AT4b Biba Model 1
Mô Hình Toàn Vẹn Biba
Nhóm thực hiện: Bùi Xuân Quang
Đỗ Việt Hùng
Nguyễn Việt Tiệp
Nguyễn Kiến Thiết
Nguyễn Xuân Tuấn
AT4b Biba Model 2
Computer Security

An ninh máy tính có liên quan đến 3 khía
cạnh:

Confidentiality(Bảo Mật): Ngăn chặn,phát
hiện,răn đe những yếu tố không phù hợp thông
tin.

Integrity(Toàn vẹn):Ngăng chặn,phát
hiện,răng đe những sửa đổi không phù hợp
thông tin.

Availability(Sẵn sàng): Ngăn chặn,phát
hiện,răn đe từ chối không đúng dịch vụ được
cung cấp bởi hệ thống.
AT4b Biba Model 3
Security Model

Một chính sách an toàn điều chỉnh một bộ
quy tắc và mục tiêu bởi một tổ chức.

Một mô hình bảo mật có thể được sử dụng

bởi một tổ chức để giúp thể hiện các chính
sách hay quy tắc kinh doanh sẽ được sử
dụng trong hệ thống máy tính.

Có 2 loại mô hình có thể sử dụng:Điều
khiển truy nhập tùy ý và điều khiển truy
nhập bắt buộc(discretionary access control
and mandatory access control).
AT4b Biba Model 4
Bell-LaPadula Model

The Bell-LaPadula model is one of the first
models that was created to control access to
data.

The properties of the Bell-LaPadula model are:

The simple security property which is “no read up”

The star property which is “no write down”.

A problem with this model is it does not deal
with the integrity of data.

The star property makes it is possible for a
lower level subject to write to a higher
classified object.
AT4b Biba Model 5
Biba Integrity Model


Mô hình toàn vẹn Biba đc đưa ra năm
1977 tại tổng công ty MITRE.Một năm
sau khi mô hình Bell-LaPadula được
xuất bản.

Các động lực chính cho việc tạo mô
hình này là sự bất lực của mô hình
Bell-LaPadula để đối phó với tính toàn
vẹn của dữ liệu .
AT4b Biba Model 6
Integrity(Tính toàn vẹn)

Tính toàn vẹn đề cập đến sự tin cậy của
dữ liệu hay tài nguyên.

Tính toàn vẹn thường được xác định trong
điều khoản ngăn chặn thay đổi không phù
hợp của dữ liệu.

Có ba mục tiêu tính của tính toàn vẹn:
1. Ngăn chặn người sử dụng trái phép sửa đổi dữ
liệu hay chương trình.
2. Ngăn chặn người dùng được ủy quyền sửa đổi
không phù hợp hay trái phép.
3. Duy trì tính thống nhất nội bộ và bên ngoài của
dữ liệu và chương trình.
AT4b Biba Model 7
Mức toàn vẹn

Mức toàn vẹn được quy định bởi các

nhãn, bao gồm hai phần :

a classification (Phân loại).

a set of categories(tập hợp các loại).

Mức toàn vẹn được áp dụng cho các
đối tượng và chủ thể trong hệ thống.
AT4b Biba Model 8
Phân Loại Toàn Vẹn

Việc phân loại bao gồm các yếu tố:

Crucial (c)

Very Important (VI)

Important (I)

Mối quan hệ giữa các yếu tố:
C > VI > I
AT4b Biba Model 9
Set Categories

Tập các loại chứa trong nhãn sẽ là
một tập hợp con của tất cả các bộ
trong hệ thống

Việc phân loại tập hợp các loại là
không theo thức bậc.

AT4b Biba Model 10
Ví dụ Set Categories

Một ví dụ về hai loại là loại X =
(Detroit, Chicago, New York thể loại)
và Y = (Detroit, Chicago).
Trong trường hợp này X ≥ Y (X
dominates Y), vì Y là một tập hợp con
của X.
Nếu có loại Z (Detroit, Chicago,
Miami).Z và X trong trường hợp này
là không thể so sánh bởi vì các yếu tố
thứ ba của bộ này là khác nhau .
AT4b Biba Model 11
Integrity Levels

Mỗi cấp độ toàn vẹn sẽ được đại diện bởi
L(C,S),trong đó:

L là mức toàn vẹn.

C là phân loại.

S is the set of categories.

Các mức toàn vẹn sau đó hình thành một
mối quan hệ thống trị .

Mức toàn vẹn L₁ = (C₁, S₁) trội hơn(≥) mức
toàn vẹn L₂ = (C₂, S₂) nếu và chỉ nếu:

C₁ ≥ C₂ and S₁ ⊇ S₂
AT4b Biba Model 12
Chủ thể và đối tượng

Cũng giống như các mô hình khác, mô hình
Biba hỗ trợ kiểm soát truy cập của chủ thể
và các đối tượng .

Subjects(chủ thể) là những yếu tố hoạt động
trong hệ thống có thể truy cập thông tin.

Objects(đối tượng) là những yếu tố thụ động
mà truy nhập có thể được yêu cầu(files,
programs, etc.).

Mỗi chủ thể và đối tượng trong mô hình
Biba sẽ có một mức độ toàn vẹn gắn với
nó.
AT4b Biba Model 13
Access Modes

Mô hình Biba bao gồm các phương
thức truy cập sau :

Modify(Sửa đổi):Cho phép một chủ thể ghi một
đối tượng.

Observe(Quan sát):Cho phép một chủ thể đọc
một đối tượng.


Invoke(Triệu gọi):Cho phép một chủ thể giao
tiếp với chủ thể khác.

Execute(Thực hiện):Cho phép một chủ thể thực
hiện một đối tượng.
AT4b Biba Model 14
Biba Policies

Mô hình Biba thực sự là một nhóm các chính sách khác
nhau có thể được sử dụng .

Mô hình này được hỗ trợ cả chính sách bắt buộc và chính
sách tùy ý(mandatory and discretionary policies).

The Mandatory Policies:

Strict Integrity Policy

Low-Watermark Policy for Subjects

Low-Watermark Policy for Objects

Low-Watermark Integrity Audit Policy

Ring Policy

The Discretionary Policies:

Access Control Lists


Object Hierarchy

Ring
AT4b Biba Model 15
Strict Integrity Policy

The Strict Integrity Policy(chính sách toàn
vẹn chính xác) là phần đầu tiên của mô
hình Biba,bao gồm:
1. Simple Integrity Condition: s
∈
S có thể
quan sát o
∈
O nếu và chỉ nếu i(s) ≤ i(o)
(“no read-down”).
2. Integrity Star Property: s
∈
S can sửa
đổi o
∈
O nếu và chỉ nếu i(o) ≤ i(s)
(“no write-up”).
3. Invocation Property: s
₁

∈
S có thể triệu
gọi s
₂


∈
S nếu và chỉ nếu i(s
₂
) ≤ i(s
₁
).
AT4b Biba Model 16
Simple Integrity Condition

“No Read-Down”
circle = subject, square = object
AT4b Biba Model 17
Integrity Star Property

“No Write-Up”

circle = subject, square =object
AT4b Biba Model 18
Strict Integrity Policy

Chính sách này là chính sách phổ biến
nhất được sử dụng từ mô hình .

“no write-up” and “no read-down” trên
dữ liệu trong hệ thống,điều này đối lập
với mô hình Bell LaPadula.

Chính sách này hạn chế ô nhiễm của các
dữ liệu ở mức cao hơn, vì đối tượng là

chỉ được phép sửa đổi dữ liệu ở cấp độ
của họ hoặc ở mức độ thấp hơn
AT4b Biba Model 19
Strict Integrity Policy

“No Write Up" là điều cần thiết, vì nó hạn chế
thiệt hại mà có thể được thực hiện bởi các đối
tượng nguy hiểm trong hệ thống .Ví dụ,“No
Write Up" hạn chế số thiệt hại mà có thể được
thực hiện bởi một Trojan trong hệ thống. Các
trojan sẽ chỉ có thể ghi tới các đối tượng ở cấp
độ nó nguyên vẹn hoặc thấp hơn. Điều này
quan trọng bởi vì nó hạn chế những thiệt hại
mà có thể được gây ra cho Hệ điều hành

“No read-down” ngăn ngừa một chủ thể không
bị ô nhiễm bởi một đối tượng ít tin cậy .
AT4b Biba Model 20
Low-Watermark Policy for Subjects

The low-watermark policy: Không đọc xuống có sự linh
hoạt.

The low-watermark policy gồm các quy tắc sau:
1. Cho phép 1 chủ thể đọc xuống nhưng trước tiên,phải
giảm mức toàn vẹn của nó xuống mức của đối tượng
đang đọc. chủ thể S có thể đọc(quan sát) đối tượng
O tại bất kỳ mức toàn vẹn nào,Mức toàn vẹn mới của
đối tượng là Inf(i(s),i(o)) trong đó i(s) và i(o) là các
mức toàn vẹn trước khi thao tác được thực hiện.

2. Invocation Property: s
₁∈
S có thể triệu gọi s
₂ ∈
S
nếu và chỉ nếu i(s
₂
) ≤ i(s
₁
).
AT4b Biba Model 21
Low-watermark Policy for Subjects
circle = subject, square = object
AT4b Biba Model 22
Low-Watermark Policy for Subjects

The low-watermark policy for Subjects là không
hạn chế một chủ thể đọc đối tượng.

The low-watermark policy for Subjects: là một chính
sách năng động, vì nó sẽ làm giảm mức độ toàn vẹn
của một chủ thể dựa trên các đối tượng được quan sát
.

Chính sách này vẫn có thiếu sót.Một vấn đề với
chính sách này là nếu 1 chủ thể quan sát một đối
tượng tin cậy ít hơn,nó sẽ làm giảm mức độ toàn
vẹn của chủ thể.Sau đó,nếu chủ thể cần quan sát
các đối tượng khác,điều này có thể sẽ không được
vì mức toàn vẹn của chủ thể bị hạ xuống.Hệ quả

của việc này là từ chối dịch vụ tùy thuộc vào thời
gian gửi
AT4b Biba Model 23
Low-Watermark Policy for Objects

The low-watermark policy for objects
là không ghi lên có tính linh hoạt

Quy tắc:
Giảm mức đối tượng xuống cùng mức với
chủ thể đang ghi. Chủ thể s có thể sửa
(biến đổi) đối tượng o tại bất kỳ mức toàn
vẹn nào.Mức toàn vẹn mới của đối tượng là
inf(i(s),i(o)), trong đó i(s) và i(o) là các
mức toàn vẹn trước khi thao tác được thực
hiện.
AT4b Biba Model 24
Low-Watermark Policy for Objects
circle = subject, square = object
AT4b Biba Model 25
Low-Watermark Policy for Objects

The low-watermark policy for objects
cũng là một dynamic policy, Tương tự như
low-watermark policy for subjects.

Bất lợi của chính sách này là không làm gì
để ngăn chặn một chủ thể không tin cậy
sửa đổi một đối tượng tin cậy.


Chính sách này cung cấp việc bảo vệ
không thực tế trong hệ thống. Nếu một
chương trình độc hại đã được nạp vào hệ
thống máy tính nó có thể sửa đổi bất kỳ đối
tượng trong hệ thống .Mô hình này sẽ làm
giảm mức toàn vẹn của đối tượng.