10424_Nghiên cứu một số giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng

luận văn tốt nghiệp

ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

NGUYỄN THỊ THU TRANG

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP
AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU ỨNG DỤNG
CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

THÁI NGUYÊN – 2020
ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

NGUYỄN THỊ THU TRANG

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP
AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU ỨNG DỤNG
CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH

Chuyên ngành: Khoa học máy tính
Mã số: 8 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Giáo viên hướng dẫn: TS. Hồ Văn Hương

THÁI NGUYÊN – 2020
i

LỜI CẢM ƠN
Trong suốt quá trình học tập vừa qua, em đã được quý thầy cô cung cấp và
truyền đạt tất cả kiến thức chuyên môn cần thiết và quý giá nhất. Ngoài ra, em còn
được rèn luyện một tinh thần học tập và làm việc độc lập và sáng tạo. Đây là tính
cách hết sức cần thiết để có thể thành công khi bắt tay vào nghề nghiệp trong tương
lai.
Đề tài luận văn thạc sĩ là cơ hội để em có thể áp dụng, tổng kết lại những kiến
thức mà mình đã học. Đồng thời, rút ra được những kinh nghiệm thực tế và quý giá
trong suốt quá trình thực hiện đề tài. Sau một thời gian em tập trung công sức cho đề
tài và làm việc tích cực, đặc biệt là nhờ sự chỉ đạo và hướng dẫn tận tình của TS Hồ
Văn Hương cùng với các thầy cô trong trường Đại học Công nghệ thông tin & Truyền
thông – Đại học Thái Nguyên, đã giúp cho em hoàn thành đề tài một cách thuận lợi
và gặt hái được những kết quả mong muốn. Bên cạnh những kết quả khiêm tốn mà
em đạt được, chắc chắn không tránh khỏi những thiếu sót khi thực hiện luận văn của
mình, kính mong thầy cô thông cảm. Sự phê bình, góp ý của quý thầy cô sẽ là những
bài học kinh nghiệm rất quý báu cho công việc thực tế của em sau này.
Là sinh viên ngành công nghệ thông tin, em rất tự hào về khoa mà mình theo
học, tự hào về tất cả các thầy cô của mình.
Em xin chân thành cảm ơn TS Hồ Văn Hương đã tận tình giúp đỡ em hoàn
thành đề tài này.
Em xin chân thành cảm ơn!

Thái Nguyên, tháng 9 năm 2020
Học viên

Nguyễn Thị Thu Trang
ii

LỜI CAM ĐOAN
Em xin cam đoan nội dung luận văn này là do chính em thực hiện, các số liệu
thu thập và kết quả phân tích trong báo cáo là trung thực, không sao chép từ bất cứ
đề tài nghiên cứu khoa học nào. Nếu sai, em xin hoàn toàn chịu trách nhiệm trước
Nhà trường.

Thái Nguyên, tháng 9 năm 2020

Học viên

Nguyễn Thị Thu Trang
iii

MỤC LỤC
LỜI CẢM ƠN ………………………………………………………………………………………………..i
LỜI CAM ĐOAN ………………………………………………………………………………………… ii
DANH MỤC HÌNH ẢNH ……………………………………………………………………………..vi
MỞ ĐẦU
………………………………………………………………………………………………………
1
1. Tính khoa học và cấp thiết của đề tài
…………………………………………………………….
1
2. Đối tượng và phạm vi nghiên cứu của đề tài ………………………………………………….
2
3. Phương pháp luận nghiên cứu
………………………………………………………………………
2
4. Nội dung và bố cục của luận văn ………………………………………………………………….
3
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRONG CƠ SỞ DỮ
LIỆU
…………………………………………………………………………………………………………….
4
1.1. Giới thiệu chung về an toàn, bảo mật cơ sở dữ liệu
…………………………………..
4
1.2. Khái niệm cơ bản …………………………………………………………………………………
4
1.2.1. Các thành phần của DBMS
……………………………………………………………..
5
1.2.2. Các mức mô tả dữ liệu ……………………………………………………………………
6
1.3. Vấn đề an toàn trong cơ sở dữ liệu …………………………………………………………
7
1.3.1. Các hiểm hoạ đối với an toàn cơ sở dữ liệu ………………………………………
7
1.3.2. Các yêu cầu bảo vệ cơ sở dữ liệu
……………………………………………………..
8
1.4. Kiểm soát an toàn
…………………………………………………………………………………
9
1.4.1. Kiểm soát luồng……………………………………………………………………………
10
1.4.2. Kiểm soát suy diễn ……………………………………………………………………….
10
1.4.3. Kiểm soát truy nhập ……………………………………………………………………..
10
1.5. Khảo sát thực trạng an toàn và bảo mật cơ sở dữ liệu tại Sở Giáo dục và Đào
tạo tỉnh Quảng Ninh ………………………………………………………………………………….
11
1.6. Kết luận chương 1 ………………………………………………………………………………
15
CHƯƠNG 2. LÝ THUYẾT MẬT MÃ TRONG BẢO MẬT CƠ SỞ DỮ LIỆU
…..
17
2.1. Giới thiệu về lý thuyết mật mã
……………………………………………………………..
17
2.2. Mã hóa bằng khóa bí mật …………………………………………………………………….
18
2.2.1. Khái niệm ……………………………………………………………………………………
18
2.2.2. Ưu khuyết điểm…………………………………………………………………………….
18
2.2.3. Cơ chế mã hóa khóa bí mật
……………………………………………………………
19
2.3. Mã hóa bằng khóa công khai ……………………………………………………………….
21
2.3.1. Khái niệm ……………………………………………………………………………………
21
2.3.2. Ưu khuyết điểm…………………………………………………………………………….
22
iv

2.3.3. Cơ chế mã hóa khóa công khai ………………………………………………………
22
2.4. Xác thực thông tin ………………………………………………………………………………
25
2.4.1. Bảo vệ tính toàn vẹn của thông tin
………………………………………………….
26
2.4.2. Kiểm chứng danh tính nguồn gốc thông tin
……………………………………..
27
2.4.3. Chống từ chối bản tin gốc
……………………………………………………………..
28
2.5. Hàm băm …………………………………………………………………………………………..
30
2.6. Chữ ký số ………………………………………………………………………………………….
32
2.7. Một số vấn đề về bảo mật cơ sở dữ liệu
…………………………………………………
35
2.7.1. Mô hình bảo mật CSDL ………………………………………………………………..
35
2.7.2. Các yếu tố mất an toàn với cơ sở dữ liệu
…………………………………………
39
2.7.3. Những yêu cầu khi xây dựng một hệ thống cơ sở dữ liệu an toàn ……….
40
2.8. Kết luận chương 2 ………………………………………………………………………………
41
CHƯƠNG 3. THỰC NGHIỆM MỘT SỐ GIẢI PHÁP AN TOÀN VÀ BẢO MẬT
CƠ SỞ DỮ LIỆU MYSQL ỨNG DỤNG CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO
TỈNH QUẢNG NINH
…………………………………………………………………………………..
42
3.1. Mục tiêu và giải pháp bảo mật cơ sở dữ liệu ………………………………………….
42
3.1.1. Mục tiêu
………………………………………………………………………………………
42
3.1.2. Giải pháp
…………………………………………………………………………………….
42
3.2. Giải pháp bảo mật CSDL trong hệ quản trị CSDL MySQL ……………………..
49
3.2.1. Giới thiệu…………………………………………………………………………………….
49
3.2.2. Vấn đề bảo mật trong MySQL
………………………………………………………..
50
3.3. Thử nghiệm bảo mật cơ sở dữ liệu trong phát triển website quản lý điểm
….
57
3.3.1. Phạm vi và yêu cầu bài toán ………………………………………………………….
57
3.3.2. Mô hình bảo mật của hệ thống
……………………………………………………….
58
3.3.3. Triển khai mô hình bảo mật …………………………………………………………..
59
3.3.4. Một số kết quả sau khi phát triển website
………………………………………..
59
3.4. Kết luận chương 3 ………………………………………………………………………………
69
KẾT LUẬN VÀ ĐỀ NGHỊ
……………………………………………………………………………
70
TÀI LIỆU THAM KHẢO
……………………………………………………………………………..
72
v

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

AES
: Advanced Encrypition Standard
CA
: Certificate Authority
CSDL
: Cơ sở dữ liệu
DBMS : Database Management System
DDL
: Data Definition Language
DES
: Data Encript Standard
DDM
: Data Manipulation Language
MAC
: Message Authentication Code
QL
: Query Language
SQL
: Structured Query Language

vi

DANH MỤC HÌNH ẢNH
Hình 1.1: Tương tác giữa trình ứng dụng và cơ sở dữ liệu
…………………………………..
6
Hình 1.2: Hệ thống kiểm soát truy nhập ………………………………………………………….
11
Hình 2.1: Mã hóa bằng khóa bí mật
………………………………………………………………..
18
Hình 2.2: Tiến trình mã hoá AES……………………………………………………………………
20
Hình 2.3: Mã hóa bằng khóa công khai …………………………………………………………..
22
Hình 2.4: Các bước thực hiện của thuật toán RSA ……………………………………………
23
Hình 2.5: Lược đồ tạo chữ ký số
…………………………………………………………………….
33
Hình 2.6: Lược đồ kiểm tra chữ ký số …………………………………………………………….
34
Hình 2.7: Các thành phần của mô hình an toàn trong một hệ thống an toàn
…………
39
Hình 3.1: Dòng dữ liệu trao đổi giữa hai nút ……………………………………………………
44
Hình 3.2: Mô hình khai thác CSDL được bảo mật ……………………………………………
46
Hình 3.3: Giao thức bắt tay của SSL
……………………………………………………………….
52
Hình 3.4: Mô hình bảo mật của hệ thống
…………………………………………………………
58
Hình 3.5: Giao diện đăng nhập người dùng ……………………………………………………..
60
Hình 3.6: Bản mã tài khoản người dùng ………………………………………………………….
60
Hình 3.7: Giao diện thêm mới học sinh …………………………………………………………..
61
Hình 3.8: Sửa thông tin học sinh
…………………………………………………………………….
61
Hình 3.9: Bản mã thông tin học sinh ………………………………………………………………
61
Hình 3.10: Giao diện nhập điểm của học sinh ………………………………………………….
62
Hình 3.11: Giao diện xem bản mã điểm của học sinh ……………………………………….
62
Hình 3.12: Bản mã được lưu trong CSDL ……………………………………………………….
63
Hình 3.13: Giao diện sau khi đăng nhập ………………………………………………………….
63
Hình 3.14: Giao diện thiết lập năm học …………………………………………………………..
64
Hình 3.15: Giao diện thêm mới năm học …………………………………………………………
65
Hình 3.16: Giao diện thiết lập môn học …………………………………………………………..
65
Hình 3.17: Giao diện thêm mới môn học
…………………………………………………………
66
Hình 3.18: Giao diện quản lý người dùng
………………………………………………………..
66
Hình 3.19: Giao diện quản lý lớp học ……………………………………………………………..
67
vii

Hình 3.20: Giao diện danh sách học sinh trong lớp
…………………………………………..
68
Hình 3.21: Giao diện sửa và xét hạnh kiểm học sinh trong lớp
…………………………..
68
Hình 3.22: Giao diện tìm kiếm điểm
……………………………………………………………….
69

1

MỞ ĐẦU
1. Tính khoa học và cấp thiết của đề tài
An toàn thông tin luôn là vấn đề được bàn luận và quan tâm trong thời đại
Internet phát triển, đảm bảo thông tin được bảo mật, không bị đánh cắp, sửa đổi làm
ảnh hưởng đến quyền lợi của người dùng cá nhân cũng như của các tổ chức. Ngày
nay, lĩnh vực bảo mật an toàn thông tin đang được nghiên cứu, phát triển và ứng dụng
rộng rãi trong nhiều hệ thống thông tin nhằm đảm bảo một hệ thống có tính bảo mật,
tin cậy và sẵn sàng. Đặc biệt là những hệ thống có cơ sở dữ liệu lưu trữ lớn cần phải
có giải pháp đảm bảo an toàn và bí mật như trong lĩnh vực ngân hàng, tài chính, bảo
hiểm. Do đó, việc tạo ra một hệ thống an toàn phục vụ cho nhu cầu truy cập, sửa đổi,
cập nhật là hết sức cần thiết và chỉ có những cá nhân hay các tổ chức có quyền hợp
lệ mới có khả năng tương tác dữ liệu với hệ thống.
Vì thế, nhiệm vụ đảm bảo tính bí mật cho cơ sở dữ liệu là hết sức quan trọng,
giúp tạo ra một hệ thống bảo mật, hoạt động chặt chẽ và an toàn cho việc cập nhật và
truy cập dữ liệu.
Hiện nay, Quảng Ninh là một trong những tỉnh tiên phong trong việc triển khai
Chính phủ điện tử và ứng dụng công nghệ thông tin vào hầu hết các ngành nghề, các
lĩnh vực trong cuộc sống. Trong đó, giáo dục và đào tạo là ngành được quan tâm hàng
đầu. Sở Giáo dục và Đào tạo tỉnh Quảng Ninh đã không ngừng áp dụng những ứng
dụng mới vào công tác quản lý cũng như công tác dạy và học, mang lại nhiều hiệu
quả tích cực.
Nhưng cùng với thực trạng chung trên cả nước, sự phát triển nhanh chóng của
công nghệ thông tin đang khiến cho vấn đề mất an toàn thông tin của Sở Giáo dục và
Đào tạo tỉnh Quảng Ninh ở mức độ cao. Do năng lực chống lại sự xâm nhập về thông
tin còn yếu, hầu hết không biết rõ đối tượng tấn công cơ sở dữ liệu của mình và chưa
có quy trình thao tác để ứng phó khi có sự cố xảy ra. Từ đó đặt ra những nhiệm vụ
quan trọng đối với Sở Giáo dục và Đào tạo tỉnh Quảng Ninh là công tác đảm bảo an
toàn và bảo mật thông tin cho cơ sở dữ liệu.
2

Được sự gợi ý của thầy giáo hướng dẫn tôi đã chọn đề tài “Nghiên cứu một số
giải pháp an toàn và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo
tỉnh Quảng Ninh” làm luận văn tốt nghiệp của mình. Mục tiêu chính của luận văn
tìm hiểu các kỹ thuật và phương pháp để thực hiện nhiệm vụ bảo mật và an toàn dữ
liệu như mật mã, xác thực, bảo mật, chữ ký số… có liên quan tới truyền thông an toàn
và cơ sở dữ liệu, sau đó sử dụng hệ quản trị cơ sở dữ liệu MySQL với bài toán quản
lý dữ liệu và truyền thông bảo mật dữ liệu về kết quả học tập của học sinh cho một
trường THPT của tỉnh Quảng Ninh để thử nghiệm.
2. Đối tượng và phạm vi nghiên cứu của đề tài
– Đối tượng nghiên cứu: Tìm hiểu, nghiên cứu thực trạng và nhu cầu về an
ninh, an toàn thông tin trong bộ dữ liệu của Sở Giáo dục và Đào tạo tỉnh Quảng Ninh,
dựa trên các tiêu chuẩn, cơ sở mật mã, chữ ký số nhằm đưa ra các giải pháp an toàn
và bảo mật cơ sở dữ liệu cho Sở Giáo dục và Đào tạo.
– Phạm vi nghiên cứu: Luận văn tập trung nghiên cứu trên bài toán bảo mật
thông tin trong CSDL MySQL.
3. Phương pháp luận nghiên cứu
– Phương pháp nghiên cứu lý thuyết: Nghiên cứu, thu thập các tài liệu đã xuất
bản, các bài báo trên các tạp chí khoa học và các tài liệu trên mạng Internet có liên
quan đến vấn đề đang nghiên cứu của các tác giả trong và ngoài nước. Từ đó, chọn
lọc và sắp xếp lại theo ý tưởng của mình.
Tìm hiểu, vận dụng một số giải pháp an toàn và bảo mật cơ sở dữ liệu.
Thực hiện triển khai cài đặt ứng dụng demo sử dụng một số giải pháp an toàn
và bảo mật cơ sở dữ liệu ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh.
– Phương pháp nghiên cứu thực nghiệm: Nghiên cứu tài liệu, ứng dụng và
công nghệ liên quan. Tổng hợp các tài liệu lý thuyết về bảo mật CSDL. Xây
dựng ứng dụng để bảo mật CSDL MySQL.
– Phương pháp trao đổi khoa học: Thảo luận, xemina, lấy ý kiến chuyên gia.
3

4. Nội dung và bố cục của luận văn
Ngoài phần mở đầu, kết luận và hướng phát triển, luận văn được bố cục thành
ba chương chính như sau:
Chương 1. Tổng quan về an toàn thông tin trong cơ sở dữ liệu: Giới thiệu một
cách tổng quan về an toàn thông tin trong cơ sở dữ liệu.
Chương 2. Cơ sở lý thuyết mật mã trong bảo mật cơ sở dữ liệu: Giới thiệu
những kiến thức chung về mã hóa đối xứng, mã hoá công khai và cơ chế mã hóa. Nêu
ra các vấn đề an toàn trong dùng các hệ mã, phân phối và sử dụng khóa.
Chương 3. Thực nghiệm một số giải pháp an toàn và bảo mật cơ sở dữ liệu
MySQL ứng dụng cho Sở Giáo dục và Đào tạo tỉnh Quảng Ninh: Trình bày các giải
pháp bảo mật trong CSDL, từ đó đưa ra hướng bảo mật CSDL MySQL và xây dựng
ứng dụng bảo mật CSDL MySQL. Xây dựng ứng dụng bảo mật CSDL điểm cho các
trường THPT.

4

CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRONG CƠ SỞ DỮ LIỆU
1.1. Giới thiệu chung về an toàn, bảo mật cơ sở dữ liệu
An ninh cơ sở dữ liệu đã trở thành một vấn đề có tầm quan trọng toàn cầu, những
kẻ xâm nhập tìm mọi con đường để đánh cắp dữ liệu. Hướng triển khai nhiều lớp bảo
mật trong môi trường cơ sở dữ liệu quan trọng là phương pháp hữu hiệu nhất để giảm
thiểu nguy cơ xâm phạm dữ liệu. Nếu nhiều lớp bảo mật được áp dụng cho một môi
trường lưu trữ dữ liệu, khi đó những kẻ xâm nhập sẽ có một thời gian khó khăn hơn
khi truy cập dữ liệu.
Để bảo mật môi trường lưu trữ dữ liệu cần có những lớp bảo vệ sau: Bảo mật
cơ sở dữ liệu, bảo mật máy tính và an ninh mạng.
1.2. Khái niệm cơ bản
CSDL được hiểu là một tập hợp các dữ liệu, các quy tắc dữ liệu và chỉ ra mỗi
quan hệ giữa các dữ liệu ấy. Thông qua quy tắc này thì người tạo lập CSDL mô tả
khuôn dạng logic cho dữ liệu [1].
Hệ quản trị CSDL: Hay trình quản lý CSDL (DBMS) là một hệ thống chương
trình hỗ trợ thuận lợi cho người tạo lập CSDL và quản lý CSDL.
Ví dụ như hệ quản trị CSDL Access của Microsoft: Hỗ trợ cho việc tạo bảng,
câu lệnh truy vẫn, các khung nhìn, thủ tục lưu trữ… rất thuận tiện, thực hiện các chính
sách về truy cập CSDL.
Người quản trị CSDL: Là những người xác định các quy tắc về tổ chức, kiểm
soát, cấp quyền truy cập đến các thành phần của CSDL.
Ví dụ như hệ quản trị CSDL của Microsoft là SQL server: Người quản trị có thể
tạo ra những quy tắc, cấp quyền truy xuất đến CSDL,…
5

Người dùng tương tác đến CSDL: Là những đối tượng truy xuất đến CSDL
thông qua hệ quản trị CSDL hay ứng dụng có tương tác (truy xuất) đến CSDL.
Ví dụ: Website báo chí cần truy xuất thông tin bài báo bằng cách thực hiện kết
nối đến CSDL.
1.2.1. Các thành phần của DBMS
Một DBMS thông thường bao gồm nhiều môđun tương ứng với các chức năng sau:
 Định nghĩa dữ liệu – DDL.
 Thao tác dữ liệu – DML.
 Hỏi đáp cơ sở dữ liệu – QL.
 Quản trị cơ sở dữ liệu – DBMS.
 Quản lý file.
Nguyên lý hoạt động:
Yêu cầu người dùng cuối hoặc một chương trình ứng dụng thông qua câu lệnh
của DML hoặc QL để thao tác với CSDL. Các câu lệnh này được thông dịch bằng bộ
xử lý DML, QL. Kết quả đưa ra các câu hỏi tối ưu theo lược đồ CSDL. Sau đó các
câu lệnh được đưa tới bộ quản lý CSDL. Tại đây bộ quản lý CSDL kiểm tra xem
người dùng hoặc chương trình có được phép truy cập tới CSDL không, thông qua
bảng phân quyền. Ngoài tra chương trình quản lý CSDL không, thông qua bảng truy
cập đồng thời. Tiếp đó thực hiện truy vấn tới chương trình quản lý file, thực thi các
thao tác trên file. Chương trình này chịu trách nhiệm lấy dữ liệu từ trong CSDL rồi
trả về kết quả cho người dùng thông qua chương trình quản lý file, chương trình quản
lý CSDL. Bộ xử lý DML, QL là nơi tiếp nhận sự trả về cuối cùng [1].

6

Hình 1.1: Tương tác giữa trình ứng dụng và cơ sở dữ liệu
Tất cả mọi thao tác nhằm truy vấn tới CSDL đều được thực hiện thông qua các
thủ tục của DBMS. Thực hiện một câu lệnh DML tương ứng với một thủ tục của
DBMS truy cập tới CSDL.
1.2.2. Các mức mô tả dữ liệu
DBMS mô tả dữ liệu theo nhiều mức khác nhau và được mô tả như sau [1]:
 Tầng hiển thị logic:
Chức năng của tầng là hỗ trợ các ứng dụng hiển thị trên đó, việc xây dựng tầng
này phụ thuộc vào các yêu cầu của mô hình logic và mục đích của ứng dụng. Tầng
hiển thị logic mô tả một phần tầng lược đồ CSDL logic. Tầng này sử dụng DDL để
định nghĩa các hiển thị logic và DML để thực hiện các thao tác trên đó.
 Tầng lược đồ dữ liệu logic:
Ở tầng này tất cả dữ liệu của CSDL được mô tả sử dụng mô hình logic của
DBMS. Dữ liệu và các mối quan hệ của dữ liệu được mô tả qua DDL của DBMS và
các thao tác khác nhau trên tầng này được xác định thông qua DML của DBMS.
 Tầng dữ liệu vật lý:
Ở tầng này kiến trúc lưu trữ của dữ liệu chính là các file trên bộ nhớ ngoài. Dữ
liệu là các dữ liệu vật lý được lưu trữ như bản ghi hay con trỏ của bản ghi.
7

 Việc DBMS tạo ra các tầng khác nhau trong mô tả của dữ liệu làm cho khái
niệm về logic và vật lý của dữ liệu trở nên độc lập ở cả hai mức logic và vật lý.
 Độc lập logic nghĩa là một lược đồ logic có thể được thay đổi mà không làm
thay đổi các chương trình ứng dụng làm việc của lược đồ này.
 Độc lập vật lý nghĩa là lược đồ dữ liệu vật lý có thể thay đổi mà không cần
thay đổi các ứng dụng truy cập dữ liệu trên đó.
1.3. Vấn đề an toàn trong cơ sở dữ liệu
1.3.1. Các hiểm hoạ đối với an toàn cơ sở dữ liệu
Hiểm họa đối với an ninh cơ sở dữ liệu là người truy cập trái phép vào CSDL
nhằm sao chép, sửa đổi, khám phá thông tin. Hiện nay, hiểm họa hàng đầu đối với an
toàn cơ sở dữ liệu là:
 Lạm dụng quyền vượt mức:
Người dùng sử dụng quyền vượt mức các yêu cầu trong chức năng công việc
của mình.
 Lạm dụng quyền hợp pháp:
Người dùng sử dụng không dúng mục đích quyền của mình để thu thập dữ
liệu…
 Nâng cấp quyền bất hợp pháp:
Kẻ tấn công thay đổi quyền truy nhập của người bình thường thành quyền truy
nhập của một người quản trị.
 Lợi dụng các điểm yếu của nền tảng:
Các điểm yếu trên hệ điều hành, điểm yếu trong các dịch vụ được cài đặt máy
chủ CSDL có thể dẫn tới truy nhập bất hợp pháp, hay từ chối dịch vụ.
 SQL Injection:
Kẻ tấn công chèn các mệnh đề CSDL bất hợp pháp vào nguồn CSDL SQL. Để
truy nhập và khai thác dữ liệu.
 Mã độc:
8

Kẻ tấn công sử dụng các mã độc, hoặc phần mềm độc hại để thâm nhập vào các
tổ chức để lấy cắp dữ liệu nhạy cảm.
 Lợi dụng lỗ hổng truy vết:
Không phát hiện và ngăn chặn được hành động tấn công của người dùng do
không ghi lại được đầy đủ những hành động của người dùng.
 Từ chối dịch vụ:
Người dùng hợp pháp sẽ không thể truy cập được dữ liệu hay các ứng dụng trên
mạng.
 Lợi dụng sự sơ hở để khai thác phương tiện lưu trữ:
Do các phương tiện lưu trữ không thường xuyên được bảo vệ khỏi các tấn công
dễ dẫn đến mất mát đĩa và băng sao lưu CSDL.
1.3.2. Các yêu cầu bảo vệ cơ sở dữ liệu
Bảo vệ cơ sở dữ liệu khỏi các hiểm hoạ, có nghĩa là bảo vệ tài nguyên, đặc biệt
là dữ liệu khỏi các thảm hoạ, hoặc truy nhập trái phép. Các yêu cầu bảo vệ cơ sở dữ
liệu gồm [2]:
 Bảo vệ chống truy cập trái phép:
Đây là một vấn đề được quan tâm chính trong an toàn CSDL. Nó bao gồm việc
truy cập hợp pháp tới dữ liệu của người được cấp quyền. Các yêu cầu truy cập sẽ
được DBMS kiểm tra lại để xem xét có chấp nhận quyền đó của người dùng hay
chương trình ứng dụng không thông qua bảng phân quyền.
 Bảo vệ chống suy diễn:
Suy diễn chỉ rõ khả năng thu được thông tin bí mật từ những dữ liệu đã được
công khai. Vấn đề suy diễn thường là mối đe dọa lớn của cơ sở dữ liệu thống kê.
Người dùng sẽ bắt đầu tìm thông tin ẩn từ những dấu vết để lại trên thông tin đã được
công khai.
 Bảo vệ toàn vẹn CSDL:
9

Bảo vệ truy vấn lại sự truy cập trái phép bắt nguồn từ các lỗi, virut, sự phá hoại
hoặc các lỗi hệ thống. DBMS dựa vào dạng bảo vẹn thông qua việc kiểm soát tính
đúng đắn của hệ thống, các thủ tục sao lưu, phục hồi dữ liệu, các thủ tục an toàn dữ
liệu.
 Tính đúng đắn của các phép toán thực hiện trên dữ liệu:
Yêu cầu này đảm bảo tính tương thích logic của dữ liệu và các thao tác thực hiện
đồng thời trên dữ liệu.
 Tính toàn vẹn về mặt ngữ nghĩa của dữ liệu:
Yêu cầu đảm bảo tính tương thích logic của dữ liệu bị thay đổi, bằng cách kiểm
tra dữ liệu có nằm trong khoảng giá trị cho phép hay không.
 Dữ liệu có khả năng lưu vết và kiểm tra:
Là khả năng ghi lại mọi truy cập tới dữ liệu và dữ liệu có khả năng kiểm tra
được nhằm đảm bảo tính toàn vẹn dữ liệu.
 Xác thực người dùng:
Hệ thống phải có khả năng xác thực đối tượng người dùng và quyền truy cập
của người dùng tới dữ liệu, chỉ có người có quyền hợp pháp mới được truy cập tới dữ
liệu.
 Bảo vệ dữ liệu nhạy cảm:
Bảo vệ dữ liệu nhạy cảm là một vấn đề rất quan trọng đặt biệt trong các môi trường
năng động, nhạy cảm như quân đội, thương mại…
 Có nhiều cấp độ bảo vệ khác nhau:
Tùy vào tính chất nhạy cảm của dữ liệu mà phân cấp, cấp độ bảo vệ khác nhau
và trao quyền cho người dùng truy cập tới dữ liệu là khác nhau.
 Giới hạn thông tin truyền nhằm tránh mất mát thông tin trên đường truyền.
1.4. Kiểm soát an toàn
Có thể bảo vệ được cơ sở dữ liệu thông qua các phương pháp an toàn sau:
 Kiểm soát luồng.
 Kiểm soát suy diễn.
10

 Kiểm soát truy nhập.
1.4.1. Kiểm soát luồng
Kiểm soát luồng là kiểm tra xem thông tin có trong một số đối tượng có đi
vào các đối tượng có mức bảo vệ thấp hơn hay không. Các kiểm soát luồng điều
chỉnh phân bố luồng thông tin giữa các đối tượng có khả năng truy nhập. Các chính
sách kiểm soát luồng cần phải chỉ ra các luồng có thể được chấp nhận, hoặc phải
điều chỉnh.
1.4.2. Kiểm soát suy diễn
Kiểm soát suy diễn nhằm mục đích bảo vệ dữ liệu không bị khám phá gián tiếp.
Các kênh suy diễn chính trong hệ thống là:
 Truy nhập gián tiếp:
Từ dữ liệu được phép truy nhập để khám phá ra những dữ liệu khác qua các câu
hỏi truy vấn.
 Dữ liệu tương quan:
Dữ liệu tương quan là một kênh suy diễn đặc trưng, xảy ra khi dữ liệu có thể
nhìn thấy được X và dữ liệu không thể nhìn thấy được Y kết nối với nhau mặt ngữ
nghĩa. Kết quả là có thể khám phá được thông tin về Y nhờ đọc X.
 Thiếu dữ liệu:
Kênh thiếu dữ liệu là một kênh suy diễn mà qua đó, người dùng có thể biết được
sự tồn tại của một tập giá trị X.
1.4.3. Kiểm soát truy nhập
Kiểm soát truy nhập trong các hệ thống thông tin là đảm bảo mọi truy nhập
trực tiếp vào các đối tượng của hệ thống tuân theo các kiểu và các quy tắc đã được
xác định trong chính sách bảo vệ. Hình 1.2 minh hoạ một hệ thống kiểm soát truy
nhập.
11

Hình 1.2: Hệ thống kiểm soát truy nhập
1.5. Khảo sát thực trạng an toàn và bảo mật cơ sở dữ liệu tại Sở Giáo dục và Đào
tạo tỉnh Quảng Ninh
Hiện tại, Sở Giáo dục và Đào tạo tỉnh Quảng Ninh đã và đang thực hiện quản
lý nhiều lĩnh vực khác nhau, trong đó bao gồm một số lĩnh vực sau:
– Quản lý cán bộ (CB) gồm các thông tin sau:
Mã CB, tên CB, ngày sinh, giới tính, trình độ đào tạo, bộ môn, hình thức hợp
đồng, phòng ban/đơn vị, email, số điện thoại, tình trạng.
– Quản lý Đảng viên (ĐV) gồm các thông tin sau:
Mã ĐV, tên ĐV, chức vụ, trình độ đào tạo, phòng ban/đơn vị, ngày vào Đảng,
ngày chính thức, trạng thái.
– Quản lý học sinh (HS) gồm các thông tin sau:
Mã HS, tên HS, ngày sinh, giới tính, lớp, trường, trạng thái.
– Quản lý điểm học sinh được tác giả trình bày chi tiết ở phần tiếp theo của
luận văn.
Quảng Ninh là một trong những tỉnh tiên phong trong việc triển khai Chính
phủ điện tử và ứng dụng công nghệ thông tin vào hầu hết các ngành nghề, các lĩnh
vực trong cuộc sống. Sở Giáo dục và đào tạo tỉnh Quảng Ninh cũng triển khai các
12

biện pháp nhằm đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông
tin cụ thể như:
a) Công tác triển khai cơ sở dữ liệu ngành Giáo dục và Đào tạo
Ngành GDĐT tỉnh Quảng Ninh triển khai cơ sở dữ liệu ngành Giáo dục theo
hướng dữ liệu được thu thập thông qua phần mềm quản lý trường học trực tuyến tại
các trường học và được chuyển tự động sang phần mềm quản lý cơ sở dữ liệu ngành
Giáo dục qua các giao tiếp lập trình ứng dụng (API).
Đến thời điểm này, toàn bộ dữ liệu học sinh, giáo viên (trừ các nhóm trẻ tư thục
độc lập, các cơ sở đào tạo GDTX tại các trường cao đẳng, đại học) đã được thu thập
và cập nhật vào cơ sở dữ liệu ngành Giáo dục. Sở GDĐT tỉnh Quảng Ninh đã hoàn
thiện, gửi toàn bộ các báo cáo cuối năm trên phần mềm cơ sở dữ liệu.
b) Sở GDĐT tỉnh Quảng Ninh đã thực hiện việc gửi và nhận văn bản điện tử có
ký số thông qua phần mềm quản lý hành chính điện tử (e-office) với Bộ GDĐT. Sở
và các phòng GDĐT, các trường học trực thuộc sở đã thực hiện chuyển nhận văn bản
điện tử có ký số qua phần mềm quản lý văn bản.
c) Trong các năm học vừa qua, Sở GDĐT Quảng Ninh đã triển khai phần mềm
quản lý trường học trực tuyến tại địa chỉ http://qlth.quangninh.edu.vn tới 100% các
trường mầm non, phổ thông trên địa bàn toàn tỉnh.
Sở GDĐT tỉnh Quảng Ninh hiện nay đang quản lý 56 trường THPT thành viên
như các trường: THPT Chuyên Hạ Long, THPT Hòn Gai, THPT Cẩm Phả, THPT
Uông Bí, THPT Hồng Đức, THPT Hoàng Văn Thụ, THPT Đông Thành, THPT Bãi
Cháy, THPT Lê Quý Đôn, THPT Hoành Bồ…
Các trường THPT đều có chung cách tính điểm cũng như quy trình quản lý điểm
của học sinh theo từng khối. Cụ thể như sau:
13

 Mỗi học kỳ, một học sinh có các loại điểm: điểm kiểm tra thường xuyên,
điểm kiểm tra định kì và điểm kiểm tra học kỳ. Số lượng con điểm tùy thuộc vào từng
bộ môn và do giáo viên bộ môn quản lý.
 Mỗi lớp có một giáo viên chủ nhiệm. Giáo viên chủ nhiệm có trách nhiệm
quản lý kỷ luật của từng học sinh trong lớp. Cuối mỗi học kỳ giáo viên chủ nhiệm sẽ
nhận xét, đánh giá hạnh kiểm, giáo viên chủ nhiệm sẽ thông báo kết quả học tập cả
học kỳ cho học sinh.
 Sau mỗi học kỳ, giáo viên chủ nhiệm và giáo viên bộ môn sẽ nhập điểm cho
học sinh mình phụ trách dạy. Các giáo viên có quyền cập nhật điểm (thêm, sửa, xóa
điểm) trong thời gian qui định.
 Ngoài ra giáo viên có thể thống kê kết quả học kỳ theo lớp, theo môn và kết
quả cả năm theo lớp, theo môn. Điểm tổng kết môn học được làm tròn đến chữ số
thập phân thứ nhất.
 Người quản lý sẽ quản lý việc nhập điểm của học sinh từ các giáo viên, quản
lý người dùng. Ngoài ra, người quản lý sẽ tiếp nhận học sinh mới, lập bảng phân lớp
và lập bảng phân công giáo viên. Hệ thống quản lý học sinh dựa vào họ tên, lớp, ngày
sinh, địa chỉ.
Cách tính điểm được áp dụng:
a) Điểm trung bình môn học kỳ (ĐTBmhk) là trung bình cộng của điểm các bài KTtx,
KTđk và KThk với các hệ số quy định tại Điểm a, Khoản 3, Điều 7 Quy chế này:
ĐTBmhk =
TĐKTtx + 2 x TĐKTđk + 3 x ĐKThk
Số bài KTtx + 2 x Số bài KTđk + 3
– TĐKTtx: Tổng điểm của các bài KTtx
– TĐKTđk: Tổng điểm của các bài KTđk
– ĐKThk: Điểm bài KThk
b) Điểm trung bình môn cả năm (ĐTBmcn) là trung bình cộng của ĐTBmhkI với
ĐTBmhkII, trong đó ĐTBmhkII tính hệ số 2:
14

ĐTBmcn =
ĐTBmhkI + 2 x ĐTBmhkII
3
c) ĐTBmhk và ĐTBmcn là số nguyên hoặc số thập phân được lấy đến chữ số thập
phân thứ nhất sau khi làm tròn số.
Tiêu chuẩn xét học lực của học sinh:
 Loại giỏi:
1. Điểm trung bình các môn từ 8,0 trở lên trong đó điểm trung bình của một
trong hai môn toán và ngữ văn phải từ 8,0 trở lên.
2. Không có môn học nào tổng kết dưới 6,5.
3. Các môn học đánh giá bằng hình thức đạt hay không đạt thì phải Đạt.
 Loại Tiên Tiến:
1. Điểm trung bình các môn từ 6,5 trở lên, trong đó điểm trung bình của 1 trong
2 môn toán và ngữ văn từ 6,5 trở lên.
2. Không có môn học nào điểm trung bình dưới 5,0.
3. Các môn học đánh giá bằng hình thức đạt hay không đạt thì phải đạt.
 Loại trung bình:
1. Điểm trung bình các môn học từ 5 trở lên, trong đó điểm trung bình của 1
trong 2 môn toán và ngữ văn phải trên 5,0.
2. Không có môn học nào điểm trung bình dưới 3,5.
3. Các môn học đánh giá bằng hình thức đạt hay không đạt phải Đạt.
 Loại yếu:
1. Điểm trung bình các môn học từ 3,5 trở lên, không có môn học nào trung
bình dưới 2.
Tiêu chuẩn xét lên lớp:
 Cho lên lớp thẳng với những học sinh có đủ điều kiện sau:
1. Nghỉ học không quá 45 ngày/1 năm.
2. Được xếp loại học lực và hành kiểm của cả năm từ trung bình trở lên.
15

 Không được lên lớp với khi học sinh vi phạm 1 trong những điều sau đây:
1. Nghỉ học quá 45 ngày/ 1 năm.
2. Có học lực và hạnh kiểm vcar năm xếp loại yếu.
 Thi lại: những học sinh có tổng điểm cả năm dưới 5,0 phải thi lại 1 trong 2
môn toán và văn.
d) Hiện tại hệ thống hội nghị trực tuyến (công nghệ video conferencing) đã
được triển khai từ Sở đến tất cả các phòng GDĐT. Hàng tháng, Sở GDĐT đều tổ
chức giao ban trực tuyến tới toàn bộ các phòng GDĐT và các trường THPT trên toàn
tỉnh.
e) Hệ thống cổng thông tin điện tử, thư điện tử theo tên miền riêng đã được triển
khai và hoạt động ổn định tại Sở và các phòng GDĐT từ năm 2012. Dự kiến trong
năm 2020, toàn bộ hệ thống cổng thông tin điện tử ngành GDĐT trong toàn tỉnh sẽ
được đầu tư xây mới.
g) Công tác thực hiện tổ chức thi, cấp chứng chỉ ứng dụng CNTT trên địa bàn
theo Thông tư liên tịch số 17/2016/TTLT-BGDĐT-BTTTT ngày 21/6/2016 sát các
cơ sở đào tạo, trung tâm sát hạch được quản lý, kiểm tra, giám sát chặt chẽ. Toàn bộ
các kỳ thi đều được phê duyệt bằng văn bản, được giám sát bằng cán bộ của Sở GDĐT
và Sở TTTT.
Hiện tại, Sở GDĐT đang tham mưu Ủy ban nhân dân tỉnh phê duyệt dự án Xây
dựng hệ thống quản lý giáo dục thông minh với mục tiêu triển khai các giải pháp
mang tính đồng bộ (bao gồm kho học liệu số, bài giảng e-learning, phần mềm thiết
kế bài giảng điện tử, phần mềm mô phỏng, thí nghiệm ảo và phần mềm dạy học) liên
kết với phần mềm quản lý trường học, cơ sở dữ liệu giáo dục của tỉnh và cả nước.
1.6. Kết luận chương 1
Chương này nhằm giới thiệu một cách tổng quan về an toàn thông tin trong cơ
sở dữ liệu. Nội dung của chương đã trình bày tổng quan và chi tiết về các vấn đề:
 Khái niệm cơ bản về CSDL.
16

 Vấn đề an toàn trong CSDL trong đó đã đưa ra được các nguy cơ, hiểm họa
hiện nay đối với cơ sở dữ liệu và yêu cầu bảo vệ cơ sở dữ liệu.
 Các phương pháp kiểm soát an toàn để bảo vệ CSDL.
 Khảo sát thực trạng an toàn và bảo mật cơ sở dữ liệu tại Sở Giáo dục và Đào
tạo tỉnh Quảng Ninh.

Đánh giá post

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *