La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Principes généraux 1 INF6153 Version 2013-09-09.

Présentations similaires


Présentation au sujet: "Principes généraux 1 INF6153 Version 2013-09-09."— Transcription de la présentation:

1 Principes généraux 1 INF6153 Version

2 Exigences et technologie Les exigences de la sécurité et de lintimité ne sont pas précises et évoluent dans le temps Facteurs légaux, sociologiques, politiques, administratifs, … Les possibilités de la technologie sont aussi en évolution continue et cherchent à satisfaire ces exigences Il sagit dune poursuite sans cesse …dans laquelle la technologie est condamnée au rôle éternel de poursuivant … 2 INF6153

3 Les trois éléments de la sécurité des données Le triangle CID ou CIA Confidentialité Integrité Disponibilité (Availability) 3 DONNÉESs confidentialité integrité disponibilité INF6153

4 Contexte du cours: Les permissions sur le données Les propriétés CID ont beaucoup dimplications et leur assurance est une tâche complexe Dans ce cours, nous allons nous concentrer sur lassurance qui peut être obtenue avec le contrôle des permissions sur les données Que peut usager X faire avec les données? Essentiellement, voir le modèle UNIX-Linux: Lecture Écriture Exécution 4 INF6153

5 Permissions: autres possibilités Effacement – peut-il être considéré un cas décriture? Concaténation – aussi un cas décriture? Au lieu des données nous pouvons aussi considérer des entités physiques: Permission daccès à un local Permission dutiliser un objet (p.ex. un ordinateur) Mais notre cours est concentré sur le données, donc nous considérerons surtout les opérations sur les données: bases de données ou fichers 5 INF6153

6 Confidentialité Est implémentée en limitant laccès à certaines informations ou ressources La protection de la vie privée (aussi dite intimité ou privacy ) en est un aspect important 6 INF6153

7 Exemple militaire Les soldats ne peuvent pas lire les informations disponibles aux officiers, sauf autorisation INF Confidentialité Exemple hospitalier Une infirmière ne peut pas lire les informations concernant un patient dans un autre rayon

8 Besoin de savoir (Need to know) Dans une organisation, les employés doivent exécuter des séquences de fonctions (workflows) qui demandent laccès à différentes permissions à différentes étapes À chaque étape, chaque employé peut avoir besoin daccès à différentes permissions, selon ses besoins Ces permissions doivent être disponibles, sinon lorganisation ne peut pas fonctionner 8 Confidentialité INF6153

9 Principe du moindre privilège (Least Privilege) Lusager devrait avoir le moindre privilège possible, afin quil ne puisse pas abuser des permissions dont il na pas besoin Dans ce contexte, privilège=permission 9 Confidentialité INF6153

10 Principe dhigiène … Toucher le moins possible pour éviter la transmission de microbes … INF

11 Droit à lintimité (privacy) Chaque sujet a des informations quil ne veut pas divulguer À certains autres sujets, à personne? Le droit de contrôler laccès aux informations personnelles est partie de ce quon appelle: droit à l intimité Ceci évidemment nest quune partie de ce quon considère en général le droit à lintimité 11 Confidentialité INF6153

12 But (Purpose) Le concept de But a une fonction importante dans la protection de lintimité Une information pourrait être disponible, mais seulement pour certains buts P.ex. je donne mon adresse à Amazon.ca Amazon peut sen servir pour menvoyer des informations concernant mon ordre Ne devrait pas sen servir pour menvoyer des informations inutiles pour moi, ni la rendre disponible à autres organisations Sauf autorisation explicite de ma part Jautorise quune certaine information soit utilisée seulement pour certains buts INF

13 Intégrité Fiabilité des données Pas de changements inappropriés Source vérifiée (autentification) 13 INF6153

14 Exemple dentreprise Les agents de ventes peuvent écrire des données statistiques qui doivent être trasférées aux bureaux centraux sans être altérées Permission décriture aux niveaux inférieurs, défense décriture aux niveaux supérieurs Les directeurs peuvent créer des directives qui doivent être transférées aux agentes de vente sans être altérés Permission décriture aux niveaux supérieurs, défense décriture aux niveaux inférieurs 14 INF6153 Integrité

15 Exemple militaire Les officiers ont droit de écrire des ordres pour les soldats, lire leurs rapports, sans y écrire dessus Les soldats ont droit de lire les ordres des officiers, sans y écrire dessus écrire des rapports pour eux Cette idée sera développée plus tard 15 INF6153 Integrité

16 Disponibilité Capacité dutiliser linformation ou ressource désirée P.ex. les attaques de déni de service compromettent la disponibilité Dans un sens plus vaste, le manque dintégrité compromet aussi la disponibilité car une information qui nest pas intègre (effacée, abîmée …) nest pas disponible Peu de discussion dans ce cours sur la disponibilité 16 INF6153

17 Quelques définitions INF

18 Usagers et sujets Une distinction claire doit être faite entre usagers (personnes) et sujets informatiques (processus informatiques) Les sujets informatiques sont obligés de se comporter selon leurs programmes Les usagers, personnes ne le sont pas … Donc les principes étudiés dans ce cours sont surtout importants pour les sujets informatiques Les usagers humains ne peuvent pas être contraint au même point, mais sils ne suivent pas les règles ils pourraient être punis INF

19 19 Politiques et Règles Politique est un mot génériqu, très souvent utilisé On dit quune organisation a une politique de sécurité, ce qui dénote lensemble de critères ou principes utilisés dans lorganisation pour la sécurité Un de ces principes pourrait être : Il est essentiel de veiller à lintégrité des dossiers des étudiants Mais parfois on nomme politique une règle isolée de sécurité, p.ex. un étudiant ne peut pas modifier les fichiers des notes Donc une politique dans le premier sens est implantée par plusieurs (ou beaucoup de) politiques dans le deuxième sens Souvent on fait distinction entre Règles (politiques dans ce deuxième sens) Politiques: ensembles de règles INF6153

20 Politiques et Modèles Politique: principe de sécurité Normalement dhaut niveau, et informelle, pour toute une organisation Modèle: un système abstrait qui peut être utilisé pour implémenter des politiques 20 INF6153

21 Règles positives et négatives Règle positive: Pour telle demande, laccès est permis Joël peut accéder au laboratoire entre 10:30 et 14h dans les jours de travail Règle négative: Pour telle demande, laccès est interdit Joël ne peut pas accéder etc. 21 INF6153

22 Systèmes de politiques positives ou négatives Dans quelques systèmes, on na que des règles positives, autorisations Si un accès nes pas explicitement permis, il est défendu Dans dautre systèmes, il ny a que des règles négatives, interdictions Si un accès nest pas explicitement défendu, il est permis Les coupe-feu: ou firewalls utilsent des règles négatives Dans quelques systèmes, on peut avoir des mélanges de règles positives et négatives On peut donc avoir des problèmes dincohérence Règles positives et négatives pour un cas donné Ou des incomplétudes Aucune règle pour cas donné 22 INF6153

23 Concepts darchitecture 23 INF6153

24 Usager, sujet, opération, objet Le contrôle daccès traite de lautorisation à des usagers Ou considère aussi des sujets, qui sont des processus qui agissent pour les usagers Dexécuter des opérations (ou : actions) Sur des objets (ou : ressources) Le paire: est souvent appelé: permission Ou droit, privilège, autorisation … 24 INF6153

25 Sujet, permission 25 Sujet Opération Objet Permission INF6153

26 Architecture générale 26 Sujet Système de CdAr Objet Politiques, règles Requête Autorisation ou non INF6153

27 Schéma dutilisation dans le cas dautorisation positive 27 Sujet Système de Contrôle daccès Politiques de C.A. Execution de la requête Requête Interrogat. Résultat Opération Résultat INF6153

28 Première formalisation INF

29 Définition formelle Formellement, un système de contrôle daccès calcule une fonction: 29 F: S x P x E D Où: S est un sujet P est une permission demandée E est létat du système de contrôle daccès (incl. politiques) D est une décision: autorisé ou non INF6153

30 Définition formelle: raffinement Dans la formule: Nous avons vu quon peut raffiner la permission P en deux: lopération lobjet On peut aussi raffiner létat E en deux composantes létat interne du système de CdA, incl. politiques létat du contexte ou de lenvironnement Ex: temps: heure, jour, une situation durgence etc. 30 INF6153

31 Létat du système Le contexte Les domaines dexécution INF Nous resterons ici au niveau très général des exigences Nous verrons plus tard comment différentes modèles de CdA traiteront ces concepts

32 Évolution de laccès 32 Lemploiée exécute une tâche et à chaque étape a besoin davoir des permissions différents Létape est un exemple détat du système ou contexte Étapes dune tâche INF6153

33 Le concept de domaine ou session Un mécanisme pour représenter les changements dexigences de sécurité au fur et à mesure que des usagers passent à travers les étapes de leurs tâches P.ex. dans une banque, il a un processus qui consiste dune séquence de tâches pour lapprobation dun crédit Identification du client Vérification de son statut, son solde, etc. Vérification des garanties quil peut fournir Etc. Lemployé = usager, passe à travers ces différentes tâches, ou sessions, ou domaines Il devient à chaque tâche un sujet différent INF

34 34 Domaines dexécution: modèle abstrait Nous avons dans un systèmes des domaines dexécution qui déterminent ce quun usager peut faire quand il se trouve dans chaque domaine Limpression de O 4 peut être effectuée dans domaine D 2 ou D 3, pas D1 INF6153 Figures provenant de: A. Silberschatz et al: Principes des systèmes dexploitation, Vuibert

35 35 Changement de domaines dexécution À chaque moment dans son exécution, un usager se trouve dans un domaine dexécution En exécutant, un usager peut passer dun domaine à un autre Limpression de O 4 peut être effectuée dans domaine D 2 ou D 3, pas D1 INF6153

36 36 Réalisation de domaines Un sujet peut être associé à un domaine changement de domaine au moment de changement de sujet Un processus peut être associé à un domaine changement de domaine au moment de changement de processus Une procédure ou méthode peut être un domaine changement de domaine au moment de changement de procédure ou méthode NB: Processus, procédures etc, peuvent être considérés comme usagers abstraits INF6153

37 Les domaines sont des contextes Le domaine courant est un exemple détat du système ou contexte 37 INF6153

38 Quelques autres concepts INF

39 Administrateur du système Normalement une personne Il soccupe: Dimplémenter les politiques de sécurité dans un système De veiller à la bonne exécution du système Observer et réagir aux violations Exemple: Dans un hôpital, ladministrateur met en place des politiques assurant quun docteur ne peut consulter que les dossier de ses propres patients Cas durgence: un docteur est obligé de consulter le dossier dun patient quelconque Une alarme signale ce fait à ladministrateur Celui-ci autorise lexception, mais celle-ci est enregistrée et pourrait impliquer des conséquences 39 INF6153

40 Usager et sujet Ces deux termes sont parfois considérés être des synonymes, mais ceci peut varier selon le modèle théorique utilisé Plus précisement: Le mot usager est souvent utilisé pour parler dune personne physique Le mot sujet est souvent utilisé pour parler dune entité informatique, p.ex. un sujet peut être un programme Donc un usager peut créer des différents sujets, p.ex. changeant de session ou de domaine. 40 INF6153

41 Autres synonymes Objets, ressources … Fichier est un type dobjet ou ressource Droits, privilèges, authorisations, permissions … Tous ces termes pourraient avoir des significations un peu différentes selon le modèle de CdA 41 INF6153

42 Le rôle du système dexploitation Une fois laccès octroyé, qui gère les permissions pendant lexécution dun programme? Par exemple, le programme dAlice a reçu autorisation décrire sur un Fichier1, pas de le lire ou de lexécuter Un programme de Bob a reçu autorisation de lire ou exécuter Fichier1, pas de lécrire Cest le système dexploitation qui a la responsabilité dassurer que les données soient utilisées comme déterminé par le système de contrôle daccès INF

43 Solution au niveau des Systèmes dexploitation Dans les systèmes dexploitation, on a inventé des solutions efficaces pour faciliter la vérification du contrôle daccès Au premier accès, il est tolérable de devoir passer à travers des mécanismes pour déterminer quels sont les privilèges dun sujet sur un objet Pour les accès suivants, il est normalement souhaitable que ceci soit fait très rapidement 43 INF6153

44 44 Solution classique pour les accès en mémoire virtuelle 44 W R, X Segment Fichier1 Processus Alice Processus Bob Descripteurs Segment Fichier2 R X

45 Solution classique pour les accès en mémoire virtuelle 45 W R, X Segment Fichier1 Processus Alice Processus Bob Quand les processus et les fichiers sont liés ensemble en mémoire virtuelle, pour chaque processus, un tableau de segments est créé avec un descripteur pour chaque segment de données utilisé par le processus. Chaque descripteur dit quelles sont les autorisations du processus sur ses segments. Au moment de lexécution dune instruction, lUnité Centrale utilise le contenu des descripteurs pour trouver ladresse en mémoire à adresser. Elle utilise aussi le descripteur pur déterminer quels sont les droits de chaque processus sur les données adressées. Un proc qui cherche à adresser une donnée pour laquelle il nest pas autorisé subit une interruption. Descripteurs Le processus Alice peut écrire Fichier 1 exécuter Fichier 2 Le processus Bob peut lire ou exécuter Fichier1 Lire Fichier 2 Segment Fichier2 R X

46 Donc utilisant des mécanismes de matériel et de système dexploitation, il est possible de rendre très efficace la vérification de lautorisation daccès pendant lexécution dun programme INF

47 INF Dépendances

48 Les fonctionnalités définies dans le contrôle daccès dépendent du fonctionnement correct dautres fonctionnalités ailleurs, par exemple: Le contrôle daccès peut avoir un mécanisme pour donner lautorisation deffectuer un read sur un fichier Si un usager peut obtenir linformation dune autre manière, ceci est inutile! Si lusager qui veut la permission de lire nest pas la personne quil dit être, ceci est aussi inutile INF

49 Couches de fonctionnalités INF Lorganisation en couches de fonctionnalités est classique en informatique pour limiter la complexité des interconnections entre parties dun logiciel

50 Couches de fonctionnalités pour la protection des données Couche 1: Chiffragre Couche 2: Contrôle didentité Couche 3: Contrôle daccès Couche 4: Contrôle de flux Couche 5: Protection de lintimité 50 INF6153

51 Autrement dit … INF Chiffrage Protection Intimité Contrôle de flux Contrôle dAccès Contrôle dIdentité

52 Couche 1: Chiffrage La couche la plus basse Sans le chiffrage il ny a pas sécurité des données Ses services sont utilisés par tous les mécanismes de sécurité et protection de lintimité Directement ou indirectement Nutilise pas les autres couches Dans cette couche il y a aussi les protocoles de sécurité qui gèrent ou utilisent le chiffrage 52 INF6153

53 Chiffrage: beaucoup dapplications Une multitude de principes et méthodes sont reliés à la couche chiffrage: Cryptographie, gestion des clés, etc. Ces sujets ne seront pas discutés dans ce cours Voir les cours suivants: INF6103: Analyse et conception des protocoles de sécurité INF6163: Introduction à la cryptographie 53 INF6153

54 Couche 2: Contrôle didentité et Gestion de lidentité Dans cette couche on établit les sujets qui participent au système La couche 2 utilise les services de la couche 1 P.ex. normalement les mots de passe sont chiffrés Cette couche aussi est en dehors de la portée de ce cours 54 INF6153

55 Identification, authentification On appelle identification laction de sidentifier: Je mappelle Alice Typiquement, le nom dusager On appelle authentification laction de vérifier que en fait lidentification est correcte Typiquement utilisant mot de passe, Aussi: Questions de vérification, examen de liris, analyse du rythme de frappe,,, 55 INF6153

56 Couche 3: Contrôle daccès On soccupe ici des permissions à accéder à certaines ressources pour certaines opérations Jacques, peut-il écrire sur le fichier des salaires? Dr. Émond, peut-il utiliser les rayons X, et à quelle heure, quels jours? Un préposé aux prêts, peut-il faire accès aux comptes des cartes de crédits? 56 INF6153

57 Couche 4: Contrôle de flux Dans cette couche nous nous préoccupons de comment les informations peuvent passer dun usager à un autre par effet de séquences de lectures-écritures Si A peut écrire sur X et X peut être lu par B, qui peut écrire sur Y, etc., des infos peuvent être passées dans cette chaîne. A X B D Y Écriture Lecture directe Lecture indirecte INF

58 Implémentation du contrôle de flux Le contrôle de flux peut être implémenté avec le contrôle daccès P.ex. étant donné quon veuille empêcher le transfert dinfos entre A et D, placer des contraintes de contrôle daccès appropriées entre les deux Cependant ceci est difficile, car les décisions de contrôle daccès peuvent être réparties dans un système On a pensé aussi à dautres mécanismes comme étiqueter les données À discuter plus tard 58 INF6153

59 Couche 5: Protection de lintimité (privacy) Étant donné que A souhaite que certaines de ses informations personnelles ne soient pas connues par D, comment placer des contrôles de flux pour empêcher ce transfert dinformations P.ex. mon patron ne devrait pas voir les photos de mes vacances – mes amis, oui Ceci est donc un contrôle de flux avec la connaissance ultérieure de certaines classifications dinformations (photos des vacances) et relations entre sujets (mon patron) 59 INF6153

60 Dans le reste du cours, nous dévélopperons surtout les concepts des couches 3 et 4: Contrôle daccès Contrôle de flux INF

61 61 INF6153

62 Liste de symboles utiles ¬ 62 Ce transparent est ici surtout pour nous fournir quelques symboles à copier-coller Cependant si vous ne connaissez pas la majorité de ces symboles … probablement vous navez pas les connaissances pour ce cours …car la plupart seront utilisés sans explications INF6153


Télécharger ppt "Principes généraux 1 INF6153 Version 2013-09-09."

Présentations similaires


Annonces Google