石油管理局信息应用授权系统的设计样本.doc

资源描述

某某石油管理局企业标准授权系统设计、建设规范 1 适用范围某某油田全辖 2 规范解释权本规范由某某油田石油管理局信息中心解释。 3需求背景伴随信息系统不停发展和广泛应用，企业内部和外部信息数据不停膨胀。企业即使上了优异信息系统，但信息数据是呈离散式分布，缺乏对应整合和管理。为了处理上述难题，建立一个统一信息获取"窗口"或"门户"，从而提升整体数据获取效率。而用户认证在确定了正当用户身份后，如不能给予用户明确权限，亦将大大降低控制细度。这就需要认证授权系统。操作系统和数据库全部有授权控制功效。整个系统存在着多帐户、多密码、数次登录问题，所以需要在信息网中采取集中授权访问控制。 4授权系统相关术语 4.1企业信息资源授权系统(Enterprise Information Resource Authorization System,EIRAS) 是一套对于企业信息资源（其中包含内部文档、关键性数据、关键性应用程序）进行管理并授权处理应用系统。在CA技术基础上面向角色资源权限分配和统一身份认证访问控制系统，是基于用户证书和角色认证、授权系统。该系统经过对资源（应用程序模块）划分，和角色（含有不一样访问权限用户集合）定义，把资源权限给予其对应角色来实现用户对资源访问和控制。既处理了信息系统本身安全问题，又避免了使用起来不便（如多种应用系统过多而难以记忆用户名和口令等）。 4.2强制访问控制（mandatory access control）依据客体所包含信息敏感性和主体访问这类敏感信息权限,限制主体访问客体方法。定义和控制系统中命名用户对命名客体访问。实施机制（比如：访问控制表）许可命名用户以用户和（或）用户组身份要求并控制客体共享；阻止非授权用户读取敏感信息。 4.3敏感标识（sensitivity label）表示客体安全等级并描述客体数据敏感性一组信息，可信计算基中把敏感标识作为强制访问控制决议依据。应维护和主体及其控制存放客体（比如：进程、文件、段、设备）相关敏感标识。这些标识是实施强制访问基础。为了输入未加安全标识数据，系统向授权用户要求并接收这些数据安全等级，且可由系统审计。 4.4安全策略（security policy）相关管理、保护和公布敏感信息法律、要求和实施细则。 4.5身份判别计算机信息系统初始实施时，首先要求用户标识自己身份，并使用保护机制（比如：口令）来判别用户身份，阻止非授权用户访问用户身份判别数据。还含有将身份标识和该用户全部可审计行为相关联能力。 4.6数据完整性计算机信息系统经过自主完整性策略，阻止非授权用户修改或破坏敏感信息。 4.7客体重用在计算机信息系统空闲存放客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息全部授权。当主体取得对一个已被释放客体访问权时，目前主体不能取得原主体活动所产生任何信息。 4.8审计计算机信息系统能创建和维护受保护客体访问审计跟踪统计，并能阻止非授权用户对它访问或破坏。系统能统计下述事件：使用身份判别机制；将客体引入用户地址空间（比如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施动作，和其它和系统安全相关事件。对于每一事件，其审计统计包含：事件日期和时间、用户、事件类型、事件是否成功。对于身份判别事件，审计统计包含起源（比如：终端标识符）；对于客体引入用户地址空间事件及客体删除事件，审计统计包含客体名。对不能由计算机信息系统可信计算基独立分辨审计事件，审计机制提供审计统计接口，可由授权主体调用。这些审计统计区分于系统独立分辨审计统计。 4.9计算机信息系统可信计算基（trusted computing base of computer information system）计算机系统内保护装置总体，包含硬件、固件、软件和负责实施安全策略组合体。它建立了一个基础保护环境并提供一个可信计算系统所要求附加用户服务。 4.10客体（object）信息载体。 4.11主体（subject）引发信息在客体之间流感人、进程或设备等。 5授权类别划分清楚权限界定、确保系统安全和完整性。 5.1对数据授权包含了对文档授权（系统内全部表单文档，建立者能够对其建立文档授权于某一用户、部门、群组拥有浏览、修改、删除等不一样权限）、对网页访问权限（系统管理员能够设置每一个用户拥有访问对应模块网页权限；系统管理员能够对某一部门，某一群组拥有授予访问权限；灵活定义角色，让成为这一角色用户或部门拥有相同权限；超时登陆需要重新进行身份认证登陆。）、还有对于各类其它需要安全授权数据授权。 5.2对进程授权对于目前计算机系统中进程必需依据它所被授予权限，进行授权处理。使它操作范围处于受控范围内。 5.3对设备授权对于网络系统中多种能够经过远程获取或操作设备需要进行授权控制。没有访问权限用户不得访问！有访问权限不过没有修改权限也必需分别对待。 6安全等级划分第一级：用户自主保护级经过隔离用户和数据，使用户含有自主安全保护能力。它含有多个形式控制能力，对用户实施访问控制，即为用户提供可行手段，保护用户和用户组信息，避免其它用户对数据非法读写和破坏。第二级：系统审计保护级和用户自主保护级相比，实施了粒度更细自主访问控制，它经过登录规程、审计安全性相关事件和隔离资源，使用户对自己行为负责。第三级：安全标识保护级系统含有系统审计保护级全部功效。另外，还提供相关安全策略模型、数据标识和主体对客体强制访问控制非形式化描述；含有正确地标识输出信息能力；消除经过测试发觉任何错误。第四级：结构化保护级系统建立于一个明确定义形式化安全策略模型之上，它要求将第三级系统中自主和强制访问控制扩展到全部主体和客体。另外，还要考虑隐蔽通道。系统必需结构化为关键保护元素和非关键保护元素。信息系统接口也必需明确定义，使其设计和实现能经受更充足测试和更完整复审。加强了判别机制；支持系统管理员和操作员职能；提供可信设施管理；增强了配置管理控制。系统含有相当抗渗透能力。第五级：访问验证保护级系统满足访问监控器需求。访问监控器仲裁主体对客体全部访问。访问监控器本身是抗篡改；必需足够小，能够分析和测试。为了满足访问监控器需求，系统在其结构时，排除那些对实施安全策略来说并非必需代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生和安全相关事件时发出信号；提供系统恢复机制。系统含有很高抗渗透能力。 7安全授权机制得以实现技术多重安全、保密机制伴随大规模推广应用，平台必需拥有灵活、可靠安全机制，以确保信息存放及传输过程中安全性、保密性。必需拥有灵活、可靠安全机制，其内置数据库服务器、邮件服务器及WEB服务器可分别安装在不一样服务器上，实现物理上隔离，又可实现整个系统无缝集成。同时它采取了超时登陆和对公文及公文传输SSL加密等优异技术，确保了用户正当性和唯一性，同时能够确保系统安全、可靠。充足考虑用户需求，采取业界标准密钥交换技术，提供手工、预共享、数字证书等灵活丰富密钥配置方法和多个加密、认证算法，帮助用户低成本建立符合国际标准安全网络。就网上购物过程来说，现在常见是SSL（安全通道协议）方法，即就一些特定文件或文件目录需要访问者提供用户端证书；除非拥有电子证书及对应私钥，一个访问者浏览器无法取得这些文件和文件目录。 SSL方法表现在浏览器访问栏上，应该是Https而不是一般Http。经过网站验证后访问者，能够被映射为活动目录中用户或用户组，实现合作伙伴之间外部网（Extranet）应用。电子证书全部是基于X.509协议，确保了和其它系统互操作性。国际标准组织CCITT提议以X.509作为X.500目录检索一个组成部分，提供安全目录检索服务。 X.500是CCITT提议，用于分布网络中存放用户信息数据库目录检索服务协议标准。 X.509是采取公钥基础结构实施认证协议，对通信双方按所用密码体制要求了多个认证识别方法，它发表于1988年，经数次修改， 1993年又公布了新版本。 X.509对所用具体加密、数字署名、公用密钥和Hash算法未作限制，将会有广泛应用，已纳入PEM(Privacy Enhanced Mail)系统中。电子证书申请过程也能够由管理员设定批处理方法来进行，用户还能够经过LDAP来查询CA中通讯对方公钥。公用密钥基础体系"通常简称为PKI（Public Key Infrastructure），是一个数字认证、证书授权和其它注册授权系统。使用公用密钥密码检验及检证电子商务中所包含每个机构有效性。公用密钥基础体系标准仍处于发展阶段，尽管它们作为电子商务一个必需组成部分已得到广泛使用。其关键是加密服务、证书管理服务，为应用程序开发提供了加密API接口（CryptoAPI）。基于证书过程所使用标准证书格式是 X.509 V3， X.509证书包含相关证书拥有个人或实体信息及证书颁发机构可选信息。实体信息包含实体名称、公用密钥、公用密钥运算法和可选唯一主体 ID。版本 3 证书标准制订了以下要求：密钥标识符、密钥使用方法、证书策略、替换名称和属性、证书路径约束和对证书撤消原因和列表分区。 8某某油田信息应用授权系统设计、建设指南该指南是指对正在开展以BS结构为特点应用了CA认证服务等门户技术新应用体系结构授权系统设计、建设要求。新系统应充足保护原有系统投资，在不影响正常业务前提下使原有分散授权经过分阶段逐步改造方法或升级换代实现授权集中统一。局信息安全指导委员会是某某油田信息应用授权系统设计、建设领导机构,由所属局信息安全管理中心具体实施。 1) 局所属二级和以下等级单位安全管理机构向上级机构负责,在局信息安全管理中心领导下工作。 2) 同级安全管理机构应包含有掌握本单位各个信息系统管理、应用、业务专业知识人员。 3) 对委托进行开发、设计、建设产品供给商、开发商、集成商等须接收对应安全管理机构领导，并遵照相关安全规范开展工作。 9某某油田信息应用授权系统设计、建设框架 9.1类别基于应用现实状况,初步将应用划分为以下类别: 1) 党政类, 有严格保密要求，相关文件是否上网具体由党委保密办决定。 2) 财务类, 有保密、抗毁要求。 3) 油田生产专业类,关系到油田生产、运行决议，很关键，高可用性，有一定保密要求， 4) 资金流、物流、信息流三流合一应用（供给处电子商务），要求高可用性，保密。 5) 信息安全支撑性基础设施类（如：CA，目录服务器，入侵监测等）。 6) 其它类。对以上党政类、财务类、油田生产专业类、资金流、物流、信息流三流合一应用类这四大类属于关键应用类，在以后应用开发和改造时，需依据她们所受到安全威胁、可能产生风险进行分析，制订对应安全目标，对包含每个应用类内客体，可依据需要保护程度，划分不一样子类或保护等级，受保护程度要求高需设置敏感性标识，并要求和之相关联主体或主体等级，对主体要求严格判别机制，并要求相适应自主访问控制或强制访问控制策略。在设计敏感性标识过程中,要求和之相关联主体或主体等级工作在局信息安全管理中心领导下统一实施,包含各下属机构应用对应工作须在局信息安全管理中心指导下针对本单位具体实际具体设计,在设计中要确保总体一致性和完整性。对于类别间存在信息交换应依据可能受到安全风险(包含通信链路上安全风险)提供对应授权和保护方法。油田信息基础设施应能保障授权系统实施,在受设备、基础软件、支撑软件限制情况下尽可能实施改造加固方法，尤其是在应用开发、管理制度、人员安全培训方面采取强化方法，从总体上保障安全目标实现。在新应用设计中应依据用户角色需要授权，依据最小授权标准，采取多种方法限制和避免因设备、基础软件、支撑软件漏洞和脆弱性而造成可能非授权访问。对于因技术设备限制或一些工作特点而造成一些角色权限过大，如系统管理员，系统维护工作人员等，应进行安全培训教育，加强管理，依据受保护客体敏感程度，在应用开发设计中强化审计跟踪。对于包含安全保护等级要求高关键应用一些主体，尤其是对进口设备、基础软件、支撑软件等，因条件限制无法确定其可信计算基安全性，要充足评定由此可能造成安全风险，在应用效益要求和安全风险之间做出审慎平衡后，有条件加以使用，在应用系统设计中，应充足考虑对其监控手段，预防非授权等行为发生，在系统运行时，还应加强运行监督管理。某某油田信息应用授权系统设计、建设框架内容由局信息安全管理中心解释,并依据发展进程作合适调整和修改。 9.2安全等级确实定在授权系统安全设计和建设时，提议依据安全需求分析，需要保护客体关键程度，确定以下安全保护等级：第一级（用户自主保护级）；这是目前大多数应用所用保护等级。第二级（系统审计保护级）；对于网络上关键应用，如上面所提及财务类、油田生产专业类、电子商务类关键应用，应采取高强度身份判别（如电子证书或其它有效认证方法），实施粒度更细自主访问控制，在应用设计中，对于存放于任何物理介质上敏感数据，包含寄存器、内存、缓冲区等，要经过加密或变换等手段处理，预防非授权访问，应用程序（进程）退出前，要对包含在堆栈区中敏感数据清零或做变换处理，预防因客体重用而造成非授权访问。要依据实际情况施加审计功效，审计内容因最少包含时间、地点、调用者及其相关信息、使用资源、运行状态（结果）等，也要包含改变时间、地址、多种和安全相关标识和配置等行为纪录；审计纪录应有防篡改功效，审计应有利于查询检索。对审计纪录载体（如磁盘）要保留足够空间，在空间立即耗净前应能立即给出警告，方便操作者立即采取方法，要预防攻击者用耗尽审计存放方法逃避审计追踪。审计员为独立角色，负责审计资源配置和使用。第三级（安全标识保护级）；对于很关键关键设施和应用，如信息安全支撑性基础设施类和党政类应用提议尽可能采取这一保护级。这一级除了有第二级全部功效外，要对所可能包含客体做敏感标识，并要求和之相关联主体或主体等级，对主体要求严格判别机制，并要求相适应强制访问控制策略。对于部分公开且不会造成任何安全风险应用，可不设保护等级。 10生效日期

展开阅读全文