Từ biểu đồ triển khai (deployment diagram) của hệ thống hình 3.11, cùng với các phân tích tổng quát về mối quan tâm an ninh ở phần 2.2.1, chúng tôi xác định phạm vi giải quyết là: “Xây dựng cách biểu diễn các mối quan tâm an ninh trong trường hợp truy xuất dữ liệu giữa các thành phần khác nhau trong hệ thống”.
Sở dĩ chúng ta tập trung vào vấn đề này là vì trong các hệ thống cung cấp dịch vụ trên mạng Internet, vấn đề bảo vệ thông tin riêng tư rất quan trọng và thường được người sử dụng quan tâm đầu tiên khi họ sử dụng một dịch vụ. Đặc biệt là các dịch vụ liên quan tới thông tin kinh doanh, thì sự lựa chọn của doanh nghiệp càng cẩn thận hơn, họ luôn muốn biết thông tin kinh doanh của họ được bảo vệ ra sao. Ngoài ra, việc chống các nguy cơ khác (trong các nguy cơ đã đề cập ở phần 2.2.1) thường được giải quyết ở các lớp khác. Thí dụ như tấn công tràn bộ đệm (truy xuất làm quá tải hệ thống), thường giải quyết ở tường lửa, bộ lọc; tấn công SQL thường giải quyết ở các thư viện SQL mapper (iBatis,. . . ), tấn công bằng nghe lén trên đường truyền thường giải quyết bởi các giải pháp mã hóa (HTTPS. . . ). Trong khi đó, việc bảo vệ thông tin riêng tư thì luôn phải giải quyết ở bên trong ứng dụng.
4.1.1. Danh sách các mối quan tâm an ninh
Các mối quan tâm an ninh thuộc dạng truy xuất thông tin lẫn nhau giữa các thành phần trong hệ thống là:
1. Truy cập vào thông tin cá nhân của mình Hệ thống phải có định nghĩa rõ ràng chính sách về việc một cá nhân sẽ truy xuất và quản lý thông tin cá nhân của mình ra sao.
2. Truy cập vào thông tin cá nhân của người khác Hệ thống phải định nghĩa rõ rang chính sách bảo vệ khi một người dùng truy xuất vào thông tin cá nhân của người dùng khác.
3. Truy nhập vào thông tin công ty của mình Hệ thống phải định nghĩa rò rang chính sách kiểm soát khi nhân viên của công ty truy xuất vào thông tin của công ty đó.
4. Truy nhập vào thông tin công ty có liên quan Hệ thống phải có định nghĩa rõ rang về chính sách kiểm soát khi nhân viên của một công ty A truy xuất vào thông tin của công ty B có liên quan tới họ. “Có liên quan” có nghĩa là hai công ty này có mối quan hệ trên giấy tờ, ví dụ như trên một hóa đơn có bên mua và bên bán, thì bên mua và bên bán có quan hệ với nhau.
5. Truy nhập vào thông tin công ty không lien quanHệ thống phải có định nghĩa rõ rang về chính sách kiểm soát khi nhân viên của một công ty A truy xuất vào thông tin của công ty X không có liên quan. “Không liên quan” nghĩa là hai công ty đó không
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 47 Mã Tên mối quan tâm Giải thích
SE01 Truy cập vào các thông tin cá nhân của mình SE02 Truy cập vào các thông tin cá nhân của người khác SE03 Truy cập vào thông tin của công ty mình
SE04 Truy cập vào thông tin của công ty khác có liên quan SE05 Truy cập vào thông tin của công ty khác không liên quan SE06 Xóa thông tin
Bảng 4.1: Bảng các mối quan tâm an ninh
có quan hệ trực tiếp, mà thông qua mối quan hệ bắc cầu, nên phải biết thông tin về nhau. Ví dụ: công ty A có hợp đồng mua bán với công ty B, công ty C là thầu phụ của bên bán (A), thì C không có liên quan tới bên mua (B), nhưng vì là thầu phụ của A, nên C phải biết thông tin về A.
6. Xóa thông tin Hệ thống phải có định nghĩa rõ ràng về chính sách kiểm soát khi cần xóa thông tin trong hệ thống.
Ta lập bảng mối quan tâm an ninh và đặt ký hiệu cho chúng như bảng 4.1
4.1.2. Đề xuất biểu diễn các mối quan tâm an ninh
Để biểu diễn các mối quan tâm về an ninh hệ thống, ở đây chúng tôi đề xuất việc dùng các dấu đặc trưng («stereotype»). Mỗi dấu đặc trưng sẽ thể hiện một số mối quan tâm về an ninh.
Đầu tiên là trong biểu đồ trường hợp sử dụng, chúng ta ghi các dấu đặc trưng vào các đường nối giữa tác nhân và trường hợp sử dụng. Dấu đặc trưng này được phân tích dựa trên những thực tế về việc truy xuất thông tin lẫn nhau. Để thống nhất phân biệt các dấu đặc trưng, ta sẽ dùng ký hiệu sec: đặt vào phía trước ký hiệu mối quan tâm an ninh. Tất cả các dấu đặc trưng được cho trong bảng 4.2