BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “ NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” SẢN PHẨM SỐ 3: AN TỒN THƠNG TIN CHO CƠ SỞ DỮ LIỆU Thuộc đề tài : “Nghiên cứu số vấn đề kỹ thuật, công nghệ chủ yếu thương mại điện tử triển khai thử nghiệm – Mã số KC.01.05” Hà nội, tháng năm 2004 néi dung Tỉng quan vỊ an toàn sở liệu .1 Giíi thiƯu Mét sè kh¸i niƯm CSDL 3.Vấn đề an toàn CSDL KiĨm so¸t an toµn 12 ThiÕt kÕ CSDL an toµn 30 ThiÕt kÕ CSDL an toµn .34 Giíi thiƯu 34 ThiÕt kÕ DBMS an toµn 35 Giải pháp bảo vệ liệu CSDL 88 Mô hình WinSock 89 Winsock Model .89 Xây dựng DLL Winsock 92 Sù liªn kÕt Client Server mô hình Winsock .93 Các trạng thái socket 94 Xây dựng Socket an toàn .99 Các yêu cầu thiết kế 99 KiÕn tróc 100 Thùc hiÖn 101 Tho¶ thuËn .104 Ch−¬ng tr×nh thư nghiƯm 107 Tỉng quan vỊ an toμn th«ng tin sở liệu Giới thiệu Sự phát triển lớn mạnh công nghệ thông tin năm qua đà dẫn đến sử dụng rộng rÃi hệ thống máy tính tổ chức cá nhân công cộng, chẳng hạn nh ngân hàng, trờng học, tổ chức dịch vụ sản xuất Độ tin cậy phần cứng, phần mềm ngày đợc nâng cao với việc liên tục giảm giá, tăng kỹ chuyên môn chuyên viên thông tin sẵn sàng công cụ trợ giúp đà góp phần khuyến khích việc sử dụng dịch vụ máy tính cách rộng rÃi Vì vậy, liệu đợc lu giữ quản lý hệ thống máy tính nhiều Cơ sở liệu sử dụng hệ quản trị sở liệu đà đáp ứng đợc yêu cầu lu giữ quản lý liệu Nhiều phơng pháp luận thiết kế sở liệu đà đợc phát triển nhằm hỗ trợ yêu cầu thông tin khác môi trờng làm việc ứng dụng Các mô hình liệu khái niệm lôgíc đà đợc nghiên cứu, với ngôn ngữ thích hợp, công cụ định nghĩa liệu, thao tác hỏi đáp liệu Mục tiêu đa DBMS có khả quản trị khai thác liệu tốt Một đặc điểm DBMS khả quản lý đồng thời nhiều giao diện ứng dụng Mỗi ứng dụng có nhìn sở liệu, có nghĩa có cảm giác khai thác sở liệu Đây yêu cầu quan trọng DBMS, ví dụ sở liệu ngân hàng với khách hàng trực tuyến nó; sở liệu hÃng hàng không với việc đặt vé trớc Xử lý phân tán đà góp phần phát triển tự động hoá hệ thống thông tin Ngày nay, đơn vị xử lý thông tin tổ chức c¸c chi nh¸nh ë xa cđa nã cã thĨ giao tiếp với cách nhanh chóng thông qua mạng máy tính, cho phép truyền tải nhanh khối liệu lớn Việc sử dụng rộng rÃi sở liệu phân tán tập trung đà đặt nhiều yêu cầu nhằm đảm bảo chức thơng mại an toàn liệu Trong thực tế, cố môi trờng sở liệu không ảnh hởng đến ngời sử dụng ứng dụng, mà ảnh hởng tới toàn hệ thống thông tin Các tiến kỹ thuật xử lý thông tin (các công cụ ngôn ngữ) đà đơn giản hoá giao diện ngời máy phục vụ cho việc tạo sở liệu đáp ứng đợc cho nhiều dạng ngời dùng khác nhau; Vì đà nảy sinh thêm nhiều vấn đề an toàn Trong hệ thống thông tin, máy tính, kỹ thuật, công cụ thủ tục an toàn đóng vai trò thiết yếu, đảm bảo tính liên tục tin cậy hệ thống, bảo vệ liệu chơng trình không bị xâm nhập, sửa đổi, đánh cắp tiết lộ thông tin trái phép An toàn thông tin sở liệu An toàn thông tin sở liÖu bao gåm yÕu tè chÝnh: tÝnh bÝ mËt, toàn vẹn sẵn sàng Trong tài liệu này, thuật ngữ nh gán quyền, bảo vệ an toàn đợc sử dụng để diễn đạt nội dung ngữ cảnh khác Chính xác hơn, thuật ngữ gán quyền đợc sử dụng hệ thống sở liệu, thuật ngữ bảo vệ thờng sử dụng nói hệ điều hành, thuật ngữ an toàn đợc sử dụng chung Bảo mật ngăn chặn, phát xác định tiếp cận thông tin trái phép Nói chung, bảo mật bảo vệ liệu môi trờng cần bảo mật cao, ví dụ nh trung tâm quân hay kinh tế quan trọng Tính riêng t (privacy) thuật ngữ quyền cá nhân, nhóm ngời, tổ chức thông tin, tài nguyên Tính riêng t đợc luật pháp nhiều quốc gia bảo đảm Bí mật yếu tố quan trọng để đảm bảo an toàn môi trờng, quân lẫn thơng mại Đảm bảo tính toàn vẹn có nghĩa ngăn chặn, phát xác định sửa đổi thông tin trái phép Đảm bảo tính sẵn sàng có nghĩa ngăn chặn, phát xác định từ chối truy nhập đáng vào dịch vụ mà hệ thống cung cấp Một số khái niệm CSDL Cơ sở liệu tập hợp liệu không thiết đồng nhất, có quan hệ với mặt lôgíc đợc phân bố mạng máy tính Hệ thống phần mềm cho phép quản lý, thao tác sở liệu, tạo suốt phân tán với ngời dùng gọi hệ quản trị sở liệu (DBMS) Trong thiết kế sở liệu, cần phân biệt pha quan niệm pha lôgíc Các mô hình quan niệm lôgíc tơng ứng thờng dùng để mô tả cấu trúc sở liệu Trong mô hình này, mô hình lôgíc phụ thuộc vào hệ quản trị sở liệu, mô hình quan niệm độc lập với hệ quản trị sở liệu Mô hình quan hệ thực thể mô hình quan niệm phổ biến nhất, đợc xây dựng dựa khái niệm thực thể Thực thể đợc xem nh lớp đối tợng giới thực đợc mô tả bên sở liệu quan hệ mô tả mối liên hệ hai hay nhiều thực thể Trong trình thiết kế lôgíc, lợc đồ khái niệm đợc chuyển sang lợc đồ lôgíc, mô tả liệu theo mô hình lôgíc DBMS cung cấp Các mô hình phân cấp, mạng quan hệ mô hình lôgíc công nghệ DBMS truyền thống quản lý Các ngôn ngữ sẵn có DBMS bao gồm ngôn ngữ định nghĩa liệu (DDL), ngôn ngữ thao tác liệu (DML) ngôn ngữ hỏi (QL) DDL hỗ trợ định nghĩa lợc đồ sở liệu lôgíc Các phép toán liệu đợc xác định sử dụng DDL, QL Các thao tác sở liệu bao gồm tìm kiếm, chèn, xoá cập nhật Để sử dụng DML, yêu cầu hiểu biết đầy đủ mô hình, lợc đồ logíc DML đợc ngời dùng đặc biệt sử dụng, chẳng hạn nh nhà phát triển ứng dụng QL ngợc lại, ngôn ngữ khai báo hỗ trợ cho ngời dùng cuối Ngôn ngữ DML nhúng ngôn ngữ lập trình thông thờng, gọi ngôn ngữ nhúng Vì vậy, ứng dụng sử dụng ngôn ngữ lập trình đa vào câu lệnh DML cho phép toán hớng liệu 2.1 Các thành phần DBMS Một DBMS thông thờng bao gồm nhiều môđun tơng ứng với chức sau: ã Định nghĩa liệu - DDL ã Thao tác liệu - DML ã Hỏi đáp sở liệu - QL ã Quản trị sở liệu - DBMS ã Quản lý file Tập hợp liệu hỗ trợ môđun là: ã Các bảng mô tả sở liệu ã Các bảng trao quyền ã Các bảng truy nhập đồng thời Ngời dùng cuối chơng trình ứng dụng sử dụng liệu sở liệu, thông qua câu lệnh DML QL Sau đó, DBMS biên dịch câu lệnh thông qua xử lý DML QL Kết đa câu hỏi tối u theo lợc đồ sở liệu (đà đợc trình bày bảng mô tả sở liệu) Những bảng đợc định nghĩa thông qua câu lệnh DDL đợc trình biên dịch DDL biên dịch Các câu hỏi tối u đợc quản trị sở liệu xử lý chuyển thành thao tác file liệu vật lý Bộ quản trị sở liệu kiểm tra lại quyền ngời dùng chơng trình truy nhập liệu, thông qua bảng trao quyền truy nhập Các thao tác đợc phép đợc gửi tới quản lý file Bộ quản trị sở liệu chịu trách nhiệm quản lý truy nhập liệu đồng thời Bộ quản trị file thực thao tác Vùng làm việc trình ứng dụng Các trình øng dông C¸c lƯnh DML Thđ tơc DBMS Cơ sở liệu Vïng lµm viƯc DBMS Hình Tơng tác trình ứng dụng sở liệu Hình minh hoạ tơng tác chơng trình ứng dụng (có chứa câu lệnh DML) sở liệu Thực câu lệnh DML tơng ứng với thủ tục DBMS truy nhập sở liệu Thủ tục lấy liệu từ sở liệu đa tới vùng làm việc ứng dụng (tơng ứng với câu lệnh retrieval), chuyển liệu từ vùng làm việc vào sở liệu (tơng ứng với câu lệnh insert, update), hay xoá liệu khỏi sở liệu (câu lệnh delete) 2.2 Các mức mô tả liệu DBMS mô tả liệu theo nhiều mức khác Mỗi mức cung cấp mức trừu tợng sở liệu Trong DBMS có mức mô tả sau: Khung nhìn logíc (Logical view) Việc xây dựng khung nhìn tuỳ thuộc yêu cầu mô hình logíc mục đích ứng dụng Khung nhìn lôgíc mô tả phần lợc đồ sở liệu lôgíc Nói chung, ngời ta thờng sử dụng DDL để định nghĩa khung nhìn lôgíc, DML để thao tác khung nhìn Lợc đồ liệu lôgíc mức này, liệu sở liệu đợc mô tả mô hình lôgíc DBMS Các liệu quan hệ chúng đợc mô tả thông qua DDL DBMS Các thao tác khác lợc đồ lôgíc đợc xác định thông qua DML DBMS Lợc đồ liệu vật lý Mức mô tả cấu trúc lu trữ liệu file nhớ Dữ liệu đợc lu trữ dới dạng ghi (có độ dài cố định hay thay đổi) trỏ trỏ tới ghi Trong mô tả liệu, DBMS cho phép mức khác hỗ trợ độc lập lôgíc độc lập vật lý Độc lập lôgíc có nghĩa là: lợc đồ lôgíc đợc sửa đổi mà không cần sửa đổi chơng trình ứng dụng làm việc với lợc đồ Trong trờng hợp này, thay đổi lợc đồ lôgíc cần đợc thay đổi lại khung nhìn lôgíc có liên quan với lợc đồ Độc lập vật lý có nghĩa là: lợc đồ vật lý đợc thay đổi mà không cần phải thay đổi ứng dụng truy nhập liệu Đôi khi, có nghĩa là: cấu trúc lu trữ liệu vật lý thay đổi mà không làm ảnh hởng đến việc mô tả lợc đồ liệu lôgíc Vấn đề an toàn sở liệu 3.1 Các hiểm hoạ an toàn sở liệu Một hiểm hoạ đợc xác định đối phơng (ngời, nhóm ngời) sử dụng kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan trọng hệ thống quản lý Các xâm phạm tính an toàn sở liệu bao gồm đọc, sửa, xoá liệu trái phép Thông qua xâm phạm này, đối phơng có thể: Khai thác liệu trái phép thông qua suy diễn thông tin đợc phép Sửa đổi liệu trái phép Từ chối dịch vụ hợp pháp Các hiểm hoạ an toàn đợc phân lớp, tuỳ theo cách thức xuất chúng, hiểm hoạ có chủ ý vô ý (ngẫu nhiên) Hiểm hoạ ngẫu nhiên hiểm hoạ thông thờng độc lập với điều khiển gây phá hỏng sở liệu, chúng thờng liên quan tới trờng hợp sau: Các thảm hoạ thiên nhiên, chẳng hạn nh động đất, hoả hoạn, lụt lội phá hỏng hệ thống phần cứng, hệ thống lu giữ số liệu, dẫn đến xâm phạm tính toàn vẹn sẵn sàng hệ thống Các lỗi phần cứng hay phần mềm dẫn đến việc áp dụng sách an toàn không đúng, từ cho phép truy nhập, đọc, sửa đổi liệu trái phép, từ chối dịch vụ ngời dùng hợp pháp Các sai phạm vô ý ngời gây ra, chẳng hạn nh nhập liệu đầu vào không xác, hay sử dụng ứng dụng không đúng, hậu tơng tự nh nguyên nhân lỗi phần mềm hay lỗi kỹ thuật gây Những xâm phạm liên quan đến hai lớp ngời dùng sau: Ngời dùng đợc phép ngời lạm dụng quyền, sử dụng vợt quyền hạn đợc phép họ Đối phơng ngời, hay nhóm ngời truy nhập thông tin trái phép, ngời nằm tổ chức hay bên tổ chức Họ tiến hành hành vi phá hoại phần mềm sở liệu hay phần cứng hệ thống, đọc ghi liệu trái phép Trong hai trờng hợp trên, họ thực với chủ ý rõ ràng 3.2 Các yêu cầu bảo vệ sở liệu Bảo vệ sở liệu khỏi hiểm hoạ, có nghĩa bảo vệ tài nguyên, đặc biệt liệu khỏi thảm hoạ, truy nhập trái phép Các yêu cầu bảo vệ sở liệu gồm: Bảo vệ chống truy nhập trái phép Đây vấn đề bản, bao gồm trao quyền truy nhập sở liệu cho ngời dùng hợp pháp Yêu cầu truy nhập ứng dụng, ngời dùng phải đợc DBMS kiểm tra Kiểm soát truy nhập sở liệu phức tạp kiểm soát truy nhập file Việc kiểm soát cần tiến hành đối tợng liệu mức thấp mức file (chẳng hạn nh ghi, thuộc tính giá trị) Dữ liệu sở liệu thờng có quan hệ với ngữ nghĩa, cho phép ngời sử dụng biết đợc giá trị liệu mà không cần truy nhập trực tiếp, cách suy diễn từ giá trị đà biết Bảo vệ chống suy diễn Suy diễn khả có đợc thông tin bí mật từ thông tin không bí mật Đặc biệt, suy diễn ảnh hởng tới sở liệu thống kê, ngời dùng không đợc phép dò xét thông tin cá thể khác từ liệu thống kê Bảo vệ toàn vẹn sở liệu Yêu cầu bảo vệ sở liệu khỏi truy nhập trái phép mà dẫn đến việc thay đổi nội dung liệu Các lỗi, virus, hỏng hóc hệ thống gây hỏng liệu DBMS đa dạng bảo vệ này, thông qua kiểm soát đắn hệ thống, thủ tục lu, phục hồi thủ tục an toàn đặc biệt Để trì tính tơng thích sở liệu, giao tác phải đơn vị tính toán tin cậy tơng thích Hệ thống khôi phục (recovery system) sử dụng nhật ký Với giao tác, nhật ký ghi lại phép toán đà đợc thực liệu (chẳng hạn nh read, write, delete, insert), nh phép toán điều khiển giao tác (chẳng hạn nh commit, abort), giá trị cũ ghi kéo theo Hệ thống phục hồi đọc file nhật ký để xác định giáo tác bị huỷ bỏ giao tác cần phải thực lại Huỷ giao tác có nghĩa phục hồi lại giá trị cũ phép toán ghi kéo theo Thực lại giao tác có nghĩa cập nhật giá trị phép toán vào ghi kéo theo Các thủ tục an toàn đặc biệt bảo vệ liệu không bị truy nhập trái phép Xây dựng mô hình, thiết kế thực thủ tục mục tiêu an toàn sở liệu Toàn vẹn liệu thao tác Yêu cầu đảm bảo tính tơng thích lôgíc liệu có nhiều giao tác thực đồng thời Bộ quản lý tơng tranh DBMS đảm bảo tính chất khả cô lập giao tác Khả có nghĩa kết việc thực đồng thời tập hợp giao tác giống với việc thực giao tác Tính cô lập để độc lập giao tác, tránh đợc hiệu ứng Domino, việc huỷ bỏ giao tác dẫn đến việc huỷ bỏ giao tác khác (theo kiểu thác đổ) Vấn đề đảm bảo truy nhập đồng thời vào thực thể liệu, từ giao tác khác nhau, nhng không làm ảnh hởng đến tính tơng thích liệu, đợc giải kỹ thuật khoá Các kỹ thuật khoá giải phóng khoá đợc thực theo nguyên tắc: khoá mục liệu khoảng thời gian cần thiết để thực phép toán giải phóng khoá phép toán đà hoàn tất Tuy nhiên kỹ thuật không đảm bảo tính khả Nhợc điểm đợc khắc phục cách sử dụng kỹ thuật khoá hai pha Toàn vẹn ngữ nghĩa liệu Yêu cầu đảm bảo tính tơng thích lôgíc liệu bị thay đổi, cách kiểm tra giá trị liệu có nằm khoảng cho phép hay không Các hạn chế (trên giá trị liệu) đợc biểu diễn nh ràng buộc toàn vẹn Các ràng buộc đợc xác định toàn sở liệu cho số giao tác Khả lu vết kiểm tra Yêu cầu bao gồm khả ghi lại truy nhập tới liệu (với phép toán read write) Khả kiểm tra lu vết đảm bảo tính toàn vẹn liệu vật lý trợ giúp cho việc phân tích dÃy truy nhập vào sở liệu Xác thực ngời dùng Yêu cầu thực cần thiết để xác định tính ngời dùng Định danh ngời dùng làm sở cho việc trao quyền Ngời dùng đợc phép truy nhập liệu, hệ thống xác định đợc ngời dùng hợp pháp 10 Quản lý bảo vệ liệu nhạy cảm Có sở liệu chứa nhiều liệu nhạy cảm (là liệu không nên đa công bố công khai) Có sở liệu chứa liệu nhạy cảm, chẳng hạn nh liệu quân sự, có sở liệu mang tính công cộng, chẳng hạn nh sở liệu th viện Các sở liệu bao gồm thông tin nhạy cảm thông tin thờng cần phải có sách quản lý phức tạp Một mục liệu nhạy cảm chúng đợc ngời quản trị sở liệu (DBA) khai báo nhạy cảm Kiểm soát truy nhập vào sở liệu bao hàm: bảo vệ tính tin cậy liệu nhậy cảm cho phép ngời dùng hợp pháp truy nhập vào Những ngời dùng đợc trao số quyền thao tác liệu không đợc phép lan truyền chóng Do vËy, ng−êi dïng cã thĨ truy nhËp vµo tập liệu nhạy cảm Bảo vệ nhiều mức Bảo vệ nhiều mức bao gồm tập hợp yêu cầu bảo vệ Thông tin đợc phân loại thành nhiều mức khác nhau, ví dụ sở liệu quân cần đợc phân loại chi tiết (mịn hơn) sở liệu thông thờng, có nhiều mức nhạy cảm khác Mục đích bảo vệ nhiều mức phân loại mục thông tin khác nhau, đồng thời phân quyền cho mức truy nhập khác vào mục riêng biệt Một yêu cầu bảo vệ nhiều mức khả gán mức cho thông tin Sự hạn chế Mục đích việc hạn chế tránh chuyển thông tin không mong muốn chơng trình hệ thống, ví dụ chuyển liệu quan trọng tới chơng trình thẩm quyền Các kênh đợc phép cung cấp thông tin thông qua hoạt động đợc phép, nh soạn thảo hay biên dịch file Kênh nhớ vùng nhớ, nơi chơng trình lu giữ liệu, chơng trình khác đọc liệu Kênh ngầm kênh truyền thông dựa việc sử dụng tài nguyên mà ý định truyền thông tiến trình hệ thống Kiểm soát an toàn 11 Có thể bảo vệ đợc sở liệu thông qua phơng pháp an toàn sau: Kiểm soát luồng Kiểm soát suy diễn Kiểm soát truy nhập Với kiểm soát này, kỹ thuật mật mà đợc đa vào để mà hoá liệu với khoá mà bí mật Thông qua kỹ thuật này, bí mật thông tin đợc bảo đảm, cách tạo liệu mà nhìn đợc nhng ngời dùng hợp pháp hiểu đợc 4.1 Kiểm soát luồng Các kiểm soát luồng điều chỉnh phân bố luồng thông tin đối tợng có khả truy nhập Một luồng đối tợng X đối tợng Y xuất có lệnh đọc (read) giá trị từ X ghi (write) giá trị vào Y Kiểm soát luồng kiểm tra xem thông tin có số đối tợng có chảy vào đối tợng có mức bảo vệ thấp hay không Các sách kiểm soát luồng cần phải luồng đợc chấp nhận, phải điều chỉnh Thông thờng, kiểm soát luồng ngời ta phải tính đến việc phân loại phần tử hệ thống, đối tợng chủ thể Các phép toán đợc phép (read write) dựa quan hệ lớp Phép toán read đối tợng có mức bảo vệ cao bị kiểm soát nhiều Kiểm soát luồng ngặn chặn việc chuyển thông tin vào mức dễ truy nhập Vấn đề sách kiểm soát luồng đợc giải cách xác định phép toán cho phép chuyển thông tin tới mức thấp mà giữ nguyên đợc mức nhạy cảm đối tợng 4.2 Kiểm soát suy diễn Kiểm soát suy diễn nhằm mục đích bảo vệ liệu không bị khám phá gián tiếp Kênh suy diễn kênh mà ngời dùng tìm thấy mục liệu X, sau sử dụng X để suy mục liệu Y, thông qua Y=f(X) Các kênh suy diễn hệ thống là: 12 (1) Truy nhập gián tiếp: điều xảy ngời (không đợc trao quyền) khám phá liệu Y thông qua câu hỏi truy vấn đợc phép liệu X, với điều kiện Y (2) Dữ liệu tơng quan: Dữ liệu tơng quan kênh suy diễn đặc trng, xảy liệu nhìn thấy đợc X liệu nhìn thấy đợc Y kết nối với mặt ngữ nghĩa Kết khám phá đợc thông tin Y nhờ đọc X (3) Thiếu liệu: Kênh thiếu liệu kênh suy diễn mà qua đó, ngời dùng biết đợc tồn tập giá trị X Đặc biệt, ngời dùng tìm đợc tên đối tợng, họ không đợc phép truy nhập vào thông tin chứa Suy diễn thống kê khía cạnh khác suy diễn liệu Trong sở liệu thống kê, ngời dùng không đợc phép truy nhập vào liệu đơn lẻ, đợc phép truy nhập vào liệu thông qua hàm thống kê Tuy nhiên với ngời cã kinh nghiƯm, vÉn cã thĨ kh¸m ph¸ đợc liệu thông qua thống kê 4.3 KiĨm so¸t truy nhËp KiĨm so¸t truy nhËp c¸c hệ thống thông tin đảm bảo truy nhập trực tiếp vào đối tợng hệ thống tuân theo kiểu quy tắc đà đợc xác định sách bảo vệ Một hệ thống kiểm soát truy nhập (hình 2) bao gồm chủ thể (ngời dùng, tiến trình) truy nhập vào đối tợng (dữ liệu, chơng trình) thông qua phép toán read, write, run Truy nhập bị từ chối Yêu cầu truy nhập Truy nhập đợc phép Các thủ tục kiểm soát Sửa đổi yêu cầu Các sách an toàn Các quy tắc truy nhập 13 Hình Hệ thống kiểm soát truy nhập Xét mặt chức năng, bao gồm hai thành phần: 1) Tập sách quy tắc truy nhập: bao gồm thông tin chế độ truy nhập mà chủ thể có đợc truy nhập đối tợng 2) Tập thủ tục kiểm soát (các kỹ thuật an toàn): Kiểm tra câu hỏi (các yêu cầu truy nhập) dựa vào quy tắc đà đợc xác định (quá trình phê chuẩn câu hỏi); câu hỏi đợc phép, bị từ chối bị sửa đổi Các sách an toàn Chính sách an toàn hệ thống hớng dẫn mức cao, có liên quan đến việc thiết kế quản lý hệ thống trao quyền Nhìn chung, chúng biểu diễn lựa chọn nhằm đảm bảo mục tiêu an toàn liệu Chính sách an toàn định nghĩa nguyên tắc, quy định truy nhập đợc trao bị từ chối Các quy tắc trao quyền (quy tắc truy nhập) biểu diễn sách an toàn; Chúng định hành vi hệ thống thời gian chạy Các sách an toàn nên xác định: làm để quản lý đợc tập quy tắc quyền (chèn sửa đổi) Sau ví dụ sách an toàn Trong vấn đề giới hạn truy nhập, câu hỏi đặt "Mỗi chủ thể có đợc phép truy nhập thông tin" Chúng ta có hai sách sau đây: 1) Chính sách đặc quyền tối tiểu: đợc gọi sách "cần - để - biết" (need-to-know) Theo sách này, chủ thể hệ thống nên sử dụng lợng thông tin tối thiểu cần cho hoạt động chúng Đôi khi, việc ớc tính lợng thông tin tối thiểu khó Điểm hạn chế sách đa hạn chế lớn vô ích chủ thể vô hại 2) Chính sách đặc quyền tối đa: dựa vào nguyên tắc "khả sẵn sàng tối đa" liệu, mức độ chia xẻ cực đại Chính sách phù hợp với môi trờng (chẳng hạn nh trờng đại học, trung tâm nghiên cứu), việc bảo vệ nghiêm ngặt nơi thực không cần thiết, yêu cầu độ tin cậy ngời dùng trao đổi liệu 14 Trong mét hÖ thèng khÐp kÝn, chØ cho phÐp truy nhập đợc phép Trong hệ thống mở, cho phép truy nhập không bị cấm Chính sách hệ thống khép kín rõ, với chủ thể: quy tắc trao quyền có xác định đặc quyền truy nhập mà chủ thể có đợc đối tợng hệ thống Đây quyền mà chủ thể đợc trao, thông qua chế kiểm soát Chính sách hệ thống mở rõ, chủ thể: quy tắc trao quyền có xác định đặc quyền mà chủ thể không nắm giữ đối tợng hệ thống Đây quyền mà chủ thể bị từ chối, thông qua chế kiểm soát Khi việc định dựa vào chiến lợc an toàn, lựa chọn phụ thuộc vào đặc điểm yêu cầu môi trờng, ngời dùng, ứng dụng,.v.v Một hệ thống khép kín tuân theo sách đặc quyền tối thiểu, hệ thống mở tuân theo sách đặc quyền tối đa Việc bảo vệ hệ thống khép kín cao Các lỗi (chẳng hạn nh quy tắc thiếu) từ chối truy nhập đợc phép, nhng điều không gây thiệt hại, ngợc lại hệ thống mở, điều dẫn đến việc trao truy nhập trái phép Các hệ thống khép kín cho phép đánh giá tình trạng trao quyền dễ dàng hơn, đặc quyền ngời dùng nắm giữ, vậy, kiểu hệ thống thờng đợc lựa chọn nhiều Tuy nhiên, việc chọn lựa phụ thuộc vào dạng môi trờng yêu cầu bảo vệ Các kiểm soát truy nhập (tùy thuộc vào sách hệ thống khép kín mở) đợc minh hoạ hình 15 Yêu cầu truy nhập Có quy tắc cho phép truy nhập? Không Có Truy nhập đợc phép Các quy tắc: truy nhập đợc phép Truy nhập bị từ chối Hình Kiểm soát truy nhập c¸c hƯ thèng khÐp kÝn Trong mét hƯ thèng an toàn, việc định nghĩa sách quản lý quyền xác định "ai" trao quyền hủ bá qun truy nhËp ViƯc trao vµ hủ bá lúc thuộc quyền ngời trao quyền nhân viên an ninh Đôi khi, việc quản lý trao quyền đòi hỏi tham gia nhiều ngời khác Đây đặc thù hệ thống phân tán, hệ thống cục khác thờng đợc quản lý tự trị Điều xảy hệ thông tin lớn, sở liệu đợc phân hoạch lôgíc thành sở liệu khác nhau, phần đợc DBA địa phơng quản lý Yêu cầu truy nhập 16 Có quy tắc từ chối truy nhập? Các quy tắc: truy nhËp bÞ cÊm ... bảo tính liên tục tin cậy hệ thống, bảo vệ liệu chơng trình không bị xâm nhập, sửa đổi, đánh cắp tiết lộ thông tin trái phép An toàn thông tin sở liệu An toàn thông tin sở liệu bao gồm yếu tố... bố công khai) Có sở liệu chứa liệu nhạy cảm, chẳng hạn nh liệu quân sự, có sở liệu mang tính công cộng, chẳng hạn nh sở liệu th viện Các sở liệu bao gồm thông tin nhạy cảm thông tin thờng cần phải... an toàn .99 Các yêu cầu thiết kÕ 99 KiÕn tróc 10 0 Thùc hiÖn 10 1 Tho¶ thuËn .10 4 Chơng trình thử nghiệm 10 7 Tæng quan an ton thông tin sở