Bài giảng Bảo mật cơ sở dữ liệu: Chương 3 - Trần Thị Kim Chi
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.93 MB, 130 trang )
Bảo mật theo cơ chế MAC
Mandatory Access Control Models
Nội dung
1.
2.
3.
4.
Giới thiệu về điểu khiển truy cập bắt buộc
Mô hình điểu khiển truy cập bắt buộc
MAC trong các hệ QTCSDL thông dụng
Case study: Oracle Label Security Multi-Level
security
Vấn đề: DAC và Trojan Horse
Khuyết điểm của DAC: cho phép dịng thơng tin từ đối
tượng này truyền sang đối tượng khác bằng cách đọc thông
tin lên từ một đối tượng rồi ghi thơng tin đó xuống đối
tượng khác
Ví dụ: Bob không được phép xem file A, nên anh ta nhờ
Alice (đồng lõa với Bob) copy nội dùng của file A sang file
B (Bob có thể xem được file B)
Giả sử các người dùng đều đáng tin cậy và không làm việc
như trên thì cũng có thể một Trojan Horses sẽ làm việc sao
chép thông tin từ đối tượng này sang đối tượng khác.
DAC và điều khiển dịng thơng tin
Ví dụ Trojan Horses:
DAC và điều khiển dịng thơng tin
Ví dụ Trojan Horses:
DAC và điều khiển dịng thơng tin
Ví dụ Trojan Horses:
DAC và điều khiển dịng thơng tin
Ví dụ Trojan Horses:
DAC và điều khiển dịng thơng tin
Ví dụ Trojan Horses:
Giới thiệu Mandatory Access Control MAC
MAC được dùng để bảo vệ một khối lượng dữ liệu
lớn cần được bảo mật cao trong một môi trường
mà các dữ liệu và người dùng đều có thể được
phân loại rõ ràng.
Khác DAC, MAC khơng cho phép các cá nhân
chủ thể tồn quyền quyết định sự truy cập cho mỗi
đối tượng mà cưỡng chế sự truy nhập tất cả các
đối tượng theo một chính sách chung, được qui
định bởi một cơ chế phân loại cấp bậc.
Là cơ chế để hiện thực mơ hình bảo mật nhiều
mức (multiple level).
Giới thiệu Mandatory Access Control
Điều khiển truy cập bắt buộc (Mandatory Access ControlMAC)
– Là mơ hình điều khiển truy cập nghiêm ngặt nhất
– Thường bắt gặp trong các thiết lập của quân đội
– Hai thành phần: Nhãn và Cấp độ
Mô hình MAC cấp quyền bằng cách đối chiếu nhãn của
đối tượng với nhãn của chủ thể
– Nhãn cho biết cấp độ quyền hạn
Để xác định có mở một file hay không:
– So sánh nhãn của đối tượng với nhãn của chủ thể
– Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được
cấp phép truy cập
Giới thiệu Mandatory Access Control
Các chủ thể được phân loại và được gán nhãn cấp bậc, thể
hiện tầm quan trọng (đặc quyền) cao hay thấp trong hệ
thống (xét trên phương diện an toàn bảo mật), và các đối
tượng cũng được phân loại và gán nhãn thể hiện tính mật,
tức là cần bảo vệ, cao hay thấp.
Cấp bậc của chủ thể (security class) phải đủ cao thì mới
có thể truy nhập được vào một đối tượng có một nhãn bảo
mật mức nào đó (security clearance).
Thơng thường, Cấp của chủ thể cần phải không thấp hơn
Mức bảo mật của đối tượng.
Giới thiệu Mandatory Access Control
Mọi chủ thể và đối tượng trong hệ thống đều
được gắn với 1 lớp an toàn
Lớp an toàn = (Mức nhạy cảm, vùng ứng dụng)
– Thành phần của mức nhạy cảm là thành phần phân cấp
– Thành phần của vùng ứng dụng là thành phần không
phân cấp
Mandatory Access Control
Các lớp bảo mật
Người dùng và dữ liệu được phân loại dựa theo các
lớp bảo mật (security classes).
Phân loại người dùng dựa theo mức độ tin cậy và
lĩnh vực hoạt động của người dùng.
Phân loại dữ liệu dựa theo mức độ nhạy cảm và
lĩnh vực của dữ liệu
Lớp bảo mật có thể được phân loại theo
– Mức bảo mật (Classification level)
– Lĩnh vực (Category)
Mức bảo mật
Các mức bảo mật cơ bản:
– Không phân loại (U – Unclassified)
– Mật (C – Confidential)
– Tuyệt mật (S – Secret)
– Tối mật (TS – Top Secret)
Trong đó TS là mức cao nhất và U là mức thấp nhất:
TS ˃ S ˃ C ˃ U
Người dùng ở cấp càng cao thì mức độ đáng tin cậy càng
lớn.
Dữ liệu ở cấp càng cao thì càng nhạy cảm và cần được bảo
vệ nhất.
Mandatory Access Control
Ví dụ trong qn sự:
Lớp an tồn = (Mức nhạy cảm, Vùng ứng dụng)
Mức nhạy cảm:
–
–
–
–
0 = Không phân loại (U – Unclassified)
1 = Mật (C – Confidential)
2 = Tuyệt mật (S – Secret)
3 = Tối mật (TS – Top Secret)
Vùng ứng dụng: Hạt nhân – Nati – Cơ quan tình
báo
Mandatory Access Control
Lĩnh vực
Phân loại người dùng và dữ liệu theo lĩnh vực hoạt động
của hệ thống, hoặc theo từng phòng ban trong một tổ chức.
Ví dụ: Một cơng ty có 3 phòng ban là: Phòng kinh doanh,
phòng sản xuất và phòng phân phối. Như vậy thì các người
dùng và dữ liệu trong cơng ty này có thể được phân loại
theo lĩnh vực dựa theo 3 phòng ban này.
Lĩnh vực
Ví dụ 2: Trong một hệ thống quản lý thơng tin và điểm số
của một khoa đại học, có 2 cấp/mức bảo mật là
confidential (mật) và public (công khai), đồng thời có 2 thể
loại thơng tin là studentinfo (thơng tin sinh viên) và deptinfo (thông tin về khoa/viện). Như vậy có thể có các nhãn
như:
label(Joe)=(confidential,{student-info})
label(grades)=(confidential,{student-info})
Dễ thấy luật truy nhập sẽ cho phép Joe được đọc dữ liệu
grades vì nhãn của Joe không hề thua kém nhãn của
grades.
Lớp bảo mật
Một lớp bảo mật (security class) được định nghĩa như sau:
– SC = (A, C)
– A: mức bảo mật
– C: lĩnh vực
Hai lớp bảo mật SC và SC’ có mối quan hệ thứ tự riêng
phần SC ≤ SC’ nếu: A ≤ A’ và C C’
Ví dụ:
• (2, Sales) ≤ (3, (Sales, Production))
• (2, (Sales, Production)) ≤ (3, Sales)
Lớp bảo mật
Qui tắc: (A, C) dom (A’, C’) iff A’ ≤ A and C’ C
Examples
A’
C’
C
A
(Top Secret, {NUC, ASI}) dom (Secret, {NUC})
(Secret, {NUC, EUR}) dom (Confidential,{NUC, EUR})
(Top Secret, {NUC, EUR}) dom (Confidential, {EUR})
(Secret, {NUC, EUR}) dom (Confidential,{NUC, EUR})
Lớp bảo mật
Tập con
Tính chất của quan hệ đa mức
Tính chất đọc và ghi
Tính tồn vẹn thực thể (Entity integrity)
Tính tồn vẹn giá trị null (Null integrity)
Tính đa thể hiện (Polyinstantiation)
Khơng đọc lên (No read up)
Khơng ghi xuống (No write down)
Tính chất cơ bản của MAC
Các tính chất của điều khiển truy
cập bắt buộc
Tính chất bảo mật đơn giản (Simple security property or
ss-property): Một chủ thể s không được phép ĐỌC đối
tượng o, trừ khi:
class(s) ≥ class(o)
– Khơng đọc lên (No read-up)
Tính chất sao (Star property or *-property): Một chủ thể s
không được phép GHI lên đối tượng o, trừ khi:
class(s) ≤ class(o)
– Không ghi xuống (No write-down)
Những tính chất này nhằm đảm bảo rằng khơng có dịng
thơng tin nào có thể đi từ lớp cao xuống lớp thấp!!!
Các tính chất của điều khiển truy
cập bắt buộc
