Confidenzialità ed Integrità di Basi di Dati

Confidenzialità ed Integrità di Basi di Dati (CBD)

Laurea Magistrale in Sicurezza Informatica: Infrastrutture ed Applicazioni
A.A. 2009-2010 secondo semestre
Docente: Salvatore Ruggieri

Appelli di esame: su appuntamento da concordare con il docente.
Sede delle lezioni: Polo "G. Marconi", Via dei Colli 90, La Spezia.
Orario delle lezioni:
- Lunedì, AULA 4, ore 11-13
- Martedì, AULA 4, ore 11-13.
Ricevimento:
- (La Spezia) ~~Lunedì e Martedì dalle 10 alle 11 (AULA 4), oppure dopo la lezione~~ su appuntamento.
- (Pisa) Martedì 14-16 oppure su appuntamento, Stanza 321/DO, Dip. Informatica, Largo B. Pontecorvo 3. Tel. 050-2212782.
Programma preliminare

Bibliografia (testi disponibili in biblioteca):
- [1] Database Systems: The Complete Book (2nd Edition). H. Garcia-Molina, J. D. Ullman, J. Widom, 2008.
- [2] Implementing Database Security and Auditing. R. Ben Natan, 2005.
- [3] Database Security and Auditing: Protecting Data Integrity and Accessibility. H. A. Afyouni, 2005.
- [4] Database security. S. Castano, M. Fugini, G. Martella, P. Samarati, 1994.
- [5] Oracle Database, PL/SQL Language Reference 11g. 2009.
- [6] Oracle Database, Label Security Administration Guide 11g. 2009.
- [7] Oracle Database, Security Guide 11g. 2010.
Login e password per accedere al materiale didattico qui di seguito sono state comunicate a lezione.
Pagina relativa ai temi di approfondimento: ultimo aggiornamento: 16 settembre 2010.

Giornale delle lezioni e materiale didattico

Vedi calendario accademico.

Lunedì 22 Febbraio 2010, 11-13

Introduzione al corso. Richiami su DBMS.
Slides: Introduzione, DBMS.
Riferimenti: Cap. 1 di [1].
Note: distribuito DVD di SQL Server 2008 (licenza MSDN-AA), distribuite fotocopie dei capitoli di [1] di interesse per il corso.

Martedì 23 Febbraio 2010, 11-13

Richiami di SQL come DDL e come DML. Cenni a dati semistrutturati.
Slides: Schemi, Select-From-Where.
Riferimenti: Sezz. 2.1,2.2,2.3,6.1,6.2,6.3 di [1].

Lunedì 1 Marzo 2010, 11-13

Richiami di SQL come DDL e come DML.
Slides: Join-Aggregates-Modifications.
Riferimenti: Sezz. 6.4,6.5, cenni di 6.6 di [1].

Martedì 2 Marzo 2010, 11-13

Richiami di SQL come DDL e come DML. Integrità delle basi di dati: vincoli e triggers.
Slides: Views, Constrains-Triggers.
Riferimenti: Cap. 7, Sezz. 8.1,8.5 di [1].

Lunedì 8 Marzo 2010, 11-13

Oracle PL/SQL e triggers.
Slides: PL/SQL e triggers in Oracle
Riferimenti: Documentazione Oracle: Capp. 1 e 9 di [5].

Martedì 9 Marzo 2010, 11-13

Esercitazione su integrità delle basi di dati in Oracle.
Testo esercitazione: integrità di basi di dati in Oracle

Lunedì 15 Marzo 2010, 11-13

Discussione e soluzione esercitazione.
Soluzione esercitazione:soluzione.
Note: distribuite fotocopie dei capitoli di [3] e di [4] di interesse per il corso.

Martedì 16 Marzo 2010, 11-13

Elementi di Information Security. Poliche di controllo degli accessi. Il modello a matrice (o di Harrison-Ruzzo-Ulman).
Slides: Information Security, Controllo degli accessi.
Riferimenti: Cap. 1 di [3], Sezz. 2.1 e 2.2 di [4].

Lunedì 22 Marzo 2010, 11-13

Autorizzazioni e privilegi in SQL.
Slides: Modello di autorizzazioni SQL.
Riferimenti: Sezz. 9.1,9.2,10.1 di [1], Cap. 4 di [3] con esclusione della parte su SQL Server.

Martedì 23 Marzo 2010, 11-13

Ruoli. Esercitazione su privilegi e ruoli.
Slides: Ruoli.
Testo esercitazione: Controllo degli accessi in Oracle.
Riferimenti: Cap. 4 di [3] con esclusione della parte su SQL Server.

Martedì 13 Aprile 2010, 11-13

Soluzione esercitazione. Profili per la limitazione delle risorse. Modalità di autenticazione degli utenti.
Soluzione esercitazione:soluzione.
Slides: Profili e Autenticazione.
Riferimenti: Capp. 3 e 4 di [3] con esclusione della parte su SQL Server.

Lunedì 19 Aprile 2010, 11-13

Politiche di Accesso Obbligatorie: Modello di Bell-LaPadula. Installazione di Oracle Label Security.
Slides: Mandatory Access Control.
Riferimenti: Sezz. 2.6 e 2.7 di [4].

Procedura di installazione di Oracle comprensiva di Label Security:

Se si lavoro su un portatile o su un sistema con IP dinamico, installare Microsoft Loopback Adapter, necessario al funzionamento di Enterprise Manager.
Installare Oracle Enterprise Edition, installazione standard.
Installare e attivare l'opzione Label Security.

Martedì 20 Aprile 2010, 11-13

Oracle Label Security.
Slides: Oracle Label Security.
Riferimenti: Capp. 1,2,3 di [6].

Lunedì 26 Aprile 2010, 11-13

Amministrazione di Oracle Label Security con Enterprise Manager.
Testo esercitazione: Oracle Label Security.
Riferimenti: Capp. 4 e 5 (cenni) di [6].

Martedì 27 Aprile 2010, 11-13

Esercitazione su Oracle Label Security.

Lunedì 3 Maggio 2010, 11-13

Modelli di sicurezza nelle applicazioni per basi di dati. Cenni a crittografia nelle basi di dati.
Slides: Applicazioni e crittografia.
Riferimenti: Cap. 5 di [3] con esclusione della parte su SQL Server, Cap. 10 di [2].

Martedì 4 Maggio 2010, 11-13

Standard di connettività: JDBC. SQL injection nelle applicazioni.
Slides: JDBC, SQL injection.
Riferimenti: JDBC, Advanced SQL injection, More advanced SQL injection, .

Lunedì 10 Maggio 2010, 11-13

Virtual Private Database. Oracle Application Contexts.
Slides: VPD.
Riferimenti: Cap. 6 di [3] con esclusione della parte su SQL Server, Cap. 6 di [7].

Martedì 11 Maggio 2010, 11-13

VPD in Oracle. Esercitazione.
Testo esercitazione: VPD in Oracle.
Soluzione esercitazione:soluzione.
Riferimenti: Cap. 7 di [7].

Lunedì 17 Maggio 2010, 11-13

Database auditing.
Slides: Auditing, esempio.
Riferimenti: Cap. 7 di [3] fino a pag. 269, cap. 9 di [3] con esclusione della parte su SQL Server.

Martedì 18 Maggio 2010, 11-13

Protezione dei dati personali. Cenni a data mining e privacy.
Slides: Legislazione, data mining, e privacy-preserving data mining.
Riferimenti: legislazione Italiana (D.Lgs. 196/2003), ed Europea (Direttiva 95/46/EC).