基于分級保護的協(xié)同管理軟件應用層訪問控制

申請免費試用、咨詢電話：400-8352-114

引言

    隨著計算機技術和通信技術的快速發(fā)展，計算機及其網(wǎng)絡成為泄密的重要渠道和被攻擊的目標。涉密OA系統(tǒng)的建設過程中，《涉及國家秘密的信息系統(tǒng)分級保護技術要求》和《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》是主要遵循的標準。訪問控制作為信息系統(tǒng)保護框架中的核心措施之一，在標準和法規(guī)中始終貫穿了分級保護思想，如對物理層和網(wǎng)絡層邊界環(huán)境的訪問，應按安全域等級或風險分析得到的安全需求，選擇不同力度的措施進行保護。在系統(tǒng)應用層的層面，現(xiàn)有系統(tǒng)多是針對具體的某個薄弱點，從軟件技術上組織局部安全策略，控制措施無法形成系統(tǒng)化的合力以保證控制的粒度。

    本文以工作中涉及國家秘密的OA系統(tǒng)為研究對象，探討在應用層訪問控制設計過程中分級保護思想的應用，并給出了一個以Oracle 9i和IBM Domino／Notes為數(shù)據(jù)庫工具構建的典型OA系統(tǒng)的應用層訪問控制的模型。模型涉及具體設計措施包括：采用C／S和B／S二元體系結構來適應復雜的網(wǎng)絡環(huán)境；采用改進的基于角色的訪問控制策略(RBAC)使用戶與權限的關系清晰靈活，并結合對主客體的分級設置克服了傳統(tǒng)RBAC的一些缺陷；管理員三權分立與審計有效解決了其權限過大對系統(tǒng)的威脅；數(shù)據(jù)庫的綜合審計及對審計日志的分級存儲處理，為包括管理員在內的所有用戶的操作問責提供了有效依據(jù)。

1 系統(tǒng)體系結構

    從系統(tǒng)的整體結構上來看，涉密系統(tǒng)采用數(shù)據(jù)層、邏輯層和表現(xiàn)層的三層軟件體系架構，同時根據(jù)管理員和普通用戶的不同需求，將邏輯層放在客戶端或服務器端，即采用Client／Server和Browser／Server混合的架構，簡化了網(wǎng)絡應用的開發(fā)與運行維護，如圖1所示。

圖1 系統(tǒng)體系結構

    以往的信息系統(tǒng)包括涉密系統(tǒng)多采用單純的C／S或B／S系統(tǒng)，使程序難以適應復雜的網(wǎng)絡環(huán)境，網(wǎng)絡配置和應用模式死板，不可避免地會因網(wǎng)絡功能與安全策略沖突而產生漏洞。系統(tǒng)開發(fā)技術人員多爭執(zhí)于兩種架構的優(yōu)劣比較，對某一系統(tǒng)具體安全需求的分析卻不足。相比于一般信息系統(tǒng)，涉密辦公類信息系統(tǒng)又有其特殊的情況和需求。涉密系統(tǒng)多在一個封閉的環(huán)境中，為固定群體提供服務，具有對權限多層次校驗，處理用戶面固定且對用戶要求高、安全需求層次高等特點，迎合了C／S結構的專長，因而C／S結構可被系統(tǒng)中數(shù)據(jù)維護人員、專業(yè)分析人員等管理員類角色使用；而另一方面，對系統(tǒng)中其他的一般工作人員，Browser／Server又可以靈活建立在廣域網(wǎng)的基礎上，降低對客戶端操作人員和操作環(huán)境的要求，簡化網(wǎng)絡開發(fā)與運行維護的成本。因而在系統(tǒng)開發(fā)中，可以采用一種基于C／S與B／S混合的架構，再依據(jù)系統(tǒng)的具體需求加以細節(jié)變化。

2 應用層訪問控制策略

    安全訪問控制策略提供了分配用戶訪問權限的依據(jù)，從而截斷破壞系統(tǒng)與泄密數(shù)據(jù)的途徑。按照安全訪問控制策略授予的用戶權限，應是用戶能完成其工作的最小權限集合。訪問控制模型應能夠準確表達和分析系統(tǒng)訪問控制策略，有效監(jiān)控資源訪問活動，僅授權用戶在合法的時間內才能獲得有效的訪問權限，從而防止非法入侵和泄密數(shù)據(jù)。系統(tǒng)中訪問控制主要集中于物理層，網(wǎng)絡層和應用層三個層次，本訪問控制模型定位于應用層，改進了基于角色的訪問控制機制，實現(xiàn)用戶與訪問權限的分離，構建可靠、安全的訪問構架。

    2.1 改進基于角色的訪問控制

    在涉密信息系統(tǒng)中，安全管理工作較為復雜，一般包括大量不同敏感程度的信息和各種訪問需求的用戶。系統(tǒng)采用基于角色的訪問控制模型(RBAC)，并引入信息主客體分級加以改進，防止越權。

    RBAC包括以下幾種對象：(1)用戶，一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源的主體；(2)角色，系統(tǒng)中具有某一種或多種權限的對象，權限和角色本身都可以增加和刪除；(3)權限，對計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進行訪問的許可。RBAC的方法是安全管理人員根據(jù)需要定義各種角色，并設置合適的訪問權限，而用戶根據(jù)其責任和資歷再被指派為不同的角色。這樣，整個訪問控制過程被分成兩個部分：即訪問權限和角色相關聯(lián)。角色再與用戶關聯(lián)，從而實現(xiàn)了用戶與訪問權限的邏輯分離，并通過分配和取消角色來完成用戶權限變化，給出靜態(tài)與動態(tài)授權約束。

    但基本的RBAC方法也存在著兩個常見問題：(1)較大主客體系統(tǒng)運行時的控制粒度；(2)系統(tǒng)中客體交換缺少限制。

    本模型從系統(tǒng)建設的角度出發(fā)，對第一個問題的解決方法為：用戶除關聯(lián)帶有固定權限級別的角色外，再附加部門參數(shù)(或系統(tǒng)應用單位依據(jù)實際情況，自定一個相同組織結構意義的參數(shù))。

    除了非密公告性信息，一個部門內信息即使其密級低于外部門一個業(yè)務不相關人員的密級，該消息也不能為此人所訪問；對需要部門間協(xié)同的工作中的信息流轉，應在對應的部門內建立專門的人員傳遞通道。人員無法訪問的信息，不僅包括“由于密級不夠而不能訪問”的信息，也包括“由于業(yè)務無關而不必訪問”的信息。這樣既有力地規(guī)范了信息的流向，減小了人員的可能知悉范圍，反過來又在人員的工作中增加了其所接觸信息的有效性，減小了人員的工作負擔和差錯率。為適應單位內偶爾的部門成立、撤銷和整合，系統(tǒng)提供專門的模塊用來設置組織部門。在新設定的部門內對角色進行增減，從權限表為其賦予合適的權限。

    RBAC系統(tǒng)實現(xiàn)了用戶與訪問權限的邏輯分離，清晰描述了角色層次關系，而部門參數(shù)的引入減小了信息控制的粒度，提高了系統(tǒng)的效率。該系統(tǒng)易于進行多用戶多級別的權限管理，保護工作流中的應用數(shù)據(jù)不被非法瀏覽或修改。在主客體分級保護的輪廓內，每個用戶只能訪問和操作其所在部門內、不高于自己密級的信息，只能在與本身工作直接相關的主體范圍內接受和流轉信息。實現(xiàn)了最少權限原則——這也是涉密系統(tǒng)工作的基本原則之一。結合用戶登錄鑒別和審計機制，構成了可靠的安全訪問框架，如圖2所示。

圖2 信息訪問框架

    而RBAC存在的另一個問題，可以通過客體的存儲分級保護來解決。

    國家法規(guī)規(guī)定，按照主體類別、客體類別進行涉密信息和重要信息的訪問控制。本模型設計了主客體分級結構，做到主體控制到具體用戶，客體控制到信息類別，如圖3所示。

圖3 主客體分級對應

    每個主體和每個客體都必須明確其對應的分級項，作為其必要的標記屬性。系統(tǒng)從“密級”和“職務一類別”兩個角度控制重要信息的訪問，限定哪些信息可以為哪些用戶使用。系統(tǒng)中信息客體按密級從低向高分為非密、秘密、機密、絕密，對應的信息主體也分為非密、秘密、機密、絕密。引入傳統(tǒng)強制訪問控制的思想，確保密級信息的知悉范圍，杜絕高密信息流向低密人員的現(xiàn)象和工作流中低密級用戶收發(fā)高密級文件。每個用戶只接觸自己被授權范圍內的信息。

    系統(tǒng)同時采用對信息客體按密級不同存放在不同數(shù)據(jù)庫服務器節(jié)點的措施，對各密級服務器采取專門的不同強度的保護，降低數(shù)據(jù)存儲的風險。信息分布式分級存儲還將應用于審計日志，后文中將講述。同時阻止不同密級服務器節(jié)點間的數(shù)據(jù)交換，緩解了RBAC中“訪問過程中產生的客體間信息流可能因為不明確的信息流控制方法導致用戶獲得非法數(shù)據(jù)”的結構缺陷問題一。