Embed Size (px)
Citation preview
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN ĐÌNH TUẤN
NGHIÊN CỨU KIỂM SOÁT TRUY CẬP DỰA
TRÊN PHÂN VAI VÀ ỨNG DỤNG VÀO HỆ THỐNG
QUẢN LÝ NHÂN HỘ KHẨU VIỆT NAM
LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN
HÀ NỘI - 2015
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN ĐÌNH TUẤN
NGHIÊN CỨU KIỂM SOÁT TRUY CẬP DỰA
TRÊN PHÂN VAI VÀ ỨNG DỤNG VÀO HỆ THỐNG
QUẢN LÝ NHÂN HỘ KHẨU VIỆT NAM
Ngành : Công nghệ thông tin
Chuyên ngành : Hệ thống thông tin
Mã số : 60480104
LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS LƢƠNG THẾ DŨNG
HÀ NỘI - 2015
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu độc lập của riêng tôi,
không sao chép ở bất kỳ một công trình hoặc một luận văn, luận án của các
tác giả khác. Các số liệu, kết quả nêu trong luận văn này là trung thực và chưa
được công bố trong bất kỳ công trình nào khác. Các trích dẫn, các số liệu và
kết quả tham khảo dùng để so sánh đều có nguồn trích dẫn rõ ràng.
Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo
quy định cho lời cam đoan của mình.
Hà Nội, tháng 5 năm 2015
Tác giả luận văn
Nguyễn Đình Tuấn
LỜI CẢM ƠN
Em xin cảm ơn bộ môn Hệ thống thông tin - Khoa công nghệ thông tin-
Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã cho phép và giúp đỡ em
thực hiện luận văn này. Xin cảm ơn quý thầy cô trong khoa Công nghệ thông
tin đã tận tình chỉ bảo, rèn luyện, truyền đạt những tri thức, kỹ năng, kinh
nghiệm quý báu cho em trong suốt những năm ở giảng đường đại học.
Luận văn này sẽ không thể hoàn thành nếu như không có sự giúp đỡ,
hướng dẫn và tận tình chỉ bảo của TS Lương Thế Dũng và TS Lê Phê Đô, các
thầy đã đi cùng em trong suốt thời gian em nghiên cứu và thực hiện luận văn
này. Em xin chân thành biết ơn về những chỉ bảo, định hướng nghiên cứu và
tạo điều kiện tốt nhất cho em.
Mặc dù đã hết sức nỗ lực và cố gắng, nhưng chắc chắn khóa luận sẽ
không tránh khỏi những khuyến khuyết. Em kính mong nhận được sự cảm
thông và tận tình chỉ bảo của quý thầy cô và các bạn.
Hà Nội, tháng 5 năm 2015
Tác giả luận văn
Nguyễn Đình Tuấn
TÓM TẮT LUẬN VĂN
Kiểm soát truy cập dựa trên vai trò - Role-Based Access Control
(RBAC còn gọi là bảo mật dựa trên phân vai), chính thức hóa vào năm 1992
bởi David Ferraiolo và Richard Kuhn, đã trở thành mô hình chủ yếu để kiểm
soát truy cập tiên tiến, vì nó làm giảm chi phí quản trị. Ngày nay, hầu hết các
nhà cung cấp công nghệ thông tin đã kết hợp RBAC vào dòng sản phẩm của
họ, và công nghệ đang tìm kiếm các ứng dụng trong các lĩnh vực khác nhau,
từ chăm sóc y tế, quốc phòng, ngoài các hệ thống thương mại chính thống mà
nó được hiết kế. Đến năm 2010, đa số các doanh nghiệp có số lượng người
dùng từ 500 hoặc nhiều hơn đều sử dụng RBAC. Với RBAC, an ninh được
quản lý ở một mức độ tương ứng chặt chẽ với cấu trúc của tổ chức. Mỗi người
sử dụng được chỉ định một hoặc nhiều quyền hạn, và mỗi quyền được phân
công một hoặc nhiều đặc quyền cho phép người sử dụng trong quyền đó. An
ninh hệ thống với RBAC bao gồm xác định các hoạt động phải được thực
hiện bởi người dùng trong công việc cụ thể, và nhân viên với vai trò thích
hợp, phức tạp được giới thiệu bởi hai bên vai trò độc quyền hoặc phân cấp vai
trò được xử lý bởi các phần mềm RBAC, an ninh quản lý dễ dàng hơn.
Nội dung luận văn đưa ra một cái nhìn tổng quát về các mô hình kiểm
soát truy cập phổ biến đặc biệt chú trọng là mô hình kiểm soát truy cập trên
cơ sở vai trò - RBAC. Từ những kiến thức cơ bản đó luận văn tiến tới việc
đặc tả các chức năng quản trị cơ bản trong một hệ thống cài đặt mô hình
RBAC.
Sau khi đưa những kiến thức lý thuyết một cách chi tiết và dễ hiểu vể
RBAC, luận văn tiến hành phân tích, thiết kế và hoàn thành việc cài đặt công
cụ hỗ trợ bằng ngôn ngữ lập trình .Net trên nền hệ điều hành Window và hệ
quản trị cơ sở dữ liệu Oracle 11g.
MỤC LỤC
MỞ ĐẦU .......................................................................................................... 1
CHƢƠNG 1. TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP .. 5
1.1 . Kiêm soat truy câp và bài toán ......................................................................... 5
1.1.1. Khái niệm ................................................................................................ 5
1.1.2. Y nghĩa của kiểm soát truy cập ............................................................... 9
1.2 Các giải pháp kiểm soát truy câp ....................................................................... 9
1.2.1. Kiểm soát truy cập tùy quyền ................................................................. 9
1.2.2. Kiểm soát truy cập bắt buộc .................................................................. 10
1.2.3 Kiểm soát truy cập dựa trên trên vai trò . Error! Bookmark not defined.
1.3 So sánh RBAC với DAC và MAC .................... Error! Bookmark not defined.
1.4 Thực tế chính sách, mô hình và cơ chế kiểm soát truy câp tại các
doanh nghiệp, tổ chức, cơ quan ............................... Error! Bookmark not defined.
CHƢƠNG 2. KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI .... Error!
Bookmark not defined.
2.1. Giới thiệu tổng quan, khái niệm kiểm soát truy câp dựa trên phân vai
Error! Bookmark not defined.
2.2. Các tiêu chuẩn về RBAC do NIST đề xuất ......... Error! Bookmark not
defined.
2.3. Core RBAC ................................................. Error! Bookmark not defined.
2.3.1. Hỗ trợ điều hành .................................... Error! Bookmark not defined.
2.3.2. Quyền hạn ............................................. Error! Bookmark not defined.
2.3.3. Vai trò .................................................... Error! Bookmark not defined.
2.3.4 Mô hình core RBAC được định nghĩa như sau: ... Error! Bookmark not
defined.
2.4. Role hierarchy ............................................ Error! Bookmark not defined.
2.4.1. Xây dựng phân cấp vai trò từ vai trò phẳng ......... Error! Bookmark not
defined.
2.4.2. Phân cấp vai trò tổng quát và hạn chế ... Error! Bookmark not defined.
2.5. Constrained RBAC .................................... Error! Bookmark not defined.
2.5.1. Các quan hệ Static SoD ......................... Error! Bookmark not defined.
2.5.2. Các Quan hệ Dynamic SoD .................. Error! Bookmark not defined.
2.6. Quản lý truy câp phân vai trong RBAC .. Error! Bookmark not defined.
2.7. Mô hình use case ......................................... Error! Bookmark not defined.
2.7.1. Danh sách tác nhân ................................ Error! Bookmark not defined.
2.7.2. Sơ đồ use case ....................................... Error! Bookmark not defined.
2.7.3. Giải thích các use case quan trọng ........ Error! Bookmark not defined.
CHƢƠNG 3. ỨNG DỤNG RBAC VÀO QUẢN LÝ NHÂN HỘ KHẨU
VIỆT NAM ......................................................... Error! Bookmark not defined.
3.1. Đăc điểm các phân hệ dư liệu trong hệ thống quản lý nhân hộ khẩu Error!
Bookmark not defined.
3.2. Đanh gia chung vê kiêm soat truy câp băng cơ chê phân quyên trong
phân hê dƣ liêu nhân hộ khẩu hiên nay .......... Error! Bookmark not defined.
3.3. Thiết kế cơ sở dư liệu ................................. Error! Bookmark not defined.
3.3.1. Một số khái niệm cơ bản ....................... Error! Bookmark not defined.
3.3.2. Mô hình tổng quát ................................. Error! Bookmark not defined.
3.3.3. Các bảng dữ liệu .................................... Error! Bookmark not defined.
3.4. Cài đăt chƣơng trình và thực nghiệm ...... Error! Bookmark not defined.
3.4.1. Môi trường và công cụ cần thiết ........... Error! Bookmark not defined.
3.4.2. Tổ chức khai thác chương trình ............ Error! Bookmark not defined.
3.4.3. Mô hình triển khai hệ thống ................. Error! Bookmark not defined.
3.5. Kết quả của ứng dụng ................................ Error! Bookmark not defined.
3.5.1. Giới thiệu các chức năng quản trị ......... Error! Bookmark not defined.
3.5.2. Các bước tạo tài khoản mới và phân quyền cho người dùng ......... Error!
Bookmark not defined.
3.5.3. Quản trị nhóm chức năng hệ thống ....... Error! Bookmark not defined.
3.5.4. Quản trị danh mục ................................. Error! Bookmark not defined.
KẾT LUẬN ........................................................ Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO ............................................................................ 11
i
DANH SÁCH CÁC HÌNH VẼ
Hình 1.1 Điểm khác biệt giữa RBAC và DAC, MAC ... Error! Bookmark not
defined.
Hình 2.1. Quan hệ user, role, permission ........ Error! Bookmark not defined.
Hình 2.2. Ví dụ về chức năng phân cấp vai trò .............. Error! Bookmark not
defined.
Hình 2.3. Hệ thống phân cấp vai trò chung với chưc năng và tổ chức .... Error!
Bookmark not defined.
Hình 2.4. Phân cấp static SOD ........................ Error! Bookmark not defined.
Hình 2.5. Mô hình Static SOD ........................ Error! Bookmark not defined.
Hình 2.6. Mô hình DSD .................................. Error! Bookmark not defined.
Hình 2.7. Mô hình Use case ............................ Error! Bookmark not defined.
Hình 3.1. Mô hình tổng quát hệ thống quản lý nhân hộ khẩu ................. Error!
Bookmark not defined.
Hình 3.2. Mô hình ba lớp ................................ Error! Bookmark not defined.
Hình 3.3. Mô hình triển khai hệ thống ............ Error! Bookmark not defined.
Hình 3.4. Chức năng cơ bản của hệ thống ...... Error! Bookmark not defined.
Hình 3.5. Các chức năng quản trị người dùng Error! Bookmark not defined.
Hình 3.6. Các chưc năng quản trị danh mục ... Error! Bookmark not defined.
Hình 3.7. Kết quả của quá trình phân quyền ... Error! Bookmark not defined.
ii
DANH SÁCH CÁC THUẬT NGỮ VÀ KHÁI NIỆM
THUẬT NGỮ KHÁI NIỆM
MAC Mandatory access control - điều khiển truy cập bắt buộc
DAC
Discretionary access control - điều khiển truy cập tùy
quyền
RBAC
Role-based access control - điều khiển truy cập trên cơ sở
vai trò
GFAC
Generalized Framework for Access Control - kiến trúc
frameword tổng quát cho điều khiển truy cập
ACL Access control list - Danh sách điều khiển truy cập
Least privilege Đặc quyền tối thiểu
Separation of
duties Phân chia trách nhiệm
SSD Static separation of duties - phân chia trách nhiệm tĩnh
DSD Dynamic separation of duties - phân chia trách nhiệm động
Data abstraction Trừu tượng hóa dữ liệu
Role hierarchy Cấp bậc trong vai trò
Core RBAC Mô hình RBAC cơ sở
Constrained
RBAC Các ràng buộc RBAC
iii
ROLE data set Tập hợpc các vai trò
SSD role set Tập hợp các vai trò có thêm ràng buộc SSD
USER data set Tập hợp người sử dụng
OBJS data set Tập hợp các đối tượng
OPS Tập hợp các hành động trên một đối tượng cụ thể
Users Người dùng
Role Vai trò
Permission Quyền hạn
Compartment Bộ phận
Object Khách thể, đối tượng
Subject Chủ thể
Operations Hoạt động, thao tác
1
MỞ ĐẦU
1. Tính cấp thiết của đề tài
Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm an
toàn, an ninh thông tin trên môi trường mạng cũng ngày càng trở nên cấp
thiết. Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lượng và mức
độ nghiêm trọng. Trước các hiểm họa và gánh nặng tuân thủ các quy định bảo
mật mới, các phương thức và hệ thống bảo mật truyền thống đã không còn
hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cần có
những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức, đảm
bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu, bao gồm các thông tin
nhạy cảm và tài sản trí tuệ, trong khi vẫn duy trì môi trường làm việc linh
hoạt; nâng cao hiệu quả kinh doanh, khả năng ứng biến và tốc độ tăng trưởng.
Các vấn bảo mật thô ng tin đa va đang trơ thanh môt trong nhưng vân
đề quan trọng và nhạy cảm nhấ t trong bôi canh chúng ta ngày càng hội nhập
sâu rộng ra thế giới. Viêc ưng dung công nghê cao trong nganh nay cung luôn
đươc ưu tiên hang đâu nhăm phuc vu cac nôi dung hoat đông cua nganh . Cơ
sơ dư liêu nhân hộ khẩu mang tính riêng tư cao , do đo nhu câu đươc bao vê
hay vân đê bao mât đươc quan tâm sô môt . Măt khac, là ngành mang tích chất
quốc gia nên viêc truy câp va lam viêc vơi cac cơ sơ dư liêu tai nhân hộ khẩu
đông thơi phải đảm bảo tính đơn giản , dê sư dung n hăm tăng năng suât lao
đông,… Kiêm soat truy câp đôi vơi cac phâ n hê dư liêu trong nhân hộ khẩu
do đo cang đong vai tro quan trong vơi nhiêm vu phai đap ưng ngay tôt hơn
hai yêu câu tương chưng mâu thuân lai la hai măt cua môt vân đê la tính bảo
mât cao và dê sƣ dung.
Kiêm soat truy câp băng cơ chê phân quyên theo vai tro ngươi sư dung
trong thưc tiên đang la giai phap tôi ưu , đươc lưa chon phô biên nhât đôi vơi
các phân hệ dư liêu tai cac quốc gia trên thê giơi noi chung va Viêt Nam noi
2
riêng. Tuy nhiên viêc phân quyên trong thưc tê ngay cang trơ nên phưc tap do
vai tro cua cac ch ủ thể ngày càng đa dạng . Cũng như yêu câu bao mât đông
thơi phai tăng tinh canh tranh ngay cang c ao khiên nhu câu nâng cao hiêu qua
của cơ chế phân quyền trong kiểm soát truy cập là vấn đề luôn đặt ra song
song vơi qua trinh vân hanh va phat triên cac cơ sơ dư liêu tai cac phân hệ
nhân hộ khâu.
Đê tai “ Nghiên cứu kiểm soát truy câp dựa trên phân vai và ứng
dụng vào hệ thống quản lý nhân hộ khẩu Việt nam” đươc nghiên cưu
nhăm phân tich ưu điêm cung như nhưng kho khăn đang găp phai cua ưng
dụng cơ chế phân quyền vào kiểm soát truy cập tại các phân hệ d ữ liệu của
nhân hộ khâu tại Việt Nam hiện nay.
2. Mục đích nghiên cứu
Kiểm soát truy cập chỉ là một khía cạnh của giải pháp bảo mật toàn
diện máy tính. Mỗi khi người dùng đăng nhập vào một hệ thống máy tính có
nhiều nguời dùng, kiểm soát truy cập sẽ được thi hành. Để đạt được sự hiểu
biết tốt hơn về mục đích kiểm soát truy cập, thì nó chính là xem xét an ninh
thông tin đối với hệ thống thông tin. An ninh thông tin được phân thành ba
loại, tính bảo mật, tính toàn vẹn, tính sẵn sàng.
Tính bảo mật: Là cần thiết phải dữ thông tin an toàn và riêng tư. Điều
này có thể bao gồm bất cứ điều gì từ bí mật nhà nước, thông tin tài chính, và
thông tin bảo mật chẳng hạn như là mật khẩu.
Tính toàn vẹn: Đề cập đến khái niệm về bảo vệ thông tin không bị thay
đổi hoặc sửa đổi bởi người dùng trái phép. Ví dụ như hầu hết người dùng đều
muốn dảm bảo rằng tài khoản ngân hàng được sử dụng bởi phần mềm tài
chính không được thay đổi bởi bất cứ ai khác và chỉ có người dùng và quản trị
an ninh được ủy quyền có thể thay đổi đươc mật khẩu.
Tính sẵn sàng: Đề cập đến quan điểm cho rằng thông tin có sẵn cho sử
dụng khi cần thiết và được đưa đến người dùng kịp thời không bị gián đoạn.
3
Mọi hành vi tấn công làm gián đoạn quá trình truyền thông tin, khiến thông
tin không đến được với người dùng chính là đang tấn công vào tính sẵn sàng
của hệ thống đó.
Kiểm soát truy cập là rất quan trọng để giữ gìn bí mật và tính toàn vẹn
của thông tin. Các điều kiện bảo mật yêu cầu chỉ người dùng được ủy quyền
có thể thay đổi thông tin theo cách có thẩm quyền. Kiểm soát truy cập rõ ràng
ít là trung tâm để bảo tồn tính sẵn có, nhưng rõ ràng có một vai trò quan
trọng: Một kẻ tấn công có quyền truy cập trái phép vào một hệ thống sẽ mang
rắc rối tới hệ thống đó.
Với kiểm soát truy cập dựa trên phân vai, quyết định truy cập dựa trên
phân vai mà người dùng cá nhân như là một phần của một tổ chức. Người có
vai trò được giao chẳng hạn như y tá, bác sĩ, nhân viên giao dịch, quản lý.
Quá trình xác định vai trò cần phải được dựa trên một phân tích toàn diện của
một tổ chức hoạt động như thế nào và nên bao gồm đầu vào từ một phổ rộng
của người sử dụng trong một tổ chức
Kiểm soát truy cập dựa trên phân vai là một tính năng bảo mật cho
người dùng truy cập kiểm soát với nhiệm vụ mà thông thường sẽ được hạn
chế quyền đến thư mục gốc. Bằng cách áp dụng các thuộc tính bảo mật cho
các quy trình và cho người dùng, RBAC có thể phân chia khả năng siêu người
dùng nhiều trong số các quản trị viên. Quy trình quản lý quyền được thực hiện
thông qua các đặc quyền.
Vì thế, việc sử dụng vai trò kiểm soát truy cập sẽ là một phương tiện
hiệu quả để phát triển và thực thi các chính sách bảo mật doanh nghiệp cụ thể,
và tinh giản quá trình quản lý hệ thống.
3. Đối tƣợng và phạm vi nghiên cứu
Tập trung nghiên cứu và đánh giá các kỹ thuật RBAC trong các hệ
thống mạng của nghành công an ở phạm vi một tỉnh, sử dụng các hệ thống
Server trên nền tảng hệ điều hành Windows hoặc linux.
4
4. Phƣơng pháp nghiên cứu
Kết hợp các nghiên cứu trước đây về kỹ thuật RBAC trong các tài liệu
chuyên ngành và các phương pháp sử dụng RBAC trong các hệ thống mạng
của Bộ công an để kiểm nghiệm và ứng dụng trên nền tảng hệ điều hành
Windows Server hoặc Linux.
5
CHƢƠNG 1
TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP
1.1 . Kiêm soat truy câp và bài toán
1.1.1. Khái niêm
Truy câp được biết đến như việc truy cập các tài nguyên của một chủ
thể tới một đối tượng.
Kiêm soat truy câp là việc chính thức hóa các quy tắc cho phép hoặc
tư chôi truy câp . Kiêm soat truy câp xac đinh chinh xac nhưng ngươi co t hê
tương tac, nhưng gi chu thê co thê lam trong tương tac đo . Nó căn cứ vào cấp
quyên hoăc quyên ưu đai, đến một chủ thể liên quan đến một đối tượng.
Ví dụ, hãy xem xét một nhà quản lý bận rộn với một trợ lý hành c hính
là những người phục vụ như một người gác cổng , quyêt đinh ai se đươc phep
tương tac ca nhân vơi giam đôc điêu hanh va phai đê lai thông điêp vơi cac
trơ ly hanh chinh . Trong tinh huông nay vi khach nay la chu t hê va giam đôc
điêu hanh la đôi tương . Trơ ly hanh chinh la hê thông kiêm soat truy câp
quyêt đinh ai đươc phep truy câp đên điêu hanh.
Có 3 thành phần chính của bất kỳ kịch bản kiểm soát truy cập:
Chính sách : Các quy tăc chi phôi ngươi đươc tiêp cân vơi nguôn tai
nguyên.
Chủ thể : Ngươi sư dung , mạng, quá trình hoặc ứng dụng yêu cầu
truy câp đên tai nguyên.
Đối tƣợng: Các nguồn tài nguyên mà các chủ thê mong muôn đươc
truy cập. Bât cư luc nao ban phai quyêt đinh cho phep hoăc tư chôi truy câp
bơi môt chu thê tơi tai nguyên cua ban la ban đa bươc vao vân đê kiêm soat
truy câp.
Hê thông kiêm soat truy câp bao gôm 3 yêu tô:
6
Chính sách : Các quy định được phát triển bởi một người có kiến
thưc vưng chăc cua tô chưc, nó là tài sản, mục tiêu và những thách thức.
Thủ tục: Phương thưc không ky thuât đươc sư dung đê thưc thi chinh sach.
Các công cụ : Các Phương phap ky thuât đươc sư dung đê thưc thi
chính sách.
Các tổ chức thường sử dụng các thủ tục và các công cụ với nhau để
thưc thi chinh sach . Ví dụ, hâu hêt cac công ty đêu co cac chinh sach nghiêm
ngăt đê xac đinh ai đươc phe p truy câp vao hô sơ can bộ . Nhưng hô sơ nay
chưa thông tin nhay cam va bí mật mà có thể được sử dụng để gây ra thiệt hai
nghiêm trong cho can bộ, công ty cũng như toan bô, nêu cac hô sơ bi xâm hai.
Chính sách nay co thê noi răng chi nhân viên trong bô phân nguôn nhân lưc ,
vơi nhu câu cu thê đôi vơi thông tin chưa trong ban ghi nao đo mơi có thê truy
câp no.
Đê thưc thi chinh sách nay cac công ty co cac thu tuc ma tinh tra ng cua
các bản ghi(hô sơ) chỉ có thể được cung cấp cho nhân viên với các thông tin
thích hợp(quá trình xác thực), họ điền vào một mẫu nêu rõ nhu cầu cụ thể của
họ cho các thông tin có trong hồ sơ mà họ yêu cầu . Khi yêu câ u đươc châp
thuân, các nhân viên có thể được cung cấp đinh danh người dùng và mật khẩu
để truy cập hồ sơ nhân viên trong mang nôi bô(quá trình uy quyên). Các trang
web trong mang nôi bô , cùng định danh người dùng và mật khẩ u, là những
công cu cân thiêt đê câp quyền truy câp vao hô sơ nhân viên.
Chủ thể kiểm soát truy câp : Các chủ thể trong kịch bản kiểm soát
truy câp la ưng dung ca nhân yêu câu truy câp vao tai nguyên như mang , hê
thông tâp tin, hoăc may in.
Có 3 loại chủ thể khi nói đến kiểm soát truy cập cho một nguồn tài
nguyên cu thê:
7
Ủy quyền: Nhưng ngươi đa trinh uy nhiêm va đươc phê duyêt đê truy
câp vao cac nguôn tai nguyên.
Không đƣơc uy quyê n: Nhưng ngươi không co cac thông tin thich
hơp hoăc không co cac đăc quyên thich hơp đê truy câp tai nguyên.
Không biêt: Nhưng nguơi đa không trinh bay bât ky thông tin hay sư
ủy nhiêm nao ca. Không ro ho có truy câp hoăc không.
Sư khac biêt giưa môt ngươi không biêt va không đươc uy quyên la sư
điêu chinh. Môt không biêt năc danh , họ đã không cố gắng đăng nhập hoặc
hạn chế truy cập vào nguồn tài nguyên nào . Ngay sau khi môt ngươi không
biết cố gắng truy cập vào một nguồn tài nguyên hạn chế , họ phải rơi vào một
trong hai loai khac la co uy quyên va không đươc uy quyên.
Có 4 loại của công nghệ có thể là chủ thể cho mục đích kiểm soát truy cập:
Mạng: Mạng là chủ thể khi nguồn tài nguyên trên một mạng yêu cầu
truy câp vao nguôn tai nguyên trên mang khac . Môt quy tăc tương lưa cho
phép truy cập internet có thể sử dụng mạng nội bộ như một chủ thể , vơi
internet va đôi tương.
Các Hệ thống: Hệ thống là chủ thể khi một hệ thống yêu cầu truy cập
vào nguồn tài nguyên trên hệ thống khác hay trên mang. Điêu nay thương xay
ra khi PC nô lưc truy câp vao môt may in trên mang.
Quá trình: Quá trình la chu thê phô biên nhât khi qua trinh môt ưng
dụng yêu cầu truy cập mưc đô thâp tơi tâp tin hê thông.
Các ứng dụng : Ứng dung la chu thê khi no cân phai t ruy câp vào
nguôn tai nguyên bên ngoai như may in hay mang.
Chủ thể công nghệ không có định danh người dùng và mật khẩu cách
mà chủ thể con người có thể , nhưng no co cung thâm quyên hay tinh trang
không ro.
8
Đối tƣợng kiểm soát truy câp : Có 3 loại đối tượng được bảo vệ bằng
cách kiêm soat truy câp:
Thông tin: Bât kỳ loại tài sản dư liệu nao.
Công nghê: Ứng dung, hê thông, mạng.
Vi trí vât lý: Vị trí vật lý như các tòa nhà, văn phong.
Thông tin la tai san chung nhât cua IT kiêm soat truy câp . Bạn đặt mật
khâu trên cơ sơ dư liêu và các ứng dụng để đảm bảo rằng chỉ có người được
ủy quyền có thể truy cập chúng . Đối tượng công nghệ cũng quan trọng, bơi vi
môt ngươi sư dung đôc hai co thê dê dang thỏa hiệp sư toan ven dư liêu băng
cách tấn công các công nghệ lưu trữ và sử dụng nó . Nêu ngươi dung không
đươc uy quyên truy câp trai phep vao may chu tâp tin , ngươi dung loai nay se
dê dang ăn căp, xóa, hoăc thay đôi dư liêu đươc lưu trư trên may chu.
Bảo mật vật lý là quá trình đảm bảo rằng không ai không có sự ủy
nhiêm co thê truy câp tai nguyên vât ly, bao gôm ca phân cưng va vi tri vât ly.
Nêu tât ca cac may chu môt mât khâu đê đăng nhâp vao , tại sao lại hạn chế
nhưng ngươi co thê xâm nhâp vao phong may chu ? Câu tra lơi rât đơn gian :
Nêu muc tiêu ngươi sư dung đôc hai la ha xuông môt may chu , họ không cần
phải đăng nhập. Tât ca ho phai lam la ăn căp no hoăc pha huy no.
Quá trình kiểm soát truy câp: Có 3 bươc đê tiên hanh kiêm soat truy câp:
Xác đinh: Quá trình mà một chủ thể xác định chính nó để truy cập
vào hệ thống điều khiển.
Xác thực: Xác nhân danh tinh cua đôi tương.
Ủy quyền: Quyêt đinh cho phep hoăc tư chôi truy câp đên môt đôi tương.
Ba thanh phân kiêm soat tru y câp thương lam viêc cung nhau trong
môt môi quan hê hiêp lưc va co thê đươc tim thây tro ng cac ưng dung , hê
điêu hanh , tương lưa , router , cơ sơ dữ liêu , bô điêu khiên tên miên , và
nhiêu hơn nưa .
9
1.1.2. Y nghia cua kiêm soát truy câp
Kiểm soát truy cập là một giải pháp của bảo mật hệ thống, nhăm:
- Đam bao khả năng truy cập của người sử dụng
- Ngăn chăn sư truy câp bât hơp phap
- Đam bao tinh an toan, săn sang cua hê thông
- Hạn chế rủi ro
- Truy tim cac hoat đông co nghi vân
- Căn cư phap ly đê bao vê tô chưc khi bi xâm hại hoặc xảy ra tranh chấp
1.2 Các giải pháp kiểm soát truy câp
Mô hinh kiêm soat truy câp đươc tao ra đê thưc thi cac quy tăc va muc
tiêu cua chinh sach bao mât va ra lênh như thê nao đê chu thê co thê truy câp
đôi tương. Có 3 mô hinh se đư ợc đề cập trong phần này : Kiêm soat truy câp
tùy ý, kiêm soat truy câp băt buôc, kiêm soat truy câp dưa trên phân vai.
1.2.1. Kiêm soát truy câp tùy quyền[6]
Được chỉ định cho một chủ thể hoặc một đối tượng. Danh sách điều
khiển. Kiểm soát truy cập tùy quyền là một chính sách truy cập mà chủ nhân
của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt. Chủ nhân
của nó quyết định ai là người được phép truy cập tập tin và những đặc quyền
nào là những đặc quyền người đó được phép thi hành.
Hai quan niệm quan trọng trong truy cập tùy quyền là:
Quyền sở hữu tập tin và dữ liệu: Bất cứ một đối tượng nào trong một
hệ thống cũng phải có một chủ nhân là người sở hữu nó. Chính sách truy cập
các đối tượng là do chủ nhân tài nguyên quyết định - những tài nguyên bao
gồm: các tập tin, các thư mục, dữ liệu, các tài nguyên của hệ thống, và các
thiết bị. Theo lý thuyết, đối tượng nào không có chủ sở hữu thì đối tượng đó
bị bỏ lơ, không được bảo vệ. Thông thường thì chủ nhân của tài nguyên chính
là người đã kiến tạo nên tài nguyên (như tập tin hoặc thư mục).
10
Các quyền và phép truy cập: Đây là những quyền khống chế những
thực thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người
hoặc mỗi một nhóm người dùng.
Kiểm soát truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ
thuật khác nhau:
Danh sách kiểm soát truy cập (Access control list - ACL) định danh
các quyền và phép truy cập cho ta một phương pháp linh hoạt để áp dụng quy
chế điều khiển truy cập tùy quyền.
Kiểm tra truy cập trên cơ sở vai trò chỉ định tư cách nhóm hội viên
dựa trên vai trò của tổ chức hoặc chức năng của các vai trò. Chiến lược này
giúp tối giảm việc điều hành quản lý quyền và phép truy cập.
Những quyền và phép để truy cập các đối tượng được chỉ định cho từng
nhóm, hay hơn nữa, tới từng cá nhân một. Các cá nhân có thể trực thuộc một
hoặc nhiều nhóm khác nhau. Mỗi cá nhân có thể được bố trí để họ tự đạt được
nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do mỗi
nhóm mà họ là hội viên ban cho và cộng lại), song cũng có thể bị loại khỏi
những phép truy cập, là những phép mà tất cả các nhóm họ là hội viên không
thể cùng có được.
1.2.2. Kiêm soát truy câp bắt buộc[6]
Kiểm soát truy cập bắt buộc là một chính sách truy cập không do cá
nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định. MAC được
dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu
nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính
phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính
duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa
các chủ thể và các đối tượng.
11
TÀI LIỆU THAM KHẢO
1. [ES99] Pete Epstein, Ravi S. Sandhu, Towards a UML Based Approach to
Role Engineering. ACM Workshop on Role-Based Access Control 1999:
135-143
2. David Ferriaolo, Richard Kuhn and Ramaswamy Chandramouli. Role-
based access control, second edition: 2007
3. Michael E. Shin and Gail-Joon Ahn, "UML-based Representation of Role-
based Access Control," In Proceedings of 5th IEEE International
Workshop on Enterprise Security, NIST, MD, June 14-16, 2000.
4. Ravi Sandhu. Rational for the RBAC96 Family of Access Control Models.
In Proceedings of 1st ACM Workshop on Role-based Access control,
ACM, 1997
5. Alan C. O’Connor Ross J. Loomis. 2010 Economic Analysis of Role-Based
Access Control, 2010
6. Role Based Access Control- Draft & Presentation on RBAC standard by
Wilfredo Alvarez available at http://csrc.nist.gov/rbac/.
7. Modeling Role-Based Access Control Using Parameterized UML Models -
- Dae-Kyoo Kim, Indrakshi Ray, Robert France, Na Li
8. F. Chen and R. Sandhu. Constraints for Role-Based Access Control. In
Proceedings of the 1st ACM Workshop on Role-Based Access Control,
Gaithersburg, MD, 1995.
9. Moffett, J., and M. Sloman, “Policy Conflict Analysis in Distributed
Systems Management,” Journal of Organizational Computing, Vol. 4, No.
1, 1994,pp. 1-22.
10. http://www.wikipedia.org/ wiki/Cần_Thơ
