Bài giảng Bảo mật hệ thống thông tin - Chương 5: Điều khiển truy cập bắt buộc (Mandatory Access Controls-MAC)

pdf 66 trang phuongnguyen 3050
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Bảo mật hệ thống thông tin - Chương 5: Điều khiển truy cập bắt buộc (Mandatory Access Controls-MAC)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_bao_mat_he_thong_thong_tin_chuong_5_dieu_khien_tru.pdf

Nội dung text: Bài giảng Bảo mật hệ thống thông tin - Chương 5: Điều khiển truy cập bắt buộc (Mandatory Access Controls-MAC)

  1. Chương 5: Điều khiển truy cập bắt buộc Mandatory Access Controls (MAC) Khoa Khoa học và Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM
  2. Nội dung 1 Giới thiệu về điềuđiểu khiển truy cập bắt buộc 2 Mô hình điểu khiển truy cập bắt buộc 3 Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 2
  3. Giới thiệu về điều khiển truy cập bắt buộc  Các lớp bảo mật (security classes)  Các tính chất của điều khiển truy cập bắt buộc  Quan hệ đa mức  Ưu và khuyết điểm của điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 3
  4. Giới thiệu về điều khiển truy cập bắt buộc  Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):  Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong một môi trường mà các dữ liệu và người dùng đều có thể được phân loại rõ ràng.  Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level). Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 4
  5. Các lớp bảo mật  Người dùng và dữ liệu được phân loại dựa theo các lớp bảo mật (security classes).  Phân loại người dùng dựa theo mức độ tin cậy và lĩnh vực hoạt động của người dùng.  Phân loại dữ liệu dựa theo mức độ nhạy cảm và lĩnh vực của dữ liệu  Lớp bảo mật có thể được phân loại theo  Mức bảo mật (Classification level)  Lĩnh vực (Category) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 5
  6. Mức bảo mật  Các mức bảo mật cơ bản:  Top secret (TS)  Secret (S)  Confidential (C)  Unclassified (U)  Trong đó TS là mức cao nhất và U là mức thấp nhất: TS ˃ S ˃ C ˃ U  Người dùng ở cấp càng cao thì mức độ đáng tin cậy càng lớn.  Dữ liệu ở cấp càng cao thì càng nhạy cảm và cần được bảo vệ nhất. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 6
  7. Lĩnh vực  Phân loại người dùng và dữ liệu theo lĩnh vực hoạt động của hệ thống, hoặc theo từng phòng ban trong một tổ chức.  Ví dụ: Một công ty có 3 phòng ban là: Phòng kinh doanh, phòng sản xuất và phòng phân phối. Như vậy thì các người dùng và dữ liệu trong công ty này có thể được phân loại theo lĩnh vực dựa theo 3 phòng ban này. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 7
  8. Lớp bảo mật  Một lớp bảo mật (security class) được định nghĩa như sau: SC = (A, C) A: mức bảo mật C: lĩnh vực  Hai lớp bảo mật SC và SC’ có mối quan hệ thứ tự riêng phần SC ≤ SC’ nếu: A ≤ A’ và C  C’  Ví dụ:  (C, {Sales}) ≤ (S, {Sales, Production})  (C, {Sales, Production}) ≤ (S, {Sales}) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 8
  9. Giới thiệu về điều khiển truy cập bắt buộc  Các lớp bảo mật  Các tính chất của điều khiển truy cập bắt buộc  Quan hệ đa mức  Ưu và khuyết điểm của điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 9
  10. Các tính chất của điều khiển truy cập bắt buộc  Tính chất bảo mật đơn giản (Simple security property or ss-property): Một chủ thể s không được phép ĐỌC đối tượng o, trừ khi: class(s) ≥ class(o) Không đọc lên (No read-up)  Tính chất sao (Star property or *-property): Một chủ thể s không được phép GHI lên đối tượng o, trừ khi: class(s) ≤ class(o) Không ghi xuống (No write-down) Những tính chất này nhằm đảm bảo rằng không có dòng thông tin nào có thể đi từ lớp cao xuống lớp thấp!!! Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 10
  11. Tại sao có tính chất * Ví dụ về Trojan horse trong chương 4 Bob không thể đọc được nội dung của file A Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 11
  12. Tại sao có tính chất * Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 12
  13. Tại sao có tính chất * Bob có thể đọc được nội dung của file A sau khi nó được sao chép sang file B Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 13
  14. Tại sao có tính chất * Tính chất * ngăn chặn việc sao chép dữ liệu từ file (cấp cao hơn) sang file B (cấp thấp hơn) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 14
  15. Tính chất *  Tính chất *: ngăn chặn một chủ thể ở lớp bảo mật cao gửi thông điệp hợp lệ đến những chủ thể ở lớp bảo mật thấp hơn  Có 2 giải pháp:  Tạm thời giảm lớp bảo mật của chủ thể đó xuống cấp thấp hơn khi gửi thông điệp  Đưa các chủ thể đáng tin cậy (trusted subject) vào danh sách các chủ thể không bị hạn chế bởi tính chất * Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 15
  16. Giới thiệu về điều khiển truy cập bắt buộc  Các lớp bảo mật  Các tính chất của điều khiển truy cập bắt buộc  Quan hệ đa mức  Ưu và khuyết điểm của điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 16
  17. Quan hệ đa mức  Quan hệ đa mức (Multilevel relation): MAC + mô hình CSDL quan hệ  Các đối tượng dữ liệu: thuộc tính và hàng  Mỗi thuộc tính Ai được gắn với 1 thuộc tính mức bảo mật Ci  Mỗi hàng có 1 thuộc tính mức bảo mật chung cho hàng đó TC. TC sẽ mang giá trị cao nhất của các Ci trong hàng đó. R(A1, C1, A2, C2, , An, Cn, TC)  Khóa biểu kiến (apparent key) của một quan hệ đa mức là tập các thuộc tính mà sẽ tạo thành khóa chính như trong một quan hệ bình thường (single-level relation) (bỏ các thuộc tính mức bảo mật) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 17
  18. Quan hệ đa mức S < C < U  Những chủ thể (người dùng) ở các mức bảo mật khác nhau sẽ thấy những dữ liệu khác nhau trong cùng một quan hệ đa mức. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 18
  19. Quan hệ đa mức SELECT * FROM EMPLOYEE  Kết quả trả về cho người dùng ở mức bảo mật S Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 19
  20. Quan hệ đa mức SELECT * FROM EMPLOYEE  Kết quả trả về cho người dùng ở mức bảo mật C Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 20
  21. Quan hệ đa mức SELECT * FROM EMPLOYEE  Kết quả trả về cho người dùng ở mức bảo mật U Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 21
  22. Tính chất của quan hệ đa mức  Tính chất đọc và ghi  Tính toàn vẹn thực thể (Entity integrity)  Tính toàn vẹn giá trị null (Null integrity)  Tính đa thể hiện (Polyinstantiation) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 22
  23. Tính chất của quan hệ đa mức  Không đọc lên (No read up)  Không ghi xuống (No write down) Tính chất cơ bản của MAC Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 23
  24. Tính chất của quan hệ đa mức  Tính toàn vẹn thực thể (Entity integrity): Tất cả các thuộc tính nằm trong khóa biểu kiến không được null và phải ở cùng mức bảo mật trong mỗi hàng.  Tất cả các thuộc tính khác trong cùng một hàng phải có mức bảo mật lớn hơn hoặc bằng mức bảo mật của khóa biểu kiến. Ràng buộc này đảm bảo rằng một người dùng sẽ thấy được khóa của một hàng nếu người dùng được phép xem bất kỳ phần nào của hàng đó. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 24
  25. Tính chất của quan hệ đa mức  Tính toàn vẹn giá trị null (Null integrity): Tất cả các giá trị null đều được phân loại ở mức bảo mật bằng với mức bảo mật của khóa biểu kiến trong cùng một hàng Ràng buộc này đảm bảo sự thống nhất giữa các thể hiện khác nhau (instance) của cùng một quan hệ khi nó xuất hiện ở các mức bảo mật khác nhau. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 25
  26. Tính chất của quan hệ đa mức  Tính đa thể hiện (Polyinstantiation): xảy ra khi có những hàng có cùng khóa biểu kiến nhưng mang những giá trị khác nhau đối với những người dùng ở các mức bảo mật khác nhau. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 26
  27. Ví dụ về tính đa thể hiện SELECT * FROM EMPLOYEE  Kết quả trả về cho người dùng ở cấp bảo mật C Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 27
  28. Ví dụ về tính đa thể hiện  Một người dùng ở mức bảo mật C thực hiện câu lệnh cập nhật giá trị của JobPerformance của Smith thành ‘Excellent’: UPDATE EMPLOYEE SET JobPerformance = ‘Excellent’ WHERE Name = ‘Smith’; Thực hiện câu lệnh hay báo lỗi? Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 28
  29. Ví dụ về tính đa thể hiện  Kết quả của câu truy vấn:  Name là khóa biểu kiến trong quan hệ Employee  Tồn tại 2 hàng có cùng khóa biểu kiến Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 29
  30. Giới thiệu về điều khiển truy cập bắt buộc  Các lớp bảo mật  Các tính chất của điều khiển truy cập bắt buộc  Quan hệ đa mức  Ưu và khuyết điểm của điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 30
  31. Ưu và khuyết điểm của MAC  Ưu điểm:  Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn chặn dòng thông tin bất hợp pháp.  Thích hợp cho các ứng dụng trong môi trường quân đội.  Khuyết điểm:  Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ ràng  Chỉ được ứng dụng trong một số ít môi trường. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 31
  32. Nội dung 1 Giới thiệu về điểu khiển truy cập bắt buộc 2 Mô hình điểu khiển truy cập bắt buộc 3 Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 32
  33. Mô hình điều khiển truy cập bắt buộc  Mô hình Bell-LaPadula  Mô hình Biba Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 33
  34. Mô hình Bell-LaPadula  Được phát triển bởi David Elliot Bell và Leonard J. La Padula vào năm 1973.  Để chuẩn hóa các qui định về hệ thống bảo mật nhiều mức (multilevel security system – MLS) của bộ quốc phòng Mỹ  Áp dụng trong các ứng dụng quân đội và chính phủ Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 34
  35. Mô hình Bell-LaPadula  Trạng thái của hệ thống: v = (b, M, f)  b: tập các truy cập hiện tại  Các loại quyền truy cập (access mode): chỉ đọc (read-only), nối (append), thực thi (excecute), đọc-ghi (read-write)  b = = : chủ thể s đang có quyền truy cập m trên o  M[s, o]: ma trận truy cập  Tương tự như trong mô hình ma trận truy cập Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 35
  36. Bell-LaPadula model  Trạng thái của hệ thống: (b, M, f)  f: hàm xác định mức bảo mật của chủ thể/đối tượng  f: O U S L  fo(o): trả về mức bảo mật của đối tượng o  fs(s): trả về mức bảo mật của chủ thể s  fc(s): trả về mức bảo mật hiện tại của chủ thể s  fc(s) ≤ fs(s) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 36
  37. Tính chất bảo mật đơn giản (ss-property)  Không đọc lên (No read up)  Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất bảo mật đơn giản khi và chỉ khi: Với mỗi M[s,o]: M[s,o] ∈ {read, write}, fo(o) ≤ fs(s) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 37
  38. Tính chất *  Không ghi xuống (No write down)  Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất * khi và chỉ khi:  append ∈ M[s,o] fc(s) ≤ fo(o)  write ∈ M[s,o] fc(s) = fo(o)  read ∈ M[s,o] fc(s) ≥ fo(o) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 38
  39. Hạn chế của mô hình Bell-LaPadula:  Mô hình Bell-LaPadula chỉ tập trung vào tính mật  Không đảm bảo tính toàn vẹn thông tin  Không linh động trong việc thay đổi quyền truy cập.  Mô hình Bell-LaPadula không chặn được convert channel:  Không hỗ trợ tính đa thể hiện  Một chủ thể ở mức bảo mật thấp có thể phát hiện được sự hiện diện của một đối tượng ở mức bảo mật cao khi chủ thể đó truy xuất đến đối tượng và bị từ chối Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 39
  40. Mô hình điều khiển truy cập bắt buộc  Mô hình Bell-LaPadula  Mô hình Biba Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 40
  41. Mô hình Biba  Do Biba đề nghị năm 1977  Mô hình Biba tập trung vào việc bảo vệ tính toàn vẹn của dữ liệu  Mô hình Biba phân loại chủ thể, đối tượng theo mức toàn vẹn (integrity level)  Các nhóm phân loại gồm:  Crucial (C)  Very Important (VI)  Important (I) C > VI > I Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 41
  42. Mô hình Biba  Quyền truy xuất (access mode):  Chỉnh sửa (modify): ghi thông tin lên đối tượng  Liên hệ (invoke): quyền giữa 2 chủ thể, cho phép 2 chủ thể liên lạc với nhau  Quan sát (observe): đọc thông tin của đối tượng  Thực thi (execute): thực thi chương trình Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 42
  43. Chính sách toàn vẹn  Tính chất toàn vẹn đơn giản (Simple integrity property): một chủ thể s có thể quan sát được đối tượng o nếu và chỉ nếu: i(s) ≤ i(o) i(s): mức toàn vẹn của s Không đọc xuống (No read down) i(o): mức toàn vẹn của o  Tính chất toàn vẹn sao (Integrity star property): một chủ thể s có thể chỉnh sửa được đối tượng o nếu và chỉ nếu: i(o) ≤ i(s) Không ghi lên (No write up) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 43
  44. Chính sách toàn vẹn  Tính chất liên hệ (Invocation property): một chủ thể s1 có thể liên hệ với chủ thể s2 nếu và chỉ nếu: i(s2) ≤ i(s1) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 44
  45. Mô hình Biba  Mô hình Biba bảo vệ tính toàn vẹn và không cung cấp tính mật nên cần kết hợp với những mô hình khác.  Mô hình Lipner là mô hình kết hợp giữa mô hình Bell- LaPadula và mô hình Biba. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 45
  46. Nội dung 1 Giới thiệu về điểu khiển truy cập bắt buộc 2 Mô hình điểu khiển truy cập MAC 3 Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 46
  47. Oracle Label Security  Giới thiệu về Oracle Label Security (OLS)  Các thành phần của nhãn (label)  Cách thức hoạt động của OLS  Ví dụ: “Order Management” Tài liệu tham khảo: D.C. Knox (2004). Effective Oracle Database 10g Security by Design, Oracle Press, ISBN 0-07-223130-0. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 47
  48. Giới thiệu về OLS  Mô phỏng mô hình quan hệ đa mức  Mỗi hàng dữ liệu được bổ sung thêm một trường “nhãn nhạy cảm” (sensity label) để lưu lại mức độ nhạy cảm của dữ liệu trong hàng đó.  Quyền truy cập được xét (cho phép hoặc không) dựa vào việc so sánh danh định của người dùng, mức bảo mật của người dùng và nhãn nhạy cảm của mỗi hàng Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 48
  49. Giới thiệu về OLS SELECT * FROM order; Table ORDER Order Number Order Location Row Label 1 City Unclassified 2 VIP Secret User User session label 3 City Unclassified “Unclassified” 4 VIP Top Secret 4 VIP Top Secret Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 49
  50. Oracle Label Security  Giới thiệu về Oracle Label Security (OLS)  Các thành phần của nhãn (label)  Cách thức hoạt động của OLS  Ví dụ: “Order Management” Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 50
  51. Các thành phần của nhãn  Mỗi nhãn chứa 3 loại thành phần (component):  Mức nhạy cảm (sensitivity level): mỗi nhãn có 1 mức nhạy cảm  Ngăn (horizontal compartments): mỗi nhãn có từ 0 đến nhiều ngăn  Nhóm (hierarchical groups): mỗi nhãn có từ 0 đến nhiều nhóm Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 51
  52. Mức nhạy cảm (sensitivity level)  Mức nhạy cảm thể hiện mức độ nhạy cảm của dữ liệu hoặc mức độ bảo mật của người dùng.  Mức nhạy cảm của dữ liệu càng cao thì càng cần phải bảo vệ. Mức nhạy cảm của người dùng càng thấp thì càng cần phải hạn chế quyền của người dùng đó.  Mức nhạy cảm có quan hệ thứ bậc (hierachical)  Ví dụ: Execute (3) Manager (2) Employee (1) Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 52
  53. Ngăn (Compartment)  Compartment định nghĩa các lĩnh vực liên quan đến dữ liệu.  Thành phần compartment không có mối quan hệ thứ bậc mà là quan hệ chứa/bao gộp (tập hợp)  Ví dụ:  FOOD  CLOTHS  ELECTRICAL GOODS Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 53
  54. Nhóm (group)  Thành phần group định nghĩa cách tổ chức dữ liệu.  Giữa các thành phần group có mối quan hệ (so sánh) cha- con  Ví dụ: Country North Middle South Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 54
  55. Các thành phần của nhãn Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 55
  56. Cú pháp viết nhãn  Cú pháp: LEV : COM1, , COMn : GRP1, , GRPn  Ví dụ:  MGR:CS:NA Level: MGR: Manager  EXEC:CS,ES,FS:NA EXEC: Executive Compartment: CS: Cloths ES: Electrical Goods FS: Food Group: NA: North Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 56
  57. Oracle Label Security  Giới thiệu về Oracle Label Security (OLS)  Các thành phần của nhãn (label)  Cách thức hoạt động của OLS  Ví dụ: “Order Management” Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 57
  58. Quản lý truy cập  Một người dùng chỉ có thể truy cập dữ liệu nằm trong phạm vi quy định của nhãn nhạy cảm của mình  Một người dùng có:  mức nhạy cảm cao nhất và thấp nhất  tập các compartment  tập các group  Một bản đặc tả các quyền truy cập (đọc/ghi) cho mỗi compartment và group  Cách so sánh nhãn của người dùng với nhãn của dữ liệu? Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 58
  59. Truy cập ĐỌC Example: Data Label: 1 Quoc MGR:CS:NA User label: MGR:CS:NA 2 Thai MGR:FS:MA User label: EMP:FS:NA 3 Dan EMP:CS:NA User label: EMP:NA 4 An EMP Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 59
  60. Truy cập GHI Example: Data Label: 1 Quoc MGR:CS:NA User label: MGR:CS:NA 2 Thai MGR:FS:MA User label: EMP:FS:NA User label: EMP:NA Trường 3Đại HọcDanBách Khoa Tp.HCMEMP:CS:NA Bảo mật hệ thống thông tin Khoa Khoa4 HọcAnvà Kỹ Thuật Máy TínhEMP Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 60
  61. Oracle Label Security  Giới thiệu về Oracle Label Security (OLS)  Các thành phần của nhãn (label)  Cách thức hoạt động của OLS  Ví dụ: “Order Management” Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 61
  62. Project “Order Management” 1 Position Branch n located Region 1 1 has work at n n 1 n belong manage Employee 1 Compartment n to 1 Customer 1 order Product n n n Orders include Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 62
  63. Project “Order Management” Country Group North Middle South Compartment Employee Food Cloths Electrical goods Level Manager Food Cloths Electrical goods Executive All Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 63
  64. Director Executives Executives Executives (North Branches) (Middle Branches) (South Branches) Managers Managers Managers Managers Managers Managers Managers Managers Managers (Eletrical (Eletrical (Eletrical (Cosmetics) (Cloths) (Cosmetics) (Cloths) (Cosmetics) (Cloths) goods) goods) goods) Employees Employees Employees Employees Employees Employees Employees Employees Employees (Electrical (Electrical (Electrical (Cosmetics) (Cloths) (Cosmetics) (Cloths) (Cosmetics) (Cloths) goods) goods) goods) Cần bảo vệ đơn hàng (ORDERS) và thông tin cá nhân Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 64
  65. Nội dung 1 Giới thiệu về điểu khiển truy cập bắt buộc 2 Mô hình điểu khiển truy cập bắt buộc 3 Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 65
  66. Trường Đại Học Bách Khoa Tp.HCM Bảo mật hệ thống thông tin Khoa Khoa Học và Kỹ Thuật Máy Tính Chương 5: Điều khiển truy cập bắt buộc (MAC) © 2011 66