1 / 34

بررسى امكانات امنيتى Oracle Database Management System

بررسى امكانات امنيتى Oracle Database Management System. استاد آقاى دكتر رهگذر. ارائه دهنده : محمد آيينی نيمسال اول 88-87. فهرست. مقدمه پايگاه داده‌ها مشخصه‌هاى ويژه اوراكل معمارى و چگونگى عملكرد سرور امنيتى اوراكل

stacey
Download Presentation

بررسى امكانات امنيتى Oracle Database Management System

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. بررسىامكاناتامنيتىOracle Database Management System استاد آقاى دكتررهگذر ارائه دهنده : محمد آيينی نيمسال اول 88-87

  2. فهرست مقدمه پايگاه داده‌ها مشخصه‌هاىويژهاوراكل معمارى و چگونگى عملكرد سرور امنيتى اوراكل انواع احرازهويت ، نظارت ، رمزنگارى و كنترل دسترسى در اوراكل i9 محافظت كامل از داده‌ها در اوراكل i9 نتيجه گيرى مراجع

  3. مقدمه - دستيابى سريع به اطلاعات براى تصميم‌گيرى استراتژيك - نقش اساسى مديريت اطلاعات در كاربردها - نحوه ذخيره و بازيابى داده‌ها و برنامه‌هاى كاربردى - تكامل سازماندهى اطلاعات - دسترسى كاربران به اطلاعات - سيستم پردازش فايلى و سيستم پايگاه داده‌ها - بانكهاى اطلاعاتى متمركز و پراكنده - محافظت از بانكهاى اطلاعاتى

  4. مزاياي سيستم پايگاه داده در مقايسه با پردازش فايلى - كاهش اطلاعات اضافى - رفع ناسازگارى - به اشتراك گذاشتن داده‌ها - امكان اعمال استاندارد - امكان اعمال محدوديتهاى امنيتى - حفظ جامعيت - تنظيم نيازها - ويژگي استقلال داده‌ها

  5. اجزاء پايگاه داده دريك تقسيم بندى هر سيستم پايگاه داده از چهار جزء اساسى تشكيل شده است - داده‌ها يك پايگاه داده گنجينه‌اى از داده‌ها است – مجتمع شده و مشترك - سختافزار استقرار و بهره بردارى از پايگاه داده نيازمند تجهيزات سخت افزارى است. - نرمافزار بين داده ذخيره شده و استفاده كنندگان يك لايه نرم‌افزارى قرارميگيرد كه آنرا سيستم مديريت پايگاه داده‌هاDBMS مى گويند. - كاربران برنامه نويسان كاربردى - كاربران نهايى - مديران پايگاه داده‌هاDBA

  6. سيستم مديريت پايگاه داده‌ها DatabaseManagementSystem مجموعه نرم افزارى كه به كاربران اجازه ميدهد اطلاعات خود را در بانكهاى اطلاعاتى ذخيره – تغيير و بازيابى نمايند. وظايف • ذخيره – تغيير و بازيابي اطلاعات • كنترل نمودن دسترسى‌هاى هم زمان به پايگاه داده‌ها • صحت اطلاعات موجود در پايگاه داده‌ها IntegrityData Integrity - Referential • بازيابى اطلاعات • استقلال اطلاعات • امنيت • برنامه‌هاى عمومي

  7. انواع سيستم‌هاى مديريت پايگاه داده بطور كلى ساختار بانكهاى اطلاعاتى به سه دسته تقسيم مى شود • سيستم‌هاى سلسله مراتبىHierarchical • سيستم‌هاى شبكه‌اىNetwork • سيستم‌هاى رابطه‌اىRelational

  8. معايب بانكهاى سلسله مراتبى و بانكهاى شبكه‌اى • وابسته به سيستم عامل • عدم پراكندگى بانكهاى اطلاعاتى(محدوديت ساختارى) • زبان دسترسى بصورت روالىProcedural • زبان دسترسى با زبان ساختن بانك اطلاعاتى متفاوت است (نياز به دو تخصص) • لازم است درخواست كننده از ساختار بانك آگاه باشد. • هرگونه تغيير در ساختار نياز به دو باره‌ سازى بانك اطلاعاتى دارد

  9. مزاياى سيستم‌هاى رابطه‌اى نسبت به سلسله مراتبى و شبكه‌اى • جداسازى ديدگاه منطقى نسبت به داده‌ها و ذخيره سازى فيزيكى داده ها • نگهدارى اطلاعات در يك جدول دو بعدى (قابل فهم و ملموس) • سادگى عمليات رياضى • سادگى در تغييرات فيزيكى و بى نيازى از دو باره ساختن بانك اطلاعاتى نكته اوراكل بزرگترين شركت توليد كننده سيستم هاى مديريت بانكهاى اطلاعاتى رابطه اى است Relational Database Management System (RDBMS)

  10. Structured Query Language ( SQL ) مزاياى دسترسى به بانكهاى اطلاعاتى با زبان SQL • سادگى كار • استاندارد • زبان مشترك توليد كنندگان برنامه و استفاده كنندگان نهايى • زبان مشترك مديريت بانك اطلاعاتى و راهبر اصلى سيستم • استفاده به دو صورت محاوره‌اى(Interactive)و داخل برنامه(ٍEmbedded ) يادآورى : زبان هاى قابل استفاده در اوراكل PL/SQL Stored Procedure And Triggers , PL/SQL , ANSI / SQL

  11. مشخصه‌هاى ويژه اوراكلOracle Specific Features • احراز هويت • گواهينامه‌هاى سرور امنيتى اوراكل • امضاى ديجيتالى سرور امنيتى اوراكل • نامهاى متمايز • زوج كليدهاى عمومى / خصوصى • احراز هويت و تخصيص اختيارات دراينترانت سراسرى • گواهينامه‌ها و قوانين نهادها • احراز هويت نهادها • تخصيص اختيارات به نهادها

  12. مشخصه‌هاى ويژه اوراكل ( ادامه ) • احراز هويتAuthentication سرور امنيتى اوراكل از يك نسخهSKEMEبه عنوان پروتكل احرازهويت استفاده مى كند اطلاعات بيشتر: مقاله هوگو كرواس زيك Hugo krawczyk www.research.Ibm.com/security/pub.html • گواهينامه‌هاى سرور امنيتى اوراكلoracle security server certificates سرور امنيتى اوراكل را گواهينامه X.509 پشتيبانى مى كند • امضاى ديجيتالى سرور امنيتى اوراكلSignatures oracle security server digital الگوريتم رمزنگارى RSA و چكيده پيام MD5 و تابع درهم ساز HASH درايجاد و تائيد امضاءهاى ديجيتالى استفاده مى شود. الگوريتم رمزنگارى با استفاده از توابعRSATIPEMو ابزار امنيتىBSAFEپياده سازى مى شود. اطلاعات بيشتر:WWW.RSA.COM/RSA/PRODUCTS/TIPEM/ WWW.RSA.COM/RSA/PRODSPEC/BSAFE/BSAFE_3_0-F.HTM

  13. مشخصه‌هاى ويژه اوراكل ( ادامه ) • نامهاى متمايزDistinguishedNames ( Dns ) - سرور امنيتى اوراكل از استانداردX.509براىِ Dnsبصورت محدود در گواهينامه استفاده مى‌كند. - تابع Dn منحصرا يك شخص را مورد شناسايى قرار مى‌دهد يا ممكن است يك مسير را مشخص كند. - اسامى اشخاص موجود در گواهينامه X.509 توسط X.500 مشخص مى شود. - الگوى Dn DN( [Country] [Organization] [Organization Unit] [State] [Locality] Common Name ) - جدول زيريك نمونه از Dn را نشان ميدهد.

  14. مشخصه‌هاى ويژه اوراكل ( ادامه ) • زوج كليدهاى عمومى / خصوصىPublic / Private Key Pairs - سرور امنيتى اوراكل زوج كليدهاى عمومى / خصوصى را با داده امنينى RSA كه درTIPEM ثبت شده است ايجاد مى‌كند. • احرازهويتوتخصيصاختياراتدراينترانتسراسرىGlobal Intranet Authentication and Authorization استفاده از فن آورى رمزنگارى كليد عمومى موارد زير را تامين مى كند - هويت‌ها ، گواهينامه‌ها و قوانين عمدتا با هم تعريف شده ، بكارگيرى مجزاى سيستم ، كنترل متمركز براى ايجاد و فسخ كليدهاى خصوصى و گواهينامه‌ها - احرازهويت توزيعى موجوديتها ، گواهينامه‌هاى X.509 را در بر ميگيرد. - تخصيص اختيارات متمركز كاربران ( قوانين شناسايى سراسرى اعمال مى‌ گردد ) نكته : تاثير تلفيقى اين مشخصه‌ها باعث افزايش امنيت هرسيستمى بويژه سيستمهاى توزيعى مى گردد.

  15. مشخصه‌هاى ويژه اوراكل ( ادامه ) • گواهينامه‌ها و قوانين نهادها Identities certificates and roles - راهبر اصلى سيستم قادر است هويت انواع Subject ها را تعريف كند از قبيل : كاربران ، سرورهاى پايگاه داده ، وب سرورهاى اوراكل اين نهادها با كليدهاى عمومى ، گواهينامه‌هاى همراه با كليد خصوصى و با استفاده ازرمزنگارى كليد عمومى شناسايى مى شوند. - تعريف قوانين توسط راهبر اصلى سيستم (مجموعه‌اى از امتيازات و حقوق انحصارى در محدوده پايگاه داده‌ها) - سرور امنيتى اوراكل ميتواند با بهره‌ گيرى از Single Sign on احراز هويت از طريق كلمه رمز را جايگزين احراز هويت با گواهينامه كند.

  16. مشخصه‌هاى ويژه اوراكل ( ادامه ) • احراز هويت نهادها Authentication - احراز هويت تضمين مى كند ، هويت ادعا شده‌ى يك طرف كه مى خواهد با طرف ديگردر شبكه ارتباط برقرار كند معتبر است. - كاربران ميتوانند باگواهينامه خود ، هويت شان را به ديگران ثابت كنند. مثال : سرور اوراكل 8 به بعد با اطمينان بالا تشخيص ميدهد يك كاربر خاص آيا همان كسى است كه ادعا مى كند و از طرفى كاربر هم مى تواند مطمئن شود كه با سرورصحيح و مورد نظرش ارتباط برقرار كرده است.

  17. مشخصه‌هاى ويژه اوراكل ( ادامه ) • تخصيص اختيارات به نهادها Authorization of Entities - تخصيص اختيارات تضمين مى كند يك نهاد مشخص ، تنها مطابق با حقوق انحصارى عمل مى كند. - كاربران جهانى كه نياز دارند به بيش از يك سرور اوراكل دسترسى داشته باشند از مجموعه‌اى از گواهينامه‌ها استفاده مى كنند. - قوانين جهانى ، قوانينى هستند كه در باره كاربران جهانى در سرتاسر سرور اوراكل اجراء مى گردد. - سرور امنيتى اوراكل اطمينان ميدهد كه نحوه ارتباط و عمل كاربران سراسرى بر روى پايگاه داده‌ها در سيستم‌هاى توزيع شده مطابق حقوق تعيين شده براى نهادهاى سراسرى ميباشد.

  18. معمارى و چگونگى عملكرد سرور امنيتى اوراكلOracle Security Server Architecture And Operation سرور امنيتى اوراكل از مولفه‌هاى زير تشكيل شده است - مدير سرور امنيتى اوراكل - كسي كه با استفاده ابزار مرتبط ومديرامنيتى اوراكل ، منبع سرور امنيتى اوراكل را راه اندازى ميكند. - استفاده از واسط كاربر گرافيكى براى تعريف و بررسى اختيارات نهادها در پايگاه داده‌ها - منبع سرور امنيتى اوراكل - ايجاد و ذخيره گواهينامه‌ها در پاسخ به درخواستهاى راهبر اصلى سيستم - اين منبع پس از مرجع تائيد كننده CA براى سرور امنيتى اوراكل بكارميرود - پاسخ به درخواست اطلاعات در مورد پايان اعتبار و فسخ گواهينامه - نگهدارى كليدهاى خصوصى رمز شده - مبدل احراز هويت سرور امنيتى اوراكل - واسط تامين كننده ازClient يا سرور پايگاه داده‌ها تا منبع سرورامنيتى اوراكل. - اين مبدل اجازه ميدهد تا محصولات اوراكل ، گواهينامه‌هاى ايجاد شده توسط CA سرورامنيتى اوراكل را پس از استعلام بدست آورده و استفاده كند. - اين مبدل پرسشهاى مربوط به وضعيت گواهينامه و اختيارات كاربر را انجام ميدهد.

  19. معمارى و چگونگى عملكرد سرور امنيتى اوراكل ( ادامه ) Oracle Security Server Architecture And Operation شكل فوق ارتباط مولفه‌هاى سرور امنيتى اوراكل و ارتباط بين اين مولفه‌ها و نهادها را نشان ميدهد

  20. معمارى و چگونگى عملكرد سرور امنيتى اوراكل ( ادامه ) Oracle Security Server Architecture And Operation عملكرد سرور امنيتى اوراكل • در خواست ايجاد نهادها و گواهينامه‌ها در داخل سرورامنيتى اوراكل (راهبر اصلى سيستم اين درخواستها را با استفاده از مدير سرور امنيتى اوراكل انجام ميدهد) • مدير سرور امنيتى اوراكل ،‌ با استفاده از نسخه SQL*NET يا NET8 توزيعىو ابزارگرافيكى اوراكل به منبع يا مخزن سرويس امنيتى اوراكل دسترسى دارد . • مبدل هاىاحرازهويت سرور امنيتى اوراكل و همچنين منبع سرورامنيتى اوراكل نيز با استفاده از SQL*NETيا NET8 با يگديگر ارتباط دارند. • شكل قبل نشان مى دهد كه احراز هويت بين اشخاص بوسيله مبدلهاى تشخيص هويت سرور امنيتى اوراكل رخ ميدهد . مراحلى كه در اين پروسه يا شيوه “ احراز هويت دو طرفه” در آن يك شخص به عنوان مشترى(Client) وشخص ديگر بعنوان سرويس دهنده (Server) عمل ميكنند وجود دارد شامل هشت مورد ميباشد.

  21. انواع روشهاى احرازهويت در اوراكل i9 • احرازهويت بر اساس كلمه عبور سرورServer password Based Authentication • احراز هويت بر اساس گواهينامهBase AuthenticationCertificate • احراز هويت بر اساس ميزبانHost-Based Authentication • احراز هويت ( شخص ) ثالث Third Party Authentication • احراز هويت شبكه پلكانى يا رده اى N-Tier Authentication

  22. نظارت و مميزى در اوراكل i9 • يكى از ويژگيهاى مهم در سياست امنيتى هر سيستم ، ثبت فعاليتها و ارائه آن ميباشد • اوراكل i9 تعدادى از مشخصه‌ها و توابع را براى پاسخگويى به اين نياز تامين كرده است. • اوراكل i9 بطور پيش فرض اطلاعاتى جهت پاسخ گويى به راهبر اصلى سيستم آماده دارد. • فعاليتها روى پايگاه داده‌ها مطابق پيكربندى ، ثبت مى شود.

  23. رمزنگارى و كنترل دسترسى در اوراكل i9 • رمزنگارى - توانايى ذاتى در رمزگذارى داده‌ها در سرور ، برنامه‌هاى كاربردى را در محافظت از داده‌هاى حساس توانا ميسازد. • رمزنگارى و رمزگشايى از طريق بسته‌هاى نرم افزارى در PL / SQL بر پايه سرور انجام ميشود. • استفاده از استانداردهاى رمزنگارى داده‌ها DES و 3DES • كنترل دسترسى • كنترل دسترسى به اين معنا كه ، چه كسى به چه اطلاعاتى دسترسى دارد و به چه نوع از عمليات ميتواند دستيابد. • اوراكل i9 اصل حداقل امتيازات را تقويت مى كند يعنى به هر كاربر فقط به اندازه‌ اى امتياز ميدهد تا وظايف خود را انجام دهد

  24. محافظت كامل از داده‌ها در اوراكل i9 Oracle9i Deep Data Protection از بين راهكارهاى كاهش خطرات امنيتى ،ايجاد لايه‌هاى چندگانه مكانيزمهاى امنيتى بهترين راه است. اوراكل i9 از طريق موارد ذيل محافظت كامل از داده را تامين ميكند: • پايگاه داده خصوصى مجازىVirtual Private Database • برچسبامنيتىاوراكلOracle Lable Security • بهرمزدرآورىداده‌هاىانتخابشدهSelection Data Encryption • امنيت داده در ارتباطات

  25. پايگاه داده خصوصى مجازىVirtual Private Database • Vpd همراه با اجراى سرور ، كنترل دسترسى طبقه‌اى با يكديگر و بوسيله متن برنامه كاربردى امن ، كاربران را قادر ميسازد تا دسترسى امن به داده داشته باشند . • Vpd در داخل پايگاه‌ داده مستقل ،ضامن جداسازى فيزيكى داده و دسترسى امن است. • هر كاربردر دسترسى به داده از طريق اينترنت، فقط اطلاعات مربوط به خود را مىبيند. • در برنامه‌هاى ‌كاربردى براى دسترسى متعدد به داده ،امنيت ميتواند براى يكبار درسرور داده ( نه درهربرنامه‌) فراهم گردد. • برنامه‌هاى كاربردى مختلف(فروش online) و برنامه‌هاى خود اوراكل از vpd استفاده ميشود. • با استفاده از Vpd وابزار ديگرمانند SQL*PLUSسياستهاى كنترل دسترسى اعمال ميشود.

  26. برچسب امنيتى اوراكل Oracle Lable Security • گزينه امنيتى جديد براى اوراكل i9 كه vpd را بمنظور تقويت كنترل دسترسى بر اساس “ برچسب “ در پايگاه داده مجهز ميكند. • سازمانها ميتوانند براساس ميزان حساسيت و اهميت اطلاعات، وبا توجه به سياستهاى امنيتى در كنترل دسترسى ، بر چسب امنيتى مناسب براى آنها قائل شوند. مثال : يك سياست دفاعى ممكن است برچسب‌هايى از قبيل سرى ، فوق‌ سرى و خيلىمحرمانه را داشته باشد. • سازمانها ميتوانند براساس بر چسب امنيتى اطلاعات ، سياست دستيابى كاربران به اطلاعات را اعمال كنند. • برچسب امنيتى ، يكى از امتيازات شگرف وچشمگير در تجارت الكترونيكى است.

  27. برچسب امنيتى اوراكل (ادامه) Oracle Lable Security • سياستهاى بر چسب امنيتى اوراكل Oracle Label Security Policies سياستهاى بر چسب امنيتى اوراكل مجموعه‌اى از برچسب‌ها ، اختيارات كاربر و اجراى گزينه‌هاى امنيتى است. • اجزاء يا مولفه‌هاى برچسب Label Components برچسب امنيتى اوراكل ، توانايى چند بعدى و انعطاف پذير در برچسب زنى داده‌ها را فراهم مى‌كند. - Level : سطح مولفه‌ى سلسله مراتبى است كه ميزان حساسيت داده‌ها را نشان مى دهد. - ‍Compartment : گاهى مولفه به يك طبقه اشاره مىكند كه سلسله مراتبىنيست ، لذا بر چسب امنيت اوراكل تا 9999 بخش را مورد حمايت قرار ميدهد. - Group: يك مولفه براى ثبت مالكيت ، كه ميتواند بصورت سلسله مراتبى يا طبقه‌اى مورد استفاده قرار گيرد.

  28. برچسب امنيتى اوراكل (ادامه) Oracle Lable Security • ميانگين دسترسى بر چسب امنيتى اوراكل Oracle Label SecurityAccessMediation • حق امتيازانحصارى برچسب امنيتى اوراكل به جلسه (Session) ايجاد شده ، نسبت داده ميشود. • دسترسى به سطر در جداول پايگاه داده مبتنى بر برچسب ، بستگى به حق امتيازى دارد كه در هر بار ايجاد جلسه (Session) تعيين ميشود. • شرط تعيين متوسط دسترسى در يك جدول برنامه كاربردى ، حق دسترسى كاربر به شى است. • برچسب امنيت اوراكل دستوراتUpdate ، Delete و Insertرا مورد بررسىوكنترل امنيتى قرار ميدهد.

  29. برچسب امنيتى اوراكل (ادامه) Oracle Lable Security • توابع برچسب Label Function - قابليت بر چسب زنى بوسيله توابع - توابع برچسب زنى ميتوانند در پايگاه داده اوراكل تعريف شوند وبه سياست امنيتى بر چسب ارجاء داده شوند. - اين توابع در طى اجراى دستورات Insert وUpdate،مقداربرچسب را محاسبه و به برنامه كاربردى اختصاص ميدهد. - توابع مذكور مى توانند از متن برنامه كاربردى پايگاه دادهخصوصى مجازى گرفته شوند.

  30. به رمز درآورى داده‌ انتخاب شده Selection Data Encryption • حفاظت از داه‌ها در سيستم‌هاى تجارت الكترونيكى از طريق رمزنگارى مبتنى بر استانداردها • رمزنگارى داده‌هاى شبكه از طريق امنيت پيشرفته اوراكل • حمايت اوراكل i9 در حفاظت از داده‌هاى انتخابى از طريق رمزنگارى در داخل پايگاه داده‌ها • مثال شماره‌هاى كارت اعتبارى شماره‌هاى كارت هويت ملى كلمات عبور براى برنامه‌هاى كاربردى كه كاربران آن ، كاربران پايگاه داده‌ها نيستند.

  31. امنيت داده در ارتباطات اوراكل i9 براى ايجاد امنيت بين داده‌هاى درحال تبادل بين مشتريان وپايگاه داده‌ها از SSL استفاده ميكند. شامل NET8 , LDAPJBDC ,, فرمت IIOP - اوراكل i9 و ssl سه حالت استاندارد احرازهويت را تامين مى كند. - ناشناخته - سرور تنهاى تصديق هويت با استفاده از X.509 - احراز هويت دو طرفه client – Server با X.509 - سرور برنامه‌هاى كاربردى اوراكل i9 از ssl استفاده ميكند - بين Client و Application Server - بين Application Server و Database Server

  32. نتيجه گيرى - با توجه به امكانات موجو در ODBMS، بهره‌ بردارى از آن تابعى از شرايط خاص محيط مورد نظر، وجود تخصص ، قبول هزينه و.... ميباشد. - اما تا آنجائيكه وقت و منابع شناسايى شده در آماده سازى اين مطالب اجازه داده است ميتوان موارد ذيل را به عنوان امكانات امنيتى اوراكل متذكر شد و آن را به عنوان يك DBMS امن پيشنهاد داد. • امنيت در ارتباطات • ايجاد محرمانگى در پايگاه داده‌ها • كنترل دسترسِى در پايگاه داده‌ها • احراز هويت قوى • رمزنگارى قوى

  33. مراجع Oracle Security Server GuideRelease 2.0.3 http://www.oracle.com/openworld/archive/sf2003/index.html http://www.otn.oracle.com Oracle9i Database Security for eBusiness An Oracle White Paper June 2001 Database Encryption in Oracle9i™ An Oracle Technical White Paper February 2001 TechnologyORACLE9I SECURITYIdentifying Enterprise UsersBy Jonathan Gennick

  34. نگهدارى كاربران ، قوانين ، پايگاه ‌داده‌ها وساختار اطلاعات ACLsو Oracle Enterprise Security Manager W W W Oracle Internet Directory Manages enterprise users and enterprise roles Oracle9i Servers register themselves مرجع صدور گواهينامه اوراكل W ساختن كليدها و اداره اختيارات و تقدم براى يك كاربر خاص ايجاد گواهينامه‌ها Oracle Wallet Manager Client اين اسلايد از مقاله‌اى در اينترنت انتخاب شده است و درآن ميتوان ارتباط سرويسهاى مختلف اوراكل را مشاهده كرد.(قسمتهاى ترجمه نشده بديهى است)

More Related