Giải pháp chống tấn công Oracle
|
1. Tại sao bạn nên học khóa học này tại VietPace ?
Khóa học này giúp học viên biết được những giải pháp kỹ thuật kiện toàn bảo mật cho CSDL Oracle. Nếu bạn đang vận hành một CSDL Oraclethực tế, bạn cần học khóa học này để bảo đảm an toàn cho dữ liệu.
2. Thời lượng: 40 tiếng
3. Kết quả sau khi tham gia khóa học
- Chứng chỉ bảo mật VietPace cấp nếu đạt kì
thi cuối khóa
- Nhận biết các lỗ hổng nguy hiểm
tồn tại trong Oracle Database
- Hiểu các kỹ thuật tấn công nguy
hiểm nhất vào Oracle
- Áp dụng được ngay các kỹ thuật
chống tấn công học được từ khóa học
- Xây
dựng thủ tục kiểm tra mức độ an ninh cho Oracle Database
- Giáo trình khóa học được biên soạn bằng tiếng Việt
- Các phần mềm bảo mật dùng cho khóa học
- Được tham khảo miễn phí hàm trăm đầu sách kiện toàn bảo
mật và tấn công
- Được tham
khảo giải pháp bảo mật từ chính hãng www.appsecinc.com
4. Đối tượng tham gia khóa học
- Chuyên viên quản trị Oracle
Database
- Phát triển ứng dụng Oracle
PL/SQL
- Chuyên gia tư vấn bảo mật
- Chuyên gia bảo mật
- Quản lý hệ thống tin học Oracle
5. Điều kiện tham gia khóa học
- Có kiến thức cơ bản về ngôn ngữ SQL, PL/SQL
- Có kiến thức cơ bản về Oracle Server
- Có kiến thức cơ bản về Linux
6. Chứng chỉ
Sau khi hoàn tất khóa học, học viên sẽ :
-
Nhận chứng chỉ hoàn tất khóa học do VietPace cấp
7. Nội dung khóa học
Khóa học kéo dài 5 ngày, trình bày hai nội dung chính:
- Lỗ hổng nguy hiểm trong phần mềm
Oracle và các kỹ thuật
tấn công mạnh nhất vào Oracle Database ( DEMO )
- Giải pháp kỹ thuật kiện toàn an ninh Oracle
( Thực hành )
8. Chi tiết nội dung
khóa học
Bài 1: Tổng quan bảo mật Oracle Database
Oracle Server
Khái niệm căn
bản về an ninh dữ liệu
Xác định phạm vi an toàn dữ liệu
Tiêu chuẩn đánh giá an toàn dữ liệu
Rủi ro mất dữ liệu
Giải pháp kiện toàn bảo mật dữ liệu
Xây dựng chính sách bảo mật
Cảnh báo lỗi từ Oracle
Thực hành
Bài 2: DEMO kỹ thuật tấn công
Tấn công dùng tài khoản mặc định
Tấn công nhúng mã PL/SQL
Tấn công con trỏ lệnh PL/SQL
Giải mã mật khẩu Oracle
Tấn công tràn bộ đệm
Oracle Worm – Virus
Oracle Rootkit
Oracle Backdoor
Bài 3: Kiện toàn bảo mật Oracle-File
Tập tin thực thi và SUID
Leo quyền
Kiện toàn bảo mật tập tin dùng Umask
Kiện toàn các tập tin Log, Trace, Dump, Alert.log
Điểm yếu nguy hiểm từ UTL_FILE_DIR và DIRECTORY
Thực hành
Bài 4: Điểm yếu mật khẩu Oracle
Tổng quan về mật khẩu của Oracle
Các điểm yếu trong mật khẩu
Thuật toán mã hóa mật khẩu
Giải mã mật khẩu
Công cụ dò tìm mật khẩu mặc định
Công cụ dò tìm mật khẩu trùng tên tài khoản
Năm giải pháp dấu mật khẩu trong mã lệnh
Chính sách quản trị mật khẩu
Thực hành
Bài 5: Bảo mật Oracle Listener
Tổng quan Oracle Net và Listener
Mô hình thực thi mã ngoài từ PL/SQL
Chín bước kiện toàn bảo mật Listener
Cập nhật bản vá lỗi cho Oracle Listener
Phân tích rủi ro tiềm ẩn từ Listener log
Thực hành
Bài 6: Oracle Firewall
Tổng quan Firewall
Mô hình Connection Manager (CM)
Thực hiện Oracle Firewall với CM
Quản trị CM
Thực hành
Bài 7: Chứng thực căn bản
Tổng quan giải pháp xác thực của Oracle
Các hình thức xác thực người dùng
Rủi ro đăng nhập dùng ”/ AS SYSDBA”
Rủi ro đăng nhập từ máy trạm
Thực hành
Bài 8: Mô hình phân quyền và ngữ cảnh ứng dụng
Các mô hình phân quyền thường dùng
Oracle Secure Application Role (SAR)
Các bước thực hiện SAR
Giải pháp Oracle Application Context (AC)
Các bước thực hiện AC
Thực hành
Bài 9: Chứng thực nâng cao: đa lớp
Thuận lợi và khó khăn trong mô hình phát triển ứng dụng đa lớp
Chứng thực Proxy
Các bước thực hiện chứng thực Proxy
Giám sát tài khoản dùng chứng thực Proxy
Demo
Bài 10: Kiểm soát truy cập dữ liệu căn bản
Giải pháp kiểm soát truy cập dữ liệu của Oracle
Nguyên tắc phân quyền tối thiểu
Một số điểm chú í khi phân quyền
Kiểm soát truy cập dùng View
Kiểm soát truy cập dùng Procedure
Kiểm soát truy cập dùng Role
Thực hành
Bài 11: Kiểm soát truy cập dữ liệu nâng cao
Phân quyền truy cập dữ liệu mức Row
Virtual Private Database (VPD)
Cơ chế hoạt động VPD
Phân nhóm chính sách bảo mật
Thực hành
Bài 12: Giám sát truy cập dữ liệu chuẩn
Sự cần thiết phải giám sát Database
Phân loại các kiểu giám sát
Giám sát không dựa vào nội dung dữ liệu
Giám sát dựa vào nội dung dữ liệu
Giám sát trong môi trường ứng dụng đa lớp
Sự khác nhau giữa giám sát dùng Trigger và FGA
Thực hành
Bài 13: Giải pháp giám sát của hãng thứ ba
Các giải pháp giám sát trong thực tế
Sự khác biệt giữa các giải pháp giám sát
Mô hình giám sát khả chuyển cao
Giải pháp giám sát thương mại hiện có
Thực hành
Bài 14: Phân tích nội dung Redo-Log
Tổng quan tiện ích LogMiner
Trình tự thực hiện LogMiner
Tiện ích PCK_MINER
Kết xuất nội dung RedoLog
Trình tự thực hiện LogMiner Viewlet
Thực hành
Bài 15: Mã hóa dữ liệu - Trộm khóa giải mã
Thách thức tồn tại trong mã hóa dữ liệu
Giải pháp mã hóa của Oracle
Mã hóa mã PL/SQL
Quản lý khóa giải mã
Kỹ thuật lấy trộm khóa giải mã
Thực hành
Bài 16: Bảo mật SQL*Plus – iSQL*Plus
Mô hình bảo mật PUP
Ngăn thực thi lệnh qua SQL*Plus
Mô hình và cơ chế hoạt động của iSQL*Plus
Giải pháp hủy iSQL*Plus
Giải pháp kiện toàn bảo mật iSQL*Plus
Thực hành
Bài 17: Tính năng bảo mật nâng cao
Giải pháp bảo mật mạnh
Giải pháp Database Vault
Giải pháp Label Security
Giải pháp Audit Vault
Giải pháp Secure Backup
Giải pháp Enterprise User
Bài 18: DEMO công cụ kiện toàn bảo mật
Công cụ đánh giá điểm yếu
Công cụ kiểm tra lỗi cấu hình
Công cụ giám sát truy vết
Đánh giá giải pháp
Thực
hành |
