Nội dung Chương này trình bày các giải pháp được sử dụng để thiết kế một hệ quản trị cơ sở dữ liệu an toàn. Trình bày một số mẫu nghiên cứu và các sản phẩm DBMS an toàn thương mại. Tiếp theo trình bày một giải pháp mang tính phương pháp luận nhằm thiết kế các quy tắc an toàn. 3.1 Giới thiệu 3.2 Thiết kế DBMS an toàn 3.2.1 Các cơ chế an toàn trong các DBMS 3.2.2 Mô hình cấp quyền System R 3.2.3 Các kiến trúc của DBMS an toàn 3.2.4 Thiết kế các cơ sở dữ liệu an toàn 3.2.4.1 Giai đoạn phân tích sơ bộ 3.2.4.2 Giai đoạn phân tích yêu cầu và chọn lựa chính sách an toàn 3.2.4.3 Giai đoạn thiết kế khái niệm 3.2.4.4 Giai đoạn thiết kế logic 3.2.4.5 Giai đoạn thiết kế vật lý 3.2.4.6 Việc thực hiện của các cơ chế an toàn 3.2.4.7 Việc kiểm tra và thử nghiệm 3.1 Giới thiệu Sau khi đã biết các khái niệm về an toàn cơ sở dữ liệu vật lý, trình bày các mô hình an toàn thông thường, khảo sát các kỹ thuật an toàn cơ sở ở mức hệ điều hành và miêu tả các tính năng của các gói phần mềm an toàn. An toàn cơ sở dữ liệu lôgíc giải quyết các vấn đề an toàn (tính bí mật và toàn vẹn) thông qua một bộ các quy tắc nhằm thiết lập các truy nhập hợp pháp vào thông tin và tài nguyên của cơ sở dữ liệu. Các quy tắc này phải được định nghĩa chính xác và dựa trên cơ sở (hay tuân theo) các yêu cầu và chính sách an toàn của tổ chức, tránh các mâu thuẫn và các lỗi có thể là các điểm yếu dễ bị tấn công của hệ thống. An toàn lôgíc phải được coi là một phần bên trong của hệ thống an toàn toàn cục của tổ chức. Thiết kế lôgíc của một hệ thống an toàn có nghĩa là thiết kế phần mềm an toàn và các quy tắc an toàn. Phần mềm an toàn bao gồm các bó chương trình an toàn, chẳng hạn như các hệ điều hành an toàn, các DBMS an toàn và các thủ tục an toàn phi thể thức. Thiết kế phải tận dụng được các chuẩn an toàn hiện có. Các quy tắc an toàn phải được định nghĩa chính xác và thích ứng, đáp ứng được các yêu cầu khác nhau của người sử dụng và đảm bảo tính bí mật và toàn vẹn của một hệ thống. Thêm vào đó, việc thiết kế các quy tắc an toàn phải phù hợp với các hoạt động thiết kế cơ sở dữ liệu. Các quy tắc an toàn đối với một cơ sở dữ liệu ngày càng phức tạp hơn, nó không chỉ đơn thuần là các danh sách kiểm soát truy nhập, hoặc các bảng biểu đơn giản. Trong thực tế, cơ sở của các quy tắc an toàn có thể được xem như là một cơ sở dữ liệu. Nói chung, các giai đoạn phân tích, thiết kế khái niệm, thực hiện thiết kế chi tiết, thử nghiệm và duy trì cũng được áp dụng khi phát triển hệ thống an toàn. Mục đầu tiên của phần này trình bày các giải pháp được sử dụng để thiết kế DBMS an toàn; Trình bày một số mẫu nghiên cứu và các sản phẩm DBMS an toàn thương mại; Tiếp theo trình bày một giải pháp mang tính phương pháp luận nhằm thiết kế các quy tắc an toàn.
CHƯƠNG THIẾT KẾ AN TOÀN CƠ SỞ DỮ LIỆU Nội dung Chương trình bày giải pháp sử dụng để thiết kế hệ quản trị sở liệu an toàn Trình bày số mẫu nghiên cứu sản phẩm DBMS an toàn thương mại Tiếp theo trình bày giải pháp mang tính phương pháp luận nhằm thiết kế quy tắc an toàn 3.1 Giới thiệu 3.2 Thiết kế DBMS an toàn 3.2.1 Các chế an toàn DBMS 3.2.2 Mô hình cấp quyền System R 3.2.3 Các kiến trúc DBMS an toàn 3.2.4 Thiết kế sở liệu an toàn 3.2.4.1 Giai đoạn phân tích sơ 3.2.4.2 Giai đoạn phân tích yêu cầu chọn lựa sách an toàn 3.2.4.3 Giai đoạn thiết kế khái niệm 3.2.4.4 Giai đoạn thiết kế logic 3.2.4.5 Giai đoạn thiết kế vật lý 3.2.4.6 Việc thực chế an toàn 3.2.4.7 Việc kiểm tra thử nghiệm 64 3.1 Giới thiệu Sau biết khái niệm an toàn sở liệu vật lý, trình bày mô hình an toàn thông thường, khảo sát kỹ thuật an toàn sở mức hệ điều hành miêu tả tính gói phần mềm an toàn An toàn sở liệu lôgíc giải vấn đề an toàn (tính bí mật toàn vẹn) thông qua quy tắc nhằm thiết lập truy nhập hợp pháp vào thông tin tài nguyên sở liệu Các quy tắc phải định nghĩa xác dựa sở (hay tuân theo) yêu cầu sách an toàn tổ chức, tránh mâu thuẫn lỗi điểm yếu dễ bị công hệ thống An toàn lôgíc phải coi phần bên hệ thống an toàn toàn cục tổ chức Thiết kế lôgíc hệ thống an toàn có nghĩa thiết kế phần mềm an toàn quy tắc an toàn Phần mềm an toàn bao gồm bó chương trình an toàn, chẳng hạn hệ điều hành an toàn, DBMS an toàn thủ tục an toàn phi thể thức Thiết kế phải tận dụng chuẩn an toàn có Các quy tắc an toàn phải định nghĩa xác thích ứng, đáp ứng yêu cầu khác người sử dụng đảm bảo tính bí mật toàn vẹn hệ thống Thêm vào đó, việc thiết kế quy tắc an toàn phải phù hợp với hoạt động thiết kế sở liệu Các quy tắc an toàn sở liệu ngày phức tạp hơn, không đơn danh sách kiểm soát truy nhập, bảng biểu đơn giản Trong thực tế, sở quy tắc an toàn xem sở liệu Nói chung, giai đoạn phân tích, thiết kế khái niệm, thực thiết kế chi tiết, thử nghiệm trì áp dụng phát triển hệ thống an toàn Mục phần trình bày giải pháp sử dụng để thiết kế DBMS an toàn; Trình bày số mẫu nghiên cứu sản phẩm DBMS an toàn thương mại; Tiếp theo trình bày giải pháp mang tính phương pháp luận nhằm thiết kế quy tắc an toàn Thiết kế DBMS an toàn 65 Cơ sở liệu tập hợp liệu tổ chức quản lý thông qua phần mềm xác định, DBMS Việc đảm bảo an toàn sở liệu thông qua kỹ thuật hai mức DBMS OS Khi thực yêu cầu an toàn, DBMS khai thác chức an toàn bắt buộc mức OS Nói riêng, chức quản lý I/O quản lý tài nguyên chia sẻ chứng minh tính an toàn môi trường DBMS Tuy nhiên, chức an toàn DBMS không nên bị coi mở rộng chức OS sở Các mối quan tâm khác an toàn OS DBMS liệt kê sau đây: • Độ chi tiết đối tượng (Object granularity): Trong OS, độ chi tiết mức tệp (file), thiết bị Trong DBMS , chi tiết (ví dụ như: quan hệ, hàng, cột, trường) • Các tương quan ngữ nghĩa liệu (Semantic correlations among data): Dữ liệu sở liệu có ngữ nghĩa liên quan với thông qua quan hệ ngữ nghĩa Do vậy, nên tuân theo kiểu kiểm soát truy nhập khác nhau, tuỳ thuộc vào nội dung đối tượng, ngữ cảnh lược sử truy nhập, để bảo đảm thực xác yêu cầu an toàn liệu • Siêu liệu (Metadata): Siêu liệu tồn DBMS, cung cấp thông tin cấu trúc liệu sở liệu Siêu liệu thường lưu giữ từ điển liệu Ví dụ, sở liệu, siêu liệu mô tả thuộc tính, miền thuộc tính, quan hệ thuộc tính vị trí phân hoạch sở liệu Trong thực tế, siêu liệu cung cấp thông tin nhạy cảm nội dung sở liệu (các kiểu liệu quan hệ) sử dụng phương pháp nhằm kiểm soát truy nhập vào liệu sở Không có mô tả siêu liệu tồn OS • Các đối tượng lôgíc vật lý (Logical and physical objects): Các đối tượng OS đối tượng vật lý (ví dụ: file, thiết bị, nhớ tiến trình) Các đối tượng DBMS đối tượng lôgíc (ví dụ: quan hệ, khung nhìn) Các đối tượng lôgíc DBMS không phụ thuộc vào đối tượng vật lý OS, điều 66 đòi hỏi yêu cầu kỹ thuật an toàn đặc biệt, định hướng cho việc bảo vệ đối tượng sở liệu • Nhiều loại liệu (Multiple data types): Đặc điểm sở liệu có nhiều kiểu liệu, sở liệu yêu cầu nhiều chế độ truy nhập (ví chế độ thống kê, chế độ quản trị) Tại mức OS tồn truy nhập vật lý, bao gồm thao tác file như: đọc, ghi thực • Các đối tượng động tĩnh (Static and dynamic objects): Các đối tượng OS quản lý đối tượng tĩnh tương ứng với đối tượng thực Trong sở liệu, đối tượng tạo động (ví dụ khung nhìn hay kết hỏi đáp) đối tượng thực tương ứng Ví dụ, khung nhìn sở liệu tạo động, quan hệ ảo có nguồn gốc từ quan hệ sở lưu giữ thực tế sở liệu Nên định nghĩa yêu cầu bảo vệ xác định nhằm đối phó với đối tượng động • Các giao tác đa mức (Multilevel transactions): Trong DBMS thường có giao tác liên quan đến liệu mức an toàn khác (ví dụ: select, insert, update, delete), đối tượng sở liệu chứa liệu mức an toàn khác DBMS phải bảo đảm giao tác đa mức thực theo cách an toàn Tại mức OS, đối tượng chứa liệu mức an toàn, có thao tác thực (ví dụ, đọc, ghi, thực hiện), liên quan đến liệu mức an toàn • Thời gian tồn liệu (Data life cycle): Dữ liệu sở liệu có thời gian tồn dài DBMS đảm bảo việc bảo vệ từ đầu đến cuối suốt thời gian tồn liệu Nhưng liệu hệ điều hành thường không lưu trữ cách an toàn 2.1 Các chế an toàn DBMS An toàn liệu quan tâm với việc khám phá sửa đổi trái phép thông tin, chẳng hạn chèn thêm mục liệu, xoá, thay đổi liệu có Một DBMS đòi hỏi nhiều tính nhằm đạt yêu cầu an toàn hệ thống thông tin DBMS đóng vai trò trung tâm 67 xử lý quan hệ phức tạp liệu Một số chức an toàn chủ chốt phải OS cung cấp, ràng buộc an toàn xác định mức ứng dụng lại DBMS xử lý, DBMS cần có khả ngăn chặn ứng dụng khám phá làm hư hại liệu Các yêu cầu an toàn (mà DBMS nên cung cấp) liên quan đến vấn đề sau đây: • Các mức độ chi tiết khác truy nhập (Different degrees of granularity of access): DBMS cần bảo đảm kiểm soát truy nhập với mức độ chi tiết khác nhau, kiểm soát truy nhập tới: quan hệ, cột, hàng, hay mục liệu quan hệ • Các chế độ truy nhập khác (Different access modes): Phải phân biệt kiểm soát truy nhập (ví dụ, người làm công quyền đọc mục liệu không phép ghi lên nó) Trong sở liệu, chế độ truy nhập đưa dạng lệnh SQL (ví dụ: SELECT, INSERT, UPDATE, DELETE) • Các kiểu kiểm soát truy nhập khác (Different types of access controls): Các yêu cầu truy nhập xử lý, cách sử dụng kiểu kiểm soát khác Các kiểm soát phụ thuộc tên (Name-dependent controls) dựa vào tên đối tượng bị truy nhập Các kiểm soát phụ thuộc liệu (Data-dependent controls) thực truy nhập phụ thuộc vào nội dung đối tượng bị truy nhập Các kiểm soát phụ thuộc ngữ cảnh (Context-dependent controls) chấp thuận từ chối truy nhập phụ thuộc vào giá trị số biến hệ thống (ví dụ như: ngày, tháng, thiết bị đầu cuối yêu cầu – vị trí người sử dụng) Các kiểm soát phụ thuộc lược sử (History-dependent controls) quan tâm đến thông tin chuỗi câu truy vấn (ví dụ như: kiểu câu truy vấn, liệu trả lại, profile người dùng yêu cầu, tần suất yêu cầu) 68 Các kiểm soát phụ thuộc kết (Result-dependent controls) thực định truy nhập phụ thuộc vào kết thủ tục kiểm soát hỗ trợ, chúng thủ tục thực thời điểm hỏi Trong sở liệu, kiểm soát truy nhập phụ thuộc liệu thường thực thông qua chế sửa đổi câu truy vấn chế sửa đổi dựa vào khung nhìn Các khung nhìn quan hệ ảo xuất phát từ quan hệ sở (là quan hệ lưu giữ thực sở liệu) khung nhìn khác, tuỳ thuộc vào tiêu chuẩn chọn lựa (tuple) thuộc tính Khi sử dụng kỹ thuật sửa đổi câu truy vấn, câu truy vấn ban đầu (do người sử dụng yêu cầu) bị hạn chế đến mức tuỳ thuộc vào quyền người sử dụng • Quyền động (Dynamic authorization): DBMS nên hỗ trợ việc sửa đổi quyền người sử dụng sở liệu hoạt động Điều tương ứng với nguyên tắc đặc quyền tối thiểu, sửa đổi quyền tuỳ thuộc vào nhiệm vụ người sử dụng • Bảo vệ đa mức (Multilevel protection): Khi yêu cầu, DBMS nên tuân theo bảo vệ đa mức, thông qua sách bắt buộc Các kiểm soát truy nhập bắt buộc (Mandatory access controls) dựa vào nhãn an toàn gán cho đối tượng (là mục liệu) chủ thể (là người sử dụng) Trong môi trường quân sự, nhãn an toàn bao gồm: thành phần phân cấp (hierarchical component) tập rỗng loại không phân cấp (có thể có) DBMS nên cung cấp kỹ thuật để định nghĩa nhãn an toàn gán nhãn cho đối tượng chủ thể Bằng cách sử dụng nhãn an toàn, DBMS nên tuân theo bảo vệ đa mức, nhãn an toàn khác gán cho mục liệu khác đối tượng Ví dụ, sở liệu quan hệ, quan hệ nên có nhãn an toàn cho nó, nhãn an toàn chứa thuộc tính thuộc tính lại có nhãn an toàn chúng (có thể khác với nhãn quan hệ) • Các kênh ngầm (Covert channels): DBMS không nên để người sử dụng thu thông tin trái phép thông qua phương pháp truyền thông gián tiếp 69 • Các kiểm soát suy diễn (Inference controls): Các kiểm soát suy diễn nên ngăn chặn người sử dụng suy diễn dựa vào thông tin mà họ thu sở liệu Trong hệ thống sở liệu, vấn đề suy diễn thường liên quan đến vấn đề tập hợp (aggregation) liên kết liệu (data association) DBMS nên cung cấp cách thức gán mức phân loại để tập hợp thông tin, phản ánh mức nhạy cảm mục liệu gộp Khi đó, thông tin (như mối quan hệ mục liệu, tập hợp mục liệu) nhạy cảm so với mục liệu đơn lẻ, nên chúng cần quản lý cách phù hợp DBMS không nên để người sử dụng (thông qua kiểm soát suy diễn) biết thông tin tích luỹ có mức phân loại mức cao, cách sử dụng mục liệu phân loại mức thấp Trong sở liệu quan hệ, kỹ thuật hạn chế câu truy vấn thường sử dụng để tránh suy diễn Các kỹ thuật sửa đổi câu truy vấn ban đầu, huỷ bỏ câu truy vấn Các kỹ thuật đa thể (polyinstantiation) kiểm toán sử dụng cho mục đích Cuối cùng, kiểu suy diễn đặc biệt xảy sở liệu thống kê, nơi mà người sử dụng không phép suy diễn mục liệu cá nhân từ liệu kiểm toán gộp đưa Người sử dụng thu liệu từ câu truy vấn kiểm toán • Đa thể (polyinstantiation): Kỹ thuật DBMS sử dụng để ngăn chặn suy diễn, cách cho phép sở liệu có nhiều thể cho mục liệu, thể có mức phân loại riêng Trong sở liệu quan hệ có khác với khoá, với mức phân loại khác nhau, ví dụ tồn hàng (được phân loại mức cao) người sử dụng (được phân loại mức thấp) yêu cầu chèn thêm hàng có khoá Điều ngăn chặn người sử dụng (được phân loại mức thấp) suy diễn tồn hàng (được phân loại mức cao) sở liệu • Kiểm toán (Auditing): Các kiện liên quan tới an toàn (xảy hệ thống sở liệu hoạt động) nên ghi lại theo khuôn dạng có cấu trúc, chẳng hạn như: nhật ký hệ thống, vết kiểm toán Các vết kiểm toán hữu ích cho phân tích sau để phát mối đe doạ xảy cho sở liệu Thông tin kiểm toán 70 hữu ích cho kiểm soát suy diễn, nhờ kiểm tra lược sử câu truy vấn người sử dụng đưa ra, để định xem có nên trả lời câu truy vấn hay không, câu truy vấn lại liên quan đến đáp ứng câu truy vấn trước đó, dẫn đến vi phạm suy diễn • Các kiểm soát luồng (Flow controls): Các kiểm soát luồng kiểm tra đích đầu Chúng ta có kiểm soát thông qua truy nhập phép (authorized access) • Không cửa sau (No back door): Truy nhập vào liệu nên xảy thông qua DBMS Phải đảm bảo đường dẫn truy nhập ẩn • Tính chất không thay đổi chế (Uniformity of mechanisms): Nên sử dụng chế chung để hỗ trợ sách khác tất kiểm soát liên quan tới an toàn (các kiểm soát bí mật toàn vẹn) • Hiệu hợp lý (Reasonable performance): Các kiểm soát an toàn làm tăng thời gian hoạt động; Cần tối thiểu hoá để đảm bảo hiệu hệ thống Hơn nữa, có nhiều nguyên tắc cho toàn vẹn thông tin, chúng độc lập với ngữ cảnh DBMS đặc thù ứng dụng Lợi ích nguyên tắc giúp đánh giá sách an toàn hệ thống thông tin xác định • Các giao tác đắn (Well-formed transactions): Nguyên tắc (còn gọi thay đổi có ràng buộc) xác định: sửa liệu thông qua giao tác đắn Độ xác giao tác chứng thực với mức độ đảm bảo Các giao tác chuyển sang chế DBMS để đảm bảo thuộc tính cho giao tác DBMS phải đảm bảo cập nhật phải thực thông qua giao tác, lưu ý sở liệu phải đóng gói DBMS thông qua OS • Người sử dụng xác thực (Authenticated users): Theo nguyên tắc này, không nên cho người sử dụng thực thay đổi trừ định danh họ xác thực xác Việc xác thực người sử dụng thuộc 71 trách nhiệm OS không cần phải lặp lại DBMS Việc xác thực người dùng thường hệ điều hành thực hiện, không cần hệ quản trị phải làm điều Việc xác thực làm sở cho số nguyên tắc khác liệt kê sau (đặc quyền tối thiểu, tách bạch nhiệm vụ, uỷ quyền) • Đặc quyền tối thiểu (Least privilege): Đây nguyên tắc giới hạn người sử dụng làm việc với tập tối thiểu đặc quyền tài nguyên cần thiết để thực nhiệm vụ Đặc quyền tối thiểu chuyển sang chế DBMS cho thao tác "đọc" "ghi" • Tách bạch nhiệm vụ (Separation of duties): Nguyên tắc đưa nhằm hạn chế tối đa cá nhân phá hoại liệu, để đảm bảo toàn vẹn liệu Tách bạch nhiệm vụ gắn liền với kiểm soát chuỗi giao tác Hiện có nhiều chế chúng không thiết kế cho mục đích toàn vẹn, gây số bất tiện • Tính liên tục hoạt động (Continuity of operation): Vấn đề nhận nhiều quan tâm, mặt lý thuyết thực tế, giải pháp dựa sở lặp liệu đề xuất Đối mặt với cố phá hoại vượt tầm kiểm soát tổ chức, nên trì hoạt động hệ thống sau cố xảy (quan tâm đến biện pháp an toàn vật lý) • Dựng lại kiện (Reconstruction of events): Việc dựng lại kiện DBMS phụ thuộc vào vết kiểm toán Việc dựng lại xảy nhiều mức vết khác nhau, nhiều việc khác như: ghi lại lược sử đầy đủ việc sửa đổi giá trị mục liệu, lưu giữ nhận dạng cá nhân thực thay đổi Một vấn đề đặt chất lượng liệu vết kiểm toán phải phù hợp Một số đề xuất gần có sử dụng kỹ thuật hệ chuyên gia để lưu giữ làm sáng tỏ vết kiểm toán • Kiểm tra thực tế (Reality checks): Việc kiểm tra định thể thực tế góp phần trì giá trị liệu xác hệ thống DBMS có trách nhiệm trì khung nhìn thích hợp bên sở liệu, làm sở cho kiểm tra bên 72 • Dễ dàng sử dụng an toàn (Ease of safe use): Cách dễ để điều hành hệ thống phải cách an toàn Điều có nghĩa thủ tục an toàn nên đơn giản, phổ biến, dễ sử dụng • Uỷ quyền (Delegation of authority): Nó quan tâm đến việc gán đặc quyền cho tổ chức, lấy sách làm sở, yêu cầu thủ tục gán phải phản ánh quy tắc tổ chức chúng phải mềm dẻo Việc uỷ quyền phải mềm dẻo để phù hợp với sách; Nói rộng hơn, giải pháp tổ chức đặc thù chuyển sang chế bắt buộc chế tuỳ ý Trong chế tuỳ ý, việc uỷ quyền tuỳ thuộc vào thân chủ thể, trao thu hồi, huỷ bỏ quyền cho người sử dụng khác Việc uỷ quyền tuân theo sách tuỳ ý, hỗ trợ cấp/huỷ bỏ quyền Các đặc quyền đặc biệt nên tồn DBMS, trao quyền đặc biệt cho số lượng hạn chế người sử dụng (có nghĩa đặc quyền quản trị sở liệu) Việc trao quyền cho người sử dụng khác gây số vấn đề, quyền bị huỷ bỏ, thu hồi DBMS nên cung cấp chế cho việc quản lý thu hồi Uỷ quyền khả cần thiết, nhằm phản ánh cấu trúc phân cấp tổ chức nên thực tuân theo quy tắc (đã định nghĩa tổ chức) Uỷ quyền DBMS thường tuân theo lệnh SQL GRANT/REVOKE Nói riêng, quan tâm đến tính toàn vẹn DBMS, nguyên tắc phân nhóm sau: • Nhóm 1: Các giao tác đắn, tính liên tục hoạt động Các nguyên tắc bao trùm hoàn toàn lên chế DBMS • Nhóm 2: Đặc quyền tối thiểu, tách bạch nhiệm vụ, xây dựng lại biến cố uỷ quyền Nhiều chế yêu cầu cho nhóm số giải pháp đầy triển vọng nhằm mở rộng chế DBMS đưa • Nhóm 3: Người sử dụng xác thực, kiểm tra thực tế dễ dàng sử dụng an toàn Xác thực trách nhiệm OS, kiểm tra thực tế tuỳ thuộc vào an toàn tổ chức 2 Mô cấp quyền System R 73 Kết phân tích tập hợp đe doạ dễ xảy với hệ thống, xếp theo quyền ưu tiên Hơn nữa, cần đánh giá khả áp dụng tích hợp sản phẩm thương mại an toàn với chế tại, phát triển chế phi hình thức theo yêu cầu thông qua việc trộn ghép Giai đoạn phương pháp luận thực hay không tuỳ thuộc vào phân tích chi phí/lợi ích có mang lại kết khả quan hay không 3.2.4.2 Phân tích yêu cầu chọn lựa sách an toàn Việc phân tích yêu cầu an toàn việc nghiên cứu đầy đủ xác tất đe doạ xảy với hệ thống Điều cho phép nhà thiết kế xác định yêu cầu an toàn cách xác đầy đủ, tuỳ thuộc vào đòi hỏi bảo vệ thực tế hệ thống Các sở liệu khác có đòi hỏi bảo vệ khác (cho kiểu rủi ro khác nhau) Sự khác xuất phát từ tính nhạy cảm thông tin, tiếp đến luật dự luật có Hơn nữa, hệ thống phân loại thành hệ thống rủi ro cao hệ thống rủi ro thấp, dựa vào yếu tố bản, chẳng hạn mức tương quan liệu, chia sẻ liệu, khả truy nhập liệu, kỹ nhân viên kỹ thuật chọn lựa Tính tương quan (correlation) xảy liệu liên quan lẫn nhau, thay đổi mục liệu kéo theo thay đổi mục liệu khác Tính tương quan xảy thực phép đọc mục liệu, đồng thời biết giá trị mục liệu khác Chia sẻ liệu xảy nhiều ứng dụng (hoặc nhiều người sử dụng ) sử dụng chung mục liệu Nói riêng sở liệu, điều dẫn đến vấn đề tương tranh (concurrency problems), nguyên nhân có nhiều truy nhập đồng thời vào liệu Chia sẻ liệu dẫn đến vấn đề tính toàn vẹn tính bí mật liệu Đối với tính bí mật, nhiều tiến trình (truy nhập vào mục liệu) biết thông tin tiến trình khác chèn vào trước đó, ảnh hưởng đến tính toàn vẹn liệu, sửa đổi liệu không xác (chủ tâm vô ý), điều ảnh hưởng đến tính đắn tiến trình khác chúng sử dụng liệu 96 Tóm lại, hệ thống rủi ro thấp hệ thống liệu phân hoạch cao tiến trình phi tập trung, tránh tình trạng tương quan chia sẻ Thậm chí đưa độ dư thừa liệu Khả truy nhập liệu liên quan đến vấn đề người truy nhập vào liệu với mục đích Chúng ta phải xác định khả truy nhập vào kiểu liệu khác nhau, quan tâm đến khía cạnh khác nhau, chẳng hạn tính riêng tư, tính bí mật, tính tin cậy, quyền quan hệ hợp pháp Thêm vào đó, người sử dụng (người yêu cầu truy nhập vào liệu) nên trao quyền theo cách này, nhằm trợ giúp cho việc phân định trách nhiệm Về khả truy nhập, hệ thống (nơi áp dụng sách liên quan đến tính riêng tư, bí mật phân định trách nhiệm) chứng minh hệ thống rủi ro thấp Các rủi ro tăng dần hệ thống có truy nhập thời gian thực, tất người sử dụng truy nhập vào toàn liệu Số lượng kiểu người sử dụng ảnh hưởng đến việc bảo vệ hệ thống Về khía cạnh đó, công an toàn trở nên thường xuyên người sử dụng lạm dụng quyền họ Hơn nữa, an toàn phụ thuộc vào kỹ thuật chọn lựa Các hệ thống rủi ro thấp sử dụng phần cứng phần mềm chứng nhận, từ nhà cung cấp chứng nhận, sử dụng hệ thống thử nghiệm rộng rãi, số quốc gia chưa có quan chứng thực Trong trình phân tích yêu cầu, cần xác định điểm yếu dễ bị công hệ thống, cách quan tâm đến công dễ xảy (các công chủ ý/vô ý) Các công phổ biến khám phá sửa đổi trái phép liệu, từ chối truy nhập liệu Một hướng tiếp cận mang tính hệ thống sử dụng phân tích đe doạ điểm yếu dễ bị công hệ thống, sau: • Phân tích giá trị (value analysis): Phân tích liệu lưu giữ ứng dụng truy nhập vào liệu này, nhằm xác định mức nhạy cảm chúng Các kiểm soát truy nhập tăng theo mức nhạy cảm liệu • Nhận dạng đe doạ (threat identification): Cần nhận dạng đe doạ điển hình, kỹ thuật xâm nhập (có thể có) ứng dụng khác 97 • Phân tích điểm yếu dễ bị công (vulnerability analysis): Cần nhận dạng điểm yếu hệ thống liên hệ chúng với đe doạ nhận dạng từ trước • Phân tích rủi ro (risk analysis): Đánh giá đe doạ, điểm yếu hệ thống kỹ thuật xâm nhập, dựa vào xâm phạm tính bí mật, tính toàn vẹn hệ thống (chẳng hạn như: khám phá, xử lý trái phép liệu, sử dụng trái phép tài nguyên từ chối dịch vụ) • Ước tính rủi ro (risk evaluation): Cần ước tính khả xảy biến cố không mong muốn, kết hợp với khả phản ứng đối phó hệ thống biến cố • Xác định yêu cầu (requirement definition): Cần xác định yêu cầu an toàn, dựa vào đe doạ (đã ước tính) biến cố không mong muốn, đồng thời dựa vào khả xuất chúng Cần xác định rõ sách bảo vệ, dựa vào yêu cầu bảo vệ nhận dạng Chúng ta cần thực giai đoạn để xác định yêu cầu bảo vệ cho sở liệu, có nghĩa định nghĩa chế độ truy nhập chủ thể vào đối tượng hệ thống Cần định nghĩa lớp người sử dụng, lớp có quyền truy nhập xác định vào sở liệu Chính vậy, liệt kê tập hợp câu phi hình thức - nêu rõ yêu cầu an toàn, chẳng hạn : "Quyền tập trung"; "Các giao tác cập nhật lương phải thiết bị đầu cuối thực hiện"; "Chỉ có nhân viên thị trường phép truy nhập vào thông tin thị trường" Việc lựa chọn sách tuân theo yêu cầu xác định Việc lựa chọn sách an toàn Mục đích sách an toàn là: định nghĩa quyền truy nhập hợp pháp chủ thể vào đối tượng khác hệ thống, thông qua nguyên tắc Các sách an toàn phù hợp với yêu cầu an toàn xác định chọn lựa, định nghĩa chi tiết chế độ truy nhập (ví dụ: đọc, ghi) mà chủ thể (hoặc nhóm) sử dụng đối tượng (hoặc tập hợp đối tượng) Các sách an toàn kết hợp với nhau, nhằm đáp ứng tốt yêu cầu an toàn 98 Để hỗ trợ cho việc chọn lựa sách an toàn, tiêu chuẩn chọn lựa sách gồm có: • Tính bí mật đối nghịch tính toàn vẹn đối nghịch tính tin cậy (secrecy versus integrity versus reliability): Tính bí mật quan trọng nhất, ví dụ môi trường quân sự; Tính toàn vẹn tính tin cậy môi trường thương mại • Chia sẻ tối đa đối nghịch đặc quyền tối thiểu (maximum sharing versus minimum privilege): Tuỳ thuộc vào đặc quyền tối thiểu (cần-để-biết), người sử dụng phép truy nhập vào thông tin cần thiết tối thiểu cho nhiệm vụ họ; Điều thích hợp cho môi trường quân Tuy nhiên, môi trường (giống trung tâm nghiên cứu, trường đại học) nên có sách chia sẻ tối đa với thông tin chia sẻ • Mức độ chi tiết kiểm soát (granularity of control): Thứ nhất, nói đến mức độ chi tiết kiểm soát, người ta muốn nói đến phạm vi kiểm soát, liên quan đến số lượng chủ thể đối tượng bị kiểm soát Chúng ta đạt kiểm soát toàn cục (trên tất thực thể hệ thống) thông qua sách bắt buộc (mandatory policies); Kiểm soát phần (chỉ số thực thể hệ thống) cung cấp thông qua sách tùy ý (discretionary policies) Thứ hai, nói đến mức độ chi tiết kiểm soát, người ta muốn nói đến độ chi tiết đối tượng bị kiểm soát Trong hệ thống nhất, người sử dụng cần có khả truy nhập vào tài nguyên hệ thống; Khi phê chuẩn truy nhập vào thư mục, file mục liệu, hệ thống đa người dùng cần mức chi tiết kiểm soát cao Thứ ba, nói đến mức độ chi tiết kiểm soát, người ta muốn nói đến mức độ điều khiển Trong số hệ thống, việc kiểm soát tất file hệ thống xảy vùng (an toàn đơn giản hoá), có lỗi xảy chúng tập trung vùng Trong hệ thống khác, an toàn phức tạp nhiều, kiểm soát trách nhiệm dàn trải vùng khác hệ thống • Các thuộc tính sử dụng cho kiểm soát truy nhập (attributes used for access control): Các định an toàn dựa thuộc tính chủ 99 thể/đối tượng (còn gọi tân từ), dựa ngữ cảnh yêu cầu truy nhập Các thuộc tính là: vị trí, phân lớp chủ thể/đối tượng, thời gian, trạng thái (hoặc nhiều) biến hệ thống, lược sử truy nhập Các sách an toàn phải lựa chọn, tuỳ thuộc vào nhu cầu kiểm soát • Tính toàn vẹn (integrity): Áp dụng sách mô hình an toàn xác định vào môi trường, tính toàn vẹn mối quan tâm chính, ví dụ môi trường sở liệu • Các quyền ưu tiên (priorities): Mâu thuẫn xảy nguyên tắc (về sách an toàn) tăng; Quyền ưu tiên giải tình trạng Một ví dụ điển hình thành viên nhóm, quyền mang tính cá nhân, liên quan đến thành viên nhóm Các quyền cá nhân có độ ưu tiên cao quyền nhóm; quyền từ chối truy nhập có độ ưu tiên cao quyền khác • Các đặc quyền (privileges): Các đặc quyền truy nhập ra: chủ thể truy nhập vào đối tượng thông qua chế độ (đọc, ghi, xoá, chèn) Các đặc quyền ngầm định phải định nghĩa việc sửa đổi đặc quyền phải định nghĩa Các đặc quyền ngầm định có số lượng xác định chúng phụ thuộc vào sách lựa chọn Ví dụ, không tồn đặc quyền ngầm định cho sách bắt buộc Trong nhiều hệ thống, phép đọc/ghi đặc quyền ngầm định, chúng sách tuỳ ý sử dụng kết hợp với sách bắt buộc Để quản lý đặc quyền, phép trao/thu hồi đặc quyền phải định nghĩa rõ ràng • Quyền (Authority): Một sách phải định nghĩa kiểu vai trò, quyền trách nhiệm khác hệ thống Các vai trò phổ biến người sử dụng, người sở hữu, người quản trị an toàn Ngoài có thêm nhóm người sử dụng, điều thực hữu ích người sử dụng chia sẻ yêu cầu truy nhập thông thường tổ chức (ví dụ, chia sẻ nhiệm vụ thiết kế nhóm phát triển) Một sách phải xác định tiêu chuẩn tổng hợp nhóm, phân chia nhóm phù hợp với môi trường, thành viên cá nhân nhiều nhóm làm để giải mâu thuẫn xảy với đặc quyền cá nhân nắm giữ Các mức kiểm soát truy 100 nhập khác bao gồm: Mức 1- kiểm soát truy nhập hợp lệ mà chủ thể sử dụng đối tượng; Mức 2- kiểm soát truy nhập thông tin (thông tin sử dụng cho kiểm soát truy nhập); Mức 3- thông tin (thông tin định nghĩa người truy nhập vào thông tin sử dụng cho kiểm soát truy nhập) Trong sách bắt buộc, mức thường gán cho người quản trị an toàn Trong sách tuỳ ý, mức thường gán cho người sở hữu tài nguyên Nói chung, vai trò phải định nghĩa với quyền truy nhập, với mức kiểm soát truy nhập khác • Tính kế thừa (inheritance): Điều việc chép quyền truy nhập Việc truyền lại quyền truy nhập không xảy sách tuỳ ý, lại xảy sách bắt buộc? Việc sử dụng tiêu chuẩn, nguyên tắc mức cao biên dịch thành dạng nguyên tắc, thích hợp cho giai đoạn hình thức hoá giai đoạn thiết kế sau Việc lựa chọn yêu cầu bảo vệ sách an toàn làm sở cho giai đoạn thiết kế khái niệm 3.2.4.3 Thiết kế khái niệm Trong giai đoạn này, yêu cầu sách an toàn (được định nghĩa giai đoạn trước đó) hình thức hoá khái niệm "Khái niệm" có nghĩa chưa quan tâm đến chi tiết thực Đúng tập trung vào khía cạnh ngữ nghĩa, tách bạch sách chế Mô hình an toàn khái niệm công cụ sử dụng cho việc hình thức hoá yêu cầu sách Một mô hình an toàn khái niệm định nghĩa thông qua: • Nhận dạng chủ thể đối tượng liên quan đến quan điểm an toàn; Các chủ thể/đối tượng có chung vai trò tổ chức nhóm lại với nhau; • Nhận dạng chế độ truy nhập trao cho chủ thể khác đối tượng khác nhau; Nhận ràng buộc truy nhập 101 • Phân tích việc thừa kế quyền hệ thống, thông qua đặc quyền trao/thu hồi Phân tích đặc biệt liên quan đến việc kiểm tra xem nguyên tắc đặc quyền tối thiểu có tôn trọng hay không Từ bước trên, yêu cầu biểu diễn thành bốn, sau: {subject, access right, objects, predicate}, tân từ (predicate) miêu tả điều kiện truy nhập Các bốn biểu diễn nguyên tắc truy nhập Các đặc trưng mô hình an toàn khái niệm nên bao gồm: • Biểu diễn ngữ nghĩa an toàn sở liệu Điều có nghĩa tính bí mật tính toàn vẹn mục liệu thể phạm vi thông tin có mục này, phương thức sử dụng mối quan hệ với mục khác, bắt nguồn từ thông tin thực tế mà mục liệu biểu diễn • Hỗ trợ việc phân tích luồng quyền, có nghĩa phân tích kết trao/thu hồi quyền • Hỗ trợ người quản trị sở liệu, cho phép đưa câu truy vấn tình trạng quyền thời kiểm tra kết xảy thay đổi quyền Tại mức khái niệm, kiểm tra dễ thực hơn, so với mức chế an toàn Mô hình ánh xạ yêu cầu phi hình thức vào nguyên tắc an toàn Mô hình an toàn khái niệm cho phép biểu diễn tường minh yêu cầu sách, đồng thời cho phép kiểm tra số đặc tính hệ thống an toàn Theo tiêu chuẩn DoD, mức phân loại hệ thống an toàn cao yêu cầu định nghĩa mô hình cho hệ thống an toàn; Mô hình nên có cấu trúc nhất, cấu trúc tập hợp tất đặc tính hệ thống đảm bảo hỗ trợ hiệu cho giai đoạn thiết kế, phê chuẩn tổng hợp tài liệu sau Mô hình an toàn khái niệm biểu diễn chủ thể, đối tượng, phép toán chế độ truy nhập trao, tuỳ thuộc vào sách định nghĩa Mô hình hệ thống xác định phải sau: • Đầy đủ (complete): Mô hình đáp ứng tất yêu cầu an toàn xác định ban đầu 102 • Tương thích (consistent): Trong hệ thống xảy không quán, chẳng hạn người sử dụng trái phép truy nhập trực tiếp vào đối tượng, đến đối tượng thông qua đường dẫn khác, thông qua loạt phép toán Trong trường hợp này, không đảm bảo hoạt động thực hệ thống hoạt động phép Mô hình phải đảm bảo tất yêu cầu xác định, không mâu thuẫn với không tồn tình trạng dư thừa Các mâu thuẫn và/hoặc không rõ ràng yêu cầu giải quyết, cách tham khảo nguyên tắc biểu diễn sách an toàn (Chính sách an toàn => Nguyên tắc an toàn (theo ngôn ngữ hình thức) => Mô hình khái niệm an toàn =>Mô hình logic an toàn=> Mô hình vật lý an toàn => Cơ chế an toàn) (security model) Hiện có nhiều mô hình an toàn, chúng chưa hoàn toàn tuân theo yêu cầu dành cho mô hình an toàn Nguyên nhân việc lựa chọn mô hình thường liên quan đến vấn đề an toàn Các mô hình trừu tượng cụ thể, tuỳ thuộc vào việc sử dụng chúng cho mục đích như: để chứng minh đặc tính hệ thống, hướng dẫn phát triển dành cho hệ thống an toàn Người ta kết hợp mô hình thích hợp nhất, nhằm đưa mô hình đáp ứng yêu cầu ban đầu.Tuy nhiên, trình kết hợp mô hình an toàn gây tình trạng số đặc tính an toàn mô hình tham gia Chính vậy, cần phê chuẩn kiểm tra trước đưa mô hình cuối Nói chung, việc chọn lựa mô hình tuỳ thuộc vào kiểu hệ thống, có nghĩa kiểu tài nguyên bảo vệ; Nó phụ thuộc vào kiểm tra hình thức (các kiểm tra dự tính trước cho hệ thống) 3.2.4.4 Thiết kế lôgíc Trong giai đoạn này, người ta sử dụng mô hình an toàn khái niệm, chuyển đổi thành mô hình lôgíc Mô hình DBMS xác định hỗ trợ Ví dụ DBMS quan hệ, kỹ thuật an toàn dựa vào câu truy vấn khung nhìn thường xuyên sử dụng cho kiểm soát truy nhập, đồng thời nguyên tắc mô hình khái niệm phải chuyển đổi phù hợp, nhằm hỗ trợ kỹ thuật 103 Hơn nữa, giai đoạn này, nguyên tắc an toàn phải xác định mô hình lôgíc, quan tâm đến chế mức OS chức mà gói an toàn đưa Mục đích để xác định yêu cầu, sách ràng buộc an toàn đáp ứng (tất chúng biểu diễn mô hình an toàn khái niệm), thông qua chế an toàn có, đồng thời xác định chế cần thiết kế phi hình thức Để đáp ứng mục đích trên, nhà phát triển sử dụng thông tin (về đặc tính an toàn xác định giai đoạn khái niệm) để thiết lập yêu cầu an toàn, chúng cung cấp thông qua chế an toàn có mức OS, mức DBMS, thông qua gói an toàn (nếu có sẵn) Trong sử dụng chế có, không tuân theo số yêu cầu an toàn xác định mô hình khái niệm, vậy, nhà phát triển nên thiết kế chế đặc trưng, nhằm đáp ứng yêu cầu 3.2.4.5 Thiết kế vật lý Trong giai đoạn người ta quan tâm đến chi tiết (liên quan đến việc tổ chức lưu giữ thực hiện/tích hợp mô hình) Bắt đầu từ mô hình an toàn lôgíc, tiến hành thiết kế chi tiết chế an toàn, cụ thể thiết kế cấu trúc vật lý nguyên tắc truy nhập, quan hệ chúng với cấu trúc vật lý sở liệu, chế độ truy nhập liên quan kiến trúc chi tiết chế, tuân theo yêu cầu sách an toàn Mục đích gán mức bắt buộc xác cho nhiệm vụ an toàn 3.2.4.6 Việc thực chế an toàn Các nhà phát triển sử dụng hữu ích nguyên tắc Nó trợ giúp cho họ việc chọn lựa và/hoặc thực từ chế an toàn trộn ghép phi hình thức (scratch ad hoc security mechanisms), nhằm tránh vấn đề nghiêm trọng sau Mục trình bày nguyên tắc thảo luận vấn đề thực Các nguyên tắc (dành cho việc chọn lựa/ thực chế) liệt kê sau: • Tính kinh tế chế (economy of mechanisms): Các chế nên đơn giản (ở mức được) Chính vậy, cần đơn giản hoá tính đắn việc thực hiện, cần kiểm tra chương trình trường hợp có lỗi xảy Nói chung mang lại thuận lợi : giảm bớt chi phí, 104 độ tin cậy cao hơn, việc kiểm tra kiểm toán giai đoạn hệ thống dễ dàng • Hiệu (efficiency): Các chế nên hiệu quả, phần chúng thường gọi thời gian chạy Một hướng tiếp cận dựa vào nhân không thoả mãn hoàn toàn yêu cầu tải gánh nặng hiệu • Độ tuyến tính chi phí (linearity of costs): Sau giai đoạn cài đặt (thiết lập), chi hoạt động nên cân xứng với việc sử dụng thực tế chế • Tách bạch đặc quyền trách nhiệm (privilege separation and responsibility): Bất có thể, nên phân tầng số chế kiểm soát việc thực truy nhập phụ thuộc vào nhiều điều kiện (độ phức tạp rào cản an toàn tốt hơn) Chúng ta đảm bảo việc tách bạch đặc quyền, thông qua việc sử dụng chế khác sử dụng lặp lặp lại chế, hệ thống phân tán (đây nơi có số mức mật khẩu) • Đặc quyền tối thiểu (minimum privilege): Nên giới hạn mức đặc quyền tối thiểu chương trình người sử dụng Chúng ta cần quan tâm đến nguyên tắc "cần-để-biết" lựa chọn sách áp dụng nguyên tắc cho thành phần hệ thống Các thuận lợi sau: Hạn chế lỗi (error confinement): Cần tối giản hậu thành phần sai sót gây ra; Trong thực tế, hạn chế phần nhớ mà thành phần truy nhập vào, nhằm hạn chế thiệt hại xảy ra; Duy trì (maintenance): Chúng ta dễ dàng ước tính hậu việc sửa đổi thành phần, số lượng giới hạn thành phần Ngăn chặn ngựa thành Tơroa (defence from Trojan horses): Hạn chế hoạt động ngựa thành Tơroa; • Dàn xếp đầy đủ (complete mediation): Mỗi truy nhập vào đối tượng phải tuân theo kiểm soát quyền 105 • Thiết kế phổ biến – thiết kế mở (known design): Nên phổ biến rộng rãi kỹ thuật an toàn phê chuẩn Thành phần bí mật phải dựa vào khoá mật (liên quan đến kỹ thuật xử lý khoá như: sinh, lưu giữ phân phối khoá) • An toàn thông qua ngầm định (security by default): Nếu người sử dụng không định tuỳ chọn tuỳ chọn bảo vệ thường đặt ngầm định Các định truy nhập nên dựa vào quyền trao (grant), quyền từ chối (denial) Thông thường, sách hệ thống khép kín thường ưa chuộng hơn, an toàn hơn sách mở • Các chế phổ biến tối thiểu (minimum commom mechanisms): Theo nguyên tắc này, việc thiết kế phải khuyến khích tính độc lập lẫn chế, nghĩa hoạt động đắn chế không nên phụ thuộc vào hoạt động đắn chế khác.Ví dụ, nên sử dụng chế khác cho kiểm soát vật lý lôgíc, có nghĩa hạn chế cách tối đa hậu việc truy nhập trái phép (do kẻ xâm nhập gây ra) • Khả chấp nhận mang tính tâm lý (psycholôgícal acceptability): Việc sử dụng chế phải dễ dàng, cho phép người dùng sử dụng chúng cách phù hợp Nên tránh hạn chế không cần thiết Việc xác định quyền truy nhập phải dễ dàng, nhờ khuyến khích người sử dụng tham gia bảo vệ • Tính mềm dẻo (flexibility): Một chế an toàn nên tuân theo sách khác Tính mềm dẻo chế bao hàm việc trì bảo vệ chống lại công chủ ý vô ý Do vậy, thiết kế cần đảm bảo hoạt động đắn liên tục chế, biến cố xảy công chủ ý vô ý Đồng thời, điều kiện xấu nhất, chế làm việc • Sự cách ly (isolation): Cơ chế an toàn phải chứng minh phù hợp với yêu cầu sách an toàn Phương pháp luận phát triển hình thức công cụ hiệu cho mục đích • Tính đầy đủ tương thích (completeness and consistancy): Cơ chế an toàn phải đầy đủ ( có nghĩa tuân theo toàn đặc tả thiết kế) 106 quán (có nghĩa không tồn mâu thuẫn vốn có) Việc bảo vệ phải xác định, thông qua tập hợp đặc tả "khẳng định" tập hợp đặc tả "phủ định" • Khả quan sát (observability): Cần có khả kiểm soát chế công chống lại chế Điều cho phép điểm yếu lỗi thiết kế Các file nhật ký, vết kiểm toán, sổ nhật ký công cụ tương tự sử dụng để lưu lại hoạt động chế • Vấn đề bỏ sót (problem of residuals*): Phần bị bỏ sót đoạn thông tin Một tiến trình sử dụng chúng lưu giữ chúng nhớ tiến trình kết thúc Dữ liệu bị lộ chủ thể trái phép kiểm tra phần bị bỏ sót Cơ chế an toàn thích hợp thường loại bỏ phần bị bỏ sót • Khả không nhìn thấy liệu (invisibility of data): Người sử dụng trái phép thông tin cấu trúc (lược đồ), tồn đối tượng với nội dung có đối tượng, để tránh suy diễn (ví dụ, đọc tên đối tượng hệ thống) • Hệ số làm việc (work factor): Việc phá vỡ chế an toàn phải công việc khó khăn, đòi hỏi nhiều nỗ lực Chúng ta đánh giá chất lượng chế, thông qua việc so sánh nỗ lực (cần thiết để vượt qua chế) với tài nguyên mà kẻ xâm nhập tiềm ẩn có Nói chung, mức bảo vệ tốt nỗ lực cần thiết để phá vỡ cao Các nỗ lực phá vỡ thường khó xác định Tuy nhiên, có số phương thức phá vỡ chế an toàn (ví dụ, lỗi phần cứng lỗi thực thi) • Các bẫy chủ ý (intentional traps): Chúng ta thiết kế chế với lỗi chủ ý bên trong, sau kiểm soát chúng thời gian thực hệ thống, để phát cố gắng xâm nhập có thể, nhằm giám sát hành vi kẻ xâm nhập Giải pháp thực hữu ích, thông qua biết thông tin (về kiểu công) biết hành vi kẻ xâm nhập Tuy nhiên, thủ tục vi phạm luật dự luật hành Chúng ta cần kiểm tra thận trọng sử dụng thủ tục 107 • Xác định tình trạng khẩn cấp (emergency measures): Chúng ta nên thiết kế chế với phương thức "mất khả làm việc" (Trong trường hợp xây dựng lại định lại cấu hình cho hệ thống, cần sử dụng đến yêu cầu cố mang tính tổ chức đặc thù) Nói chung, để hỗ trợ cho trường hợp làm tăng độ mềm dẻo chế, nên cho phép số người sử dụng tin cậy tạm thời ngừng kiểm soát, sửa đổi tạm thời phương thức kiểm soát • Phần cứng an toàn (secure hardware): Yêu cầu dành cho hệ thống bảo vệ Phần cứng phải tin cậy, kẻ xâm nhập dễ dàng sử dụng lỗi phần cứng/phần mềm nhằm vượt qua kiểm soát an toàn Có thể thiếu phương tiện lưu giữ dựa vào chế kiểm soát truy nhập • Ngôn ngữ lập trình (programming language): Chúng ta cần quan tâm đến ngôn ngữ lập trình Chương trình biên dịch ngôn ngữ (dùng để lập trình chế) phải tin cậy Các lập trình viên có kỹ góp phần đảm bảo tính tin cậy, khả trì phát lỗi hệ thống Trong lập trình chế an toàn, phải tuân thủ cách nghiêm ngặt đặc tả mô hình Trong thực tế, điểm yếu dễ bị công có nguồn gốc từ thay đổi thiết kế giai đoạn lập trình, bắt buộc hiệu nhu cầu giảm chi phí phát triển Các thay đổi cần thiết cần nhận dạng rõ ràng tối thiểu hóa Thêm vào đó, trường hợp sửa đổi chương trình (nó không xảy giai đoạn ban đầu mà xảy trình trì hệ thống), đặc tả nên cập nhật song song • Tính đắn (correctness): Các chế phải làm sáng tỏ xác mô hình Hoàn toàn không nên sử dụng chế không đắn, chúng đưa bảo vệ sai lầm Các chế không đắn gây tình trạng: thứ nhất, từ chối hoạt động hợp pháp, thứ hai, trao truy nhập trái phép Với tình trạng thứ hai, hệ thống gặp nguy hiểm, không đảm bảo tính bí mật/toàn vẹn liệu Chúng ta tiến hành phát triển chế trộn ghép, thông qua phần cứng, phần mềm phần sụn Khi chọn lựa kỹ thuật giai đoạn thực hiện, dàn xếp phần cứng/phần mềm cách thích hợp, quan tâm đến độ phức tạp, kích cỡ hiệu mà hệ thống cuối yêu cầu Tốt hơn, 108 nên tiến hành chọn lựa tất chế phần cứng, chúng phải chứng minh tính tin cậy, an toàn chịu trách nhiệm toàn an toàn hệ thống Thông qua cách khác, chế phần mềm hoạt động trình thông dịch (interpreter) dẫn người dùng Một chọn lựa tốt thực chế phần cứng mức độ đó, lại phần mềm Trong giai đoạn cần mô hình kiến trúc hệ thống an toàn Các mô hình kiến trúc biểu diễn mối quan hệ modul hệ thống giao diện module, có nghĩa là, module truyền thông chức an toàn thực Các mô hình minh hoạ chức an toàn gán cho DBMS, cho OS nhấn mạnh vai trò TBC chế hệ thống Mô hình kiến trúc an toàn DBMS trình bày Theo kiến trúc này, phương pháp khác chấp nhận, tuỳ thuộc vào yêu cầu xác định môi trường Để thực chế phần mềm, cần nhớ việc chuyển đổi mô hình an toàn hình thức sang chế thực thi tương ứng gián tiếp Nói chung thực tế, mô hình không cung cấp trực tiếp đặc tả thực thi Vì vậy, nên tiến hành ánh xạ mô hình hình thức mức thực thi, thông qua chuyển đổi thích hợp, từ đặc tả hình thức tới chương trình cụ thể chế Trong giai đoạn này, vấn đề liên quan đến hiệu hệ thống cần quan tâm Các kiểm soát an toàn yêu cầu tăng thêm thời gian trình xử lý liệu: tham số số lượng, chẳng hạn thời gian đáp ứng, thời gian/không gian lưu trữ cập nhật liệu, tham số chất lượng (ví dụ, tính mềm dẻo, tính tương thích, tính hoán đổi sang môi trường mới, khả khôi phục) cần quan tâm 3.2.4.7 Việc kiểm tra thử nghiệm Đúng dành cho việc phát triển hệ thống phần mềm, biểu diễn hệ thống giai đoạn phương pháp phát triển phải chuyển đổi cách xác sang biểu diễn giai đoạn chi tiết cuối sản phẩm phần mềm đắn "Tính đắn" phần mềm an toàn phát triển bao hàm nhiều thứ khác nhau, tuỳ thuộc vào mức tin cậy mong muốn phần mềm Nói chung, mục đích giai đoạn kiểm tra yêu cầu sách an toàn Việc kiểm tra thực 109 thông qua sản phẩm phần mềm Để làm điều cần có sẵn phương pháp hình thức phi hình thức, dựa vào không dựa vào ký hiệu toán học Các phương pháp phi hình thức dựa : 1) Kiểm soát chéo yêu cầu/chương trình nguồn, yêu cầu/các hành vi thời gian chạy (để chứng minh phần mềm tuân theo yêu cầu an toàn định nghĩa giai đoạn phân tích); 2) Duyệt lại chương trình phần mềm để phát lỗi/các mâu thuẫn (tính không quán); 3) Phân tích hành vi chương trình, tuỳ thuộc vào tham số khác nhau, nhằm kiểm tra đường dẫn thực khác biến thể tương ứng tham số; 4) Thông qua thử nghiệm, gỡ rối; Nói chung, phương pháp phi hình thức áp dụng cách nhanh chóng, không cần định nghĩa trước mô hình an toàn hình thức Các phương pháp phi hình thức xác định hành vi phần mềm trường hợp cụ thể, cấm thực hoạt động trái phép hệ thống Các phương pháp hình thức tinh xảo hơn, chúng dựa vào ký hiệu phương pháp toán học Cần phân tích mô hình hình thức yêu cầu an toàn nhằm đảm bảo tính đắn, thông qua thử nghiệm đắn Các đặc tả hình thức mức cao tinh xảo đặc tả mức trung gian đặt tả mức thấp Các kỹ thuật chứng minh mô hình chế an toàn, thông qua việc chứng minh tính đắn đặc tả hình thức Cần phải chứng minh: đặc tả mức trung gian quán với đặc tả mức trước Việc chứng minh tiếp diễn kiểm tra đặc tả mức cao quán với mô hình an toàn hình thức Các ngôn ngữ đặc tả công cụ kiểm tra phát triển cho hệ thống an toàn thiết yếu 110 [...]... đề thiết kế cơ sở dữ liệu an toàn với các đặc tính an toàn, thông qua các giai đoạn phát triển ban đầu Một phương pháp luận đa giai đoạn trình bày một hướng tiếp cận thích hợp cho việc thiết kế cơ sở dữ liệu an toàn, cho phép các nhà thiết kế xác định một cách chính xác các yêu cầu an toàn của một môi trường Trong thực tế, việc tiếp cận thiết kế cơ sở dữ liệu an toàn bắt đầu từ các chức năng an toàn. .. cầu an toàn, lựa chọn các chính sách an toàn, định nghĩa một mô hình an toàn và thiết kế các cơ chế an toàn để thực hiện mô hình, quan tâm đến các tính năng an toàn hiện tại của OS và DBMS Phương pháp luận (chúng ta đề xuất khi thiết kế cơ sở dữ liệu an toàn) dựa trên các nguyên tắc (do tiêu chuẩn DoD đưa ra), bao gồm các giai đoạn sau: (1) Phân tích sơ bộ (2) Các yêu cầu và các chính sách an toàn. .. của cơ sở dữ liệu, cơ sở dữ liệu này chỉ bao gồm dữ liệu mà người sử dụng đã biết (được gọi là khung nhìn được phép tối đa, nó là một tập hợp con của dữ liệu được lưu giữ trong cơ sở dữ liệu) , đưa ra nguồn gốc cho một câu truy vấn qsec, tránh suy diễn trên dữ liệu không được phép 84 Hình 3.4 Giải pháp bộ lọc thay thế User q1 q2 Bô lọc front-end tin cậy ( Trusted front- end filter) DBMS Cơ sở dữ liệu. .. Cuối cùng, các gói và các DBMS an toàn đã mở rộng chức năng của OS, nhằm quản lý các yêu cầu an toàn của cơ sở dữ liệu Các mô hình, cơ chế và sản phẩm an toàn hình thành một phương pháp luận tích hợp đa giai đoạn (integrated multiphase methodology), hỗ trợ phát triển (một cách có hệ thống) các hệ thống cơ sở dữ liệu an toàn thông qua các giai đoạn phân tích và thiết kế ban đầu Nói riêng, phương pháp... Kernelized lại không cần 3 2 4 Thiết kế các cơ sở dữ liệu an toàn An toàn cơ sở dữ liệu có thể được nhìn nhận như là một yêu cầu thứ hai (được bổ sung thêm vào các hệ thống hiện có) hoặc được coi như là một đòi hỏi chủ yếu Chính vì vậy, nó được coi là một yêu cầu thích đáng trong các giai đoạn thiết kế hệ thống ban đầu Trong hầu hết các trường hợp, an toàn không phải là một vấn đề quan tâm chủ yếu trong việc... sách an toàn yêu cầu an toàn (Security requirements and policies) (Security requirement specification language ) Thiết kế khái niệm Mô hình khái niệm (Conceptual design) an toàn (Security Conceptual model) Kỹ thuật DBMS (DBMS technology) Mô hình lôgíc Thiết kế lôgíc an toàn Lược đồ lôgíc (Lôgícal design) (Security Logical an toàn model) (Security Logical schema) Mô hình vật lý Thiết kế vật lý an toàn. .. được chuyển cho OS, nó lấy lại dữ liệu hợp lệ từ cơ sở dữ liệu Theo giải pháp này, các đối tượng (có các nhãn an toàn giống nhau) của cơ sở dữ liệu được lưu giữ trong các đối tượng của OS tin cậy (đóng vai trò như là các kho chứa đối tượng của cơ sở dữ liệu) Vì vậy, OS tin cậy tiến hành kiểm soát an toàn trên các đối tượng này, cần có các quá trình phân tách và khôi phục quan hệ đa mức Quá trình phân... dựa vào các yếu tố cơ bản, chẳng hạn như mức tương quan dữ liệu, chia sẻ dữ liệu, khả năng truy nhập dữ liệu, kỹ năng của nhân viên và các kỹ thuật được chọn lựa Tính tương quan (correlation) xảy ra khi dữ liệu liên quan lẫn nhau, mọi sự thay đổi trên một mục dữ liệu kéo theo sự thay đổi của các mục dữ liệu khác Tính tương quan cũng xảy ra khi thực hiện các phép đọc trên một mục dữ liệu, vì đồng thời... biết được giá trị của các mục dữ liệu khác Chia sẻ dữ liệu xảy ra khi nhiều ứng dụng (hoặc nhiều người sử dụng ) sử dụng chung một mục dữ liệu Nói riêng trong cơ sở dữ liệu, điều này dẫn đến các vấn đề tương tranh (concurrency problems), nguyên nhân là do có nhiều truy nhập đồng thời vào dữ liệu Chia sẻ dữ liệu cũng dẫn đến các vấn đề về tính toàn vẹn và tính bí mật dữ liệu Đối với tính bí mật, nhiều... sản phẩm an toàn đã có sẵn và có thể được xem xét đến Tương tự, ngày nay không ai muốn thiết kế một cơ sở dữ liệu bắt đầu từ một DBMS xác định Hơn nữa, chúng ta đã đưa ra các mô hình, các cơ chế và các gói hướng tập trung vào các vấn đề an toàn Mô hình là một cách hình thức hoá việc miêu 91 tả các yêu cầu và các chính sách an toàn của hệ thống Các cơ chế của OS cung cấp các chức năng an toàn cơ bản (ví ... An toàn lôgíc phải coi phần bên hệ thống an toàn toàn cục tổ chức Thiết kế lôgíc hệ thống an toàn có nghĩa thiết kế phần mềm an toàn quy tắc an toàn Phần mềm an toàn bao gồm bó chương trình an. .. niệm an toàn sở liệu vật lý, trình bày mô hình an toàn thông thường, khảo sát kỹ thuật an toàn sở mức hệ điều hành miêu tả tính gói phần mềm an toàn An toàn sở liệu lôgíc giải vấn đề an toàn. .. để thiết kế DBMS an toàn; Trình bày số mẫu nghiên cứu sản phẩm DBMS an toàn thương mại; Tiếp theo trình bày giải pháp mang tính phương pháp luận nhằm thiết kế quy tắc an toàn Thiết kế DBMS an toàn