引言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的快速發(fā)展，計(jì)算機(jī)及其網(wǎng)絡(luò)成為泄密的重要渠道和被攻擊的目標(biāo)。涉密的建設(shè)過程中，《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》是主要遵循的標(biāo)準(zhǔn)。訪問控制作為信息系統(tǒng)保護(hù)框架中的核心措施之一，在標(biāo)準(zhǔn)和法規(guī)中始終貫穿了分級(jí)保護(hù)思想，如對(duì)物理層和網(wǎng)絡(luò)層邊界環(huán)境的訪問，應(yīng)按安全域等級(jí)或風(fēng)險(xiǎn)分析得到的安全需求，選擇不同力度的措施進(jìn)行保護(hù)。在系統(tǒng)應(yīng)用層的層面，現(xiàn)有系統(tǒng)多是針對(duì)具體的某個(gè)薄弱點(diǎn)，從軟件技術(shù)上組織局部安全策略，控制措施無法形成系統(tǒng)化的合力以保證控制的粒度。

本文以工作中涉及國(guó)家秘密的OA系統(tǒng)為研究對(duì)象，探討在應(yīng)用層訪問控制設(shè)計(jì)過程中分級(jí)保護(hù)思想的應(yīng)用，并給出了一個(gè)以O(shè)racle9i和IBMDomino／Notes為數(shù)據(jù)庫工具構(gòu)建的典型OA系統(tǒng)的應(yīng)用層訪問控制的模型。模型涉及具體設(shè)計(jì)措施包括：采用C／S和B／S二元體系結(jié)構(gòu)來適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境；采用改進(jìn)的基于角色的訪問控制策略(RBAC)使用戶與權(quán)限的關(guān)系清晰靈活，并結(jié)合對(duì)主客體的分級(jí)設(shè)置克服了傳統(tǒng)RBAC的一些缺陷；管理員三權(quán)分立與審計(jì)有效解決了其權(quán)限過大對(duì)系統(tǒng)的威脅；數(shù)據(jù)庫的綜合審計(jì)及對(duì)審計(jì)日志的分級(jí)存儲(chǔ)處理，為包括管理員在內(nèi)的所有用戶的操作問責(zé)提供了有效依據(jù)。

1系統(tǒng)體系結(jié)構(gòu)

從系統(tǒng)的整體結(jié)構(gòu)上來看，涉密系統(tǒng)采用數(shù)據(jù)層、邏輯層和表現(xiàn)層的三層軟件體系架構(gòu)，同時(shí)根據(jù)管理員和普通用戶的不同需求，將邏輯層放在客戶端或服務(wù)器端，即采用Client／Server和Browser／Server混合的架構(gòu)，簡(jiǎn)化了網(wǎng)絡(luò)應(yīng)用的開發(fā)與運(yùn)行維護(hù)，如圖1所示。

圖1系統(tǒng)體系結(jié)構(gòu)

以往的信息系統(tǒng)包括涉密系統(tǒng)多采用單純的C／S或B／S系統(tǒng)，使程序難以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)配置和應(yīng)用模式死板，不可避免地會(huì)因網(wǎng)絡(luò)功能與安全策略沖突而產(chǎn)生漏洞。系統(tǒng)開發(fā)技術(shù)人員多爭(zhēng)執(zhí)于兩種架構(gòu)的優(yōu)劣比較，對(duì)某一系統(tǒng)具體安全需求的分析卻不足。相比于一般信息系統(tǒng)，涉密辦公類信息系統(tǒng)又有其特殊的情況和需求。涉密系統(tǒng)多在一個(gè)封閉的環(huán)境中，為固定群體提供服務(wù)，具有對(duì)權(quán)限多層次校驗(yàn)，處理用戶面固定且對(duì)用戶要求高、安全需求層次高等特點(diǎn)，迎合了C／S結(jié)構(gòu)的專長(zhǎng)，因而C／S結(jié)構(gòu)可被系統(tǒng)中數(shù)據(jù)維護(hù)人員、專業(yè)分析人員等管理員類角色使用；而另一方面，對(duì)系統(tǒng)中其他的一般工作人員，Browser／Server又可以靈活建立在廣域網(wǎng)的基礎(chǔ)上，降低對(duì)客戶端操作人員和操作環(huán)境的要求，簡(jiǎn)化網(wǎng)絡(luò)開發(fā)與運(yùn)行維護(hù)的成本。因而在系統(tǒng)開發(fā)中，可以采用一種基于C／S與B／S混合的架構(gòu)，再依據(jù)系統(tǒng)的具體需求加以細(xì)節(jié)變化。

2應(yīng)用層訪問控制策略

安全訪問控制策略提供了分配用戶訪問權(quán)限的依據(jù)，從而截?cái)嗥茐南到y(tǒng)與泄密數(shù)據(jù)的途徑。按照安全訪問控制策略授予的用戶權(quán)限，應(yīng)是用戶能完成其工作的最小權(quán)限集合。訪問控制模型應(yīng)能夠準(zhǔn)確表達(dá)和分析系統(tǒng)訪問控制策略，有效監(jiān)控資源訪問活動(dòng)，僅授權(quán)用戶在合法的時(shí)間內(nèi)才能獲得有效的訪問權(quán)限，從而防止非法入侵和泄密數(shù)據(jù)。系統(tǒng)中訪問控制主要集中于物理層，網(wǎng)絡(luò)層和應(yīng)用層三個(gè)層次，本訪問控制模型定位于應(yīng)用層，改進(jìn)了基于角色的訪問控制機(jī)制，實(shí)現(xiàn)用戶與訪問權(quán)限的分離，構(gòu)建可靠、安全的訪問構(gòu)架。

2.1改進(jìn)基于角色的訪問控制

在涉密信息系統(tǒng)中，安全管理工作較為復(fù)雜，一般包括大量不同敏感程度的信息和各種訪問需求的用戶。系統(tǒng)采用基于角色的訪問控制模型(RBAC)，并引入信息主客體分級(jí)加以改進(jìn)，防止越權(quán)。

RBAC包括以下幾種對(duì)象：(1)用戶，一個(gè)可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源的主體；(2)角色，系統(tǒng)中具有某一種或多種權(quán)限的對(duì)象，權(quán)限和角色本身都可以增加和刪除；(3)權(quán)限，對(duì)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進(jìn)行訪問的許可。RBAC的方法是安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制過程被分成兩個(gè)部分：即訪問權(quán)限和角色相關(guān)聯(lián)。角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，并通過分配和取消角色來完成用戶權(quán)限變化，給出靜態(tài)與動(dòng)態(tài)授權(quán)約束。

但基本的RBAC方法也存在著兩個(gè)常見問題：(1)較大主客體系統(tǒng)運(yùn)行時(shí)的控制粒度；(2)系統(tǒng)中客體交換缺少限制。

本模型從系統(tǒng)建設(shè)的角度出發(fā)，對(duì)第一個(gè)問題的解決方法為：用戶除關(guān)聯(lián)帶有固定權(quán)限級(jí)別的角色外，再附加部門參數(shù)(或系統(tǒng)應(yīng)用單位依據(jù)實(shí)際情況，自定一個(gè)相同組織結(jié)構(gòu)意義的參數(shù))。

除了非密公告性信息，一個(gè)部門內(nèi)信息即使其密級(jí)低于外部門一個(gè)業(yè)務(wù)不相關(guān)人員的密級(jí)，該消息也不能為此人所訪問；對(duì)需要部門間協(xié)同的工作中的信息流轉(zhuǎn)，應(yīng)在對(duì)應(yīng)的部門內(nèi)建立專門的人員傳遞通道。人員無法訪問的信息，不僅包括“由于密級(jí)不夠而不能訪問”的信息，也包括“由于業(yè)務(wù)無關(guān)而不必訪問”的信息。這樣既有力地規(guī)范了信息的流向，減小了人員的可能知悉范圍，反過來又在人員的工作中增加了其所接觸信息的有效性，減小了人員的工作負(fù)擔(dān)和差錯(cuò)率。為適應(yīng)單位內(nèi)偶爾的部門成立、撤銷和整合，系統(tǒng)提供專門的模塊用來設(shè)置組織部門。在新設(shè)定的部門內(nèi)對(duì)角色進(jìn)行增減，從權(quán)限表為其賦予合適的權(quán)限。

RBAC系統(tǒng)實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，清晰描述了角色層次關(guān)系，而部門參數(shù)的引入減小了信息控制的粒度，提高了系統(tǒng)的效率。該系統(tǒng)易于進(jìn)行多用戶多級(jí)別的權(quán)限管理，保護(hù)工作流中的應(yīng)用數(shù)據(jù)不被非法瀏覽或修改。在主客體分級(jí)保護(hù)的輪廓內(nèi)，每個(gè)用戶只能訪問和操作其所在部門內(nèi)、不高于自己密級(jí)的信息，只能在與本身工作直接相關(guān)的主體范圍內(nèi)接受和流轉(zhuǎn)信息。實(shí)現(xiàn)了最少權(quán)限原則——這也是涉密系統(tǒng)工作的基本原則之一。結(jié)合用戶登錄鑒別和審計(jì)機(jī)制，構(gòu)成了可靠的安全訪問框架，如圖2所示。

圖2信息訪問框架

而RBAC存在的另一個(gè)問題，可以通過客體的存儲(chǔ)分級(jí)保護(hù)來解決。

國(guó)家法規(guī)規(guī)定，按照主體類別、客體類別進(jìn)行涉密信息和重要信息的訪問控制。本模型設(shè)計(jì)了主客體分級(jí)結(jié)構(gòu)，做到主體控制到具體用戶，客體控制到信息類別，如圖3所示。

圖3主客體分級(jí)對(duì)應(yīng)

每個(gè)主體和每個(gè)客體都必須明確其對(duì)應(yīng)的分級(jí)項(xiàng)，作為其必要的標(biāo)記屬性。系統(tǒng)從“密級(jí)”和“職務(wù)一類別”兩個(gè)角度控制重要信息的訪問，限定哪些信息可以為哪些用戶使用。系統(tǒng)中信息客體按密級(jí)從低向高分為非密、秘密、機(jī)密、絕密，對(duì)應(yīng)的信息主體也分為非密、秘密、機(jī)密、絕密。引入傳統(tǒng)強(qiáng)制訪問控制的思想，確保密級(jí)信息的知悉范圍，杜絕高密信息流向低密人員的現(xiàn)象和工作流中低密級(jí)用戶收發(fā)高密級(jí)文件。每個(gè)用戶只接觸自己被授權(quán)范圍內(nèi)的信息。

系統(tǒng)同時(shí)采用對(duì)信息客體按密級(jí)不同存放在不同數(shù)據(jù)庫服務(wù)器節(jié)點(diǎn)的措施，對(duì)各密級(jí)服務(wù)器采取專門的不同強(qiáng)度的保護(hù)，降低數(shù)據(jù)存儲(chǔ)的風(fēng)險(xiǎn)。信息分布式分級(jí)存儲(chǔ)還將應(yīng)用于審計(jì)日志，后文中將講述。同時(shí)阻止不同密級(jí)服務(wù)器節(jié)點(diǎn)間的數(shù)據(jù)交換，緩解了RBAC中“訪問過程中產(chǎn)生的客體間信息流可能因?yàn)椴幻鞔_的信息流控制方法導(dǎo)致用戶獲得非法數(shù)據(jù)”的結(jié)構(gòu)缺陷問題一。