Modèles Principaux de contrôle d’accès

Slides:



Advertisements
Présentations similaires
Modèles Principaux de contrôle d’accès
Advertisements

Auteur : Patrice LEPISSIER Le système comptable  Obligations légales Obligations légales  Organisation comptable Organisation comptable  Plan comptable.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.
1- Introduction 2ème partie Modèle Conceptuel des Données 2- Entités- Associations 4- Associations plurielles 3- Cardinalités 5- Associations réflexives.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Les outils de veille Par Andrée-Anne Bernier. Whole food Market J’ai choisi Whole Food Market, une entreprise d’alimentation biologique, végétalienne,
ANNEE ACADEMIQUE Institut Supérieur Emmanuelle D’Alzon de Butembo COURS: THEORIE DE BASE DE DONNEES : 45H PROMOTION: G2 Gestion Informatique.
La Messagerie Électronique Production Yahya+wassim Classe 8b1.
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
Système d’annotation et de détection de modèle de véhicule Université de Sfax *** Institut Supérieur d’Informatique et de Multimédia de Sfax Réalisé par.
Concepts pour le contrôle de flux
Initiation à la conception des systèmes d'informations
L’ordinateur et ses composants
21/10/2017 L’organisation et la gestion des fichiers sur le site collaboratif MartineCochet 2SitePleiadeGestionFichier.
Eric b, emmanuel l, damien t
De l’analyse des données à l’exploration des données
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Mise en place d’un système de partage de fichiers
COMPLÉMENTS SUR LES MARÉES
Environnement du développement de BD ORACLE REPORTS 10g
Introduction aux Systèmes de Gestion de Bases de données
et fiche pour mieux vous connaître
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Un outil industriel CA-RCM
Qualité de Web Services (QoS ou QdS)
Structure organique des entreprises
Systèmes de contrôle d’accès aux données
Base de données: Généralité IFT6800 Jian-Yun Nie.
Présentation du site
Mesure SAP Guide rapide pour réaliser une mesure de système
Identication & Authentication
Questions 1- Qu'est ce qu'un réseau informatique ?
Module 5 : Gestion des disques.
Les interfaces en PHP.
Programmation système
Chapitre 7 Configuration de l'environnement du bureau
Août 2009.
1 La gestion par activités (ABM) pour mieux gérer les coûts et les processus dans l’organisation. S o l u t i o n s `
Questions Qu'est ce qu'un réseau informatique ?
GROUPE IMMOBILIER RIFPROJET
Principes généraux des systèmes de contrôle d’accès
Le jeu de la bière en réseau
Introduction en systèmes d’information et bases de données B.Shishedjiev -Introduction en BD 1.
Bases de données sous Access. Initiation aux bases de données  Structure d’une base de données.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Chapitre2: SGBD et Datawarehouse. On pourrait se demander pourquoi ne pas utiliser un SGBD pour réaliser cette structure d'informatique décisionnelle.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
Gestion des photos Organisation du disque dur, Navigation
Structure organique des entreprises
La sécurité et le rôle du chef d’établissement
La gestion des habilitations par le partenaire
Les classes et les objets
Macro - I Programme d'évaluation du secteur financier et indicateurs de solidité financière.
Kit de formation multimedia
MAC Mandatory Access Control Contrôle d’accès obligatoire (Méthodes de contrôle de flux) INF6153.
Information, Calcul, Communication
Bases – Banques Entrepôts de données
Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.
Les conventions comptables : Effet sur les états financiers
5.6 Documentation du SCI Certains documents doivent être gardés chez chaque paysan ainsi qu’au bureau du SCI (tel que prescrit par le Manuel du SCI:
Présentation du site Martine Cochet.
Le jeu de la bière en réseau
* * SE CONNECTER À MON COMPTE PARTENAIRE POUR UN BAILLEUR (1/4)
Qu’est ce qu’une page web? Comment fonctionne un site web?
DONNÉE DE BASE QM Manuel de formation. Agenda 2  Introduction  Objectif de la formation  Données de base QM: Caractéristique de contrôle Catalogue.
Role-Based Access Control (RBAC) Les permissions d’administration
Role-Based Access Control (RBAC) Contrôle d’accès basé sur les rôles
1 L ’ÉVALUATION DES ACTIONS ORDINAIRES: Il existe 2 méthodes pour effectuer l ’analyse d ’une action et faire une prévision: L ’analyse fondamentale: utilise.
Transcription de la présentation:

Modèles Principaux de contrôle d’accès ACM, DAC, MAC, RBAC, ABAC http://w3.uqo.ca/luigi/INF6153/index.html INF6153

Dans la leçon d’aujourdh’hui Nous donnerons un coup d’oeil général sur les principales techniques de contrôle d’accès que nous étudierons dans le reste du cours Chacune des techniques que nous mentionnerons aujourd’hui sera étudiée en détail plus tard Nous discuterons les techniques dans l’ordre historique de leur évolution, qui est aussi un ordre logique: Historiquement, on a commencé par des techniques simples et on a évolué vers des techniques plus complexes Cependant toutes les techniques mentionnées sont encore utilisées aujourd’hui, parfois en combinaison. INF6153

Rappel: ‘Politiques’ de Cd’A: Une politique de contrôle d’accès est une règle ou un ensemble de règles de Cd’A dans une organisation On parle parfois d’une seule politique pour toute l’organisation Dans ce cas, la politique est normalement implémentée par plusieurs règles Mais parfois on appelle ‘politique’ une règle particulière INF6153

Politiques à différents niveaux d’abstraction Plus abstrait: “Notre compagnie assure la plus haute confidentialité concernant les données personnelles de ses clients” Moins abstrait: “Une fois une transaction terminée, toutes les données personnelles du client seront disponibles seulement après autorisation spéciale d’un chef de département” Encore plus concret (en effet, une règle de Cd’A) “Si un employé demande de lire le numéro de carte de crédit d’un client passé, cette requête sera niée” Clairement, nous pourrons avoir plusieurs autres niveaux INF6153

Modèles de CA Les modèles de contrôle d’accès décrivent des systèmes abstraits pour l’implémentation de politiques de contrôles d’accès Cinq modèles de contrôle d’accès ont été particulièrement développés dans la pratique et dans la théorie Matrices de contrôle d’accès: ACM Contrôle d’accès discrétionnaire: DAC Contrôle d’accès obligatoire: MAC et LAC Contrôle d’accès basé sur les rôles: RBAC Contrôle d’accès basé sur les attributs: ABAC Chacun de ces modèles connaît nombreuses variations, adaptations et implémentations INF6153

Autres modèles: théorie et pratique La théorie et la pratique du contrôle d’accès est un sujet très actif de recherche depuis les années 1970 Un grand nombre de modèles ont été développés en théorie depuis cette époque Le développement des besoins de sécurité Ainsi que le développement des techniques informatiques Ont motivé cette évolution Aussi, les compagnies de logiciels ont fourni des produits puissants qui ont parfois anticipé la théorie et fourni des variations à ce que la théorie avait prévu Dans ce cours, nous étudierons seulement les modèles principaux Les pointes des icebergs … INF6153

Contrôle d’accès dans outils spécifiques Une méthode souvent utilisée est d’associer des fichiers à des outils P.ex. à l’UQO les professeurs et les étudiants ont accès à Moodle Ceux qui peuvent s’identifier par rapport à Moodle (id et mot de passe) ont accès aux fichiers de Moodle – mais pas tous! Ces outils, tel que Moodle, contiennent des systèmes de contrôle d’accès qui déterminent qui a accès à quoi Qui peut seulement lire, qui peut lire ou écrire, quelles infos … Le centre d’informatique est responsable de la gestion de l’Identification et des permissions d’accès INF6153

Contrôle de flux et contrôle d’accès Les méthodes de contrôle de flux se préoccupent surtout de contrôler le flux des données dans les organisations Flux direct ou indirect Elles visent à contrôler le flux en contrôlant la lecture et l’écriture Dans cette catégorie nous avons les modèles MAC et LAC Première partie du cours Les méthodes de contrôle d’accès se préoccupent surtout de contrôler l’accès des sujets aux objets Les objets peuvent être des bases de données, mais aussi des outils, des locaux etc. Elles peuvent aussi contrôler la lecture et l’écriture, mais le contrôle de flux n’est pas évident dans ces méthodes Dans cette catégorie nous avons les modèles RBAC, ABAC, etc. Deuxième partie du cours INF6153

ACM: Matrices de contrôle d’accès INF6153

ACM: Matrices de contrôle d’accès Le modèle le plus traditionnel et encore souvent utilisé Il utilise simplement des listes d’usagers avec indication de tous les permissions de contrôle d’accès pour chaque usager Les permissions sont donnés et modifiés par les administrateurs de la sécurité de l’organisation, suivant la politique de l’organisation INF6153

ACM: Matrices de contrôle d’accès Fichier Salaires Fichier Impôts Programmes impôts Imprimante P1 Alice Lire, Écrire Exécuter Écrire Bob Lire Jean INF6153

Critique d’ACM + Permet de spécifier un contrôle d’accès très détaillé – Difficile à gérer, car les usager et les objets doivent être considérés individuellement Surtout dans les grandes organisations Milliers d’usagers et objets P.ex. chaque fois qu’un usager change de poste dans l’organisation, il faut s’assurer de lui enlever et ajouter individuellement toute une série de permissions Lesquelles exactement? – Problème de garder cohérentes les listes des permissions et d’accès INF6153

DAC: Discretionary Access Control DAC est une extension du modèle ACM et il utilise les matrices de contrôle d’accès Dans DAC, pour chaque objet il y a un ‘propriétaire’ Le propriétaire détermine qui a quelles permissions par rapport aux objets dont il es propriétaire Nous pouvons aussi avoir des méthodes de transfert de droits d’accès P.ex. les droits d’accès ou même la propriété peuvent être transférés INF6153

– Mais il ne les protège pas par rapport à des transferts imprévus Critique de DAC + DAC est très flexible du point de vue des propriétaires des données – Mais il ne les protège pas par rapport à des transferts imprévus Je transfère à Alice qui puis transfère à Ben, etc. … – Ignore le fait que souvent dans une organisation le propriétaire d’une donnée n’est pas celui qui l’a créée – Il est complexe à gérer dans des organisations où il y a beaucoup de propriétaires et beaucoup d’objets à protéger INF6153

MAC: Mandatory Access Control Dans MAC, les usagers ne sont pas propriétaires des objets L’accès aux objets est sujet à des règles fixes que les usagers ne peuvent pas modifier On suppose des classifications fixes des usagers et objets Les permissions des sujets sont déterminés par des règles qui sont en fonction de ces classifications INF6153

MAC: Mandatory Access Control Exemple de MAC: Classifier les usagers et les objets dans des classes de confidentialité (Très sécret, Sécret, Confidentiel …) Fixer la règle qu’un usager à un certain niveau ne peut pas lire un objet classifié à un niveau supérieur P.ex. un soldat simple, étant au niveau ‘Confidentiel’ ne peut pas lire des informations classifiées ‘Secret’ INF6153

MLS: Multi-Level Systems MAC est souvent considéré synonyme avec MLS Dans MLS nous avons des classifications hiérarchiques fixes d’usagers et d’objets Comme dans l’exemple précédent Mais ces classifications peuvent être plus complexes, nous verrons On parle aussi de LBAC, Lattice-Based Access control, nous verrons INF6153

Critique de MAC-MLS-LBAC + Très approprié dans les contextes où les classifications fixes par niveaux de sécurité sont possibles + S’occupe non seulement du contrôle d’accès, mais aussi du contrôle de flux – Rigide, appropriée pour les organisations où le besoin de la sécurité est très stricte – Dans la plupart des organisations, nous avons besoin de classifications plus souples INF6153

RBAC: Role-Based Access Control Dans la plupart des organisations, les usagers sont classés dans des rôles: P.ex., rôles à l’UQO: Recteur, vice-recteurs, doyens, directeurs de services, directeurs de départements, directeurs de programmes et modules, professeurs, étudiants Les usagers sont affectés à des rôles et les permissions des usagers sont déterminés par le(s) rôles auxquels ils appartiennent INF6153

Critique de RBAC + Approprié aux organisations de structure assez fixe et hiérarchiques: Surtout banques, finances et gouvernement + Probablement la méthode la plus largement utilisée dans les grandes entreprises + Peut simuler DAC, MAC (mais avec difficulté …) ± Nombreuses variations, pour l’adapter à différents besoins – Peu approprié pour les organisations très dynamiques ou qui suivent des autres modèles, p.ex. réseau INF6153

ABAC: Attribute-Based Access Control Dans ABAC, chaque usager et objet a des attributs On peut considérer aussi des attributs d’environnement (p.ex. l’heure, le placement dans l’espace …) Les décisions de contrôle d’accès sont prises en fonction de ces attributs INF6153

Critique de ABAC + Très flexible – Difficile de déterminer en principe qui a droit à quoi – Difficile de bien saisir les implications dérivant des changements d’attributs Si un des attributs d’un usager change, quels seront ses nouvelles permissions, quelles permissions perdra-t-il? Difficile à gérer pour l’administrateur de la sécurité INF6153

Modèles hybrides Il est parfois possible de combiner les caractéristiques de différents modèles Les modèles qui font ceci sont appelés modèles hybrides Cependant, en faisant ceci, il est important d’éviter que les modèles se ‘cassent’ l’un l’autre Problème d’interaction de fonctionnalités INF6153

Dans le reste du cours … Nous donnerons une présentation plus détaillée de chacune des techniques que nous venons de discuter Plus quelques autres évidemment INF6153

Connaître les différents modèles … … Nous avons fait de vous des nations et des tribus, afin que vous connaissiez vos différences… Coran interprété: 49, 13 يَا أَيُّهَا النَّاسُ إِنَّا خَلَقْنَاكُم مِّن ذَكَرٍ وَأُنثَىٰ وَجَعَلْنَاكُمْ شُعُوبًا وَقَبَائِلَ لِتَعَارَفُوا ۚ إِنَّ أَكْرَمَكُمْ عِندَ اللَّهِ أَتْقَاكُمْ ۚ إِنَّ اللَّهَ عَلِيمٌ خَبِيرٌ [الحجرات : 13] INF6153