Bài giảng Bảo mật hệ thống thông tin - Chương 3: Điều khiển truy cập bắt buộc (MAC)
User Access
A user can only access data within the range of his
or her own label authorizations
A user has:
maximum and minimum levels
a set of authorized compartments
a set of authorized groups
a specification of read-only access (or read/write)
access for each compartment and group
How to map user label and data label?
51 trang |
Chia sẻ: vutrong32 | Lượt xem: 1295 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng Bảo mật hệ thống thông tin - Chương 3: Điều khiển truy cập bắt buộc (MAC), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
MANDATORY ACCESS CONTROL
Tran Thi Que Nguyet
Faculty of Computer Science & Engineering
HCMC University of Technology
ttqnguyet@cse.hcmut.edu.vn
1
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
2
Outline
2
Introduction to Mandatory Access Control1
Proposed Models for MAC2
MAC in Oracle: Oracle Label Security3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
3
Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC
INTRODUCTION TO MAC
3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
4
Introduction to MAC
Mandatory Access Control (MAC):
MAC applies to large amounts of information requiring
strong protect in environments where both the system
data and users can be classified clearly.
MAC is a mechanism for enforcing multiple level of
security.
4
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
5
Security classes
Classifies subjects and objects based on security
classes.
Security class:
Classification level
Category
A subject classification reflects the degree of trust
and the application area.
A object classification reflects the sensitivity of the
information.
5
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
6
Classification level
Typical classification level are:
Top secret (TS)
Secret (S)
Confidential (C)
Unclassified (U)
Where TS is the highest level and U is the lowest:
TS ≥ S ≥ C ≥ U
6
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
7
Category
Categories tend to reflect the system areas or
departments of the organization.
Example: there are 3 departments of the
organization: Sales, Production, Delivery
7
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
8
Security classes
A security class is defined as follow:
SC = (A, C)
A: classification level
C: category
A relation of partial order on the security classes:
SC ≤ SC’ is verified, only if:
A ≤ A’ and C’ C
Examples:
(2, Sales) ≤ (3, (Sales, Production)) ?
(2, (Sales, Production)) ≤ (3, Sales) ?
8
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
9
Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC
INTRODUCTION TO MAC
9
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
10
MAC Properties
Simple security property: A subject S is not allowed
read access to an object O unless
class(S) ≥ class(O).
No read-up
Star property (or * property): A subject S is not
allowed to write an object O unless
class(S) ≤ class(O)
No write-down
These restrictions together ensure that there is no direct flow
of information from high to low subjects!!!
10
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
11
Why star property?
11
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
12
Why star property?
12
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
13
Why star property?
13
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
14
Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC
INTRODUCTION TO MAC
14
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
15
Multilevel relation
Multilevel relation: MAC + relational database
model
Data objects: attributes and tuples
Each attribute A is associated with a classification
attribute C
A tuple classification attribute TC is to provide a
classification for each tuple as a whole, the highest
of all attribute classification values.
R(A1,C1,A2,C2, , An,Cn,TC)
The apparent key of a multilevel relation is the set
of attributes that would have formed the primary
key in a regular (single-level) relation.
15
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
16
16
A multilevel relation will appear to contain different
data to subjects (users) with different security
levels
Multilevel relation
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
17
A user with security level S
SELECT * FROM EMPLOYEE
Multilevel relation
17
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
18
A user with security level C
SELECT * FROM EMPLOYEE
Multilevel relation
18
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
19
A user with security level U
SELECT * FROM EMPLOYEE
Multilevel relation
19
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
20
Read and write operations: satisfy the No Read-Up
and No Write-Down principles.
Properties of Multilevel relation
20
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
21
Entity integrity: all attributes that are members of the
apparent key must not be null and must have the same
security classification within each individual tuple.
In addition, all other attribute values in the tuple must
have a security classification greater than or equal to
that of the apparent key.
This constraint ensures that a user can see the key if
the user is permitted to see any part of the tuple at all.
Properties of Multilevel relation
21
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
22
Properties of Multilevel relation
Polyinstantiation: where several tuples can have the same
apparent key value but have different attribute values for
users at different classification levels.
22
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
23
Polyinstantiation example
A user with security level C tries to update the
value of JobPerformance of Smith to ‘Excellent’:
UPDATE EMPLOYEE
SET JobPerformance = ‘Excellent’
WHERE Name = ‘Smith’;
(security level C)
23
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
24
Polyinstantiation example
24
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
25
Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC
INTRODUCTION TO MAC
25
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
26
Pros and cons of MAC
Pros:
Provide a high degree of protection – in a way of
preventing any illegal flow of information.
Suitable for military types of applications.
Cons:
Not easy to apply: require a strict classification of
subjects and objects into security levels.
Applicable for very few environments.
26
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
27
Outline
27
Introduction to Mandatory Access Control1
Proposed Models for MAC2
MAC in Oracle: Oracle Label Security3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
28
Bell-LaPadula model
Proposed by David Elliot Bell and Leonard J. La Padula in 1973 to
apply into the applications of USA Government and Military
A state of the system is described by the 3-tuple:
A state : (b, M, f), includes
Access operations currently in use b
List of tuples (s, o, a), s ∈ S, o ∈ O, a ∈ A.
Access permission matrix
M = (Ms,o)s∈S,o∈O, where Ms,o ⊂ A
Clearance and classification f = (fS, fC, fO)
fS : S → L maximal security level of a subject
fC : S → L current security level of a subject (fC ≤ fS)
fO : O → L classification of an object
28
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
29
Properties
Discretionary Security Property (ds-property)
Access must be permitted by the access control matrix
for each (s, o, a) ∈ b, then a ∈ m[s, o]
This is the discretionary access control part of the model
The other two properties are the mandatory access
control parts of the model
Simple security property (ss-property)
A state (b, M, f) satisfies the SS-property if
∀(s, o, a) ∈ b, such that a ∈ {read, write}
fO(o) ≤ fS(s)
I.e. a subject can only observe objects of lower classification
29
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
30
Properties
What policy do we need for write access?
Integrity: no write-up (to higher security levels)
Confidentiality: no write-down (to lower security levels)
Bell-LaPadula concerns confidentiality
Subject must not transmit messages to subjects at lower levels
Current security level allows communications
A subject has to be downgraded to send messages
Because subjects are computer programs
they can be made to forget their knowledge when downgraded
30
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
31
Properties
Star property
A state (b, M, f) satisfies the *-property if
(1)
∀(s, o, a) ∈ b, such that a ∈ {append, write}
fC(s) ≤ fO(o)
and
if ∃(s, o, a) ∈ b where a ∈ {append, write},
then ∀o’, a’ ∈ {read, write}, such that (s, o’, a’) ∈ b, fO(o’) ≤ fO(o)
I.e. a subject can only alter objects of higher classification,
and cannot read a high-level object while writing to a low-level object
(2)
∀(s, o, a) ∈ b, such that a ∈ {read}
fc(s) ≥ fo(o)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
32
Star property
32
Highest
Can Read & Write
Lowest
Subject
Max Level
Current
Level
C
an
W
rite
C
an
R
ead
Objects
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
33
Disadvantages of Bell-Lapadula
BLP’s concern is confidentiality
limits the access and sharing of information
no integrity policy
no availability policy
BLP assumes a fixed rights
assumes tranquillity (where permissions do not change)
A tranquil operation does not change access rights.
A tranquil system has no non-tranquil operation
no model for access management
no model for policy making
Allows Covert Channels (home work!)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
34
Outline
34
Introduction to Mandatory Access Control1
Proposed Models for MAC2
MAC in Oracle: Oracle Label Security3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
35
ORACLE LABEL SECURITY (OLS)
Introduction
Label components
How OLS works?
35
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
36
Introduction
Simulates multilevel DB (MAC)
Adds a field for each row to store the row’s
sensitive label
Access is granted (or denied) by comparing user’s
identity and security clearance label with row’s
sensitive label
ref []
36
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
37
INTRODUCTION
SELECT * FROM order;
User
User session label
“Unclassified”
Table ORDER
1
2
3
Order Number
4
4
Order Location
City
VIP
City
VIP
VIP
Row Label
Unclassified
Secret
Unclassified
Top Secret
Top Secret
37
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
38
Introduction
Four aspects of label-based access control:
A user's label
A row's label
A user's policy privileges
A table's policy enforcement options
38
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
39
ORACLE LABEL SECURITY (OLS)
Introduction
Label components
How OLS works?
39
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
40
Label Components
A label contains three components:
A single level (sensitivity) ranking
Zero or more horizontal compartments
Zero or more hierarchical groups
40
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
41
Level
Levels represent a hierarchy of data sensitivity
The primary mechanism aims to prevent users who
are not authorized from seeing or altering certain
data
Example:
Employee (1)
Manager (2)
Executive (3)
41
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
42
Compartment
The compartment component is not hierarchical
Compartments identify areas that describe the
sensitivity of the labeled data, providing a finer
level of granularity within a level
Example
FIN, CHEM, OP
42
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
43
Group
North
Middle
South
Country
The group component is hierarchical and is used to
identify organizations owning or accessing the data.
43
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
44
LABEL COMPONENTS
44
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
45
Label Components
Label syntax
LEVEL:COMPARTMENT1,...,COMPARTMENTn
:GROUP1,...,GROUPn
Example:
MGR:CS:NA
EXEC:CS,ES,FS:NA
45
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
46
ORACLE LABEL SECURITY (OLS)
Introduction
Label components
How OLS works?
46
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
47
User Access
A user can only access data within the range of his
or her own label authorizations
A user has:
maximum and minimum levels
a set of authorized compartments
a set of authorized groups
a specification of read-only access (or read/write)
access for each compartment and group
How to map user label and data label?
47
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
48
Read Access
48
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
49
Grant authorizations on Groups
to user Alice
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
50
Write Access
Example:
Data Label (Employee)
1 Quoc MGR:CS:NA
2 Thai MGR:FS:MA
3 Dan EMP:CS:NA
4 An EMP
User label: MGR:CS:NA
User label: EMP:FS:NA
User label: EMP:NA
50
Assumption: Min level = EMP, all with Write Access
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
51
51
Các file đính kèm theo tài liệu này:
- security_in_information_systems_3_introduction_mac_6965.pdf