授权系统的设计、建设规范.doc

胜利石油管理局企业标准Q/SL TEC-b2002授权系统的设计、建设规范1 适用范围胜利油田全辖2 规范解释权本规范由胜利油田石油管理局信息中心解释。3需求背景随着信息系统的不断发展和广泛应用，企业内部和外部的信息数据不断膨胀。企业虽然上了先进的信息系统，但信息数据是呈离散式分布的，缺乏相应的整合与管理。为了解决上述难题，建立一个统一的信息获取窗口或门户，从而提高整体的数据获取效率。而用户认证在确认了合法用户的身份后，如不能赋予用户明确的权限，亦将大大降低控制的细度。这就需要认证授权系统。操作系统和数据库都有授权控制功能。整个系统存在着多帐户、多密码、多次登录问题，因此需要在信息网中采用集中的授权访问控制。4授权系统的相关术语4.1企业信息资源授权系统(Enterprise Information Resource Authorization System,EIRAS)是一套对于企业信息资源（其中包括内部文档、关键性数据、关键性应用程序）进行管理并授权处理的应用系统。在CA技术基础上的面向角色的资源权限分配和统一的身份认证访问控制系统，是基于用户证书和角色的认证、授权系统。该系统通过对资源（应用程序模块）的划分，以及角色（具有不同访问权限的用户集合）的定义，把资源的权限赋予其对应的角色来实现用户对资源的访问和控制。既解决了信息系统本身的安全问题，又避免了使用起来的不便（如各种应用系统过多而难以记忆的用户名和口令等）。4.2强制访问控制（mandatory access control）根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限,限制主体访问客体的方法。定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。4.3敏感标记 （sensitivity label）表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，系统向授权用户要求并接受这些数据的安全级别，且可由系统审计。4.4安全策略（security policy）有关管理、保护和发布敏感信息的法律、规定和实施细则。4.5身份鉴别 计算机信息系统初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。还具备将身份标识与该用户所有可审计行为相关联的能力。4.6数据完整性 计算机信息系统通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。4.7客体重用 在计算机信息系统的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。4.8审计 计算机信息系统能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。系统能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于系统独立分辨的审计记录。4.9计算机信息系统可信计算基 （trusted computing base of computer information system） 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。4.10客体（object） 信息的载体。4.11主体（subject） 引起信息在客体之间流动的人、进程或设备等。5授权的类别划分清晰的权限界定、确保系统的安全与完整性。5.1对数据的授权包括了对文档的授权（系统内的所有表单文档，建立者可以对其建立的文档授权于某一用户、部门、群组拥有浏览、修改、删除等不同的权限）、对网页访问权限（系统管理员可以设置每一个用户拥有访问相应模块的网页权限；系统管理员可以对某一部门，某一群组拥有授予访问权限；灵活的定义角色，让成为这一角色的用户或部门拥有相同的权限；超时登陆需要重新进行身份认证登陆。）、还有对于各类其他的需要安全授权的数据授权。5.2对进程的授权对于当前的计算机系统中的进程必须根据它所被授予的权限，进行授权处理。使它的操作范围处于受控范围内。5.3对设备的授权对于网络系统中各种可以通过远程获取或操作的设备需要进行授权的控制。没有访问权限的用户不得访问！有访问权限的但是没有修改权限的也必须分别对待。6安全级别的划分第一级：用户自主保护级通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第二级：系统审计保护级与用户自主保护级相比，实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 第三级：安全标记保护级系统具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。 第四级：结构化保护级系统建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。系统必须结构化为关键保护元素和非关键保护元素。信息系统的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。 第五级：访问验证保护级系统满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，系统在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。7安全授权机制的得以实现的技术多重安全、保密机制随着大规模的推广应用，平台必须拥有灵活、可靠的安全机制，以确保信息存储及传递过程中的安全性、保密性。必须拥有灵活、可靠的安全机制，其内置数据库服务器、邮件服务器及WEB服务器可分别安装在不同的服务器上，实现物理上的隔离，又可实现整个系统的无缝集成。同时它采用了超时登陆以及对公文及公文传递SSL加密等先进技术，保证了用户的合法性和唯一性，同时可以保证系统的安全、可靠。充分考虑用户需求，采用业界标准的密钥交换技术，提供手工、预共享、数字证书等灵活丰富的密钥配置方法和多种加密、认证算法，帮助用户低成本的建立符合国际标准的安全网络。就网上购物的过程来说，目前常用的是SSL（安全通道协议）的方式，即就某些特定的文件或文件目录需要访问者提供客户端证书；除非拥有电子证书及相应的私钥，一个访问者的浏览器无法获得这些文件和文件目录。SSL的方式体现在浏览器的访问栏上，应该是Https而不是普通的Http。通过网站验证后的访问者，可以被映射为活动目录中的用户或者用户组，实现合作伙伴之间外部网（Extranet）的应用。电子证书都是基于X.509协议的，保证了与其他系统的互操作性。国际标准组织CCITT建议以X.509作为X.500目录检索的一个组成部分，提供安全目录检索服务。X.500是CCITT建议的，用于分布网络中存储用户信息的数据库的目录检索服务的协议标准。X.509是采用公钥基础结构实施的认证协议，对通信双方按所用密码体制规定了几种认证识别方法，它发表于1988年，经多次修改，1993年又公布了新的版本。X.509对所用具体加密、数字签名、公用密钥以及Hash算法未作限制，将会有广泛的应用，已纳入PEM(PrivacyEnhancedMail)系统中。电子证书的申请过程也可以由管理员设定的批处理方法来进行，用户还可以通过LDAP来查询CA中通讯对方的公钥。公用密钥基本体系通常简称为PKI（PublicKeyInfrastructure），是一个数字认证、证书授权和其他注册授权系统。使用公用密钥密码检验及检证电子商务中所涉及的每个机构的有效性。公用密钥基本体系的标准仍处于发展阶段，尽管它们作为电子商务的一个必要组成部分已得到广泛使用。其核心是加密服务、证书管理服务，为应用程序的开发提供了加密API接口（CryptoAPI）。基于证书的过程所使用的标准证书格式是X.509V3，X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体名称、公用密钥、公用密钥运算法和可选的唯一主体ID。版本3证书的标准制定了以下规定：密钥标识符、密钥用法、证书策略、替换名称和属性、证书路径约束以及对证书撤消原因和列表分区。8胜利油田信息应用授权系统设计、建设指南该指南是指对正在开展的以BS结构为特点的应用了CA认证服务等门户技术的新的应用体系结构的授权系统的设计、建设的规定。新的系统应充分保护原有系统的投资，在不影响正常业务的前提下使原有分散的授权通过分阶段逐步改造的方式或升级换代实现授权的集中统一。局信息安全指导委员会是胜利油田信息应用授权系统设计、建设的领导机构,由所属的局信息安全管理中心具体实施。1) 局所属二级和以下级别的单位的安全管理机构向上级机构负责,在局信息安全管理中心的领导下工作。2) 同级的安全管理机构应包含有掌握本单位各个信息系统管理、应用、业务的专业知识的人员。3) 对委托进行开发、设计、建设的产品供应商、开发商、集成商等须接受相应的安全管理机构领导，并遵照有关安全规范开展工作。9胜利油田信息应用授权系统设计、建设的框架9.1类别基于应用现状,初步将应用划分为以下类别:1) 党政类, 有严格的保密要求，有关文件是否上网具体由党委保密办决定。2) 财务类, 有保密、抗毁要求。3) 油田生产专业类,关系到油田生产、运营决策，很重要，高可用性，有一定保密要求，4) 资金流、物流、信息流三流合一应用（供应处的电子商务），要求高可用性，保密。5) 信息安全支撑性基础设施类（如：CA，目录服务器，入侵监测等）。6) 其他类。对以上的党政类、财务类、油田生产专业类、资金流、物流、信息流三流合一应用类这四大类属于关键应用类，在以后的应用开发和改造时，需根据他们所受到的安全威胁、可能产生的风险进行分析，制定相应的安全目标，对涉及每个应用类内的客体，可根据需要保护的程度，划分不同的子类或保护等级，受保护程度要求高的需设置敏感性标记，并规定与之相关联的主体或主体等级，对主体规定严格的鉴别机制，并规定相适应的自主访问控制或强制访问控制策略。在设计敏感性标记的过程中,规定与之相关联的主体或主体等级的工作在局信息安全管理中心领导下统一实施,涉及各下属机构的应用的相应工作须在局信息安全管理中心的指导下针对本单位的具体实际详细设计,在设计中要确保总体的一致性和完整性。对于类别间的存在的信息交换应根据可能受到的安全风险(包括通信链路上的安全风险)提供相应的授权和保护措施。油田的信息基础设施应能保障授权系统的实施,在受设备、基础软件、支撑软件的限制的情况下尽可能的实施改造加固措施，尤其是在应用开发、管理制度、人员安全培训方面采取强化措施，从总体上保障安全目标的实现。在新的应用设计中应根据用户角色的需要授权，根据最小授权原则，采取各种措施限制和避免因设备、基础软件、支撑软件的漏洞和脆弱性而导致可能的非授权访问。对于因技术设备的限制或某些工作特点而造成的某些角色权限过大，如系统管理员，系统维护工作的人员等，应进行安全培训教育，加强管理，根据受保护客体的敏感程度，在应用开发设计中强化审计跟踪。对于涉及安全保护等级要求高的关键应用的某些主体，尤其是对进口的设备、基础软件、支撑软件等，因条件限制无法确定其可信计算基的安全性，要充分评估由此可能导致的安全风险，在应用效益要求与安全风险之间做出审慎的平衡后，有条件的加以使用，在应用系统设计中，应充分考虑对其监控的手段，防止非授权等行为的发生，在系统运行时，还应加强运行监督管理。胜利油田信息应用授权系统设计、建设的框架的内容由局信息安全管理中心解释,并根据发展进程作适当调整和修改。9.2安全等级的确定在授权系统的安全设计和建设时，建议根据安全需求分析，需要保护的客体的重要程度，确定如下安全保护等级：第一级（用户自主保护级）；这是当前大多数