Sau khi hệ thống xác nhận danh tính hay đăng nhập của người dùng, thì một tập các điều khoản được đưa ra nhằm xác định xem đối tượng có được phép truy cập vào cơ sở dữ liệu hay không. Ủy quyền là quá trình đảm bảo sự cho phép cá nhân hoặc ứng dụng yêu cầu truy cập vào một môi trường hoặc một đối tượng trong môi trường.
Quản lý tài khoản đúng cách rất quan trọng trong việc kiểm soát an toàn và truy cập cơ sở dữ liệu. Các hoạt động phổ biến nhất mà người quản trị cần thực hiện trên một cơ sở dữ liệu là những vấn đề liên quan đến quản lý người dùng. Ở mức tối thiểu trong một cơ sở dữ liệu, một quản trị viên phải biết làm thế nào để thêm, gỡ bỏ và gán các đặc quyền cho người sử dụng trong môi trường của mình.
Trong hầu hết các cơ sở dữ liệu, tài khoản người dùng mặc định được tạo ra, trong đó tên người dùng truy cập được xác định trước, hầu hết là người dùng hệ thống hoặc quản trị tài khoản, nắm giữ quyền truy cập cao nhất vào bất kỳ vị trí nào trong cơ sở dữ liệu. Thông tin về các tài khoản này như: mật khẩu mặc định, tên người dùng, quyền và đặc quyền, khả năng tiếp cận tài khoản, có thể dễ dàng tìm thấy bằng cách thực hiện một tìm kiếm trực tuyến đơn giản.
Thêm người dùng vào một cơ sở dữ liệu là một quá trình khá đơn giản nếu người quản trị cơ sở dữ liệu đã có kế hoạch thích hợp, chuẩn bị trước danh sách quyền, cũng như khả năng tiếp cận dành cho người dùng đó. Trong việc tạo ra một tài khoản người dùng, quyền bảo mật và truy cập cũng được áp dụng, thao tác này người dùng mới phải thay đổi mật khẩu mặc định trước khi truy cập.
Trong khi đó, việc loại bỏ một người dùng có thể phức tạp hơn bởi liên quan đến tất cả các đối tượng mà người dùng sở hữu; mặt khác tùy thuộc vào vai trò của người dùng này trong công ty mà việc loại bỏ có thể là một rủi ro. Do vậy, trước khi gỡ bỏ bất kỳ người dùng nào ra khỏi cơ sở dữ liệu, người quản trị nên thực hiện kiểm kê cẩn thận các đối tượng mà người dùng đã tạo ra và sao lưu các tài khoản đó.
Đặc quyền người dùng có thể được quản lý, từ chối, hoặc thu hồi trong một cơ sở dữ liệu, cụ thể:
- Cấp một đặc quyền (Grant Privilege) là hành động cung cấp, trao cho một người dùng các quyền truy cập hay quyền thực hiện một hành động trong một cơ sở dữ liệu.
- Từ chối đặc quyền (Deny Privilege) là hành động tước bỏ các quyền truy cập hoặc quyền thực hiện một hành động trong một cơ sở dữ liệu của một người dùng.
- Thu hồi đặc quyền (Revoke Privilege) là hành động lấy đi hoặc thu hồi một đặc quyền đã cấp hoặc bị từ chối trước đây.
Vai trò
Vai trò (Role) là một tập hợp các đặc quyền liên quan được kết hợp để cung cấp một đơn vị tập trung mà từ đó có thể quản lý những người dùng hay đối tượng giống nhau trong cơ sở dữ liệu.
Role được tạo ra cho người sử dụng, các đối tượng, ứng dụng giống nhau và cung cấp nhiều thuận lợi trong việc quản lý cơ sở dữ liệu bằng cách tiết kiệm thời gian và nguồn lực, cũng như cung cấp việc quản lý tập trung cho các quản trị viên. Người dùng có thể được trao nhiều role và một role có thể được trao cho nhiều người sử dụng. Một role cũng có thể nằm trong một role khác và thừa hưởng đặc quyền.
Các cơ chế kiểm toán (auditing mechanisms) có chức năng giám sát việc sử dụng tài nguyên hệ thống của người dùng. Các cơ chế này bao gồm hai giai đoạn: Giai đoạn ghi vào nhật ký: tất cả các câu hỏi truy cập và câu trả lời liên quan đều được ghi lại (dù được trả lời hay bị từ chối) và giai đoạn báo cáo: các báo cáo của giai đoạn trước được kiểm tra, nhằm phát hiện các xâm phạm hoặc tấn công có thể xảy ra.
Các cơ chế kiểm toán thích hợp cho việc bảo vệ dữ liệu bởi chúng hỗ trợ: Đánh giá phản ứng của hệ thống đối với một số dạng hiểm họa. Từ đó, có thể phát hiện các điểm yếu và sự không đầy đủ của hệ thống; Phát hiện các xâm phạm chủ ý được thực hiện thông qua chuỗi các câu truy vấn.
Do quy mô của môi trường cơ sở dữ liệu và tài nguyên cần thiết để hoàn thành một kiểm toán cơ sở dữ liệu là rất lớn nên việc kiểm toán thường được thực hiện trong từng phần nhỏ, tập trung vào các chức năng cụ thể hoặc các khu vực tập trung. Kiểm toán các khu vực tập trung có thể bao gồm: kiểm toán bảo trì máy chủ, kiểm toán tài khoản quản trị, kiểm toán kiểm soát truy cập, kiểm toán đặc quyền dữ liệu, kiểm toán mật khẩu, kiểm toán mã hóa và kiểm toán hoạt động.
Việc bảo trì máy chủ nhằm đảm bảo các máy chủ hoạt động một cách hợp lý và chính xác, bao gồm việc xem xét các phần mềm, công cụ cập nhật, chiến lược sao lưu, kiểm tra phiên bản ứng dụng, quản lý tài nguyên, và cập nhật phần cứng. Một vài ví dụ về kiểm tra kiểm toán như: Các bản vá lỗi bảo mật mới nhất được áp dụng; Các cập nhật mới nhất của DBMS đã được áp dụng; Phiên bản của DBMS được hỗ trợ; Tồn tại một quy trình để duy trì các bản vá lỗi và phiên bản phần mềm...
Tài khoản quản trị là một phần quan trọng đối với an toàn cơ sở dữ liệu. Việc tài khoản người dùng được xử lý như thế nào là rất quan trọng để quản lý truy cập và điều khiển đặc quyền. Kiểm toán tài khoản quản trị bao gồm: đánh giá cách thức mà người quản trị xác định và tạo ra các tài khoản người dùng, loại bỏ tài khoản người dùng, áp dụng chính sách bảo mật và phân nhóm, vai trò và đặc quyền. Một số kiểm tra kiểm toán mẫu bao gồm: Vai trò của người quản trị được xác định rõ ràng; Tài khoản quản trị được phân bố hợp lý; Không được sử dụng tài khoản chung; Phải khóa hoặc gỡ bỏ các tài khoản mặc định; Kiểm tra tính toàn vẹn của việc sao lưu...
Kiểm soát truy cập là hành động kiểm soát, xử lý, cho phép và phát hiện người dùng truy cập vào cơ sở dữ liệu và tài nguyên của hệ thống, việc cần thiết để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ quản trị cơ sở dữ liệu. Kiểm toán kiểm soát truy cập là công việc tốn nhiều thời gian và có thể yêu cầu việc đăng nhập vào cơ sở dữ liệu trong một khoảng thời gian nhất định. Một số kiểm tra kiểm toán mẫu bao gồm: Xác định chỉ địa chỉ IP đáng tin cậy có thể truy cập cơ sở dữ liệu; Dữ liệu nhạy cảm được truy cập chỉ bởi những đối tượng hợp pháp; Liên kết cơ sở dữ liệu có phù hợp không; Những cơ sở dữ liệu riêng phải có kiểm soát truy cập thích hợp; Chỉ cho phép người dùng là người quản trị được phép truy cập sao lưu và phục hồi thảm họa trong cơ sở dữ liệu...
Việc giám sát đặc quyền người dùng chặt chẽ sẽ góp phần đảm bảo an toàn cơ sở dữ liệu. Đảm bảo tính phù hợp của đặc quyền trong một cuộc kiểm toán là công việc tốn nhiều thời gian nhất, thường đòi hỏi khá nhiều sự hợp tác của các nhà quản trị mạng. Một số kiểm tra kiểm toán mẫu bao gồm: Xem xét cẩn thận các đặc quyền được cấp ngầm định; Sử dụng nguyên tắc đặc quyền tối thiểu; Hạn chế các đặc quyền cho thủ tục lưu trữ.
Thiết lập mật khẩu mạnh rất quan trọng trong một môi trường an toàn, đó là hàng rào đầu tiên của hệ thống phòng thủ đối với những kẻ xâm nhập. Trong hầu hết các hệ thống quản lý cơ sở dữ liệu, việc xác thực người dùng được cấu hình bằng mật khẩu để đảm bảo an toàn. Kiểm toán quản lý mật khẩu liên quan đến việc xem xét lại các chính sách bằng văn bản, cấu hình máy chủ và các tài khoản người dùng mặc định. Dưới đây là một số kiểm tra kiểm toán mẫu: Khả năng quản lý mật khẩu được kích hoạt trong các DBMS; Mật khẩu mặc định đã được thay đổi hay chưa; Mật khẩu không được lưu trữ trong cơ sở dữ liệu (nếu có thể); Nếu lưu trữ mật khẩu trong cơ sở dữ liệu thì mật khẩu cần được mã hóa mạnh.
Đối với việc mã hóa, một số kiểm tra kiểm toán mẫu bao gồm: Dữ liệu lưu trữ được mã hóa bằng kỹ thuật mã hóa mạnh; Mã hóa được cấu hình chính xác; Khóa đối xứng được sử dụng để mã hóa dữ liệu; Dữ liệu nhạy cảm được ghi chép và gắn nhãn; Mật khẩu được mã hóa trong khi đăng nhập từ xa vào cơ sở dữ liệu.
Kiểm toán hoạt động là một kỹ thuật thực hành tốt nhằm bảo vệ cơ sở dữ liệu an toàn. Nhiều thông tin có thể được phát hiện bằng việc sử dụng công cụ giám sát và các bản ghi nhật ký sự kiện. Một số kiểm tra kiểm toán mẫu bao gồm: Theo dõi đăng nhập không thành công; Theo dõi truy vấn thất bại; Theo dõi thay đổi đối với các siêu dữ liệu.
Bước cuối cùng của quá trình kiểm toán an toàn là một cuộc họp, trong đó kiểm toán viên hoặc ủy ban kiểm toán giao tiếp bằng lời nói và bằng văn bản để trình bày kết quả kiểm toán. Bản báo cáo kiểm toán sẽ cung cấp một cái nhìn chi tiết về kiểm toán an toàn nội bộ của tổ chức, bao gồm cả các lỗ hổng bảo mật và các rủi ro, đồng thời trong một số trường hợp, đưa ra được những điểm mạnh của hệ thống.
Thông thường báo cáo kiểm toán bảo mật bao gồm các thành phần sau: thông tin kiểm toán cơ bản, phạm vi kiểm toán, đối tượng kiểm toán, các phát hiện quan trọng, phương thức sử dụng để kiểm toán rủi ro và cuối cùng là đề xuất khắc phục.
Bài báo đã trình bày những vấn đề an toàn cơ bản được cung cấp bởi các hệ quản trị cơ sở dữ liệu. Còn rất nhiều vấn đề an toàn khác cần quan tâm, tuy nhiên, trong phạm vi bài báo này tác giả chỉ đề cập vấn đề an toàn cơ bản nhất mà các DBMS cung cấp. Từ đó, phần nào giúp các nhà quản trị có thể hình dung những vấn đề trọng tâm cơ bản nhất để đảm bảo an toàn cho cơ sở dữ liệu cho tổ chức của mình.
TS. Trần Thị Lượng
(Theo Alfred Basta, Melissa Zgola, Database Security, Cengage Learning US, 2011)
15:34 | 04/04/2007
08:00 | 25/08/2021
14:00 | 31/08/2018
11:00 | 13/01/2020
08:00 | 02/01/2025
Mạng Internet ngày nay đã trở thành một phần không thể thiếu trong cuộc sống của chúng ta, đặc biệt là trong thời đại số hóa. Tuy nhiên, cùng với sự phát triển của công nghệ và Internet, nguy cơ đánh cắp thông tin cá nhân, tài khoản và các dữ liệu quan trọng khác trên mạng cũng ngày càng gia tăng. Để giải quyết vấn đề này, chứng chỉ SSL (Secure Sockets Layer) đã được phát triển và sử dụng rộng rãi để bảo vệ thông tin truyền tải trên Internet. Bài viết sẽ trình bày về vai trò của chứng chỉ SSL trong bảo mật website và một số loại chứng chỉ SSL thông dụng.
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
07:00 | 07/11/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025