RBAC在研究生招生信息管理系统中应用研究.docVIP

RBAC在研究生招生信息管理系统中应用研究 　　 摘要：由研究生招生数量不断扩大给招生管理人员带来的工作量与日俱增，研究生招生信息管理系统已经在研招工作中普遍应用。分析了研究生招生管理信息系统的安全目标和访问控制需求，论述了RBAC在此类信息系统中的应用模型，给出了遵循RBAC两个基本原则的方案，为研究生招生过程中的各种敏感信息提供了有效的安全保障。?? 　　关键词：研究生招生；信息系统；访问控制；RBAC；最小权限原则?? 　　中图分类号：TP311.52文献标识码：A文章编号：1672-7800（2011）07-0096-02?お? 　　?? 　　作者简介：包?t（1979-），男，陕西西安人，硕士，西北政法大学研究生教育院助理研究员，研究方向为数据库、信息系统。 　　 　　 　　0引言?? 　　 随着我国各类研究生招生规模不断扩大，招生工作过程中的各类数据信息不断增加，高校中研究生招生信息管理系统已经广泛应用。然而，研究生招生工作的各个环节所涉及到的信息都是极为敏感和重要的，考生身份信息等敏感数据被窃取或者被泄露的事件时有发生。如何对这些敏感信息进行有效的访问控制以保障信息的安全性成为研究生招生信息管理系统应用中的一个关键问题。?? 　　 本文分析了研究生招生信息管理系统的安全目标和访问控制问题，重点论述了基于角色的访问控制方法（Role Based Access Control，RBAC）在该类型系统中的应用。?? 　　1研究生招生信息管理系统中的访问控制问题 　　1.1系统的安全目标?? 　　1.1.1网络安全?? 　　 网络安全是最高级别的安全。它要求支撑研究生招生信息管理系统的网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。?? 　　1.1.2系统软硬件安全?? 　　 服务器和客户端计算机的硬件安全以及运行在其之上的软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制等。?? 　　1.1.3数据的自身安全?? 　　 指研究生招生信息管理系统中存储及流通数据的安全，要保护在系统中流动和交换数据的完整性、保密性以及可用性，使其不被篡改、非法增删、复制、解密、显示、使用等，它是保障研究生招生信息管理系统安全最根本的目标。?? 　　1.2系统的访问控制问题?? 　　 所谓访问控制是按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制的功能包括，防止非法的主体进入受保护的网络资源；允许合法用户访问受保护的网络资源；防止合法的用户对受保护的网络资源进行非授权的访问。具体到研究生招生信息管理系统中来讲，就是通过访问控制方法，防止非法用户进入系统获取招生过程中的各种敏感信息；允许系统管理员、研招管理人员、导师等用户访问相应的信息数据，如考生报考信息、录取信息等；防止合法用户如导师访问非授权的信息如考题信息等。?? 　　2RBAC概述?? 　　 Ferraiolo和Kuhn首先提出了RBAC的概念。RBAC模型大大降低安全管理的成本和复杂性，在大范围的网络应用程序中得到了广泛的应用。特别是在互联网中安全管理机制由于具有很大的复杂性，而且用户对服务器资源的需求是动态变化的，RBAC就提供了系统资源访问权限的有效控制。在灵活性方面，RBAC相对于自主访问控制和强制访问控制有较大的提升。其基本思想是许可与角色对应，而用户通过被分配的角色获取相应的许可，许可即用户对资源的访问权限。图1给出了经典的RBAC逻辑关系描述。?? 　　 　　图1RBAC逻辑关系模型?? 　　 RBAC有两个重要的基本原则即最小权限原则和权限一致性原则。所谓最小权限，指的是在完成某种操作时所赋予每个主体（用户或进程）必不可少的特权。最小权限原则，则是指应限定每个主体所必须的最小权限，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小权限原则一方面给予主体“必不可少”的特权，保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。权限一致性原则是指若用户所具备角色为其赋予的权限许可满足执行程序的需求，则称用户执行该程序具有权限一致性。?? 　　3RBAC在研究生招生管理信息系统中的应用?? 　　 在本文应用于研究生招生信息管理系统的RBAC模型中，定义了多达6个角色类型，包括：系统管理员、研招管理人员、院系研招管理人员、导师、考生以及普通查询用户。表1给出了各角色所具备的系统权限。?? 　　表1角色权限对应表?? 　　 　　角色[]所具备权限 　　系统管理员[]系统管理；用户管理；数据库维护、备份及恢复等 　　研招管理人员[]公共及