Bảo mật: Chung sống với mã ngoại lai

Sự phát triển của Internet và các công nghệ dựa trên Internet đem đến nhiều vận hội nhưng cũng ẩn chứa vô vàn những thách thức. Trong môi trường trao đổi thông tin số, các đoạn mã máy tính, gọi tắt là mã (code), được di cư từ máy này sang máy khác. Điều này thực tế đã mang đến nhiều rủi ro hơn cho các đối tượng tham gia. Nhiều mô hình bảo mật đã được đưa ra để giải quyết vấn đề này....
Nội dung trích xuất từ tài liệu:
Bảo mật: Chung sống với mã ngoại laiBảo mật: Chung sống với mã ngoại laiSự phát triển của Internet và các công nghệ dựa trênInternet đem đến nhiều vận hội nhưng cũng ẩn chứa vôvàn những thách thức. Trong môi trường trao đổi thôngtin số, các đoạn mã máy tính, gọi tắt là mã (code), được dicư từ máy này sang máy khác. Điều này thực tế đã mangđến nhiều rủi ro hơn cho các đối tượng tham gia. Nhiềumô hình bảo mật đã được đưa ra để giải quyết vấn đềnày.MÃ NGOẠI LAI (FOREIGN CODE) VÀ VẤN ĐỀ BẢOMẬTForeign code là mã bất kỳ không sinh ra tại máy làm việcnhưng bằng cách này hay cách khác tới được máy và chạytrên đó. Các loại Applets, ActiveX, các file đính kèm với thưđiện tử, TclScript, JavaScript, PostScript, các macro Word,Excel là các ví dụ cho foreign code. Hình 1 mô tả mô hìnhforeign code tổng quát.Trong mô hình, code producer là nơi cung cấp và codeconsumer là môi trường chạy foreign code. Ví dụ, trong kiếntrúc web: Web server được xem xét như code producer, webbrowser được xem như code consumer, và applet là foreigncode.Bản chất tự nhiên của foreign code là di trú, foreign codethường đến từ phía bên ngoài hệ thống, đi qua nhiều môitrường và thường là từ các môi trường không an toàn chẳnghạn như Internet. Chúng di cư đến máy làm việc và thực thitương tự như một chương trình thông thường. Mọi chuyện sẽkhông có gì đáng nói nếu thế giới của chúng ta toàn ngườitốt, nhưng thực tế không được như vậy! Vì vậy chúng ta luônphải đề phòng, nhất là ta thường không biết được xuất xứ, tácgiả của foreign code. Trên thực tế, chấp nhận foreign code làchấp nhận rủi ro. Do đó để đảm bảo an toàn bảo mật cho hệthống máy tính khi chạy foreign code chúng ta phải có cácbiện pháp an ninh nhất định.CÁC GIẢI PHÁP BẢO MẬTĐể bảo vệ một hệ thống máy tính, trước hết chúng ta cần phảikiểm soát việc truy xuất hệ thống. Giải pháp là dùng cách nàođó giới hạn các truy xuất của foreign code tới các dữ liệu vàtài nguyên của hệ thống.Chúng ta biết rằng mọi tiến trình đều cần có một môi trườngnhất định để thực thi. Đương nhiên một chương trình khôngbao giờ thực thi sẽ chẳng bao giờ làm hư hại đến hệ thống.Chương trình càng bị giới hạn truy xuất tới hệ thống thì hệthống càng ít nguy cơ rủi ro. Do vậy nguyên tắc chung củachúng ta là kiểm soát nghiêm ngặt việc truy xuất của cácchương trình tới hệ thống. Có rất nhiều mô hình bảo mật,chẳng hạn như Bell-LaPadula, Biba, Clack-Wilson...Để kiểm soát foreign code, trước hết cần giả thiết rằng môitrường thực thi các luật bảo mật là tin cậy và tất cả các loạiforeign code là không tin cậy. Trong thực tế chúng ta kiểmsoát foreign code theo cách đầy mâu thuẫn. Một mặt chúng tamuốn thực thi chúng một cách an toàn, vì vậy việc truy xuấtcủa foreign code tới dữ liệu và tài nguyên hệ thống phải bịgiới hạn nghiêm ngặt. Mặt khác chúng ta lại muốn chúng cónhiều sức mạnh hơn, do đó sự truy xuất của foreign code cầnđược nới rộng. Một vành đai bảo mật ảo được áp đặt lên cáchệ thống máy tính. Trong đó mã cục bộ sinh ra tại máy làmviệc được xem xét là tin cậy và foreign code được xem làkhông tin cậy. Trường hợp lý tưởng nhất có lẽ là foreign codeđược xử lý như local code. Đây có lẽ là mục đích của hầu hếtcác giải pháp cho foreign code. Tuy nhiên tin cậy không cónghĩa là an toàn. Tiếp theo chúng ta sẽ bàn về bốn mô hìnhbảo mật điển hình để kiểm soát foreign code.CÁC MÔ HÌNH BẢO MẬT1. Kiểm soát truy xuấtTrước khi nói về các mô hình bảo mật, chúng ta cùng nhìn lạikhái niệm về kiểm soát truy xuất (access control). Đây làmột kỹ thuật cơ bản trong bảo vệ thông tin của hầu hết các hệthống máy tính. Access control có thể được hình dung như làtình huống trong đó một chủ thể chủ động (subject) truy xuấtmột đối tượng bị động (object) với một phép truy xuất nàođó. Trong khi một bộ điều khiển tham chiếu (referencemonitor) sẽ cho phép hoặc từ chối các yêu cầu truy xuất. Môhình cơ sở của access control được đưa ra bởi Lampson nhưhình 2.Trong các hệ thống máy tính, chủ thể là người sử dụng haycác tiến trình. Đối tượng là file, bộ nhớ, các thiết bị ngoại vi,các nút mạng,... Các phép truy xuất điển hình là đọc (read),ghi (write), bổ sung (append) và thực thi (execute). Quyềnthực hiện một phép truy xuất nhất định trên một đối tượngđược gọi là quyền truy xuất (access right). Các luật bảo mật(security policy) được định nghĩa như một bộ điều phốiquyền truy xuất cho các chủ thể.2. Mô hình SandboxingThuật ngữ sandboxing chỉ sự giam giữ một tiến trình trongmiền quản lý của nó nhằm mục đích bảo đảm an toàn cho bộnhớ. Để hiểu rõ về mô hình này, chúng ta cùng xem xét môhình sandbox nổi tiếng được phát triển cho Java.Java sử dụng thuật ngữ sandboxing theo nghĩa rộng hơn đểchỉ sự giới hạn truy xuất tới bất kỳ tài nguyên nào của hệthống chứ không chỉ đơn thuần là bộ nhớ. Mô hình bảo mậtcủa Java dựa trên mô hình truy xuất tùy ý (D ...