MAC cung cấp trạng thái thông thường của chính sách “an ninh bắt buộc” của Sea View. Chính sách “an ninh bắt buộc” của Sea View là tổng hợp các tiên đề của mô hình Bell-La Paudula và Biba. Nó được mô tả một cách hình thức bởi các giới hạn về chủ thể, đối tượng, lớp truy nhập.
Lớp truy nhập
Lớp truy nhập có thành phần bí mật và thành phần toàn vẹn: Thành phần bí mật gọi là lớp bí mật, đáp ứng mức bảo mật của mô hình Bell-La Padula. Thành phần toàn vẹn được gọi là lớp toàn vẹn, đáp ứng mức toàn vẹn của mô hình Biba.
Lớp truy nhập của mô hình Sea View có quan hệ thứ bậc, gọi là trội hơn (≥). Lớp truy nhập C1 “trội hơn” (≥) lớp truy nhập C2 khi và chỉ khi thành phần bí mật của C1 trội hơn của C2 và thành phần toàn vẹn của C2 trội hơn của C1, tức là:
2 1 2 1 2 1 2 2 2 1 1 1 (X ,Y ),C (X ,Y ), C C X X , Y Y C = = ≥ ⇔ ≥ ≤
Quan hệ C1 là “trội hơn hoàn toàn” C2 được ký hiệu là C1>C2. Nếu C1≥ C2 và C1
≤C2 thì ta nói hai lớp truy nhập là không so sánh được.
Đối tượng
Đối tượng trong mô hình MAC là nơi chứa thông tin (files) mà việc truy nhập tới phải được kiểm soát. Đối tượng được mô hình MAC bảo vệ là cấu trúc không trừu tượng của CSDL, chúng là các file đơn mức, chịu quản lý của hệ điều hành.
Chủ thể
Chủ thể theo mô hình MAC là tiến trình, hoạt động nhân danh người dùng. Mỗi người dùng trong hệ thống được giao một phạm vi về lớp bí mật và lớp toàn vẹn mà họ được phép thi hành. Chủ thể thi hành nhân danh người dùng được phân lớp. Mỗi người dùng được giao lớp bí mật và toàn vẹn tối thiểu, nghĩa là sở hữu riêng bí mật tối thiểu và toàn vẹn tối thiểu, bổ sung vào lớp tiêu chuẩn các lớp bí mật và toàn
vẹn tối đa. Cặp (bí mật tối thiểu, toàn vẹn tối đa) được gọi là lớp ghi của chủ thể. Cặp (bí mật tối đa, toàn vẹn tối thiểu) được gọi là lớp đọc của chủ thể. Với mỗi chủ thể lớp đọc phải “trội hơn” lớp ghi.
Nếu lớp đọc của chủ thể “trội hơn hoàn toàn” lớp ghi của chủ thể thì chủ thể được gọi là tin cậy. Nếu sự chính xác vượt trội được kiểm chứng cho lớp bí mật thì chủ thể là tin cậy với lớp bí mật riêng. Nếu sự chính xác vượt trội được kiểm chứng cho lớp toàn vẹn thì chủ thể là tin cậy với lớp toàn vẹn riêng. Chủ thể tin cậy với bí mật riêng chấp nhận ghi dữ liệu tại lớp bí mật thấp hơn so với đọc một vài dữ liệu. Trong trường hợp đó thì phải chỉ ra rằng chủ thể sẽ không truyền dữ liệu xuống. Chủ thể tin cậy với toàn vẹn riêng chấp nhận đọc dữ liệu tại lớp toàn vẹn thấp hơn so với ghi một vài dữ liệu. Trong trường hợp đó thì phải chỉ ra rằng chủ thể sẽ không dùng dữ liệu toàn vẹn thấp hơn để truyền dữ liệu ghi được. Các chủ thể không tin cậy có lớp đọc và lớp ghi bằng nhau.
Lưu ý rằng không phải tất cả các chủ thể đều là chủ thể tin cậy, những chủ thể đó yêu cầu trạng thái tin cậy cho hoạt động mình, có thể được thừa nhận đặc quyền của chủ thể tin cậy.
Kiểu truy nhập
Chính sách “an ninh bắt buộc” chỉ thiết lập tập các kiểu truy nhập cơ bản, đáp ứng thành phần truy nhập có thể thực thi trên đối tượng của hệ thống hoạt động với CSDL. Các kiểu truy nhập bắt buộc là:
Read: Đọc thông tin lưu trữ trong đối tượng Write: Ghi thông tin vào trong đối tượng Execute: Thực thi đối tượng
Các tiên đề
Việc thực thi kiểu truy nhập trên đối tượng theo mô hình MAC là quản trị các tiên đề. Những tiên đề này tóm tắt nguyên tắc của mô hình Bell-La Padula và mô hình Biba.
(1) Đặc tính đọc
Chủ thể s có thể đọc đối tượng o chỉ khi lớp đọc của chủ thể trội hơn lớp truy nhập của đối tượng.
Đặc tính này đáp ứng yêu cầu thành phần bí mật tối đa của chủ thể trội hơn lớp bí mật của đối tượng, và lớp toàn vẹn của đối tượng trội hơn thành phần toàn vẹn tối thiểu của chủ thể. Đặc tính đọc là công thức không đọc lên (nguyên tắc về sự bí mật trong mô hình Bell-La Padula), và không đọc xuống (nguyên tắc chính về chính sách toàn vẹn chính xác của mô hình Biba).
(2) Đặc tính ghi
Chủ thể s có thể ghi đối tượng o chỉ khi lớp truy nhập của đối tượng trội hơn lớp ghi của chủ thể.
Đặc tính này đáp ứng yêu cầu lớp bí mật của đối tượng trội hơn thành phần bí mật tối thiểu của chủ thể, và thành phần toàn vẹn tối đa của chủ thể trội hơn lớp toàn vẹn của đối tượng. Đặc tính ghi là công thức không ghi xuống (nguyên tắc bí mật của mô hình Bell-La Padula), và không ghi lên (nguyên tắc chính về chính sách toàn vẹn chính xác của mô hình Biba)
(3) Đặc tính thực thi
Chủ thể s có thể thực thi đối tượng o chỉ khi toàn vẹn đối đa của chủ thể nhỏ hơn hoặc bằng lớp toàn vẹn của đối tượng, và bí mật tối đa của chủ thể lớn hơn hoặc bằng lớp bí mật của đối tượng.
Đặc tính này được yêu cầu bởi vì những nguyên tắc của chính sách toàn vẹn chính xác của mô hình Biba có thể quá hạn chế cho hệ thống CSDL. Các chủ thể CSDL toàn vẹn cao khi quản lý CSDL có thể tin cậy cho đọc dữ liệu toàn vẹn thấp, bỏ qua việc truyền dữ liệu của lớp toàn vẹn cao dự phòng và không thực thi các đối tượng chương trình có tính toàn vẹn thấp hơn.
Tuy nhiên tiên đề của mô hình Biba không chấp nhận điều này. Mô hình Sea View vượt qua giới hạn này, bằng cách phân biệt truy nhập thực thi từ truy nhập đọc, chấp nhận chủ thể tin cậy đọc dữ liệu của mức toàn vẹn thấp hơn so với toàn vẹn tối đa của chúng, hạn chế truy nhập thực thi cho các chủ thể tới chương trình với toàn vẹn lớn hơn hoặc bằng.
Việc phân biệt giữa truy nhập đọc và truy nhập thực thi là không thích đáng cho lớp bí mật, bởi vì lớp bí mật của đối tượng chương trình không phản ánh chúng tin cậy, không phân biệt thông tin.
(adsbygoogle = window.adsbygoogle || []).push({});