（计算机应用技术专业论文）企业信息系统中改进型rbac模型的研究与应用.pdf

， 工 摘要 基于角色的访问控制( r b a c ) 是目前主流的访问控制机制，然而将其应用到具体 企业信息系统中时，仍显示出不足。本文在介绍了标准r b a c 模型后，针对企业信息系 统中的特点和一些特殊安全要求，分析了f u 3 a c 模型的不足之处，构造了具有一定通用 性的改进型r b a c 模型( i m p r o v e d - r b a c 模型) 。与传统的r b a c 模型相比，i - r b a c 主要 有以下三点改进： l 、针对用户一次会话的信息表示和存储，i r b a c 模型在用户和策略存储之间加入 了s e s s i o n x m l ，作为权限中间表示层，对访问控制信息的缓存，提高了系统的效率。 2 、集中式与分散式管理的结合 i r b a c 将管理员角色分类，并在这些角色增加了互斥的约束，实现了集中式与分 散式管理。 3 、权限代理 借鉴了自主型访问控制的思想，i - r b a c 提出了权限代理的概念，即允许用户在许 可范围内将自己的某项权限有限制的转让给他人。这弥补了标准化r b a c 模型由于角色 严格的定义与分配带来的不灵活。 在给出i - r b a c 改进的基础上，本文介绍了工一r b a c 模型的总体架构，包括i r b a c 策略存储、i r b a c 管理模型和i - r b a c 守护管理三部分。本文实现了i - r b a c 模型，并 将其应用到实际项目中。i - r b a c 模型是企业信息系统中通用的安全访问控制模型，它 实现了从简单到复杂的访问控制，具有良好的封装性、扩展性和策略无关性，二次开 发人员可以通过选择对模型不同程度的支持实现不同企业安全系统的需求。 关键词：安全访问控制：r b a c 模型；企业信息系统；x m l a b s t r a c t r o l e - b a s e da c c e s sc o n t r o list h ep r e v a ili n ga c c e s sc o n t r o lm e t h o da t p r e s e n t w h il eu s e di nt h es p e c i a li z e de n t e r p r i s ei n f o r m a t i o ns y s t e m ( e i s ) d i r e c t l y ， i tt u r n so u tt oh a v es o m ep r o b l e m s i nt h i sa r t i c l e ，w ef i r s t i n t r o d u c et h es t a n d a r dr b a cm o d e lo fn a t i o n a li n s t i t u t es t a n d a r dt e c h n o l o g y ， t h e ni na l l u s i o nt ot h ec h a r a c t e r i s t i co fe i s ss e c u r i t yr e q u i r e m e n t ，w e a n a l y s i st h e r b a c ss h o r t a g ea n dp r e s e n tam o r eg e n e r a lm o d e l ，i m p r o v e d r b a cm o d e l c o m p a r e dw i t ht r a d i t i o n a lr b a cm o d e l i - r b a ci si m p r o v e di nt h e f o ll o w i n g3a s p e c t s ： 1 i r b a cm o d e la d d sas e s s i o n x m ll a y e rb e t w e e nu s e ra n dp o l l c ys t o r a g e a st h ec a c h eo fa c c e s sc o n t r o l i n f o r m a t i o n ，i ti m p r o v e st h es y s t e m s e f f i c i e n c y 2 c e n t r a l i z e da n dd e c e n t r a l i z e dm a n a g e m e n t sc o m b i n a t i o n i r b a cc l a s s i f i e sm a n a g e rr o l e sa n da d d sc o n f l i c ta m o n gt h e m ，r e a l i z i n g c e n t r a liz e da n dd e c e n t r a liz e dm a n a g e m e n t 3 p e r m i s s i o nd e l e g a t i o n u s i n gd a ca sr e f e r e n c e ， i r b a cp u t sf o r w a r d“p e r m i s s i o nd e l e g a t i o n ， w h i c ha l l o w st h eu s e rt ot r a n s f e rc e r t a i n p e r m i s s i o n t oo t h e ru s e r s c o n d i t i o n a l l y t h i sm e t h o dm a k e su pt h ei n f l e x i b i l i t yo ft h es t r i c tr o l e a s s i g n m e n to fs t a n d a r dr b a c j 专一 b a s e do ni - r b a c si m p r o v e m e n t s ，t h i sa r t i c l ei n t r o d u c e si t sa r c h i t e c t u r e ， w h i c hi n c l u d e si r b a cp o l i c ys t o r a g e ，i r b a cm a n a g e m e n tm o d e la n di r b a c d a e m o nm a n a g e m e n t 。工礓b a ch a ss e e na p p l i e di ns o m ep r o j e c t s s i n c ei r b a c m o d e lv a r i e sf r o ms i m p l et oc o m p l e xa c c e s s c o n t r o l ，a n di th a sg o o d e n c a p s u l a t i o n ： e x t e n s i o na n dp o l i c yi n d e p e n d e n c y ， s y s t e md e v e l o p e rc a n c h o o s et os u p p o r td i f f e r e n td e g r e eo fi ta c c o r d i n gt ot h en e e d s t h e r e f o r e ， i r b a ci sag e n e r a la c c e s sc o n t r o lm o d e li ne n t e r p r i s ei n f o r m a t i o ns y s t e m k e y ：s e c u r i t ya c c e s sc o n t r o i ；r b a cm o d e i ；e n t e r p r is e i n f o r m a t i o ns y s t e m ； x m l ，1 jjr 目次 0前言10刖置 1 绪论3 1 1 课题来源3 1 2 国内外研究状况3 1 3 本文的工作4 2 信息安全及访问控制6 2 1 信息安全j 6 2 1 1 信息安全的概念6 2 1 2 信息系统的标准7 2 1 3 信息系统的安全模型8 2 2i n t r a n e t 安全与企业信息化9 2 3 访问控制概念1 0 2 4 访问控制的分类1 l 2 4 1 自主访问控制1 1 2 4 2 强制访问控制1 2 2 4 3 基于角色的访问控制1 3 2 5 访问控制实现机制1 4 2 5 1 访问控制矩阵1 4 2 5 2 访问控制列表1 4 2 5 3 能力关系表j 1 5 2 6 小结1 5 3 基于角色的访问控制1 6 3 1r b a c 的提出及标准化1 6 3 2r b a c 的市场价值及n i s t 的贡献1 6 3 3n i s t 的r b a c 模型1 7 3 3 1 术语定义1 7 3 3 2 核心r b a c 1 8 3 3 3 层次型r b a c 1 9 3 3 4 约束r b a c 2 2 3 3 5n i s tr b a c 模型小结2 4 3 4r b a c 9 6 模型2 5 3 5r b a c 相关模型研究2 6 3 6 小结2 6 4 改进型r b a c ( i - r b a c ) 模型的分析2 7 4 1g m i s a 模型2 7 4 1 1 用户接口层2 8 4 1 2 业务逻辑层2 9 4 1 3 资料层3 0 4 1 4 工业控制层3 0 4 1 5g m i s a 模型的安全特性及要求3 0 4 2i - r b a c 与g m i s a 模型关系3 1 4 3i r b a c 模型的改进3 l 4 3 1 权限中间表示s e s s i o n x m l 3 2 4 3 2 支持集中式和分散式策略管理，3 5 4 3 3 权限代理3 7 4 4i - r b a c 模型的结构3 8 4 5i r b a c 模型的特点4 1 4 5 1 良好的封装性和扩展性4 1 4 5 2 权限的生命期与自动撤销4 3 4 5 3 数据库的策略存储手段4 3 4 5 4 策略无关性4 4 4 6 小结4 4 5i r b a c 模型的实现与应用4 5 5 1i r b a c 模型策略存储4 5 5 2i r b a c 模型结构功能4 5 5 2 1 权限定义模块j 4 5 5 2 2 用户管理模块4 7 5 2 3 角色管理模块4 7 5 2 4 策略限制管理4 8 5 2 5 会话管理模块4 9 5 3 小结5 l 6 总结与展望5 2 6 1 总结5 2 6 2 展望5 3 参考文献5 4 致谢5 6 j i ， 。 p 基 企业信息系统中改进型r b a c 模型的研究与应用 0 前言 目前，随着i n t e r n e t 的不断普及，企业i n t r a n e t 的广泛应用，应用系统对安全防 范提出了更高的要求。开发企业应用系统，安全性主要包括资料的安全保密性和对应用 系统的访问控制。有关资料安全，可以采用对数据库加密的方法；访问控制则主要是在 开发应用时所采用的不同的策略机制。 访问控制最初是针对越权使用资源的防御措施。其目的是为了限制访问主体( 用 户、进程、服务等) 对访问客体( 文件、系统等) 的访问权限，从而使计算机应用系统 在合法范围内使用；它决定用户能做什么，也决定代表一定用户利益的程序能做什么。 尽管最初的目的是阻止对机密情报和信息的未授权的访问，目前更多地应用于商业环境 和企业管理系统中u 。 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，简称d a c ) 和强制访问控制 ( m a n d a t o r ya c c e s sc o n t r o l ，简称m a c ) 是两种传统访问控制方法，它们被应用到大多 数的操作系统中，但随着计算机技术尤其是网络技术的逐渐发展，以及目前大量存在的 商业和政府部门的系统安全需求，人们研究的重心逐渐转移到另一种访问控制方法一基 于角色的访问控制( r o l e - b a s e da c c e s sc o n t r o l ，r b a c ) 方法上。基于角色访问控制是 1 9 9 2 年由f e r r a i o l o 和k u h n 提出的概念陵1 ，由于它能够降低大型网络应用中安全管理 的复杂度和开销而越来越引起人们的重视。 目前对r b a c 已有较广泛的研究，但多停留在理论化和模型化上。这其中包括美国 乔治梅森大学的r b a c 9 6 和a r b a c 9 7 模型，美国国家标准与技术局( n i s t ) 研究小组的r b a c 模型1 。这些模型为评价现有产品的有效性提供了依据，也为软件开发者在未来系统中 实现r b a c 提供了准则。 在i n t r a n e t 环境下，b s 和c s 模式并存的系统中，企业信息系统中常常产生一 些特殊的安全要求。将基于角色的访问控制策略应用到i n t r a n e t 中不仅可以防止信息 访问过程中各种安全漏洞被访问者利用、防止网络安全受到访问者威胁，而且适应了政 府部门、企业特定的安全策略，能够减轻系统安全管理的负担，满足最小特权分配和职 责分离的要求，并且可随组织结构或安全需求的变化而变化，具有很好的灵活性，因此 课题既具有理论意义又有较大的实用价值。通过讨论分析r b a c 模型，本文构造了一种 通用的改进型基于角色的访问控制模型一改进型r b a c ，并介绍了它的总体框架以及具 体实现。 i - r b a c 模型主要在以下方面有所改进： 1 、用户在登陆时会得到他的安全信息，这些信息对用户的一次会话始终有效。 r b a c 模型没有考虑这些临时信息的表示与存储。针对这一点，i r b a c 在用户和策略存 储之间加入了s e s s i o n x m l ，作为权限中间表示层，为同一用户的安全访问控制信息进 行缓存，提高了系统的效率。 2 、集中式与分布式管理结合 r b a c 核心是角色，系统管理员有权对角色进行管理。但是有关对系统管理员的管 理却没有在r b a c 模型讨论过。i - r b a c 将管理员角色分类，并在这些角色增加了互斥 的约束，实现了集中式与分散式管理。另一方面，i r b a c 模型将管理的权限分配给不 垒些堕星墨竺主墼垄型! ! 竺堡型堕堑塑兰窒旦 同类型的管理员，这种分散式的管理减轻了一个管理员的工作负担，并且减少了因管 理员权利过大而导致的职权滥用。 3 、自主型访问控制思想的引入一权限代理 标准化r b a c 模型由于角色有着严格的定义和分配，导致某些时刻权限的临时分配 不够灵活，为此i r b a c 借鉴了自主型访问控制的思想，提出了权限代理的概念，即允许 用户在许可范围内将自己的某项权限有限制的转让给他人。 2 企业信息系统中改进型r b a c 模型的研究与应用 1 绪论 1 1 课题来源 在i n t r a n e t 环境下，b s 和c s 模式并存的系统中，企业信息系统中常常产生一 些特殊的安全要求。将基于角色的访问控制策略应用到i n t r a n e t 中不仅可以防止信息 访问过程中各种安全漏洞被访问者利用、防止网络安全受到访问者威胁，而且适应了政 府部门、企业特定的安全策略，能够减轻系统安全管理的负担，满足最小特权分配和职 责分离的要求，并且可随组织结构或安全需求的变化而变化，具有很好的灵活性。 目前对r b a c 已有较广泛的研究，但多停留在理论化和模型化上。本课题的目的主 要在于研究和实现一种能在复杂企业信息系统中通用的访问控制模型一改进型基于角色 的访问控制模型( i - r b a cm o d e l ) ，使开发人员从权限管理重复劳动的负担中解放出来， 专心致力于应用程序的功能上的开发。多年的项目经验使我们认识到访问控制在该类型 项目中的重要地位，并且这些项目中的访问控制有很多相似性，甚至可以直接复用。为 此我们认为开发一个通用模型无论是对项目质量还是项目进度都有很大益处，并且随着 经验的积累，我们不断的对i r b a c 模型提出更高的要求，促进了其不断的完善。因此 课题既具有理论意义又有很大的实用价值。 该访问模型的早期版本已应用于多个项目中，如陕西秦岭水泥厂企业信息系统、大 连市环保局沙河口分局、辽宁省出入境检验检疫局系统等。最新的模型已经以大连市 环保局中山分局管理信息系统( z h s h b m i s ) 为例做过测试，目前正在应用到营口华浮 印染厂项目中，我们将在后面的章节中以z h s h b m i s 为例对该模型的应用进行详细的介 绍。 1 2 国内外研究状况 使用访问控制对特定主体存取网络资源的权限进行限制，其中特定主体包括用户、 主机、通信信道、主体的联合体、用户群和特定角色的主体。计算机系统需要控制这些 主体登录系统、构建系统及对数据库系统的访问，以保护系统的安全。国外在七十年代 就开始了计算机系统安全的研究，到了八十年代将计算机安全系统地分成了安全操作系 统、网络安全系统、安全数据库系统的研究。而访问控制的研究在这三个领域都是重 点。 早在1 9 7 1 年l a m p s o n h l 就提出了访问矩阵的概念，并结合c o s i n e 的任务驱动技 术，成功地应用在操作系统中。不久，g r a h a m 和d e n n i n g 将该概念进行了改进，最后 由h a r r i s o n ，r u z z o 和u l m a n 三人将该模型概念完善为一种框架体系结构来为系统提供 保护。同时c o n w a y ，m a x w e l l 和m o r g a r 三人在c o r n e l lu n i v e r s i t y 的a s a p 项目中也 使用了安全矩阵作为对资料的访问控制依据，将访问矩阵标准化，这就是自主访问控 制6 1 。 企业信息系统中改进型r b a c 模型的研究与应用 后来d e n n i n g 等人发现给每个用户分配对系统文件的访问属性还不能很有效地控制 系统的信息流向。借鉴了美国安全局在军事中使用的信息流模型，1 9 7 6 年d e n n i n g 提 出了格模型( l a t t i c em o d e l ) 理论吲，以控制系统信息流向，这就是强制访问控制。 美国国防部一直致力于制定安全标准、对标准的解释和制定实现方案。1 9 8 3 年他 们制定了一套广为人知的标准t c s e c 标准( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c r i t e r i a ) ，这些标准直到九十年代中期还被很多部门用户认为是安全有效的该标准中 定义了以上两种访问控制技术，其中d a c 被定义作为商用、民用、政府系统和单级军事 系统中的安全访问控制标准，m a c 被定义作为多级军事系统的安全访问控制标准。所以 这两种技术在很多系统中被采用，直到今天还有很多系统使用这两种模型实现系统的访 问控制。 随着计算机系统网络化，系统面向的应用越来越复杂，安全讨论的重点转移到了分 布式系统环境，而强制访问控制和自主访问控制越来越不能适应这些变化和发展。于是 在八十年代末，有人提出了角色的概念。1 9 9 1 年的a d v a n c e sc r y p t o l o g y - c r y p t o 会议 中m a b a d i ，m b u r r o w s ，b l a m p s o n ，c x p l o t k i n 等人再次提到角色的概念，并将角色 引入访问控制模型中j 这一大胆设想激起了专门研究访问控制专家们的思考，其中乔治 梅森大学的教授r a v i s a n d h u 大胆提出了基于角色访问控制的概念模型，对基于角色 访问控制模型的发展做出了重大贡献。 1 9 9 5 年1 1 月，在首届a c m - r b a c 大会，对该r b a c 控制模型进行广泛的探讨：r _ a v i s a n d h u 和他领导的乔治梅森大学的信息安全技术实验室于1 9 9 6 年提出了著名的 r b a c 9 6 模型口1 ，将传统的r b a c 模型根据不同需要拆分成四种嵌套的模型并给出形式 化定义，极大的提高了系统灵活性和可用性。1 9 9 7 年他们更进一步，提出了一种分布 式r b a c 管理模型a r b a c 9 7 ，实现了在r b a c 模型基础上的分布式管理嘲。这两个模 型清晰的表征了r b a c 概念，并且蕴涵了他人的工作，成为r b a c 的经典模型。绝大多 数基于角色的访问控制研究都以这两个模型作为出发点。 9 7 年1 1 月，在第二届a c m - r b a c 大会，讨论了r b a c 模型在数据库系统、操作系 统、分布式网络系统和基于角色访问控制系统本身中的应用前景和应用技术叫。之后在 9 8 年的第三届及后面的会议中讨论了更多的关于r b a c 的技术。 2 0 0 0 年，n i s t 根据已有r b a c 模型、商业产品和研究原型制定了r b a c 标准。其目 的主要是为产品开发和评价提供一个基石。r b a c 始终在发展中，无论是用户，研究人 员还是生产商也都随着其发展获得更多的经验，从而更加完善r b a c 。因此该标准是对 目前已有概念和特性标准化，并为日后的发展提供了良好的扩展性。 1 3 本文的工作 确定了选题之后，在导师的指导下，我开始了对企业信息系统上访问控制的研究和 探索。两年多的企业信息系统开发使我对该类型的系统有比较深的认识。经过分析实 践，我们建立了通用的管理信息系统软件体系结构模型g m i s a ，为该类系统的开发提供 了一个很好的平台，并在此基础上提出了i - r b a c 模型。 本文是在致力于基于角色的安全访问控制模型的研究工作的基础上撰写而成的，在 分析了企业信息系统和g m i s a 模型的特点后，我们建立了自己的改进型r b a c 模型，使 4 他能够克服标准r b a c 模型无缓存等不足之处，成为该类系统中一个通用的安全讶i 司控 制模型，并具有灵活的扩展性。 论文的主要工作如下： ( 1 ) 对信息安全和已有的访问控制策略进行研究和分析； ( 2 ) 研究和分析美国国家标准技术委员会的基于角色的访问控制模型： ( 3 ) 给出一种新的适用于i n t r a n e t 下企业信息系统的基于角色的访问控制模型改进 型r b a c 模型( i r b a c ) ： ( 4 ) 开发i r b a c 模型，并将其应用到实际项目中。 5 企业信息系统中改进型r b a c 模型的研究与应用 2 信息安全及访问控制 随着计算机技术、通信技术和互联网的飞速发展，计算机安全性已经越来越引起人 们的重视。访问控制作为一种重要的安全技术，已经渗透到操作系统、数据库、网络的 各个方面。 2 。1 信息安全 2 1 1 信息安全的概念 自古以来，信息安全在国家的军事和安全部门一直受到十分广泛的关注，在通信安 全、保密、密码分析上的优势，被认为是赢得历史上许多主要军事冲突胜利的关键因素 之一。纵观历史，这门学科走过了一段漫长的道路，从原始的手工作业到采用机械设 备，进而到电子设备，特别是半个多世纪前第一台计算机的诞生都对信息安全技术产生 了深远的影响。计算机技术在各行各业发挥着巨大的作用，同时也推动了许多行业的发 展。以计算机和通信网路为基础建立的各种信息系统，给人们生活、工作带来了巨大变 革。由于计算机的普及，无论是军事、外交、工业、金融还是商业领域都实现了自动 化。大型信息系统将众多的计算机和智能化设备连在一个通信网路中，共享丰富的数据 库信息和计算机资源，存储大量的数据文件，完成异地间的资料交换和通信。信息系 统的应用，加速了社会自动化的进程，减轻了日常繁杂的重复劳动，同时也提高了生产 率，创造了经济效益。 然而随着信息系统的广泛应用，它的安全性也面临着日益严重的挑战。信息安全问 题主要来自于两方面： 一、计算机信息系统本身存在的严重的脆弱性，给各种攻击提供了方便之门。所谓 计算机系统的脆弱性是指计算机系统的硬件资源、通信资源、软件及信息资源等，因可 预见或不可预见的原因而遭到破坏、更改、泄露、功能失效，使计算机系统处于异常状 态，甚至崩溃瘫痪，导致信息的丢失等。具体表现在： 实体的脆弱性：各种计算机设备( 如主机、c r t ，电缆、h u b ，微波等) ，除难以抗拒的 自然灾害外，温度、湿度、尘埃、静电、电磁场等也可以造成信息的泄露或失效。计算 机系统在工作时，向外辐射电磁波，易造成敏感信息的泄露。 软件的脆弱性：软件的脆弱性体现在软件泄露和软件修改，易受特洛伊木马、病 毒、隐信道、逻辑炸弹、黑客、天窗、陷阱等攻击。软件、网络协议、系统体系结构、 安全策略等本身缺陷，是现在系统脆弱性的主要原因。 二、人为因素 包括安全管理水平低、人员技术素质差、操作失误或错误、违法犯罪行为等，也是 影响信息安全问题的一个重要因素。 信息安全对维持组织的竞争优势、现金流转、赢利、守法和商业形象起着至关重要 的作用。然而，各组织及其信息系统和网络正面临着广泛来源的安全威胁，这些威胁不 仅包括计算机辅助欺诈、间谍活动、破坏、火灾或水灾，还包括了诸如计算机病毒、黑 6 企业信息系统中改进型r b a c 模型的研究与应用 客捣乱、d o s 攻击等等。随着对信息系统和服务的依赖程度的增加，组织面对安全威胁 将更为脆弱。 计算机信息系统中的信息具有三个基本的安全性质：保密性( c o n f i d e n t i a l i t y ) ， 完整性( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) u 叫 1 、保密性：信息不泄露给非授权用户、实体或过程，信息只能被合法的授权用户 访问。 2 、完整性：资料不被非授权用户修改和破坏。即信息在存储和传输过程中保持不 被修改、不被破坏和丢失的特性。 3 、可用性：有权访问信息的合法用户可以随时对信息进行访问，即当需要时信息 能被存取。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用 性的攻击。 破坏了这三条性质中的任何一条就是破坏了系统的安全。概括而言，对计算机系统 安全的威胁有四种类型：中断，窃取，篡改和伪造，其中中断就是信息被破坏、丢失， 变得不可用；窃取就意味着信息被不合法地访问了；篡改就是指信息被不合法地访问并 且被修改；伪造信息就是信息来自于不合法用户。 2 1 2 信息系统的标准 i s o i e c l 7 7 9 9 作为信息安全管理实用规则，针对信息安全管理给出了详细的、文件化 的、易操作的建议，给组织的信息安全管理提供了最佳实践指导。信息安全管理实用规则 i s 0 i e c l 7 7 9 9 的前身为英国的b s 7 7 9 9 标准，该标准由英国标准协会( b s i ) 于1 9 9 5 年2 月 提出、1 9 9 5 年5 月修订而成，并于1 9 9 9 年重新修改了该标准n 。b s 7 7 9 9 分为两个部分： b s 7 7 9 91 ，信息安全管理实施规则；b s 7 7 9 9 2 ，信息安全管理体系规范。 i s 0 i e c l 7 7 9 9 ( b s 7 7 9 9 1 ) 对信息安全管理给出建议，供负责在其组织启动、实施或维 护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础， 并为组织之间的交往提供信任。i s 0 i e c l 7 7 9 9 包含了1 2 7 个安全控制措施来帮助组织识别 在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和 使用，或者增加其它附加控制。这1 2 7 个控制措施被分成l o 个方面，成为组织实施信息安 全管理的实用指南，这十个方面分别是： ( 1 ) 安全政策：制定信息安全方针，为信息安全提供管理指导和支持。 ( 2 ) 组织安全：建立信息安全基础设施，来管理组织范围内的信息安全；维持被第 三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其它组织 时，维护信息的安全。 ( 3 ) 资产的分类与控制：核查所有信息资产，以维护组织资产的适当保护，并做好 信息分类，确保信息资产受到适当程度的保护。 ( 4 ) 人员安全：注意工作职责定义和人力资源中的安全，以减少人为差错、盗窃、 欺诈或误用设施的风险；做好用户培训，确保用户知道信息安全威胁和事务，并准备好 在其正常工作过程中支持组织的安全政策；制定对安全事故和故障的响应流程，使安全 事故和故障的损害减到最小，并监视事故和从事故中学习。 企业信息系统中改进型r b a c 模型的研究与应用 ( 5 ) 物理和环境的安全：定义安全区域，以避免对业务办公场所和信息的未授权访 问、损坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或泄露和业务活动的中 断；同时还要做好一般控制，以防止信息和信息处理设施的泄露或盗窃。 ( 6 ) 通信和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操 作；建立系统规划和验收准则，将系统故障的风险减低到最小；防范恶意软件，保护软 件和信息的完整性；建立内务规程，以维护信息处理和通信服务的完整性和可用性；确 保信息在网络中的安全，以及保护其支持基础设施；建立媒体处置和安全的规程，防止 资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。 ( 7 ) 访问控制：制定访问控制的业务要求，以控制对信息的访问；建立全面的用户 访问管理，避免信息系统的未授权访问；让用户了解他对维护有效访问控制的职责，防 止未授权用户的访问；对网络访问加以控制，保护网络服务；建立操作系统级的访问控 制，防止对计算机的未授权访问；建立应用访问控制，防止未授权用户访问保存在信息 系统中的信息；监视系统访问和使用，检测未授权的活动；当使用移动计算和远程工作 时，也要确保信息安全。 ( 8 ) 系统开发和维护：标识系统的安全要求，确保安全被构建在信息系统内：控制 应用系统的安全，防止应用系统中用户资料的丢失、被修改或误用；使用密码控制，保 护信息的保密性、真实性或完整性；控制对系统文件的访问，确保按安全方式进行i t 项目和支持活动；严格控制开发和支持过程，维护应用系统软件和信息的安全。 ( 9 ) 业务持续性管理：目的为了减少业务活动的中断，使关键业务过程免受主要故 障或天灾的影响。 ( 1 0 ) 符合性：信息系统的设计、操作、使用和管理要符合法律要求，避免任何犯 罪、违反民法、违背法规、规章或合约义务以及任何安全要求；定期审查安全政策和技 术符合性，确保系统符合组织安全政策和标准；还要控制系统审核，使系统审核过程的 效力最大化，干扰最小化。 2 1 3 信息系统的安全模型 信息系统安全是一项复杂的系统工程，它的实现除了技术方面的问题还需要法律、 管理、社会因素的配合。因此信息系统的安全模型是一个层次结构，如表2 - 1 所示。 表2 - 1 信息系统安全层次模型 t a b l e2 1h i e r a r c h i c a lm o d e lo fi n f o r m a t i o ns y s t e ms e c u r i t y 安全层次名称层次 数据信息安全 软件安全系统措施 通信网络安全措施 硬件系统安全措施 屋里实体安全措施 管理细则保护措施 法律、规律、道德、纪律 7 层 6 层 5 层 4 层 3 层 2 层 1 层 8 企业信息系统中改进型r b a c 模型的研究与应用 表中各层之间相互依赖，下层向上层提供支持，上层依赖于下层的完善，最终实现 资料信息的安全。其中通信网路、系统软件、信息安全保密技术是计算机信息系统安全 的关键，也是信息安全技术的主要研究内容。 2 2ln t r a n e t 安全与企业信息化 i n t r a n e t 是一种企业内部信息管理和交换的基础设施，通过引入i n t e r n e t 的通信 标准和w w w 内容的标准( w e b 技术、浏览器、页面、检索工具和超文本链接) ，对信息处 理表示方式和相关技术进行了变革u 羽。通过i n t r a n e t ，一方面可以方便地集成已有的系 统，另一方面又可以与外部信息环境( 如i n t e r n e t 或其它的i n t r a n e t ) 自然紧密结合起 来，从而可以更加自由地获取或发布信息。i n t r a n e t 的出现和迅速发展对企业信息系 统( e n t e r p r i s ei n f o r m a t i o ns y s t e m ，以下简称e i s ) 所赖以运行的基础环境产生了变 革性的影响。i n t r a n e t 的出现促成了e i s 中各子系统的集成，有利于企业信息流的统 一o 在信息化社会，越来越多的企事业单位都建立了自己的管理信息系统，这种大型信 息管理系统将众多的计算机和设备连在一个四通八达的通信网路中，共享丰富的数据库 信息，存储大量的数据文件，完成异地之间的资料交换与通信，信息系统的应用，加速 了社会现代化进程，减轻了日常复杂的繁重劳动，提高了生产率，创造了经济效率。 然而信息系统越是重要，它就越容易受到攻击，攻击者以求从中获得非法利益，因 此，信息系统的安全保密成为迫切需要解决的问题u 3 1 。 另一方面，作为商业机密的企业各种资料安全与否关系到企业的存亡，因此，信息 系统必须设立严格的管理制度，包括严格的权限管理，无关人员无权查看、改动资料； 有效的技术手段和管理措：拖防止计算机病毒对系统的侵害；严格而有效的措施防止资料 被非法窃取，合理的备份策略以利于系统受到侵害时的恢复：完备的系统文文件管理以 利于系统的改进一个企业的正常运转有赖于各部门管理人员的努力工作及相互配合，其 中也包括m i s 各个子系统的有效运转。目前，在企业信息系统的开发设计过程中，安全 性能被放在首要地位，成为信息系统的关键u 副。 如图2 一l 所示，破坏安全的主要途径一是系统本身存在漏洞，二是人员的破坏。 为了保护系统，构建一个安全保护机构。在计算机通信网路中，主要的安全防护措施被 称为安全服务。， 当前保障w e b 安全主要方法有：身份认证和访问控制、通过协议和加密保证安全传 输，网络入侵检测，内容过滤、防火墙技术等，访问控制服务是其中一项重要且基本的 安全服务。根据网络安全体系结构，访问控制由应用层提供。采用的技术主要有：认证 ( a u t h e n t i c a t i o n ) ，授权( a u t h o r i z a t i o n ) 和审计( a u d i t ) 。认证决定哪些用户是合法的 用户，授权决定了用户有什么样的权限可以访问哪些资源，审计指用户对网络的所有访 问都可以被记录，可以追查的。身份认证是网络安全的第一道防线，是访问控制和安全 通信的基础。虽然，从路由器到w e b 服务器都有各自的访问控制机制，但对于一个企业 内部网，如果能够实现集中、统一的访问控制策略，就能够对企业的信息资源实行更为 有效地控制和管理。 9 企业信息系统中改进型r b a c 模型的研究与应用 2 3 访问控制概念 图2 - i 系统防护 f i g u r e2 一ls y s t e mp r o t e c t i o n 访问是使信息在主体和对象间流动的一种交互方式。 主体( s u b j e c t ) ：是主动的实体，该实体造成了信息的流动和系统状态的改变，主 体通常指人，也可以是任何主动发出访问请求的智能体，包括程序、进程、服务等： 客体( o b j e c t ) ：是包含或接受信息的被动实体，是所有受访问控制保护的资源， 在不同应用背景下可以有相当广泛的定义，比如在操作系统中可以是一段内存空间，在 数据库里可以是一个表中的记录，在w e b 上可以是一个页面，或者诸如处理器、显示 器、键盘、时钟、打印机和网络节点等对象。访问的方式取决于客体的类型，般是 对客体的一种操作，比如请求内存空间，修改表中记录，浏览页面等。 安全访问策略( p o l i c y ) ：是一套访问规则，确定主体对客体是否有某种访问能 力。 所谓访问控制，就是通过某种途径，显式地准许或限制访问能力及范围的一种方 法。通过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入或者因为合 法用户的不慎操作所造成的破坏。简单的说，即是哪些用户可以使用哪些资源坫】。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。 正确的访问控制能够阻止未经允许的用户有意或无意地获取资料。访问控制的手段包括 用户识别代码、口令、登录控制、资源授权( 例如用户配置文件、资源配置文件和控制 列表) 、授权核查、日志和审计。 访问控制在操作系统、数据库和网络上都有十分重要的应用。现代操作系统如 w i n d o w s 系列，s o l a r i s 系列，u n i x 系列都实现了不同程度的访问控制：许多大型数 据库产品如o r a c l e ，s y b a s e ，i n f o r m i x 等都支持访问控制功能；w e b 安全产品如 g e t a c c e s s ，t r u s t e d w e b ，t i v o l i 都把访问控制模块作为其核心模块之一。 1 0 企业信息系统中改进型r b a c 模型的研究与应用 形式化的说，给定一个主体集s 、客体集d 以及对应于该客体集的访问操作集足， 访问控制的授权操作实际上是通过确定如下的函数厂完成的： 乃s 0 2 2 当授权结束时，每个主体对应于每个客体都将有一组操作许可，这样访问控制实际 上可以通过检查请求的访问操作是否在这组操作许可里来实现。 2 4 访问控制的分类 2 0 世纪8 0 年代美国国防部制订了可信计算机系统评估准则( t c s l c ) ，我国也于 1 9 9 9 年颁布了计算机信息系统安全保护等级划分准则这一国家标准，准则要达到的一 个主要目标就是：阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类： 自主访问控制和强制访问控制，属于传统的访问控制策略。美国国家技术标准委员会 ( n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ，n i s t ) 2 0 世纪9 0 年代初提出 基于角色的访问控制，目前正得到广泛的研究和应用。 2 4 1 自主访问控制 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 睛1 又叫任意访问控制，是一种允许 主体对访问控制施加特定限制的访问控制类型。2 0 世纪7 0 年代早期的分时复用系统的 出现导致自主访问控制在学术科研领域的兴起。d a c 的基础是系统承认客体是通过“拥 有 与主体联系起来的。在很多机