某石油管理局信息應用授權系統(tǒng)的設計(doc 14頁).doc

某某石油管理局企業(yè)標準授權系統(tǒng)的設計、建設規(guī)范1 適用范圍某某油田全轄2 規(guī)范解釋權本規(guī)范由某某油田石油管理局信息中心解釋。3需求背景隨著信息系統(tǒng)的不斷發(fā)展和廣泛應用，企業(yè)內部和外部的信息數(shù)據不斷膨脹。企業(yè)雖然上了先進的信息系統(tǒng)，但信息數(shù)據是呈離散式分布的，缺乏相應的整合與管理。為了解決上述難題，建立一個統(tǒng)一的信息獲取窗口或門戶，從而提高整體的數(shù)據獲取效率。而用戶認證在確認了合法用戶的身份后，如不能賦予用戶明確的權限，亦將大大降低控制的細度。這就需要認證授權系統(tǒng)。操作系統(tǒng)和數(shù)據庫都有授權控制功能。整個系統(tǒng)存在著多帳戶、多密碼、多次登錄問題，因此需要在信息網中采用集中的授權訪問控制。4授權系統(tǒng)的相關術語4.1企業(yè)信息資源授權系統(tǒng)(Enterprise Information Resource Authorization System,EIRAS)是一套對于企業(yè)信息資源（其中包括內部文檔、關鍵性數(shù)據、關鍵性應用程序）進行管理并授權處理的應用系統(tǒng)。在CA技術基礎上的面向角色的資源權限分配和統(tǒng)一的身份認證訪問控制系統(tǒng)，是基于用戶證書和角色的認證、授權系統(tǒng)。該系統(tǒng)通過對資源（應用程序模塊）的劃分，以及角色（具有不同訪問權限的用戶集合）的定義，把資源的權限賦予其對應的角色來實現(xiàn)用戶對資源的訪問和控制。既解決了信息系統(tǒng)本身的安全問題，又避免了使用起來的不便（如各種應用系統(tǒng)過多而難以記憶的用戶名和口令等）。4.2強制訪問控制（mandatory access control）根據客體所包含信息的敏感性以及主體訪問此類敏感信息的權限,限制主體訪問客體的方法。定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權用戶讀取敏感信息。4.3敏感標記 （sensitivity label）表示客體安全級別并描述客體數(shù)據敏感性的一組信息，可信計算基中把敏感標記作為強制訪問控制決策的依據。應維護與主體及其控制的存儲客體（例如：進程、文件、段、設備）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數(shù)據，系統(tǒng)向授權用戶要求并接受這些數(shù)據的安全級別，且可由系統(tǒng)審計。4.4安全策略（security policy）有關管理、保護和發(fā)布敏感信息的法律、規(guī)定和實施細則。4.5身份鑒別 計算機信息系統(tǒng)初始執(zhí)行時，首先要求用戶標識自己的身份，并使用保護機制（例如：口令）來鑒別用戶的身份，阻止非授權用戶訪問用戶身份鑒別數(shù)據。還具備將身份標識與該用戶所有可審計行為相關聯(lián)的能力。4.6數(shù)據完整性 計算機信息系統(tǒng)通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息。4.7客體重用 在計算機信息系統(tǒng)的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。4.8審計 計算機信息系統(tǒng)能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權的用戶對它訪問或破壞。系統(tǒng)能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含的來源（例如：終端標識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區(qū)別于系統(tǒng)獨立分辨的審計記錄。4.9計算機信息系統(tǒng)可信計算基 （trusted computing base of computer information system） 計算機系統(tǒng)內保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務。4.10客體（object） 信息的載體。4.11主體（subject） 引起信息在客體之間流動的人、進程或設備等。5授權的類別劃分清晰的權限界定、確保系統(tǒng)的安全與完整性。5.1對數(shù)據的授權包括了對文檔的授權（系統(tǒng)內的所有表單文檔，建立者可以對其建立的文檔授權于某一用戶、部門、群組擁有瀏覽、修改、刪除等不同的權限）、對網頁訪問權限（系統(tǒng)管理員可以設置每一個用戶擁有訪問相應模塊的網頁權限；系統(tǒng)管理員可以對某一部門，某一群組擁有授予訪問權限；靈活的定義角色，讓成為這一角色的用戶或部門擁有相同的權限；超時登陸需要重新進行身份認證登陸。）、還有對于各類其他的需要安全授權的數(shù)據授權。5.2對進程的授權對于當前的計算機系統(tǒng)中的進程必須根據它所被授予的權限，進行授權處理。使它的操作范圍處于受控范圍內。5.3對設備的授權對于網絡系統(tǒng)中各種可以通過遠程獲取或操作的設備需要進行授權的控制。沒有訪問權限的用戶不得訪問！有訪問權限的但是沒有修改權限的也必須分別對待。6安全級別的劃分第一級：用戶自主保護級通過隔離用戶與數(shù)據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據的非法讀寫與破壞。第二級：系統(tǒng)審計保護級與用戶自主保護級相比，實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。 第三級：安全標記保護級系統(tǒng)具有系統(tǒng)審計保護級所有功能。此外，還提供有關安全策略模型、數(shù)據標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤。 第四級：結構化保護級系統(tǒng)建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。系統(tǒng)必須結構化為關鍵保護元素和非關鍵保護元素。信息系統(tǒng)的接口也必須明確定義，使其設計與實現(xiàn)能經受更充分的測試和更完整的復審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。 第五級：訪問驗證保護級系統(tǒng)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，系統(tǒng)在其構造時，排除那些對實施安全策略來說并非必要的代碼；在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度。支持安全管理員職能；擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號；提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。7安全授權機制的得以實現(xiàn)的技術多重安全、保密機制隨著大規(guī)模的推廣應用，平臺必須擁有靈活、可靠的安全機制，以確保信息存儲及傳遞過程中的安全性、保密性。必須擁有靈活、可靠的安全機制，其內置數(shù)據庫服務器、郵件服務器及WEB服務器可分別安裝在不同的服務器上，實現(xiàn)物理上的隔離，又可實現(xiàn)整個系統(tǒng)的無縫集成。同時它采用了超時登陸以及對公文及公文傳遞SSL加密等先進技術，保證了用戶的合法性和唯一性，同時可以保證系統(tǒng)的安全、可靠。充分考慮用戶需求，采用業(yè)界標準的密鑰交換技術，提供手工、預共享、數(shù)字證書等靈活豐富的密鑰配置方法和多種加密、認證算法，幫助用戶低成本的建立符合國際標準的安全網絡。就網上購物的過程來說，目前常用的是SSL（安全通道協(xié)議）的方式，即就某些特定的文件或文件目錄需要訪問者提供客戶端證書；除非擁有電子證書及相應的私鑰，一個訪問者的瀏覽器無法獲得這些文件和文件目錄。SSL的方式體現(xiàn)在瀏覽器的訪問欄上，應該是Https而不是普通的Http。通過網站驗證后的訪問者，可以被映射為活動目錄中的用戶或者用戶組，實現(xiàn)合作伙伴之間外部網（Extranet）的應用。電子證書都是基于X.509協(xié)議的，保證了與其他系統(tǒng)的互操作性。國際標準組織CCITT建議以X.509作為X.500目錄檢索的一個組成部分，提供安全目錄檢索服務。X.500是CCITT建議的，用于分布網絡中存儲用戶信息的數(shù)據庫的目錄檢索服務的協(xié)議標準。X.509是采用公鑰基礎結構實施的認證協(xié)議，對通信雙方按所用密碼體制規(guī)定了幾種認證識別方法，它發(fā)表于1988年，經多次修改，1993年又公布了新的版本。X.509對所用具體加密、數(shù)字簽名、公用密鑰以及Hash算法未作限制，將會有廣泛的應用，已納入PEM(PrivacyEnhancedMail)系統(tǒng)中。電子證書的申請過程也可以由管理員設定的批處理方法來進行，用戶還可以通過LDAP來查詢CA中通訊對方的公鑰。公用密鑰基本體系通常簡稱為PKI（PublicKeyInfrastructure），是一個數(shù)字認證、證書授權和其他注冊授權系統(tǒng)。使用公用密鑰密碼檢驗及檢證電子商務中所涉及的每個機構的有效性。公用密鑰基本體系的標準仍處于發(fā)展階段，盡管它們作為電子商務的一個必要組成部分已得到廣泛使用。其核心是加密服務、證書管理服務，為應用程序的開發(fā)提供了加密API接口（CryptoAPI）?；谧C書的過程所使用的標準證書格式是X.509V3，X.509證書包括有關證書擁有的個人或實體的信息及證書頒發(fā)機構的可選信息。實體信息包括實體名稱、公用密鑰、公用密鑰運算法和可選的唯一主體ID。版本3證書的標準制定了以下規(guī)定：密鑰標識符、密鑰用法、證書策略、替換名稱和屬性、證書路徑約束以及對證書撤消原因和列表分區(qū)。8某某油田信息應用授權系統(tǒng)設計、建設指南該指南是指對正在開展的以BS結構為特點的應用了CA認證服務等門戶技術的新的應用體系結構的授權系統(tǒng)的設計、建設的規(guī)定。新的系統(tǒng)應充分保護原有系統(tǒng)的投資，在不影響正常業(yè)務的前提下使原有分散的授權通過分階段逐步改造的方式或升級換代實現(xiàn)授權的集中統(tǒng)一。局信息安全指導委員會是某某油田信息應用授權系統(tǒng)設計、建設的領導機構,由所屬的局信息安全管理中心具體實施。1) 局所屬二級和以下級別的單位的安全管理機構向上級機構負責,在局信息安全管理中心的領導下工作。2) 同級的安全管理機構應包含有掌握本單位各個信息系統(tǒng)管理、應用、業(yè)務的專業(yè)知識的人員。3) 對委托進行開發(fā)、設計、建設的產品供應商、開發(fā)商、集成商等須接受相應的安全管理機構領導，并遵照有關安全規(guī)范開展工作。9某某油田信息應用授權系統(tǒng)設計、建設的框架9.1類別基于應用現(xiàn)狀,初步將應用劃分為以下類別:1) 黨政類, 有嚴格的保密要求，有關文件是否上網具體由黨委保密辦決定。2) 財務類, 有保密、抗毀要求。3) 油田生產專業(yè)類,關系到油田生產、運營決策，很重要，高可用性，有一定保密要求，4) 資金流、物流、信息流三流合一應用（供應處的電子商務），要求高可用性，保密。5) 信息安全支撐性基礎設施類（如：CA，目錄服務器，入侵監(jiān)測等）。6) 其他類。對以上的黨政類、財務類、油田生產專業(yè)類、資金流、物流、信息流三流合一應用類這四大類屬于關鍵應用類，在以后的應用開發(fā)和改造時，需根據他們所受到的安全威脅、可能產生的風險進行分析，制定相應的安全目標，對涉及每個應用類內的客體，可根據需要保護的程度，劃分不同的子類或保護等級，受保護程度要求高的需設置敏感性標記，并規(guī)定與之相關聯(lián)的主體或主體等級，對主體規(guī)定嚴格的鑒別機制，并規(guī)定相適應的自主訪問控制或強制訪問控制策略。在設計敏感性標記的過程中,規(guī)定與之相關聯(lián)的主體或主體等級的工作在局信息安全管理中心領導下統(tǒng)一實施,涉及各下屬機構的應用的相應工作須在局信息安全管理中心的指導下針對本單位的具體實際詳細設計,在設計中要確保總體的一致性和完整性。對于類別間的存在的信息交換應根據可能受到的安全風險(包括通信鏈路上的安全風險)提供相應的授權和保護措施。油田的信息基礎設施應能保障授權系統(tǒng)的實施,在受設備、基礎軟件、支撐軟件的限制的情況下盡可能的實施改造加固措施，尤其是在應用開發(fā)、管理制度、人員安全培訓方面采取強化措施，從總體上保障安全目標的實現(xiàn)。在新的應用設計中應根據用戶角色的需要授權，根據最小授權原則，采取各種措施限制和避免因設備、基礎軟件、支撐軟件的漏洞和脆弱性而導致可能的非授權訪問。對于因技術設備的限制或某些工作特點而造成的某些角色權限過大，如系統(tǒng)管理員，系統(tǒng)維護工作的人員等，應進行安全培訓教育，加強管理，根據受保護客體的敏感程度，在應用開發(fā)設計中強化審計跟蹤。對于涉及安全保護等級要求高的關鍵應用的某些主體，尤其是對進口的設備、基礎軟件、支撐軟件等，因條件限制無法確定其可信計算基的安全性，要充分評估由此可能導致的安全風險，在應用效益要求與安全風險之間做出審慎的平衡后，有條件的加以使用，在應用系統(tǒng)設計中，應充分考慮對其監(jiān)控的手段，防止非授權等行為的發(fā)生，在系統(tǒng)運行時，還應加強運行監(jiān)督管理。某某油田信息應用授權系統(tǒng)設計、建設的框架的內容由局信息安全管理中心解釋,并根據發(fā)展進程作適當調整和修改。9.2安全等級的確定在授權系統(tǒng)的安全設計和建設時，建議根據安全需求分析，需要保護的客體的重要程度，確定如下安全保護等級：第一級（用戶自主保護級）；這是當前大多數(shù)