第一章 绪论
1.1研究的背景
供电企业开展标准化工作,建立企业标准体系就是为了加强企业基础管理,明确工作流程和工作方法,明确人员的责任,并在企业创新发展过程中持续改进,是企业实现系统管理,提高管理水平的基础。标准化工作在供电企业的开展中,会产生大量的电子文档,怎样科学有效地将这些电子文档组织起来,统一保存,适度共享,将成为提高企业竞争力的源泉。由于缺乏对电子文档的科学、规范管理,难以实现文档的有效共享,难以有效控制文档和信息的访问过程,难以保证电子文档的安全性。针对当前供电企业标准化信息系统在电子文档管理所面临的各种问题,本文提出了将标准化电子文档分类后以数据库方式进行存储管理、通过授权访问机制对电子文档进行权限管理以及对电子文档进行加密、压缩处理后在网络上传输,以实现企业标准化信息系统中电子文档动态共享、查询方便、安全可靠的目的。
1.2电子文档的定义及特点
电子文档是指人们在社会活动中形成的,以计算机盘片、磁盘和光盘等化学磁性材料为载体的文字材料。依赖计算机系统存取并可在通信网络上传输。它主要包括电子文书、电子信件、电子报表、电子图纸等等。电子文档管理系统是指能够将各种载体的文档进行电子化,并能够对电子文档进行采集、加工、整理、分类、组织、传递、利用、转换的计算机信息管理系统。
电子文档区别于印刷品文档主要有以下四个特点:容易修改、容易删除、容易复制、容易损坏。
容易修改:这是电子文档区别于传统的印刷文档的一个重要区别,印刷文档和手写文档都有一个共同的不足就是一旦印刷好或者写好就难于修改,这个特点在某些时候是好的,比如人们经常说的“白纸黑字”就非常能够体现这个特点;但是它的优点也正好是他的缺点,人们在处理很多文字和图形图像信息的时候,经常需要对处理的内容进行修改,以满足不同的需要,这个时候电子文档就表现出了它的优点。正是由于电子文档容易修改的特点,如果不能很好的保护,就可能受到非法的修改,不管这种修改是有意还是无意的,都会给文档所有者带来一定程度的损失,这个时候它又变成一个缺点。
容易删除:对传统方式的文档进行删除基本上是不现实的,只可能对信息的载体印刷品进行毁坏,由于印刷品一般都通过档案室和文件柜等工具来进行保护,相对来说不容易被一般的人接触,所以也就不容易被破坏,有较好的安全性。但是对于电子文档,其删除是非常方便的,只需要有改文件的操作权限(这个权限往往可以通过合法的和不合法的手段获得),然后点击鼠标或者通过键盘删除文件都是非常容易的,一般情况下,事后也没有任何地证据可以说明文件丢失的时间和原因。正是这样的特点,如果被别人利用了这个特点,进行恶意的破坏活动,可能会给电子文档的所有者造成无可挽回的损失。
容易复制:传统方式的文档进行复制往往需要一些辅助的材料和机器,如复印纸,复印机等相关资料。这是电子文档的一个优点,也是一个缺点,优点是通过复制,人们可以非常方便地进行信息共享。但是,当文件是个人隐私或者商业秘密的时候往往不希望别人看见,这个时候如果被别人复制,造成个人隐私暴露或者商业泄密,都是文档所有者所不愿意看到的,这里需要解决的就是对文件的保密。
容易损坏:文件损坏的原因主要有硬件损坏,人为破坏(有意或者无意),病毒破坏,人力无法抗拒的因素(火灾,地震等),就文件损坏原因的调查中,人为破坏占了80%,其余的20%文件损坏是因为其它的各种因素,对于人为破坏,我们必须采取积极的措施来加以防范,不然很可能会因为疏忽而造成巨大的损失;对人为破坏以外的情况,一个比较有效的措施就是做好备份。
1.3电子文档中存在的安全问题
电子文档的安全管理是指确保存储在计算机系统中各类电子文档的信息、数据不会由于意外或者恶意的原因而遭到破坏、更改和泄露,即保证电子文档的保密性、完整性、可用性和真实性。由于使用电子文档的最终目的是实现信息的充分利用,因此在保证电子文档安全性的同时,还要确保不影响电子文档的可控性。为了保证正确地使用电子文档,应该在研究安全存储技术的同时考虑到电子文档的创建和存储、对电子文档修改和删除行为的确认、保护电子文档信息安全、避免泄露或受到攻击、防止电子文档丢失带来的信息丢失和防止非法入侵者通过网络监听和破坏电子文档信息。电子文档的安全性主要表现在以下几个方面:
(1)身份冒充:身份冒充行为是指非法入侵者冒以合法身份对系统内的电子文档和信息进行操作的行为。如果不能监视和避免冒充行为,将对系统造成很大的破坏,严重情况下将导致整个系统混乱以致瘫痪。
(2)否认:否认行为实际与冒充行为存在密切联系,在对电子文档做了有意或无意的攻击行为后,一方面需要确认攻击方的身份,另一方面需要提供证实手段以使攻击方不能抵赖其行为。
(3)信息泄露:非法人员通过各种手段侵入系统,从而窃取得到信息将导致信息的泄露。这是一种攻击方的主动行为,如窃取目标是涉及敏感数据信息,将给企业带来严重的危害。
(4)信息丢失:由于存放敏感信息的介质一般为硬盘或光盘等,因此存储介质的丢失或被盗,将导致敏感信息的泄露,这是一种被动的泄露方式。
(5)信息破坏:信息破坏是一种严格意义上的攻击行为,即非法人员在窃取信息的同时,通过修改和删除电子文档等手段破坏信息。
(6)窃听:随着网络技术的不断升级,黑客可以通过网络非法获取计算机上存储的敏感信息,其策略一般是借助于网络窃听系统操作,截获数据流并进行分析。窃听得到用户信息后,可以非常方便地进入用户的主机系统,并以合法身份得到硬盘上存储的电子文档。
1.4电子文档安全管理的现状
目前,保护电子文档及相关信息的安全主要采用以下措施:
(1)使用防火墙技术与安全扫描工具,建立网络安全屏障。防火墙是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
(2)设置访问权限,进行授权访问控制。对于不同职能的用户设置不同的访问权限,当用户需要访问信息资源前对其身份进行合法验证。
(3)对信息进行加密。采用加密算法对信息进行加密存储和传输,当信息被非法截取时,非法用户得到的只是经过加密的信息,难以破译。
(4)对信息进行签名。采用摘要算法计算信息的摘要,并使用私钥加密摘要,以保证信息的完整性,并实现不可否认性。
1.5电子文档安全管理的关键技术
对标准化系统中电子文档的安全管理应该在三个层面上进行:
(1)存储管理
(2)授权管理
(3)网络传输安全管理
要在这三个层面上达到良好的效果就必须运用到数据库技术、访问控制技术与数据加密与压缩技术。
1.5.1数据库技术
目前,数据库技术尤其是关系型数据库技术己经相当的成熟,关系型数据库的应用范围最广,占据了数据库主流地位。电子文档,如文本、图像、声音等,这类信息无法用数字或统一的结构表示,称之为非结构化数据。尽管目前关系型数据库对非结构化数据的管理水平还需要进一步的加强,但大多数流行的关系型数据库如ORACLE、SQLSERVER等都支持对大的二进制对象的存储,就电子文档的存储管理而言关系型数据库完全具备这样的能力,因此将电子文档用数据库方式来管理在技术上是切实可行的。
1.5.2访问控制技术
访问控制技术是保证企业电子文档安全管理的关键所在,是网络安全防范和保护的主要策略,是保证网络安全最重要的核心策略之一。它的主要任务是保证网络资源不被非法使用和访问。访问控制一般分为三种:
(1)自主访问控制(DAC)
(2)强制访问控制(MAC)
(3)基于角色的访问控制(RBAC)
三种访问控制方式各有其特点,其中RBAC是当前研究得热点。
1.5.3加密压缩技术
加密技术是保护信息安全的主要手段之一,是一种主动的安全防御策略,是大多数现代安全协议的基础。在企业信息集成平台中,电子文档作为一种共享资源在网络上进行传输,必然存在被截获的危险,因此要保证电子文档的安全传输,必须对其进行加密处理。
压缩技术有两种,一种是无损压缩,一种是有损压缩。对于电子文档数据,首先应该关注它的可靠性、完整性。因此对电子文档的压缩处理统一采用无损压缩。目前,无损压缩算法有很多,当前比较成熟、高效的无损压缩算法多数是基于LZ系列的无损压缩算法。
1.6本文的主要工作
本文主要对供电企业标准化系统中的电子文档管理中出现的各种安全问题进行分析,并针对出现的问题进行研究,设计出了完整的电子文档安全管理的可行方案。其基本思想是将电子文档按照其不同的使用性质进行分类管理,然后采用加密技术和压缩技术处理后,作为关系型DBMS的一个特殊字段来保存,再加上相关文档的属性描述字段,通过操作系统的登录验证、文档管理系统的登录验证、数据库系统的安全机制,对登录用户进行严格的功能操作权限和文档操作权限的限制以及登录用户的详细操作日志记录,这样就可构造出一个集成的、统一的、安全的文档数据库管理系统,采用C/S模式数据库方式下的用户访问界面,实现电子文档的安全存储和安全访问。
第二章 访问控制技术的原理与应用
随着Internet规模的日益扩大,网络中存储的关键和敏感数据也越来越多,如何保护这些数据不被非法访问这个问题显得越来越重要。供电企业信息集成平台是共享资源和关键敏感数据集中存放的地方,因此必须采取有效的手段来保证信息的安全性。访问控制技术就是通过不同的手段和安全策略实现网络上的访问控制,其目的是保证网络资源不被非法使用和访问,加强共享信息的保护能力。
2.1主体、客体和访问授权
访问控制涉及到三个基本概念,即主体、客体和访问授权。
主体:是一个主动的实体,它包括用户、用户组、终端、主机或一个应用,主体可以访问客体。
客体:是一个被动的实体,对客体的访问要受控。它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存贮器、网络接点等。
授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的访问授权是由系统的安全策略决定的。
在一个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。
2.2访问控制原理
计算机通信网络中,主要的安全保护措施被称作安全服务。根据1507498-2,安全服务包括:
(1)鉴别(Authentication)
(2)访问控制(Access Control)
(3)数据机密性(Data Confidentiality)
(4)数据完整性(Data Integrity)
(5)抗抵赖(No-repudiation)
访问控制作为安全服务的一个重要方面,其基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用。访问控制规定主体(Subject)对客体(Object)的授权(Authorization)。客体是指需要保护的资源,又称作目标(Target);主体或称为发起者(Initiator),是一个主动的实体,它是指访问客体的用户或代表用户执行的应用程序;授权规定对资源可进行的操作(例如读、写、执行或拒绝访问)。目前,访问控制技术已经开始成为网络信息系统的重要安全保障之一,采用先进的安全访问控制技术是构造网络安全防范和保护系统的主要策略之一。访问控制的原理如图2-1所示:
在发起者(主体)和目标(客体)之间插入一层访问控制实施功能模块,当发起者向目标提交访问请求时,拦截这一请求,并将其转送到访问控制决策功能模块,对该请求进行决策判断。访问控制实施模块收到决策模块回送的决策之后,实施该决策,放弃请求或者通过请求。
2.3访问控制策略
2.3.1自主访问控制(DAC)
自主访问控制最早出现在六十年代末期的分时系统中,它是在确认主体身份及所属组的基础上,对访问进行限定的一种控制策略。其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。其实现理论基础是访问控制矩阵(Access Control Matirx)。它将系统的安全状态描述为一个矩阵,矩阵的行表示系统的客体,列表示系统的主体,中间每个元素为对应主体对对应客体所拥有的访问权限。存取矩阵模型的授权状态用一个三元组(S,O,A)来描述,其中:
S一一主体的集合
0一一客体的集合
A一一访问权限的集合
对于任意一个si
S,oj O,那么相应地存在一个aij 
A,表示了si对oj可进行的访问操作权限。每次用户提出访问的请求时,需要对存取控制矩阵进行一次扫描。存取控制矩阵可表示如表2-1:
自主访问控制的优点是灵活,适用于各种类型的系统和应用,因此己经被广泛应用于各种商业和工业的环境中。目前常用的操作系统中的文件系统使用的都是自主访问控制,因为这比较适合操作系统资源的管理特性。但是它有一个明显的缺点就是这种控制是自主的,它能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问,不能提供确实的保证来满足对系统的保护要求,虽然每个存取是受控的,但这种授权定义的存取控制很容易被旁路信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。所以DAC提供的安全性还相对较低,不能对信息的传播加以控制,不能对系统资源提供充分的保护。引起这种情况的原因是自主访问控制策略中的主体权限太大,对于如何处理主体能得到的信息并没有施加任何限制。为此,人们认识到必须采取更强的访问控制手段,就是强制访问控制。
2.3.2强制访问控制(MAC)
强制访问控制是指系统强制主体服从事先制定的访问控制策略,它最早出现在七十年代,在八十年代得到普遍应用。系统预先定义用户的可信任级别及信息的敏感程度(安全级别),当用户提出访问请求时,系统对两者进行比较以确定访问是否合法。在强制访问控制中,系统给主体和客体分配了不同的安全属性,这些属性在组织的安全策略没有改变之前是不可能被轻易改变的。安全属性是强制性的,它是由安全管理员或操作系统根据限定的规则分配的,用户以及代表用户的程序、进程等都不能以任何方式修改自身或任何客体的安全属性。如果系统认为具有某安全属性的用户不适合访问某个资源,那么任何人(包括文件的拥有者)都无法使该用户具有访问资源的能力。显然用户无权将任何数据资源分配给别的用户使用,因此就不能简单地分配数据的访问权限了。当用户提出访问请求时,系统通过对主体和客体安全属性匹配的比较来确定是否允许访问继续进行。
强制访问控制的缺点在于访问级别的划分不够细致,在同级间缺乏控制机制,主体访问级别和客体访问级别的划分与现实要求无法一致。
随着计算机网络及其应用的发展,自主访问控制和强制访问控制机制对于网络系统都己不能很好地解决其安全性和灵活性。在当前新兴的各种应用系统中,信息不再属于系统的某个用户而属于某个机构或部门,访问控制需要基于雇佣关系即用户在系统中的职能,而自主访问控制和强制访问控制机制都是基于用户的机制,它们不能适应这种要求,因此需要另外一种访问控制机制来适应这种要求,即基于角色的访问控制策略。
2.4基于角色的访问控制模型(RBAC)
随着商业和民用信息系统的发展,安全需求也在发生变化,这些系统对数据的完整性、安全性有了进一步的要求,而且系统总是处于不断变化之中,例如人员的增减,部门的增减,应用系统的增加等,这些变化使得一些访问控制需求难以用DAC或者MAC来描述和控制。此外,在很多商业部门中,即使是由终端用户创建的文件信息,他们也没有这些文件的“所有权”。访问控制应该根据应用系统中用户的职责来确定用户的访问权限,换句话说,就是访问控制是由用户在系统中所承担的岗位职责(角色)来确定的。例如:在一个供电企业中包括经理、副经理、调度主任、信息中心主任、资料员等角色,这些角色承担的职责不同,对系统的使用权限也就不同,所以利用角色的概念来进行访问控制管理是非常有效的。美国国家标准和技术研究院MST(National Institute of Standards and Technology)于20世纪90年代初提出基于角色的访问控制(Role-Based Access Control,简称RBAC),目前得到了广泛的研究和应用。
2.4.1 RBAC的基本概念
在基于角色的访问控制(RBAC)中,角色是实现访问控制策略的基本语义实体。系统管理员可以根据职能或机构的需求策略来创建角色、给角色分配权限和给用户分配角色等。基于角色访问控制的核心思想是将权限同角色关联起来,而用户的授权则通过赋予相应的角色来完成,用户所能访问的权限就由该用户所拥有的所有角色的权限集合的并集来确定。角色之间可以有继承、限制等逻辑关系,并通过这些关系影响用户和权限的对应关系。在实际应用中,根据供电企业中不同工作的职能可以创建不同的角色,每个角色代表一个独立的访问权限实体。然后在此基础上根据用户的职能分配相应的角色,这样用户的访问权限就通过被授予的角色的权限来体现。在用户机构或权限发生变化时,可以很灵活地将该用户从一个角色转移到另一个角色来实现权限的协调转换,降低了管理的复杂度,而且这些操作对用户完全透明。另外,当组织机构发生职能变化时,应用系统只需要对角色进行重新授权或取消某些权限,就可以使系统重新适应需要.这些都使得基于角色访问控制策略的管理和访问方式具有无可比拟的灵活性和易操作性。
RBAC是一种非自主的访问控制机制,支持对特定安全策略进行集中管理。其非自主性表现在用户并不“拥有”所访问的对象,不能任意地将自己拥有的访问权限授予其他用户。
基于角色的访问控制可以简单表述为图2-2:
角色访问控制是根据用户在系统里表现的活动性质而定的,这种活动性质表明用户充当了一定的角色。用户访问系统时,系统必须先检查用户的角色,然后取得相应的访问权限。一个用户可以充当多个角色,一个角色可以由多个用户担任。
在RBAC策略中,涉及到的基本概念如下:
(1)用户U(User):信息系统的使用者。主要指操作人员,也可以是计算机或网络;
(2)角色R(Role):一个可以完成一定事务的命名组,不同的角色通过不同的事务来执行各自的功能;
(3)客体Ob(Object):系统中可以访问的对象、资源;
(4)操作Op(Operation):对客体可以执行的操作,操作的类别取决于其所在应用系统,在文件系统中,包括读、写和运行,而在数据库管理系统中,操作还包括插入、删除、修改和更新等;
(S)许可P(Permission):用户对信息系统中的对象(Obs)进行某种特定模式访问的操作许可;
(6)会话(Session):用户是一个静态的概念,而会话是一个动态的概念。一个会话是用户的一次活跃进程,它代表用户与系统进行交互。会话是一个用户和多个角色的映射,一个用户可以同时打开多个会话。
从以上介绍可以看出,RBAC模型有三个实体集为基础,它们分别是用户集(U),角色集(R),许可集(P)。在RBAC中,每个角色被赋予若干许可,每项许可也可能同时授予多个角色,所以角色与许可之间是多对多的关系;每个用户至少被授予一个角色,同一角色可以被多个用户共享,所以用户与角色也是多对多的关系。用户通过自己扮演的角色获得许可。RBAC中的另一个成分是会话集(S),它把一个用户与一个或多个角色相关联。当一个用户建立一个会话时,就激活了他作为直接或间接成员的角色的子集。当用户同时激活多个角色时,他获得的许可是这些角色许可的并集。同时RBAC通过约束机制来约束角色授权和用户赋予角色,使其满足安全策略的要求。
2.4.2 RBAC的结构模型
根据对不同复杂度权限的需求,RBAC参考模型定义了三个分组件,分别是:
(1) Core Components:
——Core RBAC:核心 RBAC
(2) Constraining Components:
——Hierarchical RABC:层次RBAC
——General
——Limited
(3)Separation of Duty Relations:职责隔离
—Static Sean of Duty (SSD)
—Dynarriic Separation of Duty ( DSD )
职责关系隔离也叫做Constrained Componets。
2.4.2.1核心RBAC
Core RBAC定义了RBAC模型的五个基本元素:User,Role,Operations,Objects,Permissions。最基本的RBAC如图2-3所示:
Core RBAC的基本概念是用户通过成为角色的成员来获得相应的权限。但Core RBAC并不显式的禁止用户通过其他的方式获得操作权限。它仅要求用户一角色和角色一权限关系均为多对多的关系,并可动态添加用户一角色和角色一权限关系,且一个用户可以通过同时被指定多个角色而同时获得多个角色的多个权限。
2.4.2.2层次RBAC
在核心RBAC的基础上增加对角色等级(Role Hierarchy)的支持。角色等级是一个严格意义上的偏序关系,上级角色继承下级角色的权限,下级角色获得上级角色的用户。
角色划分等级是RBAC的一个突出优点。通常可以根据现实组织结构的模式构造角色层次关系,使它直接反映一个组织的职责关系,但是等级RBAC组件除了规定了最基本的概念以外,并没有做详细描述。因此在具体实现一个RBAC系统时,还需要进一步细化,比如增加更多的对继承的限制。等级RBAC的结构如图2-4所示:
2.4.2.3约束RBAC
核心模型的另一个增强的方向是约束模型。作为一个完整的安全模型,约束机制是非常重要的性能。对于一个具体的系统而言,无论它是否具有层次角色的特征,约束机制都是必不可少的。例如:在一个组织内出纳角色和会计角色不能同时授予同一个用户。当使用了角色约束机制后,公司的领导层就可以不必再考虑具体的实施。这样方便系统管理员的管理,这对于一个大型的企业系统来说,是非常重要的。实际上,通过约束机制,RBAC就可以实现强制安全控制,而且包括对RBAC本身的管理和控制。对于角色的约束机制主要以下两种约束:角色静态互斥约束和角色动态互斥约束。
角色静态互斥约束是指通过将用户指派给角色时施加约束来阻止角色冲突的发生。这意味着如果一个用户指派给一个角色,那么它将被禁止指派给与这一角色存在互斥关系的任何角色。角色静态互斥约束模型结构如图2-5所示:
与角色静态互斥约束类似,角色动态互斥约束也是限制可提供给用户的访问权限,但是实施的机制不同。角色动态互斥约束在用户会话中对可激活的当前角色进行限制。在角色静态互斥约束中,有冲突的角色不能被指派给同一用户;在角色动态互斥约束中,有冲突的角色可以被指派给同一用户,但是它们不能在同一个会话中被激活。角色动态互斥约束是最小权限原则的扩展,每个用户根据其执行的任务可以在不同的环境下拥有不同级别的访问权限,确保访问权限不会在时间上超越它们对履行职责的必要性,这种机制称作信任的适时变更。角色动态互斥约束的模型结构如图2-6所示:
2.4.3基于角色访问控制机制的优点
传统的访问控制策略直接将访问主体与客体相联系,如图2-7所示:
基于角色的访问控制模型通过在用户和权限之间引入角色这个中介,为用户授予角色,为角色授予权限,用户通过角色间接访问系统资源,限的逻辑分离。图给出了用户、角色、与权限的职责分离关系。实现了用户与权资源分配关系如图2-8所示:
分析以上两类访问控制的模型图可以看出基于角色的访问控制克服了传统访问控制的诸多不足,主要表现在:1)简化了授权操作,可以有效地对大量用户实现访问控制。传统的访问控制实现方法,将用户与访问权限直接相联系,当组织内人员新增或离开,或者某个用户的职能发生变化时,需要进行大量的授权更改工作,修改许多相关的访问控制权限设置。而在RBAC中,角色作为沟通用户与资源之间的桥梁。一个组织内,可根据组织的具体情况,设定若干个与一定权限相联系的角色,不同的角色拥有不同的访问权限和职责。此时,对用户的访问授权转变为对角色的授权。一旦一个RBAC系统建立起来以后,主要的管理工作即为授予或取消用户的角色,而对一个用户所拥有的角色数量比拥有的资源数量少得多,这样可以大大减少系统管理员的维护量。2)系统管理员在一种比较抽象的,与企业通常的业务管理相类似的层次上控制访问。这种授权使管理员从访问控制底层的具体实现机制脱离出来,十分接近日常的组织管理规则。通过定义及建立不同的角色、角色的继承关系、角色间的联系以及相应的限制,管理员可动态或静态地规范用户的行为。
2.5基于岗位角色的访问控制模型(PRBAC)
2.5.1 PRBAC访问控制模型
RBAC模型作为一种策略无关的访问控制技术,它不局限于特定的安全策略,几乎可以描述任何的安全策略,克服了传统访问控制的诸多不足,所以其应用领域极为广泛,如管理信息系统、数据库系统、计算机操作系统以及网络间的访问控制等。但是RBAC模型是抽象、普适的模型,距离具体的现实应用有一定的距离。RBAC模型在角色配置的工程化、角色动态转换等方面还需要进一步研究,RBAC比DAC和MAC复杂,系统实现难度相比之下要大。而且RBAC的策略无关性需要用户自己定义适合本领域的安全策略,定义众多的角色和访问权限以及它们之间的关系。因此,为了实现电子文档管理系统中统一资源的访问控制,需要对RBAC模型进行改进或简化,供电企业应该根据企业本身信息管理的标准,人员职责的要求,分工的需要等方面建立合适的访问控制机制。本文在继承RBAC先进控制思想的基础上结合供电企业的特点和企业的要求对RBAC模型进行扩展,对RBAC模型进行扩展主要基于以下几个方面:
- 适应供电企业行政管理模式,供电企业岗位比较固定,而且每个岗位的职责也相对稳定;
- 需控制的资源的不断增加,各种应用软件、电子文档资源的不断增加,维护复杂化;
- 便于系统管理员更直观地授权。
2.5.2 PRBAC访问控制结构模型
经过扩展的RBAC模型如图2-9所示:
此模型在RBAC模型的基础上增加了岗位(Post)这一集合,模型的主要组成元素有用户集合(U),岗位集合(P),角色集合(R),信息对象集合(O)。这样用户直接和岗位对应,而一个岗位拥有一个或多个角色,角色拥有一个或多个资源。这样系统管理员可以更加直观地给工作人员分配权限。权限分配流程如图2-10所示:
2.6基于岗位角色的访问控制模型在本课题中的应用
在供电企业电子文档的管理中,一个方面要保证敏感信息的安全,另一方面还要保证信息流动的灵活性,即保证敏感信息安全性的基础上还必须保证信息在必要的部门之间合理地流动以达到使企业高效运作的目的。随着访问资源的增加,以及机构人员的变动,都会使系统的维护复杂化。因此,在考虑敏感信息安全共享的前提下,需要设计易于系统管理员维护的、直观的电子文档管理系统。本课题在访问控制方面采用了前面介绍的基于岗位角色的访问控制模型。模型定义了四个元素集合:
(1)用户集(U):工作人员:
(2)岗位集(P):一般由实际的行政岗位来确定;
(3)角色集(R):可以完成一定事务的命名组,对于角色的命名比较灵活,系统管理员可依照方便性、易维护性的原则进行命名;
(4)资源集(O):指电子文档。
电子文档管理系统中,将资源(电子文档)按照等级、性质进行分类,然后根据实际的需要将操作权限分配给已命名的角色,己分配操作权限的角色按照实际工作的需要分配给已命名的岗位,然后根据用户的职责分配具体的岗位。这样就完成对用户的授权。当某个岗位的职责发生变化时,系统管理员只需要根据岗位的新职责增加或取消某些角色;而当增加用户,或者用户岗位发生变化时,只需要给该用户授予新的岗位就能完成授权工作。降低了系统管理员的后期维护工作量。
基于岗位角色的访问控制适应了企业特定的安全策略,能够减轻系统安全管理的负担,而且可随着组织结构和安全需求的变化而变化,具有很好的灵活性。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:标准化系统中电子文档的安全存储技术研究
相关文章
