong một môi trường an toàn, đó là hàng rào đầu tiên của hệ thống phòng thủ đối với những kẻ xâm nhập. Trong hầu hết các hệ thống quản lý cơ sở dữ liệu, việc xác thực người dùng được cấu hình bằng mật khẩu để đảm bảo an toàn. Kiểm toán quản lý mật khẩu liên quan đến việc xem xét lại các chính sách bằng văn bản, cấu hình máy chủ và các tài khoản người dùng mặc định. Dưới đây là một số kiểm tra kiểm toán mẫu: Khả năng quản lý mật khẩu được kích hoạt trong các DBMS; Mật khẩu mặc định đã được thay đổi hay chưa; Mật khẩu không được lưu trữ trong cơ sở dữ liệu (nếu có thể); Nếu lưu trữ mật khẩu trong cơ sở dữ liệu thì mật khẩu cần được mã hóa mạnh.
Đối với việc mã hóa, một số kiểm tra kiểm toán mẫu bao gồm: Dữ liệu lưu trữ được mã hóa bằng kỹ thuật mã hóa mạnh; Mã hóa được cấu hình chính xác; Khóa đối xứng được sử dụng để mã hóa dữ liệu; Dữ liệu nhạy cảm được ghi chép và gắn nhãn; Mật khẩu được mã hóa trong khi đăng nhập từ xa vào cơ sở dữ liệu.
Kiểm toán hoạt động là một kỹ thuật thực hành tốt nhằm bảo vệ cơ sở dữ liệu an toàn. Nhiều thông tin có thể được phát hiện bằng việc sử dụng công cụ giám sát và các bản ghi nhật ký sự kiện. Một số kiểm tra kiểm toán mẫu bao gồm: Theo dõi đăng nhập không thành công; Theo dõi truy vấn thất bại; Theo dõi thay đổi đối với các siêu dữ liệu.
Bước cuối cùng của quá trình kiểm toán an toàn là một cuộc họp, trong đó kiểm toán viên hoặc ủy ban kiểm toán giao tiếp bằng lời nói và bằng văn bản để trình bày kết quả kiểm toán. Bản báo cáo kiểm toán sẽ cung cấp một cái nhìn chi tiết về kiểm toán an toàn nội bộ của tổ chức, bao gồm cả các lỗ hổng bảo mật và các rủi ro, đồng thời trong một số trường hợp, đưa ra được những điểm mạnh của hệ thống.
Thông thường báo cáo kiểm toán bảo mật bao gồm các thành phần sau: thông tin kiểm toán cơ bản, phạm vi kiểm toán, đối tượng kiểm toán, các phát hiện quan trọng, phương thức sử dụng để kiểm toán rủi ro và cuối cùng là đề xuất khắc phục.
Bài báo đã trình bày những vấn đề an toàn cơ bản được cung cấp bởi các hệ quản trị cơ sở dữ liệu. Còn rất nhiều vấn đề an toàn khác cần quan tâm, tuy nhiên, trong phạm vi bài báo này tác giả chỉ đề cập vấn đề an toàn cơ bản nhất mà các DBMS cung cấp. Từ đó, phần nào giúp các nhà quản trị có thể hình dung những vấn đề trọng tâm cơ bản nhất để đảm bảo an toàn cho cơ sở dữ liệu cho tổ chức của mình.
TS. Trần Thị Lượng
(Theo Alfred Basta, Melissa Zgola, Database Security, Cengage Learning US, 2011)
15:34 | 04/04/2007
08:00 | 25/08/2021
14:00 | 31/08/2018
11:00 | 13/01/2020
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
10:00 | 30/01/2023
Blockchain (chuỗi khối) là một cơ sở dữ liệu phân tán với các đặc trưng như tính phi tập trung, tính minh bạch, tính bảo mật dữ liệu, không thể làm giả. Vì vậy công nghệ Blockchain đã và đang được ứng dụng vào rất nhiều lĩnh vực trong đời sống như Y tế, Nông nghiệp, Giáo dục, Tài chính ngân hàng,... Bài báo này sẽ giới thiệu về công nghệ Blockchain và đề xuất một mô hình sử dụng nền tảng Hyperledger Fabric để lưu trữ dữ liệu sinh viên như điểm số, đề tài, văn bằng, chứng chỉ trong suốt quá trình học. Việc sử dụng công nghệ Blockchain để quản lý dữ liệu sinh viên nhằm đảm bảo công khai minh bạch cho sinh viên, giảng viên, các khoa, phòng chức năng. Đồng thời giúp xác thực, tra cứu các thông tin về văn bằng, chứng chỉ góp phần hạn chế việc sử dụng văn bằng, chứng chỉ giả hiện nay.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
