三员分立权限控制模型设计与实现.docVIP

三员分立权限控制模型的设计与实现 　　摘要：涉密信息系统中的“三员”是指系统管理员、安全保密管理员、安全审计员。“三员分立”要求系统管理员、安全保密管理员、安全审计员三者之间的关系相互独立、互相制约，加强涉密信息系统保密管理，减少泄密风险。而三员分立权限控制模型就是基于“三员分立”的思想提出来的权限管理方法，该方法的设计和实现对于满足涉密信息系统三员管理要求，实现信息系统的安全保密具有重要意义。 　　关键词：三员；三员分立；权限控制模型 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）15-0062-03 　　Design and Implementation of Three Management Roles Separation Authority Control Model 　　ZONG Lin 　　（China Information Development Inc.， LTD. Shanghai， Shanghai 200333 China） 　　Abstract： Three management roles in the classified information system are administrator， secret keeper and auditor. Three-Roles-Separation model asks the three management roles mutual independence and condition， strengthening secret management in the classified information system and avoiding secret risks. Access control model based on Three-Roles-Separation model is designed and implemented for satisfying the requirement of roles management in classified information system. This model is very important for classified information system to improve its security and secrecy. 　　Key words： three management roles； three management roles separation； Role Based Access Control（RBAC） 　　1 引言 　　一个计算机信息系统是否属于涉密信息系统，主要是看其系统里的信息是否包含涉及国家秘密的信息。不论其中的涉密信息是多还是少，只要是有（即存储、处理或传输了涉密信息），这个信息系统就是涉密信息系统。 　　国家在涉密信息系统建设方面，着重强调信息安全等级保护和安全风险管理。依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的有关规定，涉密信息系统应配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员，分别负责系统运行、安全保密和安全审计工作。三员应该相互独立、相互制约，且每个角色应配置A、B角互为备份，安全保密管理员和安全审计员不得由一人兼任[1]。这就要求信息服务商在涉密信息系统的权限控制功能设计时也要考虑三员分立的需求。 　　2 RBAC权限控制模型 　　基于角色的访问控制（RBAC[2]，Role Based Access Control），是把系统用户根据其所拥有的执行功能和安全策略分成不同的角色，然后对每个角色分配对应的权限，再通过每个用户指定不同的角色，来实现对用户权限的管理控制。美国GeorgeMason大学信息安全技术实验室提出RBAC96模型是RBAC的研究和应用中的经典。它包括四个模型：RBACO、RBAC1、RBAC2、RBAC3。 　　RBACO被称为基本模型，它是RBAC控制系统中的最小元素集合。它的基本思想是先对用户赋予一定的角色，再为角色赋予相应的权限，每个用户通过角色来获得权限。用户与角色，角色与权限之间均是多对多的关系，角色是安全控制策略的核心。RBAC模型图如下。 　　而RBAC1、RBAC2、RBAC3是在RBAC0的基础上进行扩展而产生的模型。RBAC1被称为角色层次模型[3]，该模型在RBACO的基础上引入了角色层次关系，角色之间可以继承。RBAC2被称为角色约束模型[4]，该模型在RBACO的基础上增加了责任分离关系，包括互斥限制、指派限制、先决限制及会话限制。RBAC3被称