Bài giảng SQL Server 2008: Chương 11 - Trần Thị Kim Chi

Chương 11

Bảo mật và phân quyền

1

Security Mechanisms

Bảo mật dữ liệu trong SQL được thực hiện dựa trên

ba khái niệm chính sau đây:

trên cơ sở dữ liệu như tạo bảng, truy xuất dữ liệu,...

• Mỗi một người dùng trong cơ sở dữ liệu được xác định thông qua tên người dùng (User ID). Một tập nhiều người dùng có thể được tổ chức trong một nhóm và được gọi là nhóm người dùng (User Group).

• Chính sách bảo mật cơ sở dữ liệu có thể được áp dụng cho mỗi người dùng hoặc cho các nhóm người dùng.

Người dùng cơ sở dữ liệu (Database user): • Là đối tượng sử dụng cơ sở dữ liệu, thực thi các thao tác

2

Security Mechanisms

• Các đối tượng cơ sở dữ liệu (Database objects): Tập hợp các đối tượng, các cấu trúc lưu trữ được sử dụng trong cơ sở dữ liệu như bảng, khung nhìn, thủ tục, hàm được gọi là các đối tượng cơ sở dữ liệuĐây là những đối tượng cần được bảo vệ trong chính sách bảo mật của cơ sở dữ liệu.

Là tập những thao tác được cấp phát cho người dùng trên các đối tượng cơ sở dữ liệu. Chẳng hạn một người dùng có thể truy xuất dữ liệu trên một bảng bằng câu lệnh SELECT nhưng có thể không thể thực hiện các câu lệnh INSERT, UPDATE hay DELETE trên bảng đó.

• Đặc quyền (Privileges):

3

Security Mechanisms

 Bảo mật của SQL Server gồm 3 lớp :

–

Login security : kiểm soát ai có thể log vào SQL Server.

– Database access security : kiểm soát ai có thể truy cập

vào một DB cụ thể trên server.

–

Permission security : kiểm soát một user có thể thực

hiện thao tác gì trên DB.

4

Security Mechanisms

 Logins

– Login identifiers (Ids) are associated with users when they

connect to Microsoft® SQL Server™ 2008 – Control access to the SQL Server system

 Users

– A user identifier (ID) identifies a user within a database – All permissions and ownership of objects in the database

are controlled by the user account

 Roles

– Allow you to collect users into a single unit against which

you can apply permissions

– Permissions are applied automatically when the users

become members of the role

 Groups

– SQL Server security can be managed with Windows

5

NT/2008 Groups

Login

 Cung cấp 2 mode

 Windows Authentication Mode (Windows Authentication)

– Tích hợp với login security của windows. – Việc uỷ nhiệm Network security được thiết lập khi user login vào

network

– Thông qua Windows để xác định account và password login.

 Mixed mode(Windows Authentication and SQL Server

Authentication)

– Là sự kết hợp của Windows Authentication và SQL Server

Authentication, ở chế độ này cả user của Windows và SQL Server để có thể thiết lập để truy nhập SQL Server.

– SQL server tự xác nhận login account và password khi user connect.

6

Kế hoạch phân quyền và bảo mật

 Window mode:

– Không phải nhớ nhiều username, password – Policies của window: thời gian hết hạn, chiều dài tối đa, lưu

giữ history.

– Nhược điểm: chỉ user window mới có thể kết nối đến

sqlserver

 Mixed mode:

– Không phân biệt net library – Hack vào network không có nghĩa là cũng hack vào sql

server

7

Kế hoạch phân quyền và bảo mật

 Đặt chế độ.

– Nhấn phải chuột chọn tên

Server (Instance). – Chọn Properties. – Chọn bảng Security. – Chọn chế độ bảo mật -> Ok

8

QUẢN TRỊ NGƯỜI DÙNG.

 Người dùng trong SQL Server được chia thành 2 mức:

Người truy nhập vào

 SQL Server gọi là Login, người khai thác CSDL gọi là User.Tạo

User Account – SQL Server Enterprise Manager – T_SQL: sp_addlogin

sp_addlogin [@loginame =] 'login'     [,[@passwd =] 'password']     [,[@defdb =] 'database']     [,[@deflanguage =] 'language']     [,[@sid =] 'sid']     [,[@encryptopt =] 'encryption_option']

9

Ví dụ: Tạo login có tên ‘Albert’, mật khẩu ‘corporate’ EXEC sp_addlogin 'Albert', 'food', 'corporate'

SERVER ROLE, DATABASE ROLE.

 Role là đối tượng xác định nhóm thuộc tính để gán quyền cho

các user thamgia khai thác SQL Server.

 Server Role. Nhóm các quyền thực hiện quản trị hệ thống, gồm các nhóm sau: – Bulk Insert Administrators: Được phép thực hiện Bulk Insert. – Database Creators: Được phép tạo và sửa đổi cấu trúc CSDL. – Disk Administrators: Có thể quản trị các file trên đĩa. – Proccess Administrator: Quản trị các dịch vụ đang chạy của SQL

Server.

– Security Administrators: Quản trị hệ thống bảo mật. – Setup Administrators: Quản trị các thủ tục mở rộng (xp_).128 – System Administrators: Quản trị hệ thống SQL Server.

10

SERVER ROLE, DATABASE ROLE.

 Xem cụ thể như sau:

– Mở rộng Server (nhấn dấu ‘+’ phần tên Server). – Mở rộng Security. – Chọn Server Roles:

11

SERVER ROLE, DATABASE ROLE.

 Database Role.

– Role là đối tượng mà thông qua nó người quản trị có thể gán quyền khai thác cho người sử dụng. Role do CSDL quản lý, khi tạo CSDL hệ thống tự đặt một số Role ngầm định.

12

SERVER ROLE, DATABASE ROLE.

 Cú pháp tạo Role

 Ví dụ: Thêm Role có tên Managers: EXEC sp_addrole 'Managers' Sử dụng câu lệnh sp_addrole [ @rolename = ] 'role' [ , [ @ownername = ] 'owner' ] Ví dụ: Thêm Role có tên Managers: EXEC sp_addrole 'Managers'.

sp_addrole [ @rolename = ] 'role' [ , [ @ownername = ] 'owner' ]

13

User Roles

 Fixed Server Role

Fixed Server Role

Mô tả

dbcreator

Tạo và thay đổi database

diskadmin

Quản lý disk file

processadmin

Quản lý các tiến trình trên SQL ser ver

securityadmin

Quản lý login server

serveradmin

Thiết lập cấu hình server

setupadmin

Cài đặt bản sao và xử lý extended procedures.

sysadmin

Có thể thực thi mọi hoạt động trong việc install sql

Thêm fixed server role cho 1 account

– SQL Server Enterprise Manager – T_SQL

sp_addsrvrolemember [@loginame =] 'login', [@rolename =] 'role'

14

User Roles - Fixed Database Role

Fixed Database Role

Mô tả

db_owner

THực thi mọi hoạt động trên database

db_accessadmin

Thêm xoá user trên database

db_datareader

Xem tất cả dữ liệu trên database.

db_datawriter

Thêm, sửa, xóa dữ liệu trên database.

db_ddladmin

Thêm, sửa, xóa object database.

db_securityadmin

Quản lý role, object permission trên database.

db_backupoperator

Tạo backup database

db_denydatareader

Cập nhật schema, không cho phép xem dữ liệu

db_denydatawriter

Không cho phép cập nhật dữ liệu trêndatabase.

15

 Thêm fixed databsase role cho 1 user – SQL Server Enterprise Manager – T_SQL: sp_addrolemember [@rolename =] 'role', [@membername =] 'security_account'

Kế hoạch phân quyền và bảo mật

Các loại quyền (Permission)

 Object Permissions:

–

Cho phép xử lý các lệnh SELECT, INSERT, UPDATE và DELETE trên table, view, stored procedure.

 Statement Permissions:

–

–

Áp dụng trường hợp user tạo object. Các statement permissions: CREATE TABLE, CREATE DATABASE, CREATE PROCEDURE, and CREATE RULE.

 Implied Permissions: thừa kế từ các quyền khác

16

Kế hoạch phân quyền và bảo mật

– Người sở hữu đối tượng cơ sở dữ liệu muốn cho phép người dùng khác quyền sử dụng những đối tượng mà anh ta đang sở hữu.

– Người sở hữu cơ sở dữ liệu cấp phát quyền thực thi các câu lệnh (như CREATE TABLE, CREATE VIEW,...) cho những người dùng khác.

Cấp phát quyền Câu lệnh GRANT được sử dụng để cấp phát quyền cho người dùng hay nhóm người dùng trên các đối tượng cơ sở dữ liệu. Câu lệnh này thường được sử dụng trong các trường hợp sau:

17

Kế hoạch phân quyền và bảo mật

GRANT     {ALL [PRIVILEGES] | permission[,...n]}     {         [(column[,...n])] ON {table | view}         | ON {table | view}[(column[,...n])]         | ON {stored_procedure | extended_procedure}     } TO security_account[,...n] [WITH GRANT OPTION] [AS {group | role}]

Cú pháp

18

Kế hoạch phân quyền và bảo mật

Trong đó: ALL [PRIVILEGES] Cấp phát tất cả các quyền cho người dùng trên đối tượng cơ sở dữ liệu được chỉ định. Các quyền có thể cấp phát cho người dùng bao gồm: •Đối với bảng, khung nhìn, và hàm trả về dữ liệu kiểu bảng: SELECT, INSERT, DELETE, UPDATE và REFERENCES. •Đối với cột trong bảng, khung nhìn: SELECT và UPDATE. •Đối với thủ tục lưu trữ và hàm vô hướng: EXECUTE. Trong các quyền được đề cập đến ở trên, quyền REFERENCES được sử dụng nhằm cho phép tạo khóa ngoài tham chiếu đến bảng cấp phát

19

Kế hoạch phân quyền và bảo mật

• Các_quyền_cấp_phát: Danh sách các quyền cần cấp phát cho người dùng trên đối tượng cơ sở dữ liệu được chỉ định. Các quyền được phân cách nhau bởi dấu phẩy

• Tên_bảng|tên_khung_nhìn: Tên của bảng hoặc

khung nhìn cần cấp phát quyền.

• Danh_sách_cột: Danh sách các cột của bảng hoặc

khung nhìn cần cấp phát quyền.

• Tên_thủ_tục: Tên của thủ tục được cấp phát cho

người dùng.

20

Kế hoạch phân quyền và bảo mật

• Tên_hàm: Tên hàm (do người dùng định nghĩa)

được cấp phát quyền.

• Danh_sách_người_dùng: Danh sách

tên người dùng nhận quyền được cấp phát. Tên của các người dùng được phân cách nhau bởi dấu phẩy. • WITH GRANT OPTION: Cho phép người dùng

chuyển tiếp quyền cho người dùng khác.

21

Kế hoạch phân quyền và bảo mật

Ví dụ: Cấp phát cho người dùng có tên thuchanh quyền thực thi các câu lệnh SELECT, INSERT và UPDATE trên bảng Products

GRANT SELECT,INSERT,UPDATE ON Products TO thuchanh

22

Kế hoạch phân quyền và bảo mật

Ví dụ: Cho phép người dùng thuchanh quyền xem Productname, unitInstock của bảng Products

GRANT SELECT (Productname, unitInstock) ON Products TO thuchanh

hoặc:

GRANT SELECT ON Products (Productname, unitInstock) TO thuchanh

23

Kế hoạch phân quyền và bảo mật

Ví dụ: Với quyền được cấp phát như trên, người dùng thuchanh có thể thực hiện câu lệnh sau trên bảng Products

SELECT ProductName, UnitInstock from

Products Nhưng câu lệnh dưới đây lại không thể thực hiện được

SELECT * FROM Products

24

Kế hoạch phân quyền và bảo mật

• Trong trường hợp cần cấp phát tất cả các quyền có thể thực hiện được trên đối tượng cơ sở dữ liệu cho người dùng, thay vì liệt kê các câu lệnh, ta chỉ cần sử dụng từ khoá ALL PRIVILEGES (từ khóa PRIVILEGES có thể không cần chỉ định). • Câu lệnh dưới đây cấp phát cho người dùng

25

thuchanh các quyền SELECT, INSERT, UPDATE, DELETE VÀ REFERENCES trên bảng [Order details] GRANT ALL ON [order details] TO thuchanh

Kế hoạch phân quyền và bảo mật

Chú ý: • Người dùng không có quyền cấp phát những quyền mà mình được phép cho những người sử dụng khác.

• Trong một số trường hợp, khi ta cấp phát quyền cho một người dùng nào đó, ta có thể cho phép người đó chuyển tiếp quyền cho người dùng khác bằng cách chỉ định tuỳ chọn WITH GRANT OPTION trong câu lệnh GRANT.

26

Kế hoạch phân quyền và bảo mật

Ví dụ: Cho phép người dùng thuchanh quyền xem dữ liệu trên bảng Products đồng thời có thể chuyển tiếp quyền này cho người dùng khác

GRANT SELECT ON Products TO thuchanh WITH GRANT OPTION

27

Kế hoạch phân quyền và bảo mật

Cấp phát quyền thực thi các câu lệnh • Lệnh GRANT còn có thể sử dụng để cấp phát cho người sử dụng một số quyền trên hệ quản trị cơ sở dữ liệu hoặc cơ sở dữ liệu.

• Những quyền có thể cấp phát trong trường hợp này

• Tạo cơ sở dữ liệu: CREATE DATABASE. • Tạo bảng: CREATE TABLE • Tạo khung nhìn: CREATE VIEW • Tạo thủ tục lưu trữ: CREATE PROCEDURE • Tạo hàm: CREATE FUNCTION • Sao lưu cơ sở dữ liệu: BACKUP DATABASE

bao gồm:

28

Kế hoạch phân quyền và bảo mật

Cấp phát quyền thực thi các câu lệnh Cú pháp:

GRANT ALL | danh_sách_câu_lênh TO danh_sách_người_dùng

Ví dụ: Để cấp phát quyền tạo bảng và khung nhìn cho người dùng có tên là thuchanh, ta sử dụng câu lệnh như sau:

GRANT CREATE TABLE,CREATE VIEW

TO thuchanh

29

Ví dụ về GRANT

 GRANT INSERT, SELECT ON Sailors TO Horatio

– Horatio có thể truy vấn hoặc thêm dòng mới vào table Sailors

 GRANT DELETE ON Sailors TO Yuppy WITH GRANT  OPTION

– Yuppy có thể xóa dữ liệu của table Sailors và có thể uỷ quyền cho

người khác

 GRANT UPDATE (rating) ON Sailors TO Dustin

– Dustin có thể cập nhật cột rating trên các dòng của table Sailor

 GRANT SELECT ON ActiveSailors TO Guppy, Yuppy

– Guppy, Yuppy không truy cập trực tiếp table Sailors mà thông qua

view ActiveSailors

30

Kế hoạch phân quyền và bảo mật

Thu hồi quyền • Câu lệnh REVOKE được sử dụng để thu hồi quyền

đã được cấp phát cho người dùng.

• Tương ứng với câu lệnh GRANT, câu lệnh REVOKE

được sử dụng trong hai trường hợp:

• Thu hồi quyền đã cấp phát cho người dùng trên

các đối tượng cơ sở dữ liệu.

• Thu hồi quyền thực thi các câu lệnh trên cơ sở

dữ liệu đã cấp phát cho người dùng

31

Kế hoạch phân quyền và bảo mật

 Cú pháp

REVOKE [GRANT OPTION FOR]     {ALL [PRIVILEGES] | permission[,...n]}     {         [(column[,...n])] ON {table | view}         | ON {table | view}[(column[,...n])]         | {stored_procedure | extended_procedure}     } {TO | FROM}     security_account[,...n] [CASCADE] [AS {group | role}]

32

Kế hoạch phân quyền và bảo mật

 Ví dụ 4.4: Thu hồi quyền thực thi lệnh INSERT trên

bảng Products đối với người dùng thuchanh. REVOKE INSERT ON Products FROM thuchanh

33

Kế hoạch phân quyền và bảo mật

 Thu hồi quyền đã cấp phát trên cột UnitInstock (chỉ

 Chú ý: Khi ta sử dụng câu lệnh REVOKE để thu hồi quyền trên một đối tượng cơ sở dữ liêu từ một người dùng náo đó, chỉ những quyền mà ta đã cấp phát trước đó mới được thu hồi, những quyền mà người dùng này được cho phép bởi những người dùng khác vẫn còn có hiệu lực.

cho phép xem dữ liệu trên cột ProductName) REVOKE SELECT ON Products(UnitInstock) FROM thuchanh

34

Kế hoạch phân quyền và bảo mật

 Ví dụ: Giả sử trong cơ sở dữ liệu ta có 3 người

GRANT SELECT ON R TO C

 và B cấp phát quyền xem và bổ sung dữ liệu trên

dùng là A, B và C. A và B đều có quyền sử dụng và cấp phát quyền trên bảng R. A thực hiện lệnh sau để cấp phát quyền xem dữ liệu trên bảng R cho C:

bảng R cho C bằng câu lệnh: GRANT SELECT, INSERT ON R TO C

35

Kế hoạch phân quyền và bảo mật

 Như vậy, C có quyền xem và bổ sung dữ liệu trên

REVOKE SELECT, INSERT ON R FROM C

 Vậy C còn quyền gì trên R???????  Người dùng C sẽ không còn quyền bổ sung dữ liệu

bảng R. Bây giờ, nếu B thực hiện lệnh:

trên bảng R nhưng vẫn có thể xem được dữ liệu của bảng này (quyền này do A cấp cho C và vẫn còn hiệu lực).

36

Kế hoạch phân quyền và bảo mật

 Nếu ta đã cấp phát quyền cho người dùng nào đó bằng câu lệnh GRANT với tuỳ chọn WITH GRANT OPTION thì khi thu hồi quyền bằng câu lệnh REVOKE phải chỉ định tuỳ chọn CASCADE.

 Trong trường hợp này, các quyền được chuyển tiếp cho những người dùng khác cũng đồng thời được thu hồi.

37

Kế hoạch phân quyền và bảo mật

 Ví dụ: Ta cấp phát cho người dùng A trên bảng R

GRANT SELECT ON R TO A WITH GRANT OPTION

 Sau đó người dùng A lại cấp phát cho người dùng B

với câu lệnh GRANT như sau:

GRANT SELECT ON R TO B

quyền xem dữ liệu trên R với câu lệnh:

38

Kế hoạch phân quyền và bảo mật

 Nếu muốn thu hồi quyền đã cấp phát cho người

REVOKE SELECT ON R FROM A CASCADE

 Câu lệnh trên sẽ đồng thời thu hồi quyền mà A đã cấp cho B và như vậy cả A và B đều không thể xem được dữ liệu trên bảng R.

dùng A, ta sử dụng câu lệnh REVOKE như sau:

39

Kế hoạch phân quyền và bảo mật

 Trong trường hợp cần thu hồi các quyền đã được chuyển tiếp và khả năng chuyển tiếp các quyền đối với những người đã được cấp phát quyền với tuỳ chọn WITH GRANT OPTION, lệnh REVOKE ta chỉ định mệnh đề GRANT OPTION FOR.

trong câu

40

Kế hoạch phân quyền và bảo mật

 Ví dụ: Trong ví dụ trên, nếu ta thay câu lệnh:

REVOKE SELECT ON Employees FROM A CASCADE

 bởi câu lệnh:

REVOKE GRANT OPTION FOR SELECT ON Employees FROM A CASCADE

41

 Thì B sẽ không còn quyền xem dữ liệu trên bảng R đồng thời A không thể chuyển tiếp quyền mà ta đã cấp phát cho những người dùng khác (tuy nhiên A vẫn còn quyền xem dữ liệu trên bảng R).

Kế hoạch phân quyền và bảo mật

REVOKE ALL | các_câu_lệnh_cần_thu_hồi FROM danh_sách_người_dùng

Thu hồi quyền thực thi các câu lênh: Việc thu hồi quyền thực thi các câu lệnh trên cơ sở dữ liệu (CREATE DATABASE, CREATE TABLE, CREATE VIEW,...) được thực hiện đơn giản với câu lệnh REVOKE có cú pháp:

42

Kế hoạch phân quyền và bảo mật

Thu hồi quyền thực thi các câu lênh: Ví dụ: Để không cho phép người dùng thuchanh thực hiện lệnh CREATE TABLE trên cơ sở dữ liệu, ta sử dụng câu lệnh: REVOKE CREATE TABLE FROM thuchanh

43

Kế hoạch phân quyền và bảo mật

(cid:0) DENY: từ chối 1 permission và ngăn chặn 1 user, group, role thừa kế permission thông qua mối quan hệ thành viên trong group và role.

 Statement permissions:

DENY{ALL | statement[,...n]} TO security_account[,...n]

 Object permissions:

DENY     {ALL [PRIVILEGES] | permission[,...n]}     {         [(column[,...n])] ON {table | view}         | ON {table | view}[(column[,...n])]         | ON {stored_procedure | extended_procedure}     } TO security_account[,...n][CASCADE]

44

Kế hoạch phân quyền và bảo mật

Lập kế hoạch phân quyền  Liệt kê các item và activities trên database  Liệt kê các cá nhân và các group trong công ty  Tham khảo chéo 2 danh sách này để xác định user có thể thực hiện thao tác gì trên database

45

Kế hoạch phân quyền và bảo mật

46

Kế hoạch phân quyền và bảo mật

 Lập bảng phân quyền sau

Activitties

Student

Course

Enroll

Cập nhật sinh viên

Cập nhật môn học

Đăng ký môn học

Cập nhật điểm môn học

Xem môn học, xem điểm

47

Kế hoạch phân quyền và bảo mật

User

Activites

Cập nhật sinh viên

QLHSSV NMHA NVLONG

Cập nhật môn học

QLMH TTTRANG

Đăng ký môn học

DKMH NMHA TTTRANG

Cập nhật điểm môn học

Giáo viên VTTHA TQTRUNG

Sinh viên

XEm điểm

48

Bảo mật và phân quyền trên SQL Server

49

Giới thiệu về bảo mật cơ sở dữ liệu

 Việc xây dựng hệ thống bảo mật cho cơ sở

dữ liệu phải thỏa mãn 3 tính chất sau: – Tính bảo mật: User không được phép xem dữ

– Tính toàn vẹn: User không được phép cập nhật dữ liệu mà họ không được cấp quyền chỉnh sửa. – Tính tiện ích: User phải xem và cập nhật được dữ

liệu mà họ không được cấp quyền xem.

liệu mà họ được cấp quyền.

50

Kiểm soát truy cập dữ liệu

 Các khái niệm:

– Qui tắc bảo mật: xác định người dùng nào có

– Cơ chế bảo mật: cho phép chúng ta hiện thực qui

quyền gì

– Có 2 cơ chế bảo mật ở mức DBMS:

 Kiểm soát truy cập tùy ý  Kiểm soát truy cập đồng thời

tắc bảo mật

51

Kiểm soát truy cập tùy ý

 Dựa trên khái niệm quyền truy cập trên các đối tượng (tables, views) và cơ chế trao quyền cho user.

 Người tạo table hoặc view có toàn quyền trên

table hoặc view đó.

 DBMS sẽ kiểm tra user nào được trao và bị thu hồi quyền và chỉ những yêu cầu từ những user được trao quyền mới được cho phép

52

GRANT/REVOKE trên Views

 Người tạo view có quyền trên view nếu có quyền trên

 Nếu người tạo ra view bị mất quyền SELECT trên

tất cả các table gốc.

 Nếu người tạo view mất quyền được ủy quyền trên table gốc thì cũng mất bị quyền được uỷ quyền trên view.

table gốc thì VIEW đó sẽ bị huỷ.

=> View kết hợp với GRANT và REVOKE sẽ tạo thành

công cụ kiểm soát truy cập hiệu quả. (executed by Joe)

53

Phân quyền dựa trên role

 SQL92: phân quyên trên authorization ids là định

danh cho các user hoặc các nhóm user.

 SQL99: quyền được gán cho role

– role được gán cho user hoặc cho role khác. – Phản ánh được thực tế của các tổ chức.

54

Mã hóa

 Mask” dữ liệu để đảm bảo cho việc truyền nhận

và lưu trữ. – Mã hoá

 Input: dữ liệu, khóa mã hóa  Output: dữ liệu được mã hóa

– Giải mã

 Input: dữ liệu được mã hóa, khóa giải mã hóa  Output: dữ liệu gốc

55

Phương pháp mã hóa

 Symmetric:

– Khóa mã hóa = khóa giải mã – Tất cả user được phân quyền đều biết được khóa này – VD: DES, AES

 Public-Key

– Mỗi user có 2 khóa

 Khóa mã hóa public: chung, tất cả user đều biết  Khóa giải mã: chỉ user biết

– VD: RSA

56

Kiểm soát truy cập bắt buộc

 Dựa trên qui tắc “system wide”: qui tắc này không bị thay đổi bởi mỗi user cá nhân. – Mỗi object (tables, views) được gán vào 1 security

– Mỗi subject (user hoặc user program) được gán cho 1

class.

– Qui tắc dực trên các security class và các clearance

clearance đối với 1 security class.

điều khiển ai có thể đọc/ghi object nào.

57

Tại sao kiểm soát truy cập bắt buộc?

 Ý tưởng là để đảm bảo cho thông tin không bao giờ lưu chuyển từ mức bảo mật cao xuống mức bảo mật thấp

 Các qui tắc quản lý truy cập bắc buộc được áp dụng để hỗ trợ cho những khiết điểm của kiểm soát truy cập tùy ý

58

Mô hình Bell-LaPadula

 Objects (tables, views, tuples)  Subjects (users, user programs)  Security classes:

– Top secret (TS), secret (S), confidential (C), unclassified (U):

TS > S> C > U

 Mỗi object và subject được gán vào 1 class.

– Subject S có thể đọc object O nếu và chỉ nếu class(S)

>=class(O)

– Subject S có thể ghi object O nếu và chỉ nếu class(S) <=class(O)

59