An ninh bảo mật - Chương 2: Cơ chế đảm bảo an toàn cơ bản

Gv: Nguyễn Phương TâmChương 2 CƠ CHẾ ĐẢM BẢO AN TOÀN CƠ BẢNMột số cơ chế bảo vệ tài nguyên ở mức hệ điều hành.Các cải tiến đối với cơ chế an toàn cơ bản dành cho hệ điều hành.Các cách làm cho hệ điều hành an toàn.Chuẩn an toàn DoD.MỤC TIÊU Phương Tâm2.1 Môi trường an toàn hệ điều hành2.2 Các phương thức xác thực2.3 Bảo vệ bộ nhớ2.4 Kiểm soát truy nhập tài nguyên2.5 Các cơ chế kiểm soát luồng2.6 Sự cách ly2.7 Các chuẩn an toànNỘI DUNG Phương Tâm2.1.1 Khái niệm về hệ điều hànhHệ điều hành là một chương trình chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và tài nguyên phần mềm trên máy tính. Hệ điều hành đóng vai trò trung gian trong việc giao tiếp giữa người sử dụng và phần cứng máy tính, nó cung cấp một môi trường cho phép người sử dụng phát triển và thực hiện các ứng dụng một cách dễ dàng.2.1 Môi trường an toàn của hệ điều hành Phương TâmCác ứng dụngHệ điều hànhChương trình dịch hợp ngữChương trình cơ sởPhần cứngHình 2.1 Các mức trừu tượng của hệ thông máy tính2.1 Môi trường an toàn của hệ điều hànhCác mức trừu tượng của một hệ thống máy tínhCPUBộ nhớCác thiết bị nhập xuấtLà phần mềm hệ thống trong ROM được nạp cố định trong bộ nhớ – không thể thay đổi được.Assembler – dùng để dịch từ hợp ngữ sang ngôn ngữ máyĐiều khiển và phối hợp việc sử dụng tài nguyên cho những ứng dụng khác nhau của nhiều người sử dụng khác nhau Phương Tâm2.1.1 Khái niệm về hệ điều hànhHệ điều hành quản lý tất cả tài nguyên hệ thống (bộ nhớ, các file, thiết bị vào/ra, bộ xử lý) và tối ưu hoá việc sử dụng tài nguyên cho các chương trình ứng dụng khác nhau.2.1 Môi trường an toàn của hệ điều hành Phương Tâm2.1.2 Các chức năng của hệ điều hànhQuản lý tiến trình và bộ xử lý:Hỗ trợ các tiến trình đồng thời của người dùng và hệ thốngĐảm bảo tối đa hiệu năng sử tài nguyên hệ thốngQuản lý tài nguyênOS cấp phát các tài nguyên hệ thống như: bộ nhớ, file, thiết bị vào/ra cho ứng dụngOS giải quyết vấn đề xung đột giữa các tiến trình sử dụng chung tài nguyên. Phương TâmVấn đề tương tranhGiả sử 2 tiến trình P1 và P2 cùng chia sẻ một vùng nhớ chung, chứa biến x (lưu thông tin một tài khoản). x=800.2 tiến trình cùng muốn rút tiền từ tài khoản: If (x – 500 >= 0) If (x – 400 >= 0) x := x - 500 x := x - 400Kết quả x=? Phương TâmGiám sát:OS tương tác trực tiếp với các chương trình ứng dụngHỗ trợ thực hiện các ngôn ngữ ứng dụng khác nhauKiểm soát các chương trình đang chạy, không cho phép sử dụng trái phép tài nguyên hệ thốngChống can thiệp trái phép vào các vùng nhớ2.1.2 Các chức năng của hệ điều hành Phương TâmNhận xét: Hệ điều hành không ngừng phát triển từ một chương trình đơn giản đến các hệ thống phức tạp, hỗ trợ kiến trúc đa nhiệm, đa xử lý, phân tán và xử lý thời gian thực.2.1.2 Các chức năng của hệ điều hành Phương Tâm2.1.3 Các chức năng an toàn của hệ điều hànhCác chức năng hướng hỗ trợ an toàn của hệ điều hành:Nhận dạng/xác thực người dùngBảo vệ bộ nhớKiểm soát truy nhập vào tài nguyênKiểm soát luồngKiểm toán Phương TâmCác chức năng dịch vụ của OSCác chức năng an toàn của OSHình 2.2 Phiên làm việc của người sử dụngNgười sử dụngĐăng nhậpNhận dạng/Xác thựcThực hiện chương trìnhĐăng xuấtQuản lý hệ thống fileBảo vệ bộ nhớQuản lý vào raKiểm traCấp phát tài nguyênKiểm soát truy nhập tài nguyênQuản lý và phát hiện lỗiĐiều khiển luồngYêu cầu đối với một hệ thống an toàn là phải nhận dạng chính xác người sử dụng, do đó ta tìm hiểu xem chức năng an toàn nhận dạng/xác thực người dùng của OS thực hiện như thế nào.Xác thực là một trong ba yêu cầu bảo vệ: 3A (Authentication – Authorization – Authentication).2.2 Các phương thức xác thực Phương Tâm2.2 Các phương thức xác thựcCác hệ thống xác thực dựa vào thông tin người dùng biếtCác hệ thống dựa vào mật khẩu Các hệ thống dựa vào hỏi đápXác thực dựa vào thẻ từ Phương Tâm2.2 Các phương thức xác thựcCác hệ thống xác thực dựa vào đặc điểm của người dùngCác hệ thống nhận dạng qua ảnh Các hệ thống nhận dạng qua vân tayNhận dạng qua đặc trưng của chữ ký viết tay Các hệ thống nhận dạng qua tiếng nói Các hệ thống nhận dạng qua đặc điểm võng mạc Phương Tâm2.2.1 Các hệ thống xác thực dựa vào thông tin người dùng đã biếtCác hệ thống dựa vào mật khẩu: Người dùng được nhận dạng thông qua một chuỗi ký tự bí mật (mật khẩu), chỉ có người dùng và hệ thống biết. Các hệ thống dựa vào hỏi đáp: Người dùng được nhận dạng, thông qua việc trả lời một tập hợp các câu hỏi mà hệ thống đặt ra. Các câu hỏi được đặt riêng cho từng người dùng và chủ yếu dựa vào các hàm toán học. Hệ thống sẽ tính toán các hàm này sau khi nhận được các giá trị đưa vào từ người dùng và so sánh kết quả với nhau. Phương Tâm2.2.1 Các hệ thống xác thực dựa vào thông tin người dùng đã biếtCác hệ thống dựa vào hỏi đáp: Các hàm mẫu như sau:Các hàm đa thức: (ví dụ, f(x) = x3+ x2- x + 4): giá trị của biến x do hệ thống cung cấp, người dùng tính f(x) và gửi cho hệ thống. Các hàm dựa vào việc biến đổi chuỗi ký tự: ví dụ, f(a1a2a3a4a5) = a4a3a5a2a1. Khi đó người dùng phải gửi lại kết quả biến đổi chuỗi ký tự cho hệ thống. Phương Tâm2.2.1 Các hệ thống xác thực dựa vào thông tin người dùng đã biếtCác hệ thống dựa vào hỏi đáp:Các hàm dựa vào các thuật toán mật mã đơn giản: ví dụ f(E(x)) = E(D(E(x))2). Hệ thống cung cấp cho người dùng giá trị đã mã hóa E(x), người dùng phải giải mã D(E(x)) sau đó tính hàm bình phương [D(E(x))]2, cuối cùng mã hóa giá trị này E(D(E(x))2). Sau đó người dùng gửi kết quả này tới hệ thống, hệ thống sẽ kiểm tra kết quả này bằng hàm f. Phương TâmCác hệ thống xác thực hai lần – bắt tay: hệ thống tự giới thiệu mình với người dùng, còn người dùng tự xác thực ngược trở lại hệ thống. Xác thực hệ thống dựa vào các thông tin chỉ có người dùng biết (ví dụ, ngày, giờ và đoạn chương trình của phiên làm việc cuối).Xác thực người dùng dựa vào mật khẩu. 2.2.1 Các hệ thống xác thực dựa vào thông tin người dùng đã biết Phương TâmCác hệ thống nhận dạng qua ảnh Các hệ thống nhận dạng qua vân tay Nhận dạng qua đặc trưng của chữ ký viết tay Các hệ thống nhận dạng qua tiếng nói Các hệ thống nhận dạng qua đặc điểm võng mạc 2.2.2 Các hệ thống xác thực dựa vào đặc điểm của người dùng Phương TâmXác thực dựa trên User Name và PasswordChallenge Handshake Authentication Protocol (CHAP)KerberosTokens (Thẻ)Biometrics (Sinh trắc học)Multi-Factor Authentication (Xác thực đa nhân tố) Mutual Authentication (Xác thực lẫn nhau)Một số phương thức chứng thực thường dùng Phương TâmXác thực dựa trên User Name và PasswordSự kết hợp của một user name và password là cách xác thực cơ bản nhất. Username và password người dùng gõ vào sẽ được so sánh với username và password được lưu trong CSDL của hệ thống. Nếu trùng, thì user được xác thực, ngược lại user bị cấm truy nhập.Phương pháp này không bảo mật, vì username và password được gửi đi dưới dạng rõ, không được mã hoá nên có thể bị lấy trên đường truyền. Một số phương thức xác thực thường dùng Phương TâmXác thức bằng phương thức CHAP:(CHAP) cũng là mô hình xác thực dựa trên username/password.Khi user cố gắng log on, server đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tính User. Máy tính User sẽ phản hồi lại user name và password được mã hóa. Một số phương thức xác thực thường dùng Phương TâmXác thức bằng phương thức CHAP:Server xác thực sẽ so sánh phiên bản xác thực User được lưu giữ với phiên bản mã hóa vừa nhận, nếu trùng khớp, user sẽ được authenticated. Mật khẩu sẽ được mã hóa dưới dạng băm.Thường được sử dụng khi User logon vào các remote servers của công ty.Một số phương thức xác thực thường dùng Phương TâmXác thực Kerberos:Dùng một Server trung tâm để kiểm tra việc xác thực user và cấp phát vé thông hành (service tickets) để User có thể truy cập vào tài nguyên. Kerberos là một phương thức rất an toàn trong xác thực bởi vì dùng cấp độ mã hóa rất mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và Client Computer. Kerberos là nền tảng xác thực chính của nhiều OS như Unix, Windows.Một số phương thức xác thực thường dùng Phương TâmTokensTokens là phương tiện vật lý như các thẻ thông minh (smart cards) hoặc thẻ đeo của nhân viên (ID badges) chứa thông tin xác thực. Tokens có thể lưu trữ số nhận dạng cá nhân-personal identification numbers (PINs), thông tin về user, hoặc passwords. Một số phương thức xác thực thường dùng Phương TâmTokensCác thông tin trên token chỉ có thể được đọc và xử lý bởi các thiết bị chuyên dụng, ví dụ như thẻ smart card được đọc bởi đầu đọc smart card gắn trên Computer, sau đó thông tin này được gửi đến Server xác thực. Tokens chứa chuỗi text hoặc giá trị số duy nhất thông thương mỗi giá trị này chỉ sử dụng một lần.Một số phương thức xác thực thường dùng Phương TâmTokens:Ví dụ về Smart Cards (Thẻ thông minh)Smart cards là ví dụ điển hình về xác thực dựa vào tokens. Một smart card là một thẻ nhựa có gắn một chip máy tính lưu trữ các loại thông tin điện tử khác nhau. Nội dung thông tin của card được đọc với một thiết bị đặc biệt.Một số phương thức xác thực thường dùng Phương TâmBiometrics (Sinh trắc học):Là mô hình xác thực dựa trên đặc điểm sinh học của từng cá nhân, như: Quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal scanner), nhận dạng giọng nói(voice-recognition), nhận dạng khuôn mặt.Vì nhận dạng sinh trắc học hiện rất tốn kém chi phí khi triển khai nên không được chấp nhận rộng rãi như các phương thức xác thực khác.Một số phương thức xác thực thường dùng Phương TâmBiometrics (Sinh trắc học):Một số phương thức xác thực thường dùng Phương TâmMulti-Factor AuthenticationXác thực nhiều nhân tố dựa trên nhiều nhân tố kết hợp, là mô hình xác thực yêu cầu kiểm tra ít nhất 2 nhân tố xác thực.Có thể đó là sự kết hợp của bất cứ nhân tố nào ví dụ như: bạn là ai, bạn có gì chứng minh, và bạn biết gì?Ví dụ: về một Multi-Factor Authentication:Cần phải đưa thẽ nhận dạng vào đầu đọc và cho biết tiếp password là gìMột số phương thức xác thực thường dùng Phương TâmMutual Authentication:Xác thực lẫn nhau là kỹ thuật bảo mật mà mỗi thành phần tham gia giao tiếp cần kiểm tra lẫn nhau. Trước hết Server chứa tài nguyên kiểm tra “giấy phép truy cập” của client và sau đó client lại kiểm tra “giấy phép cấp tài nguyên” của Server. Điều này giống như khi bạn giao dịch với một Server của ngân hàng, bạn cần kiểm tra Server xem có đúng của ngân hàng đó không hay là một cái bẫy của hacker giăng ra, và ngược lại Server này sẽ kiểm tra lại bạnMột số phương thức xác thực thường dùng Phương TâmMật khẩu là một chuỗi ký tự bí mật (số hoặc chữ), chỉ có người dùng và hệ thống biết, do đó hệ thống có khả năng nhận dạng duy nhất người dùng dựa vào việc xác nhận tính hợp lệ của mật khẩu 2.2.3 Xác thực dựa vào mật khẩu Phương TâmCác tiêu chuẩn đối với mật khẩu 'bí mật' là:Sử dụng ít nhất 6 ký tự, nên sử dụng các mật khẩu dài. Sử dụng cả số và chữ.Sử dụng cả chữ thường và chữ in hoa.Sử dụng các ký hiệu bàn phím đặc biệt (ví dụ, &,@ và %).Chọn các từ nước ngoài. 2.2.3 Xác thực dựa vào mật khẩu Phương TâmMật khẩu được lưu trong một file do OS quản lý => Các modul trong OS đều có thể truy nhập được file mật khẩu.Giải pháp: mã hóa mật khẩu bằng các thuật toán mã hóa, sau đó lưu vào file mật khẩu. Vấn đề: hai người dùng có cùng một mật khẩu => mật khẩu sau khi mã hóa cũng giống nhauQuản lý mật khẩu Phương TâmMột salt là một số 12 bit được thêm vào mật khẩu. salt là duy nhất với một tiến trình?MËt khÈuMËt khÈum· hãaSaltFile mËt khÈuDESSaltKỹ thuật Salt (Unix) Phương TâmFile mËt khÈuNg­êi dïng gâ mËt khÈuMËt khÈum· hãaSaltDESSo s¸nhMËt khÈu m· hãaKỹ thuật Salt (Unix)Xác thực mật khẩu người dùng Phương TâmBộ nhớ chính là thiết bị lưu trữ duy nhất thông qua đó, CPU có thể trao đổi thông tin với môi trường bên ngoài. Bộ nhớ chính được tổ chức như một mảng một chiều các từ nhớ (word), mỗi từ nhớ có một địa chỉ. 2.3 Bảo vệ bộ nhớ Phương TâmCác kiểu cơ chế phần cứng được sử dụng để bảo vệ và chia sẻ bộ nhớ:Địa chỉ ràoTái định vịCác thanh ghi cơ sở/giới hạn Phân trangPhân đoạn2.3 Bảo vệ bộ nhớ Phương TâmĐịa chỉ logic - địa chỉ ảo:Địa chỉ vật lý:Không gian địa chỉ: Không gian vật lý: MMU (Memory Management Unit): 2.3.1 Địa chỉ rào là tất cả các địa chỉ do bộ xử lý sinh ra.là địa chỉ thực tế mà trình quản lý bộ nhớ nhìn thấy và thao tác. là tập hợp tất cả các địa chỉ ảo phát sinh bởi một chương trình. là tập hợp tất cả các địa chỉ vật lý tương ứng với các địa chỉ ảo. là một cơ chế phần cứng để chuyển đổi địa chỉ ảo thành địa chỉ vật lý tại thời điểm xử lý.) Phương TâmĐịa chỉ rào: đánh dấu ranh giới giữa vùng nhớ dành cho hệ điều hành và vùng nhớ cho tiến trình người dùng. Dùng thanh ghi rào để lưu địa chỉ rào.00xFFFHÖ ®iÒu hµnhVïng nhí ng­êi dïngVïng nhí s½n dïng§Þa chØ rµoThanh ghi rµoGi¸ trÞ ®Þa chØ rµoHÖ ®iÒu hµnh2.3.1 Địa chỉ rào Phương Tâm§Þa chØ(A)CPUA>FA§óngSai§Þa chØ rµo (FA)Lçi00xFFFHÖ ®iÒu hµnhVïng nhí ng­êi dïngVïng nhí s½n dïngHÖ ®iÒu hµnhFA2.3.1 Địa chỉ ràoTruy nhập bằng địa chỉ rào Phương TâmNhận xét: Giá trị của địa chỉ rào có thể được lưu trong một thanh ghi rào. Khi đó, giá trị rào có thể thay đổi động tuỳ thuộc vào sự thay đổi của kích cỡ OS, đồng thời OS sẽ lưu giá trị mới của địa chỉ rào vào trong thanh ghi. Các địa chỉ trong chương trình người dùng được so sánh với giá trị lưu trong thanh ghi rào xem có hợp lệ hay không. 2.3.1 Địa chỉ rào Phương TâmƯu, nhược điểm của địa chỉ rào?2.3.1 Địa chỉ rào Phương TâmƯu điểm: bảo vệ được vùng nhớ của hệ điều hành tránh khỏi sự can thiệp của các tiến trình người dùng.Nhược điểm:Trong hệ đơn chương: chỉ có một tiến trình người dùng => lãng phí CPU.Trong hệ đa chương: đ/c rào không bảo vệ được vùng nhớ của người dùng này với người dùng khác.2.3.1 Địa chỉ rào Phương TâmHệ thống đa chương với phần vùng cố định: bộ nhớ được chia thành n phân vùng (chú ý là phân vùng vật lý) với kích thước cố định (các phân vùng có thể có kích thước bằng nhau hoặc khác nhau). Các tiến trình có yêu cầu bộ nhớ sẽ được đặt trong hàng đợi, có hai cách tiếp cận để tổ chức hàng đợi:2.3.2 Tái định vị Phương TâmHệ thống đa chương với phần vùng cố định: Partition 3Partition 4Partition 1Hệ điều hành0100K200K500K2.3.2 Tái định vị Phương TâmHệ thống đa chương với phần vùng cố định:Nhiều hàng đợi: Mỗi phân vùng có một hàng đợi tương ứng, một tiến trình sinh ra sẽ được đặt vào trong hàng đợi của phân vùng có kích thước nhỏ nhất nhưng vẫn thỏa mẵn nhu cầu chứa tiến trình đó. => Nhược điểm: Có hàng đợi thì trống, hàng đợi thì đầy khiến nhiều tiến trình phải chờ đợi để cấp phát bộ nhớ.2.3.2 Tái định vị Phương TâmHệ thống đa chương với phần vùng cố định:Một hàng đợi: Tất cả các tiến trình được đặt trong một hàng đợi duy nhất, khi có một phân vùng tự do (tự do hoàn toàn cả phân vùng) thì tiến trình đầu tiên trong hàng đợi có kích thước phù hợp sẽ được đặt vào trong phân vùng đó.2.3.2 Tái định vị Phương TâmHệ thống đa chương với phần vùng cố định:Nhược điểm:Nếu kích thước của tiến trình không vừa đúng bằng ( truy xuất đến dữ liệu của tiến trình khác, nếu như không có phương pháp bảo vệ).2.3.2 Tái định vị Phương TâmĐịa chỉ trong chương trình nguồn là địa chỉ logic, muốn chạy chương trình phải biên dịch và nạp chương trình vào bộ nhớ => phải chuyển đổi địa chỉ.Tái định vị = chuyển đổi đ/c logic -> đ/c vật lýVí dụ, nếu chương trình truy xuất đến địa chỉ 100 (địa chỉ logic), và chương trình được nạp vào phân vùng 1 có địa chỉ vật lý bắt đầu là 100K, thì địa chỉ truy xuất thực sự là 100K+100 = địa chỉ vật lý.Trình liên kết (linker) phải thực hiện nhiệm vụ tái định vị chương trình.2.3.2 Tái định vị Phương TâmNhư vậy, thực chất tái định vị là việc chuyển đổi từ địa chỉ logic của chương trình sang địa chỉ vật lý, còn gọi là Sự kết buộc địa chỉ.Giả thiết rằng K là giá trị rào, khi đó địa chỉ vật lý của một chương trình sẽ được tính bằng cách cộng K với địa chỉ logic của chương trình đó.2.3.2 Tái định vị Phương TâmTái định vị có thể thực hiện trong:Thời điểm biên dịchThời điểm nạpThời điểm xử lý2.3.2 Tái định vị Phương TâmThời điểm biên dịch: Nếu tại thời điểm biên dịch, có thể biết vị trí mà chương trình sẽ thường trú trong bộ nhớ (ví dụ chương trình sẽ có địa chỉ bắt đầu trong bộ nhớ chính là K1 - địa chỉ rào), thì trình biên dịch có thể phát sinh ngay mã lệnh thực thi với các địa chỉ tuyệt đối. Trong suốt quá trình biên dịch, địa chỉ trong chương trình là các địa chỉ tuyệt đối = địa chỉ tương đối + K1. Sau đó chương trình nạp, sẽ nạp mã lệnh thực thi này vào vùng nhớ bắt đầu từ K1.Nếu về sau có sự thay đổi vị trí thường trú lúc đầu của chương trình (K1 thay đổi), cần phải biên dịch lại chương trình 2.3.2 Tái định vị Phương TâmThời điểm nạp: Nếu trong quá trình biên dịch chưa biết vị trí thường trú của chương trình trong bộ nhớ, thì trình biên dịch sẽ sinh ra mã lệnh thực thi tương đối (object code) chứa các địa chỉ tương đối. Khi nạp chương trình vào bộ nhớ, những địa chỉ tương đối đó sẽ được chuyển thành các địa chỉ tuyệt đối trong bộ nhớ. Đây được gọi là “tái định vị tĩnh”. Khi có sự thay đổi vị trí lưu trữ tiến trình trong bộ nhớ, chỉ cần nạp lại mà không cần biên dịch lại chương trình.2.3.2 Tái định vị Phương TâmThời điểm xử lý: Nếu có nhu cầu di chuyển tiến trình từ vùng nhớ này sang vùng nhớ khác trong quá trình xử lý – chạy, thì sự kết buộc địa chỉ cần được thực hiện trong thời gian chạy chương trình. Khi đó cần sử dụng cơ chế phần cứng đặc biệt (MMU). Trong trường hợp này, địa chỉ của chương trình khi được nạp vào bộ nhớ chưa phải địa chỉ tuyệt đối, nó có thể được tái định vị. Và các địa chỉ đó sẽ được chuyển thành địa chỉ tuyệt đối khi chạy chương trình. Đây được gọi là “tái định vị động”.2.3.2 Tái định vị Phương TâmChú ý:Tái định vị tĩnh: có nghĩa là việc chuyển đổi địa chỉ được diễn ra khi biên dịch hoặc khi nạp chương trình vào bộ nhớ.Tỏi định vị động: có nghĩa là việc chuyển đổi địa chỉ diễn ra khi chạy chương trình. Nếu K là địa chỉ rào (địa chỉ bắt đầu của chương trình trong bộ nhớ chính) thì tái định vị động cho phép K biến đổi trong suốt thời gian chạy chương trình, còn tái định vị tĩnh K là cố định trong suốt thời gian chạy chương trình.2.3.2 Tái định vị Phương TâmVí dụ về tái định vị động:PAFA§Þa chØ vËt lý (PA)Thanh ghi rµo§Þa chØ logic (LA)PA:=LA+FAHÖ ®iÒu hµnhVïng nhí ng­êi dïngVïng nhí s½n dïngHÖ ®iÒu hµnhFA = KCPU2.3.2 Tái định vị Phương TâmNhư vậy, thanh ghi rào giúp bảo vệ vùng nhớ của hệ điều hànhThanh ghi rào giúp tái định vị chương trình Vấn đề: chưa bảo vệ được vùng nhớ của tiến trình người dùng?2.3.2 Tái định vị Phương TâmBổ sung vào cấu trúc phần cứng của máy tính một thanh ghi cơ sở (base register) và một thanh ghi giới hạn (limit register). Thanh ghi cơ sở: chứa địa chỉ bắt đầu của vùng nhớ cấp phát cho tiến trình.Thanh ghi giới hạn: lưu kích thước của tiến trình.Mỗi địa chỉ bộ nhớ do tiến trình người dùng phát sinh ra đều so sánh với thanh ghi giới hạn, nếu nhỏ hơn nó sẽ được tự động cộng với địa chỉ chứa trong thanh ghi cơ sở để cho ra địa chỉ tuyệt đối trong bộ nhớ.2.3.3 Bảo vệ dựa vào thanh ghi Phương Tâm§óng§Þa chØ logic (LA)CPUSaiLçiLA đoạn lệnh có thể bị ghi đè?Thực tế chương trình bao gồm: 1 đoạn lệnh và 1 đoạn dữ liệu. Nếu 2 đoạn này nằm chung một vùng nhớ, giả sử trong một lệnh chứa một biến được gán một giá trị nằm ngoài vùng dữ liệu 2.3.3 Bảo vệ dựa vào thanh ghi Phương TâmVí dụBA x thuộc vào đoạn lệnh). HÖ ®iÒu hµnh§o¹n lệnh ng­êi dïng AD÷ liÖu ng­êi dïng AHÖ ®iÒu hµnhHÖ ®iÒu hµnh0BABA+100BA+200 Phương TâmGiải pháp cho việc đoạn lệnh bị ghi đè:Cần tách đoạn lệnh và đoạn dữ liêu, đồng thời định rõ quyền thao tác trên các đoạn đó. Đoạn lệnh chỉ được thực hiện thao tác chạy (execute), đoạn dữ liệu có thể đọc/ghi.Dựa vào hai cơ chế:Hai cặp thanh ghiKiến trúc gắn nhãn2.3.3 Bảo vệ dựa vào thanh ghi Phương TâmDùng hai cặp thanh ghi:Mỗi đoạn lệnh và đoạn dữ liệu đều có một cặp thanh ghi biên. Thanh ghi cho đoạn lệnh được gán quyền chỉ đọc, thanh ghi cho đoạn dữ liệu gán quyền đọc/ghi. Như vậy, do đoạn lệnh chỉ có thể đọc nên không gây tình trạng ghi đè nữa, đồng thời đoạn lệnh này không thể bị sửa đổi.Nhược điểm: Hạn chế đọc trên cả một đoạn lệnh 2.3.3 Bảo vệ dựa vào thanh ghi Phương TâmDïng hai cÆp thanh ghiHÖ ®iÒu hµnh§o¹n m· ng­êi dïng A§o¹n m· ng­êi dïng BD÷ liÖu ng­êi dïng AD÷ liÖu ng­êi dïng B§o¹n m· ng­êi dïng CD÷ liÖu Ng­êi dïng CHÖ ®iÒu hµnhCÆp thanh ghi biªn cho ®o¹n d÷ liÖu ACÆp thanh ghi biªn cho ®o¹n m· ARRR/WR/WCÆp thanh ghi biªn cho ®o¹n m· BRRCÆp thanh ghi biªn cho d÷ liÖuBR/WR/W Phương TâmKiến trúc gắn nhãn: Là một kỹ thuật bảo vệ cho mỗi từ nhớ (word), mỗi địa chỉ bộ nhớ được gắn một nhãn. Nhãn này có thể chứa trong 1 hay hơn 1 bit, để thiết lập các quyền thao tác có thể thực hiện được trên nội dung của địa chỉ đó, mỗi địa chỉ ta có một nhãn tương ứng. Việc gắn nhãn do OS thực hiện theo chế độ đặc quyền.Nhược điểm: Khó thực hiện, tốn công.2.3.3 Bảo vệ dựa vào thanh ghi Phương TâmTõ nhíNh·nM·:R = ChØ ®äcRW = ®äc/ghiX = thùc hiÖnR 0001RW 0137R 0099XXXXR 4091RW 0002Kiến trúc gán nhãn Phương TâmTrong các cơ chế bảo vệ trên của hệ điều hành ta cấp phát cho tiến trình các vùng nhớ liên tục => có thể gây ra phân mảnh bộ nhớ như cấp phát trong hệ thống đa chương với phân vùng cố định và phân vùng động (cấp phát liên tục).Một số cơ chế bảo vệ cho phép cấp phát cho các tiến trình những vùng nhớ không liên tục (cấp phát không liên tục):Cơ chế phân trangCơ chế phân đoạn Tóm lược Phương Tâm2.3.4 PHÂN TRANGCấu trúc chương trình phân trangCác modul được biên dịch thành một modul duy nhất, chia thành các phần có kích thước bằng nhau Bộ nhớ được phân trang có kích thước bằng nhau, bằng với kích thước các trang chương trình gọi là các khung trang (Frame)Khi thực hiện, HĐH nạp trang của chương trình vào tại các khung trang liên tiếp hoặc không liên tiếp trên bộ nhớHĐH xây dựng PCT (page control table) để biết được một trang đã được nạp vào bộ nhớ, nếu nạp rồi thì được chứa ở khung trang nào để xử lý Phương Tâm2.3.4 PHÂN TRANGKỹ thuật cấp phát bộ nhớ trong kỹ thuật phân trangKhông gian địa chỉ bộ nhớ vật lý được chia thành các phần có kích thước cố định bằng nhau và đánh số từ 0 gọi là khung trang (Frame page). Không gian địa chỉ của tiến trình được chia bằng với khung trang gọi là trang (page)Khi tiến trình nạp vào bộ nhớ thì nạp vào các khung trang trống. Khi nạp n trang thì hệ thống tìm đủ n khung trang trên bộ nhớ để nạp HĐH theo dõi các khung trang còn trống hay đã cấp phát và các khung trang đang chứa tiến trình nào vào một danh sách và danh sách này được update thường xuyên. Phương Tâm2.3.4 PHÂN TRANGHĐH dùng PCT Page control table để theo dõi các trang trên bộ nhớ Phương Tâm2.3.4 PHÂN TRANGCác bảng trang có kích thước nhỏ chứa trong thanh ghi, ngược lại chứa trong bộ nhớ chính dùng thanh ghi để lưu trữ địa chỉ bắt đầu nơi lưu trữ bảng trang gọi là PTBR: page table base register Khi cần truy xuất bộ nhớ CPU phát ra địa chỉ logic gồm:Số hiệu trang (page): số hiệu trang cần truy xuấtĐịa chỉ tương đối trong trang (offset): kết hợp với địa chỉ bắt đầu của trang để xác định địa chỉ vật lý của ô nhớ cần truy xuất Phương Tâm2.3.4 PHÂN TRANGKích thước của trang hoặc khung trang do phần cứng quy định từ 512 đến 8192. Ví dụ: địa chỉ logic gồm 16 bit, kích thước trang là 1K = 1024byte (210), thì có 6 bit dành cho số hiệu trang, CT có tối đa 26 = 64 trang. Nếu CPU phát ra địa chỉ 16 bit là: 0000010111011110 = 1502, thì thành phần số hiệu trang là 000001 = 1, thành phần offset là 0111011110 = 478 Phương TâmChúng ta có địa chỉ logic là: 0000010111011110, với số hiệu trang là 1, offset là 478, giả định rằng trang này thường trú trong bộ nhớ chính tại khung tang 6 = 000110. Thì địa chỉ vật lý là khung trang số 6 và offset là 478 = 0001100111011110 2.3.4 PHÂN TRANG Phương TâmChia sẻ bộ nhớ trong cơ chế phân trang:Một ưu điểm của cơ chế phân trang là cho phép chia sẻ các trang giữa các tiến trình: Sự chia sẻ được thể hiện ở chỗ có nhiều địa chỉ logic cùng ánh xạ đến một địa chỉ vật lý duy nhất. Có thể áp dụng kỹ thuật này để cho phép có nhiều tiến trình cùng chia sẻ các trang chứa đoạn mã chung, với dữ liệu riêng của từng tiến trình đó 2.3.4 PHÂN TRANG Phương TâmChia sẻ bộ nhớ trong cơ chế phân trang:code1code2code3data101232360P1Bảng trang P1code1code2code3data201232364P2Bảng trang P2data1code1code2data2code3Bé nhí vËt lý0 1 2 3 4 5 6 72.3.4 PHÂN TRANG Phương TâmƯu điểm: Kỹ thuật phân trang loại bỏ được hiện tượng phân mảnh ngoại vi mỗi khung trang đều có thể được cấp phát cho một tiến trình nào đó có yêu cầu. Tạo ra sự phân biệt giữa góc nhìn của người dùng và bộ phận quản lý bộ nhớ vật lý.Góc nhìn của người sử dụng: một tiến trình của người dùng nhìn thấy bộ nhớ như là một không gian liên tục, đồng nhất và chỉ chứa duy nhất bản thân tiến trình này.Góc nhìn của bộ nhớ vật lý: một tiến trình của người sử dụng được lưu trữ phân tán khắp bộ nhớ vật lý, trong bộ nhớ vật lý đồng thời cũng chứa những tiến trình khác nhau.2.3.4 PHÂN TRANG Phương TâmNhược điểm:Vẫn còn hiện tượng phân mảnh nội vi.Không phản ánh đúng cách người dùng cảm nhận về bộ nhớ, vì họ nhìn bộ nhớ như một tập các đối tượng(như :phân đoạn, thư viện,) và các đối tượng dữ liệu (như biến toàn cục, stact, vùng nhớ chia sẻ)2.3.4 PHÂN TRANGKhi kích thước của tiến trình không đúng bằng bội số của kích thước một trang, khi đó trang cuối sẽ không được sử dụng hết Phương Tâm2.3.5 PHÂN ĐOẠNCấu trúc chương trình phân đoạnCác modul được biên dịch thành các modul riêng lẻ và gọi là các đoạn chương trình Ví dụ: Một chương trình EXE có 3 đoạn là code, data, stack và có thủ tục gọi 2 thư viện thì chương trình này biên dịch thành 5 đoạn: 3code, 1data, 1stackBộ nhớ phải được phân đoạn, có kích thước không thể bằng nhau, tương ứng với kích thước của các đoạn chương trình, gọi là các phân đoạn bộ nhớ Khi thực hiện, HĐH nạp các đoạn của chương trình tại các phân đoạn liên tiếp hoặc không liên tiếp trên bộ nhớ Phương Tâm2.3.5 PHÂN ĐOẠNHĐH xây dựng SCT (segment control table), để biết đoạn đã được nạp vào bộ nhớ hay chưa và ở phân đoạn nào Ưu điểm của phân trang và phân đoạnCó hỗ trợ từ chương trình biên dịch, tiết kiệm bộ nhớHĐH đa nhiệm, đa chương hỗ trợ nhiều cho 2 cấu trúc này và đặc biệt là HĐH có cài đặt sử dụng máy ảoÍt xảy ra việc thiếu bộ nhớ vì chương trình có thể được đưa ra khỏi bộ nhớ và đưa vào lại thời điểm thích hợpHạn chế: tốn bộ nhớ để chứa PCT, SCT, làm chậm tốc độ truy xuất dữ liệu trên bộ nhớ vì phải thông qua PCT, SCT Phương Tâm2.3.5 PHÂN ĐOẠNCấp phát bộ nhớKhông gian địa chỉ bộ nhớ vật lý được chia thành các phần có kích thước cố định không bằng nhau và đánh số từ 0 gọi là phân đoạn (Segment). Mỗi phân đoạn bao gồm số hiệu phân đoạn và kích thước của nó Khi một tiến trình được nạp vào bộ nhớ thì tất cả các đoạn của nó sẽ được nạp vào các phân đoạn còn trống khác nhau trên bộ nhớ Phương Tâm2.3.5 PHÂN ĐOẠN Phương Tâm2.3.5 PHÂN ĐOẠNHĐH sử dụng bảng SCT (Segment control table) để theo dõi các đoạn tiến trình khác nhau trên bộ nhớ. Bảng này có 2 trường Trường thứ nhất: địa chỉ cơ sở (base) của phân đoạn mà đoạn chương trình tương ứng được nạp Trường thứ hai : cho biết độ dài, giới hạn (length/limit) của phân đoạn và có tác dụng dùng để kiểm soát sự truy xuất bất hợp lệ của các tiến trình. Các bảng phân đoạn có kích thước nhỏ chứa trong các thanh ghi, ngược lại được chứa trong bộ nhớ chính, khi đó HĐH sẽ dùng một thanh ghi để lưu trữ địa chỉ bắt đầu nơi lưu trữ bảng phân đoạn gọi là thanh ghi STBR: Segment table base register Phương Tâm2.3.5 PHÂN ĐOẠNNgoài ra HĐH còn sử dụng STLR:Segment table length register để lưu lại sự thay đổi ghi lại kích thước hiện tại của các đoạnĐịa chỉ logic mà CPU sử dụng gồm 2 thành phần:Số hiệu đoạn (segment): số hiệu đoạn tương ứng cần truy xuất. Địa chỉ tương đối trong đoạn (Offset): kết hợp với địa chỉ bắt đầu của đoạn để xác định địa chỉ vật lý của ô nhớ cần truy xuất Phương Tâm2.3.5 PHÂN ĐOẠNĐịa chỉ logic là: 0001001011110000, với số hiệu segment là 1, offset là 752, giả định segment này thường trú trong bộ nhớ chính tại địa chỉ vật lý là 0010000000100000, thì địa chỉ vật lý tương ứng với địa chỉ logic ở trên là: 0010000000100000 + 001011110000 = 0010001100010000 Phương TâmChia sẻ phân đoạn :Tương tự như trong cơ chế phân trang, cơ chế phân đoạn cũng cho phép chia sẻ các phân đoạn giữa các tiến trình. Tuy nhiên các tiến trình có thể chia sẻ với nhau từng phần của chương trình (ví dụ: thủ tục, hàm) không nhất thiết phải chia sẻ toàn bộ chương trình như trong trường hợp phân trang.2.3.5 PHÂN ĐOẠN Phương TâmƯu điểm: thể hiện được cấu trúc logic của chương trình: thủ tục, chương trình chính, stack, mảng, thư việnNhược điểm: Cũng như trường hợp mô hình phân vùng động, kỹ thuật phân đoạn phải giải quyết vấn đề cấp phát động. Hiện tượng phân mảnh ngoại vi lại xuất hiện khi các khối nhớ tự do (trong bộ nhớ vật lý) đều quá nhỏ, không đủ để chứa một phân đoạn (trong bộ nhớ logic). 2.3.5 PHÂN ĐOẠN Phương TâmKhi tiến trình chạy, chúng có thể yêu cầu đến các tài nguyên của hệ thống như: bộ nhớ, CPU, các file, thiết bị vật lý (nhập, xuất), các chương trình, thủ tục => Để tránh sự can thiệp trái phép tài nguyên giữa các tiến trình, cần phải bảo vệ các tài nguyên này.2.4 Kiểm soát truy cập tài nguyên Phương TâmMuốn kiểm soát truy nhập vào tài nguyên cần phải nhận dạng tài nguyên đó một cách rõ ràng:Nhận dạng tiến trình (process identification) dựa vào định danh người dùng - người khởi chạy tiến trình.Bộ nhớ được nhận dạng bằng các thanh ghi biên, bảng chuyển đổi (bảng trang, bảng phân đoạn).CPU được nhận biết thông qua phần cứng.2.4 Kiểm soát truy cập tài nguyên Phương TâmFile được nhận biết qua tên file.Chương trình, thủ tục được nhận biết qua tên và địa chỉ bắt đầu của nó.Người sử dụng được nhận biết qua quá trình xác thực trong giai đoạn đăng nhập.2.4 Kiểm soát truy cập tài nguyên Phương TâmViệc bảo vệ tài nguyên cần hai yếu tố:Kiểm tra quyền của tiến trình truy nhập vào tài nguyên.Nguyên tắc đặc quyền tối thiểu: Chỉ cho phép tiến trình truy nhập vào các tài nguyên cần thiết cho nhiệm vụ của nó. 2.4 Kiểm soát truy cập tài nguyên Phương TâmCác cơ chế kiểm soát truy nhập có thể được thực hiện theo hai chế độ: Phân cấp truy nhập Ma trận truy nhập.2.4.1 Các cơ chế kiểm soát truy cập Phương TâmPhân cấp truy nhập: phân cấp theo hai chế độChế độ đặc quyềnKhối chương trình lồng nhau2.4.1 Các cơ chế kiểm soát truy cập Phương TâmChế độ đặc quyềnPhân cấp thành các mức bảo vệ, mỗi mức có một tập quyền truy cập khác nhau VD: có N mức từ (0->n-1), mức trong cùng (mức 0) sẽ có tối đa quyền truy cập, mức ngoài cùng (mức n-1) có tối thiểu quyền truy cập. Mỗi tiến trình sẽ được gán với một mức bảo vệ và hoạt động trong miền truy cập của mức đó Phương TâmCác khối chương trình lồng nhauMột khối chương trình có thể truy nhập các đối tượng toàn cục của tất cả các khối chứa khối chương trình này, và tất nhiên là cả các đối tượng bên trong nó. Ví dụ về việc lồng 5 khối chương trình như sau: (U5(((U1)U2)U3)(U4)). Khối trong nhất U1 có quyền truy nhập tất cả các đối tượng (đã được khai báo bên trong U1) và tất cả các đối tượng bên trong các khối chứa U1 là (U2, U3, U5), nhưng U1 không thể truy nhập vào các đối tượng của U4. Phương TâmCác khối chương trình lồng nhauThông qua cơ chế này, các khối chỉ có thể truy nhập vào các đối tượng cần thiết cho nhiệm vụ của chúng. Do đó, dùng các khối chương trình lồng nhau thỏa mãn nguyên tắc đặc quyền tối thiểu. Phương TâmMa trận truy cậpCác quyền gắn liền với các chủ thể (các thực thể hoạt động của hệ thống). Biểu diễn các quyền truy nhập của từng chủ thể S tới từng đối tượng O trong một ma trận truy nhập. Có thể biểu diễn ma trận truy nhập bằng:Bảng toàn cụcDanh sách quyền truy nhập (ALC)Danh sách tiềm năng của miền bảo vệ (C-List)Cơ chế khóa và chìa Phương Tâm2.5.2 Bảo vệ file Sử dụng ma trận truy cậpCơ chế dựa vào mật khẩu Muốn truy nhập vào một file bất kỳ với các thao tác (đọc, ghi, xóa, sửa) đều phải có mật khẩu. Cơ chế này không truy nhập theo định danh người sử dụng. Mỗi người sử dụng muốn truy nhập vào một file nào đó cần phải có mật khẩu của file đó. Phương Tâm2.5.2 Bảo vệ fileCơ chế dựa vào quyền sở hữu Người sử dụng được phân thành 3 loạiNgười sở hữu: là người tạo ra một file và có thể định nghĩa các quyền truy nhập của những người sử dụng khác đối với file này.Nhóm: là tập hợp những người sử dụng có nhu cầu dùng chung file, ví dụ những người làm việc trong cùng dự án. Những người sử dụng khác: tất cả những người sử dụng của hệ thống, trừ người sở hữu và các thành viên của nhóm. Phương Tâm2.5.2 Bảo vệ fileCơ chế dựa vào quyền sở hữu Mỗi file sẽ có một danh sách kiểm soát truy nhập, mỗi phần tử chứa 3 trường: định danh người sử dụng, định danh nhóm chứa người sử dụng, các quyền truy nhập. Cơ chế dựa vào quyền sở hữu hỗ trợ việc phân biệt các quyền trên cùng một file, định nghĩa số lượng người sử dụng dùng chung 1 file. Việc thực hiện không có gì phức tạp vì nó dựa vào định danh người sử dụng. Phương Tâm2.6 Các chuẩn an toànTiêu chuẩn DoDViệc đánh giá mức độ bảo vệ của một hệ thống là vấn đề nghiên cứu chủ yếu trong an toàn. Do đó các nhà phát triển cũng như những người sử dụng cuối cần có các tiêu chuẩn và các công cụ đánh giá để có thể chỉ ra mức độ tin cậy của một cơ chế an toàn. Năm 1985, bộ quốc phòng Mỹ đã đưa ra một tiêu chuẩn nhằm hai mục đích để phát triển và đánh giá các hệ thống an toàn, đó là tiêu chuẩn DoD (Department of Defense). Phương TâmTiêu chuẩn DoDCho người sử dụng những độ đo (metrics) để đánh giá mức tin cậy của một hệ thống an toàn (nhằm bảo vệ các thông tin đã được phân lớp và các thông tin nhạy cảm) nếu:Hệ thống an toàn không được phát triển bên trong một tổ chức, nhưng tổ chức này lại sử dụng một sản phẩm thương mại, khi đó tiêu chuẩn DoD sẽ cung cấp bộ tiêu chuẩn cần thiết để đánh giá sản phẩm an toàn này. Hệ thống an toàn được phát triển bên trong một tổ chức, khi đó DoD cung cấp bộ tiêu chuẩn cần thiết để kiểm tra xem tất cả các yêu cầu an toàn có được quan tâm và thực hiện đầy đủ hay không. Phương TâmTiêu chuẩn DoDCho các nhà phát triển/nhà cung cấp một tài liệu hướng dẫn thiết kế (trong đó trình bày các đặc trưng an toàn trong các hệ thống thương mại, những đặc trưng này nhằm làm cho các sản phẩm (tin cậy, có sẵn) đáp ứng được các yêu cầu an toàn của các ứng dụng nhạy cảm).Cho các nhà thiết kế một tài liệu hướng dẫn để đặc tả các yêu cầu an toàn Phương TâmTiêu chuẩn DoDHệ thống an toàn có thể được phân theo 4 mức phân cấp (D, C, B, A). Trong mỗi mức phân cấp, lại chia thành các lớp phân cấp. Mức độ bảo vệ của hệ thống với các mức (lớp) cao sẽ cao hơn so với các mức (lớp) thấp. Ở đây mức D là mức thấp nhất – không có yêu cầu nào cho hệ thống, các mức phức tạp hơn là C, B, A. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDMức D (bảo vệ tối thiểu): Không có lớp con nào, các hệ thống trong mức này sẽ không có bất kỳ một yêu cầu nào cần thiết để phân loại cao hơn. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDMức C (bảo vệ tuỳ ý): Các hệ thống trong mức này cung cấp các chính sách kiểm soát truy nhập tùy ý – DAC và các chính sách sử dụng lại đối tượng. Ngoài ra, chúng còn cung cấp các cơ chế nhận dạng/xác thực và kiểm toán. Lớp C1 (bảo vệ an toàn tùy ý): Các hệ thống trong lớp này cung cấp các đặc trưng an toàn cho kiểm soát truy nhập tùy ý và nhận dạng/xác thực. Các hệ thống này có thể thực hiện trong các nhóm người sử dụng.Lớp C2 (bảo vệ truy nhập có kiểm soát): Các hệ thống trong lớp này cung cấp các chính sách kiểm soát truy nhập tùy ý-DAC, lưu các thông tin về người sử dụng đơn lẻ, sử dụng lại đối tượng. Các hệ thống trong lớp C2 cải tiến hơn với lớp C1 vì có thể lưu thông tin về người sử dụng đơn lẻ và có các cơ chế kiểm toán. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDMức B (bảo vệ bắt buộc): yêu cầu cơ bản với các hệ thống thuộc mức B là cần có các nhãn an toàn và chính sách kiểm soát truy nhập bắt buộc – MAC. Hầu hết các dữ liệu liên quan trong hệ thống cần phải được gán nhãn. Mức B được chia thành 3 lớp:Lớp B1 (bảo vệ an toàn có gán nhãn): Các hệ thống thuộc lớp này có các đặc trưng như các hệ thống trong lớp C2, ngoài ra có thêm các nhãn an toàn và chính sách kiểm soát truy nhập bắt buộc – MAC. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDLớp B2 (bảo vệ có cấu trúc): Các yêu cầu buộc phải được đảm bảo. Các hệ thống thuộc lớp B2 phải Đưa ra một mô hình các chính sách an toàn (cả MAC và DAC), các chính sách này phải được xác định một cách rõ ràng, và phải tương thích với các tiên đề an toàn. Các chính sách kiểm soát truy nhập của lớp B1 sẽ được áp dụng với tất cả chủ thể và đối tượng của hệ thống. Nhà quản trị và người sử dụng đều được cung cấp các cơ chế xác thực, và các công cụ để hỗ trợ việc quản lý cấu hình. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDLớp B3 (miền an toàn): Hệ thống thuộc lớp này phải thỏa mãn các yêu cầu kiểm soát. Ngoài các yêu cầu như B2, nó cần có khả năng chống đột nhập, các đặc tính an toàn cũng phải mạnh hơn, có các thủ tục phục hồi, khả năng kiểm toán. Hệ thống ở lớp B3 phải có khả năng cao chống lại được các truy nhập trái phép. Phương TâmCác mức bảo vệ trong tiêu chuẩn DoDMức A (bảo vệ có kiểm tra): sử dụng các phương pháp hình thức để kiểm tra an toàn cho hệ thống. Mức A được chia thành:Lớp A1 (thiết kế kiểm tra): hệ thống thuộc lớp A1 tương đương với các hệ thống thuộc lớp B3. Tuy nhiên, hệ thống thuộc lớp A1 cần sử dụng các kỹ thuật hình thức và phi hình thức để chứng minh tính tương thích giữa đắc tả an toàn mức cao và mô hình chính sách hình thức. Lớp ngoài A1 (không được mô tả). Phương TâmTổng kết Phương Tâm