Ma trận

Nhìn chung, quyền truy xuất có thể hoàn toàn được định nghĩa đơn giản bằng một ma trận kiểm soát truy xuất.

$M=(M_{\text{so}}{)}_{s\in S,o\in O}$ với $M_{\text{so}}\subset A$.

Điểm vào $M_{\text{so}}$ xác định tập các phép truy xuất chủ thể s có thể thực hiện trên đối tượng o. Nhưng trong thực tế, các ma trận kiểm soát truy xuất là một khái niệm trừu tượng và không thực sự phù hợp cho việc cài đặt trực tiếp nếu số lượng chủ thể và đối tượng lớn hoặc các tập này thay đổi thường xuyên [1]. Ví dụ sau đây (lấy từ [1]) sẽ chỉ ra cách thức các ma trận kiểm soát truy xuất được triển khai trong mô hình bảo mật Bell-LaPadula.

Ví dụ : Ma trậ ;n kiểm soát truy xuất

Chúng ta sử dụng một bảng để biểu diễn ma trận, trong đó hai người dùng Bob và Alice xử lý ba file, lần lượt là bill.doc, edit.exe và fun.com. Các quyền truy xuất trên các file này có thể được mô tả như sau:

• Bob có quyền đọc hoặc ghi file bill.doc trong khi Alice không có quyền truy xuất.
• Bob và Alice chỉ có quyền thực thi file edit.exe.
• Bob và Alice có quyền thực thi và quyền đọc file fun.com nhưng chỉ có Bob có quyền ghi lên file này.

Bây giờ, chúng ta có một ma trận kiểm soát truy xuất như sau:

Khả năng

Phần trước, chúng ta đã chỉ ra hạn chế của việc cài đặt trực tiếp ma trận kiểm soát truy xuất. Để giải quyết vấn đề này, có nhiều giải pháp khả thi đã được đề xuất. Hai trong số các giải pháp được thảo luận trong tài liệu này là khả năng và danh sách kiểm soát truy xuất.

Trong cách tiếp cận theo khả năng, các quyền truy xuất được kết hợp với các chủ thể hay nói cách khác mỗi chủ thể được cấp một khả năng, một thẻ nhớ xác định các quyền truy xuất [1]. Khả năng này tương ứng với các dòng của chủ thể trong ma trận kiểm soát truy xuất. Các quyền truy xuất trong Ví dụ 2.1 bây giờ có thể được biểu diễn theo quan điểm khả năng như sau:

Khả năng của Alice: edit.exe: execute; fun.com: execute, read

Khả năng của Bob: bill.doc: read, write; edit.exe: execute; fun.com: execute, read, write

Danh sách kiểm soát truy xuất

Trong danh sách kiểm soát truy xuất (Access Control List - ACL), các quyền truy xuất được lưu trữ tại từng đối tượng [1]. Danh sách kiểm soát truy xuất vì vậy tương ứng với một cột trong ma trận kiểm soát truy xuất và cho biết ai có quyền truy xuất một đối tượng nào đó. Các quyền truy xuất của Ví dụ 2.1 có thể được mô tả theo danh sách kiểm soát truy xuất như sau:

ACL cho bill.doc Bob: read, write

ACL cho edit.exe Bob: execute; Alice: execute

ACL cho fun.com Bob: execute, read, write; Alice: execute, read

Bắt buộc

Kiểm soát truy xuất bắt buộc (mandatory access control - MAC) bao gồm cả các khía cạnh người dùng không thể kiểm soát (hoặc thường là không được phép kiểm soát). Trong MAC, các đối tượng được gắn nhãn mô tả sự nhạy cảm của thông tin bên trong nó. MAC giới hạn truy xuất tới các đối tượng dựa trên sự nhạy cảm của chúng. Các chủ thể cần có giấy phép chính thức (được cấp phép) mới được truy xuất tới các đối tượng [3].

Nói chung, kỹ thuật kiểm soát truy xuất bắt buộc MAC bảo mật hơn DAC và đảm bảo sự cân đối giữa hiệu năng sử dụng và sự thuận tiện đối với người dùng. Kỹ thuật MAC cấp một mức bảo mật cho tất cả các thông tin, cấp một giấy phép bảo mật cho mỗi người dùng và bảo đảm rằng tất cả người dùng chỉ có truy xuất tới dữ liệu mà họ có giấy phép. MAC thường phù hợp với những hệ thống cực mật bao gồm các ứng dụng quân sự có nhiều mức bảo mật hoặc các ứng dụng dữ liệu quan trọng. Một mô hình MAC thường có một hoặc một số đặc điểm sau đây [6].

• Chỉ có những người quản trị, không phải là người sở hữu dữ liệu, có thể thay đổi nhãn bảo mật của một tài nguyên.
• Tất cả dữ liệu được cấp/chỉ định mức bảo mật tương ứng với sự nhạy cảm, tính bí mật và giá trị của nó.
• Người dùng có thể đọc thông tin từ lớp bảo mật thấp hơn mức bảo mật họ được cấp (Một ngưO 01;i dùng “bảo mật” có thể đọc một tài liệu không được phân loại).
• Người dùng có thể ghi lên thông tin thuộc lớp bảo mật cao hơn (Một người dùng “bảo mật” có thể xuất bản thông tin lên mức bảo mật cao nhất).
• Người dùng chỉ được cấp quyền đọc/ghi đối với những đối tượng có cùng mức bảo mật (một người dùng “bảo mật” chỉ có thể đọc/ghi một tài liệu bảo mật).
• Truy xuất tới các đối tượng được cấp phép hoặc bị giới hạn theo thời gian phụ thuộc vào nhãn được gắn với tài nguyên và giấy phép của người dùng (áp đặt bởi chính sách).
• Truy xuất tới các đối tượng được cấp phép hoặc bị giới hạn dựa trên các đặc tính bảo mật của máy khách (ví dụ, độ dài theo bit của SSL, thông tin version, địa chỉ IP gốc hoặc domain...)

Kiểm soát truy xuất theo vai trò

Trong kiểm soát truy xuất theo vai trò (role-based access control - RBAC), quyết định truy xuất được dựa trên các vai trò và trách nhiệm riêng rẽ bên trong tổ chức hoặc của cá nhân. Quá trình định nghĩa các vai trò thường dựa trên việc phân tích mục tiêu và cấu trúc của tổ chức nhưng kết nối tới các chính sách bảo mật.

Những khía cạnh sau đây thể hiện các đặc điểm của RBAC cấu thành một mô hình kiểm soát truy xuất [6].

• Các vai trò được cấp phát dựa trên cấu trúc tổ chức với sự nhấn mạnh đặc biệt về cấu trúc bảo mật.
• Các vai trò được cấp phát bởi người quản trị dựa trên các mối quan hệ nội tại của tổ chức hoặc cá nhân. Ví dụ, một người quản lý có thể có các giao dịch được cấp phép với nhân viên của anh ta. Một người quản trị có thể có các giao dịch được cấp phép trong phạm vi quản lý của mình (sao lưu, tạo tài khoản...).
• Mỗi vai trò được chỉ định rõ một hồ s& #417; bao gồm tất cả các câu lệnh, giao dịch và các truy xuất hợp pháp tới thông tin.
• Các vai trò được cấp quyền hạn dựa trên nguyên lý đặc quyền tối thiểu (the principle of least privilege).
• Các vai trò được xác định với các nhiệm vụ khác nhau do đó người có vai trò developer sẽ không thực hiện các nhiệm vụ của vai trò tester.
• Các vai trò được kích hoạt tĩnh hoặc động tùy thuộc vào những sự kiện kích hoạt có liên quan (hàng đợi trợ giúp, cảnh báo bảo mật, khởi tạo một project...).
• Các vai trò chỉ có thể được chuyển giao hoặc ủy quyền khi sử dụng một quy trình và thủ tục nghiêm ngặt.
• Các vai trò được quản lý tập trung bởi một người quản trị bảo mật hoặc trưởng dự án.