Chuong LXXIII : SQL Tutorials – Phần II (bài 4)

SQL Tutorials – Phần II (bài 4)

 

@dondoc: dạo này bận wá đi em, theo chân lão Rùa học lung tung cả lên…giáo trình dài như sớ….
Hôm nay ngồi viết tiếp, đến đâu hay đến đó nha anh em, không xong thì sẽ update típ. Bài này thú vị đây
Nhưng hãy luôn nhớ 1 điều là đang ở trong phần basic thôi đấy nhé. Cứ từ từ mà sâu vào thôi.
===

Database Security

Trong suốt quá trình Necro theo cái nghiệp IT này lúc nào cũng được mọi người nhắc là “Trong một hệ thống thì dữ liệu bao giờ cũng là thứ tài sản quan trọng và đáng giá nhất”. Cho nên việc duy trì tính bảo mật xuyên suốt cho hệ thống luôn là mối quan tâm hàng đầu của các doanh nghiệp. Bạn đã từng đảm trách công việc bảo mật cho một hệ thống nào đó chưa? Bạn đã từng bị lấy trộm dữ liệu và những gì còn lại chỉ là “Hacked by…” chưa???
Cấp trên khinh rẻ, đồng nghiệp cười nhạo, những mặc cảm bản thân…trong khi đó bản thên còn phải xem xét coi tác hại của mình gây ra tới đâu…ngoài những thiệt hại phơi bày ra đó còn gì nữa hay không???Công việc khắc phục như thế nào??? Áp lực đến mức khủng hoảng và hầu như mình chỉ còn có thể gắng gượng nỗi để giảm thiểu tác hại có thể lây lan đến mức độ cao hơn mà thôi. Và Necro tin chắc rằng, khi bạn cũng như Necro, bị rơi vào trường hợp trên thì bạn sẽ hiểu ra rằng giá trị của data là như thế nào.
Và 1 lần nữa Necro muốn nhắc với mọi người rằng hãy cẩn trọng việc security và những site nào hack được sẽ bị hack hết
===
Làm căng tí để nhập đề cho có khí thế cái phần Necro đang nói thôi Đừng bận tâm gì nhé. Bi giờ chúng ta tiếp tục với phần SQL nào.
Nhu cầu cho việc bảo mật bảo mật DB thì đa dạng, ngoài những điểm chung thì còn tùy theo yêu cầu của tổ chức mà nơi chúng ta làm việc nữa. Sau đây là một vài ví dụ tiêu biểu về những yêu cầu bảo mật:

— Dữ liệu trong các bảng chỉ có thể được truy cập bởi những những người dùng được chỉ định.
— Những người được chỉ định chỉ có thể làm việc trong quyền hạn của họ. (Cái này Necro bổ sung tí cho rõ nhé. Là giả sử tui giao việc cho anh A là update thêm các record của table thì anh A chỉ có thể update mà thôi, không thể del hay insert dữ liệu trong table đó vì mỗi việc đã được giao rõ ràng cho từng người rồi. Không được phép lấn sân trong công việc đâu.)
— Trong một vài table quan trọng thì người dùng bị giới hạn chỉ nhìn thấy các column được cho phép. (Đây là 1 điểm mạnh của các hệ DBMS, anh A được phép read table NHANVIEN nhưng có cột tinhtranghonnhan là anh ta bị sếp cấm vì tội thích chọc ghẹo những bạn nữ làm chung cty. Anh ta mặc dù được view toàn bộ thông tin nhân viên trong cty nhưng mà cũng đành chịu. Ví dụ thế chắc ai cũng dễ hiểu )
— Một kiểu bảo mật khác là người dùng được chỉ định chỉ có thể tiếp cận đến database qua một application khác mà cấp trên giao phó.

Qua 4 ví dụ trên của Necro thì chúng ta cũng thấy 1 điều là công việc bảo mật nói chung cũng xoay quanh vấn đề phân quyền nhằm giới hạn mức độ tương tác giữa người dùng và database mà thôi. Mà hầu như cơ chế bảo mật nào cũng dựa nhìu vào 2 từ “Phân Quyền” cả. Bạn để ý sẽ nhận ra điều đó.
Phân quyền trong OS thì để OS lo, tương tự vậy thì việc phân quyền trong database thì cứ giao cho DBMS, vì nó có tính năng đó mà. Nên cũng không khó khăn lắm

===
Hôm nay chúng ta tạm nghĩ ở đây, bữa sau thảo luận tiếp nhé. Bài sau Necro sẽ nói về “security scheme concepts”.

 

Necromancer(VNISS)

 

  1. Leave a comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: