三員分立權(quán)限控制模型的設(shè)計(jì)與實(shí)現(xiàn)

宗琳

摘要：涉密信息系統(tǒng)中的“三員”是指系統(tǒng)管理員、安全保密管理員、安全審計(jì)員?！叭龁T分立”要求系統(tǒng)管理員、安全保密管理員、安全審計(jì)員三者之間的關(guān)系相互獨(dú)立、互相制約，加強(qiáng)涉密信息系統(tǒng)保密管理，減少泄密風(fēng)險(xiǎn)。而三員分立權(quán)限控制模型就是基于“三員分立”的思想提出來的權(quán)限管理方法，該方法的設(shè)計(jì)和實(shí)現(xiàn)對于滿足涉密信息系統(tǒng)三員管理要求，實(shí)現(xiàn)信息系統(tǒng)的安全保密具有重要意義。

關(guān)鍵詞：三員；三員分立；權(quán)限控制模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）15-0062-03

Design and Implementation of Three Management Roles Separation Authority Control Model

ZONG Lin

（China Information Development Inc.， LTD. Shanghai， Shanghai 200333 China）

Abstract： Three management roles in the classified information system are administrator， secret keeper and auditor. Three-Roles-Separation model asks the three management roles mutual independence and condition， strengthening secret management in the classified information system and avoiding secret risks. Access control model based on Three-Roles-Separation model is designed and implemented for satisfying the requirement of roles management in classified information system. This model is very important for classified information system to improve its security and secrecy.

Key words： three management roles； three management roles separation； Role Based Access Control（RBAC）

1 引言

一個(gè)計(jì)算機(jī)信息系統(tǒng)是否屬于涉密信息系統(tǒng)，主要是看其系統(tǒng)里的信息是否包含涉及國家秘密的信息。不論其中的涉密信息是多還是少，只要是有（即存儲(chǔ)、處理或傳輸了涉密信息），這個(gè)信息系統(tǒng)就是涉密信息系統(tǒng)。

國家在涉密信息系統(tǒng)建設(shè)方面，著重強(qiáng)調(diào)信息安全等級保護(hù)和安全風(fēng)險(xiǎn)管理。依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》的有關(guān)規(guī)定，涉密信息系統(tǒng)應(yīng)配備系統(tǒng)管理員、安全保密管理員和安全審計(jì)員三類安全保密管理人員，分別負(fù)責(zé)系統(tǒng)運(yùn)行、安全保密和安全審計(jì)工作。三員應(yīng)該相互獨(dú)立、相互制約，且每個(gè)角色應(yīng)配置A、B角互為備份，安全保密管理員和安全審計(jì)員不得由一人兼任[1]。這就要求信息服務(wù)商在涉密信息系統(tǒng)的權(quán)限控制功能設(shè)計(jì)時(shí)也要考慮三員分立的需求。

2 RBAC權(quán)限控制模型

基于角色的訪問控制（RBAC[2]，Role Based Access Control），是把系統(tǒng)用戶根據(jù)其所擁有的執(zhí)行功能和安全策略分成不同的角色，然后對每個(gè)角色分配對應(yīng)的權(quán)限，再通過每個(gè)用戶指定不同的角色，來實(shí)現(xiàn)對用戶權(quán)限的管理控制。美國GeorgeMason大學(xué)信息安全技術(shù)實(shí)驗(yàn)室提出RBAC96模型是RBAC的研究和應(yīng)用中的經(jīng)典。它包括四個(gè)模型：RBACO、RBAC1、RBAC2、RBAC3。

RBACO被稱為基本模型，它是RBAC控制系統(tǒng)中的最小元素集合。它的基本思想是先對用戶賦予一定的角色，再為角色賦予相應(yīng)的權(quán)限，每個(gè)用戶通過角色來獲得權(quán)限。用戶與角色，角色與權(quán)限之間均是多對多的關(guān)系，角色是安全控制策略的核心。RBAC模型圖如下。

而RBAC1、RBAC2、RBAC3是在RBAC0的基礎(chǔ)上進(jìn)行擴(kuò)展而產(chǎn)生的模型。RBAC1被稱為角色層次模型[3]，該模型在RBACO的基礎(chǔ)上引入了角色層次關(guān)系，角色之間可以繼承。RBAC2被稱為角色約束模型[4]，該模型在RBACO的基礎(chǔ)上增加了責(zé)任分離關(guān)系，包括互斥限制、指派限制、先決限制及會(huì)話限制。RBAC3被稱為統(tǒng)一模型[5]，該模型既包含了角色間的繼承關(guān)系，又包含了責(zé)任分離關(guān)系。

綜上所述，RBAC模型利用角色的概念，靈活控制了用戶的訪問權(quán)限。然而在實(shí)際應(yīng)用中，RBAC模型過于簡單，難以適應(yīng)復(fù)雜情況的需求，仍然存在以下不足之處：

1）RBAC模型限定了系統(tǒng)所有用戶的權(quán)限都依附于某一個(gè)（或某些）角色的權(quán)限（或權(quán)限集合），沒有細(xì)化權(quán)限與用戶之間的關(guān)系，權(quán)限與用戶實(shí)例之間不產(chǎn)生直接關(guān)系。因此會(huì)造成擁有同一種角色的用戶，它們之間的訪問權(quán)限無差別，這無法滿足涉密應(yīng)用系統(tǒng)對于訪問控制要求。

2）RBAC模型無法適應(yīng)系統(tǒng)管理的權(quán)限動(dòng)態(tài)變化。目前大多數(shù)系統(tǒng)中通常由系統(tǒng)管理員負(fù)責(zé)權(quán)限分配，但是對于系統(tǒng)管理員的授權(quán)行為的確認(rèn)、審批和審查未做嚴(yán)格規(guī)定，由于系統(tǒng)管理員權(quán)限過大導(dǎo)致的權(quán)限擴(kuò)散問題時(shí)有發(fā)生。

3 三員分立權(quán)限控制模型設(shè)計(jì)

基于RBAC權(quán)限控制模型的技術(shù)特點(diǎn)，對于安全保密性要求較高的系統(tǒng)，提出了“三員分立”新型權(quán)限控制模型。該模型對涉密系統(tǒng)管理員的操作進(jìn)行了必要的限制，將權(quán)限管理部分分解為三員（即系統(tǒng)管理員、安全保密員、安全審計(jì)員）管理，進(jìn)而形成由系統(tǒng)管理員授權(quán)、安全保密員審批、安全審計(jì)員監(jiān)督的三員分立權(quán)限控制方法。

從權(quán)限的劃分角度上說，整個(gè)權(quán)限管理過程劃分為三類人員，各類人員具體職能描述如下：

1）系統(tǒng)管理員。負(fù)責(zé)系統(tǒng)用戶權(quán)限的開放工作，具有賦予權(quán)；

2）安全保密員。負(fù)責(zé)系統(tǒng)用戶權(quán)限開放的審批，具有審批權(quán)；

3）安全審計(jì)員。負(fù)責(zé)開展操作日志審計(jì)，特別是針對系統(tǒng)管理員和安全保密員在系統(tǒng)操作過程中的行為進(jìn)行審計(jì)，具有監(jiān)督權(quán)。

從權(quán)限控制的設(shè)計(jì)流程上說，實(shí)線代表具體權(quán)限操作流程，虛線代表附加業(yè)務(wù)流程和結(jié)果流程，橢圓形文本框表示和RBAC權(quán)限控制模型（見圖1）的對應(yīng)環(huán)節(jié)，整個(gè)權(quán)限控制流程描述如下：

1）用戶登錄系統(tǒng)申請權(quán)限，申請權(quán)限流程流轉(zhuǎn)至系統(tǒng)管理員處，登錄日志信息流轉(zhuǎn)至安全審計(jì)員處；

2）系統(tǒng)管理員收到申請權(quán)限請求后，對用戶和角色進(jìn)行登記，并進(jìn)行角色擬分配，同時(shí)完成角色功能表和分配表的初步制定。授權(quán)數(shù)據(jù)完成后交付至安全保密管理員處，授權(quán)過程中將產(chǎn)生日志推送至安全審計(jì)員處；

3）安全保密員收到授權(quán)數(shù)據(jù)后，對數(shù)據(jù)進(jìn)行復(fù)核和審批。無論是否通過，審批結(jié)果均反饋給系統(tǒng)管理員。只有通過審批后，授權(quán)數(shù)據(jù)才真正成為有效的授權(quán)，同時(shí)通過審批的授權(quán)流程將生成操作日志提交至安全審計(jì)員處；

4）系統(tǒng)管理員收到安全保密員的審批反饋結(jié)果后，對用戶進(jìn)行賦權(quán)操作：通過則進(jìn)行授權(quán)，進(jìn)行相應(yīng)權(quán)限的分配，不通過則拒絕授權(quán)，用戶申請的權(quán)限不被批準(zhǔn)；

5）安全審計(jì)員將全程監(jiān)督整個(gè)授權(quán)過程，包括對登錄日志、推送日志和操作日志的審計(jì)和備查，并可導(dǎo)出需要的日志數(shù)據(jù)，全程監(jiān)督安全保密員和系統(tǒng)管理員的操作過程。

與普通RBAC權(quán)限控制模型相比較，三員分立權(quán)限控制模型具有以下優(yōu)點(diǎn)：

1）在權(quán)限設(shè)置上采用了三員分立的模式，即在權(quán)限分配過程中賦予權(quán)、審批權(quán)和審計(jì)權(quán)三者之間分離。三個(gè)權(quán)限擁有者之間是相互獨(dú)立、相互制約的，從而有效解決了系統(tǒng)管理員權(quán)限過大的問題；

2）可以根據(jù)角色和應(yīng)用程度逐級下放授權(quán)過程，上級節(jié)點(diǎn)只需要管理下一級節(jié)點(diǎn)的權(quán)限，無須越級管理；通過嚴(yán)格的授權(quán)訪問機(jī)制確保不越權(quán)訪問；

3）三員分立的權(quán)限控制方式在權(quán)限授予過程中具有公平和靈活的特性，能夠有效支持一套完備的權(quán)限控制機(jī)制的組建。

4 三員分立權(quán)限控制功能實(shí)現(xiàn)

在部分安全保密要求較高的應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)過程中，可以融入三員分立權(quán)限控制的思想，進(jìn)行具體功能的實(shí)現(xiàn)。下圖展示了三員分立權(quán)限控制功能的時(shí)序過程。

以某安全級別較高的政府部門應(yīng)用系統(tǒng)為例，權(quán)限控制主體劃分為系統(tǒng)管理員、安全員和審計(jì)員，系統(tǒng)權(quán)限控制功能模塊劃分為用戶管理、日志管理和審批管理三大功能模塊。

首先，系統(tǒng)管理員利用用戶管理模塊實(shí)現(xiàn)用戶及授權(quán)角色新增登記，此時(shí)用戶授權(quán)狀態(tài)在系統(tǒng)后臺(tái)為待審批狀態(tài)，授權(quán)過程中生成的相關(guān)操作日志可在日志管理模塊中讀取。

其次，系統(tǒng)安全員利用審批管理模塊，對系統(tǒng)后臺(tái)授權(quán)數(shù)據(jù)進(jìn)行復(fù)核審批，審批通過后則該用戶授權(quán)狀態(tài)為審批通過，未通過則顯示為未通過。審批過程中生成的相關(guān)操作日志同樣匯總至日志管理模塊中。

最后，系統(tǒng)審計(jì)員利用日志管理模塊，隨時(shí)對權(quán)限控制過程中生成的相關(guān)日志信息進(jìn)行查閱和審計(jì)，并可導(dǎo)出需要的日志數(shù)據(jù)。

5 結(jié)束語

本文通過分析基于角色的訪問控制模型RBAC的基本原理、主要類型和存在問題，提出了基于三員分立的權(quán)限控制模型。該模型將權(quán)限管理部分分解為三員管理，達(dá)到事前預(yù)防、事中復(fù)核、事后審計(jì)的效果，降低了系統(tǒng)安全風(fēng)險(xiǎn)。本模型的設(shè)計(jì)理念已在多個(gè)安全級別較高的政府部門應(yīng)用系統(tǒng)中成功實(shí)施，取得了較好的應(yīng)用效果，具備推廣應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1] 耿偉，吳肖炎，涉密信息系統(tǒng)安全保密管理人員的職責(zé)要求與權(quán)限劃分[J].信息安全與通信保密，2009.

[2] 楊帆；張博.基于RBAC的涉密應(yīng)用系統(tǒng)訪問控制方法設(shè)計(jì)[C].2012年MIS/S & A學(xué)術(shù)交流會(huì)議論文集，2012.

[3] 賀德富，蘇喜生，丁文，信息系統(tǒng)中基于角色的權(quán)限控制模型研究與應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2008.

[4] 時(shí)小虎，劉永福，RBAC在Web考試管理系統(tǒng)權(quán)限控制中的設(shè)計(jì)和實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2011.

[5] 向奎，基于RBAC的用戶權(quán)限管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[D].武漢：武漢理工大學(xué)，2013.