Bài giảng về an toàn bảo mật hệ thống thông tin Điều khiển truy nhập

Access control object-subject-system... Constrained Data Items: CDIUnconstrained Data Items: UDI Integrity Verification Procedures: IVP... Các mô hình chu n ẩMô hình Clark - Wilson:.

Các mô hình đi u khi n truy c p ề ể ậ

Qu n lý đi u khi n truy c p ả ề ể ậ

Khái ni m ệ

Access Control - i u khi n truy c p Đ ề ể ậ

Bao hàm các quy trình, ti n trình đi u ế ề

khi n an ninh, qua đó vi c truy c p t i ể ệ ậ ớ

các đ i t ố ượ ng đ ượ c c p phép hay t ch i ấ ừ ố

d a trên các chính sách ho c các lu t ự ặ ậ

đ nh tr ị ướ c.

Access control

object-subject-system

M c tiêu c a đi u khi n truy ụ ủ ề ể

C p quy n truy c p ấ ề ậ

m b o an ninh

B o m t: Giao d ch có đ ả ậ ị ượ c gi bí m t ữ ậ

không?

Toàn v n: ẹ Đố ượ i t ng đ ượ c truy c p có ậ

đ ượ c đ m b o toàn v n (không b thay ả ả ẹ ị

đ i)? ổ

Kh d ng: ả ụ Đố ượ i t ng đ ượ c truy c p có s n ậ ẵ sàng khi c n thi t? ầ ế

ng nh p 1 l n: Kerberos

ng nh p 1 l n: Kerberos

Xác th c truy c p t xa ự ậ ừ

Access Control System

Dial-In User Service

RADIUS

Ph ươ ng pháp đi u khi n truy ề ể

c p ậ

truy c p đậ ược chuy n t i m t h ể ớ ộ ệ

th ng xác th c duy nh t.ố ự ấ

Phân tán: Vi c xác th c đệ ự ược th c ự

hi n b i nhi u h th ng con.ệ ở ề ệ ố

Mô hình đi u khi n truy c p ề ể ậ

i u khi n truy c p tùy ý

c p theo vai trò (Role).ậ

i u khi n truy c p tùy ý

i u khi n truy c p b t bu c

Các đ i tố ượng được gán cho m t m c ộ ứ

đ nh y c m an ninh (không thay đ i ộ ạ ả ổ

Gán vai trò cho các đ i tố ượng truy

c p, và gán quy n truy c p theo vai ậ ề ậ

trò

Quy n truy c p có th đề ậ ể ược k th a.ế ừ

ph c t p th p h n mô hình MAC

i u khi n truy c p theo vai

trò

an ninh toàn v n th p h n ( ẹ ấ ơ no read-down)

i t ng không đ c t o/ghi các n i dung

m c an ninh toàn v n cao h n ( ứ ẹ ơ no write-up)

Constrained Data Items: CDI

Unconstrained Data Items: UDI

Integrity Verification Procedures: IVP

Các mô hình chu n ẩ

Mô hình Clark - Wilson:

Qu n lý Tài kho n ả ả

Qu n lý các tài kho n ngả ả ười dùng, tài

kho n h th ng, tài kho n d ch v …ả ệ ố ả ị ụ

Bao g m 3 ho t đ ng:ồ ạ ộ

Thi t l p ế ậ

Duy trì

H y b ủ ỏ

Qu n lý Tài kho n ả ả

Xóa hoàn toàn khi d li u đ m không đ ữ ệ ệ ượ c s ử

d ng trong 1 kho ng th i gian ụ ả ờ

T n công đi u khi n truy c p ấ ề ể ậ

T đi n m t kh u -> Không dùng các t ừ ể ậ ẩ ừquen thu cộ

T n công vén c n m t kh u -> Dùng ấ ạ ậ ẩ

m t kh u dàiậ ẩ

T n công t ch i d ch v -> ch n các ấ ừ ố ị ụ ặ

đ a ch có gói tin t n côngị ỉ ấ

T n công gi m o: IP spoofing, Session ấ ả ạHijacking, ARP spoofing

T n công đi u khi n truy c p ấ ề ể ậ

T n công k th 3 gi a (MITM):ấ ẻ ứ ở ữ

T n công đi u khi n truy c p ấ ề ể ậ

T n công nghe lén (sniffer): S d ng ấ ử ụ

ph n m m đ b t gói tin trên m ng.ầ ề ể ắ ạ

S d ng ch đ h n t p c a giao di n m ng ử ụ ế ộ ỗ ạ ủ ệ ạ

S d ng ph ử ụ ươ ng pháp thay đ i b ng MAC c a ổ ả ủ switch.

Có th dùng trong giám sát m ng ể ạ