Mục tiêu của mô hình an ninh là để tạo ra các phần mềm độc lập ở mức cao, các mô hình khái niệm để bảo vệ các hệ thống thông tin. Mô hình an ninh cho phép mô tả chức năng, cấu trúc của một hệ thống an ninh cần có, cũng nhƣ cho phép những ngƣời phát triển đƣa ra những định nghĩa về bảo mật, những chính sách an ninh cần thiết cho hệ thống. Có rất nhiều mô hình an ninh đƣợc đƣa ra, ta có thể phân thành hai loại mô hình an ninh chính nhƣ sau:
- Mô hình tự quyết (discretionary): Access Matrix, Take-Grant, Action-Entity, Wood at al.
- Mô hình bắt buộc (mandatory): Bell-LaPadula, Biba, Dion, The Sea View, Jajodia & Sandhu, Smith & Winslelt, Lattice.
(1) Mô hình tự quyết (Dicretionary Access Control Models - DAC)
Mô hình này đảm bảo quyền truy cập của ngƣời sử dụng đến tài nguyên của hệ thống dựa trên định danh của ngƣời sử dụng và các luật an ninh thông tin của ngƣời sử dụng đối với các đối tƣợng trong hệ thống. Nếu ngƣời sử dụng có quyền thì có thể truy cập đến các đối tƣợng trong hệ thống, ngƣợc lại sẽ bị từ chối. Ngƣời sử dụng này có thể ủy quyền cho ngƣời sử dụng khác để truy cập đến tài nguyên của mình (ownership policy). Hầu hết các chuẩn chung trong việc quản trị là phân quyền sở hữu, việc phân quyền này có thể là tạo lập hoặc thu hồi quyền truy cập. Do đó, mô hình an ninh này rất mềm dẻo, có thể đáp ứng đƣợc các yêu cầu đảm bảo an ninh khác nhau.
(2) Mô hình bắt buộc (Mandatory Access Control Models - MAC)
Mô hình bắt buộc đƣợc dùng để bảo vệ và ngăn chặn các tiến trình máy tính, dữ liệu, và các thiết bị hệ thống khỏi sự lạm dụng. Kỹ thuật này có thể mở rộng và thay thế kỹ thuật điều khiển truy cập tự quyết đối với các phép truy cập và sử dụng hệ thống tập tin (file-system permissions) cùng những khái niệm về ngƣời dùng và nhóm ngƣời dùng.
Đặc trƣng quan trọng nhất của MAC bao hàm việc từ chối ngƣời dùng toàn quyền truy cập/sử dụng tài nguyên do chính họ kiến tạo. Chính sách an ninh của hệ thống (đƣợc quy định bởi nhà quản trị) hoàn toàn quyết định các quyền truy cập đƣợc công nhận, và một ngƣời dùng không thể tự hạn chế quyền truy cập vào các tài nguyên của họ hơn những gì mà nhà quản trị quy định. (Các hệ thống dùng điều khiển truy cập tự quyết cho phép ngƣời dùng toàn quyền quyết định quyền truy cập đƣợc công nhận cho các tài nguyên của họ, nghĩa là họ có thể cấp quyền truy cập cho những ngƣời dùng bất hợp pháp.)
41 Mô hình này dựa trên việc phân lớp chủ thể (subject) và đối tƣợng (object) trong hệ thống. Giữa các chủ thể và đối tƣợng có mối quan hệ với nhau (Relationship)
Đối tƣợng: là các thực thể lƣu giữ thông tin có tính bị động (passive), nhƣ: Data files, Records, Fields in Record, …
Chủ thể: là các thực thể chủ động (active) có thể truy cập đến các đối tƣợng, thƣờng là các tiến trình của các ngƣời dùng.
Chƣơng này sẽ tìm hiểu một số mô hình bảo mật tự quyết và bắt buộc đã đƣợc đề xuất để bảo vệ thông tin trong hệ CSDL.
Tên mô hình An ninh
HĐH An ninh CSDL An ninh tự quyết Access Matrix x x x Take – Grant x x x Action – Entity x x x Wood et al x x Bell – La Padula x x Biba x x Dion x Sea View x x Jajodia – Sandhu x Smith - Winslett x Lattice x
42