基于分級保護(hù)的OA系統(tǒng)應(yīng)用層訪問控制研究

曾偉川

（廣東工業(yè)大學(xué)，廣州 510006）

摘要：OA系統(tǒng)即辦公自動(dòng)化系統(tǒng)，是一種面向組織的日常運(yùn)作和管理系統(tǒng)，也是當(dāng)前員工和組織管理者使用頻率最高的應(yīng)用系統(tǒng)，能夠?qū)崿F(xiàn)協(xié)同辦公以及自動(dòng)化辦公，為組織的運(yùn)行管理提供良好的支撐。本文從分級保護(hù)的角度，對OA系統(tǒng)應(yīng)用層訪問控制進(jìn)行了討論和分析，希望能夠有效提升涉密信息系統(tǒng)的安全性，保障系統(tǒng)安全。

關(guān)鍵詞：分級保護(hù)；OA系統(tǒng)；應(yīng)用層；訪問控制

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2016）49-0254-02

前言：在科學(xué)技術(shù)飛速發(fā)展的帶動(dòng)下，計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)得到了越來越廣泛的應(yīng)用，極大地推動(dòng)了社會(huì)的發(fā)展，同時(shí)也使得計(jì)算機(jī)和網(wǎng)絡(luò)成為了信息泄露的主要渠道之一。在涉密OA系統(tǒng)建設(shè)中，應(yīng)該遵循相關(guān)標(biāo)準(zhǔn)，做好相應(yīng)的訪問控制，結(jié)合分級保護(hù)思想，采取相應(yīng)的應(yīng)用層訪問控制策略，保障系統(tǒng)的使用安全。

一、系統(tǒng)結(jié)構(gòu)

從系統(tǒng)整體結(jié)構(gòu)分析，OA系統(tǒng)采用的是三層軟件體系架構(gòu)，包括了表現(xiàn)層、邏輯層和數(shù)據(jù)層。因用戶、管理員的需求不同，將邏輯層設(shè)置在服務(wù)器端、或者客戶端，在一定程度上對網(wǎng)絡(luò)應(yīng)用的開發(fā)和運(yùn)行維護(hù)進(jìn)行了簡化。系統(tǒng)結(jié)構(gòu)如圖1所示：

與一般的OA系統(tǒng)相比，涉密系統(tǒng)部分面臨著比較特別的需求，整個(gè)系統(tǒng)部分處于一個(gè)相對閉環(huán)的環(huán)境中，為特殊用戶提供相應(yīng)的服務(wù)，具有多層次校驗(yàn)權(quán)限，處理用戶面固定和高安全、高要求需求，切合了C/S結(jié)構(gòu)的專長，也就使此類結(jié)構(gòu)在系統(tǒng)中被管理人員廣泛應(yīng)用。同時(shí)，對于系統(tǒng)中的一般工作人員，B/S結(jié)構(gòu)能夠更加靈活地適應(yīng)廣域網(wǎng)的基礎(chǔ)，降低了對操作環(huán)境和人員的要求，并使網(wǎng)絡(luò)架構(gòu)簡單化，減輕系統(tǒng)的運(yùn)維成本。因而，在系統(tǒng)研發(fā)中，更多的采用基于B/S和C/S的混合架構(gòu)，并根據(jù)實(shí)際功能需求，對其細(xì)節(jié)進(jìn)行調(diào)整。

二、應(yīng)用層訪問控制策略

在涉密OA系統(tǒng)中，訪問控制集中體現(xiàn)在應(yīng)用層、物理層和網(wǎng)絡(luò)層三個(gè)不同的層次中，本文主要針對應(yīng)用層，對基于角色的訪問控制進(jìn)行了相應(yīng)的改進(jìn)，將訪問權(quán)與用戶分離出來，構(gòu)建出更加可靠安全的訪問架構(gòu)。

（一）基于角色的訪問控制改進(jìn)

對于OA系統(tǒng)而言，安全管理工作包含了大量特殊的、敏感度不同的信息，特別是不同訪問需求的用戶，因此是一項(xiàng)非常復(fù)雜的系統(tǒng)性工作。在系統(tǒng)中，采用基于角色的訪問控制模型（RBAC），同時(shí)引入信息主客體分級保護(hù)機(jī)制，以防止出現(xiàn)越權(quán)現(xiàn)象。RBAC的對象包括了三種，一是用戶，即可以獨(dú)立對計(jì)算機(jī)系統(tǒng)中的資源（信息）、數(shù)據(jù)進(jìn)行訪問的個(gè)體；二是角色，在系統(tǒng)中具有單一種限或多權(quán)限的個(gè)體，而無論是權(quán)限還是角色，都可以根據(jù)實(shí)際需要進(jìn)行刪除或者增加；三是權(quán)限，主要是對系統(tǒng)中的資源（信息）和數(shù)據(jù)進(jìn)行訪問的許可。在RBAC中，要求安全管理員可根據(jù)用戶需要，對各種用戶角色進(jìn)行定義，不同用戶設(shè)置相應(yīng)的訪問權(quán)限，用戶則根據(jù)各自的權(quán)責(zé)，獲得對應(yīng)的角色。通過這樣的方式，可以將訪問控制分為兩個(gè)部分，即用戶訪問的權(quán)限和角色。角色與用戶關(guān)聯(lián)，實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，系統(tǒng)安全管理員可以通過對角色的分配和取消，完成對于用戶權(quán)限的改動(dòng)。

基于角色的訪問與控制，有效實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，對角色之間的層次關(guān)系進(jìn)行了描述，同時(shí)，通過引入相應(yīng)的部門參數(shù)，提高了系統(tǒng)的運(yùn)行效率。同時(shí)，系統(tǒng)能夠?qū)崿F(xiàn)多用戶、多級別的權(quán)限管理，對應(yīng)用數(shù)據(jù)進(jìn)行保護(hù)，避免信息的泄露或丟失。在主客體分級保護(hù)中，每一個(gè)用戶都只能夠?qū)ψ陨頇?quán)限所對應(yīng)等級的信息進(jìn)行訪問和操作，在工作的直接相關(guān)范圍內(nèi)，實(shí)現(xiàn)信息的接收和傳遞。結(jié)合用戶登錄與身份鑒別及審計(jì)機(jī)制，可以構(gòu)建安全可靠的訪問框架，如圖2所示：

結(jié)合相關(guān)規(guī)定，依照主體與客體類別，實(shí)現(xiàn)對于重要信息和涉密信息的訪問控制。在系統(tǒng)中，采用主客體分級結(jié)構(gòu)，主體控制到具體用戶，客體控制到信息類別。每一個(gè)主客體都必須有各自相對應(yīng)的等級，并將為其作為一種必要的屬性標(biāo)記。在系統(tǒng)中，按照密集從高到低，可以將信息客體劃分為絕密、機(jī)密、非密，對應(yīng)的信息主體同樣如此劃分。引入傳統(tǒng)的強(qiáng)制訪問控制思想，有效保證密級信息的知悉范圍，使得每一個(gè)用戶都只能夠接觸自身權(quán)限內(nèi)的信息，減少信息的泄露。不僅如此，系統(tǒng)按照信息客體的密級，將其存在在了不同的服務(wù)器節(jié)點(diǎn)，采取針對性的保護(hù)措施，降低了數(shù)據(jù)存儲(chǔ)的風(fēng)險(xiǎn)。

（二）管理員角色控制

在系統(tǒng)所有訪問主體中，管理員是一個(gè)非常特殊的用戶，權(quán)限較普通用戶更高，也更容易造成大規(guī)模的信息泄密和破壞。對此，在系統(tǒng)中設(shè)計(jì)了分散管理與集中管理相互結(jié)合的手段，將管理員角色分為三種不同的類型，即審計(jì)員、保密員和系統(tǒng)管理員，分別對系統(tǒng)安全的不同方面進(jìn)行控制。同時(shí)對于一些特殊的操作，如系統(tǒng)的初始化、管理員的添加、修改和刪除等，設(shè)置了“超級管理員”，設(shè)置嚴(yán)密的啟動(dòng)密碼，由上述三種管理員分別進(jìn)行保存，在三方同時(shí)存在時(shí)，才能夠啟動(dòng)超級管理員角色。這樣，一方面避免了集中管理所帶來的不可控性和監(jiān)督缺失，也避免了分散管理中的協(xié)調(diào)一致性與分權(quán)漏洞的問題。

三、訪問審計(jì)機(jī)制

（一）數(shù)據(jù)庫訪問審計(jì)

數(shù)據(jù)庫的功能是對系統(tǒng)中的數(shù)據(jù)信息進(jìn)行整理和保存，一旦遭到非法入侵或者破壞，將造成極其嚴(yán)重的后果。對此，在系統(tǒng)開發(fā)設(shè)計(jì)中，應(yīng)該盡量在滿足功能需求的前提下，選擇成熟的數(shù)據(jù)庫產(chǎn)品。以O(shè)racle數(shù)據(jù)庫為例，其結(jié)構(gòu)包括了控制文件、日志文件和數(shù)據(jù)文件，能夠通過三種文件，實(shí)現(xiàn)對于數(shù)據(jù)庫系統(tǒng)操作的有效記錄，以及對特定業(yè)務(wù)數(shù)據(jù)表的控制，審計(jì)措施包括：實(shí)體級，語句級，權(quán)限級，實(shí)體級就是監(jiān)視所有用戶對某一指定用戶表的存取和更新狀況；語句級就是審計(jì)某種類型的SQL語句，記錄創(chuàng)建、丟棄等表操作；權(quán)限級就是審計(jì)某一系統(tǒng)權(quán)限的使用狀況，包含大部分的對數(shù)據(jù)庫對象的數(shù)據(jù)定義語言操作。

（二）審計(jì)日志存儲(chǔ)

對于審計(jì)日志，主要采用分布式管理的方式，結(jié)合日志代理、管理網(wǎng)關(guān)以及多服務(wù)器節(jié)點(diǎn)，對日志記錄的完整性進(jìn)行驗(yàn)證，對其保密級別進(jìn)行檢測，并根據(jù)相應(yīng)的密級，進(jìn)行分布式存儲(chǔ)。管理網(wǎng)關(guān)的功能是對日志的暫時(shí)接收存儲(chǔ)，按照日志所對應(yīng)的安全級別，在相應(yīng)的服務(wù)器節(jié)點(diǎn)進(jìn)行日志的存儲(chǔ)和審計(jì)分析，將審計(jì)日志存儲(chǔ)到不同的服務(wù)器節(jié)點(diǎn)中，采取不同的安全保護(hù)措施。在系統(tǒng)運(yùn)行中，系統(tǒng)管理員、保密員和審計(jì)員對于系統(tǒng)的任何操作，都會(huì)產(chǎn)生相應(yīng)的審計(jì)日志，存儲(chǔ)到級別較高的服務(wù)器中，系統(tǒng)管理員可以對普通用戶的審計(jì)記錄進(jìn)行查看，但是不能對日志的內(nèi)容進(jìn)行干涉。審計(jì)員則負(fù)責(zé)對管理員操作日志、系統(tǒng)管理日志以及普通用戶日志進(jìn)行監(jiān)督，同樣不能對日志內(nèi)容進(jìn)行直接干涉。在系統(tǒng)中，利用審計(jì)信息導(dǎo)出工具，可以導(dǎo)出審計(jì)日志，存儲(chǔ)在其他位置，然后清除服務(wù)器中的審計(jì)信息，以節(jié)約服務(wù)器成本，提升其運(yùn)行效率。

四、結(jié)語

總而言之，在計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)飛速發(fā)展的帶動(dòng)下，OA系統(tǒng)得到了日益廣泛的應(yīng)用，如何保證系統(tǒng)的運(yùn)行安全，是需要重點(diǎn)關(guān)注的問題。本文基于分級保護(hù)思想，提出了OA系統(tǒng)應(yīng)用層訪問控制的有效策略，希望能夠?yàn)橄到y(tǒng)的安全穩(wěn)定運(yùn)行提供相應(yīng)的保障。

參考文獻(xiàn)：

[1]張?zhí)彀祝蹙?基于分級保護(hù)的OA系統(tǒng)應(yīng)用層訪問控制[J].北京化工大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，38（2）：113-117.