19/09/2013 An toàn bảo mật HTTT Chương Điều khiển truy cập vào hệ thống, ứng dụng Truy cập liệu (Tham khảo thêm slides FPT Polytechnique) © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Mục tiêu Mô tả vai trò điều khiển truy nhập việc xây dựng sách bảo mật cho hệ thống thơng tin Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 19/09/2013 Nội dung Khái niệm điều khiển truy cập Các mơ hình điều khiển truy cập Các cơng nghệ xác thực nhận dạng người dùng Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page Điều khiển truy cập Cấp phép từ chối phê duyệt sử dụng tài nguyên biết Cơ chế hệ thống thông tin cho phép hạn chế truy cập đến liệu thiết bị Bốn mơ hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 19/09/2013 Định nghĩa Điều khiển truy cập quy trình bảo vệ nguồn lực (resource) để đảm bảo nguồn lực sử dụng đối tượng cấp phép Nhằm ngăn cản việc sử dụng trái phép Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page Các thuật ngữ Cấp phép (authorization) nhằm đảm bảo kiểm soát truy nhập tới hệ thống, ứng dụng liệu Nhận diện: Xuất trình ủy quyền • Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Xác thực (chứng thực): Kiểm tra, xác minh ủy quyền • Ví dụ: kiểm tra thẻ người vận chuyển hàng Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3 19/09/2013 Các thuật ngữ (tiếp) Đối tượng: Tài nguyên cụ thể • Ví dụ: file thiết bị phần cứng Chủ thể: Người dùng trình hoạt động đại diện cho người dùng • Ví dụ: người dùng máy tính Thao tác: Hành động chủ thể gây đối tượng • Ví dụ: xóa file Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page Các bước điều khiển truy cập Hành động Mô tả Ví dụ tình Q trình máy tính Nhận diện Xem xét ủy quyền Người vận chuyển hàng xuất trình thẻ nhân viên Người dùng nhập tên đăng nhập Xác thực Xác minh ủy Mia đọc thông tin Người dùng cung quyền có thực thẻ để xác định cấp mật xác hay khơng thơng tin có thực hay khơng Ủy quyền Cấp quyền cho phép Mia mở cửa cho phép người vận chuyển hàng vào Người dùng đăng nhập hợp lệ Truy cập Quyền phép truy cập tới tài nguyên xác định Người dùng phép truy cập tới liệu cụ thể Người vận chuyển hàng lấy hộp cạnh cửa 19/09/2013 Các vai trò điều khiển truy cập Vai trị Mơ tả Trách nhiệm Ví dụ Chủ sở hữu Người chịu trách nhiệm thông tin Xác định mức bảo mật cần thiết liệu giao phó nhiệm vụ bảo mật cần Xác định người quản lý quan đọc file SALARY.XLSX Người giám sát Cá nhân mà hành động thường ngày chủ sở hữu quy định Thường xuyên rà soát thiết lập bảo mật trì ghi truy cập người dùng Thiết lập rà soát thiết lập bảo mật cho file SALARY.XLSX Người dùng Người truy cập thông tin phạm vi trách nhiệm giao phó Tuân thủ dẫn bảo mật tổ chức không cố ý vi phạm bảo mật Mở file SALARY.XSLX Các vai trò điều khiển truy cập 19/09/2013 Các mơ hình điều khiển truy cập Các tiêu chuẩn cung cấp tảng sở (framework) định trước cho nhà phát triển phần cứng phần mềm Được sử dụng để thực thi điều khiển truy cập thiết bị ứng dụng Người giám sát cấu hình bảo mật dựa yêu cầu chủ sở hữu Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page Các mô hình điều khiển truy cập Bốn mơ hình điều khiển truy cập Điều khiển truy cập bắt buộc Mandatory Access Control - MAC Điều khiển truy cập tùy ý Discretionary Access Control - DAC Điều khiển truy cập dựa vai trò Role Based Access Control - RBAC Điều khiển truy cập dựa quy tắc Rule Based Access Control - RBAC Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 19/09/2013 Điều khiển truy cập bắt buộc MAC Điều khiển truy cập bắt buộc • Là mơ hình điều khiển truy cập nghiêm ngặt • Thường bắt gặp thiết lập quân đội • Hai thành phần: Nhãn Cấp độ Mơ hình MAC cấp quyền cách đối chiếu nhãn đối tượng với nhãn chủ thể • Nhãn cho biết cấp độ quyền hạn Để xác định có mở file hay khơng: • So sánh nhãn đối tượng với nhãn chủ thể • Chủ thể phải có cấp độ tương đương cao đối tượng cấp phép truy cập Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Điều khiển truy cập bắt buộc – MAC (tiếp) Hai mơ hình thực thi MAC • Mơ hình mạng lưới (Lattice model) • Mơ hình Bell-LaPadula Mơ hình mạng lưới • Các chủ thể đối tượng gán “cấp bậc” mạng lưới • Nhiều mạng lưới đặt cạnh Mơ hình Bell-LaPadula • Tương tự mơ hình mạng lưới • Các chủ thể tạo đối tượng hay thực số chức định đối tượng có cấp thấp Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 19/09/2013 Điều khiển truy cập bắt buộc – MAC (tiếp) Ví dụ việc thực thi mơ hình MAC • Windows 7/Vista có bốn cấp bảo mật • Các thao tác cụ thể chủ thể phân hạng thấp phải phê duyệt quản trị viên Hộp thoại User Account Control (UAC) Windows Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Điều khiển truy cập tùy quyền (DAC) Điều khiển truy cập tùy ý (DAC) • Mơ hình hạn chế • Mọi đối tượng có chủ sở hữu • Chủ sở hữu có tồn quyền điều khiển đối tượng họ • Chủ sở hữu cấp quyền đối tượng cho chủ thể khác • Được sử dụng hệ điều hành Microsoft Windows hầu hết hệ điều hành UNIX Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 19/09/2013 Điều khiển truy cập tùy quyền (DAC) (tiếp) Nhược điểm DAC • Phụ thuộc vào định người dùng để thiết lập cấp độ bảo mật phù hợp o Việc cấp quyền khơng xác • Quyền chủ thể “thừa kế” chương trình mà chủ thể thực thi • Trojan vấn đề đặc biệt DAC Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 19/09/2013 Điều khiển truy cập dựa vai trò (RBAC) Điều khiển truy cập dựa vai trò (Role Based Access Control – RBAC) • Cịn gọi Điều khiển Truy cập khơng tùy ý • Quyền truy cập dựa chức công việc RBAC gán quyền cho vai trò cụ thể tổ chức • Các vai trị sau gán cho người dùng Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Điều khiển truy cập dựa quy tắc Điều khiển truy cập dựa quy tắc (Rule Based Access Control - RBAC) • Tự động gán vai trò cho chủ thể dựa tập quy tắc người giám sát xác định • Mỗi đối tượng tài nguyên chứa thuộc tính truy cập dựa quy tắc • Khi người dùng truy cập tới tài nguyên, hệ thống kiểm tra quy tắc đối tượng để xác định quyền truy cập • Thường sử dụng để quản lý truy cập người dùng tới nhiều hệ thống o Những thay đổi doanh nghiệp làm cho việc áp dụng quy tắc thay đổi Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 10 19/09/2013 Thực thi điều khiển truy cập Danh sách điều khiển truy cập (Access Control List - ACL) Chính sách nhóm (Group Policy) Giới hạn tài khoản Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Danh sách điều khiển truy cập Tập quyền gắn với đối tượng Xác định chủ thể truy cập tới đối tượng thao tác mà chủ thể thực Khi chủ thể yêu cầu thực thao tác: • Hệ thống kiểm tra danh sách điều khiển truy cập mục duyệt Danh sách điều khiển truy cập thường xem xét mối liên hệ với file hệ điều hành Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 15 19/09/2013 File chứa quyền truy cập Unix Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Danh sách điều khiển truy cập (tiếp) Mỗi mục bảng danh sách điều khiển truy cập gọi mục điều khiển (ACE) Cấu trúc ACE (trong Windows) • Nhận dạng bảo mật (Access identifier) cho tài khoản người dùng tài khoản nhóm phiên đăng nhập • Mặt nạ truy cập (access mask) xác định quyền truy cập ACE điều khiển • Cờ (Flag) cho biết kiểu ACE • Tập cờ (Set of flags) xác định đối tượng kế thừa quyền hay không Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 16 19/09/2013 Chính sách nhóm Tính Microsoft Windows • Cho phép sử dụng Active Directory (AD) để quản lý cấu hình tập trung cho máy tính người dùng từ xa • Thường sử dụng mơi trường doanh nghiệp • Các thiết lập lưu trữ GPO (Group Policy Objects – Đối tượng sách nhóm) Local Group Policy • • Có tùy chọn so với Group Policy Được sử dụng để cấu hình thiết lập cho hệ thống phần AD Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Giới hạn tài khoản Giới hạn thời gian ngày (time of day restriction) • Giới hạn số lần người dùng đăng nhập vào hệ thống ngày • Cho phép chọn khối thời gian chặn truy cập cho phép • Có thể thiết lập hệ thống riêng lẻ Hạn sử dụng tài khoản (account expiration) • Các tài khoản “mồ côi” (orphaned account): tài khoản hoạt động sau nhân viên rời khỏi tổ chức • Tài khoản khơng hoạt động (dormant account): khơng truy cập khoảng thời gian dài • Cả hai kiểu tài khoản nguy bảo mật Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 17 19/09/2013 Giới hạn thời gian ngày hệ điều hành Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Giới hạn điểm truy cập không dây Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 18 19/09/2013 Giới hạn tài khoản (tiếp) Các khuyến cáo xử lý tài khoản “mồ cơi” tài khoản “ngủ đơng” • Thiết lập qui trình thức • Chấm dứt truy cập • Quản lý nhật ký (file log) Các tài khoản “mồ côi” vấn đề nan giải đối tổ chức Account expiration (thời gian hiệu lực tài khoản) • Thiết lập hết hạn cho tài khoản người dùng (hết hiệu lực) Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Giới hạn tài khoản (tiếp) Password expiration (thời gian hiệu lực mật khẩu) thiết lập khoảng thời gian mà người dùng phải thay đổi mật • Khác với account expiration (thời gian hiệu lực tài khoản) Account expiration thiết lập số ngày mà người dùng khơng có hành động truy cập Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com 19 19/09/2013 CÁC DỊCH VỤ XÁC THỰC Kịch Xác định phương pháp điều khiển truy cập cho hệ thống mạng Bộ Quốc Phịng Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 20 ... điều khiển truy cập Bốn mơ hình điều khiển truy cập Điều khiển truy cập bắt buộc Mandatory Access Control - MAC Điều khiển truy cập tùy ý Discretionary Access Control - DAC Điều khiển truy. .. sử dụng để quản lý truy cập người dùng tới nhiều hệ thống Các cách thực hay điều khiển truy cập Thiết lập thủ tục tối ưu để hạn chế truy cập • Có thể giúp đảm bảo an tồn cho hệ thống liệu. .. chủ thể yêu cầu thực thao tác: • Hệ thống kiểm tra danh sách điều khiển truy cập mục duyệt Danh sách điều khiển truy cập thường xem xét mối liên hệ với file hệ điều hành Fundamentals of Information