LỜI CAM ĐOAN
Tôi xin cam đoan : Luận văn “Nghiên cứu một số mô hình đảm bảo an ninh cơ
sở dữ liệu và thử nghiệm ứng dụng” là công trình nghiên cứu khoa học, độc lập của
tôi.
Đây là đề tài của luận văn Thạc sỹ ngành công nghệ thông tin. Kết quả nghiên
cứu được trình bày trong luận văn này chưa từng được công bố dưới bất kỳ hình thức
nào.
Hà Nội, ngày 28 tháng 05 năm 2010
Tác giả luận văn
Lê Thị Sinh
1
MỤC LỤC
LỜI CAM ĐOAN 1
DANH MỤC CÁC HÌNH VẼ 5
DANH MỤC CÁC BẢNG BIỂU 5
BẢNG CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 6
LỜI NÓI ĐẦU 7
Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN 9
1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU 9
1.1.1. Khái niệm Cơ sở dữ liệu 9
1.1.1.1. Cơ sở dữ liệu và mô hình Cơ sở dữ liệu 9
1.1.1.2. Cơ sở dữ liệu dạng quan hệ 10
1.1.2. Vấn đề bảo vệ Cơ sở dữ liệu 10
1.1.2.1. Những hiểm họa đối với Cơ sở dữ liệu 10
1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu 11
1.1.2.3. Các phương pháp bảo vệ Cơ sở dữ liệu 12
1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 17
1.2.1. Khái niệm Mạng máy tính 17
1.2.2. Vấn đề bảo vệ Mạng máy tính 18
1.2.2.1. Những hiểm họa đối với Mạng máy tính 18
1.2.2.2. Những yêu cầu bảo vệ Mạng máy tính 19
3.2.2. Các kiểu truy cập (Access Modes) 43
3.2.3. Các phép toán (Operations) 43
3.2.4. Các câu lệnh (Commands) 46
3.2.5. Ủy quyền 49
3.2.6. Thực thi của mô hình ma trận truy cập (Model Implementation) 50
3.2.7. Mở rộng mô hình: 50
3.3. MÔ HÌNH TAKE - GRANT 52
3.3.1. Trạng thái ủy quyền (Authorization State) 52
3.3.2. Các kiểu truy cập (Access Modes) 53
3.3.3. Các phép toán (Operations and Transfer to privileges) 54
3.3.4. Mở rộng của mô hình 57
3.4. MÔ HÌNH ACTEN (ACTION – ENTITY MODEL) 59
3.4.1. Các kiểu truy cập 59
3.4.1.1 Kiểu truy cập Static 59
3.4.1.2 Kiểu truy cập Dynamic 59
3.4.2. Việc cấp quyền (Authorizations) 61
3.4.3. Sự phân lớp thực thể (Entity classification) 62
3.4.4. Các cấu trúc của mô hình (Model structures) 62
3.4.5. Luật biến đổi và luật kiên định 64
3.5. MÔ HÌNH WOOD ET AL 68
3.5.1. Kiến trúc ANSI/SPARC 68
3.5.2. Chủ thể và đối tượng 69
3.5.3. Kiểu truy nhập 70
3.5.4. Hàm ánh xạ (Mapping function) 71
3.5.5. Trạng thái cấp quyền (Authorization state) 71
3.5.6. Các luật truy nhập ở mức khái niệm 73
3.5.7. Các luật truy nhập ở mức ngoài 74
3.5.8. Kiểm soát truy cập 75
3.6. THẢO LUẬN VỀ MÔ HÌNH TỰ QUYẾT 77
3.7. MÔ HÌNH SEA VIEW 79
Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y 12
Hình 1.2 Hệ thống kiểm soát truy nhập 13
Hình 1.3 Hệ thống đóng 14
Hình 1.4 Hệ thống mở 15
Hình 1.5 Phiên làm việc của người dùng 20
Hình 3.1 Mô hình Harrison-Ruzzo-Ullman 36
Hình 3.2 Các phương pháp lưu trữ khác nhau cho một ma trận truy cập 45
Hình 3.3 Kết quả thực hiện tuần tự các phép toán trên đồ thị G 50
Hình 3.4 Ví dụ về quyền thuận nghịch trong mô hình Take- Grant 52
Hình 3.5 Ví dụ về đồ thị tĩnh 56
Hình 3.6 Ví dụ về đồ thị động 57
Hình 3.7 Kiến trúc cơ sở dữ liệu 3 mức ANSI/SPARC 63
Hình 3.8 Mối quan hệ giữa các luật tại các mức khác nhau 67
Hình 3.9 Minh họa một kiểu tấn công Trojan Hourse 71
DANH MỤC CÁC BẢNG BIỂU
Tên bảng Trang
Bảng 3.1 Các mô hình an ninh HĐH và CSDL 34
Bảng 3.2 Ma trận truy cập 36
Bảng 3.3: Các phép toán của mô hình HRU 38
Bảng 3.4 Các phép toán trong mô hình Take -Grant 45
Bảng 3.5 Cách thức truy cập và mức ưu tiên 54
Bảng 3.6 Bảng lớp an ninh 58
Bảng 3.7 Trạng thái các thực thể 58
Bảng 3.8 Ví dụ về bảng truy nhập bắt buộc AC 66
Bảng 3.9 Ví dụ về bảng các luật mức khái niệm 68
5
Tên bảng Trang
Bảng 3.10 Ví dụ về một quan hệ đa mức EMPLOYEE 85
Bảng 3.11. Giải thích ở các mức khác nhau của quan hệ EMPLOYEE 86
Bảng 3.12 Quan hệ đa mức EMPLOYEE sau khi chèn 88
mạng để chia sẻ tài nguyên giữa những người sử dụng lại hết sức to lớn. Mạng máy
tính hiện nay đã là công cụ không thể thiếu được trong hầu hết các hoạt động của con
người như giải trí, giáo dục, kinh doanh, bảo hiểm, ngân hàng,….
Tuy nhiên, lại phát sinh một vấn đề mới là các thông tin quan trọng nằm trong
kho dữ liệu hoặc đang trên đường truyền có thể bị ăn cắp, có thể bị làm sai lệch hoặc
giả mạo. Điều đó làm ảnh hưởng không nhỏ đến các tổ chức, các công ty hay cả một
quốc gia. Để giải quyết vấn đề trên, các nhà nghiên cứu đã bắt tay vào nghiên cứu và
xây dựng các mô hình nhằm đảm bảo an toàn và bảo mật thông tin. Hiện nay đã có
một số lý luận, khái niệm và một số mô hình về an toàn bảo mật thông tin, an ninh cơ
sở dữ liệu (CSDL), an ninh hệ điều hành được đưa ra. Các phần mềm ứng dụng cũng
đã được phát triển và cung cấp môi trường giúp người lập trình có thể khắc phục, hạn
chế các chỗ hổng trong việc quản lý CSDL.
Thông tin trong máy tính hoặc trên đường truyền cần đảm bảo ba yêu cầu cơ bản là:
- Yêu cầu bí mật: Thông tin không bị lộ cho những người không có trách nhiệm.
- Yêu cầu toàn vẹn: Thông tin không bị thay đổi trong quá trình sử dụng.
- Yêu cầu sẵn sàng: Cung cấp kịp thời, đáp ứng yêu cầu của người sử dụng.
Khi kho dữ liệu ngày càng nhiều và việc truyền tin trên mạng ngày càng gia tăng,
phổ biến thì hiểm họa đối với máy tính ngày càng nguy hiểm. Hiểm họa đối với máy
tính được định nghĩa như một sự cố tiềm tàng có ác ý, có thể tác động không mong
muốn lên các tài sản, tài nguyên gắn liền với hệ thống máy tính đó. Các nhà nghiên
cứu đã chia hiểm họa thành ba dạng khác nhau: lộ tin, xâm phạm tính toàn vẹn và từ
chối dịch vụ.
Trong môi trường CSDL, những ứng dụng và người dùng khác nhau cùng khai
thác dữ liệu thông qua hệ quản trị CSDL. Qua quá trình khai thác dữ liệu có thể mâu
thuẫn nhau. Khi đó những hiểm họa trở lên nghiêm trọng hơn vì các hiểm họa này phát
sinh trong môi trường CSDL.
7
Sự an ninh đạt được trong môi trường CSDL có nghĩa là nhận ra các hiểm họa,
lựa chọn đúng đắn cách và cơ chế giải quyết các hiểm hoạ đó.
Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lưu trữ dữ
xin chân thành cảm ơn lãnh đạo Trường Cao đẳng Kinh tế - Kỹ thuật Hải Dương,
các đồng nghiệp và gia đình đã tạo điều kiện giúp đỡ về vật chất cũng như tinh thần để
tôi hoàn thành luận văn này.
8
Chương 1. TỔNG QUAN VỀ AN NINH HỆ THỐNG THÔNG TIN
1.1. VẤN ĐỀ AN NINH CƠ SỞ DỮ LIỆU
Với sự phát triển ngày càng cao của công nghệ máy tính thì yêu cầu thao tác và
xử lý thông tin với khối lượng lớn trong một thời gian ngắn là hết sức cần thiết. Vì vậy
các dữ liệu đó phải được tổ chức và lưu trữ một cách hợp lý trên máy tính, đáp ứng
mọi yêu cầu khai thác thông tin của nhiều người dùng hợp pháp. Với khối lượng lớn
dữ liệu được lưu nên giá trị của dữ liệu lưu trữ trong máy tính thường rất lớn so với hệ
thống chứa nó, vì vậy việc đảm bảo an toàn cho dữ liệu là hết sức quan trọng.
Ở góc độ HĐH mà xem xét, hệ thống quản lý CSDL chỉ là một chương trình ứng
dụng loại lớn. Chính sách an ninh của hệ thống CSDL một phần là do HĐH thực hiện,
phần khác là do giải pháp an toàn của bản thân hệ thống CSDL.
Ở góc độ an toàn và bảo mật CSDL mà xem xét, thì đặc điểm cơ bản của hệ
thống CSDL có thể khái quát như sau:
- Yêu cầu bảo vệ thông tin trong CSDL tương đối nhiều, yêu cầu bảo vệ thông tin
ngày càng cao.
- Thời gian tồn tại CSDL là tương đối dài.
- Sự an toàn CSDL có liên quan đến an toàn thông tin ở nhiều mức độ khác nhau.
Từ các góc độ trên ta thấy hệ thống CSDL sẽ phải đối phó với nhiều hiểm họa.
Các nhà khoa học đã định nghĩa hiểm họa đối với một hệ thống máy tính như
một sự cố tiềm tàng có ác ý, có thể tác động không mong muốn lên các tài sản, tài
nguyên gắn liền với hệ thống máy tính đó. Hiểm họa được chia thành ba dạng cơ bản
như sau [3]:
- Hiểm họa lộ tin: Thông tin được lưu dữ trong máy tính hoặc trên đường truyền
bị lộ cho người không có trách nhiệm. Đây là một hiểm họa được quan tâm rất lớn
trong an toàn thông tin.
- Hiểm họa xâm phạm tính toàn vẹn: Thông tin bị sửa đổi trái phép trong quá
liệu. Hậu quả của sự xâm phạm là các hiểm họa, các hiểm họa được chia thành ba
nhóm sau:
- Lộ tin: Người dùng không hợp pháp truy cập CSDL để xem dữ liệu, hay lấy tin
mật bằng cách suy diễn từ các thông tin được phép.
- Sửa chữa dữ liệu không hợp pháp: Người dùng không hợp pháp xâm phạm tính
toàn vẹn của dữ liệu trong CSDL.
- Từ chối dịch vụ: Ngăn cản người dùng hợp pháp truy nhập dữ liệu hay sử dụng
tài nguyên trong CSDL.
Hiểm họa cũng được phân loại theo hai cách sau:
- Hiểm họa không cố ý: là các rủi ro về thiên tai như động đất, hỏa hoạn, lụt; các
thiếu sót kỹ thuật trong phần cứng, phần mềm; sự xâm phạm không cố ý của con
người. Tất cả những điều đó có thể tác động đến hệ thống và dữ liệu.
- Hiểm họa cố ý: là do người dùng cố tình gây ra. Người dùng lạm dụng đặc
quyền và ủy quyền của mình để gây lên các hiểm họa hay hành động thù địch bằng
việc tạo ra virut, trojan horse hay “cửa sập” để lấy cắp thông tin với mục đích gian lận.
10
1.1.2.2. Những yêu cầu bảo vệ Cơ sở dữ liệu
Bảo vệ CSDL tránh khỏi các hiểm họa có nghĩa là bảo vệ tài nguyên lưu trữ dữ
liệu, tránh khỏi việc cập nhật dữ liệu không hợp pháp (một cách vô tình hay cố ý).
Những yêu cầu về bảo vệ CSDL bao gồm:
* Yêu cầu bí mật:
- Bảo vệ tránh những truy nhập không được phép: Chỉ cho phép người dùng hợp
pháp truy nhập đến CSDL. Các truy nhập phải được hệ quản trị CSDL kiểm soát để
chống lại những người dùng hoặc các ứng dụng không được phép.
- Bảo vệ tránh suy diễn: Suy diễn là khả năng thu được thông tin bí mật từ những
dữ liệu không bí mật, được hình thành từ việc thống kê. Do đó người dùng phải ngăn
ngừa việc truy tìm tới các thông tin cá nhân bắt đầu từ việc thống kê thu thập thông
tin.
* Yêu cầu toàn vẹn:
- Toàn vẹn của CSDL: Bảo vệ CSDL tránh các truy nhập không được phép, từ đó
+ Lớp dữ liệu trong CSDL.
Các biện pháp an ninh để bảo vệ CSDL có thể đạt được thông qua:
+ Kiểm soát luồng
+ Kiểm soát suy diễn
+ Kiểm soát truy nhập
Đối với các biện pháp này người ta sử dụng kỹ thuật mật mã để mã hoá thông tin.
Thông tin được đảm bảo an toàn hơn vì nó tạo ra dữ liệu mọi người có thể nhìn thấy,
nhưng chỉ có người dùng hợp lệ mới có khả năng hiểu được. Tuy nhiên biện pháp bảo
vệ này không có tác dụng đối với người dùng trực tiếp như xâm nhập qua mạng, mà
chủ nhân đã mở sẵn thông tin.
* Kiểm soát luồng (lưu lượng):
Đó là điều khiển phân bố thông tin trong các đối tượng có khả năng truy nhập.
Luồng xuất hiện giữa hai đối tượng X và Y khi có trạng thái “đọc” giá trị từ X và
“ghi” giá trị vào Y. Kiểm soát luồng là kiểm tra thông tin chứa trong một vài đối tượng
có bị rò rỉ sang đối tượng khác hay không. Nếu có, người dùng sẽ nhận được trong Y
những gì mà anh không thể nhận trực tiếp từ X, như vậy thông tin trong X đã bị lộ.
Chính sách kiểm soát luồng yêu cầu liệt kê và điều phối các luồng thông tin. Việc
vi phạm luồng xuất hiện qua yêu cầu chuyển dữ liệu giữa hai đối tượng không được
phép. Cơ chế kiểm soát sẽ từ chối yêu cầu đó.
Để kiểm soát luồng thông tin, cần phân lớp các yếu tố hệ thống, đó là chủ thể và
đối tượng. Hoạt động “đọc” và “ghi” là hợp lệ trên cơ sở mối quan hệ trong lớp. Đối
tượng ở lớp cao hơn được bảo vệ cao hơn khi truy nhập “đọc” so với đối tượng ở mức
thấp hơn. Ở đây, kiểm soát luồng loại bỏ những vi phạm về thông tin chuyển cho lớp
thấp hơn.
12
Đối tượng X Đối tượng Y
Luồng thông tin
Hình 1.1 Thông tin có thể rò rỉ trên kênh truyền từ X sang Y
* Kiểm soát suy diễn:
Theo Denning và Schlorer (1983), kiểm soát suy diễn nhằm bảo vệ dữ liệu khỏi
nhập
Các chính
sách an ninh
Các thủ tục
kiểm soát
Các quy tắc
truy nhập
Hình 1.2 Hệ thống kiểm soát truy nhập
Các chính sách an ninh:
Liên quan đến thiết kế và quản lý hệ thống cấp quyền khai thác. Một cách thông
thường để đảm bảo an ninh dữ liệu là định danh các đối tượng tham gia hệ thống và
xác định quyền truy nhập cho đối tượng.
- Tên (Identifier): gán cho đối tượng một tên (hay một số) theo cách thống nhất,
không có sự trùng lặp giữa các tên.
- Uỷ quyền (Authrization): uỷ quyền khai thác một phép toán của chủ thể trên đối
tượng.
Giới hạn quyền truy nhập:
Để trả lời câu hỏi bao nhiêu thông tin có thể truy nhập cho mỗi chủ thể là đủ?
Do vậy cần xác định giới hạn truy nhập. Có hai chính sách cơ bản:
- Chính sách đặc quyền tối thiểu: Các chủ thể sử dụng lượng thông tin tối thiểu
cần thiết cho hoạt động. Đảm bảo chính sách này người dùng có thể truy nhập vào dữ
liệu, thuận lợi cho truy nhập.
- Chính sách đặc quyền tối đa: dựa trên nguyên tắc tối đa dữ liệu khả dụng trong
CSDL, tức là chia sẻ tối đa, đảm bảo thông tin không bị truy nhập quá mức cho phép.
Có hai kiến trúc kiểm soát truy nhập là hệ thống đóng và hệ thống mở.
- Hệ thống đóng: chỉ các yêu cầu có quyền mới được phép truy nhập.
- Hệ thống mở: chỉ các yêu cầu không bị cấm mới được phép truy nhập.
14
15
Không
- Phân cấp uỷ quyền: Cơ chế kiểm soát được thực hiện ở nhiều trạm điều
khiển tập trung, chúng có trách nhiệm điều khiển các trạm.
- Chọn người sở hữu: Khi mô tả quan hệ phải mô tả người sở hữu và đảm bảo
quyền khai thác dữ liệu của họ.
- Quyết định tập thể: Có tài nguyên do một nhóm sở hữu, do đó khi có yêu
cầu truy nhập nào thì cần có sự đồng ý của cả nhóm.
Chính sách kiểm soát truy nhập: Chính sách này thiết lập khả năng và chỉ ra
cách để các chủ thể và đối tượng trong hệ thống được nhóm lại, để dùng chung các
điều khiển truy nhập. Ngoài ra, chính sách còn cho phép thiết lập việc chuyển giao
quyền truy nhập.
Chính sách phân cấp: Có thể coi là chính sách điều khiển luồng thông tin đi về
các đối tượng có độ ưu tiên thấp hơn. Hệ thống các mức phân loại như sau:
0 = thường (Unclassified – U)
1 = mật (Confidential – C)
2 = tối mật (Secret – S)
3 = tuyệt mật (Top Secret –TS)
16
1.2. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH
1.2.1. Khái niệm Mạng máy tính
Mạng máy tính là tập hợp các máy tính được nối với nhau bởi đường truyền theo
một cấu trúc nào đó, và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau.
Các thành phần trong hệ thống mạng máy tính gồm:
- Các thiết bị cuối là các thiết bị tính toán (PC, máy tính vừa và lớn), thiết bị
ngoại vi thông minh và thiết bị cuối không thông minh (Terminal). Chúng thực hiện
nhiệm vụ tính toán, xử lý, lưu trữ, trao đổi dữ liệu, là giao diện tương tác giữa người
và máy.
- Các thiết bị kết nối mạng gồm thiết bị chuyển mạch, dồn/tách kênh
(Multiplexer), các bộ tập trung (Concentrator). Các thiết bị chuyển mạch thực hiện
chuyển tiếp số liệu chính xác giữa các thiết bị đầu cuối được kết nối trong mạng. Các
thiết bị dồn/tách kênh thực hiện kết nối nhiều thiết bị cuối có tốc độ trao đổi số liệu
(thường dưới 100 máy), thiết bị tập trung trong khu vực nhỏ và được bảo vệ vật lý.
(2) Mạng diện rộng (WAN):
Mạng WAN lớn hơn mạng LAN về cả kích thước, khoảng cách, kiểm soát cũng
như sở hữu. Đặc trưng cơ bản là kiểm soát riêng rẽ, bao phủ một diện rộng, thường sử
dụng môi trường truyền thông công khai.
(3) Liên mạng (Internets):
Internet kết nối nhiều mạng riêng biệt. Internet là mạng toàn cầu, có các đặc tính:
không kiểm soát được, không đồng nhất, bất kỳ ai cũng có thể tiếp cận mạng từ môi
trường công khai, đơn giản.
1.2.2. Vấn đề bảo vệ Mạng máy tính
1.2.2.1. Những hiểm họa đối với Mạng máy tính
(1) Nguyên nhân: Từ kiến trúc mạng máy tính, chúng ta nhận thấy trong mạng
xuất hiện các “hiểm họa” do các nguyên nhân sau:
- Dùng chung tài nguyên dẫn đến nhiều người có khả năng truy cập đến các hệ
thống nối mạng hơn các tài nguyên đơn lẻ.
- Sự phức tạp của hệ thống mạng máy tính dẫn đến có thể có nhiều HĐH khác
nhau cùng hoạt động, hơn nữa trong HĐH mạng việc kiểm soát mạng thường phức tạp
hơn HĐH trên máy tính đơn lẻ. Sự phức tạp trên sẽ khó khăn trong việc bảo vệ mạng.
- Ngoại vi không giới hạn khiến một máy chủ có thể là một nút trên hai mạng
khác nhau, vì vậy các tài nguyên trên một mạng cũng có thể được một người dùng của
mạng khác truy cập tới. Đây là một kẽ hở trong an ninh mạng.
- Nhiều điểm tấn công: Trong một máy đơn lẻ, việc kiểm soát truy nhập và đảm
bảo bí mật dữ liệu đơn giản hơn nhiều so với một máy tính đã kết nối mạng. Bởi khi
một file được lưu trên máy chủ cách xa người dùng, nó có thể bị các máy khác tấn
công khi người dùng sử dụng.
18
(2) Hiểm hoạ: Các nguyên nhân trên sẽ ẩn chứa các hiểm hoạ, người ta có thể
nhóm thành các loại sau:
- Nghe trộm: hiểu theo nghĩa chặn bắt thông tin lưu thông trên mạng.
- Mạo danh: là giả mạo một quá trình, một cá nhân để nhận được thông tin trực
giữa hai máy nhưng bản rõ vẫn còn trong máy. Việc mã hoá và giải mã được thực hiện
ngay ở tầng 1 hoặc 2 trong mô hình 7 mức, nên dữ liệu bị lộ ở tất cả các tầng khác.
Việc lộ tin có thể xảy ra ở hai tầng của máy tính trung gian hoặc bộ định tuyến vì quá
trình định tuyến và lập địa chỉ ở các tầng cao hơn.
* Mã hóa đầu cuối (mã hoá ứng dụng): thực hiện qua thiết bị phần cứng hoặc
phần mềm. Việc mã hoá thực hiện trước khi kết nối (ở tầng 7), nên dữ liệu truyền đi ở
dạng mã hoá qua toàn bộ mạng, vì vậy nếu bị lộ cũng không ảnh hưởng đến bí mật của
dữ liệu.
Trong mã hoá đầu cuối tồn tại một kênh mã ảo giữa các cặp người dùng. Để đảm
bảo an ninh, mỗi cặp người dùng phải sử dụng chung một khoá, số lượng khoá bằng số
cặp người dùng và bằng n(n-1)/2 đối với n người dùng, do vậy khi n lớn thì việc quản
lý và phân phối khoá là vấn đề cần quan tâm.
(3) Bức tường lửa: Khi một mạng LAN được kết nối với Internet, hiểm hoạ sẽ
rất lớn nếu như có kẻ xâm nhập lọt được vào hệ thống, truy nhập tới các dữ liệu nhạy
cảm. Một cách lý tưởng, chúng ta mong muốn có một bộ lọc sẽ chỉ cho qua những
tương tác mong muốn. Có hai vấn đề kiểm soát truy nhập là xác định đâu là tương tác
mong muốn cho phép truy nhập và đâu là tương tác không cho phép truy nhập. Một
loại bảo vệ máy tính như thế được gọi là bức tường lửa.
Bức tường lửa là một quá trình lọc tất cả các luồng thông tin giữa mạng được bảo
vệ (mạng bên trong) và mạng kém tin cậy (mạng bên ngoài). Bức tường lửa thực hiện
chính sách an ninh có thể ngăn chặn bất kỳ các truy nhập từ bên ngoài vào trong khi
vẫn cho phép dữ liệu từ bên trong ra. Bức tường lửa có thể chỉ cho phép truy nhập từ
các địa chỉ xác định, những người xác định hoặc dành cho một số hoạt động, một số
lựa chọn nhất định.
20
1.3. VẤN ĐỀ AN NINH HỆ ĐIỀU HÀNH [4]-[7]
1.3.1. Khái niệm Hệ điều hành
Hệ điều hành (HĐH) nằm giữa mức ứng dụng và mức máy, đóng vai trò giao
diện giữa chương trình ứng dụng và tài nguyên hệ thống. HĐH quản lý tất cả các tài
nguyên hệ thống, tối ưu hóa khả năng sử dụng tài nguyên sử dụng cho các trình ứng
Quản lý thiết bị
vào ra
Thống kê
Kiểm toán
Xác định vị trí tài
nguyên
Điều khiển truy
nhập tài nguyên
Quản lý và phát
hiện lỗi
Điều khiển luồng
Các chức năng an ninh của HĐH
Các chức năng dịch vụ của HĐH
Hình 1.5 Phiên làm việc của người dùng
Nhận dạng/Xác
thực người dùng
1.3.2. Vấn đề bảo vệ Hệ điều hành
1.3.2.1. Những hiểm họa đối với Hệ điều hành
Từ những chức năng trên ta thấy việc bảo vệ HĐH là rất quan trọng. Bởi vì khi
HĐH bị xâm phạm thì việc quản lý và phân phối các tài nguyên hệ thống sẽ bị sai lệch,
gây hại đến hệ thống, kiến cho hệ thống không quản lý được các tiến trình, không
quản lý được tài nguyên của máy,
1.3.2.2. Những yêu cầu bảo vệ Hệ điều hành
Để HĐH hoạt động hiệu quả, chính xác thì HĐH cần thực hiện các yêu cầu bảo
vệ HĐH, bộ nhớ và các tài nguyên khác của máy tính khỏi các truy nhập trái phép.
1.3.2.3. Các phương pháp bảo vệ Hệ điều hành
* Nhận dạng và xác thực người dùng: là tiền đề của hệ thống an ninh. Với mục
đích đó, cơ chế xác định thực giá trị nhận dạng người dùng qua một vài chủ đề là
những thông tin nhận biết người dùng qua một vài sở hữu riêng hoặc liên kết các mô
hình đó.
Các thông tin cá nhân, bằng cách thông thường người khác không có được, tuy
vậy với những người chuyên nghiệp thì các thông tin này có thể lấy được và lưu trữ
trước sau đó làm giả mà máy tính không phát hiện được.
Các hệ thống này có độ phức tạp cao hơn so với các hệ thống trước đó, do phức
tạp trong so sánh giữa các đặc điểm riêng được lưu trữ với các đặc điểm riêng trên
thực tế. Việc ứng dụng cũng gặp khó khăn, các nghiên cứu gần đây cho thấy tỷ lệ từ
chối chính người dùng cao, ngoài ra khi có sự thay đổi của chính người dùng đó máy
cũng không chấp nhận. Mặt khác chi phí cao, tốn kém do vậy chỉ dùng trong các
trường hợp bảo mật đặc biệt. Không uỷ quyền cho người khác được khi gặp sự cố, dẫn
đến có thể bị mất thông tin vĩnh viễn.
* Các chức năng an ninh khác:
(1) Bảo vệ bộ nhớ: Trong môi trường đa nhiệm (đa chương trình), bộ nhớ cơ bản
được phân vùng và chia sẻ cho dữ liệu và chương trình của các người dùng khác nhau.
Bộ nhớ có nhiều mức chia sẻ, từ mức không chia sẻ cho đến mức không kiểm soát
chia sẻ. Việc thực hiện cơ chế kiểm soát chia sẻ cần được bảo vệ tinh vi ở mức HĐH
để kiểm soát và chia sẻ bộ nhớ cho chương trình và các người dùng khác nhau.
Truy nhập không đồng thời: đòi hỏi truy nhập đến bộ nhớ từ những người dùng
khác nhau tại cùng một thời điểm. Công việc đồng thời ở cùng một đối tượng phải
được loại bỏ theo nghĩa hoạt động tuần tự.
Hạn chế: (chỉ cho chương trình) Chương trình được coi là hạn chế khi nó loại bỏ
khỏi bản sao những tham số. Như vậy, chương trình được chia sẻ loại bỏ khỏi bản sao
và chuyển vào file hệ thống thông tin hạn chế từ đầu vào.
Các cơ chế bảo vệ phần cứng và kiểm soát chia sẻ bộ nhớ gồm: địa chỉ phân
cách, chuyển vị, thanh ghi giới hạn, đánh số, chia đoạn, thường các cơ chế này cấu tạo
trong phần cứng nên luận văn không đi sâu vào nghiên cứu.
(2) Kiểm soát truy nhập tài nguyên: Các chương trình trong khi hoạt động
(thực hiện tiến trình) cần tài nguyên của hệ thống để thực hiện các nhiệm vụ. Thông
thường, tiến trình tham chiếu đến bộ nhớ địa chỉ, sử dụng CPU, gọi đến các chương
trình khác, thao tác trên file và truy nhập thông tin trong bộ nhớ thứ cấp (các thiết bị
vật lý). Tất cả các tài nguyên đó phải được bảo vệ tránh các truy nhập không cho phép,
chỉ dẫn thực hiện. Trong đa số các hệ thống, cùng tồn tại hai kiểu thực hiện là kiểu đặc
quyền và kiểu người dùng. Sự khác nhau giữa hai kiểu này là dạng chỉ dẫn bộ xử lý có
thể hoạt động đúng, trong kiểu đặc quyền chủ yếu là quản lý hệ thống (chỉ dẫn
xuất/nhập, chuyển trạng thái )
- Ma trận bảo vệ (ma trận truy nhập): truy nhập được chấp nhận đến đúng chủ
thể trong đối tượng có thể được biểu diễn qua ma trận truy nhập A, ở đó hàng S
1
, S
2
, ,
S
m
đại diện cho các chủ thể của hệ thống, có cột O
1
, O
2
, , O
n
đại diện cho các đối
tượng hệ thống, A[S
i
,O
j
] là thiết lập quyền xác định bởi S
i
trong O
j
.
Theo Harrision (1976) ma trận bảo vệ là cấu trúc phù hợp cho các truy nhập đại
diện được quyền vào HĐH: Các đối tượng là tiến trình, tài nguyên hệ thống được bảo
Copyright: Tài liệu đại học ©