Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài giảng Bảo mật hệ thống thông tin: Chương 5 - ĐH Bách khoa TP HCM

66 27 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Bài giảng Bảo mật hệ thống thông tin: Chương 5 - Điều khiển truy cập bắt buộc (Mandatory Access Controls) sau đây sẽ giúp cho các bạn hiểu rõ hơn về điều khiển truy cập bắt buộc, mô hình điều khiển truy cập bắt buộc, Case study - Oracle Label Security.

Chương 5: Điều khiển truy cập bắt buộc Mandatory Access Controls (MAC) Khoa Khoa học Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Giới thiệu điều điểu khiển truy truy cập bắt buộc Mơ hình điểu khiển truy cập bắt buộc Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Giới thiệu điều khiển truy cập bắt buộc     Các lớp bảo mật (security classes) Các tính chất điều khiển truy cập bắt buộc Quan hệ đa mức Ưu khuyết điểm điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Giới thiệu điều khiển truy cập bắt buộc  Điều khiển truy cập bắt buộc (Mandatory Access Control MAC):   Được dùng để bảo vệ khối lượng liệu lớn cần bảo mật cao môi trường mà liệu người dùng phân loại rõ ràng Là chế để thực mơ hình bảo mật nhiều mức (multiple level) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Các lớp bảo mật     Người dùng liệu phân loại dựa theo lớp bảo mật (security classes) Phân loại người dùng dựa theo mức độ tin cậy lĩnh vực hoạt động người dùng Phân loại liệu dựa theo mức độ nhạy cảm lĩnh vực liệu Lớp bảo mật phân loại theo   Mức bảo mật (Classification level) Lĩnh vực (Category) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Mức bảo mật  Các mức bảo mật bản:        Top secret (TS) Secret (S) Confidential (C) Unclassified (U) Trong TS mức cao U mức thấp nhất: TS ˃ S ˃ C ˃ U Người dùng cấp cao mức độ đáng tin cậy lớn Dữ liệu cấp cao nhạy cảm cần bảo vệ Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Lĩnh vực   Phân loại người dùng liệu theo lĩnh vực hoạt động hệ thống, theo phòng ban tổ chức Ví dụ: Một cơng ty có phịng ban là: Phòng kinh doanh, phòng sản xuất phòng phân phối Như người dùng liệu cơng ty phân loại theo lĩnh vực dựa theo phòng ban Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Lớp bảo mật    Một lớp bảo mật (security class) định nghĩa sau: SC = (A, C) A: mức bảo mật C: lĩnh vực Hai lớp bảo mật SC SC’ có mối quan hệ thứ tự riêng phần SC ≤ SC’ nếu: A ≤ A’ C  C’ Ví dụ:   (C, {Sales}) ≤ (S, {Sales, Production}) (C, {Sales, Production}) ≤ (S, {Sales}) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Giới thiệu điều khiển truy cập bắt buộc     Các lớp bảo mật Các tính chất điều khiển truy cập bắt buộc Quan hệ đa mức Ưu khuyết điểm điều khiển truy cập bắt buộc Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Các tính chất điều khiển truy cập bắt buộc   Tính chất bảo mật đơn giản (Simple security property or ss-property): Một chủ thể s không phép ĐỌC đối tượng o, trừ khi: class(s) ≥ class(o)  Không đọc lên (No read-up) Tính chất (Star property or *-property): Một chủ thể s không phép GHI lên đối tượng o, trừ khi: class(s) ≤ class(o)  Không ghi xuống (No write-down) Những tính chất nhằm đảm bảo khơng có dịng thơng tin từ lớp cao xuống lớp thấp!!! Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 10 Mức nhạy cảm (sensitivity level)     Mức nhạy cảm thể mức độ nhạy cảm liệu mức độ bảo mật người dùng Mức nhạy cảm liệu cao cần phải bảo vệ Mức nhạy cảm người dùng thấp cần phải hạn chế quyền người dùng Mức nhạy cảm có quan hệ thứ bậc (hierachical) Ví dụ: Execute (3) Manager (2) Employee (1) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 52 Ngăn (Compartment)    Compartment định nghĩa lĩnh vực liên quan đến liệu Thành phần compartment khơng có mối quan hệ thứ bậc mà quan hệ chứa/bao gộp (tập hợp) Ví dụ:    FOOD CLOTHS ELECTRICAL GOODS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 53 Nhóm (group)    Thành phần group định nghĩa cách tổ chức liệu Giữa thành phần group có mối quan hệ (so sánh) chacon Ví dụ: Country North Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Middle South Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 54 Các thành phần nhãn Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 55 Cú pháp viết nhãn   Cú pháp: LEV : COM1, , COMn : GRP1, , GRPn Ví dụ:   MGR:CS:NA EXEC:CS,ES,FS:NA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Level: MGR: Manager EXEC: Executive Compartment: CS: Cloths ES: Electrical Goods FS: Food Group: NA: North Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 56 Oracle Label Security     Giới thiệu Oracle Label Security (OLS) Các thành phần nhãn (label) Cách thức hoạt động OLS Ví dụ: “Order Management” Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 57 Quản lý truy cập   Một người dùng truy cập liệu nằm phạm vi quy định nhãn nhạy cảm Một người dùng có:      mức nhạy cảm cao thấp tập compartment tập group Một đặc tả quyền truy cập (đọc/ghi) cho compartment group Cách so sánh nhãn người dùng với nhãn liệu? Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 58 Truy cập ĐỌC Example: Data Label: Quoc Thai Dan An MGR:CS:NA MGR:FS:MA EMP:CS:NA EMP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 User label: MGR:CS:NA User label: EMP:FS:NA User label: EMP:NA Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 59 Truy cập GHI Example: Data Label: Quoc MGR:CS:NA Thai MGR:FS:MA Dan EMP:CS:NA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Anvà Kỹ Thuật Máy Tính EMP © 2011 User label: MGR:CS:NA User label: EMP:FS:NA User label: EMP:NA Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 60 Oracle Label Security     Giới thiệu Oracle Label Security (OLS) Các thành phần nhãn (label) Cách thức hoạt động OLS Ví dụ: “Order Management” Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 61 Project “Order Management” Position n located Branch 1 has work at n manage Region n Employee n n belong to Compartment Customer Product order n Orders Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 n n include Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 62 Project “Order Management” Country Group North Middle South Compartment Level Employee Food Cloths Electrical goods Manager Food Cloths Electrical goods Executive Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 All Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 63 Director Executives (North Branches) Executives (Middle Branches) Executives (South Branches) Managers (Cosmetics) Managers (Cloths) Managers (Eletrical goods) Managers (Cosmetics) Managers (Cloths) Managers (Eletrical goods) Managers (Cosmetics) Managers (Cloths) Managers (Eletrical goods) Employees (Cosmetics) Employees (Cloths) Employees (Electrical goods) Employees (Cosmetics) Employees (Cloths) Employees (Electrical goods) Employees (Cosmetics) Employees (Cloths) Employees (Electrical goods) Cần bảo vệ đơn hàng (ORDERS) thông tin cá nhân Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 64 Nội dung Giới thiệu điểu khiển truy cập bắt buộc Mơ hình điểu khiển truy cập bắt buộc Case study: Oracle Label Security Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 65 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 66 ... ban Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) Lớp bảo mật    Một lớp bảo mật (security class)... hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 11 Tại có tính chất * Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: ... khóa quan hệ bình thường (single-level relation) (bỏ thuộc tính mức bảo mật) Trường Đại Học Bách Khoa Tp. HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển

Ngày đăng: 08/05/2021, 19:06

Xem thêm:

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN