基于角色訪問的網絡安全技術在檢察機關的應用

◆胡 勇

（重慶市南岸區人民檢察院技術科 重慶 400060）

基于角色訪問的網絡安全技術在檢察機關的應用

◆胡 勇

（重慶市南岸區人民檢察院技術科 重慶 400060）

今年是《網絡安全法》實施的元年，網絡安全已經成為了檢察機關信息化建設的重要一環。網絡技術在帶來便捷工作環境的同時，也會產生很多的安全問題和隱患。如今，檢察機關網絡信息化對檢察業務影響的逐年加強，保障檢察網絡安全具有重要意義。本文旨在針對檢察機關網絡安全現狀，運用角色訪問控制策略，對網絡安全問題和隱患，提出有效可操作的防范措施。

網絡安全；信息化；檢察機關；角色訪問

0 引言

隨著信息化技術飛速發展和廣泛應用，檢察機關已經建成了覆蓋全國的信息網絡，實現了數據共享和傳輸等一系列功能。由于檢察機關特殊的工作環境和保密需求，其對網絡安全有著嚴格的要求。

《網絡安全法》規定：“網絡運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息”。檢察機關作為國家法律的監督機關，在國家如此重視網絡安全的大背景下，運用現代信息化安全手段解決檢察工作中出現的問題，服務檢察工作勢在必行。近年來，按照最高檢的統一部署和要求，各級檢察機關已經基本完成本院信息化基礎建設，實現了檢察內網和檢察業務系統配套建設，達到了全國檢察機關互聯互通。但是對于安全保密的要求還僅僅停留在物理隔離和主機監控上，而對存在大量的保密信息設備和網絡設備安全缺乏足夠的重視，使得信息化建設存在巨大安全隱患。

1 角色訪問控制技術概述

角色訪問控制技術在信息化系統安全防范和保護上有著很重要的作用，它能保障安全、快捷的訪問受保護資源的同時拒絕非法用戶的訪問。

基于角色的訪問控制（RBAC）是在訪問控制基礎上簡化了不同情境下的授權管理，通過將訪問權限分配給角色，再將角色分配給用戶，然后用戶通過角色所具有的權限擁有相應的權限。角色訪問控制實際上通過向一個比較穩定的角色賦予權限實現對網絡安全的保障。當用戶發生變更時，此用戶所具有的角色屬性將被撤銷。角色訪問控制的優點是可以通過不同類型、不同的安全等級劃分出不同的角色，以適應不同的訪問控制環境。

2 角色訪問控制實現網絡安全的原理

按照不同的網絡安全策略劃分出的不同角色所建立起的訪問控制系統可以實現對非法用戶的控制和防范。當用戶發生變化時，及時調整其相應角色即可實現其權限變更。如果其功能變化太大，只需要刪除之前的角色增加新的角色并重新定義其權限，而不需要對系統中所有用戶的訪問權限進行更新。這種方式可以極大的簡化授權管理操作，通過對網絡資源的控制達到網絡信息安全的要求。

角色訪問控制既可以細致到兩套網絡設備間的具體的網絡應用控制，也可以按照網段對大范圍的訪問控制進行管理，為網絡應用提供了一個有效的安全手段。

3 檢察機關網絡安全現狀分析

在檢察網絡系統中存在較為傳統的訪問權限控制方式，當人員和崗位發生變動，其相應的權限也需要進行調整，這樣修改權限的工作將十分繁瑣，特別是有的基層院用戶很多，這時權限的配置和變更十分不便，也容易出現安全漏洞。

基于角色訪問控制不但可以避免權限變更比較繁雜的缺點，還可以對個別用戶和訪問直接處理的特點。在網絡權限配置過程中引入“角色控制”不僅可以作為中間變量關聯一組權限集合，還可以當做是有相同權限的一組用戶集合。根據不同的職責制定不同的角色控制其訪問權限實現了用戶和權限的靈活對應，在保障網絡安全的同時避免了復雜操作可能造成的漏洞。

最近wannacry勒索病毒肆虐全球，150多個國家都被感染，中國近3萬多家機構受到影響，檢察機關雖然有各種網絡保護措施，但仍然受到很大影響，部分涉密電腦被感染。“必加”勒索病毒的再次襲來，威力更大，危害性更嚴重，達到了“一臺中招，全網癱瘓”的地步。相較于緊迫的網絡安全形勢，需要從頂層設計入手，加大對訪問信息的控制，保障網絡安全。

4 檢察網絡中角色訪問保護策略

目前，配合高檢的各項安全軟件的部署，檢察網絡已經有安全審計軟件和防護系統，但是對策略控制保護還有不完善的地方，檢察網絡中的角色訪問控制主要從以下幾個方面來實現：

身份驗證管理：通過人員身份和訪問管理方案，可以針對訪問哪個系統做出更改，通過角色的訪問控制來檢查當前角色的訪問權利，驗證網絡訪問是否正常，從活動目錄中獲得當前權限，實現不同角色的數據共享。IEEE802.1X協議被稱為端口訪問控制協議，能夠作為對網絡設備認證的手段。

訪問控制策略：訪問控制是網絡系統對信息資源集合受到非法用戶訪問時，能夠使用適當的機制及防護措施，保護資源的完整性和不可訪問性。訪問控制實質上是對資源使用的限制。通過對檢察網絡中用戶、服務、操作的訪問限制，使得依賴于角色的主體訪問合法化。對于未經授權訪問機密資源的用戶進行留痕、禁止。檢察網絡的訪問控制必須遵守最小特權原則，既用戶只能擁有執行他們業務功能的必須權限，不能擁有其他權限，這樣可以使得異操作對網絡造成最小危害。

多級分層安全策略：在對角色進行不同權限分配后產生對用戶具有不同約束層級的線性關系。角色之間可以存在互斥狀態，也可以存在一個角色有多個權限，一個用戶有多個角色。每個角色得到自己的訪問控制時，可以得到一個會話，這個會話將激活該用戶全部角色的所有授權，通過對角色的不同授權，想要合法地獲得信息就要得到大于該信息安全級別的角色授權。

角色繼承：在一個用戶層級中，存在著不少通用的權限，不同用戶共有的權限可以通過角色進行繼承，對于特定的用戶又可以進行特殊的授權。

5 結論

內部系統被入侵和泄密是一個非常嚴重的問題。保障網絡系統、計算機終端和整個信息設施的安全已經成為信息化發展過程中刻不容緩的重要課題。在網絡安全技術中，除了數據加密、防火墻技術、安全審計之外，訪問控制也必不可少，它是網絡防護的重要部分。網絡安全不是靜態的，是一個動態的防范體系。基于角色訪問的網絡安全技術能夠及時發現網絡中的異常現象，靈活調配用戶的權限和安全級別，適用于保密程度較高的檢察網絡。

[1]朱偉.基于角色的訪問控制技術在網絡安全中的研究和應用[D].上海交通大學，2004.

[2]羅明宇，盧錫城，盧澤新.計算機網絡安全技術[J].計算機科學，2000.

[3] Stallings W.Network and internetwork security: principles and practice[M]. Prentice-Hall. Inc.，1995.

調研課題：《擅自發行股票、公司企業債券罪實證研究》 立項編號：2017NAJCY02。