Bài giảng Bảo mật cơ sở dữ liệu: Chương 4 - Trần Thị Kim Chi

Bài giảng "Bảo mật cơ sở dữ liệu - Chương 4: Role based access control models (Điều khiển truy cập dựa trên vai trò)" trình bày các nội dung: Role-Based Access control, các tiêu chuẩn RBAC do NIST đề xuất, core RBAC, operations, permissions assignment, the role hierarchy,... Mời các bạn cùng tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng Bảo mật cơ sở dữ liệu: Chương 4 - Trần Thị Kim Chi ROLE BASED ACCESS CONTROL MODELS Điều khiển truy cập dựa trên vai trò Đặt vấn đề Sự phức tạp của bảo mật quản trị  Khi hệ thống có số lượng lớn các chủ thể và các đối tượng tham gia thì sự ủy quyền có thể trở nên cực kỳ lớn và phức tạp  Khi hệ thống có quá nhiều người sử dụng thì các thao tác cấp quyền và thu hồi quyền rất khó thực hiện và khó quản lý Để giải quyết vấn đề trên người ta dùng cơ chế Role Based access control model Giới thiệu  Điều khiển truy cập dựa trên vai trò (Role Based Access Control-RBAC)  Phát minh vào năm 1970  Áp dụng với hệ thống đa người dùng và đa ứng dụng trực tuyến  Còn được gọi là Điều khiển Truy cập không tùy ý  Quyền truy cập dựa trên chức năng công việc  RBAC gán các quyền cho các vai trò cụ thể trong tổ chức. Các vai trò sau đó được gán cho người dùng Giới thiệu  Điều khiển truy cập dựa trên vai trò (Rule Based Access Control-RBAC)  Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do người giám sát xác định  Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc  Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc của đối tượng để xác định quyền truy cập  Thường được sử dụng để quản lý truy cập ngưới dùng tới một hoặc nhiều hệ thống  Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi Role-Based Access Control  Ý tưởng trọng tâm của RBAC là permission (quyền hạn) được kết hợp với role (vai trò) và user (người sử dụng) được phân chia dựa theo các role thích hợp.  RBAC làm đơn giản việc quản lý các permission.Tạo các role cho các chức năng công việc khác nhau trong một tổ chức và các USER được phân các role dựa vào trách nghiệm và quyển hạn cua ho.Những role được cấp các permission mới hoặc hủy bỏ permission khi cần thiết. Role-Based Access Control  Các khái niệm cơ bản:  User (Người dùng) - một con người, một máy, một quá trình, vv  Role là một tập hợp bao gồm các quyền (permission) và các role khác  Đối tượng tham số đặc quyền để hạn chế quyền truy cập vào một tập hợp con của các đối tượng.  Session(phiên) là một phần quan trọng của RBAC phân biệt nó với cơ chế group truyền thống. Session cho phép kích hoạt một tập hợp con của role được gán cho user. Nếu không có session thì tất cả các role của user luôn được kích hoạt dẫn đến việc có thể vi phạm đặc quyền tối thiếu. Role-Based Access Control  Quyền hạn (permission): là một sự cho phép thực hiện một câu lệnh SQL nào đó hoặc được phép truy xuất đến một đối tượng nào đó.  Chỉ cấp cho user chính xác những quyền mà user cần đến. Việc cấp dư thừa những quyền không cần thiết có thể gây nguy hại cho việc bảo mật hệ thống.  Một permission có thể là một cặp object-method hay class-method trong môi trường hướng đối tượng  Một permission cũng có thể là 1 cặp table-query hay view-query trong ứng dụng CSDL  Permissions are assigned to roles: Permission assignment (PA): role- permission  Users are assigned to roles: User assignment (UA): user-role Role-Based Access Control Có 2 loại quyền: • Quyền hệ thống (System Privilege): • Là quyền thực hiện một tác vụ CSDL cụ thể hoặc quyền thực hiện một loại hành động trên tất cả những đối tượng schema của hệ thống. • Vd: quyền ALTER SYSTEM, quyền CREATE TABLE, quyền DELETE ANY TABLE (xóa các hàng của bất kỳ bảng nào trong CSDL),… • User có thể cấp 1 quyền hệ thống nếu có một trong các điều kiện sau: • User đã được cấp quyền hệ thống đó với tùy chọn WITH ADMIN OPTION. • User có quyền GRANT ANY PRIVILEGE. Role-Based Access Control Quyền đối tượng (Schema Object Privilege hoặc Object Privilege): • Là quyền thực hiện một hành động cụ thể trên một đối tượng schema cụ thế. • Vd: quyền xóa các hàng dữ liệu khỏi bảng Department. • Có nhiều quyền đối tượng khác nhau dành cho các loại đối tượng schema khác nhau. • Dùng để quản lý việc truy xuất đến các đối tượng schema cụ thể nào đó. • User có thể cấp 1 quyền đối tượng nếu có một trong các điều kiện sau: • User có tất cả mọi quyền đối tượng trên tất cả các đối tượng thuộc schema của mình. Vì vậy user có quyền cấp bất kỳ quyền đối tượng trên bất kỳ đối tượng nào thuộc sở hữu của mình cho bất cứ user nào khác. • User có quyền GRANT ANY OBJECT PRIVILEGE. User được cấp quyền đối tượng đó với tùy chọn WITH GRANT OPTION Role-Based Access Control • Vai trò (Role) là là một tập hợp các quyền (permissions)” Role-Based Access Control • Role là một tập hợp bao gồm các quyền và các role khác. • Role được gán cho các user hoặc các role khác. • Role giúp cho việc quản trị người dùng dễ dàng và tiết kiệm công sức hơn. • Có một số role có sẵn do hệ thống định nghĩa(vd: DBA, RESOURCE, CONNECT,…) nhưng đa phần các role là do người quản trị CSDL tạo ra. • Role không phải là một đối tượng schema (schema object) nên không được lưu trữ trong schema của user tạo ra nó. Do vậy, user tạo ra một role có thể bị xóa mà không ảnh hưởng đến role đó. Role-Based Access Control Ví dụ, • role là người vận hành có thể truy cập tất cả các tài nguyên mà không thay đổi các quyền truy cập, • role là một nhân viên bảo vệ có thể thay đổi các quyền truy cập nhưng không được truy cập vào các tài nguyên, • role là một kiểm toán viên có thể truy cập vào các việc kiểm toán. • Việc sử dụng các role mang tính quản lí này cũng có trong các hệ thống điều khiển mạng hiện đại như Novell’s NetWare và Microsoft Windows NT. ...