Đang tải... (xem toàn văn)
Việc kết hợp chặt chẽ giữa các kỹ thuật điều khiển truy cập mạng (Network Access Control NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu. Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và phương pháp. NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc trong một công ty. Ví dụ như nhiều hot spot không dây tại các nhà hàng đã được triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.
Nhóm thựực hiệựn: Đặựng Đình Đựức Nguyệễn Vặn Ninh Hoàng Thanh Tùng Hiệựn nay, vớứi sựự phát triệển nhanh chóng cuểa công nghệự thông tin xu hựớứn g hôựi nhậựp kinh tệứ quôức tệứ, nhu cậầu trao đôểi thông tin tài nguyện giựễa tôể chựức , cá nhận thông qua maựn g Internet ngày gia tặng Tựầ việực trao đôểi thông tin thự tựầ cho đệứn việực chia seể tài nguyện nhự hình aển h ậm thanh, tài liệựu …tậứt caể giớầ đậy đựớực sôứ hóa Các ựứn g duựn g ngày đòi hoểi phaểi có khaể nặng kệứt nôứi vớứi maựn g Internet phuực vuự đựớực hàng triệựu ngựớầi sựể duựn g môựt thớầi điệểm Xuậứt phát tựầ thựực tệứ đó, môựt vậứn đệầ naểy sinh làm thệứ đệể đaểm baểo an ninh baểo mậựt dựễ liệựu môựt hệự thôứn g đa ngựớầi dùng Đậy lý cho sựự đớầi cuểa mô hình điệầu khiệển truy cậựp (Access Control) nói chung Việực kệứt hớựp chặựt cheễ giựễa kyễ thuậựt điệầu khiệển truy cậựp maựn g (Network Access Control - NAC) vào cớ sớể haự tậần g maựn g không phaểi môựt tùy choựn mà hớn môựt quy luậựt tậứt yệứu Mặực dù vậựy , NAC không dệễ dàng có thệể điựn h nghĩa Nó bao quát caể môựt daểi rôựn g lớứn vệầ caể nghĩa phựớng pháp NAC môựt sách có hiệựu lựực , gậần nhự đựớực thặứt chặựt vớứi trình làm việực môựt công ty Ví duự nhự nhiệầu hot spot không dậy taựi nhà hàng đựớực triệển khai hệự thôứn g NAC cớ baển đệể yệu cậầu ngựớầi dùng cậần phaểi chậứp nhậựn môựt sôứ điệầu kiệựn sách sựể duựn g trựớức hoự đựớực phép truy cậựp vào maựn g Đệể traể lớầi cậu hoểi làm thệứ đệể choựn phựớng pháp NAC, có hai điệầu kiệựn tiện quyệứt phaểi đựớực thoểa mãn + Thựứ nhậứt , ta phaểi hiệểu vệầ nhựễn g NAC cung cậứp , chúng có thệể tích hớựp vào maựn g nhự thệứ + Thựứ hai , sựự baểo mậựt cuểa công ty sách truy cậựp Các hệự thôứn g NAC không taựo sách mà chiể ép buôực chúng Trong báo cáo này, khái quát vệầ môựt sôứ mô hình điệầu khiệển truy cậựp phôể biệứn nhự MAC ( mandatory access control ), DAC ( discretionary access control ) RBAC ( Role-based access control ) Trong báo cáo seễ tậựp trung vào vậứn đệầ sau: + Khái quát vệầ mô hình điệầu khiệển truy cậựp DAC, MAC RBAC + Phận tích đánh giá điệểm maựn h điệểm yệứu cuểa tựần g mô hình + Đựa chựức nặng quaển triự cho tựần g mô hình Điệầu khiệển truy cậựp nói chung đựớực chia làm ba loaựi , hoặực tùy quyệần ( discretionary ), hoặực bặứt buôực ( mandatory ), hoặực trện cớ sớể vai trò (rolebased) Thựớần g hiệểu có sựự khác giựễa điệầu khiệển truy cậựp tùy quyệần (DAC) điệầu khiệển truy cậựp bặứt buôực (MAC) nhự nhựễn g phựớng pháp điệầu khiệển truy cậựp cuự thệể thuôực môễi haựn g loaựi trện, môựt yệu cậầu then chôứt đệể có thệể đaựt đựớực kệứt quaể tôứt vệầ chậứt lựớựn g an ninh hệự thôứn g máy tính Kyễ thuậựt điệầu khiệển truy cậựp Điệầu khiệển truy cậựp tùy quyệần ( discretionary access control - DAC) môựt sách truy cậựp vào tài nguyện hệự thôứn g đựớực điệầu khiệển bớểi hệự điệầu hành (dựớứi sựự kiệểm soát cuểa môựt ngựớầi quaển triự hệự thôứn g) Ngựớầi quaển triự hệự thôứn g seễ quyệứt điựn h ngựớầi đựớực phép truy cậựp tậựp tin nhựễn g đặực quyệần ( privilege ) nhựễn g đặực quyệần ngựớầi đựớực phép thi hành Thông thựớần g DAC cớ chệứ kiệểm soát truy cậựp mặực điựn h cho hệự điệầu hành hậầu hệứt máy tính đệể bàn + Trong hệự thôứn g kiệểm soát truy cậựp , DAC đựớực áp duựn g theo quyệứt điựn h cuểa riệng baựn Vớứi DAC baựn có thệể choựn đựớần g gựểi cho dựễ liệựu cuểa baựn , vớứi MAC baựn không làm đựớực điệầu + DAC không chiể cho baựn biệứt hệự thôứn g có thệể truy cậựp dựễ liệựu cuểa baựn , cho phép baựn chiể điựn h kiệểu truy cậựp đựớực cho phép Ví duự: baựn có thệể muôứn tậứt caể moựi ngựớầi hệự thôứn g có thệể đoực môựt tậựp tin cuự thệể, nhựng baựn có thệể chiể cho phép ngựớầi quaển lý cuểa baựn có thệể thay đôểi Hậầu hệứt hệự thôứn g hôễ trớự ba loaựi truy cậựp cớ baển sau: - READ: nệứu baựn có quyệần truy cậựp đoực đôứi vớứi file, baựn có thệể đoực file - WRITE: nệứu baựn có quyệần truy cậựp ghi đôứi vớứi file, baựn có thệể việứt (thay đôểi hoặực thay thệứ) file - EXECUTE: Việực thựực hiệựn xậểy nệứu tậựp tin môựt chựớng trình Nệứu baựn có quyệần thựực thi thựực sựự vớứi tậựp tin, baựn có thệể chaựy Điệểm khác biệựt giựễa RBAC mô hình truyệần thôứng 3.3.1 Nệần taển g sựự phát triệển Muực đích cuểa RBAC làm thuậựn tiệựn cho trình quaển triự baểo mậựt kiệểm duyệựt Rậứt nhiệầu hệự thôứn g điệầu khiệển truy cậựp tôứt thựớng maựi dành cho máy tính lớứn hiệựn cài đặựt vai trò đệể quaển triự baểo mậựt Trong khựứ cho đệứn ngày nay, nhiệầu ựứn g duựn g đựớực xậy dựựn g vớứi RBAC đựớực mã hóa bện baển thận ựứn g duựn g Các hệự điệầu hành môi trựớần g hiệựn taựi cung cậứp môựt vài sựự hôễ trớự RBAC ớể mựức đôự ựứn g duựn g Tuy nhiện môựt nhiệựm vuự khó khặn đặựt làm thệứ đệể nhậựn biệứt điệầu kiệựn ựứn g duựn g thựực sựự đôực lậựp , thựực sựự linh hoaựt , thựực sựự đớn giaển đệể cài đặựt sựể duựn g, đệể hôễ trớự rôựn g rãi cho ựứn g duựn g vớứi môựt sựự tùy chiển h nhoể nhậứt Nhựễn g sựự biệứn đôểi phựức taựp cuểa RBAC bao gôầm khaể nặng thiệứt lậựp môứi quan hệự giựễa vai trò, giựễa quyệần vớứi vai trò giựễa nhựễn g ngựớầi sựể duựn g vai trò Lậứy ví duự, hai quyệần có thệể đựớực thiệứt lậựp đệể triệựt tiệu lậễn nhau, m ôựt ngựớầi sựể duựn g không thệể ớể hai vai trò đựớực Các vai trò có thệể đaểm nhiệựm quan hệự kệứ thựầa , nhớầ vào mà môựt vai trò có thệể kệứ thựầa toàn bôự qu yệần cuểa môựt vai trò khác Các m ôứi quan hệự vai trò – vai trò có thệể đựớực sựể duựn g đệể đaểm baểo sách baểo mậựt , sách bao gôầm sựự phận biệựt giựễa trách nhiệựm sựự uểy thác cuểa thậểm quyệần Cho đệứn nay, quan hệự đựớực m ã hóa bện phậần m ệầm ựứn g duựn g; vớứi RBAC, chúng có thệể đựớực chiể điựn h cho môựt m iệần baểo m ậựt Vớứi RBAC, có thệể điựn h nghĩa laựi quan hệự quyệần - vai trò, taựo nện sựự đớn giaển việực gán ngựớầi sựể duựn g vào vai trò đựớực điựn h nghĩa laựi Chính sách điệầu khiệển truy cậựp hiệựn thận thành phậần khác cuểa RBAC giôứn g nhự môứi quan hệự vai trò – quyệần , ngựớầi suể duựn g – vai trò, vai trò - vai trò Các thành phậần seễ quyệứt điựn h xem môựt ngựớầi sựể duựn g có đựớực phép truy cậựp đệứn môựt khôứi dựễ liệựu riệng hệự thôứn g hay không Các thành phậần RBAC có thệể đựớực cậứu hình trựực tiệứp bớểi owner cuểa hệự thôứn g hoặực gián tiệứp thông qua vai trò xậứp xiể đựớực uểy thác bớểi owner cuểa hệự thôứn g Hớn thệứ nựễa , sách điệầu khiệển truy cậựp có thệể làm tặng thệm vòng đớầi cuểa hệự thôứn g Khaể nặng thay đôểi sách cậần thiệứt cuểa môựt tôể chựức môựt lớựi thệứ cuểa RBAC Mặực dậầu vậựy RBAC môựt sách tựự nhiện, hôễ trớự xác ba nguyện lý baểo mậựt nôểi tiệứn g: least privilege (đặực quyệần tôứi thiệểu ), separation of duties (phận chia trách nhiệựm ), data abstraction ( trựầu tựớựn g hóa dựễ liệựu ) Least privilege – đặực quyệần tôứi thiệểu đựớực hôễ trớự RBAC có thệể đựớực cậứu hình cho chiể có quyệần cho nhiệựm vuự đựớực chiể đaựo bớểi thành viện cuểa vai trò mớứi đựớực gán vào vai trò separation of duties – sựự phận chia trách nhiệựm đựớực hôễ trớự đệể chặức chặứn rặần g vai trò loaựi boể lậần có thệể đựớực goựi đệể hoàn thành nhiệựm vuự nhaựy caểm , giôứn g nhự sựự cậần thiệứt môựt tài khoaển thự ký môựt tài khoaển quaển lý đệể tham gia vào việực kiệểm tra, data abstraction – trựầu tựớựn g hóa dựễ liệựu đựớực hôễ trớự bớểi tính chậứt cuểa quyệần trựầu tựớựn g giôứn g nhự credit ( cho vay ) debit ( ghi nớự) cuểa môựt đôứi tựớựn g account (tài khoaển ), hớn đoực , ghi, thựực thi quyệần đặực trựng đựớực cung cậứp bớểi hệự điệầu hành Tuy nhiện, RBAC không thệể ép buôực ựứn g duựn g cuểa nguyện lý phaểi tuận theo 3.3.2 Vai trò điựn h nghĩa liện quan Vớứi RBAC nhà phát triệển taựo vai trò theo chựức nặng công việực đựớực thựực hiệựn công ty hay tôể chựức , cậứp quyệần cho vai trò sau gán nhựễn g ngựớầi sựể duựn g vào vai trò dựựa trện cớ sớể trách nhiệựm nặng lựực cuểa công việực đặực thù Môựt vai trò có thệể trình bày môựt nhiệựm vuự cuự thệể nhự môựt vai trò bác sĩ hay vai trò môựt nhà điệầu hành kinh doanh Môựt vai trò bao gôầm quyệần trách nhiệựm quyệần trách nhiệựm đựớực phận biệựt rậứt rõ ràng Môựt ngựớầi có thệể có quyệần quaển lý nhiệầu phòng ban nhựng chiể có trách nhiệựm đôứi vớứi phòng ban cuự thệể đựớực quaển lý Các vai trò có thệể phaển ánh trách nhiệựm cuự thệể đựớực gán vòng quanh qua nhiệầu ngựớầi sựể duựn g, ví duự nhự trách nhiệựm cuểa môựt bác sĩ hay môựt nhận viện làm ca Các vai trò điựn h nghĩa caể sựự cho phép riệng biệựt cuự thệể đệể truy cậựp tài nguyện quy mô cuểa tài nguyện đựớực truy cậựp Sựự kệứt hớựp cuểa ngựớầi sựể duựn g quyệần taựo nện môựt vai trò Các quyệần đựớực gán môựt cách gián tiệứp cho ngựớầi sựể dung thông qua môựt vai trò, thệứ mà việực baểo mậựt lôễ hôển g trện vai trò đớn giaển hớn rậứt nhiệầu so vớứi trện quyệần Ngựớầi sựể duựn g có thệể đựớực gán laựi sang vai trò khác nệứu cậần thiệứt Ví duự, role ngựớầi vậựn hành có thệể truy cậựp tậứt caể tài nguyện mà không thay đôểi quyệần truy cậựp , role môựt nhận viện baểo vệự có thệể thay đôểi quyệần truy cậựp nhựng không đựớực truy cậựp vào tài nguyện, role môựt kiệểm toán viện có thệể truy cậựp vào đựớần g kiệểm toán Việực sựể duựn g role mang tính quaển lí tôần taựi hệự thôứn g điệầu khiệển maựn g hiệựn đaựi nhự Novell’s NetWare Microsoft Windows NT Môựt sựự quan tậm mớứi xuậứt hiệựn đôứi vớứi RBAC tậựp trung chuể yệứu vào khaể nặng sựể duựn g RBAC ớể cậứp đôự ựứn g duựn g Trong khựứ caể ngày nay, ựứn g duựn g đặực biệựt đựớực xậy dựựn g vớứi RBAC đựớực mã hóa baển thận sựự ựứn g duựn g Các hệự điệầu hành hiệựn có môi trựớần g cung cậứp rậứt khaể nặng sựể duựn g RBAC ớể cậứp đôự ựứn g duựn g Khaể nặng bặứt đậầu xuậứt hiệựn saển phậểm Thách thựức đặựt phaểi xác điựn h đựớực ựứn g duựn g đôực lậựp phaểi tiệựn lớựi linh hoaựt , tậứt nhiện phaểi dệễ dàng thựực hiệựn , sựể duựn g hôễ trớự nhiệầu ựứn g duựn g vớứi sựự điệầu chiển h nhoể nhậứt Các biệứn thệể cuểa RBAC bao gôầm k haể nặng thiệứt lậựp m ôứi quan hệự giựễa role nhự giựễa perm ission role giựễa user vớứi role Lậứy ví d uự, hai role có thệể đựớc lậựp cho chúng loaựi trựầ nhau, d o m ôựt user không đựựớ c phép thựực hiệựn caể hai role Các role có thệể có quan hệự kệứ thựầa , theo m ôựt role k ệứ thựầa perm ission đựớực gặứn cho role khác Nhựễn g m ôứi q uan hệự role – role có thệể đựớực sựể d uựn g đệể làm cho sách baểo m ậựt bao g ôầm sựự tách rớầi công việực sựự uểy thác cuểa ngựớầi có thậểm quyệần Tựầ trựớức đệứn nhựễn g m ôứi quan hệự đựựớ ực m ã hóa phậần m ệầm ựứn g duựn g, vớứi RBAC, chúng đựựớ ực điựn h rõ m ôựt lậần cho m ôựt m iệần baểo m ậựt Vớứi RBAC, ngựớầi ta có thệể xác điựn h đựớực môứi quan hệự role – permission Điệầu giúp cho việực gán cho user tớứi role xác điựn h dệễ dàng Môựt sôứ nghiện cựứu chiể rặần g permission đựớực phận cho role có xu hựớứn g thay đôểi tựớng đôứi chậựm so vớứi sựự thay đôểi cuểa user Nghiện cựứu nhậựn thậứy việực cho phép quaển triự viện cậứp hoặực huểy boể tự cách thành viện cuểa user role tôần taựi mà không cho quaển triự viện quyệần taựo role mớứi hay thay đôểi sựự phận chia role – permission điệầu đựựớ c ự mong muôứn Việực phận công user theo role seễ cậần kĩ nặng kĩ thuậựt hớn việực phận công permission theo role Nệứu RBAC, việực xác điựn h permission đựớực uểy thác cho user seễ khó Chính sách điệầu khiệển truy cậựp đựớực thệể hiệựn ớể thành tôứ khác cuểa RBAC nhự môứi quan hệự role – permission, môứi quan hệự user – role môứi quan hệự role – role N hựễn g thành tôứ xác điựn h xem liệựu môựt user cuự thệể có đựớực phép truy cậựp vào môt maển g dựễ liệựu hệự thôứn g hay không Các thành tôứ RBAC có thệể đựựớ ực điựn h daựn g trựực tiệứp bớểi ngựớầi sớể hựễu hệự thôứn g hay gián tiệứp bớểi role thích hớựp mà ngựớầi sớể hựễu hệự thôứn g uểy thác Chính sách có hiệựu lựực môựt hệự cuự thệể kệứt quaể cuôứi cuểa việực điựn h daựn g thành tôứ RBAC khác môựt cách trựực tiệứp bớểi ngựớầi sớể hựễu hệự thôứn g Ngoài sách điệầu khiệển truy cậựp có thệể gia tặng chu kì cuểa hệự thôứn g ớể hệự lớứn điệầu chặức chặứn xaểy Khaể nặng biệứn đôểi sách đệể đáp ựứn g đựớực nhu cậầu thay đôểi cuểa môựt tôể chựức môựt lớựi ích quan troựn g cuểa RBAC Mặực dù RBAC môựt sách trung lậựp , trựực tiệứp hôễ trớự ba nguyện tặức baểo mậựt nôểi tiệứn g: đặực quyệần nhậứt , sựự tách biệựt nhiệựm vuự trựầu tựớựn g hóa dựễ liệựu Nguyện tặức đặực quyệần nhậứt đựựớ ực hôễ trớự RBAC đựớực điựn h daựn g chiể nhựễn g permission mà nhiệựm vuự thành viện cuểa role quaển lí cậần mớứi đựớực phận cho role Nguyện tặức sựự tách biệựt nhiệựm vuự đaựt đựớực bặần g cách đaểm baểo nhựễn g role có quan hệự loaựi trựầ lậễn phaểi đựựớ c sựể duựn g tớứi đệể hoàn thành môựt công việực nhaựy caểm nhự yệu cậầu môựt nhận viện kệứ toán môựt quaển lí kệứ toán tham gia vào phát hành môựt tậứm Sec Nguyện tặức trựầu tựớựn g hóa dựễ liệựu đựớực hôễ trớự bặần g permission trựầu tựớựn g nhự credit (bện có) debit (bện nớự) cho môựt tài khoaển , chựứ không phaểi permission đoực , việứt , quaển lí thựớần g đựựớ ực hệự điệầu hành cung cậứp Tuy nhiện, RBAC không cho phép ựứn g duựn g nguyện lý Nhận viện baểo mậựt có thệể điựn h daựn g đựớực RBAC vi phaựm nhựễn g nguyện lí Ngoài ra, mựức đôự trựầu tuớựn g hóa dựễ liệựu đựựớ ực hôễ trớự seễ chi tiệứt bôể sung quyệứt điựn h RBAC không phaểi giaểi pháp cho moựi vậứn đệể kiệểm soát truy cậựp Ngựớầi ta cậần nhựễn g daựn g kiệểm soát truy cậựp phựức taựp hớn xựể lí tình huôứn g mà chuôễi thao tác cậần đựớực kiệểm soát Ví duự, môựt lệựn h mua cậần nhiệầu bựớức trựớức đớn dặựt hàng mua đựớực phát hành RBAC không côứ kiệểm soát trựực tiệứp permission cho môựt chuôễi sựự kiệựn nhự vậựy Các daựn g khác cuểa kiệểm soát truy cậựp đựựớ ực cài đặựt trện bệầ mặựt RBAC muực đích Việực kiệểm soát môựt chuôễi thao tác phaựm vi cuểa RBAC, mặực dù RBAC có thệể nệần móng đệể xậy dựựn g nhựễn g kiệểm soát nhự thệứ RBAC baển thận môựt cớ chệứ tùy ý hay bặứt buôực ? Cậu traể lớầi phuự thuôực vào điựn h nghĩa xác cuểa quan niệựm “tùy ý” “bặứt buôực ” nhự baển chậứt thựực sựự điựn h hình permission, role user môựt hệự thôứn g RBAC Việực hiệểu bặứt buôực có nghĩa user cá nhận sựự lựựa choựn đôứi vớứi việực permission hoặực user đựớực giao đệứn môựt role nào, tùy ý có nghĩa user đựớực tựự đựa quyệứt điựn h Nhự nói ớể trện, RBAC baển thận môựt sách trung tính Các daựn g nhậứt điựn h cuểa RBAC có thệể bặứt buôực , daựn g khác có thệể laựi tùy ý Baểng So sánh mô hình điệầu khiệển truy nhậựp DAC RBAC [...]... role tựớng ựứn g vớứi mô t nặng lựực đệể làm mô t nhiệựm vuự cuự thệể, ví duự mô t bác syễ nôựi khoa hay mô t dựựớ ực syễ Mô t role cũng là hiệựn thận cuểa mô t thậểm quyệần và mô t bôển phậựn nhự mô t giám sát dựự án Trong nôựi bôự cuểa mô t tôể chựức , các vai trò (role) đựớực kiệứn taựo đệể đaểm nhậựn các chựức nặng công việực khác nhau Mô i vai trò đựớực gặứn liệần vớứi mô t sôứ quyệần haựn... hôựi viện cho các vai trò mô t cách phù hớựp , trong mô t tôể chựức vớứi haự tậần g cớ sớể kyễ thuậựt thông tin không đôần g nhậứt , hòng nặứm bặứt các nhu cậầu vệầ quyệần lớựi , trong khi các nhu cậầu này có tậầm traểi rôựn g trện hàng chuực , hặần g trặm hệự thôứn g và trện các chựớng trình ựứn g duựn g, là mô t việực hệứt sựức phựức taựp Điệểm khác biệựt giựễa RBAC và các mô hình truy ần thôứng... multilevel security systems ) + Mô t kiệứn trúc nhự vậựy seễ ngặn chặựn mô t ngựớầi dùng đã đựớực xác thựực , hoặực mô t quy trình taựi mô t phận haựn g cuự thệể nào đậứy ( classification ), hoặực có mô t mựức đôự tin cậển ( trust-level ) nhậứt điựn h nào đậứy , không cho hoự truy cậựp thông tin, truy cậựp các quy trình ( processes ) hoặực truy cậựp các thiệứt biự ( devices ) ớể mô t tậần g cậứp khác Kệứt... điựn h các tyể lệự hao huựt ớể mựức đôự tin tựớển g * Việ n chựức * Công ty sớể hựễu * Công côựn g - Các chuển g loaựi khoang đựớực phận cậứp và đaựi diệựn cho các khu vựực riệng biệựt cuểa thông tin trong mô t hệự thôứn g taựo nện mô t tậựp các phận loaựi hoặực thiệứt lậựp mô t ngặn chựứa mô t sôứ thông tin vệầ các mặựt hàng - Trong môi trựớần g quận sựự, có thệể có các loaựi... thôứn g và các permission đựớực huểy khoểi các role khi cậần thiệứt Mô t role đựớực xem nhự mô t kệứt cậứu ngựễ nghĩa mà cớ chệứ điệầu khiệển truy cậựp đệầu hình thành xung quanh Mô t tậựp hớựp riệng biệựt nhựễn g user và các permission đựớực lậựp ra bớểi các role chiể là taựm thớầi Role ôển điựn h hớn bớểi vì hoaựt đôựn g hay chựức nặng cuểa mô t tôể chựức thựớần g ít thay đôểi hớn Mô t role... sựểa đôểi (w) nó + Trong mô t sôứ hệự thôứn g, baựn có thệể chiể ra rặần g mô t ngựớầi dùng cuự thệể là không đựớực phép truy cậựp vào mô t tậựp tin Danh sách điệầu khiệển truy cậựp (cont) ◦ Danh sách điệầu khiệển truy cậựp (Access control list ACL) điựnh danh các quyệần và phép đựớực chiể điựnh cho mô t chuể thệể hoặực mô t đôứi tựớựng Danh sách điệầu khiệển truy cậựp cho ta mô t phựớng pháp linh... trong điệầu khiệển truy cậựp vớứi sựự liện quan bôựi sôứ cuểa các đôứi tựớựn g hay các chuể thệể Mô hình mặứt lựớứi là mô t cậứu trúc toán hoực , nó điựn h nghĩa các giá triự cậựn dựớứi lớứn nhậứt ( greatest lower-bound ) và cậựn trện nhoể nhậứt ( least upper-bound ) cho nhựễn g cặựp nguyện tôứ, chặển g haựn nhự cặựp nguyện tôứ bao gôầm mô t chuể thệể và mô t đôứi tựớựn g + Trong mô hình (MAC) còn đựớực... trong truy cậựp tùy quyệần là: 3.1.1.Quyệần sớể hựễu tậựp tin và dựễ liệựu ( file and data ownership ) Bậứt cựứ mô t đôứi tựớựn g nào trong mô t hệự thôứn g cũng phaểi có mô t chuể nhận là ngựớầi sớể hựễu nó Chính sách truy cậựp các đôứi tựớựn g là do chuể nhận tài nguyện quyệứt điựn h, nhựễn g tài nguyện bao gôầm : các tậựp tin, các thự muực , dựễ liệựu , các tài nguyện cuểa hệự thôứn g, và các thiệứt... cung cậứp cho chúng ta mô t cớ chệứ chính sách ngặn chặựn đôứi vớứi ngựớầi dùng và các quy trình, hoặực biệứt , hoặực chựa biệứt 3.2.1.Đôự nhaựy cuểa nhãn: Tậứt caể các chuể đệầ và đôứi tựớựn g trong mô t hệự thôứn g có hôễ trớự mô hình MAC đệầu có mô t nhãn nhaựy caểm kệứt hớựp vớứi nó Mô t nhãn nhaựy caểm bao gôầm hai phậần là: Phận loaựi A và mô t bôự các Phận loaựi (còn đựớực... phép truy cậựp vào các tậựp tin PAYROLL + Acct và pay đựớực ID nhóm cuểa ngựớầi sựể duựng + R và W cho biệứt loaựi truy cậựp đựớực phép r có nghĩa là ngựớầi dùng chiể có thệể đoực tệựp PAYROLL và w nghĩa là ngựớầi dùng có thệể thay đôểi nó Danh sách điệầu khiệển truy cậựp (cont) - ACL thựớần g hôễ trớự các ký tựự đaựi diệựn cho phép baựn chiể điựn h cách truy cậựp các tậựp tin mô t cách ... quát vệầ mô hình điệầu khiệển truy cậựp DAC, MAC RBAC + Phận tích đánh giá điệểm maựn h điệểm yệứu cuểa tựần g mô hình + Đựa chựức nặng quaển triự cho tựần g mô hình Điệầu khiệển truy cậựp... chựức nặng cuểa mô t tôể chựức thựớần g thay đôểi hớn Mô t role tựớng ựứn g vớứi mô t nặng lựực đệể làm mô t nhiệựm vuự cuự thệể, ví duự mô t bác syễ nôựi khoa hay mô t dựựớ ực syễ Mô t role hiệựn... Trong mô t sôứ hệự thôứn g, baựn có thệể chiể rặần g mô t ngựớầi dùng cuự thệể không đựớực phép truy cậựp vào mô t tậựp tin Danh sách điệầu khiệển truy cậựp (cont) ◦ Danh sách điệầu khiệển truy