第一章 緒論
1.1研究的背景
供電企業(yè)開展標(biāo)準(zhǔn)化工作,建立企業(yè)標(biāo)準(zhǔn)體系就是為了加強(qiáng)企業(yè)基礎(chǔ)管理,明確工作流程和工作方法,明確人員的責(zé)任,并在企業(yè)創(chuàng)新發(fā)展過程中持續(xù)改進(jìn),是企業(yè)實(shí)現(xiàn)系統(tǒng)管理,提高管理水平的基礎(chǔ)。標(biāo)準(zhǔn)化工作在供電企業(yè)的開展中,會(huì)產(chǎn)生大量的電子文檔,怎樣科學(xué)有效地將這些電子文檔組織起來,統(tǒng)一保存,適度共享,將成為提高企業(yè)競(jìng)爭(zhēng)力的源泉。由于缺乏對(duì)電子文檔的科學(xué)、規(guī)范管理,難以實(shí)現(xiàn)文檔的有效共享,難以有效控制文檔和信息的訪問過程,難以保證電子文檔的安全性。針對(duì)當(dāng)前供電企業(yè)標(biāo)準(zhǔn)化信息系統(tǒng)在電子文檔管理所面臨的各種問題,本文提出了將標(biāo)準(zhǔn)化電子文檔分類后以數(shù)據(jù)庫(kù)方式進(jìn)行存儲(chǔ)管理、通過授權(quán)訪問機(jī)制對(duì)電子文檔進(jìn)行權(quán)限管理以及對(duì)電子文檔進(jìn)行加密、壓縮處理后在網(wǎng)絡(luò)上傳輸,以實(shí)現(xiàn)企業(yè)標(biāo)準(zhǔn)化信息系統(tǒng)中電子文檔動(dòng)態(tài)共享、查詢方便、安全可靠的目的。
1.2電子文檔的定義及特點(diǎn)
電子文檔是指人們?cè)谏鐣?huì)活動(dòng)中形成的,以計(jì)算機(jī)盤片、磁盤和光盤等化學(xué)磁性材料為載體的文字材料。依賴計(jì)算機(jī)系統(tǒng)存取并可在通信網(wǎng)絡(luò)上傳輸。它主要包括電子文書、電子信件、電子報(bào)表、電子圖紙等等。電子文檔管理系統(tǒng)是指能夠?qū)⒏鞣N載體的文檔進(jìn)行電子化,并能夠?qū)﹄娮游臋n進(jìn)行采集、加工、整理、分類、組織、傳遞、利用、轉(zhuǎn)換的計(jì)算機(jī)信息管理系統(tǒng)。
電子文檔區(qū)別于印刷品文檔主要有以下四個(gè)特點(diǎn):容易修改、容易刪除、容易復(fù)制、容易損壞。
容易修改:這是電子文檔區(qū)別于傳統(tǒng)的印刷文檔的一個(gè)重要區(qū)別,印刷文檔和手寫文檔都有一個(gè)共同的不足就是一旦印刷好或者寫好就難于修改,這個(gè)特點(diǎn)在某些時(shí)候是好的,比如人們經(jīng)常說的“白紙黑字”就非常能夠體現(xiàn)這個(gè)特點(diǎn);但是它的優(yōu)點(diǎn)也正好是他的缺點(diǎn),人們?cè)谔幚砗芏辔淖趾蛨D形圖像信息的時(shí)候,經(jīng)常需要對(duì)處理的內(nèi)容進(jìn)行修改,以滿足不同的需要,這個(gè)時(shí)候電子文檔就表現(xiàn)出了它的優(yōu)點(diǎn)。正是由于電子文檔容易修改的特點(diǎn),如果不能很好的保護(hù),就可能受到非法的修改,不管這種修改是有意還是無意的,都會(huì)給文檔所有者帶來一定程度的損失,這個(gè)時(shí)候它又變成一個(gè)缺點(diǎn)。
容易刪除:對(duì)傳統(tǒng)方式的文檔進(jìn)行刪除基本上是不現(xiàn)實(shí)的,只可能對(duì)信息的載體印刷品進(jìn)行毀壞,由于印刷品一般都通過檔案室和文件柜等工具來進(jìn)行保護(hù),相對(duì)來說不容易被一般的人接觸,所以也就不容易被破壞,有較好的安全性。但是對(duì)于電子文檔,其刪除是非常方便的,只需要有改文件的操作權(quán)限(這個(gè)權(quán)限往往可以通過合法的和不合法的手段獲得),然后點(diǎn)擊鼠標(biāo)或者通過鍵盤刪除文件都是非常容易的,一般情況下,事后也沒有任何地證據(jù)可以說明文件丟失的時(shí)間和原因。正是這樣的特點(diǎn),如果被別人利用了這個(gè)特點(diǎn),進(jìn)行惡意的破壞活動(dòng),可能會(huì)給電子文檔的所有者造成無可挽回的損失。
容易復(fù)制:傳統(tǒng)方式的文檔進(jìn)行復(fù)制往往需要一些輔助的材料和機(jī)器,如復(fù)印紙,復(fù)印機(jī)等相關(guān)資料。這是電子文檔的一個(gè)優(yōu)點(diǎn),也是一個(gè)缺點(diǎn),優(yōu)點(diǎn)是通過復(fù)制,人們可以非常方便地進(jìn)行信息共享。但是,當(dāng)文件是個(gè)人隱私或者商業(yè)秘密的時(shí)候往往不希望別人看見,這個(gè)時(shí)候如果被別人復(fù)制,造成個(gè)人隱私暴露或者商業(yè)泄密,都是文檔所有者所不愿意看到的,這里需要解決的就是對(duì)文件的保密。
容易損壞:文件損壞的原因主要有硬件損壞,人為破壞(有意或者無意),病毒破壞,人力無法抗拒的因素(火災(zāi),地震等),就文件損壞原因的調(diào)查中,人為破壞占了80%,其余的20%文件損壞是因?yàn)槠渌母鞣N因素,對(duì)于人為破壞,我們必須采取積極的措施來加以防范,不然很可能會(huì)因?yàn)槭韬龆斐删薮蟮膿p失;對(duì)人為破壞以外的情況,一個(gè)比較有效的措施就是做好備份。
1.3電子文檔中存在的安全問題
電子文檔的安全管理是指確保存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中各類電子文檔的信息、數(shù)據(jù)不會(huì)由于意外或者惡意的原因而遭到破壞、更改和泄露,即保證電子文檔的保密性、完整性、可用性和真實(shí)性。由于使用電子文檔的最終目的是實(shí)現(xiàn)信息的充分利用,因此在保證電子文檔安全性的同時(shí),還要確保不影響電子文檔的可控性。為了保證正確地使用電子文檔,應(yīng)該在研究安全存儲(chǔ)技術(shù)的同時(shí)考慮到電子文檔的創(chuàng)建和存儲(chǔ)、對(duì)電子文檔修改和刪除行為的確認(rèn)、保護(hù)電子文檔信息安全、避免泄露或受到攻擊、防止電子文檔丟失帶來的信息丟失和防止非法入侵者通過網(wǎng)絡(luò)監(jiān)聽和破壞電子文檔信息。電子文檔的安全性主要表現(xiàn)在以下幾個(gè)方面:
(1)身份冒充:身份冒充行為是指非法入侵者冒以合法身份對(duì)系統(tǒng)內(nèi)的電子文檔和信息進(jìn)行操作的行為。如果不能監(jiān)視和避免冒充行為,將對(duì)系統(tǒng)造成很大的破壞,嚴(yán)重情況下將導(dǎo)致整個(gè)系統(tǒng)混亂以致癱瘓。
(2)否認(rèn):否認(rèn)行為實(shí)際與冒充行為存在密切聯(lián)系,在對(duì)電子文檔做了有意或無意的攻擊行為后,一方面需要確認(rèn)攻擊方的身份,另一方面需要提供證實(shí)手段以使攻擊方不能抵賴其行為。
(3)信息泄露:非法人員通過各種手段侵入系統(tǒng),從而竊取得到信息將導(dǎo)致信息的泄露。這是一種攻擊方的主動(dòng)行為,如竊取目標(biāo)是涉及敏感數(shù)據(jù)信息,將給企業(yè)帶來嚴(yán)重的危害。
(4)信息丟失:由于存放敏感信息的介質(zhì)一般為硬盤或光盤等,因此存儲(chǔ)介質(zhì)的丟失或被盜,將導(dǎo)致敏感信息的泄露,這是一種被動(dòng)的泄露方式。
(5)信息破壞:信息破壞是一種嚴(yán)格意義上的攻擊行為,即非法人員在竊取信息的同時(shí),通過修改和刪除電子文檔等手段破壞信息。
(6)竊聽:隨著網(wǎng)絡(luò)技術(shù)的不斷升級(jí),黑客可以通過網(wǎng)絡(luò)非法獲取計(jì)算機(jī)上存儲(chǔ)的敏感信息,其策略一般是借助于網(wǎng)絡(luò)竊聽系統(tǒng)操作,截獲數(shù)據(jù)流并進(jìn)行分析。竊聽得到用戶信息后,可以非常方便地進(jìn)入用戶的主機(jī)系統(tǒng),并以合法身份得到硬盤上存儲(chǔ)的電子文檔。
1.4電子文檔安全管理的現(xiàn)狀
目前,保護(hù)電子文檔及相關(guān)信息的安全主要采用以下措施:
(1)使用防火墻技術(shù)與安全掃描工具,建立網(wǎng)絡(luò)安全屏障。防火墻是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。
(2)設(shè)置訪問權(quán)限,進(jìn)行授權(quán)訪問控制。對(duì)于不同職能的用戶設(shè)置不同的訪問權(quán)限,當(dāng)用戶需要訪問信息資源前對(duì)其身份進(jìn)行合法驗(yàn)證。
(3)對(duì)信息進(jìn)行加密。采用加密算法對(duì)信息進(jìn)行加密存儲(chǔ)和傳輸,當(dāng)信息被非法截取時(shí),非法用戶得到的只是經(jīng)過加密的信息,難以破譯。
(4)對(duì)信息進(jìn)行簽名。采用摘要算法計(jì)算信息的摘要,并使用私鑰加密摘要,以保證信息的完整性,并實(shí)現(xiàn)不可否認(rèn)性。
1.5電子文檔安全管理的關(guān)鍵技術(shù)
對(duì)標(biāo)準(zhǔn)化系統(tǒng)中電子文檔的安全管理應(yīng)該在三個(gè)層面上進(jìn)行:
(1)存儲(chǔ)管理
(2)授權(quán)管理
(3)網(wǎng)絡(luò)傳輸安全管理
要在這三個(gè)層面上達(dá)到良好的效果就必須運(yùn)用到數(shù)據(jù)庫(kù)技術(shù)、訪問控制技術(shù)與數(shù)據(jù)加密與壓縮技術(shù)。
1.5.1數(shù)據(jù)庫(kù)技術(shù)
目前,數(shù)據(jù)庫(kù)技術(shù)尤其是關(guān)系型數(shù)據(jù)庫(kù)技術(shù)己經(jīng)相當(dāng)?shù)某墒,關(guān)系型數(shù)據(jù)庫(kù)的應(yīng)用范圍最廣,占據(jù)了數(shù)據(jù)庫(kù)主流地位。電子文檔,如文本、圖像、聲音等,這類信息無法用數(shù)字或統(tǒng)一的結(jié)構(gòu)表示,稱之為非結(jié)構(gòu)化數(shù)據(jù)。盡管目前關(guān)系型數(shù)據(jù)庫(kù)對(duì)非結(jié)構(gòu)化數(shù)據(jù)的管理水平還需要進(jìn)一步的加強(qiáng),但大多數(shù)流行的關(guān)系型數(shù)據(jù)庫(kù)如ORACLE、SQLSERVER等都支持對(duì)大的二進(jìn)制對(duì)象的存儲(chǔ),就電子文檔的存儲(chǔ)管理而言關(guān)系型數(shù)據(jù)庫(kù)完全具備這樣的能力,因此將電子文檔用數(shù)據(jù)庫(kù)方式來管理在技術(shù)上是切實(shí)可行的。
1.5.2訪問控制技術(shù)
訪問控制技術(shù)是保證企業(yè)電子文檔安全管理的關(guān)鍵所在,是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制一般分為三種:
(1)自主訪問控制(DAC)
(2)強(qiáng)制訪問控制(MAC)
(3)基于角色的訪問控制(RBAC)
三種訪問控制方式各有其特點(diǎn),其中RBAC是當(dāng)前研究得熱點(diǎn)。
1.5.3加密壓縮技術(shù)
加密技術(shù)是保護(hù)信息安全的主要手段之一,是一種主動(dòng)的安全防御策略,是大多數(shù)現(xiàn)代安全協(xié)議的基礎(chǔ)。在企業(yè)信息集成平臺(tái)中,電子文檔作為一種共享資源在網(wǎng)絡(luò)上進(jìn)行傳輸,必然存在被截獲的危險(xiǎn),因此要保證電子文檔的安全傳輸,必須對(duì)其進(jìn)行加密處理。
壓縮技術(shù)有兩種,一種是無損壓縮,一種是有損壓縮。對(duì)于電子文檔數(shù)據(jù),首先應(yīng)該關(guān)注它的可靠性、完整性。因此對(duì)電子文檔的壓縮處理統(tǒng)一采用無損壓縮。目前,無損壓縮算法有很多,當(dāng)前比較成熟、高效的無損壓縮算法多數(shù)是基于LZ系列的無損壓縮算法。
1.6本文的主要工作
本文主要對(duì)供電企業(yè)標(biāo)準(zhǔn)化系統(tǒng)中的電子文檔管理中出現(xiàn)的各種安全問題進(jìn)行分析,并針對(duì)出現(xiàn)的問題進(jìn)行研究,設(shè)計(jì)出了完整的電子文檔安全管理的可行方案。其基本思想是將電子文檔按照其不同的使用性質(zhì)進(jìn)行分類管理,然后采用加密技術(shù)和壓縮技術(shù)處理后,作為關(guān)系型DBMS的一個(gè)特殊字段來保存,再加上相關(guān)文檔的屬性描述字段,通過操作系統(tǒng)的登錄驗(yàn)證、文檔管理系統(tǒng)的登錄驗(yàn)證、數(shù)據(jù)庫(kù)系統(tǒng)的安全機(jī)制,對(duì)登錄用戶進(jìn)行嚴(yán)格的功能操作權(quán)限和文檔操作權(quán)限的限制以及登錄用戶的詳細(xì)操作日志記錄,這樣就可構(gòu)造出一個(gè)集成的、統(tǒng)一的、安全的文檔數(shù)據(jù)庫(kù)管理系統(tǒng),采用C/S模式數(shù)據(jù)庫(kù)方式下的用戶訪問界面,實(shí)現(xiàn)電子文檔的安全存儲(chǔ)和安全訪問。
第二章 訪問控制技術(shù)的原理與應(yīng)用
隨著Internet規(guī)模的日益擴(kuò)大,網(wǎng)絡(luò)中存儲(chǔ)的關(guān)鍵和敏感數(shù)據(jù)也越來越多,如何保護(hù)這些數(shù)據(jù)不被非法訪問這個(gè)問題顯得越來越重要。供電企業(yè)信息集成平臺(tái)是共享資源和關(guān)鍵敏感數(shù)據(jù)集中存放的地方,因此必須采取有效的手段來保證信息的安全性。訪問控制技術(shù)就是通過不同的手段和安全策略實(shí)現(xiàn)網(wǎng)絡(luò)上的訪問控制,其目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問,加強(qiáng)共享信息的保護(hù)能力。
2.1主體、客體和訪問授權(quán)
訪問控制涉及到三個(gè)基本概念,即主體、客體和訪問授權(quán)。
主體:是一個(gè)主動(dòng)的實(shí)體,它包括用戶、用戶組、終端、主機(jī)或一個(gè)應(yīng)用,主體可以訪問客體。
客體:是一個(gè)被動(dòng)的實(shí)體,對(duì)客體的訪問要受控。它可以是一個(gè)字節(jié)、字段、記錄、程序、文件,或者是一個(gè)處理器、存貯器、網(wǎng)絡(luò)接點(diǎn)等。
授權(quán)訪問:指主體訪問客體的允許,授權(quán)訪問對(duì)每一對(duì)主體和客體來說是給定的。例如,授權(quán)訪問有讀寫、執(zhí)行,讀寫客體是直接進(jìn)行的,而執(zhí)行是搜索文件、執(zhí)行文件。對(duì)用戶的訪問授權(quán)是由系統(tǒng)的安全策略決定的。
在一個(gè)訪問控制系統(tǒng)中,區(qū)別主體與客體很重要。首先由主體發(fā)起訪問客體的操作,該操作根據(jù)系統(tǒng)的授權(quán)或被允許或被拒絕。另外,主體與客體的關(guān)系是相對(duì)的,當(dāng)一個(gè)主體受到另一主體的訪問,成為訪問目標(biāo)時(shí),該主體便成為了客體。
2.2訪問控制原理
計(jì)算機(jī)通信網(wǎng)絡(luò)中,主要的安全保護(hù)措施被稱作安全服務(wù)。根據(jù)1507498-2,安全服務(wù)包括:
(1)鑒別(Authentication)
(2)訪問控制(Access Control)
(3)數(shù)據(jù)機(jī)密性(Data Confidentiality)
(4)數(shù)據(jù)完整性(Data Integrity)
(5)抗抵賴(No-repudiation)
訪問控制作為安全服務(wù)的一個(gè)重要方面,其基本任務(wù)是防止非法用戶即未授權(quán)用戶進(jìn)入系統(tǒng)和合法用戶即授權(quán)用戶對(duì)系統(tǒng)資源的非法使用。訪問控制規(guī)定主體(Subject)對(duì)客體(Object)的授權(quán)(Authorization)?腕w是指需要保護(hù)的資源,又稱作目標(biāo)(Target);主體或稱為發(fā)起者(Initiator),是一個(gè)主動(dòng)的實(shí)體,它是指訪問客體的用戶或代表用戶執(zhí)行的應(yīng)用程序;授權(quán)規(guī)定對(duì)資源可進(jìn)行的操作(例如讀、寫、執(zhí)行或拒絕訪問)。目前,訪問控制技術(shù)已經(jīng)開始成為網(wǎng)絡(luò)信息系統(tǒng)的重要安全保障之一,采用先進(jìn)的安全訪問控制技術(shù)是構(gòu)造網(wǎng)絡(luò)安全防范和保護(hù)系統(tǒng)的主要策略之一。訪問控制的原理如圖2-1所示:
在發(fā)起者(主體)和目標(biāo)(客體)之間插入一層訪問控制實(shí)施功能模塊,當(dāng)發(fā)起者向目標(biāo)提交訪問請(qǐng)求時(shí),攔截這一請(qǐng)求,并將其轉(zhuǎn)送到訪問控制決策功能模塊,對(duì)該請(qǐng)求進(jìn)行決策判斷。訪問控制實(shí)施模塊收到?jīng)Q策模塊回送的決策之后,實(shí)施該決策,放棄請(qǐng)求或者通過請(qǐng)求。
2.3訪問控制策略
2.3.1自主訪問控制(DAC)
自主訪問控制最早出現(xiàn)在六十年代末期的分時(shí)系統(tǒng)中,它是在確認(rèn)主體身份及所屬組的基礎(chǔ)上,對(duì)訪問進(jìn)行限定的一種控制策略。其基本思想是:允許某個(gè)主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。其實(shí)現(xiàn)理論基礎(chǔ)是訪問控制矩陣(Access Control Matirx)。它將系統(tǒng)的安全狀態(tài)描述為一個(gè)矩陣,矩陣的行表示系統(tǒng)的客體,列表示系統(tǒng)的主體,中間每個(gè)元素為對(duì)應(yīng)主體對(duì)對(duì)應(yīng)客體所擁有的訪問權(quán)限。存取矩陣模型的授權(quán)狀態(tài)用一個(gè)三元組(S,O,A)來描述,其中:
S一一主體的集合
0一一客體的集合
A一一訪問權(quán)限的集合
對(duì)于任意一個(gè)si S,oj O,那么相應(yīng)地存在一個(gè)aij A,表示了si對(duì)oj可進(jìn)行的訪問操作權(quán)限。每次用戶提出訪問的請(qǐng)求時(shí),需要對(duì)存取控制矩陣進(jìn)行一次掃描。存取控制矩陣可表示如表2-1:
自主訪問控制的優(yōu)點(diǎn)是靈活,適用于各種類型的系統(tǒng)和應(yīng)用,因此己經(jīng)被廣泛應(yīng)用于各種商業(yè)和工業(yè)的環(huán)境中。目前常用的操作系統(tǒng)中的文件系統(tǒng)使用的都是自主訪問控制,因?yàn)檫@比較適合操作系統(tǒng)資源的管理特性。但是它有一個(gè)明顯的缺點(diǎn)就是這種控制是自主的,它能夠控制主體對(duì)客體的直接訪問,但不能控制主體對(duì)客體的間接訪問,不能提供確實(shí)的保證來滿足對(duì)系統(tǒng)的保護(hù)要求,雖然每個(gè)存取是受控的,但這種授權(quán)定義的存取控制很容易被旁路信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。所以DAC提供的安全性還相對(duì)較低,不能對(duì)信息的傳播加以控制,不能對(duì)系統(tǒng)資源提供充分的保護(hù)。引起這種情況的原因是自主訪問控制策略中的主體權(quán)限太大,對(duì)于如何處理主體能得到的信息并沒有施加任何限制。為此,人們認(rèn)識(shí)到必須采取更強(qiáng)的訪問控制手段,就是強(qiáng)制訪問控制。
2.3.2強(qiáng)制訪問控制(MAC)
強(qiáng)制訪問控制是指系統(tǒng)強(qiáng)制主體服從事先制定的訪問控制策略,它最早出現(xiàn)在七十年代,在八十年代得到普遍應(yīng)用。系統(tǒng)預(yù)先定義用戶的可信任級(jí)別及信息的敏感程度(安全級(jí)別),當(dāng)用戶提出訪問請(qǐng)求時(shí),系統(tǒng)對(duì)兩者進(jìn)行比較以確定訪問是否合法。在強(qiáng)制訪問控制中,系統(tǒng)給主體和客體分配了不同的安全屬性,這些屬性在組織的安全策略沒有改變之前是不可能被輕易改變的。安全屬性是強(qiáng)制性的,它是由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則分配的,用戶以及代表用戶的程序、進(jìn)程等都不能以任何方式修改自身或任何客體的安全屬性。如果系統(tǒng)認(rèn)為具有某安全屬性的用戶不適合訪問某個(gè)資源,那么任何人(包括文件的擁有者)都無法使該用戶具有訪問資源的能力。顯然用戶無權(quán)將任何數(shù)據(jù)資源分配給別的用戶使用,因此就不能簡(jiǎn)單地分配數(shù)據(jù)的訪問權(quán)限了。當(dāng)用戶提出訪問請(qǐng)求時(shí),系統(tǒng)通過對(duì)主體和客體安全屬性匹配的比較來確定是否允許訪問繼續(xù)進(jìn)行。
強(qiáng)制訪問控制的缺點(diǎn)在于訪問級(jí)別的劃分不夠細(xì)致,在同級(jí)間缺乏控制機(jī)制,主體訪問級(jí)別和客體訪問級(jí)別的劃分與現(xiàn)實(shí)要求無法一致。
隨著計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用的發(fā)展,自主訪問控制和強(qiáng)制訪問控制機(jī)制對(duì)于網(wǎng)絡(luò)系統(tǒng)都己不能很好地解決其安全性和靈活性。在當(dāng)前新興的各種應(yīng)用系統(tǒng)中,信息不再屬于系統(tǒng)的某個(gè)用戶而屬于某個(gè)機(jī)構(gòu)或部門,訪問控制需要基于雇傭關(guān)系即用戶在系統(tǒng)中的職能,而自主訪問控制和強(qiáng)制訪問控制機(jī)制都是基于用戶的機(jī)制,它們不能適應(yīng)這種要求,因此需要另外一種訪問控制機(jī)制來適應(yīng)這種要求,即基于角色的訪問控制策略。
2.4基于角色的訪問控制模型(RBAC)
隨著商業(yè)和民用信息系統(tǒng)的發(fā)展,安全需求也在發(fā)生變化,這些系統(tǒng)對(duì)數(shù)據(jù)的完整性、安全性有了進(jìn)一步的要求,而且系統(tǒng)總是處于不斷變化之中,例如人員的增減,部門的增減,應(yīng)用系統(tǒng)的增加等,這些變化使得一些訪問控制需求難以用DAC或者M(jìn)AC來描述和控制。此外,在很多商業(yè)部門中,即使是由終端用戶創(chuàng)建的文件信息,他們也沒有這些文件的“所有權(quán)”。訪問控制應(yīng)該根據(jù)應(yīng)用系統(tǒng)中用戶的職責(zé)來確定用戶的訪問權(quán)限,換句話說,就是訪問控制是由用戶在系統(tǒng)中所承擔(dān)的崗位職責(zé)(角色)來確定的。例如:在一個(gè)供電企業(yè)中包括經(jīng)理、副經(jīng)理、調(diào)度主任、信息中心主任、資料員等角色,這些角色承擔(dān)的職責(zé)不同,對(duì)系統(tǒng)的使用權(quán)限也就不同,所以利用角色的概念來進(jìn)行訪問控制管理是非常有效的。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院MST(National Institute of Standards and Technology)于20世紀(jì)90年代初提出基于角色的訪問控制(Role-Based Access Control,簡(jiǎn)稱RBAC),目前得到了廣泛的研究和應(yīng)用。
2.4.1 RBAC的基本概念
在基于角色的訪問控制(RBAC)中,角色是實(shí)現(xiàn)訪問控制策略的基本語(yǔ)義實(shí)體。系統(tǒng)管理員可以根據(jù)職能或機(jī)構(gòu)的需求策略來創(chuàng)建角色、給角色分配權(quán)限和給用戶分配角色等;诮巧L問控制的核心思想是將權(quán)限同角色關(guān)聯(lián)起來,而用戶的授權(quán)則通過賦予相應(yīng)的角色來完成,用戶所能訪問的權(quán)限就由該用戶所擁有的所有角色的權(quán)限集合的并集來確定。角色之間可以有繼承、限制等邏輯關(guān)系,并通過這些關(guān)系影響用戶和權(quán)限的對(duì)應(yīng)關(guān)系。在實(shí)際應(yīng)用中,根據(jù)供電企業(yè)中不同工作的職能可以創(chuàng)建不同的角色,每個(gè)角色代表一個(gè)獨(dú)立的訪問權(quán)限實(shí)體。然后在此基礎(chǔ)上根據(jù)用戶的職能分配相應(yīng)的角色,這樣用戶的訪問權(quán)限就通過被授予的角色的權(quán)限來體現(xiàn)。在用戶機(jī)構(gòu)或權(quán)限發(fā)生變化時(shí),可以很靈活地將該用戶從一個(gè)角色轉(zhuǎn)移到另一個(gè)角色來實(shí)現(xiàn)權(quán)限的協(xié)調(diào)轉(zhuǎn)換,降低了管理的復(fù)雜度,而且這些操作對(duì)用戶完全透明。另外,當(dāng)組織機(jī)構(gòu)發(fā)生職能變化時(shí),應(yīng)用系統(tǒng)只需要對(duì)角色進(jìn)行重新授權(quán)或取消某些權(quán)限,就可以使系統(tǒng)重新適應(yīng)需要.這些都使得基于角色訪問控制策略的管理和訪問方式具有無可比擬的靈活性和易操作性。
RBAC是一種非自主的訪問控制機(jī)制,支持對(duì)特定安全策略進(jìn)行集中管理。其非自主性表現(xiàn)在用戶并不“擁有”所訪問的對(duì)象,不能任意地將自己擁有的訪問權(quán)限授予其他用戶。
基于角色的訪問控制可以簡(jiǎn)單表述為圖2-2:
角色訪問控制是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的,這種活動(dòng)性質(zhì)表明用戶充當(dāng)了一定的角色。用戶訪問系統(tǒng)時(shí),系統(tǒng)必須先檢查用戶的角色,然后取得相應(yīng)的訪問權(quán)限。一個(gè)用戶可以充當(dāng)多個(gè)角色,一個(gè)角色可以由多個(gè)用戶擔(dān)任。
在RBAC策略中,涉及到的基本概念如下:
(1)用戶U(User):信息系統(tǒng)的使用者。主要指操作人員,也可以是計(jì)算機(jī)或網(wǎng)絡(luò);
(2)角色R(Role):一個(gè)可以完成一定事務(wù)的命名組,不同的角色通過不同的事務(wù)來執(zhí)行各自的功能;
(3)客體Ob(Object):系統(tǒng)中可以訪問的對(duì)象、資源;
(4)操作Op(Operation):對(duì)客體可以執(zhí)行的操作,操作的類別取決于其所在應(yīng)用系統(tǒng),在文件系統(tǒng)中,包括讀、寫和運(yùn)行,而在數(shù)據(jù)庫(kù)管理系統(tǒng)中,操作還包括插入、刪除、修改和更新等;
(S)許可P(Permission):用戶對(duì)信息系統(tǒng)中的對(duì)象(Obs)進(jìn)行某種特定模式訪問的操作許可;
(6)會(huì)話(Session):用戶是一個(gè)靜態(tài)的概念,而會(huì)話是一個(gè)動(dòng)態(tài)的概念。一個(gè)會(huì)話是用戶的一次活躍進(jìn)程,它代表用戶與系統(tǒng)進(jìn)行交互。會(huì)話是一個(gè)用戶和多個(gè)角色的映射,一個(gè)用戶可以同時(shí)打開多個(gè)會(huì)話。
從以上介紹可以看出,RBAC模型有三個(gè)實(shí)體集為基礎(chǔ),它們分別是用戶集(U),角色集(R),許可集(P)。在RBAC中,每個(gè)角色被賦予若干許可,每項(xiàng)許可也可能同時(shí)授予多個(gè)角色,所以角色與許可之間是多對(duì)多的關(guān)系;每個(gè)用戶至少被授予一個(gè)角色,同一角色可以被多個(gè)用戶共享,所以用戶與角色也是多對(duì)多的關(guān)系。用戶通過自己扮演的角色獲得許可。RBAC中的另一個(gè)成分是會(huì)話集(S),它把一個(gè)用戶與一個(gè)或多個(gè)角色相關(guān)聯(lián)。當(dāng)一個(gè)用戶建立一個(gè)會(huì)話時(shí),就激活了他作為直接或間接成員的角色的子集。當(dāng)用戶同時(shí)激活多個(gè)角色時(shí),他獲得的許可是這些角色許可的并集。同時(shí)RBAC通過約束機(jī)制來約束角色授權(quán)和用戶賦予角色,使其滿足安全策略的要求。
2.4.2 RBAC的結(jié)構(gòu)模型
根據(jù)對(duì)不同復(fù)雜度權(quán)限的需求,RBAC參考模型定義了三個(gè)分組件,分別是:
(1) Core Components:
——Core RBAC:核心 RBAC
(2) Constraining Components:
——Hierarchical RABC:層次RBAC
——General
——Limited
(3)Separation of Duty Relations:職責(zé)隔離
—Static Sean of Duty (SSD)
—Dynarriic Separation of Duty ( DSD )
職責(zé)關(guān)系隔離也叫做Constrained Componets。
2.4.2.1核心RBAC
Core RBAC定義了RBAC模型的五個(gè)基本元素:User,Role,Operations,Objects,Permissions。最基本的RBAC如圖2-3所示:
Core RBAC的基本概念是用戶通過成為角色的成員來獲得相應(yīng)的權(quán)限。但Core RBAC并不顯式的禁止用戶通過其他的方式獲得操作權(quán)限。它僅要求用戶一角色和角色一權(quán)限關(guān)系均為多對(duì)多的關(guān)系,并可動(dòng)態(tài)添加用戶一角色和角色一權(quán)限關(guān)系,且一個(gè)用戶可以通過同時(shí)被指定多個(gè)角色而同時(shí)獲得多個(gè)角色的多個(gè)權(quán)限。
2.4.2.2層次RBAC
在核心RBAC的基礎(chǔ)上增加對(duì)角色等級(jí)(Role Hierarchy)的支持。角色等級(jí)是一個(gè)嚴(yán)格意義上的偏序關(guān)系,上級(jí)角色繼承下級(jí)角色的權(quán)限,下級(jí)角色獲得上級(jí)角色的用戶。
角色劃分等級(jí)是RBAC的一個(gè)突出優(yōu)點(diǎn)。通?梢愿鶕(jù)現(xiàn)實(shí)組織結(jié)構(gòu)的模式構(gòu)造角色層次關(guān)系,使它直接反映一個(gè)組織的職責(zé)關(guān)系,但是等級(jí)RBAC組件除了規(guī)定了最基本的概念以外,并沒有做詳細(xì)描述。因此在具體實(shí)現(xiàn)一個(gè)RBAC系統(tǒng)時(shí),還需要進(jìn)一步細(xì)化,比如增加更多的對(duì)繼承的限制。等級(jí)RBAC的結(jié)構(gòu)如圖2-4所示:
2.4.2.3約束RBAC
核心模型的另一個(gè)增強(qiáng)的方向是約束模型。作為一個(gè)完整的安全模型,約束機(jī)制是非常重要的性能。對(duì)于一個(gè)具體的系統(tǒng)而言,無論它是否具有層次角色的特征,約束機(jī)制都是必不可少的。例如:在一個(gè)組織內(nèi)出納角色和會(huì)計(jì)角色不能同時(shí)授予同一個(gè)用戶。當(dāng)使用了角色約束機(jī)制后,公司的領(lǐng)導(dǎo)層就可以不必再考慮具體的實(shí)施。這樣方便系統(tǒng)管理員的管理,這對(duì)于一個(gè)大型的企業(yè)系統(tǒng)來說,是非常重要的。實(shí)際上,通過約束機(jī)制,RBAC就可以實(shí)現(xiàn)強(qiáng)制安全控制,而且包括對(duì)RBAC本身的管理和控制。對(duì)于角色的約束機(jī)制主要以下兩種約束:角色靜態(tài)互斥約束和角色動(dòng)態(tài)互斥約束。
角色靜態(tài)互斥約束是指通過將用戶指派給角色時(shí)施加約束來阻止角色沖突的發(fā)生。這意味著如果一個(gè)用戶指派給一個(gè)角色,那么它將被禁止指派給與這一角色存在互斥關(guān)系的任何角色。角色靜態(tài)互斥約束模型結(jié)構(gòu)如圖2-5所示:
與角色靜態(tài)互斥約束類似,角色動(dòng)態(tài)互斥約束也是限制可提供給用戶的訪問權(quán)限,但是實(shí)施的機(jī)制不同。角色動(dòng)態(tài)互斥約束在用戶會(huì)話中對(duì)可激活的當(dāng)前角色進(jìn)行限制。在角色靜態(tài)互斥約束中,有沖突的角色不能被指派給同一用戶;在角色動(dòng)態(tài)互斥約束中,有沖突的角色可以被指派給同一用戶,但是它們不能在同一個(gè)會(huì)話中被激活。角色動(dòng)態(tài)互斥約束是最小權(quán)限原則的擴(kuò)展,每個(gè)用戶根據(jù)其執(zhí)行的任務(wù)可以在不同的環(huán)境下?lián)碛胁煌?jí)別的訪問權(quán)限,確保訪問權(quán)限不會(huì)在時(shí)間上超越它們對(duì)履行職責(zé)的必要性,這種機(jī)制稱作信任的適時(shí)變更。角色動(dòng)態(tài)互斥約束的模型結(jié)構(gòu)如圖2-6所示:
2.4.3基于角色訪問控制機(jī)制的優(yōu)點(diǎn)
傳統(tǒng)的訪問控制策略直接將訪問主體與客體相聯(lián)系,如圖2-7所示:
基于角色的訪問控制模型通過在用戶和權(quán)限之間引入角色這個(gè)中介,為用戶授予角色,為角色授予權(quán)限,用戶通過角色間接訪問系統(tǒng)資源,限的邏輯分離。圖給出了用戶、角色、與權(quán)限的職責(zé)分離關(guān)系。實(shí)現(xiàn)了用戶與權(quán)資源分配關(guān)系如圖2-8所示:
分析以上兩類訪問控制的模型圖可以看出基于角色的訪問控制克服了傳統(tǒng)訪問控制的諸多不足,主要表現(xiàn)在:1)簡(jiǎn)化了授權(quán)操作,可以有效地對(duì)大量用戶實(shí)現(xiàn)訪問控制。傳統(tǒng)的訪問控制實(shí)現(xiàn)方法,將用戶與訪問權(quán)限直接相聯(lián)系,當(dāng)組織內(nèi)人員新增或離開,或者某個(gè)用戶的職能發(fā)生變化時(shí),需要進(jìn)行大量的授權(quán)更改工作,修改許多相關(guān)的訪問控制權(quán)限設(shè)置。而在RBAC中,角色作為溝通用戶與資源之間的橋梁。一個(gè)組織內(nèi),可根據(jù)組織的具體情況,設(shè)定若干個(gè)與一定權(quán)限相聯(lián)系的角色,不同的角色擁有不同的訪問權(quán)限和職責(zé)。此時(shí),對(duì)用戶的訪問授權(quán)轉(zhuǎn)變?yōu)閷?duì)角色的授權(quán)。一旦一個(gè)RBAC系統(tǒng)建立起來以后,主要的管理工作即為授予或取消用戶的角色,而對(duì)一個(gè)用戶所擁有的角色數(shù)量比擁有的資源數(shù)量少得多,這樣可以大大減少系統(tǒng)管理員的維護(hù)量。2)系統(tǒng)管理員在一種比較抽象的,與企業(yè)通常的業(yè)務(wù)管理相類似的層次上控制訪問。這種授權(quán)使管理員從訪問控制底層的具體實(shí)現(xiàn)機(jī)制脫離出來,十分接近日常的組織管理規(guī)則。通過定義及建立不同的角色、角色的繼承關(guān)系、角色間的聯(lián)系以及相應(yīng)的限制,管理員可動(dòng)態(tài)或靜態(tài)地規(guī)范用戶的行為。
2.5基于崗位角色的訪問控制模型(PRBAC)
2.5.1 PRBAC訪問控制模型
RBAC模型作為一種策略無關(guān)的訪問控制技術(shù),它不局限于特定的安全策略,幾乎可以描述任何的安全策略,克服了傳統(tǒng)訪問控制的諸多不足,所以其應(yīng)用領(lǐng)域極為廣泛,如管理信息系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、計(jì)算機(jī)操作系統(tǒng)以及網(wǎng)絡(luò)間的訪問控制等。但是RBAC模型是抽象、普適的模型,距離具體的現(xiàn)實(shí)應(yīng)用有一定的距離。RBAC模型在角色配置的工程化、角色動(dòng)態(tài)轉(zhuǎn)換等方面還需要進(jìn)一步研究,RBAC比DAC和MAC復(fù)雜,系統(tǒng)實(shí)現(xiàn)難度相比之下要大。而且RBAC的策略無關(guān)性需要用戶自己定義適合本領(lǐng)域的安全策略,定義眾多的角色和訪問權(quán)限以及它們之間的關(guān)系。因此,為了實(shí)現(xiàn)電子文檔管理系統(tǒng)中統(tǒng)一資源的訪問控制,需要對(duì)RBAC模型進(jìn)行改進(jìn)或簡(jiǎn)化,供電企業(yè)應(yīng)該根據(jù)企業(yè)本身信息管理的標(biāo)準(zhǔn),人員職責(zé)的要求,分工的需要等方面建立合適的訪問控制機(jī)制。本文在繼承RBAC先進(jìn)控制思想的基礎(chǔ)上結(jié)合供電企業(yè)的特點(diǎn)和企業(yè)的要求對(duì)RBAC模型進(jìn)行擴(kuò)展,對(duì)RBAC模型進(jìn)行擴(kuò)展主要基于以下幾個(gè)方面:
- 適應(yīng)供電企業(yè)行政管理模式,供電企業(yè)崗位比較固定,而且每個(gè)崗位的職責(zé)也相對(duì)穩(wěn)定;
- 需控制的資源的不斷增加,各種應(yīng)用軟件、電子文檔資源的不斷增加,維護(hù)復(fù)雜化;
- 便于系統(tǒng)管理員更直觀地授權(quán)。
2.5.2 PRBAC訪問控制結(jié)構(gòu)模型
經(jīng)過擴(kuò)展的RBAC模型如圖2-9所示:
此模型在RBAC模型的基礎(chǔ)上增加了崗位(Post)這一集合,模型的主要組成元素有用戶集合(U),崗位集合(P),角色集合(R),信息對(duì)象集合(O)。這樣用戶直接和崗位對(duì)應(yīng),而一個(gè)崗位擁有一個(gè)或多個(gè)角色,角色擁有一個(gè)或多個(gè)資源。這樣系統(tǒng)管理員可以更加直觀地給工作人員分配權(quán)限。權(quán)限分配流程如圖2-10所示:
2.6基于崗位角色的訪問控制模型在本課題中的應(yīng)用
在供電企業(yè)電子文檔的管理中,一個(gè)方面要保證敏感信息的安全,另一方面還要保證信息流動(dòng)的靈活性,即保證敏感信息安全性的基礎(chǔ)上還必須保證信息在必要的部門之間合理地流動(dòng)以達(dá)到使企業(yè)高效運(yùn)作的目的。隨著訪問資源的增加,以及機(jī)構(gòu)人員的變動(dòng),都會(huì)使系統(tǒng)的維護(hù)復(fù)雜化。因此,在考慮敏感信息安全共享的前提下,需要設(shè)計(jì)易于系統(tǒng)管理員維護(hù)的、直觀的電子文檔管理系統(tǒng)。本課題在訪問控制方面采用了前面介紹的基于崗位角色的訪問控制模型。模型定義了四個(gè)元素集合:
(1)用戶集(U):工作人員:
(2)崗位集(P):一般由實(shí)際的行政崗位來確定;
(3)角色集(R):可以完成一定事務(wù)的命名組,對(duì)于角色的命名比較靈活,系統(tǒng)管理員可依照方便性、易維護(hù)性的原則進(jìn)行命名;
(4)資源集(O):指電子文檔。
電子文檔管理系統(tǒng)中,將資源(電子文檔)按照等級(jí)、性質(zhì)進(jìn)行分類,然后根據(jù)實(shí)際的需要將操作權(quán)限分配給已命名的角色,己分配操作權(quán)限的角色按照實(shí)際工作的需要分配給已命名的崗位,然后根據(jù)用戶的職責(zé)分配具體的崗位。這樣就完成對(duì)用戶的授權(quán)。當(dāng)某個(gè)崗位的職責(zé)發(fā)生變化時(shí),系統(tǒng)管理員只需要根據(jù)崗位的新職責(zé)增加或取消某些角色;而當(dāng)增加用戶,或者用戶崗位發(fā)生變化時(shí),只需要給該用戶授予新的崗位就能完成授權(quán)工作。降低了系統(tǒng)管理員的后期維護(hù)工作量。
基于崗位角色的訪問控制適應(yīng)了企業(yè)特定的安全策略,能夠減輕系統(tǒng)安全管理的負(fù)擔(dān),而且可隨著組織結(jié)構(gòu)和安全需求的變化而變化,具有很好的靈活性。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:標(biāo)準(zhǔn)化系統(tǒng)中電子文檔的安全存儲(chǔ)技術(shù)研究
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/1401932334.html