某石油管理局信息應(yīng)用授權(quán)系統(tǒng)的設(shè)計(doc 14頁).doc

某某石油管理局企業(yè)標準授權(quán)系統(tǒng)的設(shè)計、建設(shè)規(guī)范1 適用范圍某某油田全轄2 規(guī)范解釋權(quán)本規(guī)范由某某油田石油管理局信息中心解釋。3需求背景隨著信息系統(tǒng)的不斷發(fā)展和廣泛應(yīng)用，企業(yè)內(nèi)部和外部的信息數(shù)據(jù)不斷膨脹。企業(yè)雖然上了先進的信息系統(tǒng)，但信息數(shù)據(jù)是呈離散式分布的，缺乏相應(yīng)的整合與管理。為了解決上述難題，建立一個統(tǒng)一的信息獲取窗口或門戶，從而提高整體的數(shù)據(jù)獲取效率。而用戶認證在確認了合法用戶的身份后，如不能賦予用戶明確的權(quán)限，亦將大大降低控制的細度。這就需要認證授權(quán)系統(tǒng)。操作系統(tǒng)和數(shù)據(jù)庫都有授權(quán)控制功能。整個系統(tǒng)存在著多帳戶、多密碼、多次登錄問題，因此需要在信息網(wǎng)中采用集中的授權(quán)訪問控制。4授權(quán)系統(tǒng)的相關(guān)術(shù)語4.1企業(yè)信息資源授權(quán)系統(tǒng)(Enterprise Information Resource Authorization System,EIRAS)是一套對于企業(yè)信息資源（其中包括內(nèi)部文檔、關(guān)鍵性數(shù)據(jù)、關(guān)鍵性應(yīng)用程序）進行管理并授權(quán)處理的應(yīng)用系統(tǒng)。在CA技術(shù)基礎(chǔ)上的面向角色的資源權(quán)限分配和統(tǒng)一的身份認證訪問控制系統(tǒng)，是基于用戶證書和角色的認證、授權(quán)系統(tǒng)。該系統(tǒng)通過對資源（應(yīng)用程序模塊）的劃分，以及角色（具有不同訪問權(quán)限的用戶集合）的定義，把資源的權(quán)限賦予其對應(yīng)的角色來實現(xiàn)用戶對資源的訪問和控制。既解決了信息系統(tǒng)本身的安全問題，又避免了使用起來的不便（如各種應(yīng)用系統(tǒng)過多而難以記憶的用戶名和口令等）。4.2強制訪問控制（mandatory access control）根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權(quán)限,限制主體訪問客體的方法。定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。4.3敏感標記 （sensitivity label）表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算基中把敏感標記作為強制訪問控制決策的依據(jù)。應(yīng)維護與主體及其控制的存儲客體（例如：進程、文件、段、設(shè)備）相關(guān)的敏感標記。這些標記是實施強制訪問的基礎(chǔ)。為了輸入未加安全標記的數(shù)據(jù)，系統(tǒng)向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由系統(tǒng)審計。4.4安全策略（security policy）有關(guān)管理、保護和發(fā)布敏感信息的法律、規(guī)定和實施細則。4.5身份鑒別 計算機信息系統(tǒng)初始執(zhí)行時，首先要求用戶標識自己的身份，并使用保護機制（例如：口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。還具備將身份標識與該用戶所有可審計行為相關(guān)聯(lián)的能力。4.6數(shù)據(jù)完整性 計算機信息系統(tǒng)通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。4.7客體重用 在計算機信息系統(tǒng)的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權(quán)。當主體獲得對一個已被釋放的客體的訪問權(quán)時，當前主體不能獲得原主體活動所產(chǎn)生的任何信息。4.8審計 計算機信息系統(tǒng)能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。系統(tǒng)能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含的來源（例如：終端標識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于系統(tǒng)獨立分辨的審計記錄。4.9計算機信息系統(tǒng)可信計算基 （trusted computing base of computer information system） 計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。4.10客體（object） 信息的載體。4.11主體（subject） 引起信息在客體之間流動的人、進程或設(shè)備等。5授權(quán)的類別劃分清晰的權(quán)限界定、確保系統(tǒng)的安全與完整性。5.1對數(shù)據(jù)的授權(quán)包括了對文檔的授權(quán)（系統(tǒng)內(nèi)的所有表單文檔，建立者可以對其建立的文檔授權(quán)于某一用戶、部門、群組擁有瀏覽、修改、刪除等不同的權(quán)限）、對網(wǎng)頁訪問權(quán)限（系統(tǒng)管理員可以設(shè)置每一個用戶擁有訪問相應(yīng)模塊的網(wǎng)頁權(quán)限；系統(tǒng)管理員可以對某一部門，某一群組擁有授予訪問權(quán)限；靈活的定義角色，讓成為這一角色的用戶或部門擁有相同的權(quán)限；超時登陸需要重新進行身份認證登陸。）、還有對于各類其他的需要安全授權(quán)的數(shù)據(jù)授權(quán)。5.2對進程的授權(quán)對于當前的計算機系統(tǒng)中的進程必須根據(jù)它所被授予的權(quán)限，進行授權(quán)處理。使它的操作范圍處于受控范圍內(nèi)。5.3對設(shè)備的授權(quán)對于網(wǎng)絡(luò)系統(tǒng)中各種可以通過遠程獲取或操作的設(shè)備需要進行授權(quán)的控制。沒有訪問權(quán)限的用戶不得訪問！有訪問權(quán)限的但是沒有修改權(quán)限的也必須分別對待。6安全級別的劃分第一級：用戶自主保護級通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。第二級：系統(tǒng)審計保護級與用戶自主保護級相比，實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負責。 第三級：安全標記保護級系統(tǒng)具有系統(tǒng)審計保護級所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤。 第四級：結(jié)構(gòu)化保護級系統(tǒng)建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。系統(tǒng)必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素。信息系統(tǒng)的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。 第五級：訪問驗證保護級系統(tǒng)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，系統(tǒng)在其構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼；在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴充審計機制，當發(fā)生與安全相關(guān)的事件時發(fā)出信號；提供系統(tǒng)恢復(fù)機制。系統(tǒng)具有很高的抗?jié)B透能力。7安全授權(quán)機制的得以實現(xiàn)的技術(shù)多重安全、保密機制隨著大規(guī)模的推廣應(yīng)用，平臺必須擁有靈活、可靠的安全機制，以確保信息存儲及傳遞過程中的安全性、保密性。必須擁有靈活、可靠的安全機制，其內(nèi)置數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器及WEB服務(wù)器可分別安裝在不同的服務(wù)器上，實現(xiàn)物理上的隔離，又可實現(xiàn)整個系統(tǒng)的無縫集成。同時它采用了超時登陸以及對公文及公文傳遞SSL加密等先進技術(shù)，保證了用戶的合法性和唯一性，同時可以保證系統(tǒng)的安全、可靠。充分考慮用戶需求，采用業(yè)界標準的密鑰交換技術(shù)，提供手工、預(yù)共享、數(shù)字證書等靈活豐富的密鑰配置方法和多種加密、認證算法，幫助用戶低成本的建立符合國際標準的安全網(wǎng)絡(luò)。就網(wǎng)上購物的過程來說，目前常用的是SSL（安全通道協(xié)議）的方式，即就某些特定的文件或文件目錄需要訪問者提供客戶端證書；除非擁有電子證書及相應(yīng)的私鑰，一個訪問者的瀏覽器無法獲得這些文件和文件目錄。SSL的方式體現(xiàn)在瀏覽器的訪問欄上，應(yīng)該是Https而不是普通的Http。通過網(wǎng)站驗證后的訪問者，可以被映射為活動目錄中的用戶或者用戶組，實現(xiàn)合作伙伴之間外部網(wǎng)（Extranet）的應(yīng)用。電子證書都是基于X.509協(xié)議的，保證了與其他系統(tǒng)的互操作性。國際標準組織CCITT建議以X.509作為X.500目錄檢索的一個組成部分，提供安全目錄檢索服務(wù)。X.500是CCITT建議的，用于分布網(wǎng)絡(luò)中存儲用戶信息的數(shù)據(jù)庫的目錄檢索服務(wù)的協(xié)議標準。X.509是采用公鑰基礎(chǔ)結(jié)構(gòu)實施的認證協(xié)議，對通信雙方按所用密碼體制規(guī)定了幾種認證識別方法，它發(fā)表于1988年，經(jīng)多次修改，1993年又公布了新的版本。X.509對所用具體加密、數(shù)字簽名、公用密鑰以及Hash算法未作限制，將會有廣泛的應(yīng)用，已納入PEM(PrivacyEnhancedMail)系統(tǒng)中。電子證書的申請過程也可以由管理員設(shè)定的批處理方法來進行，用戶還可以通過LDAP來查詢CA中通訊對方的公鑰。公用密鑰基本體系通常簡稱為PKI（PublicKeyInfrastructure），是一個數(shù)字認證、證書授權(quán)和其他注冊授權(quán)系統(tǒng)。使用公用密鑰密碼檢驗及檢證電子商務(wù)中所涉及的每個機構(gòu)的有效性。公用密鑰基本體系的標準仍處于發(fā)展階段，盡管它們作為電子商務(wù)的一個必要組成部分已得到廣泛使用。其核心是加密服務(wù)、證書管理服務(wù)，為應(yīng)用程序的開發(fā)提供了加密API接口（CryptoAPI）?；谧C書的過程所使用的標準證書格式是X.509V3，X.509證書包括有關(guān)證書擁有的個人或?qū)嶓w的信息及證書頒發(fā)機構(gòu)的可選信息。實體信息包括實體名稱、公用密鑰、公用密鑰運算法和可選的唯一主體ID。版本3證書的標準制定了以下規(guī)定：密鑰標識符、密鑰用法、證書策略、替換名稱和屬性、證書路徑約束以及對證書撤消原因和列表分區(qū)。8某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計、建設(shè)指南該指南是指對正在開展的以BS結(jié)構(gòu)為特點的應(yīng)用了CA認證服務(wù)等門戶技術(shù)的新的應(yīng)用體系結(jié)構(gòu)的授權(quán)系統(tǒng)的設(shè)計、建設(shè)的規(guī)定。新的系統(tǒng)應(yīng)充分保護原有系統(tǒng)的投資，在不影響正常業(yè)務(wù)的前提下使原有分散的授權(quán)通過分階段逐步改造的方式或升級換代實現(xiàn)授權(quán)的集中統(tǒng)一。局信息安全指導(dǎo)委員會是某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計、建設(shè)的領(lǐng)導(dǎo)機構(gòu),由所屬的局信息安全管理中心具體實施。1) 局所屬二級和以下級別的單位的安全管理機構(gòu)向上級機構(gòu)負責,在局信息安全管理中心的領(lǐng)導(dǎo)下工作。2) 同級的安全管理機構(gòu)應(yīng)包含有掌握本單位各個信息系統(tǒng)管理、應(yīng)用、業(yè)務(wù)的專業(yè)知識的人員。3) 對委托進行開發(fā)、設(shè)計、建設(shè)的產(chǎn)品供應(yīng)商、開發(fā)商、集成商等須接受相應(yīng)的安全管理機構(gòu)領(lǐng)導(dǎo)，并遵照有關(guān)安全規(guī)范開展工作。9某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計、建設(shè)的框架9.1類別基于應(yīng)用現(xiàn)狀,初步將應(yīng)用劃分為以下類別:1) 黨政類, 有嚴格的保密要求，有關(guān)文件是否上網(wǎng)具體由黨委保密辦決定。2) 財務(wù)類, 有保密、抗毀要求。3) 油田生產(chǎn)專業(yè)類,關(guān)系到油田生產(chǎn)、運營決策，很重要，高可用性，有一定保密要求，4) 資金流、物流、信息流三流合一應(yīng)用（供應(yīng)處的電子商務(wù)），要求高可用性，保密。5) 信息安全支撐性基礎(chǔ)設(shè)施類（如：CA，目錄服務(wù)器，入侵監(jiān)測等）。6) 其他類。對以上的黨政類、財務(wù)類、油田生產(chǎn)專業(yè)類、資金流、物流、信息流三流合一應(yīng)用類這四大類屬于關(guān)鍵應(yīng)用類，在以后的應(yīng)用開發(fā)和改造時，需根據(jù)他們所受到的安全威脅、可能產(chǎn)生的風險進行分析，制定相應(yīng)的安全目標，對涉及每個應(yīng)用類內(nèi)的客體，可根據(jù)需要保護的程度，劃分不同的子類或保護等級，受保護程度要求高的需設(shè)置敏感性標記，并規(guī)定與之相關(guān)聯(lián)的主體或主體等級，對主體規(guī)定嚴格的鑒別機制，并規(guī)定相適應(yīng)的自主訪問控制或強制訪問控制策略。在設(shè)計敏感性標記的過程中,規(guī)定與之相關(guān)聯(lián)的主體或主體等級的工作在局信息安全管理中心領(lǐng)導(dǎo)下統(tǒng)一實施,涉及各下屬機構(gòu)的應(yīng)用的相應(yīng)工作須在局信息安全管理中心的指導(dǎo)下針對本單位的具體實際詳細設(shè)計,在設(shè)計中要確?？傮w的一致性和完整性。對于類別間的存在的信息交換應(yīng)根據(jù)可能受到的安全風險(包括通信鏈路上的安全風險)提供相應(yīng)的授權(quán)和保護措施。油田的信息基礎(chǔ)設(shè)施應(yīng)能保障授權(quán)系統(tǒng)的實施,在受設(shè)備、基礎(chǔ)軟件、支撐軟件的限制的情況下盡可能的實施改造加固措施，尤其是在應(yīng)用開發(fā)、管理制度、人員安全培訓(xùn)方面采取強化措施，從總體上保障安全目標的實現(xiàn)。在新的應(yīng)用設(shè)計中應(yīng)根據(jù)用戶角色的需要授權(quán)，根據(jù)最小授權(quán)原則，采取各種措施限制和避免因設(shè)備、基礎(chǔ)軟件、支撐軟件的漏洞和脆弱性而導(dǎo)致可能的非授權(quán)訪問。對于因技術(shù)設(shè)備的限制或某些工作特點而造成的某些角色權(quán)限過大，如系統(tǒng)管理員，系統(tǒng)維護工作的人員等，應(yīng)進行安全培訓(xùn)教育，加強管理，根據(jù)受保護客體的敏感程度，在應(yīng)用開發(fā)設(shè)計中強化審計跟蹤。對于涉及安全保護等級要求高的關(guān)鍵應(yīng)用的某些主體，尤其是對進口的設(shè)備、基礎(chǔ)軟件、支撐軟件等，因條件限制無法確定其可信計算基的安全性，要充分評估由此可能導(dǎo)致的安全風險，在應(yīng)用效益要求與安全風險之間做出審慎的平衡后，有條件的加以使用，在應(yīng)用系統(tǒng)設(shè)計中，應(yīng)充分考慮對其監(jiān)控的手段，防止非授權(quán)等行為的發(fā)生，在系統(tǒng)運行時，還應(yīng)加強運行監(jiān)督管理。某某油田信息應(yīng)用授權(quán)系統(tǒng)設(shè)計、建設(shè)的框架的內(nèi)容由局信息安全管理中心解釋,并根據(jù)發(fā)展進程作適當調(diào)整和修改。9.2安全等級的確定在授權(quán)系統(tǒng)的安全設(shè)計和建設(shè)時，建議根據(jù)安全需求分析，需要保護的客體的重要程度，確定如下安全保護等級：第一級（用戶自主保護級）；這是當前大多數(shù)