Mavzu: Parol bilan himoyalangan ma’lumotlar bazasini hosil qilish va ularni amalga oshirish
Download 204,5 Kb.
|
4-lab himoyalangan baza
4 Laboratoriya ishiMavzu: Parol bilan himoyalangan ma’lumotlar bazasini hosil qilish va ularni amalga oshirish.Ishdan maqsad: Qanday qilib himoyalangan ma’lumotlar bazasini hosil qilishni o’rganish. Nazariy qismAxborot xavfsizligining quyidagi uchta komponentasi mavjud: konfidensiallik (ruxsat etilmagan kirishdan himoya); butunlik (axborotni ruxsat etilmagan o‘zgartirishdan himoyalash); kirish xuquqi (ishlanuvchanlikni himoyalash, buzilishdan himoyalash, axborot va resurslarni ruxsat etilmagan ushlab qolishdan himoyalash). Ixtiyoriy universal kompyuter tizimining dasturiy ta’minoti uchta asosiy tashkil etuvchidan iborat buladi: operatsion tizim (OT), tarmok dasturiy ta’minoti (TDT) va ma’lumotlar bazasini boshqarish tizimi (MBBT). Shuning uchun kompyuter tizimlarini buzishga bo‘lgan barcha urinishlarni uch guruxga ajratish mumkin: operatsion tizim darajasidagi xujum; tarmoq dasturiy ta’minoti darajasidagi xujum; ma’lumotlar bazasini boshqarish tizimi darajasidagi xujum. Operatsion tizim darajasidagi xujum. Zamonaviy OTlarning ichki tuzilishi juda xam murakkab va shuning uchun xam uning xavfsizligini nazorat qilish yanada murakkab vazifa xisoblanadi. Amaliyotda u yoki bu xakkerlik xujumi algoritmining muvoffaqiyatli amalga oshirilishi, xujum ob’ekti bo‘lgan aniq OTning arxitekturasi va tuzilishiga (konfiguratsiyasiga) sezilarli darajada bog‘liq. Biroq shunday xujumlar mavjudki, ular deyarli ixtiyoriy OTni ishg‘ol etadi: parolni o‘g‘irlash; kompyuterning qattiq diskini skanerlash (xaker, kompyuter tizimidagi qattiq diskda saklangan xar bir faylga navbat bilan murojaat qilishga xarakat qiladi); «o‘chirilgan ma’lumotlar»ni yig‘ish (agar OT vositalari ilgari uchirilgan ob’ektlarni tiklash imkonini bersa, xaker bu imkoniyatdan, ya’ni boshqa foydalanuvchilar uchirib yuborgan ob’ektga kirish uchun foydalanishi mumkin); vakolatni oshirish (dastur ta’minotidagi yoki OTni boshqarishda xatolikdan foydalanib, xaker amaldagi xavfsizlik siyosati bergan vakolatidan yuqoriroq vakolatga ega bo‘ladi); xizmat ko‘rsatishni rad etish (bu xujumdan maqsad OTni to‘la yoki qisman ishdan chiqarish). Tarmoq dasturiy ta’minoti (TDT) darajasidagi xujum. Xabar jo‘natiladigan aloqa kanali ko‘pincha himoyalanmagan bo‘lishi sababli TDT ko‘proq zaif hisoblanadi. Shu uchun TDT darajasida quyidagi xakerlik hujumlari bo‘lishi mumkin: lokal tarmoq segmentlarini eshitish (lokal tarmoqning biror segmenti doirasida unga ulangan ixtiyoriy kompyuter, segmentning boshqa kompyuterlarga jo‘natilgan xabarlarni qabul qila oladi, binobarin, agar xaker kompyuteri biror lokal tarmoq segmentiga ulangan bo‘lsa, u holda bu segmentdagi kompyuterlar orasidagi barcha axborot almashinuviga u kira oladi); marshrutizatordagi xabarni egallab olish (agar xakerning tarmoq marshrutizatoriga imtiyozli ruxsati bo‘lsa, u xolda u marshrutizator orqali o‘tadigan xamma xabarlarni olish imkoniga ega bo‘ladi, garchi juda katta xajm tufayli to‘liq axborotni egallash mumkin bo‘lmasada, foydalanuvchilarning parollari va elektron manzillar ko‘rsatilgan xabarlarni tanlab, egalab olish xaker uchun juda qiziqarli bo‘ladi); yolg‘on marshrutizatorni yaratish (xaker tarmoq orqali maxsus kurinishdagi xabarlar yuborish yo’li bilan o’z kompyuterini tarmoqdagi marshrutizator qilib kursatishga erishadi, keyin esa undan utadigan barcha xabarlarga kirish imkoniga ega buladi); xabarni yuklash (tarmoqga yolg’on teskari manzil bilan xabar junatib, xaker o’rnatilgan tarmoq ulanishlarini o‘zining kompyuteriga yo‘naltiradi va natijada, uning kompyuteriga nisbatan aldash yo‘li bilan yo‘naltirilgan foydalanuvchilarning xuquqini qo‘lga kiritadi); xizmat ko‘rsatishni rad etish (xaker tarmoqda maxsus turdagi xabarlarni jo‘natadi va natijada tarmoqqa ulangan bir yoki bir nechta kompyuter tizimlari qisman yoki butunlay ishdan chiqadi). Ma’lumotlar bazasini boshqarish tizimi (MBBT) darajasidagi xujum. Kat’iy tuzilishning mavjudligi va aniq belgilangan amallar MBBTni ximoyalash vazifasini osonlashtiradi. Ko‘p xollarda xakerlar kompyuter tizimining OT darajasidagi ximoyasini buzishni ma’qul ko‘radilar va OT vositalari yordamida MBBT fayllariga kirish ruxsatiga ega bo‘ladilar. Biroq, agar etarli darajadagi ximoya mexanizmlariga ega bo‘lmagan, yoki xatolari mavjud, yomon testlangan MBBT versiyasidan foydalanilsa, yoki MBBT administratori tomonidan xavfsizlik siyosatini aniqlashda xatolarga yo‘l qo‘yilgan bo‘lsa, u xolda xakerning MBBT darajasidagi ximoyadan o‘tish extimoli mavjud bo‘ladi. Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi- niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir. Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funksiyalardan foydalanib uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning ochiq shakli urniga uning bir tomonlama funksiya h(.) dan foydalanib olingan tasvirini yuborishi shart. Bu o‘zgartirish ganim tomonidan parolni uning tasviri orqali oshkor qila olmaganligini kafolatlaydi, chunki anim echilmaydigan sonli masalaga duch keladi. Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so‘zlarning nisbatan katta bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni shunday tanlash lozimki, ular lug’atda bo‘lmasin va ularni topish qiyin bo‘lsin. Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi. Bir martali parollarni generatsiyalash apparat yoki dasturiy usul orqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash mikroprotsessor o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi.Odatda kalitlar deb ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga ega. Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning quyidagi usullari ma’lum: 1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish. 2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish. 3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish. Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning,xususan Cisco Systems kompaniyasining serverlarida amalga oshirilgan. Parolni sindiruvchilar. Kompyuter tarmog’idagi yovuz niyatli xujumlarga qarshi asosiy ximoya - bu barcha zamonaviy OTlarda mavjud bulgan parolli ximoya tizimidir. Odatda, foydalanuvchi OTlar bilan ish seansini boshlashdan oldin uz nomi va parolini aytib qayd qilinishi lozim. OT tomonidan nom foydalanuvchini identifikatsiya qilish (aynanlashtirish) uchun, parol esa qilingan identifikatsiyani to‘g‘riligini tasdiqlash uchun talab qilinadi. Foydalanuvchi tomonidan muloqat rejimida kiritilgan ma’lumot OT ixtiyoridagi ma’lumot bilan taqqoslanadi. Agar tekshirish ijobiy natija bersa, u xolda foydalanuvchi uning nomi bilan bog‘liq bo‘lgan barcha resurslarga kirish imkoniga ega bo‘ladi. OTning parolli ximoyasini sindirish usulida rasmiy foydalanuvchilar xaqidagi ma’lumotlar va ularning paroli yozilgan tizimli fayl xujumga uchraydi. Biroq ixtiyoriy zamonaviy OT bu faylda saqlanadigan foydalanuvchining parolini shifrlash yordamida ishonchli ximoyalaydi. Bunday fayllarga kirish, qoidaga ko’ra, oddiy foydalanuvchilar tugil xatto tizim administratori uchun xam taqiqlangan. Shunday bulishiga qaramasdan, ayrim xollarda jinoyatchilar, turli xiylalar ishlatish yuli bilan foydalanuvchilar nomi va ularning shifrlangan paroli bulgan fayllarni uz ixtiyorlariga olishga erishadilar. Shundan so‘ng ular OTlarning parolini sinduruvchi maxsus dasturlar - parol sindiruvchilar orqali o‘z niyatlarini amalga oshiradilar. Topshiriq Yaratilgan ma’lumotlar bazasini parol yordamida himoyalash va nazorat savollariga javob yozish. 
SSMS-ni oching va foydalanadigan serverga kirish. Asosiy kalit yarating. Avval bosh kalitni yaratishimiz kerak. U asosiy ma'lumotlar bazasida yaratilishi kerak, shuning uchun ehtiyotkorlik chorasi sifatida ushbu bayonotni USE MASTER buyrug'i bilan boshlashdi. USE Master; GO CREATE MASTER KEY ENCRYPTION BY PASSWORD='InsertStrongPasswordHere'; GO Asosiy kalit bilan himoyalangan sertifikat yaratish. Asosiy kalit kuchli parol bilan birgalikda yaratilgandan so'ng (siz eslab qolishingiz yoki xavfsiz joyda saqlashingiz kerak). CREATE CERTIFICATE TDE_Cert WITH SUBJECT='Database_Encryption'; GO Sertifikatning nomi "TDE_Cert" va men unga umumiy mavzuni berdim. Ba'zi bir ma'lumotlar bazasi ma'murlari u yerda shifrlamoqchi bo'lgan haqiqiy ma'lumotlar bazasining nomini qo'yishni yaxshi ko'radilar. Bu butunlay sizga bog'liq. Ma'lumotlar bazasini shifrlash kalitini yarating. Endi biz shifrlamoqchi bo'lgan ma'lumotlar bazasiga o'tish uchun USE buyrug'imizdan foydalanishimiz kerak. Keyin biz yaratgan sertifikat va haqiqiy ma'lumotlar bazasi o'rtasida aloqa yoki aloqa yaratamiz. Keyin biz foydalanmoqchi bo'lgan shifrlash algoritmining turini ko'rsatamiz. Bu holda bu AES_256 shifrlash bo'ladi. USE GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE TDE_Cert; GO Shifrlashni yoqish Va nihoyat, ALTER DATABASE buyrug'i yordamida biz ma'lumotlar bazamizda shifrlashni yoqishimiz mumkin. ALTER DATABASE SET ENCRYPTION ON; GO Ma'lumotlar bazasining o'lchamiga qarab, shifrlash yoqilganidan so'ng, uni to'ldirishga biroz vaqt ketishi mumkin. Siz sys.dm_database_encryption_keys DMVga so'rov yuborib, holatni kuzatishingiz mumkin. Zaxira sertifikati. Siz yaratgan sertifikatning zaxira nusxasini yaratish va xavfsiz joyda saqlash juda muhimdir. Agar server doimo ishdan chiqsa va uni boshqa joyda tiklashingiz kerak bo'lsa, siz sertifikatni serverga import qilishingiz kerak bo'ladi. Ba'zi bir muhitlarda DR-serverlar allaqachon o'rnatilgan va issiq / issiq rejimda, shuning uchun saqlangan sertifikatni ushbu serverlarga oldindan ehtiyotkorlik bilan import qilish yaxshi bo'ladi. BACKUP CERTIFICATE TDE_Cert TO FILE = 'C:\temp\TDE_Cert' WITH PRIVATE KEY (file='C:\temp\TDE_CertKey.pvk', ENCRYPTION BY PASSWORD='InsertStrongPasswordHere') Sertifikatni xavfsiz va mavjud bo'lgan joyda saqlashni unutmang (bu vaqtinchalik emas). Sertifikatni tiklash. Sertifikatni tiklash uchun yana bir marta ikkinchi darajali serverda xizmatning asosiy kalitini yaratishingiz kerak bo'ladi. USE Master; GO CREATE MASTER KEY ENCRYPTION BY PASSWORD='InsertStrongPasswordHere'; GO Bu amalga oshirilgandan so'ng, siz sertifikat va shifrlash / parolni ochish parolini qaerda zaxira qilganingizni eslab qolishingiz kerak. USE MASTER GO CREATE CERTIFICATE TDECert FROM FILE = 'C:\Temp\TDE_Cert' WITH PRIVATE KEY (FILE = 'C:\TDECert_Key.pvk', DECRYPTION BY PASSWORD = 'InsertStrongPasswordHere' ); Ushbu misolda ishlatilgan yo'llarni yodda tuting. Siz sertifikat va shaxsiy kalitni saqlagan yo'lni ko'rsatishingiz kerak. Shuningdek, shifrlash parollarining yaxshi va xavfsiz yozuvlarini saqlang. Sertifikat ikkinchi serverga tiklanganidan so'ng, shifrlangan ma'lumotlar bazasining nusxasini tiklashingiz mumkin. TDE-ni qo'llashdan oldin ba'zi narsalarni e'tiborga olish kerak. Ba'zi kamchiliklar mavjud. Unutmangki, Transparent Data Encryption ma'lumotlar bazasi fayllarini, shu jumladan zaxira nusxalarini ham shifrlaydi. Siz faqat tegishli shifrlash kalitlari va sertifikatlarisiz fayllarni olish va boshqa SQL Serverga tashlashingiz mumkin emas. Bu foydalanuvchi darajasidagi darajadagi shifrlashga ruxsat bermaydi. Agar siz ushbu shifrlash turini qidirayotgan bo'lsangiz, ustun darajasidagi shifrlashni o'rganishingiz kerak. 
SQL Serverda ma’lumotlar bazasini hosil qilish jarayoni Download 204,5 Kb. Do'stlaringiz bilan baham:
|
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish