Thành công trong việc đạt được mức độ an toàn cao trong hệ thống tùy thuộc vào mức độ cẩn thận trong quá trình thiết kế và triển khai các biện pháp kiểm soát an ninh. Mục tiêu của mô hình an ninh là biểu diễn các yêu cầu về an toàn của hệ thống một cách chính xác và kiểm chứng được.
4.1.1 Các đặc trưng
Mô hình an toàn có các đặc trưngcơ bản sau:
Chính xác và không mơ hồ. Mô hình an toàn biểu diễn và thực thi chính sách an toàn của hệ thống chính vì vậy thuộc tính đầu tiên là tính chính xác và rõ ràng để
mô tả một cách đầy đủ và trọn vẹn chính sách cần thực thi của hệ thống. Với các hệ thống an toàn cao, mô hình được diễn giải bằng các ký hiệu toán học. Tuy vậy, các khái niệm của việc lập mô hình hệ thống không nhất thiết cần các công cụ
toán học đặc biệt là khi sử dụng lại mô hình sẵn có. Khi này, biểu diễn mô hình bằng ngôn ngữthông thường hoàn toàn có thểđủ thỏa mãn thuộc tính này.
68
Đơn giản, khái quát và do vậy dễ hiểu. Thuộc tính này giúp cho mô hình có thể được nắm bắt và triển khai một cách nhanh chóng và đầy đủ không chỉ với người thiết kế hay triển khai mà cả với người dùng cuối của hệ thống. Rõ ràng, nếu không ai có thể hiểu được yêu cầu an toàn thì không công cụ toán học nào có thể
chứng minh sự phù hợp của mô hình an toàn.
Căn bản: xử lý các thuộc tính an toàn và không hạn chế một cách quá đáng (không thích đáng) các chức năng khác hay việc triển khai của hệ thống
Thể hiện rõ ràng chính sách an toàn. Mô hình an toàn cần chứa đựng đầy đủ và rõ ràng các mong muốn cũng như yêu cầu thiết yếu về việc vận hành và hoạt động hệ thống.
4.1.2 Vai trò
Một trong những vấn đề khiến cho hệ thống mất an toàn chính là người thiết kế không xác định được một cách chính xác và đúng đắn yêu cầu về an toàn. Vấn đề này một phần liên quan đến độ tin cậy của phần mềm và có thể khắc phục bằng kỹ thuật xây dựng phần mềm (software engineering) tốt kết hợp với các nguyên tắc và kỹ thuật riêng biệt cho vấn đề an toàn.
Vấn đề khác là xác định các chức năng hay hành vi của hệ thống xét về yếu tố an toàn. Việc này khá khó khăn khi xét yêu cầu an toàn vì các mô tả về chức năng hay hành
vi này cần phải chính xác hơn rất nhiều. Khi này, mô hình an toàn khái quát (abstract
model) đóng vai trò then chốt trong cách thức phát triển hệ thống một cách chính tắc như
trong Hình 4-1 dưới đây.
Hình 4-1. Tương quan giữa các bước phát triển mô hình an toàn
Mục tiêu phát triển hệ thống nhằm đảm bảo với mức độ chắc chắn nhất định rằng việc triển khai hệ thống phù hợp với mô hình an toàn lựa chọn. Mức độ khác biệt về chi tiết giữa mô hình và triển khai thường rất lớn nên cần thêm bước trung gian nhằm đảm bảo sựtương ứng giữa yêu cầu an toàn và triển khai thực tế.
69 Cách xây dựng không chính tắc giảđịnh hệ thống không sử dụng công cụ chính tắc ngoại trừ việc định nghĩa mô hình an toàn. Các đặc tả trong cách phát triển này tập trung vào các chức năng của hệ thống và không chú trọng vào các yêu cầu về an ninh hay an toàn của hệ thống.
Với cách xây dựng chính tắc, người thiết kế cần tới các đặc tả và chứng minh chính tắc và cần có mô hình an toàn chính tắc. Về mức độ chi tiết các đặc tả chính tắc (formal
specification) tương đương với các đặc tả chức năng song có độ chính xác và rõ ràng cao
hơn nhiều. Tính chính tắc của các đặc tả cung cấp cơ sở toán học cho việc chứng minh toán học về sựtương ứng giữa đặc tả và mô hình an toàn đề ra.
Mô hình an toàn có thểdùng như các đặc tả về an ninh cho hệ thống. Việc này giúp hạn chế các lỗ hổng an toàn khi người thiết kế quá tập trung vào chức năng. Trên thực tế, việc lập mô hình an toàn chính tắc tiêu tốn nhiều công sức và nhân lực mà không phải ai
cũng đủ để làm tất cả. Khi này, các mô hình an toàn đóng vai trò gợi ý cho người thiết kế để phát triển hệ thống an toàn một cách phù hợp.