ngày 231220 c06auditdatabase191017 c07encryptionxmlsecurity audittrongsqlserver20127161 canxemauditingkiemtoanvagiaitrinh hk201 – bm csdl – cd cntt 20 – cklt bài t

 Điều khiển truy cập tùy ý - Discretionary Access Control (DAC) chỉ rõ những đặc quyền mà mỗi chủ thể có thể có được trên các đối tượng và trên hệ thống (object pril[r]

Access Control

Discretionary Access Control

Chapter 2

6-ppt

http://www.slideshare.net/tuoitrecomvn/slide-Mục tiêu

 Hiểê và mô tả được Access Control

 Giải thích được cơ chế bảo mật DAC

 Vận dụng được DAC vào trong các hệ

qêản trị CSDL

Chương 2: Access Control

Bảo mật theo cơ chế Discretionary Access Control DAC

Nội dung

1. Access Control

2. Discretionary Access Control

3. Vận dụng được DAC vào trong các hệ qêản trị CSDL

Access Control

1. Định nghĩa Điều khiển truy cập - Access control

2. Các bước điều khiển truy cập

3. Các vai trò trong điều khiển truy cập

4. Quá trình điều khiển truy cập

5. Các mô hình điều khiển truy cập

6. Thực thi điều khiển truy cập

Định nghĩa điều khiển truy cập

Access Control

 Kiểm soát truy cập (Access control): đảm bảo rằng tất

cả các truy cập trực tiếp đến đối tượng được ủy quyền

 Một hệ thống điều khiển truy cập có 3 cách kiểm soát

khác nhau: truy cập chính sách (access control policy),

mô hình kiểm soát truy cập (access control model) và cơ chế kiểm soát truy cập (access control mechanism).

Định nghĩa điều khiển truy cập

 ví dụ, người sử dụng, chủ sở hữu, chương trình, vv

 Chế độ truy cập (access mode): các kiểu truy cập

 ví dụ, đọc / select, viết / cập nhật, thực thi.

subject requestAccess Referencemonitor object

Định nghĩa điều khiển truy cập

Access Control

Chức năng của access control

 Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên

xác định cho các chủ thể

 Kiểm soát được các đối tượng đang hoạt động hay các đối

tượng có thể bị truy cập bởi các hoạt động khác

reference monitor object

access request subject

Định nghĩa điều khiển truy cập

Access Control

Ai có thể cấp quyền và thu hồi quyền truy cập:

 Centralized administration (người quản trị trung tâm): nhân

viên an ninh

 Decentralized administration (người quản trị phân cấp)

 Hierarchical decentralization (phân cấp theo thứ bậc): nhân

viên an ninh, quản trị hệ thống phòng ban, người quản trị Windows

 Ownership based (quyền sở hữu): có thể cấp quyền truy cập

cho những người khác truy xuất dữ liệu của mình

 Cooperative authorization (Ủy quyền): ủy quyền cho các chủ

thể khác

Mục đích điều khiển truy cập

 Điều khiển truy cập nhằm mục đích để đạt được:

 Cho phép chức năng dự phòng có thể truy cập

 Đảm bảo tài sản đáp ứng tính toàn vẹn, bảo mật, ngăn

chặn rò rỉ trái phép,…

 Cho phép nhà quản trị chính của hệ thống thay đổi

việc truy cập

Tại sao điều khiển truy cập khó

 Kiểm soát truy cập là một kỹ thuật cho phép người dùng

hệ thống truy cập một chức năng nào đó có thể làm thay đổi dữ liệu của hệ thốngNếu không kiểm soát hệ thống sẽ không còn an toàn và không còn bảo mật

 Yêu cầu truy cập hệ thống xảy ra thường xuyên

 Yêu cầu kiểm soát truy cập có thể thay đổi

 Bất cứ ai cũng có thể là một quản trị viên

 Vấn đề an toàn

 Truy cập có thể không an toàn nhưng phải tuân theo các

ràng buộc của hệ thống

Các bước điều khiển truy cập cơ bản

Các vai trò trong điều khiển truy cập

Quá trình điều khiển truy cập

Các mô hình điều khiển truy cập Access Control Models

Bốn mô hình điều khiển truy cập chính

 Điều khiển truy cập tùy ý

Discretionary Access Control (DAC)

 Điều khiển truy cập bắt buộc

Mandatory Access Control (MAC)

 Điều khiển truy cập dựa trên vai trò

Role Based Access Control (RBAC)

 Điều khiển truy cập dựa trên qui tắc

Rule Based Access Control - RBAC

Các mô hình điều khiển truy cập

Access Control Models

 Điều khiển truy cập tùy ý (Discretionary Access

Control)

 Cho biết chủ thể nào có thể truy cập kiểu gì đến các đối

tượng trong CSDL

 Có những nguyên tắc một chủ thể có thể tùy ý cấp quyền

hay lấy lại quyền truy cập hoặc gián tiếp đến lớp dữ liệu

 Điều khiển truy cập bắt buộc (Mandatory Access

Control)

 Định trước các nguyên tắc để chủ thể (thuộc 1 lớp) truy

cập trực tiếp hoặc gián tiếp đến các lớp dữ liệu

Các mô hình điều khiển truy cập

Access Control Models

 Điều khiển truy cập dựa trên vai trò (Role

Based Access Control )

 Vai trò là 1 tập các quyền Không thực hiện cấp

quyền cho từng chủ thể mà gán cho chủ thể 1 vai trò, khi đó chủ thể sẽ có tất cả các quyền thuộc về vai trò đó

Các mô hình điều khiển truy cập

Access Control Models

 Điều khiển truy cập dựa trên qui tắc (Rule

Based Access Control )

 Tự động gán vai trò cho các chủ thể dựa trên một tập

quy tắc do người giám sát xác định

 Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập

dựa trên quy tắc

 Khi người dùng truy cập tới tài nguyên, hệ thống sẽ

kiểm tra các qui tắc của đối tượng để xác định quyền truy cập

 Thường được sử dụng để quản lý truy cập người dùng

tới một hoặc nhiều hệ thống

Các mô hình điều khiển truy cập Access Control Models

Thực thi điều khiển truy cập

• Danh sách điều khiển truy cập (Access Control List-ACL)

• Chính sách nhóm (Group Policy)

• Giới hạn tài khoản

Danh sách điều khiển truy cập

• Tập các quyền gắn với một đối tượng

• Xác định chủ thể nào có thể truy cập tới đối tượng và

các thao tác nào mà chủ thể thực hiện

• Khi chủ thể yêu cầu thực hiện một thao tác:

• Hệ thống kiểm tra danh sách điều khiển truy cập đối với

mục đã được duyệt

• Danh sách điều khiển truy cập thường được xem xét

trong mối liên hệ với các file của hệ điều hành

File chứa các quyền truy cập trong UNIX

Danh sách điều khiển truy cập

 Mỗi một mục trong bảng danh sách điều khiển truy cập được

gọi là một mục điều khiển (Access Control Element ACE)

 Cấu trúc ACE (trong windows)

 Nhận dạng bảo mật (Access identifier) cho tài khoản người

dùng hay tài khoản nhóm hoặc phiên đăng nhập

 Mặt nạ truy cập (access mask) xác định quyền truy cập do

ACE điều khiển

 Cờ (Flag) cho biết kiểu của ACE

 Tập các cờ (Set of flags) xác định đối tượng có thể kế thừa các

quyền hay không

Chính sách nhóm

 Tính năng của Microsoft Windows

 Cho phép sử dụng Active Directory (AD) để quản lý và cấu hình

tập trung cho các máy và người dùng từ xa.

 Thường được sử dụng trong các môi trường doanh nghiệp

 Các thiết lập được lưu trữ trong các GPO (Group Policy Object –

Đối tượng chính sách nhóm)

 Local Group Policy

 Có ít tùy chọn hơn so với Group Policy

 Được sử dụng để cấu hình các thiết lập cho các hệ thống không phải

là một phần của AD

Giới hạn tài khoản

 Giới hạn thời gian trong ngày (time of day restriction)

 Giới hạn số lần người dùng đăng nhập vào hệ thống trong một

ngày

 Cho phép chọn khối thời gian chặn đối với các truy cập được cho

phép

 Có thể được thiết lập trên từng hệ thống riêng lẻ

 Hạn sử dụng tài khoản (account expiration)

 Các tài khoản mồ côi (orphaned account): tài khoản vẫn còn hoạt

động sau khi một nhân viên rời khỏi tổ chức

 Tài khoản không hoạt động (domant account): không truy cập

trong một khoảng thời gian dài

 Cả hai kiểu tài khoản trên là những nguy cơ đối với bảo mật

Giới hạn thời gian trong ngày của hệ điều hành

Giới hạn đối với điểm truy cập không dây

Giới hạn tài khoản

 Các khuyến cáo xử lý đối với tài khoản “mồ côi” và tài

khoản “ngủ đông”

 Thiết lập một qui trình chính thức

 Chấm dứt truy cập ngay lập tức

 Quản lý nhật ký (file log)

 Các tài khoản “mồ côi” vẫn là một vấn đề nan giải đối với

các tổ chức hiện nay

 Account expiration (thời gian hiệu lực của tài khoản)

 Thiết lập hết hạn cho một tài khoản người dùng (hết hiệu

lực)

Giới hạn tài khoản

 Password expiration (thời gian hiệu lực của mật khẩu) thiết

lập khoảng thời gian mà người dùng phải thay đổi mật khẩu mới

 Khác với account expiration (thời gian hiệu lực của tài khoản)

 Account expiration (thời gian hiệu lực của tài khoản) có thể

được thiết lập bằng số ngày mà người dùng không có bất cứ hành động truy cập nào

Các dịch vụ xác thực

 Xác thực (Authentication)

 Quá trình xác minh thông tin

 Các dịch vụ xác thực được cung cấp trên một mạng

 Máy chủ xác thực chuyên dụng

 Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cả nhiệm vụ ủy quyền

(authorization) và kế toán (accounting)

 Các kiểu xác thực và máy chủ AAA thông dụng

 RADIUS

 Kerberos

 TACACS

 LDAP

Discretionary Access Control

1. Giới thiệê Discretonary Access Control

2. Các loại qêyền trong DAC

3. Ưê và nhược điểm của DAC

4. Các mô hình của DAC

Discretionary Access Control

 Điều khiển truy cập tùy ý - Discretionary Access Control

(DAC) chỉ rõ những đặc quyền mà mỗi chủ thể có thể có được

trên các đối tượng và trên hệ thống (object prilvilege, system privilege)

 Sức mạnh của DAC: Tính linh hoạt: là một lý do chính tại sao

nó được biết đến rộng rãi và được thực hiện trong các hệ thống điều hành chủ đạo

 Người dùng có thể bảo vệ những gì thuộc về mình

 Chủ của dữ liệu có toàn quyền trên dữ liệu đó

 Chủ của dữ liệu có quyền định nghĩa các loại truy cập đọc/ghi/thực thi và

gán những quyền đó cho những người khác

Discretionary Access Control

 DAC dựa vào định danh của người dùng có yêu cầu truy nhập

vào các đối tượng dữ liệu (file, thư mục,…)

 Cơ chế này được gọi là tùy ý có nghĩa là:

 Cho phép chủ thể có thể cấp quyền cho chủ thể khác truy cập các

đối tượng của nó

 Người sử dụng có khả năng cấp phát hoặc thu hồi quyền truy

nhập trên một số đối tượng

 Việc phân quyền kiểm soát dựa vào quyền sở hữu (kiểu chính

sách cấp quyền dựa vào quyền sở hữu)

Discretionary Access Control

 DAC cho phép đọc thông tin từ một đối tượng và chuyển đến

một đối tượng khác (đối tượng này có thể được ghi bởi 1 chủ thể)

Tạo ra sơ hở để cho tấn công Trojan sao chép thông tin từ 1 đối tượng đến 1 đối tượng khác

 Ví dụ: UserA là chủ sở hữu tableA, anh ta tạo ra khung nhìn

ViewA từ bảng này (sao chép thông tin) UserA không cho phép UserB được đọc tableA nhưng lại vô tình gán quyền Write cho UserB trên ViewA

 Như vậy, UserB có thể đọc thông tin tableA dù không đủ

quyền trên bảng này

Discretionary Access Control

Điều khiển truy cập của DAC trong một hệ CSDL là dựa vào 2 thao tác cơ bản:

 Gán quyền (granting privileges): Cho phép người dùng khác

được quyền truy cập lên đối tượng do mình làm chủ Tuy nhiên, trong DAC có thể lan truyền các quyền

 Ví dụ: trong Oracle và SQL Server có GRANT OPTION,

ADMIN OPTION

 Thu hồi quyền (revoking privileges): thu hồi lại quyền đã

gán cho người dùng khác

 Ví dụ: 1 user có GRANT OPTION, anh ta có thể thu hồi

quyền đã truyền cho người khác

Discretionary Access Control

Các qui tắc trao quyền

 Các yêu cầu và chính sách an toàn do tổ chức đưa ra, người

trao quyền có nhiệm vụ chuyển các yêu cầu này thành các quy tắc trao quyền

 Qui tắc trao quyền: biểu diễn đúng với môi trường phần

mềm/phần cứng bảo vệ

Các loại quyền trong DAC

 Quyền ở cấp tài khoản/hệ thống (account/system level):

là những quyền độc lập với các đối tượng trong hệ CSDL Những quyền này do người quản trị hệ thống định nghĩa và gán cho mỗi người dùng

 Quyền ở cấp đối tượng(object level): là những quyền trên

mỗi đối tượng trong hệ CSDL Người dùng tạo ra đối tượng nào thì sẽ có tất cả các quyền trên đối tượng đó

Các loại quyền trong DAC

Quyền ở cấp tài khoản/hệ thống: gồm có các quyền

 CREATE SCHEMA: tạo lược đồ CSDL

 CREATE TABLE: tạo bảng dữ liệu/ quan hệ (relation)

 CREATE VIEW: tạo view

 ALTER: chỉnh sửa các schema/relation

 DROP: xóa relation/view

 MODIFY: quyền thêm/ xóa/ sửa các hàng dữ liệu

(record/ tuple)

 SELECT: quyền thực hiện câu truy vấn thông tin trong

CSDL

Các loại quyền trong DAC

 Quyền ở cấp đối tượng: gồm các đối

tượng dữ liệu và các loại truy cập mà

người dùng được phép thực hiện trên đối tượng đó

 Các đối tượng dữ liệu này gồm: các

relation hoặc view

 Các thao tác gồm:

 INSERT: thêm dữ liệu vào relation

 UPDATE: cập nhật/chỉnh sửa dữ liệu trong

relation

 DELETE: xóa dữ liệu trong relation

 REFERENCE: tham khảo đến dữ liệu trong

relation

 Mô hình ma trận truy nhập (Lampson 1971;

Graham-Denning 1973, Harrision 1976)

 Mô hình Take-Grant(Jones 1976)

 Mô hình Action-Entity(Bussolati 1983), Fugini-Martelle

1984)

 Mô hình của Wood 1979 như kiến trúc ANSI/SpARC để

cấp quyền trong các CSDL quan hệ lược đồ - nhiều mức,…

Trường Đại học Công nghiệp TP HCM

Khoa Công nghệ Thông tin

Access Control Matrix Model

Mô Hình Ma Trận Điều Khiển Truy Cập

01/26/2021 41

Nội Dung

 Giới thiệu Access Control Matrix Model (ACM)

 Cấu trúc của ACM

 Qui tắc hoạt động của ACM

 Các giải pháp cài đặt mô hình ACM

 Ưu và nhược điểm của ACM

 Bài tập

Giới Thiệu Access Control Matrix Model (ACM)

 Mô hình được đề nghị bởi Lampson (1971), và được

Graham và Denning mở rộng (1972).

 1976, Harrison và các cộng sự đã phát triển mô hình

ma trận truy cập một cách có hệ thống.

 Access Control Matrix (ACM) là một công cụ cơ

bản để thể hiện trạng thái bảo vệ hệ thống một cách chi tiết và chính xác

 ACM là mô hình bảo mật được dùng cho cả cấp hệ

điều hành và cấp cơ sở dữ liệu.

Cấu trúc mô hình ACM

 Ma trận điều khiển truy cập ACM là ma trận giữa

các chủ thể S (subject), các đối tượng O (object) và

các quyền tương ứng giữa của chủ thể với đối tượng.

Cấu trúc mô hình ACM

Trạng thái định quyền (Authorization state)

Q = (S, O, A)

 S (Subjects): là tập các chủ thể - các thực thể chủ

động (active entity) sử dụng các nguồn tài nguyên của hệ thống.

 Ví dụ: người dùng, nhóm các người dùng (group),

quá trình (process), chương trình (programs)

Trạng thái định quyền:

Q = (S, O, A)

 O (Objects): là tập các đối tượng - các thực thể cần

được bảo vệ, bao gồm các thực thể bị động (passive object) như tài nguyên hệ thống và các chủ thể

 Ví dụ: ở cấp hệ điều hành: file, bộ nhớ, segments,

quá trình ở cấp CSDL: CSDL, quan hệ, thuộc tính, hàng, trường dữ liệu của hàng

Cấu trúc mô hình ACM

 Các quyền truy cập: thêm,

xóa, sửa, đọc, thực thi,…

Cấu trúc mô hình ACM

File 1 File 2 File 3 Program 1

Vương Execute Write Read

O S

Ví dụ

Cấu trúc mô hình ACM

 Ví dụ 1: Hệ thống có hai người dùng Bob và Alice xử lý ba

file, lần lượt là Bill.doc, Edit.exe và Fun.com

 Các quyền truy xuất trên các file này có thể được mô tả như

sau:

 Bob có quyền đọc hoặc ghi file Bill.doc trong khi Alice không có

quyền truy xuất.

 Bob và Alice chỉ có quyền thực thi file Edit.exe

 Bob và Alice có quyền thực thi và quyền đọc file Fun.com nhưng chỉ

có Bob có quyền ghi lên file này

Bob Read, Write Execute Execute, Read, Write

O S

Qui tắc hoạt động của ACM

Ví dụ 2: Access Control Matrix for Program

 Procedures: inc_ctr , dec_ctr , manage

Qui tắc hoạt động của ACM

 Ví dụ 3: Xét một thiết bị tính toán đơn giản của một hệ điều hành

nhỏ, trong đó chỉ có 2 chủ thể là tiến trình p và q và 2 tệp dữ liệu f và

g Các quyền có thể là đọc (Read), viết sửa (Write), gọi thực hiện

(eXecute), ghi thêm (Append) và làm chủ (Own)

 Tại A[p,f]= “rwo”, cho thấy tiến trình p là chủ sở hữu dữ liệu f đồng thời có

đủ quyền đọc và viết

 f A[p,q]=”w” cho thấy tiến trình p có thể gửi tin (viết) cho tiến trình q, còn

q có quyền nhận tin (đọc) từ p vì A[q,p] = “r”

 Mỗi tiến trình có đầy đủ quyền đối với chính mình (“rwxo”)

O S