第一章 緒論
1.1研究的背景
供電企業開展標準化工作,建立企業標準體系就是為了加強企業基礎管理,明確工作流程和工作方法,明確人員的責任,并在企業創新發展過程中持續改進,是企業實現系統管理,提高管理水平的基礎。標準化工作在供電企業的開展中,會產生大量的電子文檔,怎樣科學有效地將這些電子文檔組織起來,統一保存,適度共享,將成為提高企業競爭力的源泉。由于缺乏對電子文檔的科學、規范管理,難以實現文檔的有效共享,難以有效控制文檔和信息的訪問過程,難以保證電子文檔的安全性。針對當前供電企業標準化信息系統在電子文檔管理所面臨的各種問題,本文提出了將標準化電子文檔分類后以數據庫方式進行存儲管理、通過授權訪問機制對電子文檔進行權限管理以及對電子文檔進行加密、壓縮處理后在網絡上傳輸,以實現企業標準化信息系統中電子文檔動態共享、查詢方便、安全可靠的目的。
1.2電子文檔的定義及特點
電子文檔是指人們在社會活動中形成的,以計算機盤片、磁盤和光盤等化學磁性材料為載體的文字材料。依賴計算機系統存取并可在通信網絡上傳輸。它主要包括電子文書、電子信件、電子報表、電子圖紙等等。電子文檔管理系統是指能夠將各種載體的文檔進行電子化,并能夠對電子文檔進行采集、加工、整理、分類、組織、傳遞、利用、轉換的計算機信息管理系統。
電子文檔區別于印刷品文檔主要有以下四個特點:容易修改、容易刪除、容易復制、容易損壞。
容易修改:這是電子文檔區別于傳統的印刷文檔的一個重要區別,印刷文檔和手寫文檔都有一個共同的不足就是一旦印刷好或者寫好就難于修改,這個特點在某些時候是好的,比如人們經常說的“白紙黑字”就非常能夠體現這個特點;但是它的優點也正好是他的缺點,人們在處理很多文字和圖形圖像信息的時候,經常需要對處理的內容進行修改,以滿足不同的需要,這個時候電子文檔就表現出了它的優點。正是由于電子文檔容易修改的特點,如果不能很好的保護,就可能受到非法的修改,不管這種修改是有意還是無意的,都會給文檔所有者帶來一定程度的損失,這個時候它又變成一個缺點。
容易刪除:對傳統方式的文檔進行刪除基本上是不現實的,只可能對信息的載體印刷品進行毀壞,由于印刷品一般都通過檔案室和文件柜等工具來進行保護,相對來說不容易被一般的人接觸,所以也就不容易被破壞,有較好的安全性。但是對于電子文檔,其刪除是非常方便的,只需要有改文件的操作權限(這個權限往往可以通過合法的和不合法的手段獲得),然后點擊鼠標或者通過鍵盤刪除文件都是非常容易的,一般情況下,事后也沒有任何地證據可以說明文件丟失的時間和原因。正是這樣的特點,如果被別人利用了這個特點,進行惡意的破壞活動,可能會給電子文檔的所有者造成無可挽回的損失。
容易復制:傳統方式的文檔進行復制往往需要一些輔助的材料和機器,如復印紙,復印機等相關資料。這是電子文檔的一個優點,也是一個缺點,優點是通過復制,人們可以非常方便地進行信息共享。但是,當文件是個人隱私或者商業秘密的時候往往不希望別人看見,這個時候如果被別人復制,造成個人隱私暴露或者商業泄密,都是文檔所有者所不愿意看到的,這里需要解決的就是對文件的保密。
容易損壞:文件損壞的原因主要有硬件損壞,人為破壞(有意或者無意),病毒破壞,人力無法抗拒的因素(火災,地震等),就文件損壞原因的調查中,人為破壞占了80%,其余的20%文件損壞是因為其它的各種因素,對于人為破壞,我們必須采取積極的措施來加以防范,不然很可能會因為疏忽而造成巨大的損失;對人為破壞以外的情況,一個比較有效的措施就是做好備份。
1.3電子文檔中存在的安全問題
電子文檔的安全管理是指確保存儲在計算機系統中各類電子文檔的信息、數據不會由于意外或者惡意的原因而遭到破壞、更改和泄露,即保證電子文檔的保密性、完整性、可用性和真實性。由于使用電子文檔的最終目的是實現信息的充分利用,因此在保證電子文檔安全性的同時,還要確保不影響電子文檔的可控性。為了保證正確地使用電子文檔,應該在研究安全存儲技術的同時考慮到電子文檔的創建和存儲、對電子文檔修改和刪除行為的確認、保護電子文檔信息安全、避免泄露或受到攻擊、防止電子文檔丟失帶來的信息丟失和防止非法入侵者通過網絡監聽和破壞電子文檔信息。電子文檔的安全性主要表現在以下幾個方面:
(1)身份冒充:身份冒充行為是指非法入侵者冒以合法身份對系統內的電子文檔和信息進行操作的行為。如果不能監視和避免冒充行為,將對系統造成很大的破壞,嚴重情況下將導致整個系統混亂以致癱瘓。
(2)否認:否認行為實際與冒充行為存在密切聯系,在對電子文檔做了有意或無意的攻擊行為后,一方面需要確認攻擊方的身份,另一方面需要提供證實手段以使攻擊方不能抵賴其行為。
(3)信息泄露:非法人員通過各種手段侵入系統,從而竊取得到信息將導致信息的泄露。這是一種攻擊方的主動行為,如竊取目標是涉及敏感數據信息,將給企業帶來嚴重的危害。
(4)信息丟失:由于存放敏感信息的介質一般為硬盤或光盤等,因此存儲介質的丟失或被盜,將導致敏感信息的泄露,這是一種被動的泄露方式。
(5)信息破壞:信息破壞是一種嚴格意義上的攻擊行為,即非法人員在竊取信息的同時,通過修改和刪除電子文檔等手段破壞信息。
(6)竊聽:隨著網絡技術的不斷升級,黑客可以通過網絡非法獲取計算機上存儲的敏感信息,其策略一般是借助于網絡竊聽系統操作,截獲數據流并進行分析。竊聽得到用戶信息后,可以非常方便地進入用戶的主機系統,并以合法身份得到硬盤上存儲的電子文檔。
1.4電子文檔安全管理的現狀
目前,保護電子文檔及相關信息的安全主要采用以下措施:
(1)使用防火墻技術與安全掃描工具,建立網絡安全屏障。防火墻是一個位于計算機和它所連接的網絡之間的軟件。該計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。
(2)設置訪問權限,進行授權訪問控制。對于不同職能的用戶設置不同的訪問權限,當用戶需要訪問信息資源前對其身份進行合法驗證。
(3)對信息進行加密。采用加密算法對信息進行加密存儲和傳輸,當信息被非法截取時,非法用戶得到的只是經過加密的信息,難以破譯。
(4)對信息進行簽名。采用摘要算法計算信息的摘要,并使用私鑰加密摘要,以保證信息的完整性,并實現不可否認性。
1.5電子文檔安全管理的關鍵技術
對標準化系統中電子文檔的安全管理應該在三個層面上進行:
(1)存儲管理
(2)授權管理
(3)網絡傳輸安全管理
要在這三個層面上達到良好的效果就必須運用到數據庫技術、訪問控制技術與數據加密與壓縮技術。
1.5.1數據庫技術
目前,數據庫技術尤其是關系型數據庫技術己經相當的成熟,關系型數據庫的應用范圍最廣,占據了數據庫主流地位。電子文檔,如文本、圖像、聲音等,這類信息無法用數字或統一的結構表示,稱之為非結構化數據。盡管目前關系型數據庫對非結構化數據的管理水平還需要進一步的加強,但大多數流行的關系型數據庫如ORACLE、SQLSERVER等都支持對大的二進制對象的存儲,就電子文檔的存儲管理而言關系型數據庫完全具備這樣的能力,因此將電子文檔用數據庫方式來管理在技術上是切實可行的。
1.5.2訪問控制技術
訪問控制技術是保證企業電子文檔安全管理的關鍵所在,是網絡安全防范和保護的主要策略,是保證網絡安全最重要的核心策略之一。它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制一般分為三種:
(1)自主訪問控制(DAC)
(2)強制訪問控制(MAC)
(3)基于角色的訪問控制(RBAC)
三種訪問控制方式各有其特點,其中RBAC是當前研究得熱點。
1.5.3加密壓縮技術
加密技術是保護信息安全的主要手段之一,是一種主動的安全防御策略,是大多數現代安全協議的基礎。在企業信息集成平臺中,電子文檔作為一種共享資源在網絡上進行傳輸,必然存在被截獲的危險,因此要保證電子文檔的安全傳輸,必須對其進行加密處理。
壓縮技術有兩種,一種是無損壓縮,一種是有損壓縮。對于電子文檔數據,首先應該關注它的可靠性、完整性。因此對電子文檔的壓縮處理統一采用無損壓縮。目前,無損壓縮算法有很多,當前比較成熟、高效的無損壓縮算法多數是基于LZ系列的無損壓縮算法。
1.6本文的主要工作
本文主要對供電企業標準化系統中的電子文檔管理中出現的各種安全問題進行分析,并針對出現的問題進行研究,設計出了完整的電子文檔安全管理的可行方案。其基本思想是將電子文檔按照其不同的使用性質進行分類管理,然后采用加密技術和壓縮技術處理后,作為關系型DBMS的一個特殊字段來保存,再加上相關文檔的屬性描述字段,通過操作系統的登錄驗證、文檔管理系統的登錄驗證、數據庫系統的安全機制,對登錄用戶進行嚴格的功能操作權限和文檔操作權限的限制以及登錄用戶的詳細操作日志記錄,這樣就可構造出一個集成的、統一的、安全的文檔數據庫管理系統,采用C/S模式數據庫方式下的用戶訪問界面,實現電子文檔的安全存儲和安全訪問。
第二章 訪問控制技術的原理與應用
隨著Internet規模的日益擴大,網絡中存儲的關鍵和敏感數據也越來越多,如何保護這些數據不被非法訪問這個問題顯得越來越重要。供電企業信息集成平臺是共享資源和關鍵敏感數據集中存放的地方,因此必須采取有效的手段來保證信息的安全性。訪問控制技術就是通過不同的手段和安全策略實現網絡上的訪問控制,其目的是保證網絡資源不被非法使用和訪問,加強共享信息的保護能力。
2.1主體、客體和訪問授權
訪問控制涉及到三個基本概念,即主體、客體和訪問授權。
主體:是一個主動的實體,它包括用戶、用戶組、終端、主機或一個應用,主體可以訪問客體。
客體:是一個被動的實體,對客體的訪問要受控。它可以是一個字節、字段、記錄、程序、文件,或者是一個處理器、存貯器、網絡接點等。
授權訪問:指主體訪問客體的允許,授權訪問對每一對主體和客體來說是給定的。例如,授權訪問有讀寫、執行,讀寫客體是直接進行的,而執行是搜索文件、執行文件。對用戶的訪問授權是由系統的安全策略決定的。
在一個訪問控制系統中,區別主體與客體很重要。首先由主體發起訪問客體的操作,該操作根據系統的授權或被允許或被拒絕。另外,主體與客體的關系是相對的,當一個主體受到另一主體的訪問,成為訪問目標時,該主體便成為了客體。
2.2訪問控制原理
計算機通信網絡中,主要的安全保護措施被稱作安全服務。根據1507498-2,安全服務包括:
(1)鑒別(Authentication)
(2)訪問控制(Access Control)
(3)數據機密性(Data Confidentiality)
(4)數據完整性(Data Integrity)
(5)抗抵賴(No-repudiation)
訪問控制作為安全服務的一個重要方面,其基本任務是防止非法用戶即未授權用戶進入系統和合法用戶即授權用戶對系統資源的非法使用。訪問控制規定主體(Subject)對客體(Object)的授權(Authorization)。客體是指需要保護的資源,又稱作目標(Target);主體或稱為發起者(Initiator),是一個主動的實體,它是指訪問客體的用戶或代表用戶執行的應用程序;授權規定對資源可進行的操作(例如讀、寫、執行或拒絕訪問)。目前,訪問控制技術已經開始成為網絡信息系統的重要安全保障之一,采用先進的安全訪問控制技術是構造網絡安全防范和保護系統的主要策略之一。訪問控制的原理如圖2-1所示:
在發起者(主體)和目標(客體)之間插入一層訪問控制實施功能模塊,當發起者向目標提交訪問請求時,攔截這一請求,并將其轉送到訪問控制決策功能模塊,對該請求進行決策判斷。訪問控制實施模塊收到決策模塊回送的決策之后,實施該決策,放棄請求或者通過請求。
2.3訪問控制策略
2.3.1自主訪問控制(DAC)
自主訪問控制最早出現在六十年代末期的分時系統中,它是在確認主體身份及所屬組的基礎上,對訪問進行限定的一種控制策略。其基本思想是:允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執行的訪問類型。其實現理論基礎是訪問控制矩陣(Access Control Matirx)。它將系統的安全狀態描述為一個矩陣,矩陣的行表示系統的客體,列表示系統的主體,中間每個元素為對應主體對對應客體所擁有的訪問權限。存取矩陣模型的授權狀態用一個三元組(S,O,A)來描述,其中:
S一一主體的集合
0一一客體的集合
A一一訪問權限的集合
對于任意一個si
S,oj O,那么相應地存在一個aij 
A,表示了si對oj可進行的訪問操作權限。每次用戶提出訪問的請求時,需要對存取控制矩陣進行一次掃描。存取控制矩陣可表示如表2-1:
自主訪問控制的優點是靈活,適用于各種類型的系統和應用,因此己經被廣泛應用于各種商業和工業的環境中。目前常用的操作系統中的文件系統使用的都是自主訪問控制,因為這比較適合操作系統資源的管理特性。但是它有一個明顯的缺點就是這種控制是自主的,它能夠控制主體對客體的直接訪問,但不能控制主體對客體的間接訪問,不能提供確實的保證來滿足對系統的保護要求,雖然每個存取是受控的,但這種授權定義的存取控制很容易被旁路信息在移動過程中其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O。所以DAC提供的安全性還相對較低,不能對信息的傳播加以控制,不能對系統資源提供充分的保護。引起這種情況的原因是自主訪問控制策略中的主體權限太大,對于如何處理主體能得到的信息并沒有施加任何限制。為此,人們認識到必須采取更強的訪問控制手段,就是強制訪問控制。
2.3.2強制訪問控制(MAC)
強制訪問控制是指系統強制主體服從事先制定的訪問控制策略,它最早出現在七十年代,在八十年代得到普遍應用。系統預先定義用戶的可信任級別及信息的敏感程度(安全級別),當用戶提出訪問請求時,系統對兩者進行比較以確定訪問是否合法。在強制訪問控制中,系統給主體和客體分配了不同的安全屬性,這些屬性在組織的安全策略沒有改變之前是不可能被輕易改變的。安全屬性是強制性的,它是由安全管理員或操作系統根據限定的規則分配的,用戶以及代表用戶的程序、進程等都不能以任何方式修改自身或任何客體的安全屬性。如果系統認為具有某安全屬性的用戶不適合訪問某個資源,那么任何人(包括文件的擁有者)都無法使該用戶具有訪問資源的能力。顯然用戶無權將任何數據資源分配給別的用戶使用,因此就不能簡單地分配數據的訪問權限了。當用戶提出訪問請求時,系統通過對主體和客體安全屬性匹配的比較來確定是否允許訪問繼續進行。
強制訪問控制的缺點在于訪問級別的劃分不夠細致,在同級間缺乏控制機制,主體訪問級別和客體訪問級別的劃分與現實要求無法一致。
隨著計算機網絡及其應用的發展,自主訪問控制和強制訪問控制機制對于網絡系統都己不能很好地解決其安全性和靈活性。在當前新興的各種應用系統中,信息不再屬于系統的某個用戶而屬于某個機構或部門,訪問控制需要基于雇傭關系即用戶在系統中的職能,而自主訪問控制和強制訪問控制機制都是基于用戶的機制,它們不能適應這種要求,因此需要另外一種訪問控制機制來適應這種要求,即基于角色的訪問控制策略。
2.4基于角色的訪問控制模型(RBAC)
隨著商業和民用信息系統的發展,安全需求也在發生變化,這些系統對數據的完整性、安全性有了進一步的要求,而且系統總是處于不斷變化之中,例如人員的增減,部門的增減,應用系統的增加等,這些變化使得一些訪問控制需求難以用DAC或者MAC來描述和控制。此外,在很多商業部門中,即使是由終端用戶創建的文件信息,他們也沒有這些文件的“所有權”。訪問控制應該根據應用系統中用戶的職責來確定用戶的訪問權限,換句話說,就是訪問控制是由用戶在系統中所承擔的崗位職責(角色)來確定的。例如:在一個供電企業中包括經理、副經理、調度主任、信息中心主任、資料員等角色,這些角色承擔的職責不同,對系統的使用權限也就不同,所以利用角色的概念來進行訪問控制管理是非常有效的。美國國家標準和技術研究院MST(National Institute of Standards and Technology)于20世紀90年代初提出基于角色的訪問控制(Role-Based Access Control,簡稱RBAC),目前得到了廣泛的研究和應用。
2.4.1 RBAC的基本概念
在基于角色的訪問控制(RBAC)中,角色是實現訪問控制策略的基本語義實體。系統管理員可以根據職能或機構的需求策略來創建角色、給角色分配權限和給用戶分配角色等。基于角色訪問控制的核心思想是將權限同角色關聯起來,而用戶的授權則通過賦予相應的角色來完成,用戶所能訪問的權限就由該用戶所擁有的所有角色的權限集合的并集來確定。角色之間可以有繼承、限制等邏輯關系,并通過這些關系影響用戶和權限的對應關系。在實際應用中,根據供電企業中不同工作的職能可以創建不同的角色,每個角色代表一個獨立的訪問權限實體。然后在此基礎上根據用戶的職能分配相應的角色,這樣用戶的訪問權限就通過被授予的角色的權限來體現。在用戶機構或權限發生變化時,可以很靈活地將該用戶從一個角色轉移到另一個角色來實現權限的協調轉換,降低了管理的復雜度,而且這些操作對用戶完全透明。另外,當組織機構發生職能變化時,應用系統只需要對角色進行重新授權或取消某些權限,就可以使系統重新適應需要.這些都使得基于角色訪問控制策略的管理和訪問方式具有無可比擬的靈活性和易操作性。
RBAC是一種非自主的訪問控制機制,支持對特定安全策略進行集中管理。其非自主性表現在用戶并不“擁有”所訪問的對象,不能任意地將自己擁有的訪問權限授予其他用戶。
基于角色的訪問控制可以簡單表述為圖2-2:
角色訪問控制是根據用戶在系統里表現的活動性質而定的,這種活動性質表明用戶充當了一定的角色。用戶訪問系統時,系統必須先檢查用戶的角色,然后取得相應的訪問權限。一個用戶可以充當多個角色,一個角色可以由多個用戶擔任。
在RBAC策略中,涉及到的基本概念如下:
(1)用戶U(User):信息系統的使用者。主要指操作人員,也可以是計算機或網絡;
(2)角色R(Role):一個可以完成一定事務的命名組,不同的角色通過不同的事務來執行各自的功能;
(3)客體Ob(Object):系統中可以訪問的對象、資源;
(4)操作Op(Operation):對客體可以執行的操作,操作的類別取決于其所在應用系統,在文件系統中,包括讀、寫和運行,而在數據庫管理系統中,操作還包括插入、刪除、修改和更新等;
(S)許可P(Permission):用戶對信息系統中的對象(Obs)進行某種特定模式訪問的操作許可;
(6)會話(Session):用戶是一個靜態的概念,而會話是一個動態的概念。一個會話是用戶的一次活躍進程,它代表用戶與系統進行交互。會話是一個用戶和多個角色的映射,一個用戶可以同時打開多個會話。
從以上介紹可以看出,RBAC模型有三個實體集為基礎,它們分別是用戶集(U),角色集(R),許可集(P)。在RBAC中,每個角色被賦予若干許可,每項許可也可能同時授予多個角色,所以角色與許可之間是多對多的關系;每個用戶至少被授予一個角色,同一角色可以被多個用戶共享,所以用戶與角色也是多對多的關系。用戶通過自己扮演的角色獲得許可。RBAC中的另一個成分是會話集(S),它把一個用戶與一個或多個角色相關聯。當一個用戶建立一個會話時,就激活了他作為直接或間接成員的角色的子集。當用戶同時激活多個角色時,他獲得的許可是這些角色許可的并集。同時RBAC通過約束機制來約束角色授權和用戶賦予角色,使其滿足安全策略的要求。
2.4.2 RBAC的結構模型
根據對不同復雜度權限的需求,RBAC參考模型定義了三個分組件,分別是:
(1) Core Components:
——Core RBAC:核心 RBAC
(2) Constraining Components:
——Hierarchical RABC:層次RBAC
——General
——Limited
(3)Separation of Duty Relations:職責隔離
—Static Sean of Duty (SSD)
—Dynarriic Separation of Duty ( DSD )
職責關系隔離也叫做Constrained Componets。
2.4.2.1核心RBAC
Core RBAC定義了RBAC模型的五個基本元素:User,Role,Operations,Objects,Permissions。最基本的RBAC如圖2-3所示:
Core RBAC的基本概念是用戶通過成為角色的成員來獲得相應的權限。但Core RBAC并不顯式的禁止用戶通過其他的方式獲得操作權限。它僅要求用戶一角色和角色一權限關系均為多對多的關系,并可動態添加用戶一角色和角色一權限關系,且一個用戶可以通過同時被指定多個角色而同時獲得多個角色的多個權限。
2.4.2.2層次RBAC
在核心RBAC的基礎上增加對角色等級(Role Hierarchy)的支持。角色等級是一個嚴格意義上的偏序關系,上級角色繼承下級角色的權限,下級角色獲得上級角色的用戶。
角色劃分等級是RBAC的一個突出優點。通常可以根據現實組織結構的模式構造角色層次關系,使它直接反映一個組織的職責關系,但是等級RBAC組件除了規定了最基本的概念以外,并沒有做詳細描述。因此在具體實現一個RBAC系統時,還需要進一步細化,比如增加更多的對繼承的限制。等級RBAC的結構如圖2-4所示:
2.4.2.3約束RBAC
核心模型的另一個增強的方向是約束模型。作為一個完整的安全模型,約束機制是非常重要的性能。對于一個具體的系統而言,無論它是否具有層次角色的特征,約束機制都是必不可少的。例如:在一個組織內出納角色和會計角色不能同時授予同一個用戶。當使用了角色約束機制后,公司的領導層就可以不必再考慮具體的實施。這樣方便系統管理員的管理,這對于一個大型的企業系統來說,是非常重要的。實際上,通過約束機制,RBAC就可以實現強制安全控制,而且包括對RBAC本身的管理和控制。對于角色的約束機制主要以下兩種約束:角色靜態互斥約束和角色動態互斥約束。
角色靜態互斥約束是指通過將用戶指派給角色時施加約束來阻止角色沖突的發生。這意味著如果一個用戶指派給一個角色,那么它將被禁止指派給與這一角色存在互斥關系的任何角色。角色靜態互斥約束模型結構如圖2-5所示:
與角色靜態互斥約束類似,角色動態互斥約束也是限制可提供給用戶的訪問權限,但是實施的機制不同。角色動態互斥約束在用戶會話中對可激活的當前角色進行限制。在角色靜態互斥約束中,有沖突的角色不能被指派給同一用戶;在角色動態互斥約束中,有沖突的角色可以被指派給同一用戶,但是它們不能在同一個會話中被激活。角色動態互斥約束是最小權限原則的擴展,每個用戶根據其執行的任務可以在不同的環境下擁有不同級別的訪問權限,確保訪問權限不會在時間上超越它們對履行職責的必要性,這種機制稱作信任的適時變更。角色動態互斥約束的模型結構如圖2-6所示:
2.4.3基于角色訪問控制機制的優點
傳統的訪問控制策略直接將訪問主體與客體相聯系,如圖2-7所示:
基于角色的訪問控制模型通過在用戶和權限之間引入角色這個中介,為用戶授予角色,為角色授予權限,用戶通過角色間接訪問系統資源,限的邏輯分離。圖給出了用戶、角色、與權限的職責分離關系。實現了用戶與權資源分配關系如圖2-8所示:
分析以上兩類訪問控制的模型圖可以看出基于角色的訪問控制克服了傳統訪問控制的諸多不足,主要表現在:1)簡化了授權操作,可以有效地對大量用戶實現訪問控制。傳統的訪問控制實現方法,將用戶與訪問權限直接相聯系,當組織內人員新增或離開,或者某個用戶的職能發生變化時,需要進行大量的授權更改工作,修改許多相關的訪問控制權限設置。而在RBAC中,角色作為溝通用戶與資源之間的橋梁。一個組織內,可根據組織的具體情況,設定若干個與一定權限相聯系的角色,不同的角色擁有不同的訪問權限和職責。此時,對用戶的訪問授權轉變為對角色的授權。一旦一個RBAC系統建立起來以后,主要的管理工作即為授予或取消用戶的角色,而對一個用戶所擁有的角色數量比擁有的資源數量少得多,這樣可以大大減少系統管理員的維護量。2)系統管理員在一種比較抽象的,與企業通常的業務管理相類似的層次上控制訪問。這種授權使管理員從訪問控制底層的具體實現機制脫離出來,十分接近日常的組織管理規則。通過定義及建立不同的角色、角色的繼承關系、角色間的聯系以及相應的限制,管理員可動態或靜態地規范用戶的行為。
2.5基于崗位角色的訪問控制模型(PRBAC)
2.5.1 PRBAC訪問控制模型
RBAC模型作為一種策略無關的訪問控制技術,它不局限于特定的安全策略,幾乎可以描述任何的安全策略,克服了傳統訪問控制的諸多不足,所以其應用領域極為廣泛,如管理信息系統、數據庫系統、計算機操作系統以及網絡間的訪問控制等。但是RBAC模型是抽象、普適的模型,距離具體的現實應用有一定的距離。RBAC模型在角色配置的工程化、角色動態轉換等方面還需要進一步研究,RBAC比DAC和MAC復雜,系統實現難度相比之下要大。而且RBAC的策略無關性需要用戶自己定義適合本領域的安全策略,定義眾多的角色和訪問權限以及它們之間的關系。因此,為了實現電子文檔管理系統中統一資源的訪問控制,需要對RBAC模型進行改進或簡化,供電企業應該根據企業本身信息管理的標準,人員職責的要求,分工的需要等方面建立合適的訪問控制機制。本文在繼承RBAC先進控制思想的基礎上結合供電企業的特點和企業的要求對RBAC模型進行擴展,對RBAC模型進行擴展主要基于以下幾個方面:
- 適應供電企業行政管理模式,供電企業崗位比較固定,而且每個崗位的職責也相對穩定;
- 需控制的資源的不斷增加,各種應用軟件、電子文檔資源的不斷增加,維護復雜化;
- 便于系統管理員更直觀地授權。
2.5.2 PRBAC訪問控制結構模型
經過擴展的RBAC模型如圖2-9所示:
此模型在RBAC模型的基礎上增加了崗位(Post)這一集合,模型的主要組成元素有用戶集合(U),崗位集合(P),角色集合(R),信息對象集合(O)。這樣用戶直接和崗位對應,而一個崗位擁有一個或多個角色,角色擁有一個或多個資源。這樣系統管理員可以更加直觀地給工作人員分配權限。權限分配流程如圖2-10所示:
2.6基于崗位角色的訪問控制模型在本課題中的應用
在供電企業電子文檔的管理中,一個方面要保證敏感信息的安全,另一方面還要保證信息流動的靈活性,即保證敏感信息安全性的基礎上還必須保證信息在必要的部門之間合理地流動以達到使企業高效運作的目的。隨著訪問資源的增加,以及機構人員的變動,都會使系統的維護復雜化。因此,在考慮敏感信息安全共享的前提下,需要設計易于系統管理員維護的、直觀的電子文檔管理系統。本課題在訪問控制方面采用了前面介紹的基于崗位角色的訪問控制模型。模型定義了四個元素集合:
(1)用戶集(U):工作人員:
(2)崗位集(P):一般由實際的行政崗位來確定;
(3)角色集(R):可以完成一定事務的命名組,對于角色的命名比較靈活,系統管理員可依照方便性、易維護性的原則進行命名;
(4)資源集(O):指電子文檔。
電子文檔管理系統中,將資源(電子文檔)按照等級、性質進行分類,然后根據實際的需要將操作權限分配給已命名的角色,己分配操作權限的角色按照實際工作的需要分配給已命名的崗位,然后根據用戶的職責分配具體的崗位。這樣就完成對用戶的授權。當某個崗位的職責發生變化時,系統管理員只需要根據崗位的新職責增加或取消某些角色;而當增加用戶,或者用戶崗位發生變化時,只需要給該用戶授予新的崗位就能完成授權工作。降低了系統管理員的后期維護工作量。
基于崗位角色的訪問控制適應了企業特定的安全策略,能夠減輕系統安全管理的負擔,而且可隨著組織結構和安全需求的變化而變化,具有很好的靈活性。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:標準化系統中電子文檔的安全存儲技術研究
相關文章
