Chính sách tuyển sinh trong ATRBAC-XML

Một phần của tài liệu Nghiên cứu phát triển các giải pháp kiểm soát truy nhập đảm bảo an toàn an ninh cho mạng máy tính191 (Trang 128 - 132)

Ngôn ngữ đặc tả đã nêu trong Mục 3.2.1 có thể đợc sử dụng để tạo ra các

tài liệu chính sách. Do khuôn khổ luận án, không đa ra các tài liệu chính sách XML ở đây. Việc đặc tả chính sách sau đó đợc tải vào trong hệ thống kiểm soát truy nhập thông tin để thực thi. Để cung cấp thông tin cần thiết cho việc thực thi một chính sách kiểm soát truy nhập, nhân viên quản trị an toàn mạng của hệ thống sẽ nạp các định nghĩa chính sách cơ bản liên quan tới các tiêu chuẩn ngời dùng, các ràng buộc phân ly trách nhiệm, các ràng buộc thời gian. Tiếp theo, nhân viên quản trị an toàn mạng sẽ tạo ra các tài liệu chính sách liên quan tới các ngời dùng, các vai, các giấy phép, các phép gán ngời dùng vào vai và các phép gán giấy phép cho vai. Các tài liệu chính sách này tham chiếu tới thông tin bổ sung đợc các tài liệu định nghĩa chính sách cung cấp để đặc tả một tập chi tiết tỉ mỉ các ràng buộc thời gian dựa trên ngữ cảnh đối với chính sách kiểm soát truy nhập hệ thống thông tin tuyển sinh.

Bảng 3.6 – Một tập con vai và các giấy phép đ ợc gán cho vai trong hệ thống tuyển sinh

STT Định danh vai đ ợc gán cho vai Các giấy phép thời gian đ ợc gán Ràng buộc

1 vaiTBTK PhânCôngCoiThi1 Ngay7 7Ngay9- -7 PhânCôngChấmNK1 Ngay8-7Ngay12-7 2 vaiUVTK QuyTrìnhCoiThiTN

QuyTrìnhChấmNK QuyChếThi

3 vaiPTMT XửLýDữ ệuTS Li Ngay1-5Ngay20-8 ChiaNhómThiNK Ngay8-7Ngay12-7 DồnTú àiB iThi Ngay15-7Ngay20-7 ĐốiChiếuSBDPhá ch Ngay15-7Ngay20-7 4 vaiNVMT CậpNh tD Liậ ữ ệuTS Ngay1-5Ngay20-8 5 vaiTBDT Gi iMả ãĐềThi Ngay6 7Ngay7- -7 6 vaiCBDT InĐềThi Ngay6 7Ngay7- -7 QuyTrìnhBảoMậtĐT Ngay6 7Ngay7- -7 DanhSáchPhòngThi

7 vaiTRDT PhânCôngCoiThi2 Ngay8 7Ngay9- -7 8 vaiCBCT QuyTrìnhCoiThiTN

QuyChếThi

9 vaiTBCNK PhânCôngChấmNK2 Ngay9-7Ngay12-7 10 vaiGKNK QuyTrìnhChấmNK

QuyChếThi

Thông tin từ hai tập hợp tài liệu chính sách đợc đọc vào trong một mô-đun con ATRBAC của ATRBAC-XML, tạo ra sự biểu diễn cơ sở chính sách XML. Quá trình quản trị chính sách tạo ra sự biểu diễn bên trong đầy đủ của chính sách kiểm soát truy nhập thông tin tuyển sinh đợc đặc tả (xem Hình 3.4, Hình 3.5).

Giai đoạn thực thi chính sách sử dụng thông tin này để cho phép ngời dùng tạo các phiên và truy nhập các tài nguyên đợc phép. Các điều kiện ngữ cảnh đợc cung cấp bên trong các ràng buộc kích hoạt sẽ đợc đánh giá để tạo ra các quyết định kiểm soát truy nhập.

Hình 3.4 – g ời dùng với tiêu chuẩn và gán ng ời dùng vào vai N

ở đây áp dụng cơ chế an toàn ba mức để thực thi hiệu quả chính sách kiểm soát truy nhập. Trớc tiên ở mức 1, ngời dùng chỉ có thể kích hoạt một vai nếu họ , có các tiêu chuẩn thoả mãn điều kiện gán vào vai này và sự hạn chế đợc áp đặt thông qua giao diện đồ hoạ ngời dùng của ATRBAC-XML bằng cách chỉ cho phép các vai đã đợc gán xuất hiện trong danh sách đổ xuống để chọn. Tiếp theo, ở mức 2, sự kích hoạt vai chỉ thành công nếu vai đợc kích hoạt đó có khả năng tại thời điểm này. Cuối cùng, ở mức 3, khi một vai đã đợc kích hoạt, ngời dùng bị hạn chế yêu cầu truy nhập chỉ vào những tài nguyên mà vai này có giấy phép sử dụng các tài nguyên đó. Sự hạn chế cũng đợc áp đặt bằng cách cho phép lựa chọn từ danh sách đổ xuống các tài nguyên có thể truy nhập ứng với các giấy phép đợc gán cho vai đã đợc kích hoạt này (xem Hình 3.6).

Hình 3.6 – Kiểm soát truy nhập của ng ời dùng tới tài nguyên hệ thống

Trong công tác th ký xác định một quan hệ phân cấp kế thừa giấy phép hạn chế yếu vaiCTHD là cấp trên của vaiTBTK, vaiTBTK lại là cấp trên của vaiUVTK. : Do tính bắc cầu của quan hệ này, nên vaiCTHD là cấp trên của vaiUVTK. Trong thời gian Ngay1-7Ngay7-7, vaiCTHD có khả năng, còn vaiUVTK không có khả năng. Nhng vaiCTHD là cấp trên của vaiUVTK trong quan hệ phân cấp kế thừa giấy phép hạn chế yếu, nên nó có đợc các giấy phép của vaiUVTK trong thời gian này.

Trong công tác hấm thi năng khiếu xác định c một quan hệ phân cấp kế thừa kích hoạt hạn chế yếu vaiTBCNK là cấp trên của vaiTTGK, vaiTTGK là cấp trên : của vaiGKNK. Do tính bắc cầu của quan hệ này, nên vaiTBCNK là cấp trên của vaiGKNK. Ngời dùng pxthanhđợc gán vào vaiTBCNK và có thể kích hoạt đợc

vai này thì cũng có thể kích hoạt đợc vaiGKNK. Trong thời gian Ngay1-7Ngay8- 7, vaiTBCNK không có khả năng, vaiGKNK có khả năng. Nhng vaiTBCNK là cấp trên của vaiGKNK trong quan hệ phân cấp kế thừa kích hoạt hạn chế yếu, nên trong thời gian này ngời dùng pxthanhkích hoạt đợc vaiGKNK.

Minh chứng cho ràng buộc hạn chế ngời dùng kích hoạt vai Một ngời :

dùng không thể kích hoạt đồng thời đợc 2 vai trong một tập vai phân ly trách nhiệm động trong cùng một phiên của mình. Ví dụ Ngời dùng : thanhbinh trong thời gian Ngay6-7Ngay7-7 đợc gán vào vaiNVMT và vaiCBDT thuộc một tập vai phân ly trách nhiệm động, nên thanhbinh chỉ có thể kích hoạt đợc một vai trong phiên của mình. Chỉ có một ngờ dùng đợc gán vào vaiPTMT. Vai này đợc cấp i các giấy phép: Hớng dẫn dồn túi bài thi, Bảng đối chiếu SBD-Phách. Đây là những thông tin mật trong tuyển sinh, chỉ đợc phép in ra sau khi thi môn thi tự luận và sử dụng theo yêu cầu của Chủ tịch HĐTS trong khoảng thời gian Ngay15-7Ngay20-7. Vì vậy vaiPTMT cần có ràng buộc kích hoạt: chỉ có thể đợc kích hoạt khi vaiCTHD đã đợc kích hoạt.

Cơ chế an toàn ba mức đảm bảo sự thực thi chính sách kiểm soát truy nhập bằng cách hạn chế ngời dùng chỉ truy nhập vào tập tài nguyên sẵn dùng cho họ và ngăn chặn những yêu cầu truy nhập vào các tài nguyên không đợc cấp quyền.

Một phần của tài liệu Nghiên cứu phát triển các giải pháp kiểm soát truy nhập đảm bảo an toàn an ninh cho mạng máy tính191 (Trang 128 - 132)

Tải bản đầy đủ (PDF)

(149 trang)