某石油管理局信息应用授权系统的设计

1、Evaluation Warning: The document was created with Spire.Doc for .NET.某某石油管理局企业标准授权系统的设计、建设规范1 适用范范围某某油田全全辖2 规范解解释权本规范由某某某油田田石油管管理局信信息中心心解释。3需求背景景随着信息系系统的不不断发展展和广泛泛应用，企企业内部部和外部部的信息息数据不不断膨胀胀。企业业虽然上上了先进进的信息息系统，但但信息数数据是呈呈离散式式分布的的，缺乏乏相应的的整合与与管理。为了解解决上述述难题，建建立一个个统一的的信息获获取窗窗口或或门户户，从从而提高高整体的的数据获获取效率率。而用户户认证

2、在在确认了了合法用用户的身身份后，如如不能赋赋予用户户明确的的权限，亦亦将大大大降低控控制的细细度。这这就需要要认证授授权系统统。操作作系统和和数据库库都有授授权控制制功能。整整个系统统存在着着多帐户户、多密密码、多多次登录录问题，因因此需要要在信息息网中采采用集中中的授权权访问控控制。4授权系统统的相关关术语4.1企业业信息资资源授权权系统(Entterpprisse IInfoormaatioon RResoourcce AAuthhoriizattionn Syysteem,EEIRAAS)是一套对于于企业信信息资源源（其中中包括内内部文档档、关键键性数据据、关键键性应用用程序）进进行管

3、理理并授权权处理的的应用系系统。在在CA技技术基础础上的面面向角色色的资源源权限分分配和统统一的身身份认证证访问控控制系统统，是基基于用户户证书和和角色的的认证、授授权系统统。该系系统通过过对资源源（应用用程序模模块）的的划分，以以及角色色（具有有不同访访问权限限的用户户集合）的的定义，把把资源的的权限赋赋予其对对应的角角色来实实现用户户对资源源的访问问和控制制。既解解决了信信息系统统本身的的安全问问题，又又避免了了使用起起来的不不便（如如各种应应用系统统过多而而难以记记忆的用用户名和和口令等等）。4.2强制制访问控控制（manndattoryy acccesss cconttroll）根据客

4、体所所包含信信息的敏敏感性以以及主体体访问此此类敏感感信息的的权限,限制主主体访问问客体的的方法。定定义和控控制系统统中命名名用户对对命名客客体的访访问。实实施机制制（例如如：访问问控制表表）允许许命名用用户以用用户和（或或）用户户组的身身份规定定并控制制客体的的共享；阻止非非授权用用户读取取敏感信信息。4.3敏感感标记 （sennsittiviity labbel）表示客体安安全级别别并描述述客体数数据敏感感性的一一组信息息，可信信计算基基中把敏敏感标记记作为强强制访问问控制决决策的依依据。应应维护与与主体及及其控制制的存储储客体（例例如：进进程、文文件、段段、设备备）相关关的敏感感标记。这

5、这些标记记是实施施强制访访问的基基础。为为了输入入未加安安全标记记的数据据，系统统向授权权用户要要求并接接受这些些数据的的安全级级别，且且可由系系统审计计。4.4安全全策略（seccuriity pollicyy）有关管理、保保护和发发布敏感感信息的的法律、规规定和实实施细则则。4.5身份份鉴别 计算机信信息系统统初始执执行时，首首先要求求用户标标识自己己的身份份，并使使用保护护机制（例例如：口口令）来来鉴别用用户的身身份，阻阻止非授授权用户户访问用用户身份份鉴别数数据。还还具备将将身份标标识与该该用户所所有可审审计行为为相关联联的能力力。4.6数据据完整性性 计算机信息息系统通通过自主主完整

6、性性策略，阻阻止非授授权用户户修改或或破坏敏敏感信息息。4.7客体体重用 在计算机信信息系统统的空闲闲存储客客体空间间中，对对客体初初始指定定、分配配或再分分配一个个主体之之前，撤撤销该客客体所含含信息的的所有授授权。当当主体获获得对一一个已被被释放的的客体的的访问权权时，当当前主体体不能获获得原主主体活动动所产生生的任何何信息。4.8审计计 计算机信信息系统统能创建建和维护护受保护护客体的的访问审审计跟踪踪记录，并并能阻止止非授权权的用户户对它访访问或破破坏。系系统能记记录下述述事件：使用身身份鉴别别机制；将客体体引入用用户地址址空间（例例如：打打开文件件、程序序初始化化）；删删除客体体；由

7、操操作员、系系统管理理员或（和和）系统统安全管管理员实实施的动动作，以以及其他他与系统统安全有有关的事事件。对对于每一一事件，其其审计记记录包括括：事件件的日期期和时间间、用户户、事件件类型、事事件是否否成功。对对于身份份鉴别事事件，审审计记录录包含的的来源（例例如：终终端标识识符）；对于客客体引入入用户地地址空间间的事件件及客体体删除事事件，审审计记录录包含客客体名。对对不能由由计算机机信息系系统可信信计算基基独立分分辨的审审计事件件，审计计机制提提供审计计记录接接口，可可由授权权主体调调用。这这些审计计记录区区别于系系统独立立分辨的的审计记记录。4.9计算算机信息息系统可可信计算算基 （t

8、ruusteed ccompputiing basse oof ccompputeer iinfoormaatioon ssysttem） 计算机系系统内保保护装置置的总体体，包括括硬件、固固件、软软件和负负责执行行安全策策略的组组合体。它它建立了了一个基基本的保保护环境境并提供供一个可可信计算算系统所所要求的的附加用用户服务务。4.10客客体（objjectt） 信息的的载体。4.11主主体（subbjecct） 引起信息息在客体体之间流流动的人人、进程程或设备备等。5授权的类类别划分分清晰的权限限界定、确确保系统统的安全全与完整整性。5.1对数数据的授授权包括了对文文档的授授权（系系统内的

9、的所有表表单文档档，建立立者可以以对其建建立的文文档授权权于某一一用户、部部门、群群组拥有有浏览、修修改、删删除等不不同的权权限）、对对网页访访问权限限（系统统管理员员可以设设置每一一个用户户拥有访访问相应应模块的的网页权权限；系系统管理理员可以以对某一一部门，某某一群组组拥有授授予访问问权限；灵活的的定义角角色，让让成为这这一角色色的用户户或部门门拥有相相同的权权限；超超时登陆陆需要重重新进行行身份认认证登陆陆。）、还还有对于于各类其其他的需需要安全全授权的的数据授授权。5.2对进进程的授授权对于当前的的计算机机系统中中的进程程必须根根据它所所被授予予的权限限，进行行授权处处理。使使它的操操

10、作范围围处于受受控范围围内。5.3对设设备的授授权对于网络系系统中各各种可以以通过远远程获取取或操作作的设备备需要进进行授权权的控制制。没有有访问权权限的用用户不得得访问！有访问问权限的的但是没没有修改改权限的的也必须须分别对对待。6安全级别别的划分分第一级：用用户自主主保护级级通过隔离用用户与数数据，使使用户具具备自主主安全保保护的能能力。它它具有多多种形式式的控制制能力，对对用户实实施访问问控制，即即为用户户提供可可行的手手段，保保护用户户和用户户组信息息，避免免其他用用户对数数据的非非法读写写与破坏坏。第二二级：系系统审计计保护级级与用户自主主保护级级相比，实实施了粒粒度更细细的自主主访

11、问控控制，它它通过登登录规程程、审计计安全性性相关事事件和隔隔离资源源，使用用户对自自己的行行为负责责。 第第三级：安全标标记保护护级系统具有系系统审计计保护级级所有功功能。此此外，还还提供有有关安全全策略模模型、数数据标记记以及主主体对客客体强制制访问控控制的非非形式化化描述；具有准准确地标标记输出出信息的的能力；消除通通过测试试发现的的任何错错误。 第四四级：结结构化保保护级系统建立于于一个明明确定义义的形式式化安全全策略模模型之上上，它要要求将第第三级系系统中的的自主和和强制访访问控制制扩展到到所有主主体与客客体。此此外，还还要考虑虑隐蔽通通道。系系统必须须结构化化为关键键保护元元素和非

12、非关键保保护元素素。信息息系统的的接口也也必须明明确定义义，使其其设计与与实现能能经受更更充分的的测试和和更完整整的复审审。加强强了鉴别别机制；支持系系统管理理员和操操作员的的职能；提供可可信设施施管理；增强了了配置管管理控制制。系统统具有相相当的抗抗渗透能能力。 第五级级：访问问验证保保护级系统满足访访问监控控器需求求。访问问监控器器仲裁主主体对客客体的全全部访问问。访问问监控器器本身是是抗篡改改的；必必须足够够小，能能够分析析和测试试。为了了满足访访问监控控器需求求，系统统在其构构造时，排排除那些些对实施施安全策策略来说说并非必必要的代代码；在在设计和和实现时时，从系系统工程程角度将将其复

13、杂杂性降低低到最小小程度。支支持安全全管理员员职能；扩充审审计机制制，当发发生与安安全相关关的事件件时发出出信号；提供系系统恢复复机制。系系统具有有很高的的抗渗透透能力。7安全授权权机制的的得以实实现的技技术多重安全、保保密机制制随着大规模模的推广广应用，平平台必须须拥有灵灵活、可可靠的安安全机制制，以确确保信息息存储及及传递过过程中的的安全性性、保密密性。必必须拥有有灵活、可可靠的安安全机制制，其内内置数据据库服务务器、邮邮件服务务器及WWEB服服务器可可分别安安装在不不同的服服务器上上，实现现物理上上的隔离离，又可可实现整整个系统统的无缝缝集成。同同时它采采用了超超时登陆陆以及对对公文及及

14、公文传传递SSSL加密密等先进进技术，保保证了用用户的合合法性和和唯一性性，同时时可以保保证系统统的安全全、可靠靠。充分分考虑用用户需求求，采用用业界标标准的密密钥交换换技术，提提供手工工、预共共享、数数字证书书等灵活活丰富的的密钥配配置方法法和多种种加密、认认证算法法，帮助助用户低低成本的的建立符符合国际际标准的的安全网网络。就网上购物物的过程程来说，目前常常用的是是SSLL（安全全通道协协议）的的方式，即就某某些特定定的文件件或文件件目录需需要访问问者提供供客户端端证书；除非非拥有电电子证书书及相应应的私钥钥，一一个访问问者的浏浏览器无无法获得得这些文文件和文文件目录录。SSSL的的方式体

15、体现在浏浏览器的的访问栏栏上，应该是是Htttps而而不是普普通的HHttpp。通通过网站站验证后后的访问问者，可以被被映射为为活动目目录中的的用户或或者用户户组，实现合合作伙伴伴之间外外部网（EExtrraneet）的的应用。电子证书都都是基于于X.5509协协议的，保证了了与其他他系统的的互操作作性。国际标标准组织织CCIITT建建议以XX.5009作为为X.5500目目录检索索的一个个组成部部分，提供安安全目录录检索服服务。X.5500是是CCIITT建建议的，用于分分布网络络中存储储用户信信息的数数据库的的目录检检索服务务的协议议标准。X.5509是是采用公公钥基础础结构实实施的认认证

16、协议议，对对通信双双方按所所用密码码体制规规定了几几种认证证识别方方法，它发表表于19988年年，经经多次修修改，19993年又又公布了了新的版版本。X.5509对对所用具具体加密密、数数字签名名、公公用密钥钥以及HHashh算法未未作限制制，将将会有广广泛的应应用，已已纳入PPEM(PriivaccyEEnhaanceedMMaill)系统统中。电子证书的的申请过过程也可可以由管管理员设设定的批批处理方方法来进进行，用户还还可以通通过LDDAP来来查询CCA中通通讯对方方的公钥钥。公用密钥基基本体系系通常常简称为为PKII（PuubliicKKeyInffrasstruuctuure），是一

17、个个数字认认证、证书授授权和其其他注册册授权系系统。使用公公用密钥钥密码检检验及检检证电子子商务中中所涉及及的每个个机构的的有效性性。公公用密钥钥基本体体系的标标准仍处处于发展展阶段，尽管它它们作为为电子商商务的一一个必要要组成部部分已得得到广泛泛使用。其核心心是加密密服务、证书管管理服务务，为为应用程程序的开开发提供供了加密密APII接口（CCrypptoAAPI）。基于证书的的过程所所使用的的标准证证书格式式是XX.5009VV3，X.5509证证书包括括有关证证书拥有有的个人人或实体体的信息息及证书书颁发机机构的可可选信息息。实实体信息息包括实实体名称称、公公用密钥钥、公公用密钥钥运算法

18、法和可选选的唯一一主体ID。版本3证证书的标标准制定定了以下下规定：密钥钥标识符符、密密钥用法法、证证书策略略、替替换名称称和属性性、证证书路径径约束以以及对证证书撤消消原因和和列表分分区。8某某油田田信息应应用授权权系统设设计、建建设指南南该指南是指指对正在在开展的的以BSS结构为为特点的的应用了了CA认认证服务务等门户户技术的的新的应应用体系系结构的的授权系系统的设设计、建建设的规规定。新新的系统统应充分分保护原原有系统统的投资资，在不不影响正正常业务务的前提提下使原原有分散散的授权权通过分分阶段逐逐步改造造的方式式或升级级换代实实现授权权的集中中统一。局信息安全全指导委委员会是是某某油田

19、田信息应应用授权权系统设设计、建建设的领领导机构构,由所所属的局局信息安安全管理理中心具具体实施施。局所属二级级和以下下级别的的单位的的安全管管理机构构向上级级机构负负责,在在局信息息安全管管理中心心的领导导下工作作。同级的安全全管理机机构应包包含有掌掌握本单单位各个个信息系系统管理理、应用用、业务务的专业业知识的的人员。对委托进行行开发、设设计、建建设的产产品供应应商、开开发商、集集成商等等须接受受相应的的安全管管理机构构领导，并并遵照有有关安全全规范开开展工作作。9某某油田田信息应应用授权权系统设设计、建建设的框框架9.1类别别基于应用现现状,初初步将应应用划分分为以下下类别:党政类, 有

20、严格格的保密密要求，有有关文件件是否上上网具体体由党委委保密办办决定。财务类, 有保密密、抗毁毁要求。油田生产专专业类,关系到到油田生生产、运运营决策策，很重重要，高高可用性性，有一一定保密密要求，资金流、物物流、信信息流三三流合一一应用（供供应处的的电子商商务），要要求高可可用性，保保密。信息安全支支撑性基基础设施施类（如如：CAA，目录录服务器器，入侵侵监测等等）。其他类。对以上的党党政类、财财务类、油油田生产产专业类类、资金金流、物物流、信信息流三三流合一一应用类类这四大大类属于于关键应应用类，在在以后的的应用开开发和改改造时，需需根据他他们所受受到的安安全威胁胁、可能能产生的的风险进进

21、行分析析，制定定相应的的安全目目标，对对涉及每每个应用用类内的的客体，可可根据需需要保护护的程度度，划分分不同的的子类或或保护等等级，受受保护程程度要求求高的需需设置敏敏感性标标记，并并规定与与之相关关联的主主体或主主体等级级，对主主体规定定严格的的鉴别机机制，并并规定相相适应的的自主访访问控制制或强制访访问控制制策略。在在设计敏敏感性标标记的过过程中,规定与与之相关关联的主主体或主主体等级级的工作作在局信信息安全全管理中中心领导导下统一一实施,涉及各各下属机机构的应应用的相相应工作作须在局局信息安安全管理理中心的的指导下下针对本本单位的的具体实实际详细细设计,在设计计中要确确保总体体的一致致

22、性和完完整性。对于类别间间的存在在的信息息交换应应根据可可能受到到的安全全风险(包括通通信链路路上的安安全风险险)提供供相应的的授权和和保护措措施。油田的信息息基础设设施应能能保障授授权系统统的实施施,在受受设备、基基础软件件、支撑撑软件的的限制的的情况下下尽可能能的实施施改造加加固措施施，尤其其是在应应用开发发、管理理制度、人人员安全全培训方方面采取取强化措措施，从从总体上上保障安安全目标标的实现现。在新新的应用用设计中中应根据据用户角角色的需需要授权权，根据据最小授授权原则则，采取取各种措措施限制制和避免免因设备备、基础础软件、支支撑软件件的漏洞洞和脆弱弱性而导导致可能能的非授授权访问问。

23、对于于因技术术设备的的限制或或某些工工作特点点而造成成的某些些角色权权限过大大，如系系统管理理员，系系统维护护工作的的人员等等，应进进行安全全培训教教育，加加强管理理，根据据受保护护客体的的敏感程程度，在在应用开开发设计计中强化化审计跟跟踪。对对于涉及及安全保保护等级级要求高高的关键键应用的的某些主主体，尤尤其是对对进口的的设备、基基础软件件、支撑撑软件等等，因条条件限制制无法确确定其可可信计算算基的安安全性，要要充分评评估由此此可能导导致的安安全风险险，在应应用效益益要求与与安全风风险之间间做出审审慎的平平衡后，有有条件的的加以使使用，在在应用系系统设计计中，应应充分考考虑对其其监控的的手段，防防止非授授权等行行为的发发生，在在系统运运行时，还还应加强强运行监监督管理理。某某油田信信息应用用授权系系统设计计、建设设的框架架的内容容由局信信息安全全管理中中心解释释,并根根据发展展进程作作适当调调整和修修改。9.2安全全等级的的确定在授权系统统的安全全设计和和建设时时，建议议根据安安全需求求分析，需需要保护