3. Cho điểm của cán bộ h− ớng dẫn:
2.2.1 Kiểm soỏt truy cập tuỳ quyền
(Discretionary Access Control- DAC).
Là chớnh sỏch truy cập mà chủ nhõn thụng tin hay tài nguyờn tự quyết định xem ai là người được phộp truy cập nú, và những quyền nào mà người đú được phộp thi hành.
Hai khỏi niệm trong truy cập tuỳ quyền là: sở hữu thụng tin, quyền và phộp truy cập thụng tin.
Sở hữu thụng tin nghĩa là chớnh sỏch truy cập cỏc đối tượng do chủ nhõn tài nguyờn quyết định.
Quyền và phộp truy cập là quyền khống chế những tài nguyờn, do chủ nhõn tài nguyờn chỉ định cho mỗi người hoặc nhúm người.
Kĩ thuật được dựng trong kiểm soỏt truy cập tựy quyền là danh sỏch kiểm soỏt truy cập (Access Control List- ACL):
Định danh cỏc quyền và phộp được chỉ định cho 1 chủ thể hoặc 1 đối tượng. Đõy là phương phỏp linh hoạt để ỏp dụng DAC.
2.2.2 Kiểm soỏt truy cập trờn cơ sở vai trũ
(Role Base Access Control - RBAC).
Chỉ định tư cỏch nhúm người dựng dựa trờn vai trũ của tổ chức hoặc chức năng của vai trũ. Chớnh sỏch này giỳp tối giảm việc điều hành quản lớ quyền và phộp truy cập. Nú sẽ hạn chế người dựng bất hợp phỏp truy cập hệ thống.
Trong an ninh với hệ thống mỏy tớnh, kiểm soỏt truy cập trờn cơ sở vai trũ là một trong số cỏc chớnh sỏch kiểm soỏt và đảm bảo quyền sử dụng cho người dựng.
Trong nội bộ tổ chức, cỏc vai trũ (roles) được kiến tạo để đảm nhận cỏc chức năng cụng việc khỏc nhau. Mỗi vai trũ được gắn liền với một số quyền hạn cho phộp nú thao tỏc một số hoạt động (permissions). Mỗi người dựng trong hệ thống được phõn phối một vai trũ riờng, và qua việc phõn phối đú họ tiếp thu được một số quyền hạn, cho phộp họ thi hành những chức năng cụ thể trong hệ thống.
Do người dựng khụng được cấp phộp một cỏch trực tiếp, họ chỉ tiếp thu được những quyền hạn thụng qua vai trũ của mỡnh. Vỡ vậy, việc quản lớ quyền hạn người dựng trở nờn đơn giản, và chỉ cần chỉ định những vai trũ thớch hợp cho người dựng. Việc chỉ định cỏc vai trũ này đơn giản hoỏ những cụng việc thụng thường như thờm một người dựng vào hệ thống.
RBAC khỏc với cỏc danh sỏch kiểm soỏt truy cập (ACLs) được dựng trong DAC, nú chỉ định cỏc quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vỡ tới cỏc đối tượng dữ liệu hạ tầng. Vớ dụ, ACL cú thể cho phộp hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nú khụng cho ta biết phương cỏch cụ thể để thay đổi tập tin đú. Trong hệ thống dựng RBAC, một thao tỏc cú thể là việc một chương trỡnh ứng dụng tài chớnh kiến tạo một giao dịch trong “tài khoản tớn dụng” (credit account transaction).
24