Untitled

Questions and Answers

Trong một hệ thống an toàn, điều gì sau đây mô tả chính xác nhất mối quan hệ giữa chương trình người dùng và hệ thống, liên quan đến việc truy cập dữ liệu nhạy cảm?

• Hệ thống có thể không tin cậy chương trình người dùng và hạn chế quyền truy cập của nó vào dữ liệu nhạy cảm để ngăn chặn rò rỉ hoặc sửa đổi trái phép. (correct)
• Các chương trình người dùng luôn được tin cậy để truy cập mọi dữ liệu hệ thống, đảm bảo tính linh hoạt.
• Các chương trình người dùng và hệ thống luôn tin tưởng lẫn nhau một cách tuyệt đối để tối ưu hóa hiệu suất và giảm thiểu các hạn chế.
• Chương trình người dùng được phép truy cập ngẫu nhiên vào dữ liệu nhạy cảm, miễn là có sự chấp thuận từ người quản trị hệ thống.

Khi phát triển một hệ thống an toàn, bước nào sau đây là quan trọng nhất trong việc đảm bảo an toàn hệ thống trước các mối đe dọa tiềm ẩn?

• Thực hiện kiểm tra bảo mật định kỳ sau khi hệ thống đã được triển khai để phát hiện các lỗ hổng.
• Xây dựng một giao diện người dùng thân thiện và dễ sử dụng để tăng cường trải nghiệm người dùng.
• Nhận biết các mối đe dọa, đánh giá ảnh hưởng của chúng lên an toàn hệ thống, và cung cấp biện pháp phòng ngừa hiệu quả. (correct)
• Chỉ tập trung vào việc tối ưu hóa hiệu suất hệ thống để giảm thiểu các lỗ hổng bảo mật.

Trong ngữ cảnh của cơ chế bảo vệ hệ thống, điều gì sau đây mô tả chính xác nhất vai trò của cơ chế này?

• Cơ chế bảo vệ là các cơ chế kiểm soát thực thi truy cập đến các tài nguyên hệ thống, đặc biệt là kiểm soát chủ thể thực hiện thao tác lên đối tượng. (correct)
• Cơ chế bảo vệ chỉ đơn giản là ghi lại nhật ký các hoạt động của người dùng trên hệ thống.
• Cơ chế bảo vệ chịu trách nhiệm sao lưu và phục hồi dữ liệu hệ thống trong trường hợp xảy ra sự cố.
• Cơ chế bảo vệ chủ yếu tập trung vào việc mã hóa dữ liệu để ngăn chặn truy cập trái phép.

Trong hệ thống bảo vệ, yếu tố nào sau đây mô tả trạng thái bảo vệ một cách chính xác nhất?

Trạng thái bảo vệ mô tả các thao tác mà các chủ thể của hệ thống có thể thực hiện lên các đối tượng trong hệ thống. (C)

Trong hệ thống bảo vệ, tập các thao tác lên trạng thái bảo vệ có vai trò gì?

Thay đổi các trạng thái bảo vệ, điều chỉnh quyền truy cập và kiểm soát. (C)

Hệ thống bảo vệ xác định các yêu cầu an ninh bằng cách nào?

Xác định các yêu cầu an ninh của hệ điều hành và thực hiện việc quản lý các yêu cầu này một cách toàn diện. (C)

Trong các cơ chế bảo vệ, biện pháp nào sau đây cung cấp một cái nhìn tổng quan và chi tiết nhất về quyền truy cập của các chủ thể đối với các đối tượng trong hệ thống?

Ma trận kiểm soát truy cập (ACM), biểu diễn quyền truy cập một cách tường minh. (A)

Giả sử một hệ thống sử dụng cả ACL và hệ thống bảo vệ bắt buộc. Khi có xung đột giữa hai cơ chế này, cơ chế nào sẽ được ưu tiên áp dụng để đưa ra quyết định cuối cùng về quyền truy cập?

Hệ thống bảo vệ bắt buộc luôn được ưu tiên để đảm bảo tuân thủ các chính sách an ninh nghiêm ngặt. (D)

Trong bối cảnh ảo hóa, một lỗ hổng nghiêm trọng trong VMWare ESXi có thể dẫn đến hậu quả nghiêm trọng nào sau đây, đặc biệt khi hệ thống được triển khai trong một môi trường doanh nghiệp lớn với hàng ngàn máy ảo?

Một cuộc tấn công leo thang đặc quyền (privilege escalation) từ máy ảo khách (guest VM) lên hypervisor, cho phép kẻ tấn công kiểm soát toàn bộ hạ tầng ảo hóa. (C)

Giả sử một hệ thống nhúng chạy Raspberry Pi OS bị xâm nhập. Kẻ tấn công đã khai thác một lỗ hổng trong trình điều khiển thiết bị (device driver) tùy chỉnh. Ảnh hưởng nghiêm trọng nhất có thể xảy ra là gì, xét đến việc hệ thống nhúng này được sử dụng để điều khiển một thiết bị y tế quan trọng?

Kẻ tấn công có thể kiểm soát hoàn toàn thiết bị y tế, có khả năng gây nguy hiểm đến tính mạng bệnh nhân. (D)

Trong kiến trúc của hệ điều hành Linux, điều gì sẽ xảy ra nếu một module kernel độc hại (malicious kernel module) được tải vào kernel?

Module độc hại có thể truy cập và sửa đổi bất kỳ phần nào của kernel, cũng như toàn bộ hệ thống, do nó chạy với đặc quyền cao nhất. (A)

Trong ngữ cảnh quản lý bộ nhớ của hệ điều hành, điều gì sẽ xảy ra nếu một chương trình cố gắng truy cập vào một vùng nhớ không hợp lệ (ví dụ: một con trỏ treo - dangling pointer)?

Hệ điều hành sẽ phát sinh một ngoại lệ (exception) hoặc lỗi phân đoạn (segmentation fault), thường dẫn đến việc chương trình bị kết thúc. (B)

Trong một hệ thống điều hành hiện đại, cơ chế bảo vệ bộ nhớ nào sau đây cung cấp khả năng cách ly mạnh mẽ nhất giữa các tiến trình khác nhau, ngăn chặn một tiến trình truy cập trái phép vào bộ nhớ của tiến trình khác?

Cơ chế không gian địa chỉ ảo (virtual address space) kết hợp với đơn vị quản lý bộ nhớ (MMU) và các bảng trang (page tables). (A)

Trong ngữ cảnh điều phối truy cập tài nguyên, một cuộc tấn công race condition có thể xảy ra khi nào?

Khi nhiều tiến trình đồng thời cố gắng truy cập và sửa đổi cùng một tài nguyên chia sẻ mà không có cơ chế đồng bộ hóa thích hợp. (A)

Xét một hệ thống tập tin (file system) sử dụng danh sách kiểm soát truy cập (ACL) để quản lý quyền truy cập. Điều gì sẽ xảy ra nếu một người dùng có quyền "ghi" (write) đối với một tập tin, nhưng không có quyền "thực thi" (execute)?

Người dùng có thể sửa đổi nội dung của tập tin, nhưng không thể thực thi nó như một chương trình. (B)

Giả sử một hệ thống sử dụng cơ chế xác thực đa yếu tố (multi-factor authentication - MFA). Kẻ tấn công đã thỏa hiệp thành công yếu tố đầu tiên (ví dụ: mật khẩu) của người dùng. Yếu tố thứ hai (ví dụ: mã OTP từ ứng dụng xác thực) sẽ bảo vệ hệ thống như thế nào?

Yếu tố thứ hai sẽ ngăn chặn kẻ tấn công truy cập trái phép, trừ khi chúng cũng có thể thỏa hiệp yếu tố thứ hai. (A)

Trong bối cảnh của nhân an toàn, yếu tố nào sau đây quyết định khả năng kiểm chứng của hệ thống, từ đó đảm bảo an toàn cho toàn bộ hệ thống?

Tính cơ sở nền tảng, cho phép kiểm tra, phân tích và chứng minh tính đúng đắn của cơ chế thực thi truy cập. (C)

Nhân an toàn được định nghĩa bằng yếu tố nào?

Phần cứng và phần mềm cần thiết để thực thi các chính sách của hệ thống. (D)

Điều gì mô tả các quyết định truy cập trong nhân an toàn?

Chính sách dựa trên các thông tin trong cơ sở dữ liệu về kiểm soát truy cập. (D)

Yếu tố nào sau đây thể hiện trạng thái an toàn của hệ thống trong CSDL về kiểm soát truy cập?

Thông tin về quyền truy cập và các thuộc tính an ninh. (B)

Điều gì tạo nên yêu cầu tối quan trọng trong CSDL về kiểm soát truy cập?

Giám sát việc tham chiếu của từng thao tác từ chủ thể tới đối tượng. (C)

Điều gì định nghĩa một hệ điều hành an toàn theo các yêu cầu của giám sát tham chiếu?

Hệ điều hành mà việc thực thi truy cập thỏa mãn các yêu cầu của giám sát tham chiếu. (B)

Trong bối cảnh của bảo mật hệ điều hành, bộ giám sát tham chiếu đóng vai trò gì, đặc biệt là trong việc đảm bảo an toàn hệ thống?

Xác định các thuộc tính cần và đủ của bất kỳ hệ thống nào để thực thi hệ thống bảo vệ một cách an toàn. (D)

Thuộc tính 'ngăn chặn hoàn toàn' của bộ giám sát tham chiếu có ý nghĩa gì trong việc bảo vệ an ninh hệ thống?

Hệ thống đảm bảo cơ chế thực thi truy cập ngăn chặn toàn bộ các thao tác nhạy cảm với an ninh. (B)

Thuộc tính 'chống xâm nhập' đóng vai trò gì trong việc bảo vệ tính toàn vẹn của hệ thống bảo vệ?

Đảm bảo có chế thực thi truy cập, kể cả hệ thống bảo vệ, không thể bị sửa đổi bởi các tiến trình (chương trình) không tin cậy. (B)

Đặc điểm nào làm cho cơ chế thực thi truy cập trở nên 'xác minh được' và tại sao điều này lại quan trọng trong việc đảm bảo an toàn?

Cơ chế thực thi truy cập, kể cả hệ thống bảo vệ, phải đủ nhỏ để có thể kiểm tra và phân tích, để có thể chứng minh hệ thống thực thi các mục tiêu an toàn một cách đúng đắn. (A)

Trong bối cảnh của ma trận kiểm soát truy cập, điều gì sẽ xảy ra nếu một ô trong ma trận đó trống rỗng (không có nội dung)?

Chủ thể không có quyền truy cập, ngụ ý rằng không có quyền nào được cấp. (C)

Xét một hệ thống sử dụng danh sách kiểm soát truy cập (ACL) thay vì ma trận kiểm soát truy cập. Trong tình huống nào thì việc sử dụng ACL sẽ trở nên kém hiệu quả hơn về mặt hiệu năng?

Khi một chủ thể cụ thể cần quy định quyền truy cập khác nhau trên một lượng lớn các đối tượng khác nhau. (B)

Trong mô hình bảo vệ hệ thống, điều gì sẽ xảy ra nếu một tiến trình người dùng không tin cậy cố gắng sửa đổi trực tiếp ma trận kiểm soát truy cập để cấp thêm quyền cho chính nó?

Hệ thống bảo vệ bắt buộc (Mandatory Protection System) sẽ can thiệp, ngăn chặn hành động này để duy trì tính toàn vẹn của ma trận kiểm soát truy cập. (B)

Xét một hệ thống mà trong đó việc chuyển đổi giữa các miền bảo vệ được thực hiện thông qua cơ chế 'call gate'. Điều gì có thể xảy ra nếu một call gate bị cấu hình sai?

Một tiến trình có thể truy cập vào một miền bảo vệ khác mà không tuân thủ chính sách kiểm soát truy cập, dẫn đến vi phạm bảo mật. (A)

Trong ngữ cảnh an toàn hệ điều hành, giả sử bạn có một hệ thống sử dụng cả danh sách kiểm soát truy cập (ACL) và ma trận khả năng (capability matrix). Điều gì xảy ra nếu có sự mâu thuẫn giữa hai cơ chế này khi đánh giá quyền truy cập của một chủ thể vào một đối tượng?

Hệ thống sẽ ưu tiên quyền được chỉ định trong danh sách kiểm soát truy cập (ACL) để đảm bảo tính nhất quán. (C)

Giả sử một hệ thống sử dụng cả hai cơ chế: danh sách kiểm soát truy cập (ACL) và khả năng (capabilities). Nếu một tiến trình cố gắng truy cập vào một đối tượng mà không có khả năng tương ứng, nhưng ACL lại cho phép truy cập đó, điều gì sẽ xảy ra?

Quyền truy cập sẽ bị từ chối, vì cơ chế khả năng được ưu tiên hơn trong việc kiểm soát truy cập. (B)

Trong bối cảnh của bài toán an toàn hệ thống, điều gì sẽ xảy ra nếu một hệ thống bảo vệ bắt buộc (Mandatory Protection System) được triển khai không chính xác, dẫn đến việc một số tiến trình không đáng tin cậy có thể vượt qua các biện pháp kiểm soát truy cập?

Hệ thống có thể trở nên dễ bị tấn công leo thang đặc quyền, cho phép các tiến trình không đáng tin cậy thực hiện các hành động mà chúng không được phép. (C)

Trong kiến trúc hệ thống bảo vệ tiên tiến, cơ chế nào cho phép một tiến trình tạm thời vượt qua các giới hạn bảo vệ thông thường để thực hiện một tác vụ cụ thể, nhưng vẫn duy trì tính toàn vẹn của hệ thống?

Chuyển quyền dựa trên "token" được mã hóa bằng mật mã đường cong elliptic (ECC) và giới hạn thời gian nghiêm ngặt. (C)

Trong ngữ cảnh nhân an toàn, phát biểu nào sau đây mô tả chính xác nhất mối quan hệ giữa hệ điều hành (HĐH) và nhân an toàn liên quan đến việc thực thi các chính sách an toàn?

HĐH không tham gia vào quá trình thực thi các chính sách an toàn của nhân an toàn, nhưng có trách nhiệm duy trì hoạt động của hệ thống và ngăn chặn các cuộc tấn công từ chối dịch vụ, đảm bảo tính toàn vẹn của nhân. (A)

Trong kiến trúc nhân an toàn, yếu tố nào sau đây là ít quan trọng nhất trong việc đảm bảo tính đúng đắn và hiệu quả của nhân?

Tốc độ xử lý của nhân, tối ưu hóa độ trễ trong quá trình giám sát truy cập. (C)

Giả sử một hệ thống sử dụng nhân an toàn tham chiếu mọi truy cập tài nguyên. Tình huống nào sau đây chắc chắn sẽ bị nhân an toàn can thiệp và ngăn chặn?

Một tiến trình người dùng cố gắng ghi vào một vùng nhớ kernel không được phép, dù tiến trình đó có đủ quyền hạn theo cơ chế thông thường. (B)

Trong mô hình truy vấn an toàn với cấu trúc {nhãn chủ thể, nhãn đối tượng, tập thao tác}, điều gì xảy ra nếu kết quả trả về là 'không hợp lệ'?

Truy cập bị từ chối và hệ thống ghi lại sự kiện vi phạm an toàn để phân tích. (B)

Trong ngữ cảnh của nhân an toàn, giám sát tham chiếu (reference monitor) đóng vai trò quan trọng. Điều gì sẽ xảy ra nếu giám sát tham chiếu bị vô hiệu hóa hoặc vượt qua?

Các chính sách an toàn không còn được thực thi một cách hiệu quả, dẫn đến nguy cơ xâm phạm an ninh hệ thống. (B)

Xét một hệ thống sử dụng nhân an toàn, và một ứng dụng cố gắng thực hiện một thao tác vi phạm chính sách an toàn. Điều gì sau đây không phải là trách nhiệm của hệ điều hành trong tình huống này?

Tự động sửa lỗi trong ứng dụng để đảm bảo tuân thủ chính sách an toàn. (C)

Phương pháp chính tắc hoặc bán chính tắc thường được sử dụng trong việc kiểm chứng việc triển khai nhân an toàn ở mức độ mã nguồn. Mục đích chính của việc này là gì?

Để chứng minh rằng việc triển khai đáp ứng các yêu cầu an toàn đã được xác định trước một cách toán học hoặc logic. (B)

Trong một hệ thống nhúng sử dụng nhân an toàn, nguồn lực (tài nguyên) nào có khả năng ít được quản lý trực tiếp bởi nhân an toàn nhất?

Dung lượng pin (battery capacity) của thiết bị. (D)

Trong cấu trúc hệ điều hành, vấn đề điều phối truy cập tài nguyên đóng vai trò then chốt, nhưng điều gì sau đây mô tả chính xác nhất thách thức phức tạp nhất trong việc đảm bảo an toàn và hiệu quả của quá trình này trong một hệ thống đa nhiệm thời gian thực?

Cân bằng giữa việc giảm thiểu sự can thiệp giữa các tác vụ để tránh các hiệu ứng không mong muốn và duy trì khả năng đáp ứng của hệ thống đối với các sự kiện bên ngoài. (B)

Giả sử một cuộc tấn công thành công vào một ứng dụng đang chạy trên một hệ thống có nhân an toàn. Phát biểu nào sau đây chắc chắn đúng?

Các chính sách an toàn của nhân an toàn đã ngăn chặn cuộc tấn công lan rộng sang các ứng dụng khác và hệ điều hành. (A)

Trong bối cảnh an toàn hệ điều hành, khái niệm 'môi trường cho các chương trình ứng dụng hoạt động' mang ý nghĩa gì, và yếu tố nào sau đây là quan trọng nhất để đánh giá mức độ an toàn của môi trường này?

Khả năng kiểm soát và hạn chế quyền truy cập của các chương trình ứng dụng vào các tài nguyên hệ thống quan trọng. (D)

Phân tích tác động của việc loại bỏ nhân an toàn khỏi một hệ thống được thiết kế để sử dụng nó. Tác động nguy hiểm nhất có thể xảy ra là gì?

Hệ thống trở nên dễ bị tấn công leo thang đặc quyền và các vi phạm an toàn khác. (D)

Một hệ thống máy tính chạy đồng thời Windows 10 và Ubuntu (Debian Linux). Điều gì sẽ xảy ra nếu một lỗ hổng zero-day (chưa được biết đến công khai) tồn tại trong nhân hệ điều hành (kernel) của cả hai hệ thống, và một cuộc tấn công khai thác lỗ hổng này được thực hiện thành công trên cả hai hệ thống?

Vì cả hai hệ điều hành đều chia sẻ cùng một phần cứng, cuộc tấn công có thể leo thang đặc quyền và vượt qua ranh giới giữa hai hệ thống, cho phép kẻ tấn công truy cập dữ liệu và tài nguyên của cả hai hệ điều hành, thậm chí có khả năng kiểm soát toàn bộ hệ thống vật lý. (B)

Trong ngữ cảnh của các hệ điều hành (HĐH) hiện đại, đặc biệt là các hệ thống dựa trên kiến trúc microkernel, điều nào sau đây mô tả chính xác nhất sự khác biệt quan trọng giữa quản lý bộ nhớ trong kernel space và user space, liên quan đến bảo mật và ổn định hệ thống?

Kernel space có quyền truy cập trực tiếp vào tất cả bộ nhớ vật lý, làm tăng nguy cơ lỗi có thể gây sập hệ thống, trong khi user space bị giới hạn trong bộ nhớ ảo được quản lý chặt chẽ hơn. (B)

Giả sử một hệ thống nhúng (embedded system) chạy một phiên bản tùy chỉnh của Linux, được sử dụng trong một thiết bị y tế quan trọng. Để đảm bảo an toàn và độ tin cậy tối đa, biện pháp nào sau đây là quan trọng nhất trong việc giảm thiểu rủi ro từ các lỗ hổng bảo mật tiềm ẩn?

Áp dụng một kiến trúc microkernel để cô lập các thành phần quan trọng và giảm thiểu phạm vi ảnh hưởng của các lỗ hổng. (C)

Xem xét một hệ thống tập tin (file system) hiện đại như ZFS, được thiết kế để cung cấp tính toàn vẹn dữ liệu cao. Cơ chế nào sau đây đóng vai trò quan trọng nhất trong việc bảo vệ chống lại sự suy giảm dữ liệu (data degradation) do lỗi phần cứng hoặc phần mềm, và làm thế nào nó hoạt động?

Thực hiện checksumming và sửa lỗi (error correction) trên cả dữ liệu và siêu dữ liệu, cho phép hệ thống phát hiện và sửa chữa các lỗi một cách tự động. (B)

Trong bối cảnh ảo hóa (virtualization), điều gì phân biệt rõ nhất giữa hypervisor loại 1 (bare-metal hypervisor) và hypervisor loại 2 (hosted hypervisor) về mặt bảo mật và hiệu suất, và tại sao sự khác biệt này lại quan trọng?

Hypervisor loại 1 chạy trực tiếp trên phần cứng, giảm thiểu lớp trung gian và tăng hiệu suất, trong khi hypervisor loại 2 chạy trên một hệ điều hành chủ, làm tăng độ trễ và giảm hiệu suất. (D)

Trong lĩnh vực an toàn hệ điều hành, một cuộc tấn công 'return-oriented programming' (ROP) hoạt động bằng cách nào, và tại sao nó lại đặc biệt nguy hiểm?

ROP sử dụng các đoạn mã (gadgets) có sẵn trong bộ nhớ của chương trình để thực hiện các hành động độc hại, vượt qua các biện pháp bảo vệ như DEP (Data Execution Prevention). (C)

Trong kiến trúc nhân (kernel) của một hệ điều hành hiện đại, điều gì là mục tiêu chính của việc sử dụng các cơ chế phân quyền (privilege separation) và cách chúng đạt được mục tiêu này?

Để hạn chế thiệt hại do các lỗi hoặc lỗ hổng bảo mật bằng cách giới hạn quyền truy cập của các tiến trình vào tài nguyên hệ thống. (A)

Trong ngữ cảnh của an toàn hệ điều hành, thuật ngữ 'ASLR' (Address Space Layout Randomization) đề cập đến điều gì, và nó hoạt động như thế nào để tăng cường bảo mật cho hệ thống?

ASLR là một kỹ thuật ngẫu nhiên hóa vị trí bộ nhớ (memory location randomization) được sử dụng để gây khó khăn cho việc khai thác các lỗ hổng bảo mật. (B)

Flashcards

Hệ điều hành (OS) là gì?

Là một chương trình quản lý tài nguyên phần cứng và phần mềm của thiết bị tính toán.

Hệ điều hành cung cấp gì?

Cung cấp môi trường cho chương trình ứng dụng hoạt động, giao diện giữa người dùng và phần cứng.

Một số hệ điều hành DOS

MS-DOS, PC-DOS, FreeDOS.

Các phiên bản Microsoft Windows

Windows 3.0, Windows 95, Windows XP, Windows 10...

Các biến thể của Unix

System V, BSD, Solaris.

Các bản phân phối Linux phổ biến

Ubuntu, Linux Mint, Fedora, CentOS.

RedHat Linux

RedHat Enterprise, Fedora, CentOS, Oracle Linux,...

Debian Linux

Ubuntu, Kloppix, Linux Mint,...

Unix - System V

System V

Unix - BSD

BSD, FreeBSD, OpenBSD

MacOS là gì?

Một hệ điều hành được phát triển và sử dụng cho các máy tính của Apple.

Apple iOS là gì?

Hệ điều hành cho các thiết bị di động của Apple.

Android là gì?

Hệ điều hành di động phổ biến của Google.

Raspberry Pi OS là gì?

Hệ điều hành dựa trên nền tảng Linux, được thiết kế cho các thiết bị có cấu hình thấp.

Quản lý tiến trình

Quản lý việc thực thi các chương trình.

Quản lý bộ nhớ

Phân bổ và quản lý không gian bộ nhớ cho các chương trình.

Quản lý đĩa và hệ thống files

Quản lý việc lưu trữ và truy cập dữ liệu trên ổ cứng.

Vấn đề điều phối truy cập tài nguyên

Kiểm soát quyền truy cập để đảm bảo an toàn cho các chương trình và dữ liệu trong hệ thống.

Hạn chế truy cập dữ liệu

Hạn chế quyền truy cập của chương trình người dùng vào dữ liệu nhạy cảm để ngăn chặn rò rỉ hoặc sửa đổi thông tin.

Mục tiêu an toàn hệ thống

Đảm bảo an toàn bất kể hành vi của các chương trình người dùng.

Phát triển hệ thống an toàn

Nhận biết, đánh giá và phòng ngừa các mối đe dọa đối với hệ thống.

Cơ chế bảo vệ

Kiểm soát việc thực thi truy cập đến các tài nguyên hệ thống.

Chủ thể, thao tác, đối tượng

Chủ thể (subject) thực hiện các thao tác (operation) lên các đối tượng (object).

Trạng thái bảo vệ

Mô tả các thao tác mà các chủ thể có thể thực hiện lên các đối tượng.

Thao tác lên trạng thái bảo vệ

Thay đổi các trạng thái bảo vệ.

Hệ thống bảo vệ

Xác định các yêu cầu an ninh và quản lý chúng.

Ma trận kiểm soát truy cập

Biểu diễn trạng thái bảo vệ của hệ thống, định nghĩa tập các chủ thể (S), đối tượng (O) và thao tác (Op).

Miền bảo vệ

Bao gồm tập các đối tượng mà tiến trình có thể truy cập và các thao tác mà tiến trình có thể sử dụng.

Danh sách kiểm soát truy cập (ACL)

Sử dụng để tăng hiệu quả sử dụng bộ nhớ khi ma trận kiểm soát truy cập có nhiều ô trống.

Vấn đề an toàn với ma trận kiểm soát truy cập

Các tiến trình không đáng tin cậy có thể xâm nhập hệ thống bảo vệ bằng cách sửa đổi ma trận truy nhập.

Cách tiến trình sửa đổi ma trận truy nhập

Thêm chủ thể, đối tượng mới, hoặc thực hiện các thao tác trên các ô của ma trận truy nhập.

Yêu cầu an toàn hệ thống

Đảm bảo không có truy cập trái phép nào xảy ra.

Hệ thống bảo vệ bắt buộc

Triển khai để ngăn chặn truy cập trái phép và đảm bảo an toàn hệ thống.

Tập các chủ thể S

Tập hợp các user, process,...

Câu truy vấn có cấu trúc

Truy vấn có cấu trúc gồm nhãn chủ thể, nhãn đối tượng và tập thao tác, trả về kết quả hợp lệ/không hợp lệ.

Truy vấn dịch chuyển

Truy vấn về việc dịch chuyển bao gồm nhãn chủ thể, nhãn đối tượng, tập thao tác và tài nguyên.

Tài nguyên trong truy vấn

Thực thể hoạt động như bộ xử lý hoặc thụ động như file.

Nhân an toàn

Cách tiếp cận dựa trên giám sát tham chiếu kết hợp phần cứng và phần mềm để đảm bảo thực thi các chính sách an toàn.

Giám sát tham chiếu

Đảm bảo giám sát mọi truy cập từ các chủ thể tới tài nguyên/đối tượng.

Mục tiêu của nhân an toàn

Kiểm chứng việc triển khai mã nguồn thỏa mãn các yêu cầu của nhân an toàn.

Đặc điểm nhân an toàn

Thành phần chịu trách nhiệm về an toàn, thường có kích thước nhỏ trong HĐH lớn.

Cấu trúc HĐH an toàn

HĐH cần được cấu trúc để tách biệt phần an toàn thành nhân an toàn/tin cậy.

Trách nhiệm của nhân an toàn

Giám sát và thực thi các chính sách an toàn lên các hoạt động của HĐH và người dùng.

Vai trò của HĐH

Ngăn chặn việc từ chối dịch vụ do ứng dụng lỗi hay có mục đích xấu.

Nhân an toàn là gì?

Phần cơ sở nền tảng, có thể kiểm chứng, của hệ điều hành để đảm bảo an toàn cho hệ thống.

Nhân an toàn được xác định bằng gì?

Phần cứng và phần mềm cần thiết để thực thi các chính sách an toàn của hệ thống.

Quyết định truy cập dựa trên?

Các quyết định truy cập được mô tả bằng các chính sách dựa trên thông tin trong CSDL kiểm soát truy cập.

CSDL kiểm soát truy cập chứa gì?

Thể hiện trạng thái an toàn của hệ thống và chứa thông tin như quyền truy cập, thuộc tính an ninh.

Giám sát tham chiếu có vai trò gì?

Việc tham chiếu của từng thao tác từ chủ thể tới đối tượng cần được giám sát.

Hệ điều hành an toàn là gì?

Hệ điều hành mà việc thực thi truy cập thỏa mãn các yêu cầu của giám sát tham chiếu.

Bộ giám sát tham chiếu xác định gì?

Xác định các thuộc tính cần và đủ của bất kỳ hệ thống nào để thực thi hệ thống bảo vệ một cách an toàn.

Ngăn chặn hoàn toàn nghĩa là gì?

Cơ chế thực thi truy cập ngăn chặn toàn bộ các thao tác nhạy cảm với an ninh.

Chống xâm nhập nghĩa là gì?

Hệ thống đảm bảo có chế thực thi truy cập không thể bị sửa đổi bởi các tiến trình không tin cậy.

Xác minh được nghĩa là gì?

Cơ chế thực thi truy cập phải đủ nhỏ để có thể kiểm tra và phân tích.

Study Notes

Nội Dung Môn Học

• Bài giảng bao gồm tổng quan về an toàn hệ điều hành, các cơ chế an toàn phần cứng, an toàn các dịch vụ cơ bản của HĐH, các mô hình an toàn HĐH, và đánh giá an toàn HĐH.

Nội dung chương 1

• Chương 1 giới thiệu an toàn HĐH, các vấn đề về kiến trúc an toàn, chính sách an toàn và nhân an toàn.

1.1 Giới Thiệu An Toàn HĐH

Khái Quát Về Hệ Điều Hành

• Hệ điều hành (Operating system - OS) là một chương trình quản lý các tài nguyên phần cứng và phần mềm của một thiết bị tính toán theo định nghĩa của Wikipedia.
• Hệ điều hành cung cấp môi trường cho các chương trình ứng dụng hoạt động.
• Hệ điều hành cung cấp giao diện giữa người dùng và phần cứng máy tính/ thiết bị tính toán.
• Hệ điều hành cung cấp một số các dịch vụ và ứng dụng cơ bản cho người dùng (tùy chọn).

Một Số Họ HĐH Thông Dụng

• DOS bao gồm MS-DOS, PC-DOS, FreeDOS.
• Microsoft Windows bao gồm Windows 3.0, 3.1, Windows 95, 98, Me, Windows 2000, Windows NT 3, 4, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10, Windows NT 3, 4 Server, Windows 2000 servers, Windows 2003, 2008 servers, Windows 2003, 2008 R2 servers, Windows 2012, 2012 R2 server, Windows 2016, 2019 servers.
• Unix bao gồm System V, BSD, FreeBSD, OpenBSD, Solaris, OpenSolaris, illumos, HP Unix, IBM Unix.
• Linux gồm Debian Linux (Ubuntu, Kloppix, Linux Mint,...), RedHat Linux (RedHat Enterprise, Fedora, CentOS, Oracle Linux,...), SUSE Linux, OpenSUSE.
• MacOS là một họ HĐH thông dụng.
• HĐH di động, nhúng gồm Apple iOS, Android , ChromeOS, Raspberry Pi OS, Cisco IOS.
• HĐH ảo hoá gồm VMWare ESX, ESXI, Microsoft Hyper-V, Oracle VM Server.

Các Thành Phần Của HA

• Các thành phần chính của Microsoft Windows gồm Applications, DLLs, System Services, Login/GINA, Subsystem servers, Kernel32, Critical services, User32/GDI, User-mode, Kernel-mode, ntdll / run-time library, Trap interface / LPC, Security refmon, I/O Manager Memory Manger Procs & threads Win32 GUI, Net devices, File filters, Net protocols, File systems, Filesys run-time, Net Interfaces, Volume mgrs, Cache mgr, Device stacks, Object Manager / Configuration Management (registry), Kernel run-time / Hardware Abstraction Layer
• Các thành phần chính của HĐH dựa trên Linux gồm Interaction with HW, net, SHED,Kernel System Interfaces , libc, Linux Application Programming Interfaces (API), Enterprise, ide, MM, libcrypt, libdl, char , FS, block, libm, NET, sbus, IPC, scsi,Interrupts, ports, etc, atm , acpi , media , Kernel Subsystems and Modules, System Calls, libpthread, librt, libutil,LSB - Core API, GLIBC, LIBPAM,Other API, LIBZ, LIBNCURSES,Base Librarires, Other LibrariesApplications

Các Chức Năng Của HĐH

• Quản lý tiến trình (Process management).
• Quản lý bộ nhớ (Memory management).
• Quản lý đĩa và hệ thống files (Disk and file systems).
• Giao tiếp mạng (networking).
• Giao diện (đồ hoạ) người dùng.
• Các trình điều khiển thiết bị (device drivers).
• Các tính năng an toàn và bảo mật (Security).

Vấn đề Điều Phối Truy Cập Tài Nguyên

• Cần cung cấp cơ chế quản lý và sử dụng tài nguyên hiệu quả, xác định rõ phương thức cấp phát và giải phóng tài nguyên.
• Cần cung cấp cơ chế điều độ giữa các chương trình người dùng để đảm bảo việc sử dụng tài nguyên công bằng.
• Cần kiểm soát việc truy cập tài nguyên để chương trình người dùng không ảnh hưởng vô tình hoặc cố ý đến chương trình khác.
• Đảm bảo an toàn cho các chương trình chạy trong hệ thống.

Tổng Quan Về An Toàn Hệ Điều Hành

• Khái niệm: An toàn hệ điều hành là gì.
• Mục tiêu an toàn.
• Mô hình tin cậy.
• Mô hình đe doạ.
• Cơ chế an toàn.
• Theo techopedia.com, an toàn hệ điều hành (Operating System Security) là một tiến trình (process) nhằm đảm bảo tính bí mật, tính toàn vẹn và tính sẵn dùng của hệ điều hành.

Khái Niệm An Toàn Hệ Điều Hành Bao Gồm

• Các bước hoặc biện pháp cụ thể được dùng để bảo vệ HĐH khỏi các mối đe dọa, vi rút, sâu, phần mềm độc hại hoặc sự xâm nhập từ xa của tin tặc.
• Các kỹ thuật kiểm soát, phòng ngừa để bảo vệ mọi tài sản máy tính có khả năng bị đánh cắp, chỉnh sửa hoặc xóa.
• Các yếu tố giúp xây dựng hệ điều hành an toàn bao gồm mục tiêu an toàn, mô hình tin cậy, mô hình đe dọa và cơ chế bảo vệ.

Mục Tiêu An Toàn

• Xác định các thao tác có thể được thực hiện bởi hệ thống trong khi ngăn chặn truy cập trái phép (security goals).
• Xác định các yêu cầu mà thiết kế hệ thống cần phải thỏa mãn, và việc triển khai đúng đắn phải thỏa mãn các yêu cầu này.
• Cần thỏa mãn các thuộc tính an toàn HĐH: tính bí mật, tính toàn vẹn, và tính sẵn dùng.
• Truy cập hệ thống được mô tả bằng chủ thể (chương trình hay người dùng) có thể thực hiện các thao tác (đọc hay ghi) lên các đối tượng/khách thể (file hay socket).

Mô Tả Các Thuộc Tính An Toàn HĐH

• Tính bí mật giới hạn các đối tượng mà chủ thể có thể được truy cập.
• Tính toàn vẹn hạn chế các đối tượng mà chủ thể có thể ghi/sửa đổi để đảm bảo thao tác được thực hiện đúng đắn trong quan hệ với các thao tác của các chủ thể khác.
• Tính sẵn dùng hạn chế các tài nguyên mà các chủ thể có thể sử dụng do các chủ thể này có thể làm cạn kiệt các tài nguyên đó.
• Mục tiêu an toàn có thể được xây dựng dựa trên tính bí mật, như thực hiện trong mô hình bảo mật Bell-LaPadula (hạn chế rò rỉ thông tin thông qua biện pháp kiểm soát truy cập bắt buộc).
• Mục tiêu an toàn có thể được xây dựng dựa trên các chức năng thông qua nguyên tắc “Đặc quyền tối thiểu”, các chương trình chỉ được thực hiện các thao tác cần thiết cho hoạt động.
• Hạn chế chức năng không làm tăng tính an toàn của hệ thống mà chỉ làm giảm khả năng bị tấn công.

Mô Hình Tin Cậy

• Mô hình tin cậy (Trust model) của hệ thống định nghĩa tập phần mềm và dữ liệu mà hệ thống sử dụng để đảm bảo thực hiện chính xác các mục tiêu an toàn của hệ thống.
• Các phần mềm được sử dụng trong mô hình tin cậy được gọi là phần mềm tin cậy.
• Các phần mềm tin cậy bao gồm: phần mềm xác định các yêu cầu an toàn của hệ thống và phần mềm đảm bảo thực thi các yêu cầu này.
• Ví dụ về phần mềm tin cậy là các phần mềm đăng nhập, xác thực người dùng, truy cập tài nguyên.
• Người phát triển hệ điều hành an toàn phải chứng minh hệ thống của mình hỗ trợ mô hình tin cậy.
• Các phần mềm tin cậy phải thực hiện toàn bộ các thao tác nhạy cảm đảm bảo an toàn.
• Cần chứng minh tính đúng đắn của phần mềm và dữ liệu tin cậy.
• Việc thực thi của các phần mềm không bị phá vỡ bởi các chương trình không nằm trong các phần mềm tin cậy phải được chứng minh.
• Tính toàn vẹn của các phần mềm tin cậy phải được bảo vệ khỏi các mối đe dọa tới hệ thống.
• Nếu một phần mềm bị xâm nhập thì phần mềm đó không được tin cậy.

Mô Hình Đe Doạ

• Mô hình đe dọa (Threat model) xây dựng tập các thao tác mà người tấn công có thể dùng để vô hiệu hóa hệ thống.
• Tập các thao tác này không bị hạn chế theo nghĩa người tấn công có thể áp dụng bất cứ thao tác nào để xâm phạm mục tiêu an toàn của hệ thống.
• Nhiệm vụ của người xây dựng hệ điều hành an toàn là bảo vệ các phần mềm tin cậy khỏi các mối đe doạ trong mô hình đe dọa.
• Chương trình người dùng có thể không tin cậy song hệ thống có thể hạn chế việc nó truy cập tới dữ liệu nhạy cảm của hệ thống nhằm hạn chế rò rỉ hay sửa đổi các thông tin này.
• Mục tiêu an toàn cần được đảm bảo bất kể hành vi hay hoạt động của các chương trình người dùng.

Người Phát Triển Hệ Thống Phải

• Nhận biết được các mối đe dọa.
• Đánh giá ảnh hưởng của các mối đe doạ lên an toàn hệ thống.
• Cung cấp biện pháp phòng ngừa hiệu quả những đe dọa này.

Cơ Chế Bảo Vệ

• Cơ chế bảo vệ là cơ chế kiểm soát thực thi truy cập đến các tài nguyên hệ thống;
• Cụ thể là, cơ chế bảo vệ kiểm soát các chủ thể (subject) thực hiện các thao tác (operation) lên các đối tượng (object) trong hệ thống.

Các Vấn Đề Liên Quan Đến Hệ Thống Được Bảo Vệ

• Trạng thái bảo vệ mô tả các thao tác mà các chủ thể của hệ thống có thể thực hiện lên các đối tượng trong hệ thống.
• Tập các thao tác lên trạng thái bảo vệ làm thay đổi các trạng thái này.
• Hệ thống bảo vệ xác định các yêu cầu an ninh của hệ điều hành và thực hiện việc quản lý các yêu cầu này.
• Một số cơ chế, biện pháp bảo vệ và biểu diễn trạng thái bảo vệ: ma trận kiểm soát truy cập (Access Control Matrix – ACM), danh sách kiểm soát truy cập (Access Control List – ACL), và hệ thống bảo vệ bắt buộc.

Ma Trận Kiểm Soát Truy Cập

• Các trạng thái bảo vệ của hệ thống được biểu diễn bằng ma trận truy nhập được định nghĩa sử dụng tập các chủ thể S (User, Process,...), tập các đối tượng O (File, Folder, Process,...), và các thao tác được phép của chủ thể lên đối tượng Op (Read, Write,...).
• Ma trận kiểm soát truy cập cũng có thể được sử dụng để mô tả miền bảo vệ (protection domain).
• Miền bảo vệ bao gồm tập các đối tượng (tài nguyên) mà tiến trình có thể truy cập và các thao tác mà tiến trình có thể sử dụng để truy cập tới các đối tượng này.

Danh Sách Kiểm Soát Truy Cập

• Ma trận kiểm soát truy cập có thể là ma trận thưa với nhiều ô không có nội dung: chủ thể không có quyền truy cập đến đối tượng.
• Danh sách kiểm soát truy cập được sử dụng để tăng hiệu quả sử dụng bộ nhớ.

Hệ Thống Bảo Vệ Bắt Buộc

• Mô hình bảo vệ sử dụng ma trận kiểm soát truy cập làm nảy sinh vấn đề với an toàn hệ điều hành: Các tiến trình không tin cậy có thể xâm nhập hệ thống bảo vệ.
• Lợi dụng các thao tác lên trạng thái bảo vệ, tiến trình người dùng không tin cậy có thể sửa đổi ma trận truy nhập bằng cách thêm chủ thể, đối tượng mới, hoặc thực hiện các thao tác trên các ô của ma trận.
• Bài toán an toàn hệ thống yêu cầu không cho phép mọi truy cập trái phép xảy ra; cần triển khai Hệ thống bảo vệ bắt buộc.
• Hệ thống bảo vệ bắt buộc là hệ thống chỉ có thể được sửa đổi bởi người quản trị tin cậy thông qua phần mềm tin cậy.

Hệ Thống Này Gồm Các Trạng Thái

• Trạng thái bảo vệ bắt buộc, là trạng thái mà các chủ thể và các đối tượng được biểu diễn bằng các nhãn.
• Các trạng thái mô tả các thao tác mà các nhãn chủ thể có thể thực hiện lên các nhãn đối tượng.
• Trạng thái dán nhãn, dùng để ánh xạ các tiến trình và các đối tượng tài nguyên hệ thống tới các nhãn.
• Trạng thái dịch chuyển, mô tả cách thức hợp lệ mà các tiến trình và các đối tượng có thể được dán nhãn lại (thay đổi nhãn).
• Trong hệ điều hành an toàn, nhãn là các định danh khái quát.
• Việc gán quyền cho nhãn xác định ngữ nghĩa an toàn của chúng.
• Các nhãn này chống lại việc xâm nhập nhờ tập các nhãn này được xây dựng bởi người quản trị tin cậy sử dụng phần mềm tin cậy, và tập các nhãn không thay đổi được bởi các tiến trình không tin cậy của người dùng.

Hệ Thống An Toàn

• Người quản trị tin cậy xây dựng các nhãn của ma trận kiểm soát truy cập và xác lập các thao tác mà chủ thể với nhãn nhất định được phép thực hiện lên trên đối tượng với nhãn cho trước.
• Hệ thống này cho phép miễn nhiễm với các tiến trình không tin cậy vì tập các nhãn không thể thay đổi qua việc thực thi của các tiến trình người dùng.
• Có thể chứng minh được các mục tiêu an toàn được thực thi qua ma trận và trong suốt quá trình hoạt động của hệ thống.
• Hệ điều hành an toàn cần có khả năng gán các nhãn cho các chủ thể (tiến trình) và đối tượng được tạo ra trong quá trình hoạt động và thậm chí cho phép thay đổi nhãn.
• Trạng thái dán nhãn chỉ là quá trình gán các nhãn cho chủ thể và đối tượng mới.
• Khi newfile được tạo ra cần gán cho nó một nhãn trong trạng thái an toàn cụ thể là nhãn secret.
• Tiến trình newproc được gán nhãn unclassified.
• Ma trận truy cập cho thấy tiến trình mới newproc không có quyền truy cập vào file newfile mới được tạo ra.
• Trạng thái dịch chuyển cho phép hệ điều hành an toàn thay đổi nhãn của tiến trình (chủ thể) hay tài nguyên hệ thống (đối tượng).
• Với tiến trình, việc này làm thay đổi miền bảo vệ hay các tài nguyên được phép sử dụng.
• Việc này cần thiết khi xét đến khả năng một tiến trình kích hoạt chương trình khác chạy.
• Nhãn gắn với tiến trình cần thay đổi thể hiện các yêu cầu truy cập hay tin cậy trong môi trường (miền) mới.
• Trạng thái dịch chuyển phải được xác định bởi người quản trị tin cậy và không bị thay đổi trong quá trình thực thi hệ thống.

1.2 Các Vấn Đề Về Kiến Trúc An Toàn

Kiến Trúc An Toàn - Đặt Vấn Đề

• Xây dựng hệ thống máy tính cần phải cân đối rất nhiều các yêu cầu như tính năng, độ linh hoạt, hiệu năng, tính dễ dùng và chi phí.
• An toàn là một dạng yêu cầu khác, và nếu có xung đột các tính năng, an toàn phải cân đối với các tính năng khác tùy theo mức độ quan trọng với hệ thống.
• Kiến trúc an toàn là mô tả chi tiết toàn bộ các khía cạnh của hệ thống liên quan đến vấn đề an toàn cùng với các nguyên tắc thiết kế.
• Kiến trúc an toàn tốt giống như thiết kế tổng thể mô tả ở mức khái quát quan hệ giữa các bộ phận then chốt theo cách mà chúng phải thỏa mãn các yêu cầu về an toàn.
• Kiến trúc an toàn cần mô tả các chi tiết của quá trình xây dựng hệ thống mà qua đó các yêu cầu an toàn được đảm bảo.
• Tại thời điểm bắt đầu xây dựng hệ thống, kiến trúc an toàn có thể được mô tả bằng chính sách an toàn, mức độ đảm bảo mong muốn, tác động của an toàn lên quá trình xây dựng hệ thống, và các nguyên tắc hướng dẫn chung.
• Các kiến trúc an toàn cần phản ánh cấu trúc của hệ thống và mức độ chi tiết tăng dần theo các bước thiết kế.
• Kiến trúc an toàn cần đi trước một bước để định hướng cho việc hoàn thành công việc thiết kế.

Một Số Nguyên Tắc Kiến Trúc An Toàn

• Xem xét vấn đề an toàn ngay từ đầu.
• Lường trước các yêu cầu về an toàn.
• Giảm thiểu và cách ly các biện pháp an toàn.
• Thực hiện quyền tối thiểu.
• Giữ các tính năng an ninh thân thiện.
• An toàn không dựa trên tính bí mật.

Xem Xét Vấn Đề An Toàn Ngay Từ Đầu

• Coi trọng vấn đề an toàn ngang bằng như các tính năng vận hành của hệ thống và phải được tích hợp đầy đủ vào hệ thống.
• Thiếu quan tâm đến vấn đề an toàn sẽ dẫn đến việc không kiểm soát được các phí tổn để bổ sung các tính năng an toàn sau này.

Lường Trước Các Yêu Cầu Về An Toàn

• Kiến trúc an toàn cần có tầm nhìn xa, đề cập tới các tính năng an toàn tiềm năng thậm chí chưa có kế hoạch sử dụng ngay lập tức.
• Việc này làm tăng chi phí một chút cho việc nâng cao tính an toàn.
• Điểm then chốt cho việc gắn kết hợp lý các tính năng an toàn tương lai là việc hiểu rõ các yêu cầu về an toàn của hệ thống máy tính.
• Cần phải mô tả một cách tường minh nhất các yêu cầu trong tương lai này trong kiến trúc an toàn.
• Cần phải lường trước các yêu cầu an toàn không chỉ ảnh hưởng đến mức độ cần thiết làm hệ thống an toàn hơn trong tương lai mà còn giúp xác định liệu tính an toàn của hệ thống có thể được nâng cao hay không.
• Thay đổi trong chính sách an toàn có thể dẫn đến hậu quả tai hại với các ứng dụng đang hoạt động tốt mà nay có thể xung đột với chính sách mới.

Giảm Thiểu Và Cách Ly Các Biện Pháp An Toàn

• Để đạt được độ tin cậy cao về an toàn của hệ thống, người thiết kế cần giảm thiểu kích cỡ và độ phức tạp của các phần liên quan tới an toàn của thiết kế.
• Một lý do dẫn đến hệ điều hành không an toàn là kích cỡ quá lớn của chúng làm cho khó kiểm soát tổng thể hệ thống.
• Ngay cả với hệ thống phức tạp, phần cốt lõi liên quan đến an toàn nên có kích thước nhỏ và được định nghĩa rõ ràng.
• Điểm then chốt để giảm thiểu các bộ phận liên quan tới an toàn của HĐH là chỉ dùng số ít các cơ chế thực thi an toàn.
• Bắt buộc các hành động liên quan tới an toàn được giữ trong một số ít phần cách ly.
• Thực tế với hệ điều hành rất khó đạt được điều này do vấn đề an toàn liên quan tới rất nhiều chức năng khác nhau của hệ thống như quản lý file hệ thống, quản lý bộ nhớ...

Các Cơ Chế An Toàn

• Khi các cơ chế an toàn đơn giản, dễ nhận biết và được cách ly thì dễ dàng triển khai các cơ chế bảo vệ bổ sung để tránh các thiệt hại do lỗi phát sinh bởi các phần khác của hệ thống.
• Các đoạn mã liên quan đến an toàn có thể được bảo vệ chống ghi để không bị sửa đổi.

Thực Hiện Quyền Tối Thiểu

• Các chủ thể (người dùng hay tiến trình) cần được cấp quyền không hơn mức cần thiết để thực hiện công việc – gọi là quyền tối thiểu.
• Với quyền tối thiểu, thiệt hại do lỗi hay phần mềm xấu sẽ được giới hạn.
• Quyền được cấp có thể được thể hiện ở các cơ chế phần cứng hạn chế việc sử dụng các câu lệnh đặc biệt (lệnh vào ra) và truy cập tới các vùng ô nhớ.
• Quyền được cấp có thể được thể hiện ở các cơ chế phần mềm, cho phép chương trình người dùng qua các biện pháp kiểm soát truy cập hay thực thi các chức năng hệ thống.
• Quyền tối thiểu được thể hiện trong việc quản trị người dùng và hệ thống, người dùng và người quản trị không nên được cấp truy cập nhiều hơn với mức cần thiết để thực hiện công việc của họ.

Giữ Các Tính Năng An Ninh Thân Thiện

• Các cơ chế an toàn không được ảnh hưởng tới người dùng tuân thủ quy định.
• Cơ chế an toàn phải trong suốt với người dùng bình thường.
• Việc can thiệp vào công việc hàng ngày làm giảm năng suất và khiến người dùng tìm cách bỏ qua các cơ chế an toàn.
• Người dùng cần được đảm bảo cung cấp đủ truy cập khi cần thiết và tránh các thủ tục rườm rà, phức tạp.
• Thuận tiện cho người dùng để hạn chế các rủi ro do vô tình khi quản lý và cấp phát các quyền truy cập.

An Toàn Không Dựa Trên Tính Bí Mật

• Ngoại trừ việc quản lý mật khẩu, đích chính của kiến trúc an toàn tránh phụ thuộc vào tính bí mật để đảm bảo an toàn.
• Giả định rằng người dùng không thể bẻ khóa hệ thống vì không biết mã nguồn hay tài liệu về hệ thống là không an toàn.
• Việc công khai mã nguồn hệ thống có khả năng cải thiện tính an toàn nhờ có số lượng người dùng lớn hơn giúp phát hiện và sửa chữa các lỗi, khiếm khuyết.

1.3 Chính Sách An Toàn

• Chính sách an toàn (Security policy) mô tả các kiểm soát, hành động, và quy trình cần được thực hiện cho hệ thống thông tin.
• Các chính sách cần đề cập và xử lý các mối đe dọa tới hệ thống bao gồm cả con người, thông tin và tài sản cụ thể.
• Việc truy cập các tài nguyên hệ thống cũng như xử lý chúng chịu sự ràng buộc và hạn chế thể hiện trong các chính sách của cơ quan/tổ chức và do người quản trị thực thi thông qua các công cụ quản trị của hệ thống.
• Sự thành công của các biện pháp bảo vệ tài nguyên của hệ thống tùy thuộc vào các chính sách an toàn được xây dựng và thái độ quản lý với việc đảm bảo an toàn thông tin.

Các Loại Chính Sách ATTT

• Chính sách chung dùng để mô tả và xây dựng định hướng và tầm nhìn chung, xác lập mong muốn về việc bảo vệ các tài sản thông tin.
• Chính sách cho ứng dụng cụ thể hướng tới các ứng dụng cụ thể sau khi đã định hình được các yêu cầu và biện pháp đảm bảo an toàn cần thiết.
• Các chính sách an toàn cần được chuyển hóa thành các luật trong các bộ phận thực hiện chức năng kiểm soát truy cập tới các tài nguyên của hệ thống (hệ thống file, mạng, bộ nhớ...).
• Bộ phận kiểm soát cần thiết đánh giá và kiểm chứng xem các chính sách này có xung đột với nhau hay vi phạm các nguyên tắc an toàn chung của hệ thống hay không.

1.4 Nhân An Toàn

• Khái quát về nhân an toàn.
• Các yêu cầu an toàn.
• Giám sát tham chiếu.
• Định hướng xây dựng nhân an toàn.

Khái Quát Về Nhân An Toàn

• Nhân an toàn là phần cơ sở nền tảng có thể kiểm chứng được của hệ điều hành để đảm bảo an toàn cho hệ thống.
• Nhân an toàn được xác định bằng phần cứng và phần mềm cần thiết để thực thi các chính sách của hệ thống.
• Các quyết định truy cập được mô tả bởi các chính sách dựa trên các thông tin trong cơ sở dữ liệu về kiểm soát truy cập.

CSDL Về Kiểm Soát Truy Cập

• Thể hiện trạng thái an toàn của hệ thống.
• Chứa các thông tin như quyền truy cập và các thuộc tính an ninh.
• CSDL có thể được chỉnh sửa/cập nhật do các chủ thể và đối tượng được tạo và xóa cũng như quyền truy cập của chúng được sửa đổi.
• Yêu cầu tối quan trọng là giám sát việc tham chiếu của từng thao tác từ chủ thể tới đối tượng.
• Hệ điều hành an toàn là hệ điều hành mà việc thực thi truy cập thỏa mãn các yêu cầu của giám sát tham chiếu.
• Bộ giám sát tham chiếu xác định các thuộc tính cần và đủ của bất kỳ hệ thống nào để thực thi hệ thống bảo vệ một cách an toàn.

Các Thuộc Tính Của Bộ Giám Sát Tham Chiếu Đảm Bảo Yêu Cầu An Toàn

• Ngăn chặn hoàn toàn: hệ thống đảm bảo cơ chế thực thi truy cập ngăn chặn toàn bộ các thao tác nhạy cảm với an ninh.
• Chống xâm nhập: hệ thống đảm bảo có chế thực thi truy cập, kể cả hệ thống bảo vệ, không thể bị sửa đổi bởi các tiến trình (chương trình) không tin cậy.
• Xác minh được- Cơ chế thực thi truy cập, kể cả hệ thống bảo vệ, phải đủ nhỏ để có thể kiểm tra và phân tích.
• Tính đúng đắn của cơ chế thực thi truy cập có thể được đảm bảo, cho phép chứng minh hệ thống thực thi các mục tiêu an toàn một cách đúng đắn.

Giám Sát Tham Chiếu

• Giám sát tham chiếu (Reference Monitor) là cơ chế thực thi truy cập cổ điển.
• Khi có yêu cầu truy cập, bộ phận giám sát trả lời chấp nhận hay từ chối truy nhập dựa vào chính sách truy cập bên trong bộ giám sát.
• Bộ giám sát tham chiếu bao gồm ba phần: giao tiếp, mô-đun xác thực và kho chính sách.
• Giao tiếp xác định vị trí mà mô-đun xác thực được gọi.
• Mô-đun xác thực xác định các truy vấn chính xác cần được gửi tới kho chính sách.
• Kho chính sách trả lời các truy vấn dựa trên hệ thống bảo vệ mà nó duy trì.

Giám Sát Tham Chiếu - Giao Tiếp

• Giao tiếp xác định nơi mà các truy vấn/yêu cầu hệ thống bảo vệ được gửi tới bộ giám sát.
• Tất cả các thao tác nhạy cảm về an ninh được xác thực bởi cơ chế thực thi truy cập.
• Các thao tác nhạy cảm là các thao tác thực hiện trên một đối tượng cụ thể (file, socket...) có thể xâm phạm các yêu cầu an ninh của hệ thống.

Giám Sát Tham Chiếu - Mô-đun Xác Thực

• Mô-đun xác thực là bộ phận cốt lõi của bộ giám sát tham chiếu.
• Mô-đun xác thực nhận các tham số đầu vào từ giao tiếp như định danh tiến trình, tham chiếu đối tượng, tên lời gọi hệ thống và thực hiện truy vấn kho chính sách để trả lời về tính hợp lệ của truy vấn từ giao tiếp.
• Thách thức của mô-đun này là ánh xạ các định danh của tiến trình thành các nhãn chủ thể, các tham chiếu đối tượng thành các nhãn đối tượng và hoạt động cụ thể được chấp thuận.
• Với yêu cầu mở file (open), mô-đun cần nhãn chủ thể sinh yêu cầu, nhãn của đối tượng thư mục và trạng thái bảo vệ của yêu cầu (đọc hay ghi).

Giám Sát Tham Chiếu - Kho Chính Sách

• Kho chính sách là cơ sở dữ liệu gồm các trạng thái bảo vệ, các nhãn trạng thái và các trạng thái dịch chuyển.
• Các câu truy vấn có cấu trúc {nhãn chủ thể, nhãn đối tượng, tập thao tác} và trả về kết quả nhị phân (hợp lệ/không hợp lệ).
• Các truy vấn về việc dịch chuyển có dạng {nhãn chủ thể, nhãn đối tượng, tập thao tác, tài nguyên}.
• Các tài nguyên có thể là các thực thể hoạt động (bộ xử lý) hay thụ động (file).

Định Hướng Xây Dựng Nhân An Toàn

• Nhân an toàn là cách tiếp cận dựa trên giám sát tham chiếu, có kết hợp phần cứng và phần mềm để đảm bảo thực thi các chính sách an toàn của hệ thống .
• Giám sát tham chiếu đảm bảo việc giám sát mỗi truy cập từ các chủ thể khác nhau của hệ thống tới từng tài nguyên/đối tượng.
• Mục tiêu chính của hầu hết các nhân an toàn là kiểm chứng việc triển khai ở mức độ mã nguồn thỏa mãn các yêu cầu của nhân an toàn.
• Điều này dẫn đến ứng dụng các phương pháp chính tắc hay bán-chính tắc để kiểm chứng.
• Nhân an toàn là thành phần chịu trách nhiệm về an toàn, thường có kích thước nhỏ trong HĐH nhiều tính năng có kích thước lớn.
• HĐH cần được cấu trúc sao cho thành phần liên quan đến an toàn được tách ra thành phần nhân an toàn/tin cậy.

Phần Nhân An Toàn

• Phần nhân an toàn chịu trách nhiệm giám sát và thực thi các chính sách an toàn lên các hoạt động của HĐH cũng như người dùng.
• Phần nhân phải được bảo vệ một cách thích đáng (chống xâm nhập) và không thể bỏ qua các kiểm tra truy cập của nhân.
• Phần nhân cần phải nhỏ nhất có thể được để có thể xác minh tính đúng đắn của nó một cách dễ dàng.
• Nhìn chung, nhân an toàn giống HĐH sơ khai, thực hiện các dịch vụ phục vụ HĐH cũng như HĐH thực thi các dịch vụ phục vụ các ứng dụng.
• Ngay khi hệ điều hành thiết lập các hạn chế lên ứng dụng, nhân an toàn đặt ra các hạn chế với HĐH.
• Trong khi HĐH không đóng vai trò gì trong việc thực thi các chính sách an toàn được triển khai bởi nhân, HĐH cần giữ cho hệ thống hoạt động và ngăn chặn việc từ chối phục vụ do ứng dụng lỗi hay có mục đích xấu.
• Không lỗi nào trong ứng dụng cũng như trong hệ điều hành xâm phạm đến chính sách an toàn của nhân.