Bazy_danych_w10

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Zagadnienia bezpiecze

stwa

w bazach danych

Wykład 10

4.12.2007

Antoni Dydejczyk

http://www.ftj.agh.edu.pl/~antek

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Plan wyk

adu

Ochrona danych - zabezpieczenie bazy danych przed
stratą informacji.

W ramach wykładu omówimy następujące problemy:

odtwarzanie

współbieŜność

bezpieczeństwo

integralność

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Odtwarzanie danych

Odtwarzanie danych w bazach oznacza przywrócenie
bazy danych do wcześniejszego poprzedniego stanu,
po tym jak otrzymaliśmy w wyniku awarii stan
aktualny nieprawidłowy.

Odtwarzanie danych opiera się na redundancji
(nadmiarowość).

Wymagane zagadnienia do omówienia:

- transakcje, odtwarzanie transakcji
- odtwarzanie systemu
- odtwarzanie nośników

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Transakcje

Transakcja to jednostka pracy.

BEGIN TRANSAKCTION

INSERT ...

IF wystąpił błąd THEN GOTO UNDO ;

UPDATE ...

IF wystąpił błąd THEN GOTO UNDO ;

COMMIT TRANSACTION ;

GOTO FINISH;

UNDO :

ROLLBACK TRANSACTION ;

FINISH:

RETURN ;

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Własności transakcji (ACID)

niepodzielność (Atomicity) - transakcje są niepodzielne (wszystko
albo nic )

spójność (Consistency) - przekształcenia zachowują spójność bazy.
Transakcja przekształca jeden spójny stan bazy w drugi spójny stan
bazy danych.

izolacja (Isolation) - transakcje są izolowane od jedna od drugiej.

trwałość (Durability) - gdy transakcja zakończyła się pomyślnie
dokonane przez nią modyfikacje będą zachowane, nawet jeŜeli
wystąpiła awaria systemu.

Transakcje

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Operacja COMMIT TRANSACTION sygnalizuje pomyślne zakończenie
transakcji. Informuje, Ŝe logiczna jednostka pracy zakończyła się
pomyślnie.

Operacja ROLLBACK TRANSACTION sygnalizuje niepomyślne
zakończenie transakcji. Informuje menedŜera transakcji, Ŝe coś poszło nie
tak. Baza danych jest w stanie nieustalonym i wszystkie dokonane
aktualizacje muszą być odwołane lub cofnięte.

Dziennik transakcji inaczej log umoŜliwia cofnięcie aktualizacji,
umoŜliwia odtworzenie poprzedniej sytuacji. W dzienniku odnotowane są
szczegóły operacji, w szczególności wszystkie wartości zmienianych
przed i po aktualizacji.

Transakcje

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Pierwsza transakcja

BEGIN COMMIT
TRANSACTION

BEGIN

ROLLBACK

TRANSACTION

Druga transakcja (skasowana)

Trzecia transakcja

BEGIN

COMMIT

TRANSACTION

Start
programu

Koniec programu

Transakcje

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Wsp

bie

ść

WspółbieŜność oznacza, Ŝe wiele transakcji ma dostęp do tych samych
danych równocześnie. Zadaniem systemu jest stworzenie
mechanizmów zapewniających poprawną pracę systemu.

Problemy do omówienia:
- problem utraconej modyfikacji
- problem zaleŜności od niezatwierdzonej wartości
- problem niespójnej analizy
- pojęcie blokady, zakleszczanie blokad
- pojęcie szeregowalności
- poziomy izolacji i blokady zapobiegające

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem utraconej modyfikacji.

Transakcja A

Czas Transakcja B

RETRIVE p

UPDATE p

Transakcja A traci modyfikację w
chwili t4.

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem zaleŜności od niezatwierdzonej wartości.

Transakcja A

czas Transakcja B

UPDATE p

RETRIVE p

ROLLBACK

Transakcja A staje się zaleŜna od
niezatwierdzonej zmiany w chwili t2.

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem zaleŜności od niezatwierdzonej wartości.

Transakcja A

czas Transakcja B

UPDATE p

UDATE p

ROLLBACK

Transakcja A modyfikuje
niezatwierdzoną zmianę w chwili t2 i
traci tę modyfikację w chwili t3.

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szeregowalność - kryterium poprawności kontroli współbieŜności.

Jednoczesne, przeplatane wykonywanie zbioru transakcji uwaŜa się za
poprawne, jeŜeli jest ono szeregowalne, tj. daje takie same wyniki jak
pewne seryjne wykonanie tych samych transakcji, po jednej na raz.

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Metody pesymistyczne

- blokady

- znacznik czasu

Metody optymistyczne

- faza odczytu

- faza kontroli

- faza zapisu

Metody zapobiegania b

łę

dom w bazie

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Rozwiązaniem przedstawionych problemów są blokady.

WyróŜniamy dwa rodzaje blokad:
- blokady wyłączne - blokady typu X
- blokady wspólne - blokady typu S

Macierz kompatybilności dla blokad typu X i S.

X S

X N N Y

S N Y Y

Y Y Y

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Poziomy izolacji w języku SQL

Read commited

chroni system przed odczytem
nie zatwierdzonych rekordów

Repeatable read

chroni przed zmianą wartości zapytania w
trakcie trwania danej transakcji

Serializable

chroni przed pojawieniem się w transakcji w
wyniku ponownego pytania nowych
rekordów - rekordy widma

Poziom izolacji

Odczyt niezatwierdzonych Odczyt niepowtarzalny

Odczyt

widm

rekordów

Read uncommited MoŜliwy

MoŜliwy

Read commited

NiemoŜliwy

MoŜliwy

Repeatable read

NiemoŜliwy

MoŜliwy

Seriazlizable

NiemoŜliwy

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem utraconej modyfikacji.

Transakcja A

Czas

Transakcja B

RETRIVE p

( nakłada blokadę S na p)

RETRIVE p

( nakłada blokadę S na

UPDATE p

(Ŝąda blokady X na p )

wait

UPDATE p

(Ŝąda blokady X na p)

wait

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem zaleŜności od nie zatwierdzonej wartości.

Transakcja A

Czas Transakcja B

UPDATE p

(zakłada blokadę X na p)

UDATE p

(Ŝąda blokady X na p)

wait

ROLLBACK
(zwalnia blokadę X na p)

powtarza : UPDATE p

(zakłada blokadę X na p)

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Problem zaleŜności od nie zatwierdzonej wartości.

Transakcja A

Czas Transakcja B

UPDATE p

(nakłada blokadę X na p)

RETRIVE p

(Ŝąda blokady S na p)

wait

ROLLBACK

(zwalnia blokadę X na p)

powtarza : RETRIVE p

(zakłada blokadę S na p)

Wsp

bie

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Czas tc

Punkt kontrolny Awaria systemu

Transakcje

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Procedura restartu systemu w celu odtworzenia systemu:

tworzy dwie listy transakcji UNDO i REDO. Lista UNDO zawiera

wszystkie transakcje z rekordu kontrolnego. Lista REDO jest pusta.

rozpoczynamy przeszukiwanie dziennika transakcji począwszy od

rekordu kontrolnego.

jeŜeli napotykamy instrukcję BEGIN TRANSACTION dopisujemy do

listy UNDO.

jeŜeli napotykamy na instrukcję COMMIT przesuwamy transakcję z

listy UNDO do REDO.

na koniec dziennika transakcji listy zawierają odpowiednio – transakcje

do usunięcia – lista UNDO, transakcje do wprowadzenia do bazy – lista
REDO.

następnie system przechodzi od końca dziennika transakcji usuwając

transakcje z listy UNDO, a następnie do przodu wprowadzając
transakcje z listy REDO.

Transakcje

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szczeg

owo

ść

poziom

w blokowania danych

• Lock Granularity

– Lock granularity indicates the level of lock use

• Database level (Figure 9.2)

• Table level

(Figure 9.3)

• Page level

(Figure 9.4)

• Row level

(Figure 9.5)

• Field level

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szczeg

owo

ść

poziom

w blokowania danych

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szczeg

owo

ść

poziom

w blokowania danych

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szczeg

owo

ść

poziom

w blokowania danych

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szczeg

owo

ść

poziom

w blokowania danych

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Bezpiecze

stwo

Problem bezpieczeństwa :

1. Aspekty prawne, socjalne czy etyczne (np. czy osoba Ŝądająca

dostępu do danych klienta ma do tego prawo?)

2. Kontrola fizyczna (np. czy komputer jest zamknięty bądź inaczej

chroniony ?)

Kwestie polityki (np. właściciel bazy decyduje komu udostępnić i
jak system)

Problemy operacyjne (np. jeŜeli są stosowane hasła dostępu, to
jak chroniona jest ich tajność ?

5. Kontrola sprzętu (np. czy jednostka centralna ma jakieś

zabezpieczenia, uprzywilejowany tryb pracy ?)

6. Bezpieczeństwo systemu operacyjnego.

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Sposoby kontroli:

Kontrola uznaniowa -

UŜytkownik ma róŜne prawa dostępu do róŜnych
obiektów. Ponadto róŜni uŜytkownicy mogą mieć róŜne
prawa dostępu do tego samego obiektu.

Kontrola obowiązkowa -

KaŜdy obiekt danych jest oznaczony pewnym poziomem
tajności, a kaŜdy uŜytkownik otrzymuje pewien rodzaj
przepustki. Dostęp do określonych danych mają
uŜytkownicy posiadający określone przepustki.

Zapis aktywności:

Pliki audytu

Plik audytu stanowi specjalny plik lub bazę danych, w
którym system zapisuje ślady wszystkich operacji
dokonanych przez uŜytkownika na bazie danych.

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Wymagania bezpieczeństwa określone przez amerykański Departament
Bezpieczeństwa - publikacje:

Pomarańczowa ksiąŜka ( Orange Book) - definiuje zestaw
warunków bezpieczeństwa dla kaŜdego systemu.

Lewandowa ksiąŜka (Levander Book) - podaje „interpretację”
warunków bezpieczeństwa w odniesieniu do baz danych.

Definiowane są cztery klasy bezpieczeństwa:

D - minimalna ochrona
C - ochrona uznaniowa
B - ochrona obowiązkowa
A - ochrona sprawdzona

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Ochrona uznaniowa

Klasa C dzielona jest na dwie podklasy C1 i C2.

Klasa C1 wymaga oddzielenia danych i uŜytkowników, tj.
uznaje wspólne dane i dopuszcza równieŜ, by
uŜytkownicy posiadali prywatne dane.

Klasa C2 wymaga dodatkowych mechanizmów kontroli
poprzez procedury zapisywania się do systemu, audyt i
izolowanie zasobów.

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Ochrona strukturalna

Klasa B dotyczy kontroli obowiązkowej. Dzieli się na podklasy B1,
B2 i B3.

Klasa B1 wymaga oznakowanej ochrony bezpieczeństwa (kaŜdy
obiekt danych jest oznaczony swoim poziomem tajności). Wymaga
nieformalnej informacji na temat realizowanej polityki
bezpieczeństwa.

Klasa B2 dodatkowo wymaga formalnego oświadczenia na ten temat.
Wymaga aby ukryte kanały zostały wykryte i wyeliminowane.

Klasa B3 wymaga auditu, moŜliwości odtwarzania, a takŜe osobnego
administratora odpowiedzialnego za bezpieczeństwo.

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Sprawdzona ochrona

Klasa A, najbezpieczniejsza, wymaga dowodu
matematycznego, Ŝe mechanizm kontroli
bezpieczeństwa jest spójny, oraz Ŝe jest adekwatny do
realizacji Ŝądanej polityki bezpieczeństwa.

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Ochrona uznaniowa

Nazwa uŜytkownika
Uprawnienia uŜytkownika
Zakres działania uprawnień
Grupowanie uprawnień
Reakcje na naruszenie reguł

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Plik – audytu

śą

danie

Terminal, z którego wykonano operację

UŜytkownik, który wykonał polecenie

Data i czas operacji

Relacje podstawowe, krotki, atrybuty, do których wykonano Ŝądanie

Stare wartości

Nowe wartości

Modyfikacja Ŝądania

Obowiązkowa kontrola dostępu – poziomy tajności – oznakowanie

informacji poziomem tajności

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Szyfrowanie danych:

- szyfrowanie danych przechowywanych

- przesyłanie danych w postaci zakodowanej

Metody szyfrowania danych:

- standard DES ( Data Encription Standard)

- szyfrowanie za pomocą klucza publicznego

Bezpiecze

stwo

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Bezpiecze

stwo

Symetryczne

Algorytmy symetryczne wykorzystują do szyfrowania i
deszyfrowania informacji ten sam klucz. Klucz taki nie moŜe zostać
ujawniony.
Popularne algorytmy symetryczne - DES, AES, IDEA, Blowfish.
Problem – dystrybucja klucza z zachowaniem tajności.

Asymetryczne

Algorytm wykorzystuje parę kluczy. Jeden z kluczy jest kluczem
jawnym, drugi tajnym. Klucz jawny udostępniamy
w Internecie.
Szyfrowanie informacji następuje przy pomocy klucza tajnego
(prywatnego nadawcy). Deszyfrowanie informacji nastąpi poprzez
uŜycie klucza jawnego (publicznego nadawcy).
Przykłady –RSA, DSS (DSA), Diffie-Hellman’a

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Bezpiecze

stwo

Symetryczne

(z tajnym kluczem), np.
AES, IDEA, A5

Asymetryczne

(z parą kluczy:
prywatny/publiczny),
np. RSA,
Diffie-Hellman’a

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Wykorzystanie

infrastruktury

klucza publicznego

(PKI)

Wykorzystanie

infrastruktury

klucza publicznego

(PKI)

•

PKI – Public Key Infrastructure

•

Instytucje certyfikujące (Certification Authority - CA):

– uwierzytelniają strony transakcji,
– wydają certyfikaty będące gwarantowanymi (podpisanymi kluczem

prywatnym CA) kluczami publicznymi ich klientów.

– certyfikaty zawierają m.in. datę wydania, termin waŜności, nr seryjny,
– CA mogą wydawać sobie certyfikaty tworząc strukturę hierarchiczną,
– norma ISO X.509 definiuje standard certyfikatów cyfrowych.

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Protok

Secure

Shell

(SSH)

Opracowany w celu realizacji bezpiecznego połączenia
terminala znakowego:

– alternatywa dla sesji Telnet.

Dodatkowo umoŜliwia:

– przesyłanie plików (usługa SCP / SFTP),

– tunelowanie połączenia dowolnej aplikacji lokalnej do

zdanego serwera,

– pozwala to działanie takiej aplikacji jak w sieci lokalnej

– realizacja idei VPN.

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Protok

Secure

Shell

(SSH)

• Przykład tunelowania transmisji poczty

elektronicznej:

– program poczty komunikuje się z serwerem pocztowym tak jak w sieci

lokalnej.

sie

lokalna firmy

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Protok

SSL (Secure Socket Layers)

Protokół aplikacyjny do szyfrowania i autoryzacji danych, zapewnia
bezpieczny transfer informacji w kanale komunikacyjnym pomiędzy
serwerem a klientem. Protokół jest niezaleŜny od innych protokołów,
takich jak HTTP, FTP czy Telnet.

Długość stosowanych kluczy szyfrujących:

40-bitowy, 56-bitowy, 128-bitowy.

Poufność danych kodowane przy pomocy kluczy znanych jedynie na
serwerowi i klientowi.

Integralność danych – mechanizm SSL sprawdza, nienaruszalność
przesłanych danych.

Dostęp do danych jest weryfikowany na podstawie kontroli
autentyczności certyfikatu serwera. Autoryzacja serwera polega na
sprawdzeniu, czy jest on faktycznie zarejestrowany we wskazanym
urzędzie certyfikującym.

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Protok

SSL (Secure Socket Layers)

Mechanizm

transportu SSL

Mechanizm

transportu SSL

SSL Record Protocol

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Sieci VPN (Virtual Private Networks)

•

Technologia wirtualnych sieci umoŜliwia uŜytkownikom wykorzystanie
Internetu jako medium dostępu do sieci lokalnych ich przedsiębiorstw.

•

Transmisja danych odbywa się z wykorzystaniem specjalnego,
bezpiecznego kanału:

– uŜytkownicy zdalni łączą się najpierw z Internetem

poprzez dostawcę usług internetowych,

– następnie ustawiają sesję VPN, aby połączyć się z swoją siecią

lokalną,

– dzięki temu mają dostęp do wszystkich zasobów sieci tak, jak

gdyby byli do niej przyłączeni bezpośrednio.

•

Technologia wykorzystuje następujące protokoły:

–

PPTP (Point-to-Point Tunneling Protocol),

–

L2TP (Layer-2 Tunneling Protocol),

–

IPSec (Secure IP).

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Integralno

ść

Integralność bazy danych - poprawność danych zawartych w bazie danych.
Integralność bazy narzuca na uŜytkownika reguły, których nie moŜe naruszyć.
Reguły są ustalane przez DBA i przechowywane w odpowiednich miejscach w
bazie danych.
Reguły integralności nie zaleŜą od uŜytkownika (za to odpowiadają reguły
bezpieczeństwa).

Definiując reguły integralności podajemy:
- nazwę reguły,
- więzy (warunki), które musza być spełnione,
- reakcje na naruszenie.

Definiowanie reguł integralności:
- deklaratywne
- proceduralne

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Pojęcia:

A) Kategorie reguł integralności:

1. Reguła dziedziny

- określa wartości legalne dziedziny

2. Reguła atrybutu

- określa wartości legalne atrybutu

3. Reguła relacji

- określa wartości legalne danej relacji

4. Reguła bazy danych

- określa wartości legalne dla danej bazy
danych

B) Reguły statyczne a reguły przejść

C) Reguły integralności działające natychmiast, oraz odłoŜone

Integralno

ść

Antoni Dydejczyk, Bazy danych, wykład 10

WFiIS, Katedra Informatyki Stosowanej, 2007

Pytania ...

INTERNET

WEB SERVICES

DATA BASES