Vũ Văn Bắc Các yêu cầu an toàn hệ điều hành?  Việc đảm bảo chương trình hoạt động cách an tồn lệ thuộc vào việc triển khai     đắn chế chia sẻ điều độ tài nguyên  Các chế truy nhập tài nguyên phải xác định ranh giới tài nguyên đảm bảo thao tác tới tài nguyên không xung đột với  Cơ chế điều độ phải đảm bảo tính sẵn sàng tài nguyên cho chương trình để ngăn chặn cơng từ chối dịch vụ An tồn quan tâm chương trình máy tính đại tương tác với theo nhiều cách việc chia sẻ liệu người dùng hành vi phổ biến với hệ thống máy tính Thách thức với việc thiết kế an toàn cho hệ điều hành thiết kế chế an toàn để bảo vệ việc thực thi chương trình liệu chúng môi trường phức tạp  Các chế an tồn tắc (formal security mechanism) giúp chứng minh hệ thống đạt mục tiêu an tồn song khơng tính đến độ phức tạp hệ thống An tồn hệ điều hành tiếp cập theo hai hướng chủ yếu  Hệ thống có ràng buộc: đảm bảo mục tiêu an toàn thỏa mãn với mức độ cao  Hệ thống dùng chung (general-purpose): đảm bảo mục tiêu an toàn cách hạn chế với mức độ thấp Các hệ thống dùng chung hướng tới cung cấp chức mềm dẻo, thân thiện người dùng, dễ triển khai có hiệu cao Các đặc điểm dẫn đến nhiều thách thức với việc đảm bảo an toàn cho hệ thống Khái niệm mục tiêu an toàn hệ điều hành? - Mục tiêu an tồn xác định thao tác thực hệ thống hi ngăn chặn truy nhập trái phép - Các mục tiêu an toàn xác định yêu cầu mà thiết kế hệ thống cần phải thỏa mãn việc triển khai đắn phải thỏa mãn yêu cầu Mục tiêu an toàn cần thỏa mãn yếu tố sau: Bí mật, Tồn vẹn, Sẵn dùng - Truy nhập hệ thống mơ tả chủ thể (chương trình hay người dùng) thực thao tác (đọc hay ghi) lên đối tượng ( file hay socket):  Tính bí mật: giới hạn đối tượng truy nhập  Tính tồn vẹn: hạn chế đối tượng mà chủ thể ghi để đảm bảo thao tác đắn quan hệ với thao tác chủ thể khác Vũ Văn Bắc  Tính sẵn dùng: hạn chế tài nguyên mà chủ thể sử dụng chủ thể làm cạn kệt tài ngun Khái niệm mơ hình tin cậy? - Mơ hình tin cậy hệ thống định nghĩa tập phần mềm liệu mà hệ thống dựa vào để đảm bảo thực xác mục tiêu an toàn hệ thống - Các phần mềm tin cậy bao gồm phần mềm xác định mục tiêu an toàn phần mềm đảm bảo mục tiêu an toàn - Người phát triển hệ điều hành an tồn phải chứng minh hệ thống có mơ hình tin cậy tồn +)Phần mềm tin cậy phải thực toàn thao tác nhạy cảm với an tồn +) Chứng minh tính đắn phần mềm liệu tin cậy +) Chứng minh việc thực thi phần mềm không bị phá vỡ chương trình khác Khái niệm mơ hình đe dọa?  Mơ hình đe dọa xây dựng tập thao tác mà người công dùng để vơ hiệu hóa hệ thống  Tập thao tác không hạn chế theo nghĩa người cơng áp dụng thao tác để xâm phạm mục tiêu an tồn hệ thống  Nhiệm vụ người xây dựng hệ điều hành an toàn bảo vệ phần mềm tin cậy khỏi dạng đe dọa mô hình  Chương trình người dùng khơng tin cậy song hệ thống hạn chế việc truy nhập tới liệu nhạy cảm Khái niệm hệ thống bảo vệ - Hệ thống bảo vệ: sử dụng chế kiểm soát truy nhập tùy chọn Một cách khái quát, hệ thống bảo vệ mô tả trạng thái bảo vệ thao tác cho phép tiến trình sửa đổi trạng thái  Hệ thống bảo vệ gồm có  Trạng thái bảo vệ mô tả thao tác mà chủ thể hệ thống thực lên đối tượng hệ thống  Tập thao tác trạng thái bảo vệ làm thay đổi trạng thái  Hệ thống bảo vệ xác định yêu cầu an ninh hệ điều hành thực việc quản lý yêu cầu Vũ Văn Bắc  Ma trận truy nhập  Hệ thống bảo vệ bắt buộc Trình bày ma trận truy nhập Cho ví dụ? Các trạng thái bảo vệ hệ thống biểu diễn ma trận truy nhập định nghĩa bằng:  Tập chủ thể S  Tập đối tượng O  Các thao tác phép chủ thể lên đối tượng OP  Bên cạnh thao tác đọc (read), ghi (write), ma trận mô tả cácthao tác mà chủ thể thực lên ma trận, quyền sở hữu (own) File File File Process Process Process Read Read write Read write Read Process Read Read write Read Ma trận truy nhập sử dụng để mô tả miền bảo vệ Miền bảo vệ tập đối tượng (tài ngun) mà tiến trình truy nhập thao tác mà tiến trình dùng để truy nhập tới đối tượng  Hàng ma trận truy nhập cho biết thơng tin miền hoạt động tiến trình  Với hệ điều hành an toàn, cần đảm bảo miền an tồn tiến trình thỏa mãn mục tiêu an tồn tính bí mật hay tồn vẹn Trình bày hệ thống bảo vệ bắt buộc Cho ví dụ? Hệ thống bảo vệ bắt buộc hệ thống mà sửa đổi người quản trị tin cậy thông qua phần mềm tin cậy gồm biểu diễn trạng thái sau:  Trạng thái bảo vệ bắt buộc trạng thái mà chủ thể đối tượng biểu diễn nhãn Các trạng thái mô tả thao tác mà nhãn chủ thể thực lên nhãn đối tượng  Trạng thái dán nhãn để ánh xạ tiến trình đối tượng tài nguyên hệ thống tới nhãn  Trạng thái dịch chuyển mô tả cách thức hợp lệ mà tiến trình đối tượng dán nhãn lại (thay đổi nhãn) Vũ Văn Bắc Trong hệ điều hành an tồn, nhãn định danh khái quát Các nhãn chống lại việc xâm nhập (temper-proof) nhờ:  Tập nhãn xây dựng người quản trị tin cậy phần mềm tin cậy  Tập nhãn không thay đổi (bởi tiến trình khơng tin cậy người dùng) Nêu chức giám sát tham chiếu? - Giám sát tham chiếu (Reference Monitor) chế thực thi truy nhập cổ điển Khi có yêu cầu truy nhập, phận giám sát trả lời chấp nhận hay từ chối truy nhập Giám sát tham chiếu bao gồm phần: Giao tiếp xác định vị trí mà mơ-đun xác thực gọi; Mơ-đun xác thực xác định truy vấn xác cần gửi tới kho sách; Kho sách trả lời truy vấn dựa hệ thống bảo vệ mà trì Vũ Văn Bắc  Giao tiếp xác định vị trí truy vấn/yêu cầu hệ thống bảo vệ thực tới giám sát  Về tất thao tác nhạy cảm an ninh xác thực chế thực thi truy nhập Vũ Văn Bắc  Các thao tác nhạy cảm thao tác thực đối tượng cụ thể (file, socket ) mà thao tác xâm phạm yêu cầu an ninh hệ thống Mô-đun xác thực :  Là phận cốt lõi phận giám sát tham chiếu  Nhận tham số đầu vào từ giao tiếp định danh tiến trình, tham chiếu đối tượng, tên lời gọi hệ thống thực truy vấn kho sách để trả lời tính hợp lệ truy vấn từ giao tiếp Kho sách:  Chính sở liệu trạng thái bảo vệ, nhãn trạng thái trạng thái dịch chuyển  Các câu truy vấn có cấu trúc {nhãn chủ thể, nhãn đối tượng, tập thao tác} trả kết nhị phân (hợp lệ/không hợp lệ)  Các truy vấn việc dịch chuyển có dạng {nhãn chủ thể, nhãn đối tượng, tập thao tác, tài nguyên} Các khái niệm với nhân an toàn? - Nhân an toàn cách tiếp cận dựa giám sát tham chiếu có kết hợp phần cứng phần mềm để đảm bảo thực thi sách an toàn hệ thống +) Giám sát tham chiếu đảm bảo việc giám sát truy nhập từ chủ thể khác hệ thống tới tài nguyên/đối tượng - Cơ cở nhân dựa việc có phần nhỏ hệ thống phần mềm chịu trách nhiệm an toàn hệ thống lớn - Các chức an tồn bố trí phần lõi (nhân)tin cậy Kích cỡ nhỏ nhân giúp cho việc kiểm chứng tính đắn thuận tiện dễ dàng - Phần lõi phải bảo vệ chống giả mạo việckiểm soát truy nhập phần lõi bị bỏ qua Vũ Văn Bắc 10 Giải thích thuộc tính giám sát truy nhập? Ngăn chặn hoàn toàn (complete mediation): hệ thống đảm bảo chế thực thi truy nhập ngăn chặn toàn thao tác nhạy cảm với an ninh Chống xâm nhập (Tamper-proof): hệ thống đảm bảo có chế thực thi truy nhập, kể hệ thống bảo vệ, bị sửa đổi tiến trình (chương trình) khơng tin cậy Thẩm tra (verifiable): Cơ chế thực thi truy nhập, kể hệ thống bảo vệ, phải đủ nhỏ để kiểm tra phân tích, tính đắn đảm bảo Nói cách khác, phải có khả chứng minh hệ thống thực thi mục tiêu an toàn cách đắn 11 Nêu giải thích nguyên tắc kiến trúc an toàn? Xem xét vấn đề an toàn từ đầu: +) Coi trọng vấn đề an toàn ngang tính vận hành hệ thống phải tích hợp đầy đủ vào hệ thống +) Việc thiếu quan tâm đến vấn đề an tồn dễ dẫn đến việc khơng kiểm sốt phí tổn để bổ sung tính an toàn Lường trước yêu cầu an toàn +) Kiến trúc an tồn cần có tầm nhìn xa đề cập tới tính an tồn tiềm chí chưa có kế hoạch sử dụng +) Cần hiểu rõ yêu cầu an tồn hệ thống máy tính Hơn cần phải mô tả cách tường minh yêu cầu tương kiến trúc an toàn Vũ Văn Bắc +) Lường trước yêu cầu an tồn khơng ảnh hưởng đến mức độcần thiết làm hệ thống an tồn tương lai mà cịn giúp xác định liệu tính an tồn hệ thống nâng cao hay khơng Giảm thiểu cách ly biện pháp an toàn +) Để đạt độ tin cậy cao an toàn hệ thống, người thiết kế cần giảm thiểu kích cỡ độ phức tạp phần liên quan tới an tồn thiết kế Lý hệ điều hành khơng an tồn kích cỡ q lớn chúng làm cho khó nắm bắt tổng thể hệ thống +) Điểm then chốt để giảm thiểu phận liên quan tớian toàn hệ điều hành dùng số chế thực thi an tồn Thực quyền tối thiểu +) Các chủ thể (người dùng hay chương trình) cần cấp quyền khơng mức cần thiết để thực công việc Như vậy, thiệt hại lỗi hay phần mềm xấu giới hạn +) Quyền tối thiểu thể việc quản trị người dùng hệ thống Người dùng người quản trị không nên cấp truy nhập nhiều với cơng việc họ Giữ tính an ninh thân thiện +) Các chế an tồn khơng ảnh hưởng tới người dùng tn thủ quy định +) Thuận tiện cho người dùng để cấp quyền truy nhập +) Thuận tiện cho người dùng để hạn chế truy nhập An tồn khơng dựa bí mật +) Ngoại trừ việc quản lý mật khẩu, đích kiến trúc an tồn tránh phụ thuộc vào tính bí mật để đảm bảo an tồn 12 Nêu khái niệm lớp bảo vệ CPU? - Các lớp đặt ranh giới chặt chẽ mơ tả việc mã chương trình (tiến trình) hoạt động lớp thứ truy nhập thao tác phép thực +) Các chương trình nằm lớp bên có nhiều đặc quyền nằm lớp Vũ Văn Bắc - Các thành phần hệ điều hành hoạt động lớp cungcấp truy nhập tới vị trí nhớ, thiết bị ngoại vi, trình điều khiển hệ thống tham số cấu hình nhạy cảm - Các chương trình người dùng chịu hạn chế đến nhớ thiết bị phần cứng chịu giám sát hệ điều hành thông qua chức hệ điều hành hay lời gọi hệ thống - Các lớp tiêu biểu  Lớp 0: Nhân hệ điều hành  Lớp 1: Phần lại hệ điều hành  Lớp 2: Các trình điều khiển vào/ra tiện ích  Lớp 3: chương trình ứng dụng - Thực tế, lớp bảo vệ triển khai cách kế hợp phần cứng hệ điều hành - Các lớp bảo vệ hình thành nên rào cản chủ thểvà đối tượng thực thi việc giám sát truy nhập chủ thể thực việc truy nhập tới đối tượng Vũ Văn Bắc +)Mỗi đối tượng chủ thể gán số thể cấp độ lớp bảo vệ +)chủ thể có cấp độ thấp khơng thể truy nhập trực tiếp đối tượng có cấp độ cao Trong trường hợp cần thiết chủ thể yêu cầu thông qua lời gọi hệ thống Hệ điều hành thực việc kiểm sốt hồn tất truy nhập 13 Giải thích việc thực chế bảo vệ nhớ liệu lệnh tập lệnh x86? A, Lớp bảo vệ x86  CPU theo dõi mức đặc quyền (lớp bảo vệ) thông qua trường:  RPL: Requested Privilege Level ghi đoạn liệu Giá trị trường gán trực tiếp câu lệnh nạp liệu mà câu lệnh thay đổi luồng thực chương trình câu lệnh call  CPL: Current Privilege Level ghi đoạn lệnh Giá trị trì CPU ln với mức bảo vệ thời CPU Nói cách khác, giá trị CPL cho biết mức độ bảo vệ đoạn mã thực Vũ Văn Bắc  Trạng thái ban đầu 24 Trình bày cách lập mơ hình HRU? Ví dụ?  Mơ hình HRU xử lý quyền truy nhập chủ thể tính toàn vẹn quyền  Cho phép quyền truy nhập thay đổi xác định chủ thể đối tượng cần tạo xóa  Mơ hình HRU bao gồm  Tập chủ thể S  Tập đối tượng O  Tập quyền truy nhập R  Ma trận truy nhập M • M =(Mso)sS, oO | Mso R Các thao tác gốc  enter r into (Xs, Xo)  delete r from (Xs, Xo)  create subject Xs  create object Xo  destroy subject Xs  destroy object Xo Vũ Văn Bắc Ví dụ  Chủ thể s tạo file f (có quyền sở hữu o file này) có quyền đọc r, ghi w với file  Chủ sở hữu s f cấp quyền truy nhập r cho chủ thể p 25 Các thuộc tính an tồn mơ hình HRU?  Với ma trận truy nhập M quyền r, việc kiểm chứng tính an tồn M với r khơng xác định  Bài tốn an tồn không giải trường hợp tổng quát đầy đủ Với mơ hình hạn chế hơn, giải  Với hệ thống mà lệnh chứa thao tác (toán tử), với ma trận truy nhập M quyền r, việc kiểm chứng tính an toàn M xác định  Với hệ thống lệnh chứa thao tác, việc kiểm chứng khơng xác định  Bài tốn an tồn cho hệ thống xác thực xác định số lượng chủ thể hữu hạn 26 Cách lập mơ hình luồng thơng tin? Cách thức xác định thuộc tính an tồn tồn vẹn?Cho ví dụ?  Mơ hình luồng thơng tin biểu diễn cách thức liệu di chuyển đối tượng chủ thể hệ thống  Khi chủ thể (chương trình) đọc từ đối tượng (file), liệu từ đối tượng di chuyển vào nhớ chủ thể Nếu có bí mật đối tượng bí mật chuyển tới nhớ chủ thể đọc Và bí mật bị lộ chủ thể ghi bí mật đối tượng Vũ Văn Bắc  Đồ thị luồng thông tin gồm đỉnh chủ thể đối tượng, cung biểu diễn thao tác chủ thể đối tượng, chiều thể hướng liệu tới đối tượng hay vào nhớ chủ thể 27 Cách lập mơ hình Bell-LaPadula? Đánh giá thuộc tính an tồn mơ hình? - Mơ hình hướng tới việc bảo vệ tính bí mật - Kiểm sốt truy cập : Sử dụng nhãn bảo mật để phân loại đối tượng chủ thể Cách lập mơ hình: - Tập chủ thể S Top_Secret Secret Secret_But_Unclassified Unclassified Chủ thể Director Manager Employee Đối tượng Document_0 Document_1 Document_2 - Tập đối tượng O - Mơ hình có sách No read up no write down - Các chủ thể có mức an tồn thấp không phép đọc lên đối tượng có mức bảo mật cao Vũ Văn Bắc - Các chủ thể có mức bảo mật cao khơng ghi lên đối tượng có mức bảo mật thấp Đánh giá:  Hạn chế cho tính bí mật  Khơng có sách thay đổi quyền truy nhập  Chứa kênh ngầm (covert channel): đối tượng mức thấp phát tồn đối tượng mức cao bị từ chối truy nhập 28 Cho ví dụ giải thích mơ hình Biba? - Mơ hình Biba tập trung vào việc bảo vệ tính tồn vẹn liệu - Được thiết kế để ngăn chặn đối tượng làm hỏng liệu có mức tồn vẹn cao - Ta có tập chủ thể S: s1, s2, s3 - Tập đối tượng O: o1, o2, o3 Quyền đọc: O1 O2 O3 Quyền ghi: S1 Can read Can read Can read S2 Non Can read Can read S3 Non Non Can read S1 S2 S3 O1 Can write Can write Can write O2 Non Can write Can write O3 Non Non Can write Mơ hình bi ba đảo bảo tính tồn vẹn liệu Cho nên ngăn chặn việc chủ thể mức thấp có quyền viết hay chỉnh sửa đối tượng mức tồn vẹn cao Ngược lại tương tự quyền đọc 29 Trình bày đặc trưng cách xây dựng mơ hình Clark-Winson?  Mơ hình tập trung vào việc ngăn chặn người dùng không hợp lệ sửa đổi trái phép liệu  Trong mơ hình này, người dùng khơng thao tác trực tiếp với đối tượng mà thơng qua chương trình Chương trình hạn chế thao tác thực lên đối tượng bảo vệ tính tồn vẹn đối tượng Vũ Văn Bắc  Tính toàn vẹn dựa việc thủ tục định nghĩa tường minh việc tách biệt trách nhiệm Xây dựng mơ hình  Chủ thể đối tượng dán nhãn theo chương trình  Chương trình đóng vai trò lớp trung gian chủ thể đối tượng  Việc kiểm soát truy nhập thực nhờ  Định nghĩa thao tác truy nhập thực lên mục liệu  Định nghĩa thao tác truy nhập thực chủ thể  Các thuộc tính an tồn mơ tả qua luật chứng thực cần kiểm tra để đảm bảo sách an ninh quán với yêu cầu chương trình 30 Trình bày quy định chứng thực mơ hình Clark-Winson?  Thủ tục kiểm tra ban đầu IVP (Initial Verification Procedures) phải đảm bảo mục liệu hạn chế CDI (Constrained Data Items) trạng thái hợp lệ IVP chạy  Thủ tục chuyển đổi TP (Transformation Procedures) phải chứng thực hợp lệ tức CDI bắt buộc phải chuyển đổi thành CDI hợp lệ  Các luật truy nhập phải thỏa mãn yêu cầu việc tách biệt trách nhiệm  Tất thủ tục TP phải ghi vào log ghi thêm  Bất ky TP có đầu vào liệu không hạn chế UDI (unconstrained data items) phải chuyển đổi sang dạng CDI loại bỏ UDI khơng thực việc chuyển đổi 31 TRình bày qui định thực thi mơ hình Clark-Winson?  Bốn quy định thực thi mơ tả chế an ninh hệ thống  Hệ thống phải trì bảo vệ danh sách mục {TP,CDIi,CDIj, } cho phép TP xác thực truy nhập tới CDI  Hệ thống phải trì bảo vệ danh sách {UserID,TPi:CDIi,CDIj, } định TP mà người dùng chạy  Hệ thống phải xác thực người dùng yêu cầu thực TP  Chỉ có chủ thể xác thực qui định truy nhập TP sửa đối mục tương ứng danh sách Chủ thể phải khơng có quyền thực thi TP 32 Trình bày đặc trưng đặc tả an toàn?  Các đặc tả an tồn hữu ích cho hệ thống cần phải đảm bảo mức độ an toàn an ninh cao cịn mơ hình an tồn có khả ứng dụng rộng rãi  Mục đích đặc tả an toàn diễn tả hành vi chức hệ thống theo Vũ Văn Bắc cách thức xác, không lập lờ phù hợp với việc xử lý máy tính  Yêu cầu phù hợp với xử lý máy tính để giảm thiểu lỗi người gây giúp cho việc phân tích phần cứng hay phần mềm xây dựng có thỏa mãn đặc tả hay khơng  Các đặc tả tắc dùng để chứng minh thuộc tính thiết kế hệ thống đặc biệt việc phù hợp với đặc tả mơ hình an tồn  Việc kiểm chứng chứng minh việc triển khai tuân thủ hay phù hợp với đặc tả tắc Việc chứng minh tắc đầy đủ cho hệ thống lớn thực thách thức cho dù mặt lý thuyết chứng minh nghiên cứu rõ ràng  Dù việc kiểm chứng tắc phần giúp người dùng đánh giá mức độ tương ứng đặc tả triển khai  Các đặc tả tắc trơng giống chương trình máy tính thơng thường với biểu thức lơ-gíc tinh tốn Tuy nhiên, ký hiệu có ngữ nghĩa phong phú ngơn ngữ máy tính cho phép biểu diễn phép tốn lơ-gíc quan hệ  Các đặc tả tắc bao gồm đặc tả giao tiếp hành vi  Đặc tả giao tiếp: giúp cho việc phân rã hệ thống lớn thành hệ thống Các giao tiếp thường mô tả tập đối tượng hay thành phần cho biết liệu thao tác truy nhập thông qua giao tiếp  Đặc tả hành vi: mơ tả trạng thái hệ thống thao tác làm thay đổi trạng thái Nói cách khác hành vi hệ thống cách xây dựng cách thức hành vi làm thay đổi trạng thái hệ thống 33 Trình bày khái niệm máy chứng minh (theorem prover)?  Chứng minh đặc tả phức tạp có lỗi cần công cụ tự động Các công cụ gọi công cụ chứng minh định lý (theorem prover)  Các hệ thống chứng minh tích hợp đặc tả sinh cách tự động định lý dựa tiên đề, hàm, bất biến, hạn chế thành phần khác đặc tả  Cần có trợ giúp từ phía người dùng việc sinh tiên đề, ràng buộc hay bất biến 34 Trình bày khái niệm kiểm chứng mơ hình (model checking)?  Kiểm chứng dựa mơ hình (model based) cách mô tả hành vi hệ thống theo cách thức xác rõ ràng mặt tốn học Các mơ hình hệ thống kiểm nghiệm tất trạng thái thuật toán  Việc cho phép phát sớm lỗi thiếu đầy đủ, mơ hồ, không quán giai đoạn phân tích thiết kế Vũ Văn Bắc  Kỹ thuật sở kỹ thuật từ kiểm nghiệm tồn (kiểm chứng mơ hình – model checking) hay kiểm nghiệm tình giới hạn (mơ phỏng) hay kiểm nghiệm thực tế (test) 35 Trình bày khái niệm phân rã cấu trúc liệu?  Kiểm chứng dựa mơ hình (model based) cách mơ tả hành vi hệ thống theo cách thức xác rõ ràng mặt tốn học Các mơ hình hệ thống kiểm nghiệm tất trạng thái thuật toán  Việc cho phép phát sớm lỗi thiếu đầy đủ, mơ hồ, khơng qn giai đoạn phân tích thiết kế  Kỹ thuật sở kỹ thuật từ kiểm nghiệm tồn (kiểm chứng mơ hình – model checking) hay kiểm nghiệm tình giới hạn (mô phỏng) hay kiểm nghiệm thực tế (test) 36 Trình bày khái niệm phân rã chương trình?  Kỹ thuật phân rã thuật tốn cho phép mơ tả phần cấu trúc nội hệ thống Kỹ thuật coi hệ thống chuỗi máy trạng thái có phân lớp  Mỗi máy trạng thái sử dụng chức lớp cung cấp  Việc triển khai chức (function) bao gồm chương trình khái qt sử dụng chức có máy trạng thái bên  Lớp thấp cung cấp chức nguyên thủy hệ thống mà phân rã thêm  Việc chứng minh đặc tả sử dụng kỹ thuật trước hết cần chứng minh đặc tả mức cao tương ứng với mơ hình xây dựng  Tiếp theo chứng minh chương trình khái quát lớp cao phù hợp với đặc tả biết đặc tả chức lớp  Nhược điểm kỹ thuật việc khó thực chứng minh thuật tốn khái quát Một số toán chứng minh thuộc lớp tốn khó (intractable) Vũ Văn Bắc 37 TRình bày cần thiết áp dụng kiểm chứng mã chương trình?  Tất dự án phần mềm tối thiểu hướng tới kết đoạn mã Ở mức đoạn mã, mục tiêu trọng tâm lỗi việc triển khai, lỗi mà công cụ quét mã nguồn với lỗ hổng phổ biến phát  Các lỗi triển khai vừa nhiều vừa phổ biến gồm lỗi tiếng tràn đệm  Quá trình đánh giá mã nguồn thủ cơng hay tự động nhằm mục đích xác định lỗi liên quan đến an ninh hay an toàn trước phần mềm xuất xưởng  Tất nhiên, khơng có phương thuốc trị bách bệnh Việc đánh giá mã nguồn cần thiết chưa đủ để đạt phần mềm an ninh  Các lỗi an ninh vấn đề hiển song lỗ hổng thiết kế vấn đề nghiêm trọng phát nhờ việc đánh giá mã nguồn Các tiếp cận đầy đủ để đạt phần mềm an tồn kết hợp hài hịa đánh giá mã nguồn phân tích thiết kế  Việc đánh giá mã nguồn hiển nhiên cần tri thức lập trình Việc hiểu biết cớ chế an tồn hay an tồn mạng khơng có ích nhiều với việc đánh giá mã nguồn 38 Khái niệm phân tích tĩnh?  Phân tích tĩnh đề cập đến kỹ thuật đánh giá mã nguồn nhằm cảnh báo lỗ hổng an tồn tiềm tàng mà khơng thực thi chúng  Một cách lý tưởng cơng cụ tự động tìm kiếm lỗi an ninh với mức độ đảm bảo định lỗi song việc vượt khả nhiều công cụ thời  Các kỹ thuật kiểm tra phần mềm (testing) thông thường nhằm kiểm tra ... minh hệ thống thực thi mục tiêu an toàn cách đắn 11 Nêu giải thích nguyên tắc kiến trúc an toàn? Xem xét vấn đề an toàn từ đầu: +) Coi trọng vấn đề an toàn ngang tính vận hành hệ thống phải tích... S: s1, s2, s3 - Tập đối tượng O: o1, o2, o3 Quyền đọc: O1 O2 O3 Quyền ghi: S1 Can read Can read Can read S2 Non Can read Can read S3 Non Non Can read S1 S2 S3 O1 Can write Can write Can write O2... chức hay việc triển khai hệ thống Vũ Văn Bắc  Thể rõ ràng sách an tồn 21 Giải thích vai trị mơ hình an tồn?  Một vấn đề khiến cho hệ thống an toàn người thiết kế không xác định cách xác đắn