I. Giới thiệu và đặt vấn đề
Các hệ thống phần mềm hiện đang được sử dụng rộng rãi trong nhiều lĩnh vực, mang lại lợi ích to lớn nhưng cũng tiềm ẩn nhiều rủi ro về an ninh phần mềm. Đặc biệt, các hệ thống web thường xuyên đối mặt với các cuộc tấn công và vi phạm truy cập. Điều khiển truy cập là một trong những biện pháp hiệu quả để ngăn chặn các vi phạm này. Tuy nhiên, việc triển khai chính sách điều khiển truy cập trong các hệ thống phần mềm thường gặp phải các lỗi, đặc biệt là ở giai đoạn lập trình. Những lỗi này nếu không được phát hiện sớm sẽ dẫn đến chi phí sửa chữa cao và hậu quả nghiêm trọng. Do đó, kiểm chứng chính sách điều khiển truy cập từ mã nguồn là một nhiệm vụ quan trọng, giúp đảm bảo tính chính xác và nâng cao chất lượng phần mềm.
1.1. Vấn đề an ninh trong hệ thống phần mềm
Các hệ thống phần mềm, đặc biệt là các hệ thống web, thường xuyên bị tấn công và khai thác tài nguyên trái phép. An ninh phần mềm trở thành một vấn đề cấp thiết, đòi hỏi các biện pháp bảo vệ hiệu quả. Điều khiển truy cập là một trong những giải pháp quan trọng để hạn chế các vi phạm truy cập, đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của hệ thống.
1.2. Tầm quan trọng của kiểm chứng chính sách
Việc kiểm chứng chính sách điều khiển truy cập giúp phát hiện sớm các lỗi trong quá trình triển khai, đảm bảo rằng hệ thống tuân thủ đúng các yêu cầu an ninh đã đặc tả. Điều này không chỉ giảm thiểu chi phí sửa chữa mà còn nâng cao chất lượng và độ tin cậy của phần mềm.
II. Phương pháp kiểm chứng chính sách điều khiển truy cập
Luận án đề xuất các phương pháp kiểm chứng chính sách điều khiển truy cập dựa trên kỹ thuật phân tích tĩnh để đảm bảo tính chính xác của việc triển khai chính sách trong các hệ thống web. Các phương pháp này tập trung vào việc kiểm tra sự phù hợp giữa chính sách đã triển khai và chính sách đã đặc tả, đặc biệt là trong các hệ thống web được xây dựng bằng ngôn ngữ Java theo kiến trúc MVC.
2.1. Kiểm chứng chính sách RBAC
Phương pháp kiểm chứng chính sách điều khiển truy cập theo vai trò (RBAC) được đề xuất dựa trên việc phân tích các phương thức khai thác tài nguyên, xây dựng danh sách quyền và đồ thị khai thác tài nguyên. Một ma trận kiểm soát truy cập được sử dụng để biểu diễn các quy tắc truy cập, và thuật toán kiểm tra sự phù hợp giữa ma trận này và chính sách đã đặc tả được phát triển. Công cụ CheckingRBAC được xây dựng để hỗ trợ quá trình kiểm chứng tự động.
2.2. Kiểm chứng chính sách ABAC
Phương pháp kiểm chứng chính sách điều khiển truy cập theo thuộc tính (ABAC) tập trung vào việc trích rút và phân tích các quy tắc truy cập từ mã nguồn. Các thuật toán kiểm tra tính bảo mật, toàn vẹn và sẵn sàng của chính sách được đề xuất. Công cụ APVer được phát triển để thực hiện quá trình kiểm chứng tự động, đảm bảo tính chính xác của chính sách truy cập trong hệ thống.
III. Đánh giá và ứng dụng thực tiễn
Các phương pháp và công cụ đề xuất trong luận án đã được thử nghiệm trên hệ thống quản lý hồ sơ y tế, cho kết quả kiểm chứng chính xác như dự kiến. Điều này chứng tỏ tính hiệu quả và khả năng ứng dụng thực tiễn của các phương pháp này trong việc đảm bảo an ninh phần mềm và kiểm soát truy cập.
3.1. Kết quả thử nghiệm
Các công cụ CheckingRBAC và APVer đã được thử nghiệm trên hệ thống quản lý hồ sơ y tế, cho thấy khả năng phát hiện chính xác các lỗi trong việc triển khai chính sách điều khiển truy cập. Kết quả thử nghiệm khẳng định tính hiệu quả của các phương pháp đề xuất.
3.2. Ứng dụng thực tiễn
Các phương pháp và công cụ này có thể được áp dụng rộng rãi trong các hệ thống phần mềm, đặc biệt là các hệ thống web, để đảm bảo tính bảo mật và tuân thủ các yêu cầu an ninh. Điều này góp phần nâng cao chất lượng và độ tin cậy của các sản phẩm phần mềm trong thực tế.
