پاورپوینت اصول و مفاهیم امنیت پایگاه داده ها

بخشی از پاورپوینت

اسلاید 1 :

اصول و مفاهيم امنيت پايگاه دادهها

اسلاید 2 :

مرور مفاهيم کلي پايگاه دادهها
مدل داده اي
مدل رابطه اي
رابطه
زبان پرس و جو
درستي (مستقل از کاربرد و وابسته به کاربرد)
جامعيت
کليد اصلي
موجوديتي
ارجاعي

اسلاید 3 :

مرور مفاهيم کلي پايگاه دادهها -2
سطوح مختلف شرح داده ها
ديد منطقي : Logical view
سطح شماي داده منطقي
سطح داده هاي فيزيکي
استقلال داده اي (منطقي و فيزيکي)
جبر رابطه اي
عملگر انتخاب
عملگر تصوير
عملگر الحاق

اسلاید 4 :

ديد - View
تعريف ديد
کاربردهاي ديد
رابطه ديد با امنيت
CREATE VIEW failed-students
ON STUDENTS
WHERE STUDENTS.Average < 10.

اسلاید 5 :

امنيت پايگاه دادهها
امنيت در پايگاه دادهها، مشتمل بر سه جنبه مهم زير:
1- محرمانگي: به مفهوم جلوگيري يا كشف افشاي غيرمجاز اطلاعات.
2- صحت: به مفهوم جلوگيري يا كشف تغييرات و اصلاحات غيرمجاز اطلاعات.
3- دسترس پذيري: به مفهوم جلوگيري يا كشف ممانعت غيرمجاز از سرويسهاي فراهم شده سيستم.

اسلاید 6 :

تهديدات امنيتي پايگاه دادهها
سهوي
بلاياي طبيعي يا حوادث
خطا در سخت افزار يا نرم افزار
خطاهاي انساني
عمدي
کاربران مجاز
عوامل متخاصم
داخلي
خارجي

اسلاید 7 :

رسول جلیلی- درس امنیت پایگاه داده ها- نیمسال دوم تحصیلی 86-87
نيازمندي هاي حفاظت از پايگاه دادهها
حفاظت از پايگاه دادهها توسط روشهاي زير انجام پذير است:
1-كنترل دسترسي: دسترسي كاربران به منابع اطلاعاتي سيستم مطابق قوانين خاصي كنترل ميشود.
2- كنترل استنتاج: جلوگيري از استنتاج اطلاعات محرمانه از اطلاعات مجاز موجود (پايگاه دادههاي آماري)
3- جامعيت پايگاه دادهها:
- رويه هاي پشتيبان گيري
- ترميم با استفاده از ژورنال
- تجزيه ناپذيري (Atomicity)

اسلاید 8 :

نيازمندي هاي حفاظت از پايگاه دادهها -2
4- جامعيت عملياتي دادهها
- مديريت همروندي (Concurrency Control)
- پي در پي پذيري (Serializability)
- قفل گذاري (Locking)
5- جامعيت مفهومي دادهها - محدوديت هاي جامعيتي
6- رويدادنگاري و حسابرسي (Accountability & Auditing)

اسلاید 9 :

نيازمندي هاي حفاظت از پايگاه دادهها -3
7- احراز اصالت کاربران
8- مديريت و حفاظت از داده هاي حساس
9- حفاظت چندسطحي
10- محدودسازي در انتقال ناخواسته داده بين برنامه ها از طريق
- کانالهاي مجاز
- کانالهاي حافظه اي
- کانالهاي مخفي

اسلاید 10 :

کنترلهاي امنيتي از طريق اقداماتي براي:
1- كنترل جريان: در اين روش، جريان اطلاعات مابين كاربران سيستم كنترل ميشود. مثلا، خواندن از X و نوشتن روي Y .
اهميت: عدم جريان صريح يا ضمني اطلاعات به سطوح و اشياء کمتر حفاظت شده.
- در مواقعي عين اطلاعات منتقل نمي شود بلکه جزئي از اطلاعات و يا برگرفته از اطلاعات: جريان اطلاعاتي جزئي (Partial Flow Control)
- جريانات مجاز بايد مشخص و قاعده مند شوند. يعني درجه حساسيت اشياء مشخص شود و اينکه تمايز اشياء چيست.

اسلاید 11 :

کنترلهاي امنيتي از طريق اقداماتي براي:
2- کنترل استنتاج: حفاظت از داده ها از تشخيص غير مستقيم.
Y = f(X)، يعني بدست آوردن Y از طريق X.

کانال استنتاجي :
2-1 دسترسي غيرمستقيم: کاربر تنها به X حق دسترسي دارد ولی مقدار Y را هم مي فهمد.
SELECT X FROM r WHERE Y = value.
يا درج رکوردي با کليدي مشابه آنچه قبلا وجود دارد ولي کاربر حق دانستن آنرا ندارد!

اسلاید 12 :

کنترلهاي امنيتي از طريق اقداماتي براي:
2-2 داده هاي مرتبط با هم: Z= T * K
که کاربر تنها حق دسترسي به T و K را دارد.
2-3 داده هاي ارائه نشده در پاسخ يک پرس و جو (Missing) که مهاجم مي فهمد داده هاي حساس چيستند!
2-4 استنتاج آماري: از طريق توابع آماري SQL
مقابله: اختلال در داده ها (Perturbation)
کنترل پرس و جو (مثلا کران بالا و پايين اندازه)

اسلاید 13 :

کنترلهاي امنيتي از طريق اقداماتي براي:
3- کنترل دسترسي: اطمينان از اينکه همه دسترسي هاي مستقيم به داده ها دقيقاً متناظر با خط مشي امنيتي است.

سيستم کنترل دسترسي شامل
مجموعه اي از قواعد و خط مشي هاي دسترسي
مجموعه اي از رويه هاي کنترلي

اسلاید 14 :

کنترل دسترسي
درخواست دسترسی
قواعد دسترسی
رويه های کنترل
نفی دسترسی
اجازه دسترسی
تغيير درخواست
خط مشی امنيتی

اسلاید 15 :

خط مشي هاي دسترسي
ضرورت تعريف مفاهيم و راهبردها
خط مشي هاي اصلي در محدود سازي دسترسي:
حداقل مجوز
حداکثر مجوز
سيستم هاي بسته (شکل ص بعد)
سيستم هاي باز (شکل دو ص بعد)
خط مشي هاي مديريت مجوزدهي !! کي حقِ دادن و پس گرفتنِ حق دارد؟

اسلاید 16 :

قواعد: دسترسی های مجاز
کنترل دسترسي: سيستم بسته
درخواست دسترسی
قاعده ای وجود دارد که مجوز دهد؟
اجازه دسترسی
نفی دسترسی

اسلاید 17 :

کنترل دسترسي: سيستم باز
درخواست دسترسی
قواعد: دسترسی های غير مجاز
قاعده ای وجود دارد که نفی را مشخص کند؟
نفی دسترسی
اجازه دسترسی

اسلاید 18 :

خط مشي هاي دسترسي-2
مديريت خط مشي امنيتي:
متمرکز
توزيع شده
نامتمرکز سلسله مراتبي
مالکيتي: مالک اختيار دارد.
اختيار جمعي (بيش از يک فرد با هم تصميم مي گيرند)
سيستم هاي امنيتي چند سطحي که در آنها جريان اطلاعاتي اهميت مي يابد.
اجباري: شکل ص بعد
اختياري: شکل دو ص بعد. امکان انتشار و سپس بازپس گيری!!
امکان جريان اطلاعاتی از يک شيئ به شيئ ديگر با خواندن و نوشتن توسط يک عامل و يا برنامه تروجان.
امکان ترکيب دو خط مشی نيز وجود دارد

اسلاید 19 :

کنترل دسترسي اختياری (Discretionary)
درخواست دسترسی
درخواست، قواعد مجازشناسی را ارضاء میکند؟
نفی دسترسی
نفی دسترسی
قواعد
مجاز
شناسی
گزاره موجود در قاعده ارضاء میشود؟
اجازه دسترسی

اسلاید 20 :

مدلهاي کنترل دسترسی اختیاری-1
مدلهاي اختياري بر اساس شناسه کاربر و قواعدي که براي هر کاربر نوع دسترسي اش را مشخص ميکند، دسترسي را مديريت ميکند.
امکان اعطاء مجوز کاربر به ديگران، توسط خود کاربر ممکن است.
رايج ترين فرم مديريت، خط مشي مالکانه است که مالک حق خود را به ديگران اعطا ميکند يا پس مي گيرد.
ماتريس کنترل دسترسي، يک روش ارائه اين مدل است.
بقيه مدلهاي اختياري بسطي بر اين روش هستند.