Professional Documents
Culture Documents
DNS Session24
DNS Session24
موجودیتی
ارجاعی
2
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مرور مفاهیم کلی پايگاه دادهها
سطوح مختلف شرح داده ها
دید منطقی Logical view :
سطح شماي داده منطقی
سطح داده هاي فيزیکی
3
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
View - ديد
تعریف دید
کاربردهاي دید
رابطه دید با امنيت
4
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
امنیت پايگاه دادهها
امنيت در پایگاه دادهها ،مشتمل بر سه جنبه مهم زیر:
-1محرمانگی :به مفهوم جلوگيري یا کشف افشاي غيرمجاز
اطالعات.
-2صحت :به مفهوم جلوگيري یا کشف تغييرات و اصالحات
غيرمجاز اطالعات.
-3دسترس پذیري :به مفهوم جلوگيري یا کشف ممانعت غيرمجاز
از سرویسهاي فراهم شده سيستم.
5
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
تهديدات امنیتی پايگاه دادهها
سهوي
بالياي طبيعي يا حوادث
خطا در سخت افزار يا نرم افزار
خطاهاي انساني
عمدي
کاربران مجاز
عوامل متخاصم
داخلي
خارجي
6
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
نیازمندي هاي حفاظت از پايگاه دادهها
حفاظت از پایگاه دادهها توسط روشهاي زیر انجام پذیر است:
-1کنترل دسترسی :دسترسی کاربران به منابع اطالعاتی سيستم مطابق
قوانين خاصی کنترل میشود.
-2کنترل استنتاج :جلوگيري از استنتاج اطالعات محرمانه از اطالعات مجاز
موجود (پایگاه دادههاي آماري)
-3جامعيت پایگاه دادهها:
-رویه هاي پشتيبان گيري
-ترميم با استفاده از ژورنال
-تجزیه ناپذیري ()Atomicity
7
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
نیازمندي هاي حفاظت از پايگاه دادهها
-4جامعيت عملياتی دادهها
-مدیریت همروندي )(Concurrency Control
-پی در پی پذیري)(Serializability
-قفل گذاري )(Locking
-5جامعيت مفهومی دادهها -محدودیت هاي جامعيتی
-6رویدادنگاري و حسابرسی )(Accountability & Auditing
8
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
نیازمندي هاي حفاظت از پايگاه دادهها
-7احراز اصالت کاربران
-8مدیریت و حفاظت از داده هاي حساس
-9حفاظت چندسطحی
-10محدودسازي در انتقال ناخواسته داده بين برنامه ها از طریق
-کانالهاي مجاز
-کانالهاي حافظه اي
-کانالهاي مخفی
9
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترلهاي امنیتی از طريق اقداماتی براي:
-1کنترل جریان :در این روش ،جریان اطالعات مابين کاربران سيستم
کنترل میشود .مثال ،خواندن از Xو نوشتن روي . Y
اهميت :عدم جریان صریح یا ضمنی اطالعات به سطوح و اشياء کمتر
حفاظت شده.
-در مواقعی عين اطالعات منتقل نمی شود بلکه جزئی از اطالعات و
یا برگرفته از اطالعات :جریان اطالعاتی جزئی (Partial Flow
)Control
-جریانات مجاز باید مشخص و قاعده مند شوند .یعنی درجه
حساسيت اشياء مشخص شود و اینکه تمایز اشياء چيست.
10
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترلهاي امنيتي از طريق اقداماتي براي:
-2کنترل استنتاج :حفاظت از داده ها از تشخيص غير مستقيم.
) ،Y = f(Xیعنی بدست آوردن Yاز طریق .X
12
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترلهاي امنيتي از طريق اقداماتي براي:
-3کنترل دسترسی :اطمينان از اینکه همه دسترسی هاي مستقيم به
داده ها دقيقاً متناظر با خط مشی امنيتی است.
13
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترل دسترسي
نفی دسترسی
درخواست دسترسی رويه های کنترل
اجازه دسترسی
تغيير درخواست
14
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
خط مشي هاي دسترسي
ضرورت تعریف مفاهيم و راهبردها
خط مشی هاي اصلی در محدود سازي دسترسی:
حداقل مجوز
حداکثر مجوز
15
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترل دسترسي :سيستم بسته
درخواست دسترسی قاعده ای وجود
دارد که مجوز Y اجازه دسترسی
دهد؟
16
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترل دسترسي :سيستم باز
قاعده ای وجود دارد
درخواست دسترسی که نفی را مشخص کند؟
Y نفی دسترسی
17
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
خط مشی هاي دسترسی
مدیریت خط مشی امنيتی:
متمرکز
توزیع شده
نامتمرکز سلسله مراتبی
مالکيتی :مالک اختيار دارد.
اختيار جمعی (بيش از یک فرد با هم تصميم می گيرند)
18
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترل دسترسی اختیاري)(Discretionary
درخواست ،قواعد
درخواست دسترسی مجازشناسی را ارضاء میکند؟ N نفی دسترسی
اجازه دسترسی
Y
قواعد
مجاز
شناسی
19
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مدلهاي کنترل دسترسی اختیاري
مدل هاي اختياري :بر اساس شناسه کاربر و قواعدي که براي هر
کاربر نوع دسترسی اش را مشخص ميکند ،دسترسی را مدیریت
ميکند.
امکان اعطاء مجوز کاربر به دیگران ،توسط خود کاربر ممکن است.
رایج ترین فرم مدیریت ،خط مشی مالکانه است که مالک حق خود را
به دیگران اعطا ميکند یا پس می گيرد.
ماتریس کنترل دسترسی ،یک روش ارائه این مدل است.
بقيه مدلهاي اختياري بسطی بر این روش هستند.
20
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مدل هاي کنترل دسترسی اختیاري
مدل ماتریس دسترسی ()access matrix
مدل HRU
مدل اخذ -اعطا ()Take - Grant
...
21
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کنترل دسترسی اجباري)(Mandatory
درخواست ،اصول خط
درخواست دسترسی مشی اجباری را ارضاء
میکند؟ Y اجازه دسترسی
اصول امنيتی
22
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مدل هاي کنترل دسترسی اجباري
مدلهاي اجباري :بر اساس رده بندي عامل ها و اشياء دسترسی را
مدیریت ميکند.
اشياء منفعل و عامل ها فعال هستند.
با هر عامل و هر شیء ،یک کالس دسترسی همراه است .اگر رابطه
مشخصی (بر اساس مدل امنيتی) بين رده عامل و شیء برقرار باشد،
دسترسی ممکن و اجازه داده می شود.
مدل Bell & Lapadulaارائه دهنده این روش است.
23
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مدل هاي کنترل دسترسی نقش-مبنا
مدلهاي نقش-مبنا با هدف پوشش نيازهاي امنيتی سازمانها که اغلب
بر محور نقش تکيه دارند ،ارائه شد.
هر فرد به یک نقش منتسب میگردد و هر نقش به یک مجموعه
تراکنش در سيستم براي انجام وظایف خود دسترسی دارد.
شامل هر دو مدل اختياري و اجباري:
امکان اِعطاي مجوزها را به کاربران (و یا گروهها) مشابه خطمشی اختياري
امکان توصيف برخی محدودیتها بر روي انتساب و یا بهکارگيري مجوزها
مشابه خطمشی اجباري
خانواده مدلهاي RBACدر این دسته قرار دارند.
24
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
امکانات امنیتی که DBMSبايد فراهم کند
درجات مختلف دانهبندي دسترسی
25
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
امکانات امنیتی که DBMSبايد فراهم کند (ادامه)
26
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
امنیت پايگاه دادهها و DBA
مدیر پایگاه دادهها ) (DBAباید مجوز دستوراتی را براي انجام وظایف زیر
داشته باشد (براي تمامی مدلهاي دادهاي و انواع DBMSها):
ایجاد کاربر :ایجاد کاربر و تعيين کلمة عبور براي وي.
اعطاي مجوز :دادن مجوزهاي الزم به یک کاربر.
لغو مجوز :باطل کردن مجوزهاي داده شده.
تخصيص سطح امنيتی :اختصاص سطح امنيتی مناسب به کاربر.
27
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
معیارهاي ارزيابی سیاستهاي امنیتی در يك DBMS
تراکنشهاي خوش -ساخت
حداقل مجوز ( :)Least Privilegeکاربران با حداقل مجوزهاي الزم،
به دادههاي مورد نظر دسترسی یابند.
28
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Well-formed transaction
The principle of well-formed transaction is defined
as a transaction where the user is unable to
manipulate data arbitrarily, but only in constrained
(limitations or boundaries) ways that preserve or
ensure the integrity of the data. A security system
in which transactions are well-formed ensures that
only legitimate actions can be executed. Ensures
the internal data is accurate and consistent to what
it represents in the real world.
29
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
معیارهاي ارزيابی سیاستهاي امنیتی در يك ( DBMSادامه)
30
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
معماري يك DBMSشامل ويژگی هاي امنیتی
31
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
اجزاي يك مدل امنیتی
عاملها ()subjects
اشياء ()objects
حالتهاي دسترسی ()access modes
سياست ها ()policies
مجازشناسیها ()authorizations
مجوزهاي مدیریتی ()administrative rights
اصول ()axioms
32
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
اجزاي يك مدل امنیتی (ادامه)
33
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
تعاريف پايه
خطمشی امنيتی
بيانگر نيازمنديهاي امنيتی یک سازمان
تفکيک حاالت مجاز از حاالت غيرمجاز در سيستم