Tải bản đầy đủ (.doc) (22 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

BẢO MẬT CƠ SỞ DỮ LIỆU: NHỮNG ĐIỀU SINH VIÊN CẦN BIẾT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (610.83 KB, 22 trang )

Tạp chí Giáo dục Công nghệ thông tin Tập 9 2010
Đổi mới công nghệ
BẢO MẬT CƠ SỞ DỮ LIỆU: NHỮNG ĐIỀU SINH VIÊN CẦN BIẾT
Trường Đại học
Kennesaw
State, Kennesaw, GA,
USA
mc m u

rra y @

kennesaw . edu
1-Tóm tắt
Vấn đề bảo mật CSDL hiện nay đang ngày càng được quan tâm hơn, nó được minh
chứng bằng sự gia tăng số lượng các báo cáo về mất mát dữ liệu hoặc việc truy cập
trái phép đến các dữ liệu nhạy cảm. Khi mà các số liệu, dữ liệu được thu thập, lưu giữ
và chia sẻ điện tử ngày càng mở rộng, chúng ta càng cần phải biết và hiểu ý nghĩa của
vấn đề bảo mật CSDL. Theo tổ chức Hệ thống Thông tin Quốc phòng của Bộ quốc
phòng Mỹ (2004), trong hướng dẫn bảo mật CSDL của tổ chức này, cho rằng bảo mật
CSDL cần cung cấp kiểm soát, bảo vệ quyền truy cập vào các nội dung CSDL cũng
như đảm bảo tính toàn vẹn, nhất quán và tổng thể chất lượng của dữ liệu. Sinh viên
trong ngành khoa học máy tính phải phát triển một sự hiểu biết về các vấn đề và thách
thức liên quan đến bảo mật CSDL và phải có khả năng xác định được các giải pháp cụ
thể.
Về cốt lõi, việc bảo mật CSDL là bảo đảm rằng chỉ có những người dùng có thẩm
quyền mới được phép thực hiện các hoạt động tương tác với CSDL vào thời điểm
được xác thực. Bảo mật CSDL bao gồm các vấn đề như an ninh vật lý, an ninh mạng,
mã hóa và xác thực, bài báo này tập trung vào mô tả các khái niệm và cơ chế cụ thể để
bảo vệ dữ liệu. Ta có thể xem việc bảo mật CSDL bao gồm 3 cấu trúc: bảo mật hay
bảo vệ dữ liệu khỏi những thông tin rò rỉ trái phép, tính toàn vẹn của dữ liệu hay bảo
vệ dữ liệu từ những truy cập trái phép, và sự sẵn có hay xác định phục hồi từ phần


cứng hoặc phần mềm lỗi hay các hoạt động nguy hiểm dẫn đến việc từ chối dữ liệu
sẵn có. Trong chương trình giảng dạy môn khoa học máy tính, bảo mật dữ liệu thường
bao gồm như là một chủ đề trong khóa học giới thiệu về CSDL hay bảo mật máy tính.
Bài báo này trình bày một tập hợp các tiểu chủ đề mà có thể được đưa vào một thành
phần bảo mật CSDL của khóa học như vậy. Liên quan với 3 cấu trúc bảo mật dữ liệu
đã nêu ở trên, các chủ đề này bao gồm kiểm soát truy cập, truy cập ứng dụng, điểm
yếu, suy luận và cơ chế kiểm toán. Kiểm soát truy cập là quá trình mà theo đó quyền
và đặc quyền được giao cho người dùng và các đối tượng CSDL. Ứng dụng truy cập
các địa chỉ cần gán quyền truy cập thích hợp để ứng dụng bên ngoài đòi hỏi một kết
nối cơ sở dữ liệu. Điểm yếu là những lỗ hổng cho phép người dùng nguy hiểm khai
thác nguồn tài nguyên thông tin. Suy luận đề cập đến việc sử dụng các dữ liệu hợp
pháp để suy luận các thông tin không rõ ràng mà không có quyền lợi trực tiếp để lấy
các thông tin đó. CSDL kiểm toán theo dõi truy cập CSDL và hoạt động người dùng
cung cấp một cách để xác định hành vi vi phạm đã xảy ra để có những biện pháp khắc
phục có thể thực hiện được.
Giống như những kiến thức liên quan đến vấn đề bảo mật CSDL đang tiếp tục
được phát triển, những thách thức được đặt ra trong việc chuyển tải chúng một cách
hiệu quả. Bài báo này đề cập đến những thách thức bằng cách kết hợp một bộ các
module phần mềm tương tác vào mỗi chủ đề phụ. Những Module này là một phần
của một dự án CSDL dạy học trực quan được thiết kế để hỗ trợ việc giảng dạy các
khái niệm CSDL. Tài liệu tham khảo này bao gồm các lĩnh vực cơ sở dữ liệu thiết kế,
cấu trúc ngôn ngữ truy vấn, cơ sở dữ liệu tương tác và bảo mật CSDL. Module bảo
mật được trình bày ở đây cho phép sinh viên khám phá các lĩnh vực như kiểm soát
truy cập, tấn công SQL, suy luận CSDL, kiểm toán CSDL, và ma trận bảo mật. Tài
liệu này được phát triển như một phần của Quỹ Khoa học Quốc gia và có thể sử dụng
tại địa chỉ
2-Giới thiệu
Công nghệ cơ sở dữ liệu là một thành phần cốt lõi của nhiều hệ thống máy tính.
Chúng cho phép dữ liệu được lưu giữ và chia sẻ điện tử và số lượng dữ liệu được chứa
trong các hệ thống này tiếp tục phát triển với một tốc độ theo cấp số nhân. Vì vậy, cần

phải bảo đảm tính toàn vẹn của dữ liệu và an toàn dữ liệu từ các truy cập không mong
muốn. The Privacy Rights Clearing House (2010) báo cáo rằng hơn 345000000 hồ sơ
khách hàng đã bị mất hoặc bị đánh cắp từ năm 2005 khi họ bắt đầu theo dõi sự cố vi
phạm dữ liệu, và Viện Ponemon báo cáo chi phí trung bình của một hành vi vi phạm
dữ liệu đã tăng lên $202 cho mỗi hồ sơ khách hàng (Ponemon, 2009). Trong tháng 8
năm 2009, bản cáo trạng hình sự đã được lưu truyền ở Hoa Kỳ đến ba thủ phạm bị cáo
buộc thực hiện hành vi vi phạm an ninh lớn nhất duy nhất ghi lại dữ liệu cho đến nay.
Những hacker bị cáo buộc đã đánh cắp hơn 130 triệu số thẻ tín dụng và ghi nợ bằng
cách khai thác một lỗ hổng cơ sở dữ liệu lớn, tiêm một SQL (Phifer, 2010). Các công
ti thống kê rủi ro kinh doanh, những người đã được báo cáo số liệu thống kê vi phạm
từ năm 2004, đã kiểm tra 90 vi phạm trong năm 2008. Họ báo cáo rằng hơn
285.000.000 bản ghi đã bị xâm hại, một số vượt quá tổng số lượng các năm trước
(Baker et al, 2009.). Phát hiện của họ cung cấp hiểu biết về những người gây ra các
hành vi này và làm thế nào chúng xảy ra. Thông thường, họ đã tìm thấy rằng vi phạm
dữ liệu nhất có nguồn gốc từ các nguồn bên ngoài, với 75% của sự cố đến từ bên
ngoài tổ chức so với 20% tới từ bên trong. Họ cũng báo cáo rằng 91% các bản ghi bị
đánh cắp đã được liên kết với các nhóm tổ chức tội phạm. Hơn nữa, họ trích dẫn rằng
phần lớn các vi phạm là kết quả của phần mềm độc hại tấn công và đa số đều do sai
phạm của các nạn nhân- tức là chủ cơ sở dữ liệu. Truy cập trái phép và SQL lỗi đã
được phát hiện là hai hình thức phổ biến nhất của hacker, một phát hiện thú vị là cả
hai sự khai thác trên được biết đến và thường xuyên ngăn ngừa được. Do sự tăng số
lượng các bản ghi vào hệ thống cơ sở dữ liệu, cần có một nhu cầu tương ứng để nâng
cao nhận thức làm thế nào để bảo vệ đúng cách và giám sát hệ thống cơ sở dữ liệu.
Tại cốt lõi của vấn đề, bảo mật cơ sở dữ liệu cố gắng để bảo đảm rằng người dùng chỉ
có thẩm quyền chứng thực thực hiện các hoạt động vào các thời điểm ủy quyền. Nó
bao gồm các hệ thống, quy trình, và thủ tục bảo vệ dữ liệu từ các hoạt động ngoài ý
muốn. Hệ thống Thông tin Quốc phòng Cơ quan của Bộ Quốc phòng Mỹ (2004),
trong kĩ thuật bảo mật cơ sở dữ liệu, nói rằng bảo mật cơ sở dữ liệu cần phải cung cấp
"kiểm soát, truy cập bảo vệ các nội dung cơ sở dữ liệu của bạn và trong quá trình bảo
vệ tính toàn vẹn, nhất quán và chất lượng tổng thể dữ liệu của bạn "(trang 9). Mục

đích thì đơn giản nhưng con đường để đạt được các mục tiêu có một chút phức tạp
hơn. Theo truyền thống, bảo mật cơ sở dữ liệu tập trung xác thực người dùng và người
sử dụng đặc quyền quản lý cho các đối tượng cơ sở dữ liệu (Guimaraes, 2006). Điều
này đã được chứng minh là không đủ cho số lượng cơ sở dữ liệu đã bị đánh cắp thành
công ngày càng tăng và tăng số lượng các tổ chức báo cáo là mất dữ liệu nhạy cảm.
Một quan điểm toàn diện hơn về bảo mật cơ sở dữ liệu là cần thiết, và nó đang trở
thành bắt buộc cho học sinh trong các môn tính toán để phát triển một sự hiểu biết về
các vấn đề và thách thức liên quan đến an ninh cơ sở dữ liệu và xác định các giải pháp
có thể.
Bảo mật cơ sở dữ liệu thường là một chủ đề trong một khóa học giới thiệu cơ sở dữ
liệu hay khóa học giới thiệu bảo mật máy tính. Tuy nhiên những cơ sở kiến thức liên
quan đến bảo mật cơ sở dữ liệu liên tục phát triển, do đó những thách thức của hiệu
quả vận chuyển dữ liệu. Hơn nữa, nhiều chủ đề liên quan đến bảo mật cơ sở dữ liệu
rất phức tạp và đòi hỏi học sinh tham gia vào các hoạt động học tập đầy đủ phải hiểu
rõ tính chất cơ bản của vấn đề bảo mật cơ sở dữ liệu. Bài báo trình bày một tập hợp
các chủ đề nhỏ để đưa vào một thành phần bảo mật cơ sở dữ liệu của khóa học.
Những phụ đề được minh họa bằng cách sử dụng một tập các môđun phần mềm tương
tác.
Là một phần của một khóa học khoa học quốc gia, chương trình giảng dạy và nâng
cấp phần mềm (# 0717707), một tập các module phần mềm tương tác được gọi là cơ
sở dữ liệu học liệu động(ADbC) đã được phát triển để hỗ trợ việc giảng dạy các khái
niệm cơ sở dữ liệu. Dạy học đã được thực hiện tự do có sẵn và có thể được truy cập tại
. ADbC bao gồm hơn 100 hình ảnh động và hướng dẫn phân
loại thành bốn phần chính ( thiết kế cơ sở dữ liệu, ngôn ngữ truy vấn cấu trúc [SQL],
giao dịch và bảo mật) và một vài mô-đun phụ. Tài liệu giảng dạy tương tác như hình
ảnh động thường có thể được kết hợp vào quá trình giảng dạy để nâng cao và làm
phong phú thêm cách trình bày của các khái niệm quan trọng. Ảnh động đã được tìm
thấy để tăng động lực cho học sinh, và trực quan sẽ giúp học sinh phát triển sự hiểu
biết về khái niệm trừu tượng nếu không được coi là "Vô hình" (Steinke, Huk, & Floto,
2003). Hơn nữa, phần mềm hình ảnh động có thể được hiệu quả kiềm chế, buộc các

chủ đề được giới thiệu trong lớp học khi họ cung cấp một địa điểm để thực hành và
phản hồi. Cụ thể, các mô-đun bảo mật và tương ứng các mô-đun phụ sẽ được đề cập
trong bài viết này. Các mô-đun phụ bao gồm sáu lĩnh vực: kiểm soát truy cập, mức độ
bảo mật hàng, ứng dụng bảo mật được mô tả trong một ma trận an ninh, SQL, suy
luận cơ sở dữ liệu, và kiểm toán cơ sở dữ liệu.
3-Chủ đề bảo mật cơ sở dữ liệu
Sau đây trình bày một cơ cấu tổ chức trình bày các khái niệm bảo mật CSDL trong
một quá trình mà trong đó CSDL bảo mật là một trong nhiều chủ đề. Như vậy trọng
tâm là hạn chế và mở đầu cần thiết. Trong khi CSDL bảo mật tích hợp một loạt các
chủ đề bảo mật, tuy nhiên, vật lý an ninh, an ninh mạng, mã hóa và xác thực, bài viết
tập trung vào khái niệm và cơ chế cụ thể để bảo mật dữ liệu. Bảo mật CSDL được xây
dựng trên một khuôn khổ bao gồm ba cấu trúc: bảo mật, toàn vẹn và có sẵn(Bertino &
Sandhu,2005). Bảo mật hoặc bí mật liên quan đến việc bảo vệ dữ liệu khỏi bị bộc lộ
trái phép, đề cập đến công tác phòng chống thay đổi dữ liệu trái phép và không đúng,
và sẵn sàng đề cập đến công tác phòng và phục hồi từ các lỗi phần cứng và phần mềm
cũng như các truy cập dữ liệu độc hại dẫn đến việc từ chối dữ liệu sẵn có (Bertino,
Byun & Kamra, 2007). Lập bản đồ để trong ba cấu trúc, một thành phần bảo mật
CSDL trong khoa học để có nhu cầu trang trải điều khiển truy cập, ứng dụng truy cập,
tình trạng cơ sở dữ liệu không được bảo vệ,, suy luận và cơ chế kiểm toán.
4-Điều khiển truy cập
Phương pháp chính được sử dụng để bảo vệ dữ liệu là hạn chế truy cập dữ liệu.
Điều này có thể được thực hiện thông qua chứng thực, uỷ quyền, và kiểm soát truy
cập. Ba cơ chế rõ ràng khác nhau nhưng thường sử dụng kết hợp với một tập trung
vào kiểm soát truy cập cho độ chi tiết trong giao quyền cho các đối tượng cụ thể và
người sử dụng. Ví dụ, hầu hết các hệ thống cơ sở dữ liệu sử dụng một số hình thức
xác thực, chẳng hạn như tên người dùng và mật khẩu, để hạn chế truy cập vào hệ
thống. Hơn nữa, hầu hết người dùng được phép hoặc được giao quyền xác định các
nguồn lực cụ thể. Kiểm soát truy cập hơn nữa là quá trình lọc bằng cách chỉ định
quyền và đặc quyền cho các dữ liệu cụ thể đối tượng và thiết lập dữ liệu. Trong 1 cơ
sở dữ liệu, các đối tượng này thường bao gồm cả bảng, hiển thị dưới các dòng, và cột.

Ví dụ, Sinh viên A có thể được quyền đăng nhập vào các cơ sở dữ liệu Đại học với
quyền phép của một người sử dụng học sinh trong đó bao gồm những đặc quyền chỉ
đọc cho bảng liệt kê dữ liệu khóa học. Thông qua mức độ của cấp độ kiểm soát truy
cập, học sinh có thể được cho khả năng duyệt qua các khóa nhưng không kiểm tra nội
dung các lớp giao cho bạn cùng lớp của mình. Nhiều sinh viên, hôm nay, cần hiểu sự
cần thiết cho độ chi tiết ở cấp quyền truy cập khi được đóng khung trong việc truy cập
cấp "của bạn bè vào trang web Facebook của họ. Hạn chế truy cập tới các đối tượng
cơ sở dữ liệu có thể được chứng minh qua cách cho/nhận cơ chế kiểm soát truy cập.
5-ĐIỀU KHIỂN TRUY CẬP
Điều khiển truy cập là một khái niệm chính trong bảo mật. Điều khiển truy cập
giới hạn các hành động trên các đối tượng đến người sử dụng cụ thể. Trong cơ sở dữ
liệu bảo mật, các đối tượng liên quan đến các đối tượng dữ liệu như: cá bảng và các
cột cũng như SQL đối tượng như: hiển thị và lưu trữ thủ tục cất giữ. Thao tác dữ liệu
bao gồm đọc(chọn), chèn, cập nhật và xóa hoặc thực hiện các thủ tục lưu trữ. Ví dụ:
một giảng viên tiễn sĩ Smith có thể đọc được đặc quyền vào bảng sinh viên.
Nói chung, điều khiển truy cập được xác định theo ba cách: bắt buộc điều khiển
truy cập(MAC), tùy ý điều khiển truy cập (DAC) và dựa vào vai trò cơ sở điều khiển
truy cập (RBAC).
MAC và DAC cung cấp đặc quyền đến người sử dụng cụ thể hoặc nhóm mà
người dùng được phân công. MAC là hệ thống các quy tắc ứng dụng và xem xét tĩnh
và an toàn hơn. Ví dụ một quy tắc MAC sẽ được đưa tiễn sĩ Smith đọc truy cập vào
bảng sinh viên. DAC quy định là người sử dụng cung cấp được coi là chức năng và
nội dung trọng tâm. Ví dụ một quy tắc đưa cho tiễn sĩ Smith đọc truy cập vào bảng
sinh viên nhưng chỉ cho học sinh ghi vào một khóa học cụ thể như “Giới thiệu về bảo
mật”. Tiễn sĩ Smith sẽ không thể chọn dữ liệu học sinh cho học sinh ghi tên vào các
khóa học khác.MAC và DAC cung cấp công cụ mạnh mẽ nhưng vai trò công cụ điều
khiển truy cập dựa trên chứng minh là đặc biệt hiệu quả cho các hệ thống cơ sở dữ
liệu. Vai trò là tương tự như các chức năng công việc. Với vai trò trọng tâm là việc
xác định các hoạt động và các đối tượng mà những hoạt động cần truy cập. Người
dùng được phân công vai trò một cách tự động nhận được của nó kết hợp các đặc

quyền. Ví dụ: Tiễn sĩ Smith có thể được giao vai trò của khoa, các thành viên của
khoa được cấp quyền để đọc bảng sinh viên lấy dữ liệu tuyển sinh khóa học và cập
nhật cấp cho sinh viên đã được phân công các khóa học của họ. Bằng được giao cho
vai trò của khoa, tiễn sĩ Smith hoàn toàn được đặc quyền này.
Xác định người sử dụng và đánh giá xử lý của họ và truy cập dữ liệu là một
cam kết quan trọng trong thành lập giao thức bảo mật tốt cơ sở dữ liệu. Xác định và
xác định vai trò, chính xác cấp quyền truy nhập vào các hoạt động và các đối tượng
người sử dụng hợp lý thì giao cho những vai trò là điểm mấu chốt của quá trình xử lý.
Một khi vai trò 1 đã được tạo ra, định dạng cho việc thực hiện RABC theo mô hình:
GRANT privilege_name
ON object_name
TO role_name;
privilege_name xác định các quyền được cấp. Chúng bao gồm các quyền như: lựa
chọn dữ liệu, sửa đổi dữ liệu hay thao tác cá cấu trúc cơ sở dữ liệu. ON xác định các
đối tượng cơ sở dữ liệu và TO là xác định cá vai trò mà những ưu đái được áp dụng.
Ví dụ: nếu tiễn sĩ Smith đã được trao quyền để đọc bảng cho sinh viên, các quy tắc
RABC sẽ là:
GRANT Select
ON Student_Table
TO Faculty;
Các điều khiển truy cập mô đun phụ trên trang web ADbC giới thiệu khái quát khái
niệm điều khiển truy cập và cung cấp 2 ví dụ cho cấp và thu hồi các đặc quyền.Giới
thiệu giải thích quá trình và mô hình triển khai thực hiện thông qua câu lệnh SQL
tương ứng. Ví dụ một là sử dụng kịch bản sinh viên, ví dụ hai là sử dụng kịch bản
khoa. Việc cấp mô đun phụ trải qua quá trình phân công người sủ dụng vai trò và giao
quyền cho những vai trò. Ví dụ: bằng cách sử dụng kịch bản khoa, các bước cho cấp
và ủy quyền cho người dùng cá nhân đóng vai trò bao gồm việc có một cơ sở dữ liệu,
người quản lí tạo ra vai trò của giảng viên, phân công giảng viên cho vai trò này, sau
đó phân công cụ thể quyền hoặc quyền ưu đãi cho cá đối tượng cơ sở dữ liệu. Sau khi
được giao vai trò của các khoa, người dùng có tất cả quyền được giao vai trò đó. Hình

1 mô tả các bước trong quá trình cá nhân phân công vai trò khoa.

HÌNH 1: ADbC điều khiển truy cập mô đun phụ: Ví dụ cấp giấy phép vai trò
Việc thu hồi các mô đun phụ thông qua quá trình thu hồi quyền và loại bỏ người
dùng từ vai trò cấp phép. Ví dụ: kịch bản Khoa, cá bước cho việc thu hồi quyền cho
người dùng cá nhân bao gồm thu hồi quyền ưu đãi cho các đối tượng cơ sở dữ liệu cụ
thể và loại bỏ cá nhân người sử dụng từ các vai trò được xác định trước.Trong trường
hợp mô tả trong hình 2, đặc quyền cho các bảng khoađược loại bỏ khỏi vai trò khoa.
Một khi các đặc quyền đó bị hủy bỏ, các thành viên của khoa sẽ không thể truy cập dữ
liệu trong bảng khoa. Hình 2 mô tả các bước trong quá trình nơi mà các đặc quyền vào
bảng khoa bị thu hồi các vai trò được xác định trước của khoa.
Cú pháp, việc tạo ra các vai trò và thực hiện RBAC khá đơn giản. Thách thức là
quản lý người dùng và vai trò liên quan của họ.(Jaquith,2007).
HÌNH 2: ADbC điều khiển truy cập mô đun phụ: Ví dụ thu hồi vai trò dựa trên đặc
quyền
Quyền quản lý bao gồm không chỉ xác định vai trò thích hợp và các quyền tượng
ứng của họ, nhưng quản lý liên tục các quyền lợi được cấp. Các quy tắc bảo mật nói
chung là phân công các thiết lập hạn chế nhất của đặc quyền cần thiết để hoàn thành
nhiệm vụ được ủy quyền. Tuy nhiên, xây dựng cơ cấu tổ chức cho một hệ thống
RBAC có thể nhanh chóng trở nên phức tạp và thực tế là người dùng thường xuyên
thay đổi vai trò có ý nghĩa là RBAC yêu cầu giám sát liên tục. Trong cuốn sách của
ông Security Metrics: thay thế sợ hãi, không chắc chắn và nghi ngờ, Jaquith (2007)
trạng thái, “Hiện nay bảo mật thông tin của chiến trường là tất cả những quyền lợi của
những người có họ, cho dù họ đã được cấp đúng cách và làm thế nào để bắt họ tuân
theo”(p.117). Có thể đánh giá các kỹ thuật điều khiển truy cập là quyết định sự hiểu
biết của sinh viên về Cơ sở dữ liệu bảo mật.
6-Mức độ bảo mật hàng
Điều khiển truy cập vào các bảng Cơ sở dữ liệu hoặc các cột thường xuyên được
yêu cầu và có thể được ban hanhfbawngf một cách dễ dàng, chỉ đơn giản là cấp đặc
quyền cho một trong các đối tượng này. Hạn chế truy cập vào dữ liệu chứa trong bản

ghi (hàng) riêng lẻ các bước cần thiết bổ sung vào. Ví dụ: 1 sinh viên chỉ có thể xem
hoặc sửa đổi các hàn hoặc dòng dữ liệu tương ứng của sinh viên đó. Tuy nhiên sự thực
hiện dầy đủ của mức độ bảo mật hàng có thể không được thực hiện theo cách thức
giống như điều khiển truy cậptruy cập áp dụng cho cơ sở dữ liệu đối tượng như bảng.
Điều này là do việc lựa chọn một hàng dựa trên các đánh giá giá trị dữ liệu cụ thể. Vì
vậy, một cách thông thường để thực hiện cấp độ bảo mật hàng là thông qua sử dụng
các lần đọc SQL. Một lần đọc có thể được xây dựng, được thực hiện dòng dữ liệu
đánh giasddoois với một giá trị cụ thể, chẳng hạn như người dùng hiện hành. Ví
dụ,SQL sau sẽ trả lại chỉ đọc hàng của dữ liệu trong đó giá trị của các cột
AttributeName xuất hiện ID của người dùng:
CREATE VIEW View_Name AS
SELECT *
FROM Table_name
WHERE AttributeName = USER;
ADbC nơi cung cấp một mô đun phụ, cho mức độ bảo mật hàng để chứng minh
cho khái niệm này.Một cửa sổ dữ liệu được trình bày hiển thị bảng dữ liệu và mã SQL
để tạo ra một View mà hàng dữ liệu mức giới hạn với tên của người dùng. Các nút
“Mã” hiển thị tất cả kết hợp các bước và mã SQL cần thiết cho việc tạo bảng, người
dùng, View và gán cho các quyền truy cập vào để mà xem. Sinh viên có thể làm thí
nghiệm với các cơ chế bảo mật cấp độ hàng, bảo mật bằng cách chọn tên một người
dùng từ hộp thả xuống có liên quan. Một cửa sổ sẽ hiển thị ra các kết quả thực hiện
của các View dựa vào sự lựa chọn thích hợp cho bởi người dùng.
HÌNH 3: ADbC mức độ bảo mật hàng mô đun phụ: ví dụ thực hiện bằng cách sử
dụng một SQL tổng quan.
Như tên người dùng là thay đổi, từng hàng khác nhau hiển thị trong cửa sổ ra. Hình 3
cho thấy rằng khi tên người dùng “Jones” được chọn, chỉ dữ liệu của người được xem
mới được hiển thị.
Hàng mức độ bảo mật, mặc dù khó thực hiện, là một khái niệm bảo mật cơ sở
dữ liệu quan trọng. Nó cho phép hạn chế việc truy cập dữ liệu trong các bảng trong đó
dữ liệu liên quan đến nhiều người sử dụng khác nhau lưu trữ. Nó sẽ là không hiệu quả

để lưu trữ mỗi sinh viên tại một trường đại học trong một cơ sở dữ liệu riêng biệt, nó
cũng là không phù hợp để cung cấp cho sinh viên truy cập vào tất cả các dữ liệu trong
một bảng sinh viên tập trung. Sinh viên cần thể hiện nhận thức của sự thỏa hiệp đó
phải được thực hiện để bổ sung mức độ bảo mật hàng. Như một chủ dề tiên tiến trong
khu vực này, sinh viên có thể được hướng dẫn để học cơ sở dữ liệu riêng ảo của
‘Oracle’ , giải pháp để áp dụng chính sách bảo mật như một cách để ban hành mức độ
bảo mật hàng (Knox, 2004).
7-Đánh giá truy cập ứng dụng
Hầu hết người dùng không truy cập vào một cơ sở dữ liệu(CSDL) bằng cách trực
tiếp đăng nhập vào hệ thống CSDL.Thay vào đó, họ truy cập vào CSDL qua một
chương trình ứng dụng.Một công cụ đơn giản,được gọi là một bảo mật (hoặc CRUD)
ma trận có thể được sử dụng để xác định rõ ràng yêu cầu truy cập quyền cần thiết của
một chương trình ứng dụng.Cụ thể,các ma trận bảo mật cung cấp một mô tả trực quan
của sự tương quan giữa các hoạt động hoặc giấy phép cần thiết cho các đối tượng
CSDL và đầu vào\đầu ra nguồn như form và report.Các hoạt động mô tả trong một ma
trận bảo mật bao gồm lựa chọn, tạo(chèn), cập nhật và xoá hàng trên cùng của danh
sách đối tượng CSDL bảng ma trận,các chương trình ứng dụng được liệt kê ở cột bên
trái nhất .Các chữ cái C,R,U,D được đặt trong các tế bào giao nhau để xác định các
loại truy cập theo yêu cầu của một chương trình. Bất kỳ tế bào nhất định có thể chứa
sự kết hợp bất kỳ của những chữ cái hoặc không có gì cả. Một ô trống biểu thị rằng
một chương trình không cần truy cập vào bảng giao nhau. Ngược lại, một tế bào với
tất cả các chữ cái, CRUD cần truy cập vào các bảng.
Một ma trận bảo mật như trong các mô đun AdBC ma trận bảo mật được trình
bày như trong hình 4. Một kịch bản để khách hàng được mô tả, 7 bảng được liệt kê
trên đầu, 7 mẫu được liệt kê xuống phía bên tay trái. Quét ma trận bên trái để cho thấy
rằng hình thức quyền để yêu cầu truy cập đến 5 bảng, bao gồm quyền thay đổi 3 trong
số đó.Cụ thể, các mẫu đơn đặt hàng chỉ cần đọc truy cập vào các khách hàng và bảng
nhân viên, yêu cầu đọc, chèn, cập nhật các quyền đối với các sản phẩm bảng. Quét từ
trên xuống cho thấy 3 ứng dụng, nhãn cảu khách hàng, thông tin khách hàng và các
mẫu đơn đặt hàng truy cập bảng cho khách hàng. Các nhãn của khách hàng và mẫu

đơn đặt hàng yêu cầu đọc truy cập vào bảng khách hàng trong khi các hình thức thông
tin khách hàng yêu cầu đọc, chèn, cập nhật và xoá các quyền. Các mô đun phụ ma trận
bảo mật bao gồm một bộ di kèm với các câu hỏi tương tác yêu cầu người dùng trả lời
để xác định mối quan hệ giữa các bảng và các chương trình ứng dụng.
Một lợi thế cho ma trận bảo mật là nó mô tả trực quan các quy tắc về sự toàn vẹn.
Ví dụ, ma trận giúp dễ dàng xác định tất cả các chương trình ứng dụng có khả năng bị
ảnh hưởng bởi sự thay đổi nào được thực hiện cho một bảng CSDL. Ví dụ, một cột đã
bị xoá từ bảng các sản phẩm sẽ ảnh hưởng đến hình thức đơn đặt hàng và mẫu sản
phẩm, có thể tạo ra lỗi khi các ứng dụng này được thực hiện. Trước khi có những thay
đổi được thực hiện, tiếp theo, các tác động của nó phải được đánh giá để xác định
những ứng dụng sẽ cần cập nhật. Tóm lại, ma trận bảo mật là một công cụ đơn giản
nhưng hiệu quả để xác định khoản bảo mật cần thiết của các đối tượng CSDL.
8-Tình trạng cơ sở dữ liệu không được bảo vệ
Vi phạm bảo mật là một hiện tượng ngày càng tăng. Giống như nhiều và nhiều hơn
nữa CSDL được thực hiện truy cập thông qua internet và các ứng dụng dựa trên web,
việc tiếp xúc với các mối đe dọa an ninh sẽ tăng lên. Mục tiêu là để giảm nhạy cảm
với các mối đe doạ, có lẽ hầu hết các CSDL công bố công khai các ứng dụng đã được
xen SQL. Xen SQL cung cấp ví dụ tuyệt vời để thảo luận về bảo mật khi thể hiện một
trong những vấn đề bảo mật CSDL quan trọng nhất, vốn có để người dùng nhập vào
không xác nhận những rủi ro. Mối đe doạ xảy ra khi ngừơi dùng nhập mã độc hại có
"thủ thuật" CSDL vào thực hiện các lệnh không mong muốn. vi phạm này chủ yếu xảy
ra là do các tính năng cuả ngôn ngữ SQL cho phép những thứ như ý kiến nhúng bằng
cách sử dụng dấu nối đôi, ghép các câu lệnh SQL cách nhau bằng dấu chấm phẩy, và
khả năng truy vấn siêu dữ liệu từ từ điển CSDL. Các giải pháp để ngăn chặn một việc
đan xen SQL là đầu vào xác định.
Một ví dụ phổ biến mô tả những gì có thể xảy ra khi 1 quá trình đăng nhập được sử
dụng trên một trang wed có xác nhận hợp lệ tên một người dùng và mật khẩu đối với
dữ liệu lưu trữ trong một CSDL quan hệ. Các trang wed cung cấp các hình thức đầu
vào cho người dùng nhập dữ liệu văn bản. Các văn bản người dùng cung cấp được sử
dụng để tự động tạo ra một câu lệnh SQL để tìm kiếm CSDL cho phù hợp với hồ sơ.

Ý định là tên người dùng hợp lệ và kết hợp mật khẩu sẽ được chứng thực và ngừơi
dùng được phép truy cập vào hệ thống. Tên người dùng và mật khẩu không hợp lệ sẽ
không được xác thực. Tuy nhiên, nếu một ngừơi sử dụng không trung thực nhập văn
bản độc hại, họ có thể, trong bản chất, được truy cập vào dữ liệu mà họ không có đặc
quyền. Ví dụ, các chuỗi sau đây,"OR 1=1 " nhập vào ô tên người dùng.
Ví dụ, SQL mẫu mã có thể là:
SELECT Count(*) FROM UsersTable
WHERE UserName = ‘contents of username textbox’
AND Password = ‘contents of password textbox’;
Khi người dùng nhập tên người dùng hợp lệ, chẳng hạn như “Mary” và mật
khẩu “qwerty”, truy vấn SQL trở thành:
SELECT Count(*) FROM UsersTable
WHERE UserName=‘Mary’
AND Password=‘qwerty’;
Tuy nhiên, nếu người dùng nhập tên người dùng sau như một: ‘OR 1=1 – truy vấn
SQL trở thành:
SELECT Count(*) FROM UsersTable
WHERE UserName=‘‘ OR 1=1 - -’
AND Password=‘‘;
Các biểu thức 1 = 1 là đúng đối với mọi hàng trong bảng gây ra mệnh đề OR trả về
một giá trị đúng. Các dấu ghạch nối chú thích vào phần còn lại của chuỗi truy vấn
SQL. Truy vấn này sẽ trả về một giá trị lớn hơn không, giả định có ít nhất một trong
bảng người sử dụng, dẫn đến những gì dường như là một thông tin đăng nhập thành
công. Trong thực tế, nó không phải. Truy cập vào hệ thống đã thành công mà không
có một người dùng phải biết hoặc là tên một người dùng hoặc mật khẩu.
SQL khác được thực hiện khi một hệ thống CSDL cho phép xử lý xếp chồng truy
vấn lên nhau. Xếp chồng truy vấn lên nhau được thực hiện các truy vấn SQL có nhiều
hơn một trong một chức năng duy nhất lệnh gọi từ một chương trình ứng dụng. Trong
trường hợp này một chuỗi được chuyển đến hệ thống CSDL với các truy vấn khác
nhau, mỗi truy vấn tách rời nhau bằng dấu chấm phẩy “ ; ” . Ví dụ sau thể hiện một

truy vấn xếp chồng lên nhau. Ý định ban đầu là để cho phép người dùng lựa chọn các
thuộc tính của sản phẩm được giữ lại trong một bảng sản phẩm. Người sử dụng xen
một truy vấn xếp chông lên nhau một truy vấn SQL kết hợp bổ sung cũng xóa các
bảng Khách hàng.
SELECT * FROM PRODUCTS; DROP CUSTOMERS;
Chuỗi này khi được thông qua như là một truy vấn SQL sẽ cho kết quả trong việc
thực hiện hai truy vấn. Một danh sách tất cả các sản phẩm sẽ được trả lại. Ngoài ra
bảng Khách hàng sẽ được gỡ bỏ từ các CSDL. Các cấu trúc bảng sẽ bị xóa và tất cả
các dữ liệu khách hàng sẽ bị mất. Trong hệ thống CSDL không cho phép các truy vấn
xếp chồng lên nhau, hoặc vô hiệu chuỗi SQL có chứa một dấu chấm phẩy, truy vấn
này sẽ không được thực hiện.
Phần mềm dạy học ADbC mô đun phụ để xen SQL thể hiện chèn mã độc trong quá
trình đăng nhập. Các mô đun phụ bước qua quá trình bằng cách đầu tiên hiển thị các
mục dữ liệu hợp lệ và sau đó chứng minh mục các mã độc hại, làm thế nào nó được
xen vào một SQL tạo ra và sau đó thực hiện. Hình 5 cho thấy các bước mà mã độc hại
là nhập vào. Hình 6 cho thấy các lệnh SQL tự động tạo ra và hiển thị các kết quả của
tất cả các dữ liệu trong bảng người dùng. Hiện nay các bước bổ sung mã kết quả
trong việc sửa đổi hoặc xóa đi dữ liệu.

Hình 5: mô đun phụ ADbC xen SQL: Nhập mã độc hại trong xen SQL
Hình 6. mô đun phụ ADbC xen SQL: Kết quả của xen SQL bằng cách sử dụng
đoạn mã độc truy cập vào một hệ thống CSDL.
Các truy vấn SQL được xây dựng kết hợp của người dùng và thông qua hệ thống
CSDL như là một biến chuỗi. Xen SQL có thể được ngăn ngừa bằng cách xác thực
người sử dụng đầu vào. Ba phương pháp thường được sử dụng để xác thực địa chỉ
chuỗi truy vấn: cách sử dụng một danh sách màu đen, sử dụng một danh sách màu
trắng hoặc thực hiện các truy vấn tham số. Các danh sách đen phân tích đầu vào chuỗi
so sánh mỗi nhân vật đến một danh sách định sẵn của các nhân vật không được cho
phép. Những bất lợi để sử dụng danh sách đen là có nhiều nhân vật đặc biệt có thể
được hợp pháp nhưng sẽ bị từ chối sử dụng cách tiếp cận này. Ví dụ phổ biến là sử

dụng dấu nháy đơn trong một tên mới chẳng hạn như O’Hare.
Cách tiếp cận danh sách trắng cũng tương tự nhưng ngoại trừ nhân vật từng được
so sánh với một danh sách của các từ được cho phép. Cách tiếp cận này là xem xét ưu
tiên, nhưng đặc biệt phải được thực hiện khi chứng thực báo giá duy nhất. Tham số
truy vấn sử dụng các thông số trong nội bộ quy định để điền vào trước khi SQL chuẩn
bị báo cáo. Tầm quan trọng của việc xác thực đầu vào không thể được phóng đại. Nó
là một trong những cơ chế chính phòng thủ các vi phạm SQL cơ sở dữ liệu bao gồm
cả SQL.
9.Cơ sở dữ liệu suy diễn
Một lỗ hổng trong công nghệ tinh tế tìm thấy cơ sở dữ liệu (CSDL) là suy luật hay
khả năng lấy thông tin cơ sở chưa được biết đến trên thông tin thu hồi. Vấn đề suy
luận được rằng không có giải pháp lý tưởng cho vấn đề. Các giải pháp chỉ được đề
nghị bao gồm các điều kiện liên quan đến truy vấn( tắt) hoặc điều kiện liên quan đến
tác nhân trong một CSDL (che). Nói cách khác, dữ liệu(DL) nhạy cảm trong một truy
vấn yêu cầu hoặc là không cung cấp hoặc là trả lời cho gần như không chính xác ,
ngăn chặn người dùng từ có được đủ thông tin để suy luận. Không đại diện cho các
giải pháp lý tưởng như đang hạn chế trong tự nhiên. Tuy nhiên, điều quan trọng là
sinh viên có hiểu được những suy luận này không và làm thế nào để nó xảy ra. Ví dụ
là cách tốt nhất để thể hiện suy luận. Các suy luận modum ABcD bao gồm 3 hình ảnh
động thể hiện cách người dùng có thể đặt lại với nhau (suy ra). Thông tin khi DL có
sẵn cho người có một cấp độ truy cập bảo mật cao hoặc truy cập khi họ chỉ được giao
cho DL tổng hợp.
Suy luận thường xảy ra trong trường hợp mục đích thực tế là cho người dùng để
tạo ra hoặc xem giá trị tổng hợp khi họ không được trao quyền truy cập vào DL cá
nhân các mặt hàng. Tuy nhiên, vì họ được tiếp xúc thông tin về DL, đôi khi họ có thể
suy ra giá trị cá nhân. Lấy một VD: tình huống mà một người nhân viên muốn tìm
lương của đồng nghiệp tên Goldberg. Trong tổ chức này DL tiền lương được giữ bí
mật, nhân viên có quyền tạo ra DL tổng hợp như tổng hợp lương trung bình trên các
tiêu chí cụ thể. Mặc dù các nhân viên không có quyền truy cập vào các dữ liệu cá nhân
, người đó không có chi tiết cụ thể và duy nhất cụ thể về Goldberg. Cụ thể Goldberg là

một phụ nữ và đã có 11 người phụ thuộc. Căn cứ vào thông tin này, các nhân viên có
thể lấy được một chức năng tổng hợp như :
SELECT AVG (luong)
FROM EMPLOYEES
WHERE gioitinh = “Nữ” and nguoiphuthuoc =11
Điều này sẽ trả về lương của Goldberg bởi vì trung bình lấy từ DL tổng hợp. Các
suy luận modum ABcD bao gồm 3 hình ảnh động thể hiện ở hình 7. Cửa sổ lệnh SQL
miêu tả việc xây dựng các truy vấn để xác định tiền lương trung bình. Bảng dữ liệu về
nhân viên được hiển thị trong góc trên bên trái và bên dưới là kết quả của truy vấn.
HÌNH 7: Suy luận QDbC mô đun phụ: Sử dụng tổng hợp dữ liệu để suy luận thông
tin.
Suy luận cũng có thể xảy ra khi có người dùng xác định thông tin từ dữ liệu truy
cập đến chúng ở mức độ bảo mật của họ mặc dù có thông tin cụ thể được bảo vệ tại
một bảo mật truy cập cao hơn cấp độ truy cập. Thật khó để giải thích điều này mà
không cần sự trợ giúp của một cuộc biểu tình. VD như vị trí thứ 2 trong suy luận
modum ABcD cung cấp một kịch bản cụ thể trong trường hợp công ti thử nghiểm sản
phẩm, không được tiếp cận với nhân viên cơ sở. Tuy nhiên, nhân viên cơ sở được cho
truy cập để cập nhật các bảng dữ liệu theo dõi nội dung trong các lĩnh vực lưu trữ của
công ti. Khi truy cập vào bảng này, nhân viên cơ sở không có khả năng đọc những
dòng sản phẩm có chứa nguyên mẫu. Vấn đề xảy ra khi nhân viên cố cập nhật một
hàng bảo vệ . Điều này gây ra một thông báo lỗi. Căn cứ vào thông tin báo lỗi, nhân
viên cơ sở có thể phỏng đoán rằng thông tin đã được ẩn và có thể suy ra một cái gì đó
có tính chất bí mật đã được lưu trữ trong ngăn chứa tham chiếu trong các yêu cầu cập
nhật. Hình 8 mô tả một lỗi được tạo ra cấp dưới 1 truy vấn các vấn đề với hàng bảo vệ
DL . Các bảng ở phía dưới cho thấy các DL có thể truy cập đến các nhân viên cơ sở.
Chú ý rằng, khoang B có chứa sản phẩm X không được hiển thị trong bảng dưới. Một
giải pháp cho vấn đề này có thể suy luận là cho phép một CSDL cất giữ nhiều hồ
sơ có cùng phím chính, nó là duy nhất phân biệt bởi 1 bảo mật nhận dạng đòn bẩy.
Nếu được ban hành trong kịch bản tiếp tục, các lệnh chèn sẽ thành công. Tuy nhiên,
điều này không ngăn chặn ‘Đặt phòng tăng gấp đôi’ của khu vực ngăn chứa.

Phát triển các giải pháp công nghệ để phát hiện các suy luận CSDL phức tạp. Rất
nhiều việc làm trong lĩnh vực này liên quan đến việc thu hồi quyền truy cập vào các
đối tượng CSDL cụ thể dựa trên lịch sử truy vấn của người dùng qua (Staddon,2003).
Các vấn đề cùng với phát hiện suy luận, đặc biệt là khi thực hiện tại thời gian
Hình 8: Suy luận ADbC mô đun phụ: Bảo mật độ truy cập Lỗi hàng đầu để suy
luận
xử lý truy vấn, nó là kết quả trong một sự chậm trễ đáng kể giữa thời gian truy cập
được thực hiện và kết quả được trình bày cũng như các phương pháp khác để giảm
nhẹ Lỗ hổng bảo mật CSDL, đánh đổi thương mại phải được thực hiện. Việc bảo vệ
DL nhạy cảm cao đòi hỏi phải kiểm tra tình hình của những gì dẫn đến việc tiếp xúc
với người sử dụng trái phép và những chính sách giám sát phải được thực hiện để đảm
bảo phản ứng thích hợp được ban hành.
10,Kiểm toán
CSDL kiểm toán được sử dụng để theo dõi các truy cập CSDL và hoạt động của
người dùng. Kiểm toán có thể được sử dụng để xác định ai đã truy cập vào đối tượng
CSDL, những hành động được thực hiện và những DL đã được thay đổi. CSDL kiểm
toán không ngăn chặn vi phạm an ninh nhưng nó cung cấp một cách để xác định vi
phạm đã xảy ra. Chuyên mục thông thường của kiểm toán CSDL bao gồm giám sát
cố gắng truy cập CSDL, dữ liệu điều khiển hoạt động ngôn ngữ(DCL), dữ liệu hoạt
động ngôn ngữ (DDL) và ngôn ngữ định nghĩa hoạt động thao tác (DML). Giám sát
cố gắng truy cập bao gồm duy trì thông tin về đăng nhập thành công và không thành
công và cố gắng thoát khỏi mạng. DCL kiểm toán ghi lại thay đổi cho người dung và
vai trò đặc quyền, bổ xung người dùng và xoá người dùng. DDL kiểm tra hồ sơ thay
đổi lược đồ CSDL chẳng hạn như thay đổi lược đồ CSDL , thay đổi cấu trúc hay DL
bảng thuộc tính. DML kiểm tra hồ sơ thay đổi DL. Ngoài ra, các lỗi CSDL cần được
theo dõi. CSDL kiểm toán được thực hiện thông qua các tập tin đăng nhập và các
bảng kiểm toán.
Thách thức thực sự của kiểm toán CSDL là việc quyết định những gì và bao nhiêu
dữ liệu để giữ lại và bao lâu để giữ nó. Một số tuỳ chọn tồn tại. Một đường mòn kiểm
toán cơ bản thường bắt người dùng truy cập, sử dụng tài nguyên hệ thống và thay đổi

trên cấu trúc của CSDL. Hoàn chỉnh hơn dữ liệu kiểm toán bắt đọc cũng như sửa đổi
DL. Các modum kiểm toán ABcD cung cấp từng bước VD cho việc tạo ra các cuộc
đánh giá của các phiên người dùng, thay đổi cấu trúc CSDL và sửa đổi DL. Hình 9
cho thấy 1 VD về mã cần thiết để thực hiện và kích hoạt một cuộc kiểm toán của
người dùng đăng nhập và đăng xuất.
Hình 9.ADbC Cơ sở dữ liệu kiểm toán mô đun phụ: Giám sát viên đăng nhập
Một đường mòn kiểm toán cung cấp một dấu vết ghi âm hoàn chỉnh hơn của người
dùng truy cập không chỉ vậy mà còn mô tả hoạt động của người dùng. Đây là loại thiết
bị có trong hệ thống quản li CSDL nhiều. Các mặt hàng phổ biến nhất được kiểm toán
bao gồm các lỗ lực đăng nhập, DL đọc và sửa đổi DL hoạt động, hoạt động không
thành công để truy nhập vào bảng CSDL và cố gắng để chèn DL vi phạm ràng buộc
cụ thể. Hình 10 cho dấu vết của kiểm toán. VD người dùng truy nhập và hoạt động
của người dùng như thể hiện ở hình, lệnh kiểm toán trong CSDL của kiểm toán
modum ABcD. Các lệnh SQL của cửa sổ hiện thị các biểu tượng SQL được sử dụng
để lấy DL từ bảng kiểm toán.
Hình 10. ADbC Cơ sở dữ liệu kiểm toán mô đun phụ: Ví dụ cơ sở dữ liệu kiểm
toán dấu vết
Kiểm toán đóng một vai trò trung tâm trong một kế hoạch an ninh toàn diện CSDL.
Điểm yếu chính của quá trình kiểm toán là thời gian trống giữa khoảng dữ liệu được
ghi lại đến khi phân tích được thực hiện. Do đó, nếu vi phạm thì các hoạt động trái
phép khác được xác định sau khi thực hiện, làm cho nó khó khăn để giảm thiểu tác
động một cách kịp thời. Tuy nhiên, các giải pháp đang được giới thiệu cho phép thời
gian thực giám sát các hoạt động CSDL tìm kiếm cho các sự kiện chỉ mang tính
khuôn mẫu của hành vi vi phạm tiềm năng và ban hành thông báo thời gian để quản trị
CSDL khi hoạt động như vậy xảy ra. Dù vậy, CSDL kiểm toán là một quá trình cần
thiết và sinh viên phải được nhận thức sự cần thiết phải giám sát liên tục của các tệp
tin đăng nhập CSDL.
11-ADbC học liệu sử dụng và đánh giá
Các học liệu ADbC được phát triển để cung cấp bổ sung hỗ trợ giảng dạy trong các
lớp học phần mềm.Các phần mềm không phù hợp với bất kỳ sản phẩm cụ thể hoặc

sách giáo khoa cũng không phải là ý định thay thế cho các tài nguyên. Thay vào đó nó
cung cấp một địa điểm tương tác sinh viên và tham gia với Tất nhiên vật liệu.
Các thành phần hỗ trợ cả hai ADbC hướng dẫn trong lớp và thực hành ngoài lớp
học và. gia cố .Ho không được thiết kế để là nguồn duy nhất cho việc học tập một mới
khái niệm. Trong lớp học, giảng viên có thể sử dụng học liệu cho các cuộc biểu tình
khi giải thích về một chủ đề.Các mô-đun phụ cũng có thể được phân công như chính
các hoạt động ngoài lớp học để củng cố các khái niệm được trình bày trong lớp. hầu
hết các-mô-đun phụ bao gồm nhiều hơn một hình ảnh động cho phép đối với một ví
dụ để được chứng minh trong lớp và một ví dụ khác được giao cho trong lớp thực
hành.Sinh viên cũng có thể được giới thiệu đến dạy học để hỗ trợ khi hoàn thành bài
tập về nhà, học tập cho kỳ thi. Một đánh giá của sinh viên nhận thức hiệu quả giảng
dạy của các Module bảo mật được thực hiện vào mùa xuân năm 2009.Sáu mươi học
sinh được yêu cầu để hoàn thành một bảng câu hỏi trực tuyến ba mươi tám sinh viên
trả lời.Ngoài ra, các cuộc phỏng vấn được thực hiện với ba giảng viên thành viên dùng
dạy học trong các lớp học của họ. Học sinh trả lời các cuộc khảo sát được yêu cầu
đánh giá liệu cụ thể mô đun phụ (kiểm soát truy cập, SQL tiêm, an ninh, ma trận, cấp
độ bảo mật hàng, suy luận cơ sở dữ liệu, và kiểm toán cơ sở dữ liệu) đã giúp họ tìm
hiểu các vật liệu .Phần lớn các sinh viên cho biết họ đồng ý hay mạnh mẽ nhất trí rằng
mô-đun phụ đã tăng cường học tập của mình. mô-đun phụ với sự đánh giá cao nhất
bao gồm tiêm SQLvà mức độ an ninh hàng.Cơ sở dữ liệu suy luận và kiểm toán cơ sở
dữ liệu nhận được số lượng cao nhất của học sinh báo cáo đánh giá của "trung tính".
Khi được hỏi khi họ có động lực để sử dụng phần mềm, 41% cho biết họ chỉ dùng nó
khi yêu cầu cụ thể để làm điều đó bằng cách hướng dẫn của họ .Tuy nhiên, 51% cho
biết họ cũng sử dụng nó trên của riêng mình. Tám phần trăm cho thấy họ sử dụng
những phần mềm thường.Lý do phổ biến nhất được sử dụng các phần mềm đã được
hoàn thành bài tập về nhà, học tập cho kỳ thi.
Giảng viên báo cáo là giảng dạy của họ đã được tăng cường bằng cách dạy học
này, viện dẫn rằng dạy học cũng được ánh xạ đến các khái niệm giảng dạy trong lớp
học, mà nó cung cấp một phương tiện tăng cường cho việc học tập của học sinh, và
rằng đó là một quá trình tốt hơn cho trình bày các khái niệm hơn so với truyền thống

cách vẽ hình ảnh trên Bảng trắng. đánh giá này được giới hạn trong phạm vi một số
lượng tương đối nhỏ của học sinh và giảng viên. Tuy nhiên, kết quả đáng khích lệ.Cả
sinh viên và giảng viên báo cáo những lợi ích tích cực cho việc sử dụng học liệu.
12-Kết luận
Sự cần thiết để bảo đảm hệ thống máy tính là hiểu rõ và bảo vệ dữ liệu phải là một
phần của một kế hoạch an ninh tổng thể máy tính. Trồng lượng dữ liệu nhạy cảm đang
được lưu giữ trong cơ sở dữ liệu và nhiều hơn nữa của các cơ sở dữ liệu đang được
thực hiện truy cập qua mạng Internet. Theo nhiều dữ liệu hơn được làm sẵn bằng điện
tử, nó có thể được giả định rằng các mối đe dọa và các lỗ hổng cho sự toàn vẹn của dữ
liệu cũng sẽ tăng. Cơ sở dữ liệu bảo mật đang trở thành đề tài ngày càng quan trọng và
học sinh cần phát triển sự hiểu biết chính trong lĩnh vực này. các mục tiêu chính của
bảo mật cơ sở dữ liệu là để ngăn chặn truy cập trái phép vào dữ liệu, ngăn chặn
tampreing trái phép hoặc sửa đổi dữ liệu, và để đảm bảo dữ liệu mà vẫn có sẵn khi cần
thiết
Các khái niệm liên quan đến bảo mật cơ sở dữ liệu được nhiều mặt. Điều này làm
cho nó khó khăn để dạy các vật liệu khi bảo mật cơ sở dữ liệu là bao gồm như là một
thành phần chỉ của một khóa học lớn hơn. Tuy nhiên, đây là cách hầu hết học sinh
được tiếp xúc với chủ đề. Bài viết này đề xuất một tập hợp các tiểu chủ đề trong thành
phần cơ sở dữ liệu một khóa học bảo mật và giới thiệu một bộ các module phần mềm
tương tác lập bản đồ cho từng chủ đề-sub trình bày. học sinh tham gia vào các hoạt
động tương tác học tập nâng cao kinh nghiệm Thuê và cung cấp cơ hội cho học sinh
để tiếp tục tìm hiểu vấn đề bảo mật cơ sở dữ liệu và xác định các phương pháp thiết
thực để thực hiện cơ chế bảo mật cơ sở dữ liệu và chiến lược.
References
Baker,W. H., Hutton, A., Hylender, C. D., Novak, C., Porter, C., Sartin, B.,
Tippett, P., & Valentine, J. A. (2009). The 2009 data breach investigations
report. Verizon Business. Retrieved January 31, 2010, from
http://www . veri z o

nb u


si n ess.co m / reso ur ces/security/r e p

o rts/ 2 0 09 _da t abrea ch

_

r p

. p

d f
Bertino, E., Byun, J., & Kamra, A. (2007). Database security. In M. Petkovic &
W. Jonker (Eds.), security, privacy, and trust in modern data management
(Data-centric systems and applications) (pp. 87-102). New York: Springer-
Verlag.
Bertino, E., & Sandhu, R. (2005). Database security—concepts, approaches,
and challenges. IEEE Trans- actions on Dependable and Secure Computing,
2(1), 2-18.
Defense Information Systems Agency. (2004). Database security technical
implementation guide, 7(1).
Department of Defense. Retrieved January 31, 2010,
from h

tt p

://www. d

ata b


asesec u

rity.c o

m / db

sec/ d

ata b

ase-
sti g

- v

7r 1

. p

d f
Guimaraes, M. (2006). New challenges in teaching database security. Proceedings
of the 3rd Annual Con- ference on Information Security Curriculum Development,
Kennesaw, GA, USA, 64-67.
Jaquith, A. (2007). Security metrics: Replacing fear, uncertainty, and doubt.
Redwood City, CA: Addison- Wesley Professional.
Knox, D. C. (2004). Effective Oracle database 10g security by design. New York:
McGraw-Hill/Osborne. Phifer, L. (2010). Top ten data breaches and blunders of
2009. eSecurity Planet, February 10. Retrieved
from c urit y pl a n


et.co m /featu r es/articl e .p h p

/ 3 8 63 5

5 6

/ T o p - T en -

Data-Bre ac h

es- an d

- Blu n der s - o f -20 0

9 .htm
Ponemon, L. (2009). Fourth annual US cost of data breach study. Poneomon
Institute sponsored by PGP Corporation. Retrieved January 31, 2010, from
h

tt p

://www. p

o n

e m on

.or g

/l o


cal/ up

l o

a d

/f c kj

ail/ g

e n

eralco n

te n

t/ 18

/ file/ 2

0 0

8 2009 % 2

0
US % 20 C ost % 20of%20Data % 20Breach %2 0Report%20F i nal.pd f
Privacy Rights Clearing House. (2010). Chronology of data breaches. Retrieved
January 31, 2010, from h


tt p

://www. p

r i v

acyrig h

ts. o

r g

/
Staddon, J. (2003). Dynamic inference control. Proceedings of the 8th ACM
SIGMOD Workshop on Re- search Issues in Data Mining and Knowledge
Discovery, San Diego, CA, USA, 94-100.
Steinke, M., Huk, T., & Floto, C. (2003). Helping teachers developing computer
animations for improving learning in science education. Proceedings of the Society
for Information Technology and Teacher Education International Conference,
Chesapeake, VA, 3022-3025.
Yang, L. 2009. Teaching database security and auditing. Proceedings of the 40th
ACM Technical Sympo- sium on Computer Science Education, Chattanooga, TN,
USA.
Tiểu sử
Meg Coffin Murray là một giáo sư trong các bộ phận của hệ
thống máy tính và thông tin tại trường đại học Kennesaw nhà
nước.Bà có bằng tiến sĩ trong các hệ thống thông tin và đã có
hơn ba mươi năm kinh nghiệm trong cả hai viện nghiên cứu
và công
nghiệp.Tiến sỹ Murray chuyên về phát triển và thực hiện các

công nghệ đang nổi lên để đáp ứng nhu cầu kinh doanh và tổ
chức.hiện công việc của mình đã tập trung vào các dịch vụ
web và XML bằng cách sử dụng như một phương tiện để trao đổi dữ liệu.Cô cũng
tham gia vào các chiến lược đặt ra để đánh giá và khắc phục những kỹ năng cần thiết
để tận dụng CNTT trong đổi mới, một trình điều khiển chính của tăng trưởng kinh tế.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×