Mac kiểm soát truy cập trung bình
MAC có nghĩa là gì? Trên đây là một trong những ý nghĩa của MAC. Bạn có thể tải xuống hình ảnh dưới đây để in hoặc chia sẻ nó với bạn bè của bạn thông qua Twitter, Facebook, Google hoặc Pinterest. Nếu bạn là một quản trị viên web hoặc blogger, vui lòng đăng hình ảnh trên trang web của bạn. MAC có thể có các định nghĩa khác. Vui lòng cuộn xuống để xem định nghĩa của nó bằng tiếng Anh và năm nghĩa khác trong ngôn ngữ của bạn. Show
Ý nghĩa của MACHình ảnh sau đây trình bày một trong những định nghĩa về MAC trong ngôn ngữ tiếng Anh.Bạn có thể tải xuống tệp hình ảnh ở định dạng PNG để sử dụng ngoại tuyến hoặc gửi hình ảnh định nghĩa MAC cho bạn bè của bạn qua email. Ý nghĩa khác của MACNhư đã đề cập ở trên, MAC có ý nghĩa khác. Xin biết rằng năm ý nghĩa khác được liệt kê dưới đây.Bạn có thể nhấp vào liên kết ở bên trái để xem thông tin chi tiết của từng định nghĩa, bao gồm các định nghĩa bằng tiếng Anh và ngôn ngữ địa phương của bạn. Định nghĩa bằng tiếng Anh: Medium Access ControlTrong lĩnh vực an toàn thông tin cũng như trong lĩnh vực công nghệ, và kể cả trong đời sống thì Kiểm soát truy cập đều có tầm quan trọng cao. Nhưng đã bao giờ bạn tự hỏi rằng: tại sao hệ thống kiểm soát truy cập lại đưa ra các yêu cầu như vậy? Cơ sở nào để đưa ra các quy định? Cơ chế kiểm soát truy cập này có thực sự hiệu quả? Ưu điểm và nhược điểm cùa chúng là gì? Bài viết này sẽ làm rõ hơn các vấn đề phía sau một hệ thống kiểm soát truy cập. Đi cùng mình qua hết các nội dung dưới đây để tìm đáp án cho những câu hỏi bên trên nhé. 1. Kiểm soát truy cậpKiểm soát truy cập được hình thành từ hai bộ phận chính:
1.1. Quá trình xác thựcQuá trình xác thực (authentication) nhằm kiểm tra danh tính của đối tượng, hay nói cách khác là trả lời cho câu hỏi: bạn là ai?. Quá trình xác thực hiện hữu thường xuyên, ví dụ như:
Các hệ thống đơn giản thường chỉ yêu cầu một yếu tố để xác thực. Tức là chúng ta chỉ cần cung cấp 1 trong số các thông tin như:
Và nhiều yếu tố khác nữa cũng có thể được sử dụng để xác thực. Tuy nhiên việc chỉ sử dụng một yếu tố không đủ độ an toàn và đáng tin cậy nữa. Do đó ngày nay nhiều nơi đã sử dụng hệ thống xác thực đa yếu tố. Đa yếu tố tức là yêu cầu 2, 3, thậm chí là nhiều hơn nữa các yếu tố mà mình đã kể trên. Giống như kiểu một cánh cửa có tận 3 ổ khoá vậy, chúng ta phải có 3 chiếc chìa khoá khác nhau để mở hết 3 cái ổ khoá ra, sau đó mới có thể mở cửa được. Nhìn chung thì xác thực đa yếu tố sử dụng nhiều hơn 1 yếu tố thuộc 3 nhóm sau:
Sau khi quá trình xác thực diễn ra thành công, hệ thống sẽ cho phép bạn truy cập. Nhưng lúc này bạn mới chỉ có quyền hạn thấp nhất mà thôi, thậm chí có thể không làm được gì. Việc "bạn có thể làm những gì?" sẽ là câu hỏi mà hệ thống cấp quyền trả lời. 1.2. Quá trình cấp quyềnQuá trình cấp quyền được thực hiện sau khi quá trình xác thực được hoàn thành. Dựa trên kết quả xác thực, dựa trên việc "bạn là ai" thì hệ thống sẽ kiểm tra xem bạn được quyền làm những gì. Thường thì các hệ thống sẽ gồm nhiều tài nguyên, nhiều chức năng được phân chia rõ ràng. Quá trình cấp quyền sẽ đảm bảo bạn chỉ được sử dụng những tài nguyên, những chức năng tương ứng với mức quyền hạn của mình. Một số hệ thống đảm bảo nguyên tắc quyền hạn tối thiểu sẽ có một mức quyền hạn thấp nhất, chỉ được sử dụng tài nguyên tối thiểu nhất, và mức quyền hạn tối thiểu sẽ mặc định được cấp cho mọi đối tượng trong hệ thống. Các mức quyền hạn cao hơn thì cần được quản trị viên phê duyệt và cấp cho. Chúng ta có thể thấy trong thực tế ở các khu chung như cao cấp, khi có thẻ cư dân thì người ta mới có thể sử dụng thang máy. Nhưng cái thẻ cư dân này chỉ mở được duy nhất một căn hộ mà chủ thẻ trả tiền thuê thôi. Việc dùng thẻ của căn hộ này mở cửa căn hộ khác là không thể được. Một ví dụ khác là trong ứng dụng discord, người tạo server có thể tạo và cài đặt quyền truy cập kênh trong server cho các vai trò cụ thể. Và ngoài các vai trò tạo thêm ra thì luôn có một vai trò mặc định được cấp cho bất cứ thành viên nào tham gia server, là vai trò every one. 1.3. Hệ thống Kiểm soát truy cậpSự tham gia của cả hai quá trình xác thực và cấp quyền mới tạo thành một hệ thống Kiểm soát truy cập hoàn thiện. Hệ thống Kiểm soát truy cập sẽ kiểm soát khả năng truy cập tài nguyên hệ thống sau khi một đối tượng hoàn thành xác thực và được cấp quyền truy cập. Hệ thống cần:
Các hệ thống kiểm soát truy cập có thể được chia thành hai loại:
2. Các mô hình kiểm soát truy cậpViệc triển khai một hệ thống kiểm soát truy cập không hề đơn giản. Nếu như quản trị viên chỉ đơn thuần cài đặt các quy định dựa trên thực tế, logic, hoặc triển khai tuỳ ý không theo các nguyên tắc có tổ chức thì hệ thống chắc chắn sẽ không thể kiểm soát chính xác được với mọi trường hợp, sự xung đột giữa các quy định hoàn toàn có thể xảy ra. Kể cả khi hệ thống may mắn hoạt động tốt, thì vấn đề cũng sẽ xuất hiện khi cần thay đổi quy định về kiểm soát truy cập. Rất may là đã có những người nghiên cứu sâu về bảo mật đã thử nghiệm và đưa ra các mô hình kiểm soát truy cập. Mỗi mô hình đều có ưu/nhược điểm riêng, và chúng sẽ phát huy được tác dụng tốt nhất trong từng trường hợp riêng. Trước khi đi vào các nội dung chi tiết hơn, mình cần nói trước là một số phần dưới đây mình sẽ sử dụng tiếng anh để dễ trình bày hơn. Có hai từ riếng anh cần chú ý là:
Sau đây, chúng ta sẽ cùng tìm hiểu về 3 mô hình kiểm soát truy cập cơ bản: DAC, RBAC và MAC. 2.1. DAC - Kiểm soát truy cập tuỳ chọnDAC là viết tắt của Discretionary Access Control, đây là mô hình kiểm soát truy cập đơn giản nhất trong ba mô hình mình đề cập trong bài viết này. DAC được xây dựng và triển khai dựa trên một nguyên lý:
Nguyên lý này có thể được hiểu như sau:
Để hình dung rõ hơn chúng ta sẽ xem và phân tích hình minh hoạ sau đây:
Rất đơn giản và dễ hiểu đúng không 😁 Hiện nay mô hình DAC vẫn được sử dụng, ví dụ như ở bảng ACL (Access Control Lists) trên hệ điều hành Windows, hoặc ở hệ thống quản lý tệp tin trên các hệ điều hành nhân Linux. Mô hình DAC có những ưu/nhược điểm sau:
Có một biện pháp để hạn chế việc lộ thông tin bí mật khi sử dụng mô hình DAC, đó là quản trị viên sẽ giới hạn quyền của chủ sở hữu tài nguyên ngay từ đầu. Thay vì cho phép chủ sở hữu có toàn quyền với dữ liệu thì chúng ta chỉ cấp cho chủ sở hữu một phần quyền hạn thôi. Trên Windows và Linux đều đang sử dụng biện pháp này, với Linux là umask còn với Windows là CREATOR_OWNER group . 2.2. RBAC - Kiểm soát truy cập dựa trên vai tròRBAC là viết tắt của Role Based Access Control, đây là mô hình kiểm soát truy cập được sử dụng rộng rãi nhờ có những ưu điểm vượt trội hơn DAC, cũng khắc phục được một số điểm yếu của DAC. RBAC được xây dựng và triển khai dựa trên nguyên lý:
Như vậy với RBAC thì quyền truy cập tài nguyên sẽ không được gán trực tiếp cho chủ thể nữa. Bản thân mỗi chủ thể cũng không có quyền thay đổi nhóm/vai trò của mình, mà chỉ có quản trị viên được quyền làm điều này. Thường thì các công ty, tổ chức sẽ quản lý tài nguyên theo mô hình này, Active Directory trên Windows cũng sử dụng mô hình RBAC.
Mô hình RBAC có những ưu/nhược điểm sau:
2.3. MAC - Kiểm soát truy cập bắt buộcMAC là viết tắt của Mandatory Access Control, đây là mô hình kiểm soát truy cập tốt nhất trong ba mô hình được đề cập trong bài viết này. MAC được xây dựng và triển khai dựa trên nguyên lý:
Một nhãn bảo mật có thể trông như sau:
Khi một chủ thể muốn truy cập mội đối tượng, hệ thống sẽ kiểm tra và tiến hành so sánh nhãn bảo mật của cả hai: đối tượng và chủ thể. Một số trường hợp có thể xảy ra như sau:
Chỉ khi nhãn bảo mật thoả mãn cả về phân loại và danh mục thì chủ thể mới được truy cập tới tài nguyên. Nhờ điều kiện nghiêm ngặt như vậy nên MAC đảm bảo được tính bí mật của dữ liệu rất tốt. Tất nhiên, chẳng có thứ gì là hoàn hảo 100% được, mô hình MAC cũng vẫn có những nhược điểm của mình. Mô hình MAC có những ưu/nhược điểm sau:
Tuy còn nhiều mô hình kiểm soát truy cập nữa mà mình chưa thể nói đến trong bài viết này, nhưng chúng ta đã hiểu hơn về hoạt động của một hệ thống kiểm soát truy cập rồi. Bạn thấy thông tin trong bài viết có hữu ích hay không? Bạn đã gặp những mô hình nào rồi? Nếu có bất cứ ý kiến gì, hãy nhắn dưới phần bình luận của bài viết này, và chúng ta sẽ cùng thảo luận. |