iss report

5/14/2018 ISS Report - slidepdf.com

http://slidepdf.com/reader/full/iss-report 1/15

Secure Database Design

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

KHOA KHOA HỌC VÀ KĨ THUẬT MÁY TÍ NH

---------------o0o---------------

Báo cáo

Bảo mật hệ thống thông tin

Đề tài:


Sinh viên thực hiện:

1. Lê Thanh Phong 50801545

2. Nguyễn Anh Tiến 50802216

3. Chu Quang Thiện 50802076

4. Dương Thanh Sơn 50801795

5. Nguyễn Xuân Vinh 50802635

Tp HCM, Tháng 10/2011

1/15




Mục Lục

Mô hình: ...............................................................................................................................................3

Gi i thi u:ớ ệ ............................................................................................. 3

L i ích c a ph ng pháp phát tri n đa giai đo n:ợ ủ ươ ể ạ .................................... 4Phân tích: .............................................................................................................................................5

Phân tích s b :ơ ộ ..................................................................................... 5

Phân tích yêu c u: ầ .................................................................................5

Thiết kế: ...............................................................................................................................................8

Thi t k ý ni m:ế ế ệ ..................................................................................... 8

Thi t k lu n lý:ế ế ậ ..................................................................................... 9

Thi t k v t lý:ế ế ậ ..................................................................................... 10

Những nguyên tắc cơ bản trong quá trình hiện thực các cơ chế bảo mật: ................................12

M t s nguyên lý khác:ộ ố ........................................................................ 13

Xác minh và kiểm thử: .....................................................................................................................14

Tóm tắt: .............................................................................................................................................15

Tài liệu tham khảo: ..........................................................................................................................15

2/15




Mô hình:

Giới thiệu:Quá trình phân tích thiết kế bảo mật cho hệ thống thông tin sử dụng mô hình

phát triển đa giai đoạn.

Mô hình phát triển đa giai đoạn

3/15

Conceptual

Logical design

Physicaldesign

Preliminary analysis

Security requirements andpolicies

Security mechanisms

Implementation

Securityrequirementspecificationlanguage

SecurityConceptualmodel

SecurityLogicalmodel

SecurityPhysicalmodel

DBMS techno

SecurityLogicalschema

Project parameters(performances)




Lợi ích của phương pháp phát triển đa giai đoạn:

Lợi ích đầu tiên, nó giúp tách quá trình thiết kế thành các nhiệm vụ nhỏ, cho phép lậptrình viên tập trung vào mảng bảo mật đặc thù của từng task.

Tách biệt chính sách bảo mật với cơ chế bảo mật, mang lại các lợi ích:Sự tách biệt giữa cơ chế và chính sách: là một nguyên tắc thiết kế trong khoahọc máy tính. Các cơ chế (những phần của hệ thống làm nhiệm vụ kiểm soátquyền của các tác vụ và sự cấp phát tài nguyên) không nên hạn chế các chínhsách trong việc thực hiện authorize và cấp phát tài nguyên.

Chính sách bảo mật: hướng dẫn điều khiển truy cập ở cấp cao (The high-level access control guidelines).

Cơ chế bảo mật: Các hàm điều khiển ở mức thấp software/hardware (Thelow-level software/hardware functions implementing the control).

- Có khả năng định nghĩa luật điều khiển truy xuất và lý do khiến chúng độc lập với phần hiện thực. (không quan tâm phần hiện thực chi tiết)

- Có khả năng so sánh giữa các chính sách điều khiển truy xuất, hay các cơ chế chocùng một chính sách.

- Có khả năng thiết kế các cơ chế hỗ trợ cho các chính sách khác nhau. Thuận lợi nàycàng trở nên quan trọng khi các chính sách thay đồi theo sự thay đổi của tổ chức.

Mô hình này dựa trên ý tưởng của mô hình bảo mật (security model), đảm bảo tính bảomật trong suốt quá trình thiết kế hệ thống:

- Mô hình bảo mật gồm có:

o Một công cụ thiết kế (Design tool).

o Một bộ công cụ để nghiên cứu (Structure for research).

o Một công cụ mô phỏng (Didactic tool).

o Một công cụ so sánh (Comparion tool).

4/15




Phân tích:

Phân tích sơ bộ:

Mục đích: Nghiên cứu tính khả thi cho hệ thống.

Mục tiêu của quá trình này là:- Dự đoán các mối nguy hiểm cho hệ thống

- Ước lượng chi phí thiết kế và chi phí hệ thống

- Xác định các ứng dụng cần thiết và độ ưu tiên của chúng.

Quá trình nghiên cứu sẽ xem xét:- Các mối nguy hại cho hệ thống (System risks): cách thức tấn công, hậu quả, …

Mối đe dọa: là một chương trình máy tính, hay một sự kiện xâm phạm vàotính bảo mật của hệ thống. Chúng có thể gây mất dữ liệu và chỉnh sửa thôngtin trái phép.

- Đặc trưng môi trường hệ cơ sở dữ liệu (Features of the database environment).

- Những ảnh hưởng của yêu cầu bảo mật với người dùng và các cơ chế liên quan.

- Tính khả dụng so với những sản phẩm bảo mật đã có sẵn (Applicability of existingsecurity products): cân nhắc giữa sử dụng các sản phẩm hiện có với việc phát triểnnguyên một hệ thống bảo mật. Việc này phụ thuộc vào hình thức, mức độ bảo mật

của hệ thống cần xây dựng.

- Tính khả thi của sản phẩm (Intergradbility of the security products): sản phẩm cótương thích với phần mềm và phần cứng đã được chọn hay không.

- Hiệu suất của hệ thống bảo mật (Performance of the resulting security system): Sosánh hiệu suất của hệ thống mới xây dựng với các hệ thống đã có sẵn, hoặc hệthống hoàn toàn không có các cơ chế bảo mật.

Phân tích yêu cầu:Phân tích yêu cầu:

- Mục đích: Nghiên cứu tỉ mỉ và chính xác về tất cả các nguy cơ có thể đe dọa đếnhệ thống và các chính sách để bảo vệ hệ thống.

5/15




- Đối với các cơ sở dữ liệu khác nhau thì cần phải có những chính sách bảo vệkhỏi những nguy cơ tấn công khác nhau.

- Việc lựa chọn cơ chế bảo vệ như thế nào cho thích hợp phụ thuộc vào tính nhạycảm của dữ liệu, tính liên quan với nhau của dữ liệu, và bên cạnh đó còn có thể

phụ thuộc vào pháp luật và các nguyên tắc liên quan.

- Các hệ thống có thể được phân lớp theo mức độ có thể bị nguy hại của hệ thống(cao hay thấp) dựa trên các yếu tố cơ sở như sự tương quan dữ liệu, việc chia sẻdữ liệu, khả năng truy xuất dữ liệu, trình độ kỹ thuật của nhân viên và công nghệđược chọn:

o Mức độ tương quan của dữ liệu (Data Correlation): các dữ liệu cóquan hệ qua lại với nhau, việc thực hiện các tác vụ truy xuất lên dữ liệu nàycó thể làm lộ dữ liệu khác có liên quan.

o Chia sẻ dữ liệu (Data Sharing): cùng một dữ liệu được sử dụng bởinhiều ứng dụng hoặc nhiều người dùng.Việc chia sẻ dữ liệu cũng bao gồmcác vấn đề về độ bảo mật và tính toàn vẹn của thông tin.

o Khả năng truy xuất dữ liệu (Data Accessibility): liên quan tới việcnhững ai có thể truy cập dữ liệu, truy cập đến mức độ nào và với những mụcđích gì.

o Trình độ kỹ năng của nhân viên (Staff Skillfulness): số lượng ngườisử dụng và những loại người sử dụng (ví dụ: kỹ sư phòng IT, nhân viên kế

toán…) cũng ảnh hưởng đến tính an toàn của hệ thống.o Công nghệ được chọn (Selected Technologies): sử dụng các phầncứng và phần mềm được chứng nhận sẽ giúp cho hệ thống giảm được cácnguy cơ.

o Trong suốt quá trình phân tích yêu cầu, thông qua việc xem xét cáchình thức tấn công có thể gây nguy hại đối với hệ thống, ta có thể xác địnhđược các mức độ nguy hại của hệ thống.

- Cách phân tích các nguy cơ của hệ thống bao gồm:

o Phân tích giá trị (Value analysis): Xác định mức độ nhạy cảm của dữliệu .

o Phân tích nhược điểm (Vulnerability analysis): cách thức gây phá hủyhệ thống.

6/15




o Phân tích, đánh giá rủi ro (Risk analysis/Risk evaluation): xác suấtxảy ra các sự kiện không mong muốn và độ nghiêm trọng của nó.

o Xác định yêu cầu (Requirement definition): yêu cầu được xác địnhdựa trên những đe dọa, những sự kiện ngoài mong đợi và xác suất có thể xảy

ra.

Lựa chọn chính sách bảo mật cho dữ liệu. Một vài tiêu chí để lựa chọn chính sách cho bảo mật dữ liệu:

- Cân bằng các yếu tố (Secrecy versus integrity versus reliability): phải đảm bảotính cân bằng cho ba thuộc tính bảo mật, toàn vẹn và tin cậy của dữ liệu tùy theomôi trường sử dụng.

Ví dụ: Tính bảo mật là cực kỳ quan trọng trong quân đội, nhưng trongthương mại thì tính toàn vẹn và độ tin cậy của dữ liệu quan trọng hơn.

- Maximum sharing versus minimum privilege:

o Minimum privilege (need-to-know) : hạn chế khá lớn đối với các đốitượng muốn tấn công dữ liệu và vô ích đối với các chủ thể vô hại.

o Maximum sharing: phụ thuộc vào “khả năng sẵn sàng tối đa” của dữliệu.

- Kiểm soát (Granularity of control): mức độ, phạm vi kiểm soát, kiểm soát nhưthế nào.

- Các thuộc tính dùng để kiểm soát truy cập (Attributes used for access control):lớp đối tượng, thời gian, trạng thái của hệ thống, lịch sử truy cập.

- Độ ưu tiên (Priorities): giải quyết các xung đột phát sinh giữa các chính sách bảomật theo độ ưu tiên.

- Phân quyền (Privileges): xác định xem ai có thể được cấp quyền hoặc bị hủy bỏquyền truy cập vào cơ sở dữ liệu.

Ví dụ: quản lý tập trung hay phi tập trung. MAC (Mandatory AccessControl), DAC (Discretionary Access Control),...

- Quyền hạn (Authority): phân nhóm người dùng, xác định các vai trò, quyền hạnvà trách nhiệm của mỗi nhóm đối với hệ thống.

Ví dụ: các hệ thống đa mức,...

7/15




- Thừa kế (Inheritance): truyền quyền cho bản sao, hay dẫn xuất của đối tượng.

Thiết kế:Thiết kế ý niệm:

Ở giai đoạn này chúng ra có thể đưa ra một số biện pháp bảo mật cơ sở dữ liệu trongviệc xây đựng mô hình dữ liệu của chúng ta. Các dữ liệu thường phải có mức độ bảo mậtcao do đó chúng ta phải bảo vệ các cơ sở dữ liệu và chống lại những người không có quyềntruy cập thích hợp đối với dữ liệu của hệ thống. Đầu tiên chúng ta phải xác định các nhómngười dùng và vai trò của họ.Chúng ta nên sử dụng hình thức thiết kế mới cho conceptualmodel (Enhanced Entity Relationship Model), hình thức này thể hiện cả quyền của user trên lược đồ.Ở cấp độ này, quyền của user vẫn còn độc lập với DBMS (Database

management system – Hệ quản trị cơ sở dữ liệu).

Vì conceptual models dễ hiểu đối với user nên chúng ta có thể xử ý quyền truy cập ở mức độ thiết kế này.

Nhóm người dùng (User group):

- Như chúng ta đã đề cập ở trên,nhiệm vụ của người thiết là phân loại các loạingười dùng của hệ thống và những quyền truy cập khác nhau.Nhưng nó khôngcó nghĩa là người thiết kế phải biết chính xác ai sẽ sử dụng hệ thống cho mụcđích gì ngay từ đầu.Người dùng có chung quyền truy xuất sẽ được đưa vào mộtnhóm.Khi hệ thống được đưa vào hoạt động ,những người dùng mới sẽ đưa vàonhững nhóm thích hợp.Việc này sẽ giúp việc phân quyền người dùng được dễdàng.

- Để đảm bảo bảo mật cho hệ thống,mỗi người dùng cần được cung cấp một tàikhoảng với username và password riêng.

- Ở bước này quan trọng với người thiết kế là phải xác định được bao nhiêu nhómngười dùng chứ không phải là số người dùng của hệ thống.

Thiết kế ý niệm cho quyền truy cập:

8/15




- Đầu tiên chúng ta phải xác định các nhóm người dùng khác nhau và đặt têncho những nhóm này.

- Gán những quyền về truy cập cần thiết (đã được thảo luận trước) cho cácnhóm người dùng:

o Những thao tác trên cơ sở dữ liệu bao gồm INSERT, DELETE,UPDATE, QUERY. Do đó ta sẽ cũng cần phải xác định đối với dữ liệu nàothì nhóm nào được them, xóa, sửa hay truy vấn.

o Ở mức độ ý niệm chúng ta phải xác định quyền truy cập với các thựcthể, thuộc tính hoặc quan hệ.

Yêu cầu với thiết kế:

- Đầy đủ (Complete): mô hình thiết kế phải đáp ứng được tất cả các yêu cầu bảo mật đã đặt ra lúc đầu.

- Nhất quán (Consistent): mô hình thiết kế phải đảm bảo tính nhất quán chohệ thống, không xảy ra sự nhập nhằng, mâu thuẫn trong thiết kế.

Ví dụ: Một người không có quyền truy xuất vào cơ sở dữ liệu thì sẽ khôngthể nào truy xuất vào cơ sở dữ liệu đó bằng bất cứ con đường hợp pháp nào.

Thiết kế luận lý:

Trong giai đoạn này, các mô hình báo mật ở mức ý niệm được dịch sang một mô hìnhluận lý có sự hỗ trợ của DBMS cụ thể sẽ được sử dụng.

Quy tắc bảo mật được quy định trong mô hình bảo mật luận lý có tính đến các cơ chếcấp hệ điều hành và các chức năng có thể được cung cấp bởi các gói bảo mật.

Mục đích là để xác định những yêu cầu, chính sách, hạn chế, định lý bảo mật biểu diễntrong mô hình conceptual security có thể đc hoàn thành bởi cơ chế đang tồn tại, và nóđược thiết kế bởi mô hình ad hoc.

Mô hình ad hoc:////////////////////////////

9/15




Việc cần thực hiện trong thiết kế ở mức luận lý là lựa chọn một DBMS hợp lý.Để lựachọn DBMS ta dựa vào các tiêu chí:

- Chi phí mua phần mềm.- Chi phí mua phần cứng.

- Chi phí bảo trì.

- Chi phí tạo và chuyển đổi có sở dữ liệu.

- Chi phí con người.

- Chi phí đào tạo.

- Chi phí vận hành.

Thiết kế vật lý:

Mục đích: đưa các thông số kỹ thuật vào thiết kế dữ liệu ở mức luận lý hợp lý để lưutrữ và lấy dữ liệu dễ dàng.

Mục tiêu: tạo ra một thiết kế cho lưu trữ dữ liệu đảm bảo hiệu xuất và tính toàn vẹn,bảomật và khả năng phục hồi dữ liệu.

Các quyết định cần đưa ra ở thiết kế dữ liệu ở mức vật lý:

- Thiết kế dữ liệu:

o Kiểu dữ liệu: gồm char, varchar2, long, number, integer, date, blob

o Range control: giới hạn giá trị.

o Null value control: cho phép hay cấm dữ liệu trống.

o Referential integrity-range control cho khóa ngoại và khóa chính.

o Xử lý dữ liệu bị mất: xây dựng báo cáo liệt kê những thuộc tính bịmất ,có thể bỏ qua những dữ liệu bị mất nếu thuộc tính không quan trọng.

10/15




- Physical record descriptions:

o Phân vùng (Partitioning): giảm dư thừa dữ liệu,bảo mật dữ liệu nhưnggây truy xuất chậm.

o Nhân bản dữ liệu(Data replication): lưu trữ dữ liệu ở nhiều vị trí trongdữ liệu,tăng tốc độ truy xuất.

- Tố chức file (File organizations):

o Xây dựng hai thành phần của hệ thống lưu trữ dự liệu gồm lưu trữtuần tự và con trỏ (Sequential storage and pointers).

o Thiết kế cách sắp xếp file trên đĩa.

- Chỉ mục và cấu trúc dữ liệu (Index and database architectures): nhằm tăng

tốc độ truy xuất

o Xây dựng index dựa vào khóa chính.

o Các cách xây dựng chỉ mục:

B-tree index.

Bitmap index.

Hash index.

Join index.

- Tối ưu hóa truy vấn (Query optimization):

o Sử dụng khôn ngoan chỉ mục.

o Phù hợp với kiểu dữ liệu.

o Truy vấn đơn giản.

o Tránh truy vấn trùng.

o Chỉ chọn bảng cần thiết cho truy vấn.

11/15




Những nguyên tắc cơ bản trong quá trình hiện thực các cơ chếbảo mật:

4.1 8 nguyên lý cơ bản trong thiết kế một hệ thống an toàn: các qui tắc này được

Saltzer về Schroeder trong một bài viết vào năm 1975. Cho đến nay vẫn được xemlà những nguyên lý cơ bản nhất trong thiết kế.

Thiết kế càng đơn giản càng tốt : đây là một nguyên lý được áp dụng nhiều trong thiếtkế hệ thống đặc biệt là các hệ thống bảo mật. Nguyên lý cơ bản là vì các lỗi phát sinh trongthiết kế và hiện thực tạo cơ hội cho các truy cập bất hợp pháp vào hệ thống thường khôngđược phát hiện trong quá trình sử dụng (vì người dùng bình thường sẽ không tìm cách phávỡ hệ thống bảo mật). Vì vậy để phát hiện ra các lỗi này cần phải có các kỹ thuật như kiểmtra mã nguồn của phần mềm, kiểm tra các hệ thống lưu trữ vật lý… Và để có thể dễ dàngthực hiện các kỹ thuật trên cần phải có một thiết kế đơn giản, nhỏ gọn.

Fail-safe defaults: kiểm soát truy cập dựa trên quyền hơn là dựa vào việc loại trừ. Nguyên tắc này được đề xuất bởi E. Glaser vào năm 1965 có nghĩa là mặc định không thểtruy cập vào một đối tượng bất kỳ, hệ thống sẽ kiểm tra các điều kiện cần thiết để ngườidùng có thể truy cập vào một đối tượng. Một ví dụ cho cách hiện thực theo mô hình này làlệnh GRANT trong Oracle. Ngược lại, một hệ thống xác định truy cập dựa trên việc loạitrừ sẽ kiểm tra các điều kiện mà theo đó truy cập bị từ chối.Ví dụ cho cách hiện thực này làlệnh DENY trong SQL Server. Trong một hệ thống lớn, việc cấp thiếu quyền truy cập chomột đối tượng hoàn toàn có thể xảy ra, nhưng lỗi này hoàn toàn không gây hại cho hệthống vì khi đó, người dùng sẽ không thể truy cập vào đối tượng được. Ngược lại trongmột hệ thống kiểm tra dựa vào loại trừ, khi có lỗi phát sinh sẽ dẫn đến việc hệ thống cho

phép các truy cập bất hợp pháp, đây là một lỗi nghiêm trọng và rất khó để phát hiện ratrong quá trình sử dụng bình thường.

Complete mediation: tất cả truy cập vào các đối tượng đều phải được kiểm tra quyền.Đây là nguyên lý cơ bản trong một hệ thống bảo mật. Yêu cầu phải đảm bảo việc kiểm tranày trên toàn hệ thống bên cạnh các công việc thường xuyên như khởi tạo, khôi phục, bảotrì, shutdown. Điều này ngụ ý rằng cần phải có một cơ chế kiểm tra được nguồn gốc củacác yêu cầu. Bên cạnh đó cũng cần phải lưu ý việc lưu trữ các số liệu về hiệu suất của hệthống đối với việc kiểm tra này. Các số liệu này sẽ được sử dụng để so sánh khi một chínhsách bảo mật mới được áp dụng.

Thiết kế mở : thiết kế cần được công bố rộng rãi để được cộng đồng kiểm tra và sữa lỗi.Kinh nghiệm cho thấy các thiết kế đóng thường không an toàn và sẽ bị phá vỡ nhanh chóngsau khi chi tiết về hiện thực bị dịch ngược(reverse engineering). Điều này cũng hàm ýrằng, mức độ bảo mật của một hệ thống nên phụ thuộc vào sức mạnh của các khóa xácthực (như password) hơn là dựa vào tính bí mật của thiết kế hay các thuật toán được sửdụng.

12/15




Phân quyền tối thiểu: chỉ nên cung cấp các quyền cần thiết theo nhu cầu của cácchương trình hoặc người dùng. Nguyên tắc này giúp giảm thiểu các thiệt hại có thể xảy rado sơ suất, bất cẩn hoặc do lỗi sinh ra khi sử dụng các quyền mà lẽ ra không được dùng.Bên cạnh đó, các chương trình chỉ có thể thực hiện công việc đúng theo các quyền đượcgán, giảm thiểu việc dùng các quyền vào các mục đích khác. Từ đó, nếu có nghi ngờ về

việc sử dụng quyền sai mục đích, việc kiểm tra cũng được thu gọn lại trong phạm vi cácchương trình được gán quyền đó.

Xác thực nhiều nhân tố : một hệ thống xác thực dựa vào nhiều yếu tố sẽ an toàn và linhđộng đơn hệ thống chỉ dùng một yếu tố. Chẳng hạn như với một công ty, khi các chi phiếuvới giá trị trên $75,000 cần phải có đủ 2 chữ ký của người liên quan. Hoặc trong hệ thốngUnix(Berkely-based), một người dùng bình thường không được chuyển sang tài khoản roottrừ khi 2 điều kiện sau được thõa mãn: người dùng đó biết password của tài khoản root vàthuộc Wheel Group(GID = 0). Điều này cũng giúp giảm thiểu được khả năng hệ thống bịxâm nhập từ bên trong.

Tối thiểu các cơ chế dùng chung giữa các người dùng khác nhau: qui tắc này phát biểurằng không nên chia sẻ các cơ chế dùng để truy cập vào các tài nguyên. Việc này giúpgiảm thiểu việc rò rỉ thông tin bất hợp pháp giữa các người dùng hoặc thông qua các kênhngoài(covert channel).

Thân thiện người dùng : cần thiết có một giao diện người dùng thân thiện để có thể ápdụng các cơ chế bảo về một cách chính xác không gây ra các sai sót không cần thiết phátsinh từ việc người dùng không hiểu được cách sử dụng chương trình.

Một số nguyên lý khác:

Work factor : so sánh chi phí của việc phá vỡ được hệ thống với các tài nguyên có sẵnđể thực hiện tấn công này. Chi phí để phá vỡ hệ thống có thể được tính toán một cách dễdàng. Ví dụ, số lần thử sai để có thể tìm ra một password 4 chữ cái alphabet là 264 =456,976. Nếu bên tấn công phải nhập tường password một thì việc dùng password nàyđược xem là an toàn. Tuy nhiên, nếu bên tấn công sử dụng các máy thử sai với tốc độ hàngtriệu password trên một giây thì một password 4 chữ cái như vậy không còn là một trở ngạilớn. Tuy nhiên trong thực tế, việc tính toán chi phí phá vỡ hệ thống như trên là rất khó

khăn vì các hệ thống sử dụng nhiều cơ chế khác nhau. Bên cạnh việc tấn công một cáchtrực tiếp tương tự như phá password, bên tấn công còn có thể dựa vào các lỗi phần cứng,lỗi trong việc hiện thực. Việc đánh giá chi phí để tìm ra được các lỗi trên là rất khó.

Security by default : cấu hình mặc định là cấu hình có tính an toàn cao. Việc này quantrọng vì người dùng thường không để ý đến việc cấu hình lại các ứng dụng trước khi sử

13/15




dụng, mà chỉ dùng đến các cấu hình mặc định. Vì thế để đảm bảo an toàn, các mặc địnhnày phải an toàn theo một mức độ nào đó.

Verifiability: phải đáp ứng được yêu cầu đặt ra đồng thời chứng minh được nó hoạtđộng chính xác.

Intentional traps: đăt bẫy giúp để dễ phát hiện những nỗ lực phá vỡ hệ thống.

Emergency measures: cung cấp cho những người đáng tin cậy khả năng vô hiệu hóanhững phương thức đặc biệt.

Bảo vệ phần cứng : phần cứng phải đáng tin cậy vì lỗi phần cứng có thể bị lợi dụng đểtấn công, có cơ chế lưu và khôi phục dữ liệu.

Ngôn ngữ lập trình: lựa chọn ngôn ngữ lập trình và sử dụng lập trình viên có kỹ năng

lập trình tốt để làm giảm tỉ lệ lỗi.

Xác minh và kiểm thử:

Mục đích: kiểm tra các phần mềm và các chính sách bảo mật.

Được thực hiện thông qua sàn phẩm phần mềm và cần có sẵn các phương pháp hìnhthức và phi hình thức, dựa vào hoặc không dựa vào các kí hiệu toán học.

Các phương pháp phi hình thức dựa trên:

- Kiểm soát chéo các yêu cầu/ chương trình nguồn, hoặc các yêu cầu/các hànhvi tại thời gian chạy.

- Duyệt lại chương trình phần mềm để phát hiện ra các lỗi/ các mâu thuẫn(tính không nhất quán).

- Phân tích hành vi của chương trình, tùy thuộc vào các tham số khác nhau,nhằm kiểm tra các đường dẫn thực hiện khác nhau và các biến thể tương ứng

của các tham số.

- Thông qua thử nghiệm, gỡ rối.

Áp dụng một cách nhanh chóng, không cần định nghĩa trước mô hình an toàn hìnhthức. Có thể xác định hành vi của phần mềm trong các trường hợp cụ thể, nhưng nókhông thể chỉ ra các hoạt động trái phép trong hệ thống.

14/15




Các phương pháp hình thức tinh xảo hơn, chúng dựa vào các kí hiệu và các phương pháp toán học.

Các kỹ thuật này có thể chứng minh mô hình là cơ chế an toàn, thông qua việc chứng

minh tính đúng đắn của các đặc tả hình thức.

Tóm tắt:Quá trình thiết kế bảo mật cho hệ thống thông tin sử dụng mô hình thiết kế đa tầng chia

làm cái giai đoạn:

- Phân tích:

o Phân tích sơ bộ.

o Phân tích yêu cầu.

- Thiết kế:

o Thiết kế ý niệm.

o Thiết kế luận lý.

o Thiết kế vật lý.

- Hiện thực: phải tuân thủ theo các quy tắc cơ bản.

- Xác minh và kiểm thử.

Tài liệu tham khảo:

[1] Jerome H. Saltzer, Michael D. Schroeder. “The Protection of Information inComputer Systems”. 1975

15/15

iss report

Documents