信息管理中的訪問權限設計

尹 娜 仲崇鑫

摘要 隨著信息化時代的到來,信息安全問題也備受關注。如何確保核心數據的安全,保障系統正常運行,是信息管理人員需要面對和解決的首要問題。本文針對各級管理員的訪問權限進行設計,按照角色對應控制其登錄訪問權限。

關鍵詞 訪問控制;角色分配;訪問入口設計

中圖分類號 G203 文獻標識碼 A 文章編號1674-6708(2009)07-0054-02

隨著計算機技術應用的普及和企業信息化步伐的加快,越來越多的企事業單位都建立了自己的管理信息系統。管理信息系統一般操作數據量都很大,大量的數據和信息存放于它的數據庫平臺中,有些甚至是關系到企業或單位切身利益的重要信息。在開發多用戶信息系統的過程中,由于大量的重要信息集中存放,且某些信息為多個用戶共享,這就使得權限控制成了開發多用戶信息系統中的一個重要環節。

系統的數據使用權限控制,是指防止不合法地使用數據庫,以避免數據的泄漏、非法更改和破壞,本質上就是保證數據的合法訪問,阻止非法訪問。本文以某政府門戶網站系統為例,來討論如何實現多用戶信息系統的數據使用權限控制的控制問題。

1 網站信息訪問權限分配設計

基于角色的訪問控制模型(RBAC:role-based access contro1)是目前安全模型領域的研究熱點,由于其易管理而被廣泛地應用在網絡控制領域。將計算機信息管理應用人用分為4大類:信息報送人員、信息審核人員、信息維護發布人員和系統管理員。信息報送人員負責海量數據篩選、編輯、上傳、存儲等工作,系統維護員負責系統的維護、更新、數據庫的管理等,系統管理員可以進入網站任何機器進行維護及保密工作等。將權限明確劃分是考慮到權責到人有利于整個系統的統籌分配,每個人有相關的權限值只能訪問到相應權限內的資源,這樣保證信息的一定范圍內的安全性。

1.1 角色級控制

角色的概念源于實際工作中的職務。一個具體職務代表了在日常工作中處理某些事務的權利,一個角色與權限關聯可以看作是該角色擁有一組權限的集合,與用戶關聯又可以看作是若干具有相同身份的用戶的集合,角色與用戶和權限之間的關系,詳細闡述了角色控制在信息系統中的應用。

由于該門戶網站信息系統中的用戶很多,且有些用戶有完全相同的權限,如果單獨給每個用戶分別分配權限,勢必大大增加管理的難度。因此,根據用戶分工的不同,在數據庫中建立了信息報送人員、信息審核人員、信息維護發布人員、系統管理員等不同的角色。根據分工的不同,分別賦予各個角色不同的權限集合,然后按部門將相應的角色賦予各個用戶,這樣就保證了用戶登錄時只能訪問到其具有相應角色權限的數據信息,從而使用戶的管理得以大大簡化。

1.2 部門級控制

部門級安全性控制是指在一定的資源共享的前提下,一個部門的用戶不能操作另外一個同等級別部門的某些關鍵數據,但允許高級別的用戶操作訪問低級別部門的數據。

比如,001為普通的管理的用戶,admin為系統管理員。在001 登錄系統時,不允許他訪問到其它內容的關鍵數據,也不能訪問局端的一些數據,而是應該首先把其它部門的關鍵數據過濾掉,而在用戶admin登錄系統時,應允許其訪問各個數據,即部門級控制要實現上級部門用戶能訪問和修改下級部門的數據,但不允許下級部門訪問和修改上級部門的數據,也不允許同等級別部門用戶之間相互操作對方的關鍵數據,其原理恰似企業中的上下級層次管理結構。

2 控制訪問權限的登錄設計

訪問控制是系統安全機制的重要組成部分。信息網格中訪問控制解決的是合法用戶對網格資源的訪問權限問題。在信息網格復合管理域這一特征環境中,訪問控制需要考慮異構管理域問題,也即跨域的授權訪問與查驗。目前,針對跨域的訪問控制的研究有很多。在信息網格系統中比較常用的幾種訪問控制機制有域信任模式、信任第三方的授權認證機制、用戶映射或者權限關系映射機制訪問控制機制來解決跨域問題,但他們存在管理域數目增大、管理開銷大、控制不靈活、實現困難等特點。針對這些缺點,本文在用戶映射或者權限關系映射機制的基礎上提出權限預分配方案,從而實現跨域的復合授權與查驗。

某些時候也會出現這樣的問題。例如,有時普通管理員需要找到一些資料,管理員無法到達現場需要委托其他工作人員打開其權限訪問區域,這時就要把密碼告訴給其他人,也就是把自己的權限交給了他人。將密碼告知給別人需要承受一定的風險,如果是系統管理員將會有訪問所有保密信息的權限,其他人本來是不能查閱,或者別人可能有意或者無意地破壞的機器,這些都是無法預知的。解決上邊所說的問題我們可以用授權密碼控制的方式,設計如下:登錄時先選擇角色,然后每個角色有兩個登錄口,一個登錄口使用原密碼,另外一個使用授權密碼,不同人員授權的密碼訪問權限也不相同?？紤]到有限授權密碼的使用同樣存在著安全隱患,授權密碼只能使用一次,引入隨機生成密碼方式,每次授權使用完畢又隨機生成方式生成新的密碼。訪問記錄:每次使用控制訪問權限方式時,啟用日志記錄方式記錄登錄著行為,并且權限內不能做刪除日志操作,以便查管理員查看。

3 結論

信息系統安全作為一門綜合性的動態學科,其研究的內容是多層次和多方面的。針對授權的訪問機制,將訪問控制考慮因素擴展到被授權人的實際操作環境的安全性上,將終端的安全性納入考慮范疇中。

通過權限管理可以避免非法用戶進入信息管理系統,可以刪除或禁用某些不經常登錄和有破壞數據安全傾向的用戶,可以根據需要將某些禁用的用戶取消禁用等,所以在信息系統設計中,權限設計是一個非常重要的方面。結合某網站的管理信息系統的開發,詳細地討論了在多用戶信息系統中數據權限使用控制原理以及實現,使得不同級別的管理人員和操作人員能充分、有效而且合理地使用其應用軟件系統,從而在一定程度上保證了系統的安全性。

參考文獻

[1]Bellare M,Canetti R,Krawczyk H.Keyed Hash Functions and Message Authentication [C] // Proceedings of Crypto96.Los Angeles,Califomia,USA:[s.n.],1996.

[2]Barraza O.Achieving 999 998% Storage Uptime and Availability.Dot Hill Systems Corpm,2002.http://www.dothil1.com/products/whitepapers/5-9s_wp.pdf.

[3]歐陽星明,張華哲.大型網絡 MIS 中基于角色的權限管理[J].計算機工程與應用,2000,36(4):138-140.

科學巨擘 民族英雄 科技界緬懷錢老

“上午,我正在參加一個會議,忽然總裝備部的一個同志告訴我,可能錢老出事了。一會兒我就聽到了錢老去世的噩耗。太惋惜了。我們還想著明年給他過百歲生日呢!”中科院力學所俞鴻儒院士話語中含著極度的悲傷。

一代巨星離世,中國科技界沉浸在悲痛之中。中國工程院副院長杜祥琬院士難以擬制自己的悲痛說:“他是我們國家授予的唯一一個人民科學家啊?！?/p>

8年前,記者在報道“錢學森科學貢獻暨學術思想研討會”時,聽到時任全國政協副主席、中國工程院院長宋健對錢學森的評價:“錢老是20世紀中國科技事業的巨擘、中國科技界的楷模和中華民族的英雄?！?/p>

這位民族英雄,在歷經人生的98個春秋之后,于今天駕鶴西行?！板X老是一個非常有才華的世界級科學家。當年他從美國回國時,美國人知道他的價值,對他不放行。他是費了很多周折才回來的。”在杜祥琬的心中,錢學森是一位偉大的愛國者。

正在國外出訪的中國航天科工集團公司總經理許達哲聞知錢學森去世的消息,立即通過電話向他的家人表示慰問,對錢學森的辭世表示深切哀悼。他不能忘記,今年6月27日,錢學森還給他寫信,以一個老航天工作者的身份,對航天科工集團成立十周年表示祝賀。他在信中說:“要取得更大的成績,一個重要方面就是要把系統工程的理論發揚光大,探索在市場經濟條件下進一步發展的路子;并把它介紹到其他行業中去。欣聞你們在這方面已有新的考慮、新的舉措。我完全贊成。預祝你們成功!”一個年近百歲的老人,在其生命蠟燭的最后一段,依然關心著祖國的航天科技,關注著這一領域如何在市場經濟條件下發展。

俞鴻儒當年是在聽到錢學森的大名后,才報考中科院力學所研究生的。那是1957年,力學所剛剛成立不久,錢學森擔任所長?！昂苓z憾,我沒有成為錢先生的研究生。因為他知道自己太忙,沒有多少時間指導學生,所以他在力學所一個研究生都不帶。雖然沒有成為錢先生的研究生,但他還是經常指導我們?！庇狲櫲逭f當年經常參加錢學森主持的學術報告會?！八约禾脱缅X,買糖果、點心讓大家邊吃邊聽?？晌覀兟爼r也很緊張:當他認為某人報告中有問題時,他會隨時叫起聽會的人,問演講者講得對不對,為什么?現場的分析評判對我們收獲很大?！卞X學森一生追求科學,他影響了很多人,也影響了中國和世界。

中國運載火箭技術研究院(航天一院)黨委書記梁小虹不敢相信錢學森真的已經走了。他在電話里對錢學森的兒子說:“錢老永遠活在航天一院人心里,永遠緬懷錢老在一院的那段日子。”上世紀60年代,我國發射了自行設計的第一枚中近程火箭。在準備期間,科研人員計算火箭推力時發現射程不夠,但是火箭的燃料貯箱體積有限,再也“喂”不進去了。當時還是小字輩的王永志提出,從火箭體內卸出600kg燃料會命中目標。在場的專家們幾乎不敢相信自己的耳朵,也沒人理睬他的建議。發射前,王永志鼓起勇氣找到技術總指揮錢學森,談了自己的想法。錢學森眼睛一亮:“這個年輕人的意見對,就按他說的辦!”果然,火箭射程變遠了,連打3發導彈,全部命中目標。從此,錢學森記住了王永志。我國開始研制第二代導彈的時候,錢學森建議,第二代戰略導彈讓第二代人掛帥,讓王永志擔任總設計師。這個故事讓航天一院的許多老同志津津樂道。

中科院高能所的冼鼎昌院士是從事理論物理及同步輻射應用研究的,與錢學森研究的不是一個領域。“我在上世紀50年代就知道錢老的大名。他是一個科學大師,是世界級的科學領軍人物。他留下的東西,中國人不會忘記,世界也不會忘記。”