（电气工程专业论文）兰州炼油化工总厂erp系统的安全性研究.pdf

a b s t r a c t d u et o 廿l ep o p u l 撕t yo ft l l ei n t e m e t ，i n f o m a t i o ns e c u r i 哆b e c o m e s m o r ea l l dm o r ei m p o r t 锄t h o wt oe n s u r es y s t e ms e c u r i t yi s t l l ek e yt oa p r o j e c t e r pi i l l a l l l i a l lh a sb a s e do nl o c a la r e an e 铆o r k i n 仕屺丘r s t s t a g e ，w ef o u l 】d 吐l a tp o w e rs u p p l y i s v e r yi m p o r t a n t a f t e r al o n g d i s c u s s i o nw ed e c i d e dt os e l e c tm ed o u b l eg e n e r a t r i xm o d e l 1 1 l i sm o d e l i s t l l em a i np o p u l a rs 够l ea b o u tp o w e rs u p p l y l a t e rw ed i s c u s s e d 也es y g t e m 血丘a 蜘c t u r e ，d e c i d e dt 0s e l e c th as e r v e r 、s t o r a g ea r e an e 船o r ka n dt s m b a c k u pt e c h f l o i o g 弘a b o u t a c c e s sc o m r o lm e t h o d sw ef o u r l do r a c l ea n d i f 印ph a v eg o o dc 印a c i 吼t m d m o n a la c c e s sc o n t r o lm e 也o d s ，s u 血a s m a ca n dd a c ，c a nn o ts a t i s 旬m en e e d so ft o d a y se n t i 琊熵s e s t h e r o l e - b a s e da c c e s sc o r l 舡o l ( r b a c ) i s 戗l es o l 砸o n r b a ci sap a r to f s e c u r i 哆s e r v i c e s 也a ti i l c l u d e si d e n t 时矾i 吐1 e 确c a t i o n a c c e s sc o l l 乜的l ，d a t a c o 血d e n t i “时，d a t ai n t e 鲥够a i l dn o n - r e p u d i a t i o n a tl a s ti n t e g r a t i n ge i u p w 泔le n t e 印r i s ei n f o n n a c i o np o r t a lm a d e 也ew h o l es y s t e mm o r es e a u r i 够 k e yw o r d s ：e r p ；i n f c m a t i o ns e c u 由；a c c e s sc o n t r 0 1 ，i n f o r n l a t i o np o n a l i i 工程硕士学位论文 插图索引 图2 1 i t 系统的网络平台和动力平台- 3 一 图2 2 影响数据安全的因素一4 - 图2 3 四种交流不间断供电方案一5 图2 _ 4 单机供电方案一6 一 图2 5 热备份冗余方案一7 - 图2 - 6 并机冗余方案8 一 图2 7 故障统计饼状图一8 - 图2 8 单机及并机存在共同的问题一9 - 图2 9 实际布线示意图1 0 - 图2 1 0 双总线交流供电解决方案一l l - 图2 1 1 兰炼总厂e r p 系统不间断电源双母线解决方案分析1 2 图3 1 兰炼总厂e i 啦系统架构拓扑图1 4 一 图3 _ 2t s m 备份示意图一1 5 - 图4 1r b a c e r p 通用架构2 9 - 图4 - 2 系统访问控制及身份认证流程图一3 1 - 图5 一l 赋权的基本步骤一3 3 - 图5 - 2 建立需要的角色- 3 3 - 图5 - 3 为角色赋给界面对象- 3 3 - 图5 _ 4 为角色赋给逻辑单元对象一3 4 - 图5 5 创建需要的用户- 3 4 一 图5 - 6 将角色赋予用户- 3 5 一 图5 7 用户登录应用程序测试- 3 5 一 图5 8h t m 窗口一一3 6 图5 - 9f r m 窗口二一3 6 一 图5 1 0d l g 窗口一一3 7 图5 - 1 1d l g 窗口二一3 7 一 图5 1 2d l g 窗口三一3 8 - 图5 一1 3 报错窗口一- 3 9 - 图5 1 4 报错窗口二一3 9 一 图5 1 5 新增，修改，删除功能窗口- 4 0 - 图5 - 1 6 新增膨改删除功能窗口二一4 0 - 图5 1 7 用户登陆前的门户界面一4 l - 图5 一1 8 具有e r p 系统授权用户登陆界面一4 2 - 图5 1 9 授权方式实现一4 2 一 图5 2 0 m d 5 加密方法截图一4 3 - i i i 兰州理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者繇缈吼声，辟占盯 学位论文版权使用授权书 日 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密回。 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 日期：莎矿，年月j 一日 日期：知6 年占月厂日 工程硕士学位论文 第1 章绪论 目前，网络和系统安全性成为i t 领域最主要的研究方向，确保系统的稳定运 行成为系统成败的关键因素兰炼的e r p 项目搭建在兰炼现有的网络硬件平台之 上，如何能够保证系统的稳定运行成为进行系统前期论证事先考虑的必要条件， 缜密安全性考虑将对整个项目的成败起着尤为重要的作用。在该项目的论证和实 施过程中，涉及到几个方面的安全问题，在开始机房建设阶段，供电模式的论证 成为关键，在经过充分的考虑后，我们设计了双总线交流供电解决方案；在项目 的系统架构设计阶段，主要是服务器系统的安全性和存储备份的安全性；同时， 系统后台o r a c l e 数据库和s a p p 应用软件做到了无逢对接，在访问控制方面 采用了目前业界推荐的模型，保证了信息控制和权限控制的安全性 1 1 高等级安全要求的l t 系统包含的七个方面 本质上讲，网络安全就是网络上的信息安全。从广义上来说，凡是涉及到网络 信息的保密性、完整性、可用性、真实性和可控性得相关技术和理论都是网络安 全的研究领域。对一个具有高等级安全要求的网络系统，可以从以下七个层次提 供安全防护保障，以系统、清晰和循序渐进的手段解决复杂的信息安全工程实旌 问题： 实体安全 系指基础设施的物理安全 平台安全 系指网络平台、计算机操作系统、基本通用应用平台( 服务数据库等) 的安全 数据安全 系统数据的机密性、完整性、访闯控制和可恢复性 通信安全 系统之间数据通信和会话访问不被非法侵犯 应用安全 业务运行逻辑安全业务资源的访问控制 业务交往的不可抵赖性业务实体的身份鉴别业务数据的真实完整性 运行安全 对系统安全性的动态维护和保障，控制由于时间推移和系统运行导致安全性 的变化。 t 程硕士学位论文 管理安全 对相关的人员、技术和操作进行管理，总揽以上各安全要素并进行控制。 1 2e r p 系统运行对高可靠性的要求 兰炼总厂e r p 系统设计要求较高，要求系统支持不问断的运行，无论从电力 等基础设施还是各种后台安全等都要求很高，由于系统包含诸如定单等大量企业 现金流上的数据，数据的存储和传输以及处理等各个环节都不能出差错。为了确 保该项目的稳定安全运行，在项目实施的过程中，做到严格控制每一个细节，避 免出现遗漏。目前上线的销售系统，每天都生成大量的凭证和财务数据，系统没 有停机维护的机会，所有操作都是在线进行的，包括在线备份数据库、在线维护 日志等；同时由于涉及财务数据，因而在磁带进行了数据的永久保存，以防数据 丢失；确保数据的另外一条措施是进行了低成本的异地磁带库备份，以防灾难发 生。 可以看出，兰炼总厂e r p 系统的确有很高的安全性要求，在项目实施过程中， 结合安全性和成本因素以及技术先进性相结合的原则，较好的满足了e r p 系统对 安全稳定运行的要求。 1 3 本文的主要研究内容 由于系统安全涉及面广，不可能面面俱到，本文的主要篇幅将以该项目在兰 炼总厂的实施过程中在安全方面的一些做法和体会展开论述。主要包括以下几个 方面： 与实体安全相关的不间断电源系统 与数据安全和应用安全相关的e r p 架构方案 与数据安全和应用安全相关的资源访问控制模型的建立 兰炼总厂e i 冲系统基于角色管理的授权实现以及与企业信息门户系统的集成 工程硕士学位论文 第2 章高可靠的e r p 交流动力系统分析 电力系统的安全性属于基础安全的范畴，本章主要阐述了e i 心系统实施之初， 对电力安全方案的论证过程，提出了一种双母线的解决方案，同时说明一个小的 改进也许能够大大增加系统的安全性能。 - 3 - 通信杼韭鹃数撩鼹络构成主鼹终平台。动打平台 图2 一li t 系统的网络平台和动力平台 2 1i t 交流动力供电系统发展趋势 从分散供电向集中供电方向发展 从非在线不间断供电向真在线不间断供电方向发展 从关注供电保障向关注数据安全保障方向发展 从关注设备的高可靠性向关注交流不间断供电系统及环境调节系统高可用性 方向发展 工程硕士学位论文 2 1 1 供电解决方案从分散供电向集中供电方向发展 u p s 集中供电、“以大替小”应用方案是电信行业的优选方案 1 、集中供电可靠性提高。u p s 单机容量越大，产品可靠性越高，2 0 k v a 在线 式u p s 的平均无故障间隔时间约2 5 万小时，而2 0 0 k v au p s 的平均无故障间隔时 间约4 5 万小时，可靠性提高8 0 2 、集中供电节约采购成本。u p s 容量越大，单位容量的成本越低2 0 k v a 在 线式u p s ( 不含电池) 每台市场售价近1 0 万元人民币，而2 0 0 k v a uu p s 每台售价 不是1 0 0 万，只需不到4 0 万元，采购成本节约6 0 3 、集中供电便于安装、维护和管理。分散供电，需要更多安装空间，电缆布 线缺乏规划，安装、维护、管理缺乏统一标准 2 1 2 从关注供电保障向关注数据安全保障方向发展 影响数据安全( 丢包、误码) 两大因素：电网、电源污染和环境污染 图2 2 影响数据安全的因素 2 。1 3 从关注设备的高可靠性向关注交流不问断供电系统及环境调节 系统高可用性方向发展 可用性a ( a v a i l a b i l i t y ) ：系统工作时间与总时间之比。 可用性a = 平均无故障间隔时间m t b f ( 们b f + 平均恢复时间m t t r ) a 系统可用性需达到9 9 9 9 9 9 9 b 在线维护、在线扩容 c 7 x 2 4 3 6 5 运行目标 d 系统容错 2 2 四种交流不间断供电方案分析 图2 3 四种交流不间断供电方案 2 2 1 分散供电，单机方案 u p s 解决方案中最简单的一种每一分散地点交流供电系统容量多为6 k v a 以下 各点交流负载独立地由一台u p s 提供动力保护 市电通常就近采用插座输入 图2 4 单机供电方案 2 2 2 分组供电，热备份冗余方案 相同业务的交流设备总容量为1 0 2 0 k v a 按照不同业务，分别采用多组u p s 分别给负载供电 同类业务的负载集中由一组u p s 进行供电 每一组u p s 由一台主机和一台从机组成，从机串接在主机旁路中。 主机工作时，从机不承担负载 工程硕士学位论文 图2 5 热备份冗余方案 2 2 3 集中供电，并机冗余方案 交流供电系统容量为2 0 一6 0 k v a 全部交流负载集中供电，由各台u p s 平均分担 各台u p s 的旁路和输出分别并接在一起 主路可以采用不同的输入交流电 工程硕士学位论文 图2 6 并机冗余方案 2 2 4 单机及并机存在共同的问题 7 9 的故障来源于u p s 至负载的配电线路故障 根据美国的大型数据中心的统计资料： 在u p s 输出供电系统的故障中，各种故障出现的几率： 7 9 来源于u p s 输出与负载之间的供电线路上的故障( 保险“烧毁”，断路 器“跳闸”，负载“短路”，由施工老鼠咬所造成的“开路”故障等) 1 1 来源于u p s 和电池组 其它故障占1 0 9 6 图2 7 故障统计饼状图 工程硕士学位论文 u p s 单枫秘并枫系统都存椭出单点故障 图2 8 单机及并机存在共同的问题 工程硕士学位论文 u p s 单机稃势机系统都存在输出单点赦障 图2 9 实际布线示意图 2 2 5 双总线交流供电解决方案 双总线供电不间断供电的目的： 消除可能出现在u p s 输出端与最终用户负载端之间的“单点瓶颈” 故障隐患，以提高输出电源供电系统的“容错”功能。 在线维护 一，改善了重要总线的可用性 更大的灵活性双输入计算机负载 7 2 4 3 6 5 运行目标 灵活的供电配电 在线扩容 在线升级 容错 图2 一1 0 双总线交流供电解决方案 2 3 兰炼总厂e r p 系统不问断电源双母线解决方案分析 1 备用发电系统：市电中断时，由发电机提供应急电力，保障对网络的供电 2 低压切换：用于2 路市电之间、1 路市电与油机之间、2 路市电与油机之间 自动切换 3 配电系统：为u p s 、空调、消防、电梯等系统提供完善的配电方案 4 防护系统：根据机房安全防护要求，实施多级多层次全方位的防护 5 u p s 单机并机系统：采用双变换真在线式交流不间断电源( u p s ) 产品，为 网络的关键设备提供3 6 5 天2 4 小时不问断的纯净正弦波电源 6 l b s ：实现双母线二组u p s 输出相位的同步 7 s t s ：为单电源负载提供双母线供电 8 精密配电系统：向服务器等精密设各提供计算机级的配电及接地保护 兰炼慧厂e 聍勇强毫不问l 昕电毒【勇叫擎残解央方案 单电毒负羞h单电蠹负 妞 图2 1 1 兰炼总厂e r p 系统不问断电源双母线解决方案分析 第3 章高可靠的e r p 系统架构分析 根据兰炼总厂i t 系统的业务需求，需要具备t b 级的扩展能力，并具有多主 机跨平台主机连接能力，数据集中存放、集中管理、数据有效共享、存储空间共享、 统一安全备份。可实现无人值守、自动实施备份策略，备份l a n f r e e 、s e r v 职l e s s 等功能，为全面集中管理和数据仓库的建设奠定坚实的基础，采用i 蹦0 p e ns a n 数据存储解决方案。 3 1e r p 系统架构介绍 e r p 核心服务器采用i 蹦h a 技术部署，用两台a i x 小型机p 5 5 0 进行热备， 这两台小型机在网络层进行访问控制，限制i p 的访问和端口过滤，增强了数据的 安全性，使用i 叫企业存储服务器( 型号为f a s tt 7 0 0 ) 作为存储系统的中心，数 据备份，采用i 蹦l t o3 5 8 3 磁带库进行远程异地备份，以i 叫h 1 6 光纤交换机联 结构成企业级s a n 的整体架构。 上述方案的考虑是针对较大型数据中心的具体需求。从平台的选择方面，是 采用较高端的产品如“鲨鱼”和3 5 8 3 磁盘库，从存储、备份的体系架构上，都是 符合s a n 体系架构的设计思想，具备了实用性、扩展性、安全性的特点。是大型 企业数据中心最佳的选择。 t 程硕士学位论文 图3 1 兰炼总厂e r p 系统架构拓扑图 3 2 采用h a 技术的双机热备u n l x 服务器 目前，业界对于0 r a c l e 双机系统有两种实现方式，r a c 和 i a ，前者价格高， 维护较为复杂，适合于访问量很大的交互业务模式，可以实现主备切换和负载均 衡；h a 方式一主一备，只有一台主机提供主要业务，另外的一台做为备用，考虑 到兰炼e r p 的实际情况和投资情况，我们采用了 1 a 方案，今年3 月份，在进行电 力改造时，有一台服务器无法启动( 后经查实属于硬件故障) ，但是没有造成e r p 业务的中断。同时我们也充分的利用了备用机的性能，在其上部署了e r p 文档服 务，避免了资源闲置。 3 3 采用r a l d l 方式和克隆硬盘的方式确保快速恢复e r p 运行环 境 小型机有两种恢复操作系统的方式，磁带恢复和启用备用硬盘。两者比较， 磁带恢复速度慢，一般需要一小时以上，如果数据量大，时间更长，一旦发生故 障将影响业务，在系统规划之初，我们提出了2 十l 的设计方案，即用两块硬盘做 r a i d l 做为运行用，以应付硬盘故障，在系统安装调试完毕后，用第三块硬盘做克 隆，保存以应对操作系统和应用的崩溃。这样可以保证发生意味后快速恢复系统， 减少故障时间，确保了系统的可靠运行。 3 4 采用远程异地磁带库进行低成本灾难恢复 3 4 1 数据备份解决方案( l t 0 + t s m ) 如果备份采用系统管理员手动进行备份，这种备份方式由于系统数据量大， 如果由人工来进行数据的备份工作将给系统管理带来很大的工作量。由于这种备 份采用点对点的单一备份形式，磁带机的资源实际上大多数时间是空闲状态的， 对于其他的有备份需求的主机只能采用增加磁带机的方式进行备份。而且备份工 作目前只在每日业务结束后停掉数据库再进行备份，这种方式将不能满足7 2 4 3 6 5 数据在线要求对于数据库的在线备份针对e r p 目前对数据备份的要求和现 状，我们采用i b m 新一代的磁带库加上t s m 各份软件提供数据备份解决方案。 备份方案图解： 1 策略型自动备份 2 数据库在备份作业时仍保持 在线和完全读取，保证用户 宕机时间为零。 3 热在线各份 4 在【i n i x 、n t 和l i n 平台下使 用相同的、管理简便的g u i 5 s a n 环境下提供l a n f r e e 备 份 3 4 2t s m 原理与特点 i b m 的t s m 软件是市场上主流的企业备份解决方案。它可以通过网络或者s a n 集 中备份企业中几乎所有系统平台的数据到磁带机或者磁带库。它可以对大多数数 据，如0 r a c l e ，s q ls e r v e r ，d b 2 ，l o t u sd o m i n o 进行在线备份，也是唯一可以对 a s 4 0 0 数据进行网络备份的解决方案。 t i v o l is t o r a g em a n a g e r 存储管理软件可以提供： t s m 自动备份、归档和恢复关键数据，支持3 9 种以上的平台，帮助企业保护信 息资产； 为业界各类应用和数据库提供统一的备份和恢复方案。 服务器和服务器间的连接功能，增强了存储资源的共享和存储体系的抗灾难能 力。 独具“磁带配置”和“磁带重用”技术，加快了恢复过程。 灵活的存储介质分层结构 强大的存储网络体系，支持业界最为广泛的l a n 、s a n 、n a s 、删解决方案 支持服务器级多级存储和存储路由，提供中心级的统一管理 为主要群件、企业资源规划( e r p ) 应用和数据产品定制了备份方案，支持 o r a c l e 、m ss q l 、d b 2 等关系型数据库以及l o t u s 、s a p 等应用的在线备 3 4 3 制定备份策略 备份策略的制定对于整个备份体系而言是极为重要的一环，好的各份策略可以 充分享受到t s m 的好处：全自动、符合备份需求、安全的备份。 备份策略的制定和t 蹦提供的备份技术有很大的关系，t s m 支持全盘备份和独 一无二的“永久增量备份”方式。永久增量备份是指：初始时做所有数据文件的 全盘备份，以后只备份新的或改动过的文件。这种方式减少了备份时间和所需的 存储容量，减轻了网络负担。这种方式的原理是t s m 把每个备份对象作为一个交易， 记录在它的关系数据库中，每个各份对象对应文件系统的一个文件。当用户需要 恢复文件系统时，t s m 找到所有属于该文件系统原备份对象，交给用户。所以，t s 能够做永远的增量备份。 在t s m 中，一个备份策略的制定可以让所需要被备份的客户端来共享，也可以 在一个备份中心制定多个备份策略以满足不同数据备份的需要。t i v o l i 使用 d o 眦i n 的模式来进行管理，可以为每个d o m a i n 的备份和归档分别制定备份策略， 包括： 1 ) 保留的版本数 2 ) 每个版本保留的天数 3 ) 到期版本的保留天数 4 ) 介质数据再集中的阀值 工程硕士学位论文 备份策略的制定在很大程度上需要和客户的实际备份需求相适应。下面结合 t i v o l i 的永久增量备份技术来描述一个简单的备份策略： 1 ) 周五采取全备份策略，保留一份完整的数据。 2 ) 周一至周四采用增量备份，选用增量级别，使得备份时备份系统中与周五 全备份相比更改和产生的全部新文件。 3 ) 当周一出现恢复要求时，只需将上周五备份的全部数据从磁带库中恢复出 来即可。 4 ) 当周二至周五出现恢复要求时，只需将上周五备份的全部数据加上前一天 备份的增量数据恢复出来即可。 5 ) 当要求恢复某些错误删除的文件时，系统会根据文件索引，找到删除文件 的各个备份时间版本，从而帮助用户确认后从删除前一天的备份介质中加以恢复。 当要求全备份的系统多于一个时，以上策略可以按轮流的方式实现，例如周 五为a 系统全备份，其它系统选择相对全备份的增量备份，周一为b 系统做全备份， 其它系统做增量备份。如此类推。 具体实际的备份策略需要在实施时结合用户的实际管理环境和管理需求来制 定。 第4 章建立安全的e r p 资源访问控制模型 互联网络的蓬勃发展，为信息资源的共享提供了更加完善的手段，企业在信 息资源共享的同时也要阻止非授权用户对企业敏感信息的访问。访问控制的目的 是为了保护企业在信息系统中存储和处理的信息的安全。 4 1 访问控制的模型 访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型 的方法。访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行 的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。 主体( s u b j e c t ) ：是指一个提出请求或要求的实体，是动作的发起者，但不 一定是动作的执行者。主体可以是用户或其它任何代理用户行为的实体( 例如进 程、作业和程序) 。我们这里规定实体( e n t i t y ) 表示一个计算机资源( 物理设备、 数据文件、内存或进程) 或一个合法用户。主体( s u b j e c t ) ：是可以对其它实体 施加动作的主动实体，简记为s 。有时我们也称为用户( u s e r ) 或访问者( 被授权 使用计算机的人员) ，记为u 。主体的含义是广泛的，可以是用户所在的组织( 以 后我们称为用户组) 、用户本身，也可是用户使用的计算机终端、卡机、手持终端 ( 无线) 等，甚至可以是应用服务程序程序或进程。 客体( o b j e c t ) ：是接受其他实体访问的被动实体，简记为o 。客体的概念也 很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中， 客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设旌，无线通 信中的终端，甚至一个客体可以包含另外一个客体。 控制策略：是主体对客体的操作行为集和约束条件集，简记为k s 。简单讲， 控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用 行为和客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主 体的权限允许，这种允许不超越规则集，由其给出。 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与 管理，最后要对没有非法用户或是越权操作进行管理。所以，访问控制包括认证、 控制策略实现和审计三方面的内容： 1 、认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关 系是相互的，当一个主体受到另外一个客体的访问时，这个主体也就变成了客体。 一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决于当前实体的功 能是动作的执行者还是动作的被执行者。 工程硕士学位论文 2 、控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合 法使用既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更 不能越权行使控制策略所赋予其权利以外的功能。 3 、 审计：审计的重要意义在于，比如客体的管理者即管理员有操作赋予权，他 有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录， 从而达到威慑和保证访问控制正常实现的目的。 访问控制安全模型一般包括主体、客体，以及为识别和验证这些实体的子系 统和控制实体间访问的参考监视器。由于网络传输的需要，访问控制的研究方发 展很快，有许多访问控制模型被提出来。建立规范的访问控制模型，是实现严格 访问控制策略所必须的。2 0 世纪7 0 年代，h a r r i s o n ，r u z z o 和u 1 1 瞻n 提出了h r u 模型。接着，j o n e s 等人在1 9 7 6 年提出了t a k e - g r a n t 模型。随后，1 9 8 5 年美国 军方提出可信计算机系统评估准则t c s e c ，其中描述了两种著名的访问控制策略： 自主访问控制模型( n a c ) 和强制访问控制模型( m a c ) 。基于角色的访问控制( r b a c ) 由f e r r a i o l o 和k u h n 在1 9 9 2 年提出的。 4 2 自主访问控制模型 自主访问控制模型( d a cm o d e l ，d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l ) 是 根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访 问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自 己所拥有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控制。 l i n u x ，u n i x 、w i n d o w s n t 或是s e r 、，e r 版本的操作系统都提供自主访问控制的功能。 在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予 用户的权限允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用 户或是特权用户( 管理员) 组实现。 任意访问控制对用户提供的这种灵活的数据访问方式，使得n a c 广泛应用在 商业和工业环境中；由于用户可以任意传递权限，那么，没有访问文件f i l e l 权 限的用户a 就能够从有访问权限的用户b 那里得到访问权限或是直接获得文件 f i l e l ；因此，d a c 模型提供的安全防护还是相对比较低的，不能给系统提供充分 的数据保护。 自主访问控制模型的特点是授权的实施主体( 1 、可以授权的主体；2 、管理 授权的客体；3 、授权组) 自主负责赋予和回收其他主体对客体资源的访问权限。 d a c 模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息， 从而达到对主体访问权限的限制目的。 工程硕士学位论文 4 3 强制访问控制模型 强制访问控制模型( m a cm o d e l ：m a n d a t o r ya c c e s sc o n t r o lm o d e l ) 最开始 为了实现比d a c 更为严格的访问控制策略，美国政府和军方开发了各种各样的控 制模型，这些方案或模型都有比较完善的和详尽的定义。随后，逐渐形成强制访 问的模型，并得到广泛的商业关注和应用。在d a c 访问控制中，用户和客体资源 都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才 能够确定用户和组的访问权限。和d a c 模型不同的是，m a c 是一种多级访问控制策 略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给 访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访 问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对 象。m a c 对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等 级标记；另一个是非等级分类标记。安全等级的层次我们在上节做过阐述，主体 和客体在分属不同的安全类别时，都属于一个固定的安全类别s c ，s c 就构成一个 偏序关系( 比如t s 表示绝密级，就比密级s 要高) 。当主体s 的安全类别为t s ， 而客体。的安全类别为s 时，用偏序关系可以表述为s c ( s ) s c ( o ) 。考虑到偏序 关系，主体对客体的访问主要有四种方式： ( 1 ) 向下读( r d ，r e a dd o w n ) ：主体安全级别高于客体信息资源的安全级别时允 许查阅的读操作； ( 2 ) 向上读( r u ，r e a du p ) ：主体安全级别低于客体信息资源的安全级别时允许 的读操作； ( 3 ) 向下写( w d ，w r i t ed o w n ) ：主体安全级别高于客体信息资源的安全级别时 允许执行的动作或是写操作； ( 4 ) 向上写( w u ，w r i t eu p ) ：主体安全级别低于客体信息资源的安全级别时允 许执行的动作或是写操作。 由于 l a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用， 其中最著名的是b e l l l a p a d u l a 模型和b i b a 模型：b e 儿一l a p a d u l a 模型具有只允 许向下读、向上写的特点，可以有效地防止机密信息向下级泄露；b i b a 模型则具 有不允许向下读、向上写的特点，可以有效地保护数据的完整性。 【a c 访问控制模型和d a c 访问控制模型属于传统的访问控制模型，对这两种模 型研究的也比较充分。在实现上，m a c 和d a c 通常为每个用户赋予对客体的访问权 限规则集，考虑到管理的方便，在这一过程中还经常将具有相同职能的用户聚为 组，然后再为每个组分配许可权。用户自主地把自己所拥有的客体的访问权限授 予其它用户的这种做法，其优点是显而易见的，但是如果企业的组织结构或是系 工程硕士学位论文 统的安全需求出于变化的过程中时，那么就需要进行大量繁琐的授权变动，系统 管理员的工作将变得非常繁重，更主要的是容易发生错误造成一些意想不到的安 全漏洞。考虑到上述因素，我们引入新的机制加以解决。首先要介绍一下角色的 概念，角色( r 0 1 e ) 是指一个可以完成一定事务的命名组，不同的角色通过不同 的事务来执行各自的功能。事务( t r a n s a c t i o n ) 是指一个完成一定功能的过程， 可以是一个程序或程序的一部分。角色是代表具有某种能力的人或是某些属性的 人的一类抽象，角色和组的主要区别在于：用户属于组是相对固定的，而用户能 被指派到哪些角色则受时间、地点、事件等诸多因素影响。角色比组的抽象级别 要高，角色和组的关系可以这样考虑，作为饰演的角色，我是一名学生，我就只 能享有学生的权限( 区别于老师) ，但是我又处于某个班级中，就同时只能享有本 ”组”组员的权限。 4 4 基于角色的访问控制模型 基于角色的访问控制模型( r b a cm o d e l ，r 0 1 e - b a s e da c c e s sm o d e l ) ：r b a c 模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获 得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问 的客体信息资源的所有者( 这些信息属于企业或公司) ，这样的话，访问控制应该 基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由 各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、 学生和其他管理人员等角色。 r b a c 从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色， 将访问权限与角色相联系，这点与传统的m a c 和d a c 将权限直接授予用户的方式 不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控 制中访问主体和受控对象之间的一座桥梁。 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作 集由系统管理员分配给角色。在下面的实例中，我们假设t c h l ，t c h 2 ，t c h 3 t c h i 是对应的教师，s t u d l ，s t u d2 ，s t u d 3 s t u d j 是相应的学生，m n 9 1 ，m n g2 ， g3 m n g k 是教务处管理人员，那么老师的权限为t c h 删= 查询成绩、上传所教 课程的成绩 ：学生的权限为s t u d 心= 查询成绩、反映意见 ；教务管理人员的权 限为m n g 州= 查询、修改成绩、打印成绩清单】。那么，依据角色的不同，每个主 体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所 执行的操作与其所扮演的角色的职能相匹配，这正是基于角色的访问控制( r b a c ) 的根本特征，即：依据r b a c 策略，系统定义了各种角色，每种角色可以完成一定 的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某 工程硕士学位论文 角色的成员，则此用户可以完成该角色所具有的职能。 系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角 色。例如学校新进一名教师t c h x ，那么系统管理员只需将t c h x 添加到教师这一角 色的成员中即可，而无需对访问控制列表做改动。同一个用户可以是多个角色的 成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以 作为进修的学生。同样，一个角色可以拥有多个用户成员，这与现实是一致的， 一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。因 此r b a c 提供了一种描述用户和权限之间的多对多关系，角色可以划分成不同的等 级，通过角色等级关系来反映一个组织的职权和责任关系，这种关系具有反身性、 传递性和非对称性特点，通过继承行为形成了一个偏序关系，比如 m n g t c h s t u d 。r b a c 中通常定义不同的约束规则来对模型中的各种关系进 行限制，最基本的约束是”相互排斥”约束和”基本限制”约束，分别规定了模型中 的互斥角色和一个角色可被分配的最大用户数。r b a c 中引进了角色的概念，用角 色表示访问主体具有的职权和责任，灵活地表达和实现了企业的安全策略，使系 统权限管理在企业的组织视图这个较高的抽象集上进行，从而简化了权限设置的 管理，从这个角度看，r b a c 很好地解决了企业管理信息系统中用户数量多、变动 频繁的问题。 相比较而言，r b a c 是实施面向企业的安全策略的一种有效的访问控制方式， 其具有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得 到普遍应用。角色由系统管理员定义，角色成员的增减也只能由系统管理员来执 行，即只有系统管理员有权定义和分配角色。用户与客体无直接联系，他只有通 过角色才享有该角色所对应的权限，从而访问相应的客体。因此用户不能自主地 将访问权限授给别的用户，这是r b a c 与d a c 的根本区别所在。r b a c 与m a c 的区别 在于：m a c 是基于多级安全需求的，而r b a c 则不是。 4 5 采用基于角色访问控制模型而设计的o r a c l e 数据库和角色 访问控制模型的优势 数据库就是长期存储在计算机内，有组织的，可共享的数据集合。数据库中 的数据按一定的数据模型组织、描述和储存，具有较小的冗余度，较高的数据独 立性和易扩展性，并可为各种用户共享。数据库管理系统是位于用户与操作系统 之间的一层数据管理软件。数据库管理系统使用户能方便的定义和操纵数据，并 工程硕士学位论文 能够保证数据的安全性。完整性，多用户对数据的并发使用以及数据的备份、恢 复。公司成立于1 9 7 7 年，是一家著名的专门从事研究、生产数据库管理系统的专 业厂家。目前o r a c l e 产品覆盖了大、中、小型机几十种机型，成为世界上使用非 常广泛的、著名的关系数据管理系统( 关系数据库：关系数据库系统是支持关系模型的数据库系统。关系模型的数据 结构非常简单，在用户看来关系模型中的逻辑结构是一张扁平的二维表。但关系 模型的这种简单的数据结构能够表达丰富的语义，描述出现实世界的实体以及实 体之间的各种联系。在一个给定的现实世界领域中，相应于所有实体及实体之问 的联系的关系的集合构成一个关系数据库。 表空问：表空间是数据库的逻辑划分，每个数据库至少有一个表空间( s y s t e m 表空间) ，为便于管理及提高运行效率，其他表空间可供用户群及应用系统共同使 用。一个表空间只能居于一个数据库。 文件：0 r a c l e 数据库系统中有数据字典文件，控制文件等多种文件，而其中最 重要的是数据文件。数据文件是实际保存数据的文件。每个表空间由同一磁盘上 的一个或多个数据文件组成。 关系表：关系表是具体保存数据，体现实体之间联系的二维表。 关系的完整性规则：关系模型的完整性规则是对关系的某种约束条件。关系模 型中可以有三类完整性约束：实体完整性，参照完整性和用户定义的完整性。实体 完整性规则规定基本关系的所有主属性都不能取空值。现实世界中的实体之问往 往存在某种联系，在关系模型中实体与实体间的联系都是用关系来描述的，这样 就自然存在关系与关系间的引用。参照完整性就是描述关系间引用的规则。参照 完整性：若属性或属性组f 是基本关系r 的外码，它与基本关系s 的主码k s 相对 应，则对于r 中每个原组，在f 上的值必须为或者取空值，或者等于s 中某个原 组的主码值。用户定义的完整性就是针对某一个具体关系数据库的约束条件，它 反应某一个具体应用所涉及的数据必须满足的语义要求。 结构化查询语言：结构化查询语言是一种介于关系代数与关系演算之间的语 言，是一种灵活高效的查询语言，其主要功能是对关系数据库中的数据进行操作 和处理。是先进的第四代程序设计语言，使用这种语言只需对要完成的任务进行 描述而不必指定实现任务的具体方法。p u s q l 语言是将第四代语言的强大功能和 灵活性与第三代语言的过程结构的优势融为一体的，专门用于在各种环境下对 0 r a c l e 数据库进行访问的高级语言。 o r a c l e 数据库在权限控制方面引入了角色的概念，使得系统具有很大的灵活 性，管理和设置都很方便，使用一些中间件和专用工具，可以方便的定制、管理 和激活相关的角色。 工程硕士学位论文 4 5 2r 队c 的进一步讨论 r b a c 的基本构成 用户( u s e r ) ：系统的使用者。可以是人、计算机、机器人等，一般指人