（计算机应用技术专业论文）基于目录服务的分布式安全策略的研究.pdf

两北t 业人学坝 j 论文 摘莹 摘要 人型企业的信息基础实施需要集成跨组织的网络系统和人量基于i n t e r n e t 的服务， 这给企业信息化研究和实践人员带来了极大的挑战。r 一代网络把面向虑川年面向任务 ( m i s s i o n ) 作为评估网络的重要标准。分布式系统也正在由传统的客户端服务器模式转 变为更加动态化的面向服务的模式。基丁网络的信息系统一向是一个分布式的计算环境， 我们现在面对的信息系统是一个高度互联、高速、多媒体、智能化、人机交互的非线 性的复杂人系统。随着技术和市场的驱动，越来越多的技术、标准平设备被引入到信息 系统中，网络和系统规模在迅速的增跃，企业将面临更大的安全和复杂度威胁，也就迫 切需要一种能够有效地管理网络系统资源并能提供安全可靠服务的手段。 本文的论题限定在分布式( 异构) 环境f 的安全策略的研究和相关实现，侧重丁对 访问控制策略融合模型的研究，并对其实现做了简单的论述。密切联系实际的思路奠定 了论文的基调。 论文结合当前信息化研究的成果建立了一个简单的e 化企业的理想信息模型，从该 模型入手，对企业计算环境所面临的安全性和管理问题进行了评估。提出在当前分布式 的异构的计算环境下，随着企业应用的增加，在没有良好规划的情况f ( 事实止是如此) ， 计算实体的管理尤其是安全、可信度的管理将会是企业发展的瓶颈。 基丁策略的网络管理系统是解决此类问题的趋势。操作系统提供的计算环境相对来 说是比较可信的，它所采用的集中式访问控制系统应该是问题展开的一个良好的开端。 它所实践的访问控制通用框架( g f a c ) ，采j = ；i 分层和隔离的方法，提供了一个高度抽象 的访问控制复用框架。对于分布式的计算环境，采用一种分布式的访问控制系统将会提 供一个与“e 化企业”具有相同本质( 分布式) 的解决方案。但是问题在于如何有效的 管理分布式环境下的实体对象? 如何提高管理策略的复用程度? 对于第一个问题集中式 的目录服务是对症f 药的处方：而第二个问题，笔者借鉴了i m p e r i a l 大学策略研究细 的研究成果，通过其构建的p o n d e r 语言对e 化企业的安全策略进行形式化描述，提供 管理策略的有效复用。 本文的创新之处在丁参j ! fg f a c 的基本框架，从方便管理的角度对其进行了扩展， 建立了一个基于目录服务和策略的分布式访问控制模型，并对其实现和保护现有投资等 方面的问题进行了讨论，为e 化企业信息资源的有效管理平可信计算环境的建立提供参 考。 关键字：目录服务基于策略访问控制安全策略g f a c 西北t 业大学顾 二硷芷 a b s t r a c t n o w , l a r g ee n t e r p r i s e sn e e di n t e g r a t eo r g a n i z a t i o n a ln e t w o r ka n dp l e n t yo f i n t e r n e t b a s e ds e r v i c e si nt h e i ri n f o r m a t i o ni n f r a s t r u c t u r e w h i c ht a k e sn e w c h a l l e n g et o1 tr e s e a r c h e r sa n de n g i n e e r s n g n se n f o r c e da p p l i c a t i o n o r i e n t e d a n dm i s s i o n o r i e n t e dt oe v a l u a t en e t w o r k d i s t r i b u t e ds y s t e m sa r ec h a n g i n gf r o m t r a d i t i o n a ls e r v e r - c l i e n tm o d e lt oam o r e d y n a m i c s e r v i c e o r i e n t e dm o d e l n e t w o r k - b a s e di n f o r m a t i o n s y s t e m s a r eb o r no fd i s t r i b u t e d c o m p u t i n g e n v i r o n m e n t ，a tp r e s e n tt h es y s t e mw et h c e di san o n l i n e a rc o m p l i c a t e ds y s t e m w i t ht i g h t l yl i n k e d ，h i g hs p e e d y , m u l t i m e d i a ，i n t e l l i g e n ta n df r i e n d l ye l e m e n t s d r i v e nb yt e c h n o l o g ya n dm a r k e t ，m o r ea n dm o r en e wt e c h n o l o g y ，s t a n d a r d sa n d d e v i c e sw e r ei n t r o d u c e di n t oi n f o r m a t i o ns y s t e m s s c a l eo f p r e s e n tn e t w o r k sa n d s y s t e m sg r o wr a p i d l y , w h i l ee n t e r p r i s e s w i l lb eb u r d e n e dw i t l l n e w - c o m i n g s e c u r i t ya n dc o m p l e x i t yp r o b l e m e n t e r p r i s e sn e e dan e wm e t h o dt os i m p l i f y s y s t e m r e s o u r c e s m a n a g e m e n t a n dt o p r o t e c t t h e i rm i s s i o n c r i s i sw e a l t h e f f e c t i v e l y t h i sa r t i c l ei sc o n c e r n e dw i t hr e s e a r c ha n d r e l a t i n gi m p l e m e n t a t i o n o f s e c u r i t yp o l i c yu n d e rd i s t r i b u t e de n v i r o n m e n t ，i te m p h a s i z e so na c c e s sc o n t r o l p o l i c ym o d e l i nt h i sa r t i c l ew ef i r s tw o r k e do u ta ni d e a li n f o r m a t i o nm o d e lo f e e n t e r p r i s e 1 a t e rd i s c u s s e dt h es e c u r i t ya n dm a n a g e m e n tp r o b l e mo ft h i sm o d e la tt h ee n d c o n c l u d e dt h a ta sa p p l i c a t i o na d d i n g ，w i t h o u tg o o dl a y o u t ，c o m p u t i n ge n t i t i e s m a n a g e m e n te s p e c i a l l ys e c u r i t ya n dr e l i a b i l i t ym a n a g e m e n tw i l lb et h eb o t t l e n e c k o f e n t e r p r i s e sd e v e l o p m e n t p o l i c y b a s e dm a n a g e m e n ts y s t e mb r i n g su s ag o o dm e t h o dt o s o l v et h i s b o t t l e n e c k a sac e n t r a l i z e da c c e s sc o n t r o ls y s t e m ，o p e r a t i n gs y s t e mi sag o o d e x a m p l e ，i t b a s e do n g f a c ( o e n e r a l f r a m e w o r ko fa c c e s s c o n t r 0 1 ) w e i n t r o d u c e dad i s t r i b u t e da c c e s se o n t r o l s y s t e m ，b u tn e wq u e s t i o n ss h o u l db e c o n c e r n e d f i r s t ，h o wt oe f f e c t i v e l ym a n a g ee n t i t y o b j e c t s u n d e rd i s t r i b u t e d e n v i r o n m e n t ? s e c o n d ，h o wt or e u s em a n a g e m e n tp o l i c y ? f o rt h ef o r m e rq u e s t i o n ， w er e l i e do n d i r e c t o r y s e r v i c e f o rl a t t e ro n e ，w i t ht h e h e l p o fp o n d e r l a n g u a g e ( f r o mi m p e r i a lu n i v e r s i t yp o l i c yr e s e a r c hg r o u p ) ，w ec a ne a s i l yf o r m a i z e t h ed e f i n i t i o no f s e c u r i t yp o l i c y , g a i nt h em a x i m u m r e u s e k e y w o r d s ： d i r e c t o r ys e r v i c e p o l i c y - b a s e da c c e s sc o n t r o i s e c u r i t yp o l i c y g f a c 堕苎工些叁兰型! ：造苎一一篁! ! 塑垒 第1 章绪论 同顾互联阏络在全球的发展历史历经了6 0 - 7 0 年代基丁军事需求的发明阶段、 7 0 8 0 年代科研领域的麻 ；j 与完善、9 0 年代以斤的商业化发展，现在又迎来了她的文 化阶段。经过而十多年的发展，网络协议已从简单的通信传输协议发展成为一组功能强 大且复杂的服务。由于早期网络州户以科研人员为土，网络的设计主要以共享与开放为 宗旨，采阁的网络协议只具备最少的安全性选项，这些选项还通常被路由器所忽略，冈 而造成网络安全系数不足。这个网络协议( i p v 4 ) 应_ i ；【j 至今，并被简单地移植剑企业与政 府的网络中。然而，由于网络的用户变了，网络上的信息内容电发生了巨火的变化，使 互联网的安全问题立即暴露出来。互联网在融入人们生活的同时，所暴露出的安全问题 已经成为计算机网络应用的一个可怕的瓶颞。并且，随着网络t 1 ；j 户的不断增加，对网络 的攻击和资源的窃取越来越多，相关的政务机密，商务机密资源的敝失，不可避免地给 政府、企事业单位带来了损失，因此网络的安全保护变得尤为重要。 目前互联网正与电话网、电视网、无线网、卫星网相融合，互联网在商业运作的驱 动f ，更加迅猛地发展。行业内和行业间的融合己成为当前时代发展的主题。网络应用 与生俱米的分布式秉性和对芙键特性的集中式控制的偏好构成了网络庶朋发展的原动 力。网络必须支持在地理上分散的员i ：、客户、合作伙伴平供应商，并且应_ l = | 越米越j h 泛，涉及远程工作人员的安全访问，以及支持外包f 叫中心在内的远程业务代表等等。 企业在信息化的同时，整个构架已演变为一种业务信息驱动的分布式结构。企业越来越 多地面临着如何有效传输和保护他靠存储在局域网和公明外部网上的关键业务数据的巨 大挑战，越来越需要一个高可信的计算环境。为此目的，越来越多的安全设旌被引入到 企业的计算环境中，用以增强网络的安全性、可靠性、可信度和特殊的服务要求。这些 独立的安全没旌，火大增加了网络基础设施的开销和复 度。从而使网络适应商业需求 的能力严重i l 弱。 1 1 课题的研究背景 随着网络的j 泛应用，对计算环境安全性、可信性和易用性的需求越来越强烈。网 络服务的重要i t 环：n 已从应用服务器转向由目录、认证服务器及访问控制系统为基 础的可信计算服务。网络服务晟终极的目的就是利用目录服务、认证管理( i d e n t i t y m a n a g e m e n t ) 和访问控制机制，实现廊 ； j 之间的互相沟通( 可以通过x m l ) ，l 止业务 流稗一切自动化进行，实现所谓的自动计算( a u t o m a t i cc o m p u t i n g o ) 。 网络服务所勾勒出的b 2 b 、b 2 c 或b 2 e 美景，为计算环境的管理提山了新的挑战， 迫切需要一种能够有效地管理网络系统资源的手段，一方面可以简化网络管理，同时也 一曲训锥，丛旺地趔型韭墨曼勉血业盟墅坚血世如q 韭 两北t 业人学倾l 论立 箱l 章绪论 加强管理l 。作的控制能力。基丁目录服务的管理概念引入了网络麻刚的范畴，它管理嗣 络中所有的实体信息，比如计算机、用户、打印机、文件、戍j f j 等，同时也提供了命名、 描述、商找、访问以及保护这些实体信息的一致的方法。f 一代网络( n g n s ，n e x t g e n e r a t i o nn e t w o r k s ) 从某种意义上来说可以定义为一种基丁目录的网络。 美国的主要i t 厂家如i b m ，m i c r o s o f t ，s u n ，n o v e l l 等往目录服务领域处r 领 先地位也成为该行业的最有实力的市场赢家。n o v e l l 公司早在十年前就提出了n d s ( n o v e l ld i r e c t o r ys e r v i c e ) 时，业界并不了解，商到网络环境成熟，作业环境由p c 延伸剑网络，目录服务才逐渐被重视。n o v e l l 乖ls u n 作为最早发展目录服务的厂商 斧臼以e d i r e c t o r y 和s u n0 n e ( 原名i p l a n e t ) d i r e c t o r ys e r v e r 处r 该领域的领先 地位。i b m 于2 0 0 2 年6 月井购一家名为m e t a m e r g e 的目录服务产品供货商，朱米 产品将加入i b md b 2 数据库管理。微软白e x c h a n g e 发展出的目录服务器活动目录 ( a c t i v ed i r e c t o r y ) ，将包含在其安全认证服务器t r u s t b r i d g e 中，为安全策略的实 施提供有效的基础殴施。2 0 0 0 年推出的w i n d o w s2 0 0 0 内置了活动目录，对整个管 理网络的资源和衍生应用进行集中式的管理，为分布式环境下应_ l ： j 的安全策略的构建和 实施提供了一个可以借鉴的方向。 安全策略作为安全服务的核心元素，它包括物理安全策略和访问控制策略。物理安 全策略的目的是保护计算机系统、网络服势器、打印机等硬件实体和通信链路免受白然 灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计 算机系统有一个良好的电磁兼容1 ：作环境；建立完备的安全管理制度防止价法进入计 算机控制室承1 各种偷窃、破坏活动的发生。访问控制是网络安全防范 【i 保护的主要策略， 它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网 络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可 以说是保证网络安全晟重要的核心策略之一。 美国制定了国家网络安全策略，并对比较规范的十个行业，银行、金融、保险、化 工、l i 油、能源、法律、高等教育、信息产业车f l 水资源，制定了统一的安全策略。安全 策略已经是一个关系到国家命运的战略性j 鞋，各个国家、各大公司都投入了人鼙的人 力物力来研究和部署有效的安全策略。网络设备旗舰制造商思科公司认为近年来网络需 要全面的解决方案，不光是全面的安全产品( 产品之间还是独立的) 。而是要通过全面的 安全解决方案实现产品之间的互操作性。构建开放性的安全策略方案。微软公司的活动 目录提供了一套细粒度的制定策略( s c h e m a ) 方法。 虽然国际上目录服务已经有了许多成熟的产品和相关的标准，但是从安全策略和可 信度的角度米规划和实现目录服务，提供一个安全的具有良好管理性的计算环境还是刚 刚起步。需要从市场和研究米做犬鼙的一l ：作，国内的一些研究单1 1 i ：目前也在进行有关目 录服务和安全策略的研究，由于国家信息安全的法规限制，对于国外的安全产晶不能人 规模采h 】。这为开发具有自主知识产权的基于目录服务的安全管理产品提供了巨人的空 间。 2 1 ：玎北r 业人学顾i ：论文 第l 章绪论 1 2 课题的应用前景 随着r 一代网络研究( n g n s ，n e x tg e n e r a t i o nn e t w o r k s ) 的深入，体验( q o e ， q u a l i t yo fe x p e r i e n c e ) 已经成为下一代网络的一个终极目标。冈此n g n s 也称作体 验网络( e e n s ，e n r i c h e de x p e r i e n c en e t w o r k s ) 。是否面向应用和面向业务( m i s s i o n ) 成为r 一代网络的重要评判标准。基于网络的信息系统是一个分布式的计算环境，这就 对信息系统的管理提出了更高的要求。目前流行的网格计算正致力丁解决分布式计算的 问题信息系统管理的目标就是在一个动态的分布式计算环境中能够有效地部署应_ 【 ；j 任 务，或者说是策略，并且尽量做到逻辑策略和物理设备的独立化即环境与赢蹦的低偶 合性。 本文提出的基丁目录和策略的访问控制模型，通过高度的抽象机制，建立了一个企 业级安全统一模型。它来源_ 】= 市场的发展需求，并与自动计算中的基于策略的安全管理 的一些最新研究成果相结合，把访问控制策略的外延拓展到所有的计算实体( 主体、客 体、策略等) 。为分布式计算应用提供了一个有效的基础访问控制安全支撑平台。网络安 全和网络应 ； ! i 安全统一模型的研究，对进一步促进网络技术的发展和应用有着及其重要 的现实意义。 1 3 课题的设计与开发工作 模型的验证1 ：作一赢是课题最重要的任务。由于时间所限，笔者仅对基丁目录和策 略的分布式访问控制模型中域服务的部分功能进行了验证。该部分为模型工作状态的核 心业务，它的运行效率和管理复杂度决定着系统的整体性能。 访问控制模型中的主体和客体在该实现中以表达式的方法表示。并通过集合的操作 ( 交、并和差) 来定义表达式的操作，通过集合的运算来确定主体是否具有相应的权限 ( 集合成员属性的计算) ，如果指定主体是计算结果的一个成员，说明该主体具有指定的 权限。其中的表达式可以由应用预先定义，或者动态生成。 1 4 论文的组织安排 全文共分六章。 第一章为绪论。介绍r 网络安全统一模型的课题背景利应用前景，重点讨论了网络 安全相关领域的进展情况。 第二章从管理理论出发结合信息技术，建立了一个简单的e 化企业的理想信息模型， 并对其基本框架和涉及技术进行了论述。然后从该模型入手，对企业计算环境所面临的 安全性和管理问题进行了评估，提出本文所要解决的问题。 第三章从集中式访问控制系统入手，对访问控制策略领域研究和实现比较成熟的操 作系统的访问控制系统进行了分析，主要对目前流行的开源操作系统l i n u x 的r s b a c 和l s m 项目进行了阐述。介绍了访问控制通用框架的基本概念、原理和实现- 腈况。为 3 西北t 业大学颂 ：论文第1 章绪论 后续“e 化企业”的访问控制系统的建立提供借鉴。 第四章在第三章的基础上，结合基丁策略的管理的研究成果，提出了一种基j ：e j 录 霸l 策略的分布式访问控制模型。井对其进行了系统的描述。 第五章讨论了基于目录和策略的分布式访问控制模型的实现技术。 第六章对如何验证基于目录和策略的分布式访问控制模型的可行性进行了讨论， 并对其性能做了简单的评估。 最后总结所做的t 作，结束论文。 4 两北t 业人学硕卜论史 第2 章一个理想的e 化企业模型 第2 章一个理想的e 化企业模型 本章将对企业网格计算领域的模型作一个总结，从管理学剃信息技术的角度提供一 个e 化企业的描述。下文中涉及的某些管理理论方面的知识，请参照相应的资料，其深 入的讨论不在本文涉及范围z 内。企业信息化的研究给我们提供了一个丰富的技术生存 背景，它对企业网格计算进行了广泛而深入的关注和研究。从纯技术的角度米说，企_ 2 网格计算和e 化企业( e e ，e l e c t r i ce n t e r p r i s e ) 在本文中具有同等含义。 所谓e 化企业是信息技术向企业渗透发展所形成的一种企业运作模式，是信息技术 与现代管理理论交错发展的新形式企业，它以提高业务效率和企业内部人员的l ：作体验 为核心，强调质量和安全的决定作用。目前业界提出了一个“虚拟企业”的概念，与本 文的e 化企业的内涵有着相似之处，本文中e 化企业将更加关注企业模型的技术属性， 从计算的角度来理解企业模型。 2 1 e 化企业模型建立的背景 我国政府在十五规划中提出了“以信息化带动一r ：业化，发挥后发优势，实现社会生 产力的跨越式发展”的发展战略。企业信息化作为信息化的核心和基础，是现阶段国家 信息化1 ：作的重点和难点，也是实现我国现代化的关键性课题。 全面质量管理t q m 图2 1 企业信息化特征模型 管理理论经近一个世纪的发展，已从古典管理理论阶段逐步演化至第五代管理，全 面质量管理( t q m ) 、扁平化组织( h o r i z o n t a lo r g a n i z a t i o n ) 、价值流管理、战略决策 理论、并行【：程( c e ) 、精良生产( l p ) 、适时生产( 1 i t ) 、企业过程再造( b p r ) 和虚拟 组织等新的管理理论，为彻底改变企业管理模式奠定了理论基础和指导思想1 。 在当前激烈的市场竞争中，产品质量平服务质量是企业生存发展和进入国际市场的 关键。统计质量管理、全面质量管理t q m 和过程管理理论的发展，为企业质茸管理体 5 西北 = = 业人学顾l 论立第2 审一个理想的e 化企业模型 系提供了指南，极大地推动了企业管理模型的成熟。但是安全从来没有作为一个独立的 问题得到企业管理模型的关注，也许在传统的管理模型这是一个简单的问题。本文引入 了对安全模型的考虑，把安全模型作为一个结台管理理论和信息技术的与质量模型同等 的企业计算的至关因素。 在管理理论和质量模型演化的同时信息技术正在以惊人的速度发展，这不仅为前 者的实施提供了保证，更为重要的是，它所带米的全球化空间和廉价的计算成本止在引 发一场全新的现代企业经营管理革命，企业转向零距离千j ：销的市场策略，业务过程从分 裂的、缓慢、交接环节过多、责任不明的状态转化为能对外界环境变化做出敏捷反应的 业务过程，企业能够快速的为_ = j 户提供个性化的产品。新的管理理论、成熟的质量模型 以及信息技术的最新发展，正在引发一场企业本质上的革命。这使得r 业时代的管理模 式和传统的管理信息系统，不再能适应现代企业的发展。 信息化带来的系统复杂度的增加必将导致更大的安全性威胁。安全利质耸一一样， 也必须被公司接纳并且要包括在业务操作的各个方面。企业网络计算，又称为电子经营 电子商务( e b u s i n e s s ) ，并不局限于企业资源计划( e r p ) 、计算机集成制造系统( c i m s ) 和电子交易( e c o m m e r c e ) 等，它针对企业的需求，以企业管理理论、质量模璎和安全 模型为指导，充分发挥信息技术的优势，通过基础平台架构、开发方法、技术、安全策 略 l li - 具作支持，把以往企业内相互分离的技术和人员有机地综合起来，为现代企业提 供完整的计算机经营管理一体化系统的解决方案。企业网络计算将先进的网络计算 ( n e t w o r kc o m p u t i n g ) 技术、管理理念、质量模型和安全模型相结合，庸州丁企业经 营和决策，是对传统信息管理系统和数据库应用的飞跃，把企业信息化带入了发展的高 级阶段。 2 2 企业网格计算的参考模型 企业网络计算是一个复杂的问题，要正确全面地理解这一系统的整体，必须从多个 方面进行考虑和设计。最新的研究把企业网格计算参考模型描述为一组以过程为中心的、 代表整个企业网络计算各个方面的多视图多层次的框架的集合。可以由f 面的示意图来 刻画。 方法 内容和支撑技术 模型 图2 - 2 企业网格计算参考模型 6 两北t 业人学倾 论文 第2 幸一个理想的e 化企! 止模型 凼容和支挂撞垄丝刻唾了企业网络计算的应_ 【 内容、信息技术、i ：具支持雨i 网络 殴施；摸型缝定义了企业刚络计算需要建模的各个方面及其相互芙系；塞盛丝讨论了 企业网络计算中各类应用多层次的集成技术利方法；直选维提出了指导企业网络计算 和信息化建设的一套系统开发方法和持续改进模型。 这里，我们关注于企业网络计算的内容和支撑技术框架以及模型框架的部分内弈。 以此作为建立e 化企业的基准。内容和i 技术支撑框架为企业发展信息化提供了新的i t 应h j 内容，它完整集成了新的内容和网络技术，成为企业业务流程的有机组成部分，为 企业：r 作效率的提高提供了支持。e 化企业的参考框架可以人致分为三层，如幽所示。 c o n t e n i 内容层 i ti n 疗踮仃u c t u r e 信息技术层 n e t w o r kl n f r a s t r u c t u r e 刚络基础设施层 图图；图j 图i 图i 图曩誊j | _ 基h 二：兰羔：_ _ ：立卫蔓量曼一。墨二立二：_ _ _ _ 一 一 i _ 图2 - 3e 化企业的参考框架 顶层为内容层。根据现代企业经营管理理论，企业的关键管理系统是面向核心业务 流程( c o r eb u s i n e s sp r o c e s s ，c b p ) 的协作系统。企业公共的c b p 包括客户关系管 理( c r m ) 、供应链管理( s c m ) 、电子交易( e c ) 、企业门户网站( e p ) 、知识管理( k m ) 、 商业智能( b i ) 和质量管理( q m ) 等。除了这些共性的c b p ，不同企业还有各自特定 的c b p 。第二层为信息技术层( i ti n f r a s t r u c t u r e ) 。针对现代企业的核心业务过程，本 层结合信息技术的最新发展，为业务过程的整合、协同、围绕经营战略目标的优化和重 组以及增加业务过程的自动化程度提供了业务平台支撑。最底层为网络基础设施层。以 t c p i p 协议为基础将i n t e r n e t 、e x t r a n e t 和i n t r a n e t 自然互联，构成一个山通外逃 的企业网络，组成企业的信息公路( e n t e r p r i s ei n f o r m a t i o ni n f r a s t r u c t u r e ，e l i ) 。 该参考框架为企业提供了一个通用的层次关系。 2 3 e 化企业的技术通用模型 参考模型中内容层的每一个模块都是e 化企业模型的一个存在视豳。事实上，现存 的实施信息化的企业大多是内容层中的一个或多个的组合。结合参考模型的模型框架， 我们又可以从功能、资源、合作和产品角度为e 化企业提供新的视幽。尽管如此，由t - 7 两北t 业大学顺 j 论义 第2 章一个理想的e 化企业模型 业务过程是企业的核心，我们这里采用业务过程技术对e 化企业进行建模。 基丁业务过程的内在特性，一个业务过程可以定义为七元组： p = ( o ，a s ，c 1 ，c 2 ，i o ，r s ，m s ) ， 即f 过程目标，活动前置条件，后置条件，产品，资源，应麓指标) 其中，过程目标( o ，0 b j e c t i v e ) ，业务目标。活动( a s ，a c t i v i t i e s ) ，业务过 程的核心，它包含业务过程中所有的生产和管理活动。一个活动可以细分为多个子活动， 形成个树状的层次结构，活动之间通常存在并发和协作关系，活动在人或群序的操作 r ，将输入产品转换成输出产品。产品( 1 0 ，i n p u t & o u t p u tp r o d u c t s ) 是指过 程或活动中被输入、输出或引用的相应程序、文档和数据或者是包括其它产品的复台产 品。约束c 1 ，c 2 ( p r e c o n d o n & p o s t - c o n d i t i o n ) 分别为过程的前置条件平 后置条件，由活动间和活动产品间的约束关系组成。资源( r s ，r e s o u r c e s ) 是指执行 过程所需的人员、：t i 具、机器、技术和场地等支持。度量指标( m s ，m e t r i c s ) 指过科 目标的具体业务 9 1 i l 量和分析，如时间、成本、质量、顾客满意度等。 定义p s = p l ，p 2 , p 3 , p 。) 企业所有业务过程( p r o c e s ss e t ) 的集合 定义p p 一 q l ，口2 ，q 五q 。) 企业所有产品( p r i v a t ep r o d u c ts e t ) 的集合 那么e 化企业e e = 只，q ，l 动，船，q ，即，几只斗q ， 定义为生产某种产 j 品的所有业务过程的组合或多种产品业务过程的组合。显然，该e 化企业的形式化模刑 不能为我们后续的展开提供支持。这里在此基础上结合网络服务的三层体系框架，建 立一个更简化的理想的纯技术层面的e 化企业模型，为企业的业务过程提供纵向的分层 体系模型表示，从如下图所示： e 用户 图2 _ 4 理想的e 化企业技术模型 该模型中左边的部分为内容和技术支撑框架中的内容层和信息技术层，而如边的部 分为网络基础设施层。同时左边也可分为表示、业务和数据三层，它们基本上是一个松 8 露甄三主窿蔓羔黪陵黪漤黪霉譬委薹鞭曩羔曩一 圈渊矧阂溺鬻鬻瓣浏黝浏矧圈 ：，i i：q o ，_jlj一黪蛩毒薹薯磐叠蠹蠹懑瓣溅。奠i豫舔!h蕾鍪 两北t 业大学顾l 论文 第2 市一个理想的e 化企业模型 散的三层体系结构。表示层提供企业麻川的用户界面( u i ) 。业务层实现企业麻h j 的业务 过程。数据层提供对外部系统( 如数据库) 的访问2 。 袭啄舅人多数企业业务应用都使删窗体来构造表示层。应用程序由一系列用户与 之交互的窗体( 页面) 组成。通常由用户界面组竹：和用户界面处理组件组成。 丝务拿大型企业应用程序通常是罔绕业务流程和业务组件的概念构造。这些概念 是通过业务层中的大量组件、实体、代理和界面来处理的。以企业业务为核心，构造可 复j _ 4 的业务组件、业务f i 作流和业务实体米模拟或者辅助企业核心业务的实现。 鬏谤乒冒火多数业务应用程序必须访问存储在公司数据库中的数据。此数据层中的 数据访问组件负责将存储在这些数据库中的数据公开给业务层，为业务的展开提供基础 信息支持。 而模型右边的部分作为e 化企业技术模型的一组基础服务。安全性，这些服务力图 保证计算的可信度。运行管理，为企业应用的可伸缩性和容错等运行要求提供支持。通 信，保证了左侧模型的组件之间的数据交换需求。 鉴于其对最新管理理论、安全模型的支持，该模型必将会为企业的业务应削的建立 提供了一个良好的模型参考，是实现内容和技术支撑框架中内容层麻_ f _ | j 需求的良女 f 起点。 业界也有很多产品支撑该模型的开发，如s u n 倡导的j 2 e e 应用平台，m i c r o s o f t 的n e t 计算环境以及o r a c l e 、b e a 等公司的相关产品，为企业应用的建立和实现提供了较好 的支持。 2 4 e 化企业的安全性分析 上面我们已经建立了一个e 化企业的理想技术模型，可以看到，除了业务流程的莘 别以外，e 化企业的各个实例应该具有相同的基础构架。冈此我们这里的讨论将具有一 定的通用性。 c s i f b i2 0 0 2 的信息安全调查报告。指出，在所调查的5 0 3 个对象中， 9 0 的机构发现了计算机安全问题； 8 0 的机构承认其经济损失是由计算机造成的： 7 8 的机构发现内部员： 的i n t e m e t 访问权限管理薄弱； 7 5 的机构发现了计算机病毒； 4 4 的机构能够或者将要量化其经济损失； 4 0 的机构遭遇过拒绝服务攻击并发现t g f 部入侵行为。 调查也发现i n t e m e t 连接是攻击的热点，并呈现上升的趋势。并且由丁计算机所带 来的经济损失止在成指数方式增长。网格计算环境的安全性已经不容忽视。 对丁上一例苗述的e 化企业技术模型来说，业务过程元组p ( o ，a s ，c 1 ，c 2 ，i o ，r s m s ) 中的各个元素是企业中实际存在的业务实体( 产品、资源等) 。如果我们假定一个e “啊a 对象求自5 0 3 个单位： 型高科技$ 4 进业( 3 0 ) 金融组织受金融监营的组纵( 1 9 ) ，歧府竹位刑i p c ( iq ) 医疗院所，联j _ l 柏；准h i p a a 规定之安保组织( 8 ) ，大学院校( 6 ) u t i l i b t r a n s p o r t a t i o n l e g a l ( 6 ) 。电信j 盟卟i kf5 9 两北t 业人学坝l j 论文 第2 幸一个理想的e 化企业模型 化企业仅仅包含一个业务过科，那么我”j 所要讨论的问题就简单了，在一个业务过程的 上卜- 文空间中，所有的业务实体被限定在一个绝对简单的空间内它们可以很容易的安 全、高质量的实现e 化企业的业务目标。但是现实中，从e e 的形式化定义中我们也可 以看出。一个企业通常是由若干个相互协作的业务过程组成。 随着企业信息化的深入和i 网络的发展，作为我们描述的e 化企业来说，其组织内的 业务实体的数目呈现爆炸性的增妖，企业将面l 临着更火的管理风险和渐在的安全隐患。 可以从两个方面来说明： 第一业务过程的差异、缺乏良女f 的规划以及历史因素造成的企业内计算环境的异 构性和复杂性，可以称作管理安全性。由于不同的原因造成企业内存在多种异构的业务 应，这些麻削可能是不同年代投入运行的，它们都各自有自己的管理系统利安全策略， 每个系统可能运行的比较良好，满足了企业某个方面的应用。但是仅仅满足丁这些风景 秀丽的孤岛并不是企业信息化的初衷。对这些系统进行有效的管理并满足企业的安全策 略对i t 部门来说简直就是一场盟梦。这就需要一种手段雨i 方法来统一这些孤岛，统一 的管理模型和安全簧略模型已经崭露头角，基于策略的网络管理系统为这些问题的解决 指明了道路。 第二，模型中各层次i 矧有的弱点造成企业危险重重。没有良好设计和加的系统， 就如同是一个打满了洞的水桶，永远都不会装满水。为了堵住各层的安全隐患，大量的 安全设备( 防火墙、杀毒软件以及入侵检测系统等等) 被引入到了企业环境中，更增加 了系统的复杂度。同时当前人多数的企业的网络基础设施都包含了i n t r m e t 、i n t r a n e t 和 ( 或) e x t r a n e t 。我们可以参照下面的一个实际企业构筑的业务模型的安全威胁分析米理 解e 化企业模型的安全风险。 图2 - 5 基于w e b 服务的业务系统的安全威胁 该模型是基于w e b 服务的业务系统的示意模型。1 f 法访问、殴计隐患、恶意代码 等问题让企业的业务环境千疮t - t l 。如此多的安全威胁，必须通过集中管理才能变得有 1 0 两北t 业人学硕l 论文 第2 章一个理想的e 化越i k 模型 效，也就越来越需要一个良好规划的企业级安全策略，对企业中的所有业务系统进行管 理和控制。只有建立起业务实体问的互相信任，井提供一个企业级的访问控制基础平台， 才能为企业建立一个可信的计算环境。 第三，业务关键数据的互操作性将为企业信息化的发展制造难以逾越的障斟。从来 没有一个企业从业务的角度对企业中的信息资源的表示方式和存储格式进行统一的设计 和关注，我们目前所见的各种廊片】系统的操作性应该说是非常莘的。幸好业界已经开 始关注到了这个问题，x m l 的发展和流行为自动计算的发展奠定了信息基础。但是我们 仍然需要更多的l 作米规范和定义我们所处的这个信息世界。统一的模型和方法需要多 样化的支持。 西北t 业人学顺卜论文 第3 章集中式访问拧制r s b a c 和l s m 模型 第3 章集中式访问控制r s b a c 和l s m 模型 上一章笔者结合最新的管理理沦和计算机披术，建立了一个e 化企业的理想技术模 型，接f 来对其管理性和安全性进行了简单的分析，指出基丁策略的访问控制系统是这 些问题的解决方案。本章将对集中式的访问控制模型进行探讨，为e 化企业的可信计算 环境的建立提供参考。这里将把安全操作系统的安全系统作为研究对象。 随着开源哲学在i t 研究人员和从业人员中的厂泛认可计算机科学再个领域都融 入了自由、开放的活力，山现了人量的开源项目，它们在很大程度上代表了相关领域的 发展和麻_ | = j 前沿。实用的安全操作系统一直是业界的梦想，其中最关键的问题英过t ：访 问控制模型及其运行效率。l i n u x 开源项目作为开源哲学最早的倡导者，以其山色的性 能和稳定性，赢得了业界的j “泛关注，自然代表了当前操作系统方面主流的发展方向。 安全作为当前所有应用软件设计的关键指标，不可避免的也在l i n u x 开源项目中体现出 来。本章将对l i n u x 操作系统的基丁角色集的访问控制( r s b a c ，r o l es e tb a s e d a c c e s sc o n t r 0 1 ) 安全模块( l s m l i n u xs e c u r i t ym o d u l e ) 展开讨论从操作系统 的角度对访问控制策略和系统安全进行探讨。 3 1r s b a c 模型 r s b a c ( r o l es e tb a s e da c c e s sc o n t r 0 1 ) 是一个开放源代码项目，它基于 g f a c “，旨在对当前的l i n u x 内核的安全性进行扩展。它为l i n u x 内核羽i 操作环境提 供了一个灵活的多策略共存的访问控制系统。r s b a c 起源于h a m b u r g 大学1 9 9 6 年 1 1 月的一篇硕士论文，到2 0 0 0 年出现了第一个稳定的产品版本。 r s b a c 的设计目标： 构建友好的易于管理的访问控制模型： 构建一个通用的框架，便于不同的访问控制模型灵活的选择剃组合； 构建一个实时、安全、可靠并有效的内核扩展； 易于移植； 易于扩展： 尽堵封装： 文件系统无关； 提供橘皮忙b 1 级的安全等级。 根据g f a c 的设计原则，r s b a c 系统应该包含一个访问控制实现设施( a e f , n g f a c ( g c n e r a l i z e df r a m e w o r k f o r a c s s c o n t r 0 1 ) ，访“挖制通f 十匡架足一个多策略组什_ 【f i i 述和壤成的框架。m a b 陋m s ke g g e r s ，ll a p a d u l a ，1 o l s o n ，“ag e n e r a l i z e df m m e w o r kf o ra c c 6 sc o n t r o l ：a ni n f o r m a ld e s c r i p t i o n ”p r o c e e d i n g so f t h e1 3 t h n a t i o n a lc o m p u t e rs e c u r i t yc o n f e r e n c e ，w a s h i n g t o n ，o c t o b e r1 9 9 0 1 2 两北r 业人学坝i ：论文 第3 章集中式访问 牵制r s b a c 和l s m 模型 a c c e s sc o n t r o le n f o r c e m e n tf a c i l i t y ) ，一个访问控制决策设施( a d f , a c c e s s c o n t r o ld e c