某石油管理局信息應(yīng)用授權(quán)系統(tǒng)的設(shè)計(jì)(doc 14頁).doc

某某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)的設(shè)計(jì)、建設(shè)規(guī)范1 適用范圍某某油田全轄2 規(guī)范解釋權(quán)本規(guī)范由某某油田石油管理局信息中心解釋。3需求背景隨著信息系統(tǒng)的不斷發(fā)展和廣泛應(yīng)用，企業(yè)內(nèi)部和外部的信息數(shù)據(jù)不斷膨脹。企業(yè)雖然上了先進(jìn)的信息系統(tǒng)，但信息數(shù)據(jù)是呈離散式分布的，缺乏相應(yīng)的整合與管理。為了解決上述難題，建立一個(gè)統(tǒng)一的信息獲取窗口或門戶，從而提高整體的數(shù)據(jù)獲取效率。而用戶認(rèn)證在確認(rèn)了合法用戶的身份后，如不能賦予用戶明確的權(quán)限，亦將大大降低控制的細(xì)度。這就需要認(rèn)證授權(quán)系統(tǒng)。操作系統(tǒng)和數(shù)據(jù)庫都有授權(quán)控制功能。整個(gè)系統(tǒng)存在著多帳戶、多密碼、多次登錄問題，因此需要在信息網(wǎng)中采用集中的授權(quán)訪問控制。4授權(quán)系統(tǒng)的相關(guān)術(shù)語4.1企業(yè)信息資源授權(quán)系統(tǒng)(Enterprise Information Resource Authorization System,EIRAS)是一套對于企業(yè)信息資源（其中包括內(nèi)部文檔、關(guān)鍵性數(shù)據(jù)、關(guān)鍵性應(yīng)用程序）進(jìn)行管理并授權(quán)處理的應(yīng)用系統(tǒng)。在CA技術(shù)基礎(chǔ)上的面向角色的資源權(quán)限分配和統(tǒng)一的身份認(rèn)證訪問控制系統(tǒng)，是基于用戶證書和角色的認(rèn)證、授權(quán)系統(tǒng)。該系統(tǒng)通過對資源（應(yīng)用程序模塊）的劃分，以及角色（具有不同訪問權(quán)限的用戶集合）的定義，把資源的權(quán)限賦予其對應(yīng)的角色來實(shí)現(xiàn)用戶對資源的訪問和控制。既解決了信息系統(tǒng)本身的安全問題，又避免了使用起來的不便（如各種應(yīng)用系統(tǒng)過多而難以記憶的用戶名和口令等）。4.2強(qiáng)制訪問控制（mandatory access control）根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權(quán)限,限制主體訪問客體的方法。定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實(shí)施機(jī)制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。4.3敏感標(biāo)記 （sensitivity label）表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。應(yīng)維護(hù)與主體及其控制的存儲客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，系統(tǒng)向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由系統(tǒng)審計(jì)。4.4安全策略（security policy）有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。4.5身份鑒別 計(jì)算機(jī)信息系統(tǒng)初始執(zhí)行時(shí)，首先要求用戶標(biāo)識自己的身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。還具備將身份標(biāo)識與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。4.6數(shù)據(jù)完整性 計(jì)算機(jī)信息系統(tǒng)通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。4.7客體重用 在計(jì)算機(jī)信息系統(tǒng)的空閑存儲客體空間中，對客體初始指定、分配或再分配一個(gè)主體之前，撤銷該客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個(gè)已被釋放的客體的訪問權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。4.8審計(jì) 計(jì)算機(jī)信息系統(tǒng)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。系統(tǒng)能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計(jì)記錄包含的來源（例如：終端標(biāo)識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名。對不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于系統(tǒng)獨(dú)立分辨的審計(jì)記錄。4.9計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基 （trusted computing base of computer information system） 計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。4.10客體（object） 信息的載體。4.11主體（subject） 引起信息在客體之間流動(dòng)的人、進(jìn)程或設(shè)備等。5授權(quán)的類別劃分清晰的權(quán)限界定、確保系統(tǒng)的安全與完整性。5.1對數(shù)據(jù)的授權(quán)包括了對文檔的授權(quán)（系統(tǒng)內(nèi)的所有表單文檔，建立者可以對其建立的文檔授權(quán)于某一用戶、部門、群組擁有瀏覽、修改、刪除等不同的權(quán)限）、對網(wǎng)頁訪問權(quán)限（系統(tǒng)管理員可以設(shè)置每一個(gè)用戶擁有訪問相應(yīng)模塊的網(wǎng)頁權(quán)限；系統(tǒng)管理員可以對某一部門，某一群組擁有授予訪問權(quán)限；靈活的定義角色，讓成為這一角色的用戶或部門擁有相同的權(quán)限；超時(shí)登陸需要重新進(jìn)行身份認(rèn)證登陸。）、還有對于各類其他的需要安全授權(quán)的數(shù)據(jù)授權(quán)。5.2對進(jìn)程的授權(quán)對于當(dāng)前的計(jì)算機(jī)系統(tǒng)中的進(jìn)程必須根據(jù)它所被授予的權(quán)限，進(jìn)行授權(quán)處理。使它的操作范圍處于受控范圍內(nèi)。5.3對設(shè)備的授權(quán)對于網(wǎng)絡(luò)系統(tǒng)中各種可以通過遠(yuǎn)程獲取或操作的設(shè)備需要進(jìn)行授權(quán)的控制。沒有訪問權(quán)限的用戶不得訪問！有訪問權(quán)限的但是沒有修改權(quán)限的也必須分別對待。6安全級別的劃分第一級：用戶自主保護(hù)級通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。第二級：系統(tǒng)審計(jì)保護(hù)級與用戶自主保護(hù)級相比，實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。 第三級：安全標(biāo)記保護(hù)級系統(tǒng)具有系統(tǒng)審計(jì)保護(hù)級所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯(cuò)誤。 第四級：結(jié)構(gòu)化保護(hù)級系統(tǒng)建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。系統(tǒng)必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。信息系統(tǒng)的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 第五級：訪問驗(yàn)證保護(hù)級系統(tǒng)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，系統(tǒng)在其構(gòu)造時(shí)，排除那些對實(shí)施安全策略來說并非必要的代碼；在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。7安全授權(quán)機(jī)制的得以實(shí)現(xiàn)的技術(shù)多重安全、保密機(jī)制隨著大規(guī)模的推廣應(yīng)用，平臺必須擁有靈活、可靠的安全機(jī)制，以確保信息存儲及傳遞過程中的安全性、保密性。必須擁有靈活、可靠的安全機(jī)制，其內(nèi)置數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器及WEB服務(wù)器可分別安裝在不同的服務(wù)器上，實(shí)現(xiàn)物理上的隔離，又可實(shí)現(xiàn)整個(gè)系統(tǒng)的無縫集成。同時(shí)它采用了超時(shí)登陸以及對公文及公文傳遞SSL加密等先進(jìn)技術(shù)，保證了用戶的合法性和唯一性，同時(shí)可以保證系統(tǒng)的安全、可靠。充分考慮用戶需求，采用業(yè)界標(biāo)準(zhǔn)的密鑰交換技術(shù)，提供手工、預(yù)共享、數(shù)字證書等靈活豐富的密鑰配置方法和多種加密、認(rèn)證算法，幫助用戶低成本的建立符合國際標(biāo)準(zhǔn)的安全網(wǎng)絡(luò)。就網(wǎng)上購物的過程來說，目前常用的是SSL（安全通道協(xié)議）的方式，即就某些特定的文件或文件目錄需要訪問者提供客戶端證書；除非擁有電子證書及相應(yīng)的私鑰，一個(gè)訪問者的瀏覽器無法獲得這些文件和文件目錄。SSL的方式體現(xiàn)在瀏覽器的訪問欄上，應(yīng)該是Https而不是普通的Http。通過網(wǎng)站驗(yàn)證后的訪問者，可以被映射為活動(dòng)目錄中的用戶或者用戶組，實(shí)現(xiàn)合作伙伴之間外部網(wǎng)（Extranet）的應(yīng)用。電子證書都是基于X.509協(xié)議的，保證了與其他系統(tǒng)的互操作性。國際標(biāo)準(zhǔn)組織CCITT建議以X.509作為X.500目錄檢索的一個(gè)組成部分，提供安全目錄檢索服務(wù)。X.500是CCITT建議的，用于分布網(wǎng)絡(luò)中存儲用戶信息的數(shù)據(jù)庫的目錄檢索服務(wù)的協(xié)議標(biāo)準(zhǔn)。X.509是采用公鑰基礎(chǔ)結(jié)構(gòu)實(shí)施的認(rèn)證協(xié)議，對通信雙方按所用密碼體制規(guī)定了幾種認(rèn)證識別方法，它發(fā)表于1988年，經(jīng)多次修改，1993年又公布了新的版本。X.509對所用具體加密、數(shù)字簽名、公用密鑰以及Hash算法未作限制，將會(huì)有廣泛的應(yīng)用，已納入PEM(PrivacyEnhancedMail)系統(tǒng)中。電子證書的申請過程也可以由管理員設(shè)定的批處理方法來進(jìn)行，用戶還可以通過LDAP來查詢CA中通訊對方的公鑰。公用密鑰基本體系通常簡稱為PKI（PublicKeyInfrastructure），是一個(gè)數(shù)字認(rèn)證、證書授權(quán)和其他注冊授權(quán)系統(tǒng)。使用公用密鑰密碼檢驗(yàn)及檢證電子商務(wù)中所涉及的每個(gè)機(jī)構(gòu)的有效性。公用密鑰基本體系的標(biāo)準(zhǔn)仍處于發(fā)展階段，盡管它們作為電子商務(wù)的一個(gè)必要組成部分已得到廣泛使用。其核心是加密服務(wù)、證書管理服務(wù)，為應(yīng)用程序的開發(fā)提供了加密API接口（CryptoAPI）。基于證書的過程所使用的標(biāo)準(zhǔn)證書格式是X.509V3，X.509證書包括有關(guān)證書擁有的個(gè)人或?qū)嶓w的信息及證書頒發(fā)機(jī)構(gòu)的可選信息。實(shí)體信息包括實(shí)體名稱、公用密鑰、公用密鑰運(yùn)算法和可選的唯一主體ID。版本3證書的標(biāo)準(zhǔn)制定了以下規(guī)定：密鑰標(biāo)識符、密鑰用法、證書策略、替換名稱和屬性、證書路徑約束以及對證書撤消原因和列表分區(qū)。8某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計(jì)、建設(shè)指南該指南是指對正在開展的以BS結(jié)構(gòu)為特點(diǎn)的應(yīng)用了CA認(rèn)證服務(wù)等門戶技術(shù)的新的應(yīng)用體系結(jié)構(gòu)的授權(quán)系統(tǒng)的設(shè)計(jì)、建設(shè)的規(guī)定。新的系統(tǒng)應(yīng)充分保護(hù)原有系統(tǒng)的投資，在不影響正常業(yè)務(wù)的前提下使原有分散的授權(quán)通過分階段逐步改造的方式或升級換代實(shí)現(xiàn)授權(quán)的集中統(tǒng)一。局信息安全指導(dǎo)委員會(huì)是某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計(jì)、建設(shè)的領(lǐng)導(dǎo)機(jī)構(gòu),由所屬的局信息安全管理中心具體實(shí)施。1) 局所屬二級和以下級別的單位的安全管理機(jī)構(gòu)向上級機(jī)構(gòu)負(fù)責(zé),在局信息安全管理中心的領(lǐng)導(dǎo)下工作。2) 同級的安全管理機(jī)構(gòu)應(yīng)包含有掌握本單位各個(gè)信息系統(tǒng)管理、應(yīng)用、業(yè)務(wù)的專業(yè)知識的人員。3) 對委托進(jìn)行開發(fā)、設(shè)計(jì)、建設(shè)的產(chǎn)品供應(yīng)商、開發(fā)商、集成商等須接受相應(yīng)的安全管理機(jī)構(gòu)領(lǐng)導(dǎo)，并遵照有關(guān)安全規(guī)范開展工作。9某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計(jì)、建設(shè)的框架9.1類別基于應(yīng)用現(xiàn)狀,初步將應(yīng)用劃分為以下類別:1) 黨政類, 有嚴(yán)格的保密要求，有關(guān)文件是否上網(wǎng)具體由黨委保密辦決定。2) 財(cái)務(wù)類, 有保密、抗毀要求。3) 油田生產(chǎn)專業(yè)類,關(guān)系到油田生產(chǎn)、運(yùn)營決策，很重要，高可用性，有一定保密要求，4) 資金流、物流、信息流三流合一應(yīng)用（供應(yīng)處的電子商務(wù)），要求高可用性，保密。5) 信息安全支撐性基礎(chǔ)設(shè)施類（如：CA，目錄服務(wù)器，入侵監(jiān)測等）。6) 其他類。對以上的黨政類、財(cái)務(wù)類、油田生產(chǎn)專業(yè)類、資金流、物流、信息流三流合一應(yīng)用類這四大類屬于關(guān)鍵應(yīng)用類，在以后的應(yīng)用開發(fā)和改造時(shí)，需根據(jù)他們所受到的安全威脅、可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析，制定相應(yīng)的安全目標(biāo)，對涉及每個(gè)應(yīng)用類內(nèi)的客體，可根據(jù)需要保護(hù)的程度，劃分不同的子類或保護(hù)等級，受保護(hù)程度要求高的需設(shè)置敏感性標(biāo)記，并規(guī)定與之相關(guān)聯(lián)的主體或主體等級，對主體規(guī)定嚴(yán)格的鑒別機(jī)制，并規(guī)定相適應(yīng)的自主訪問控制或強(qiáng)制訪問控制策略。在設(shè)計(jì)敏感性標(biāo)記的過程中,規(guī)定與之相關(guān)聯(lián)的主體或主體等級的工作在局信息安全管理中心領(lǐng)導(dǎo)下統(tǒng)一實(shí)施,涉及各下屬機(jī)構(gòu)的應(yīng)用的相應(yīng)工作須在局信息安全管理中心的指導(dǎo)下針對本單位的具體實(shí)際詳細(xì)設(shè)計(jì),在設(shè)計(jì)中要確保總體的一致性和完整性。對于類別間的存在的信息交換應(yīng)根據(jù)可能受到的安全風(fēng)險(xiǎn)(包括通信鏈路上的安全風(fēng)險(xiǎn))提供相應(yīng)的授權(quán)和保護(hù)措施。油田的信息基礎(chǔ)設(shè)施應(yīng)能保障授權(quán)系統(tǒng)的實(shí)施,在受設(shè)備、基礎(chǔ)軟件、支撐軟件的限制的情況下盡可能的實(shí)施改造加固措施，尤其是在應(yīng)用開發(fā)、管理制度、人員安全培訓(xùn)方面采取強(qiáng)化措施，從總體上保障安全目標(biāo)的實(shí)現(xiàn)。在新的應(yīng)用設(shè)計(jì)中應(yīng)根據(jù)用戶角色的需要授權(quán)，根據(jù)最小授權(quán)原則，采取各種措施限制和避免因設(shè)備、基礎(chǔ)軟件、支撐軟件的漏洞和脆弱性而導(dǎo)致可能的非授權(quán)訪問。對于因技術(shù)設(shè)備的限制或某些工作特點(diǎn)而造成的某些角色權(quán)限過大，如系統(tǒng)管理員，系統(tǒng)維護(hù)工作的人員等，應(yīng)進(jìn)行安全培訓(xùn)教育，加強(qiáng)管理，根據(jù)受保護(hù)客體的敏感程度，在應(yīng)用開發(fā)設(shè)計(jì)中強(qiáng)化審計(jì)跟蹤。對于涉及安全保護(hù)等級要求高的關(guān)鍵應(yīng)用的某些主體，尤其是對進(jìn)口的設(shè)備、基礎(chǔ)軟件、支撐軟件等，因條件限制無法確定其可信計(jì)算基的安全性，要充分評估由此可能導(dǎo)致的安全風(fēng)險(xiǎn)，在應(yīng)用效益要求與安全風(fēng)險(xiǎn)之間做出審慎的平衡后，有條件的加以使用，在應(yīng)用系統(tǒng)設(shè)計(jì)中，應(yīng)充分考慮對其監(jiān)控的手段，防止非授權(quán)等行為的發(fā)生，在系統(tǒng)運(yùn)行時(shí)，還應(yīng)加強(qiáng)運(yùn)行監(jiān)督管理。某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計(jì)、建設(shè)的框架的內(nèi)容由局信息安全管理中心解釋,并根據(jù)發(fā)展進(jìn)程作適當(dāng)調(diào)整和修改。9.2安全等級的確定在授權(quán)系統(tǒng)的安全設(shè)計(jì)和建設(shè)時(shí)，建議根據(jù)安全需求分析，需要保護(hù)的客體的重要程度，確定如下安全保護(hù)等級：第一級（用戶自主保護(hù)級）；這是當(dāng)前大多數(shù)