1. An ninh là yêu cầu phi chức năng Các dự án khi thực hiện thì cái đầu tiên cần
quan tâm là làm đúng được các yêu cầu chức năng, đạt tốc độ xử lý nhanh, tính toán đúng.
2. Bản thân khách hàng không có ý thức về việc đó Bản thân khách hàng khi đặt
hàng một phần mềm cũng chưa có ý thức cao, hơn nữa họ cũng không có chuyên môn về việc này để có thể đưa ra yêu cầu.
3. Bản chất của UML là mô hình hóa hệ thống Bản chất của UML là mô hình hóa
hệ thống hướng tới việc cài đặt các chức năng hệ thống, chứ không phải là để mô hình hóa mọi khía cạnh yêu cầu của khách hàng.
4. Đội thực thi dự án không quan tâm đúng mức Rất nhiều đơn vị thi công phần
mềm chưa có một nhân lực chuyên nghiệp và có sự quan tâm đúng mức tới vấn đề an ninh của hệ thống ngay từ khởi đầu dự án.
Tất cả những yếu tố trên đã nhiều lúc làm cho vấn đề an ninh của các hệ thống cỡ vừa và nhỏ (ở những dự án cỡ nhỏ) bị bỏ qua. Và con số thực tế 80% các website của Việt Nam có chứa lỗ hổng (kể cả các website của các tổ chức lớn như ngân hàng) cũng phản ánh phần nào những nhận định trên [10].
Chương 4
GIẢI PHÁP PHÂN TÍCH THIẾT
KẾ VÀ CÀI ĐẶT AN NINH HỆ
THỐNG
Như các phân tích ở trên đã chỉ rõ, phần mô hình hóa nghiệp vụ, chúng ta không đề cập tới các mối quan tâm an ninh bởi vì yêu cầu về an ninh hệ thống là một yêu cầu phi chức năng, không được đề cập trong lúc đang phân tích nghiệp vụ. Chính vì thê, trong các hoạt động tiếp theo: thiết kế chương trình, lập trình, kiểm thử chương trình. . . các mối quan tâm an ninh không thể xuất hiện. Như vậy, vấn đề an ninh hệ thống đã không được đề cập ngay từ mức phân tích.
Vì các mối quan tâm an ninh là yêu cầu phi chức năng, nên trong các mô hình hóa nghiệp vụ, chúng không được đề cập là chuyện tất nhiên. Ở đây chúng tôi sẽ đề xuất giải pháp sao cho các mối quan tâm an ninh sẽ được đề cập ngay từ ban đầu, sau đó đưa vào thiết kế và chương trình.
4.1. Xác định phạm vi mối quan tâm an ninh
Từ biểu đồ triển khai (deployment diagram) của hệ thống hình 3.11, cùng với các phân tích tổng quát về mối quan tâm an ninh ở phần 2.2.1, chúng tôi xác định phạm vi giải quyết là: “Xây dựng cách biểu diễn các mối quan tâm an ninh trong trường hợp truy xuất dữ liệu giữa các thành phần khác nhau trong hệ thống”.
Sở dĩ chúng ta tập trung vào vấn đề này là vì trong các hệ thống cung cấp dịch vụ trên mạng Internet, vấn đề bảo vệ thông tin riêng tư rất quan trọng và thường được người sử dụng quan tâm đầu tiên khi họ sử dụng một dịch vụ. Đặc biệt là các dịch vụ liên quan tới thông tin kinh doanh, thì sự lựa chọn của doanh nghiệp càng cẩn thận hơn, họ luôn muốn biết thông tin kinh doanh của họ được bảo vệ ra sao. Ngoài ra, việc chống các nguy cơ khác (trong các nguy cơ đã đề cập ở phần 2.2.1) thường được giải quyết ở các lớp khác. Thí dụ như tấn công tràn bộ đệm (truy xuất làm quá tải hệ thống), thường giải quyết ở tường lửa, bộ lọc; tấn công SQL thường giải quyết ở các thư viện SQL mapper (iBatis,. . . ), tấn công bằng nghe lén trên đường truyền thường giải quyết bởi các giải pháp mã hóa (HTTPS. . . ). Trong khi đó, việc bảo vệ thông tin riêng tư thì luôn phải giải quyết ở bên trong ứng dụng.
4.1.1. Danh sách các mối quan tâm an ninh
Các mối quan tâm an ninh thuộc dạng truy xuất thông tin lẫn nhau giữa các thành phần trong hệ thống là:
1. Truy cập vào thông tin cá nhân của mình Hệ thống phải có định nghĩa rõ ràng
chính sách về việc một cá nhân sẽ truy xuất và quản lý thông tin cá nhân của mình ra sao.
2. Truy cập vào thông tin cá nhân của người khác Hệ thống phải định nghĩa rõ
rang chính sách bảo vệ khi một người dùng truy xuất vào thông tin cá nhân của người dùng khác.
3. Truy nhập vào thông tin công ty của mình Hệ thống phải định nghĩa rò rang
chính sách kiểm soát khi nhân viên của công ty truy xuất vào thông tin của công ty đó.
4. Truy nhập vào thông tin công ty có liên quan Hệ thống phải có định nghĩa rõ
rang về chính sách kiểm soát khi nhân viên của một công ty A truy xuất vào thông tin của công ty B có liên quan tới họ. “Có liên quan” có nghĩa là hai công ty này có mối quan hệ trên giấy tờ, ví dụ như trên một hóa đơn có bên mua và bên bán, thì bên mua và bên bán có quan hệ với nhau.
5. Truy nhập vào thông tin công ty không lien quanHệ thống phải có định nghĩa
rõ rang về chính sách kiểm soát khi nhân viên của một công ty A truy xuất vào thông tin của công ty X không có liên quan. “Không liên quan” nghĩa là hai công ty đó không
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 47
Mã Tên mối quan tâm Giải thích
SE01 Truy cập vào các thông tin cá nhân của mình
SE02 Truy cập vào các thông tin cá nhân của người khác
SE03 Truy cập vào thông tin của công ty mình
SE04 Truy cập vào thông tin của công ty khác có liên quan SE05 Truy cập vào thông tin của công ty khác không liên quan SE06 Xóa thông tin
Bảng 4.1: Bảng các mối quan tâm an ninh
có quan hệ trực tiếp, mà thông qua mối quan hệ bắc cầu, nên phải biết thông tin về nhau. Ví dụ: công ty A có hợp đồng mua bán với công ty B, công ty C là thầu phụ của bên bán (A), thì C không có liên quan tới bên mua (B), nhưng vì là thầu phụ của A, nên C phải biết thông tin về A.
6. Xóa thông tin Hệ thống phải có định nghĩa rõ ràng về chính sách kiểm soát khi cần
xóa thông tin trong hệ thống.
Ta lập bảng mối quan tâm an ninh và đặt ký hiệu cho chúng như bảng 4.1
4.1.2. Đề xuất biểu diễn các mối quan tâm an ninh
Để biểu diễn các mối quan tâm về an ninh hệ thống, ở đây chúng tôi đề xuất việc dùng các dấu đặc trưng («stereotype»). Mỗi dấu đặc trưng sẽ thể hiện một số mối quan tâm về an ninh.
Đầu tiên là trong biểu đồ trường hợp sử dụng, chúng ta ghi các dấu đặc trưng vào các đường nối giữa tác nhân và trường hợp sử dụng. Dấu đặc trưng này được phân tích dựa trên những thực tế về việc truy xuất thông tin lẫn nhau. Để thống nhất phân biệt các dấu đặc trưng, ta sẽ dùng ký hiệu sec: đặt vào phía trước ký hiệu mối quan tâm an ninh. Tất cả các dấu đặc trưng được cho trong bảng 4.2
4.2. Biểu diễn các mối quan tâm an ninh trên biểu đồ
UML
Áp dụng các dấu đặc trưng an ninh đã đề xuất, ta tiến hành đưa các dấu đặc trưng đó vào các biểu đồ đã xây dựng.
Mã Dấu đặc trưng Giải thích
SE01 «sec:se01» Truy cập vào các thông tin cá nhân của mình SE02 «sec:se02» Truy cập vào các thông tin cá nhân của người khác SE03 «sec:se03» Truy cập vào thông tin của công ty mình
SE04 «sec:se04» Truy cập vào thông tin của công ty khác có liên quan SE05 «sec:se05» Truy cập vào thông tin của công ty khác không liên quan SE06 «sec:se06» Xóa thông tin
Bảng 4.2: Bảng các dấu đặc trưng diễn đạt mối quan tâm an ninh
4.2.1. Đưa các dấu đặc trưng an ninh vào biểu đồ trường hợp sửdụng
dụng
Các dấu đặc trưng sẽ được ghi trên đường nối giữa một tác nhân và một trường hợp sử dụng. Ý nghĩa của dấu đặc trưng đó là khi tác nhân thao tác với trường hợp sử dụng đó thì phát sinh mối quan tâm về an ninh được ghi trên dấu đặc trưng. Sau khi thêm vào các dấu đặc trưng biểu diễn mối quan tâm về an ninh, ta có các biểu đồ hình 4.1, 4.2, 4.3, 4.4
Với các biểu đồ trường hợp sử dụng đã thêm các dấu đặc trưng này, ta có thể nhận biết được, khi tác nhân tham gia vào trường hợp sử dụng nào đó, sẽ phát sinh mối quan ngại nào về vấn đề an ninh đang được đề cập.
4.2.2. Đưa các dấu đặc trưng an ninh vào biểu đồ hoạt động
Sau khi đã đưa các dấu đặc trưng an ninh vào biểu đồ trường hợp sử dụng, ta tiếp tục Sau khi đã đưa các dấu đặc trưng an ninh vào biểu đồ trường hợp sử dụng, ta tiếp tục triển khai việc đưa các dấu đặc trưng an ninh vào biểu đồ hoạt động. Từ hình 4.5 tới ?? là các biểu đồ hoạt động có thêm các đấu đặc trưng an ninh. Từ các biểu đồ này, chúng ta biết rằng cần phải đưa các mối quan tâm an ninh vào các hoạt động nào của tác nhân với hệ thống.4.2.3. Định nghĩa chính sách an ninh
Sau khi đặt ra các mối quan tâm an ninh, hệ thống phải định nghĩa các mối quan tâm đó được xử lý như thế nào, khi nào được phép và khi nào không cho phép. Các chính sách an ninh sẽ được thể hiện thành các lớp kiểm tra an ninh. Ta định nghĩa chính sách an ninh như bảng 4.3.
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 49
