Embed Size (px)
Citation preview
AT4b Biba Model 1
Mô Hình Toàn Vẹn Biba
Nhóm thực hiện: Bùi Xuân Quang Đỗ Việt Hùng Nguyễn Việt Tiệp Nguyễn Kiến Thiết Nguyễn Xuân Tuấn
AT4b Biba Model 2
Computer Security An ninh máy tính có liên quan đến 3 khía
cạnh: Confidentiality(Bảo Mật): Ngăn chặn,phát
hiện,răn đe những yếu tố không phù hợp thông tin.
Integrity(Toàn vẹn):Ngăng chặn,phát hiện,răng đe những sửa đổi không phù hợp thông tin.
Availability(Sẵn sàng): Ngăn chặn,phát hiện,răn đe từ chối không đúng dịch vụ được cung cấp bởi hệ thống.
AT4b Biba Model 3
Security Model Một chính sách an toàn điều chỉnh một bộ
quy tắc và mục tiêu bởi một tổ chức. Một mô hình bảo mật có thể được sử dụng
bởi một tổ chức để giúp thể hiện các chính sách hay quy tắc kinh doanh sẽ được sử dụng trong hệ thống máy tính.
Có 2 loại mô hình có thể sử dụng:Điều khiển truy nhập tùy ý và điều khiển truy nhập bắt buộc(discretionary access control and mandatory access control).
AT4b Biba Model 4
Bell-LaPadula Model The Bell-LaPadula model is one of the first
models that was created to control access to data.
The properties of the Bell-LaPadula model are: The simple security property which is “no read up” The star property which is “no write down”.
A problem with this model is it does not deal with the integrity of data.
The star property makes it is possible for a lower level subject to write to a higher classified object.
AT4b Biba Model 5
Biba Integrity Model
Mô hình toàn vẹn Biba đc đưa ra năm 1977 tại tổng công ty MITRE.Một năm sau khi mô hình Bell-LaPadula được xuất bản.
Các động lực chính cho việc tạo mô hình này là sự bất lực của mô hình Bell-LaPadula để đối phó với tính toàn vẹn của dữ liệu .
AT4b Biba Model 6
Integrity(Tính toàn vẹn) Tính toàn vẹn đề cập đến sự tin cậy của dữ
liệu hay tài nguyên. Tính toàn vẹn thường được xác định trong
điều khoản ngăn chặn thay đổi không phù hợp của dữ liệu.
Có ba mục tiêu tính của tính toàn vẹn: 1. Ngăn chặn người sử dụng trái phép sửa đổi dữ
liệu hay chương trình. 2. Ngăn chặn người dùng được ủy quyền sửa đổi
không phù hợp hay trái phép. 3. Duy trì tính thống nhất nội bộ và bên ngoài của
dữ liệu và chương trình.
AT4b Biba Model 7
Mức toàn vẹn
Mức toàn vẹn được quy định bởi các nhãn, bao gồm hai phần : a classification (Phân loại). a set of categories(tập hợp các loại).
Mức toàn vẹn được áp dụng cho các đối tượng và chủ thể trong hệ thống.
AT4b Biba Model 8
Phân Loại Toàn Vẹn
Việc phân loại bao gồm các yếu tố: Crucial (c) Very Important (VI) Important (I)
Mối quan hệ giữa các yếu tố:
C > VI > I
AT4b Biba Model 9
Set Categories
Tập các loại chứa trong nhãn sẽ là một tập hợp con của tất cả các bộ trong hệ thống
Việc phân loại tập hợp các loại là không theo thức bậc.
AT4b Biba Model 10
Ví dụ Set Categories Một ví dụ về hai loại là loại X =
(Detroit, Chicago, New York thể loại) và Y = (Detroit, Chicago).Trong trường hợp này X ≥ Y (X dominates Y), vì Y là một tập hợp con của X.Nếu có loại Z (Detroit, Chicago, Miami).Z và X trong trường hợp này là không thể so sánh bởi vì các yếu tố thứ ba của bộ này là khác nhau .
AT4b Biba Model 11
Integrity Levels Mỗi cấp độ toàn vẹn sẽ được đại diện bởi
L(C,S),trong đó: L là mức toàn vẹn. C là phân loại. S is the set of categories.
Các mức toàn vẹn sau đó hình thành một mối quan hệ thống trị .
Mức toàn vẹn L₁ = (C₁, S₁) trội hơn(≥) mức toàn vẹn L₂ = (C₂, S₂) nếu và chỉ nếu:
C₁ ≥ C₂ and S₁ ⊇ S₂
AT4b Biba Model 12
Chủ thể và đối tượng Cũng giống như các mô hình khác, mô hình
Biba hỗ trợ kiểm soát truy cập của chủ thể và các đối tượng . Subjects(chủ thể) là những yếu tố hoạt động
trong hệ thống có thể truy cập thông tin. Objects(đối tượng) là những yếu tố thụ động
mà truy nhập có thể được yêu cầu(files, programs, etc.).
Mỗi chủ thể và đối tượng trong mô hình Biba sẽ có một mức độ toàn vẹn gắn với nó.
AT4b Biba Model 13
Access Modes Mô hình Biba bao gồm các phương
thức truy cập sau : Modify(Sửa đổi):Cho phép một chủ thể ghi một
đối tượng. Observe(Quan sát):Cho phép một chủ thể đọc
một đối tượng. Invoke(Triệu gọi):Cho phép một chủ thể giao tiếp
với chủ thể khác. Execute(Thực hiện):Cho phép một chủ thể thực
hiện một đối tượng.
AT4b Biba Model 14
Biba Policies Mô hình Biba thực sự là một nhóm các chính sách khác nhau
có thể được sử dụng . Mô hình này được hỗ trợ cả chính sách bắt buộc và chính
sách tùy ý(mandatory and discretionary policies). The Mandatory Policies:
Strict Integrity Policy Low-Watermark Policy for Subjects Low-Watermark Policy for Objects Low-Watermark Integrity Audit Policy Ring Policy
The Discretionary Policies: Access Control Lists Object Hierarchy Ring
AT4b Biba Model 15
Strict Integrity Policy The Strict Integrity Policy(chính sách toàn
vẹn chính xác) là phần đầu tiên của mô hình Biba,bao gồm:
1. Simple Integrity Condition: s ∈ S có thể quan sát o∈ O nếu và chỉ nếu i(s) ≤ i(o) (“no read-down”).
2. Integrity Star Property: s ∈ S can sửa đổi o∈ O nếu và chỉ nếu i(o) ≤ i(s) (“no write-up”).
3. Invocation Property: s₁ ∈ S có thể triệu gọi s₂ ∈ S nếu và chỉ nếu i(s₂) ≤ i(s₁).
AT4b Biba Model 16
Simple Integrity Condition “No Read-Down”
circle = subject, square = object
Read Read
Read
AT4b Biba Model 17
Integrity Star Property “No Write-Up”
circle = subject, square =object
Write Write
Write
AT4b Biba Model 18
Strict Integrity Policy
Chính sách này là chính sách phổ biến nhất được sử dụng từ mô hình .
“no write-up” and “no read-down” trên dữ liệu trong hệ thống,điều này đối lập với mô hình Bell LaPadula.
Chính sách này hạn chế ô nhiễm của các dữ liệu ở mức cao hơn, vì đối tượng là chỉ được phép sửa đổi dữ liệu ở cấp độ của họ hoặc ở mức độ thấp hơn
AT4b Biba Model 19
Strict Integrity Policy “No Write Up" là điều cần thiết, vì nó hạn chế
thiệt hại mà có thể được thực hiện bởi các đối tượng nguy hiểm trong hệ thống .Ví dụ,“No Write Up" hạn chế số thiệt hại mà có thể được thực hiện bởi một Trojan trong hệ thống. Các trojan sẽ chỉ có thể ghi tới các đối tượng ở cấp độ nó nguyên vẹn hoặc thấp hơn. Điều này quan trọng bởi vì nó hạn chế những thiệt hại mà có thể được gây ra cho Hệ điều hành
“No read-down” ngăn ngừa một chủ thể không bị ô nhiễm bởi một đối tượng ít tin cậy .
AT4b Biba Model 20
Low-Watermark Policy for Subjects The low-watermark policy: Không đọc xuống có sự linh
hoạt. The low-watermark policy gồm các quy tắc sau:
1. Cho phép 1 chủ thể đọc xuống nhưng trước tiên,phải giảm mức toàn vẹn của nó xuống mức của đối tượng đang đọc. chủ thể S có thể đọc(quan sát) đối tượng O tại bất kỳ mức toàn vẹn nào,Mức toàn vẹn mới của đối tượng là Inf(i(s),i(o)) trong đó i(s) và i(o) là các mức toàn vẹn trước khi thao tác được thực hiện.
2. Invocation Property: s₁∈ S có thể triệu gọi s₂ ∈ S nếu và chỉ nếu i(s₂) ≤ i(s₁).
AT4b Biba Model 21
Low-watermark Policy for Subjects
circle = subject, square = object
AT4b Biba Model 22
Low-Watermark Policy for Subjects The low-watermark policy for Subjects là không hạn
chế một chủ thể đọc đối tượng. The low-watermark policy for Subjects: là một chính
sách năng động, vì nó sẽ làm giảm mức độ toàn vẹn của một chủ thể dựa trên các đối tượng được quan sát .
Chính sách này vẫn có thiếu sót.Một vấn đề với chính sách này là nếu 1 chủ thể quan sát một đối tượng tin cậy ít hơn,nó sẽ làm giảm mức độ toàn vẹn của chủ thể.Sau đó,nếu chủ thể cần quan sát các đối tượng khác,điều này có thể sẽ không được vì mức toàn vẹn của chủ thể bị hạ xuống.Hệ quả của việc này là từ chối dịch vụ tùy thuộc vào thời gian gửi
AT4b Biba Model 23
Low-Watermark Policy for Objects The low-watermark policy for objects là không ghi lên có tính linh hoạt Quy tắc: Giảm mức đối tượng xuống cùng mức với
chủ thể đang ghi. Chủ thể s có thể sửa (biến đổi) đối tượng o tại bất kỳ mức toàn vẹn nào.Mức toàn vẹn mới của đối tượng là inf(i(s),i(o)), trong đó i(s) và i(o) là các mức toàn vẹn trước khi thao tác được thực hiện.
AT4b Biba Model 24
Low-Watermark Policy for Objects
circle = subject, square = object
AT4b Biba Model 25
Low-Watermark Policy for Objects The low-watermark policy for objects cũng
là một dynamic policy, Tương tự như low-watermark policy for subjects.
Bất lợi của chính sách này là không làm gì để ngăn chặn một chủ thể không tin cậy sửa đổi một đối tượng tin cậy.
Chính sách này cung cấp việc bảo vệ không thực tế trong hệ thống. Nếu một chương trình độc hại đã được nạp vào hệ thống máy tính nó có thể sửa đổi bất kỳ đối tượng trong hệ thống .Mô hình này sẽ làm giảm mức toàn vẹn của đối tượng.
AT4b Biba Model 26
Low-Watermark Integrity Audit Policy The low-watermark integrity audit policy bao gồm các
quy tắc:1. Bất kỳ chủ thể nào cũng có thể sửa đổi bất kỳ đối
tượng nào,bất kể mức toàn vẹn.2. Nếu một chủ thể sửa đổi một đối tượng ở mức toàn
vẹn cao hơn(đối tượng đáng tin cậy hơn).kết quả sẽ được lưu lại trong nhật ký kiểm tra
Hạn chế cho chính sách này là nó không có gì để ngăn chặn một sửa đổi không đúng đối tượng .Chính sách này cũng tương tự như Low-Watermark Integrity For Objects ,ngoại trừ trong trường hợp này,mức toàn vẹn của đối tượng không bị hạ xuống,nó được ghi lại.
Chính sách này đơn giản là lưu lại một sửa đổi diễn ra không đúng.
AT4b Biba Model 27
Ring Policy The ring policylà chính sách bắt buộc cuối
cùng của mô hình biba.Nhãn toàn vẹn sử dụng cho ring policy là cố định tương tự như trong strict integrity policy.
The Ring Policy bao gồm các quy định:1. Bất cứ chủ thể nào cũng có thể quan sát bất kỳ
đối tượng, bất kể mức độ toàn vẹn .2. Integrity Star Property: s ∈ S có thể sửa đổi o∈
O nếu và chỉ nếu i(o) ≤ i(s) (“no write up”).3. Invocation Property: s₁ ∈ S có thể triệu gọi s₂ ∈
S nếu và chỉ nếu i(s₂) ≤ i(s₁).
AT4b Biba Model 28
Ring Policy The Ring Policy: cho phép bất kỳ chủ thể
quan sát bất kỳ đối tượng. Chính sách này chỉ liên quan đến sửa đổi trực tiếp .
Hạn chế cho chính sách này là nó cho phép sửa đổi không phù hợp gián tiếp.
Một chủ thể có thể đọc một đối tượng ít tin cậy.Sau đó nó có thể sửa đổi các dữ liệu mà nó quan sát được ở mức toàn vẹn riêng.
AT4b Biba Model 29
Thuận lợi và Bất lợi Thuận Lợi:
Mô hình Biba đơn giản và dễ thực hiện. Mô hình Biba cung cấp một số chính sách khác nhau
có thể lựa chọn dựa trên nhu cầu. Bất Lợi:
Mô hình này không thực thi tính bảo mật. Mô hình Biba không hỗ trợ việc cấp và thu hồi quyền. Để sử dụng mô hình này,tất cả các máy tính tron hệ
thống phải hỗ trợ ghi nhãn toàn vẹn cho cả chủ thể và đối tượng.Đến này,không có giao thức mạng hỗ trợ việc ghi nhãn này.
AT4b Biba Model 30
Kết Luận Biba thực sự là nhóm các mô hình khác
nhau để lựa chọn . Mô hình nên được kết hợp với các mô hình
khác vì nó không cung cấp tính bảo mật.Một mô hình như Bell LaPadula nên được sử dụng để bổ sung cho nó
Mô hình Lipner là một trong những mô hình đã được phát triển để đáp ứng các yêu cầu này, nó kết hợp cả Bell-LaPadula và Biba mô hình với nhau .
AT4b Biba Model 31
Cảm ơn các bạn đã theo dõi…
