涉密应用系统三员分离设计与研发.docVIP

PAGE PAGE 1 涉密应用系统三员分离设计与研发 　　摘要：为解决涉密应用系统中管理员权限过于集中问题，提高系统自身的安全性。通过以Oracle为数据库平台，采用VC++程序设计语言，设计与实现涉密应用系统三员（即系统管理员、安全保密管理员、安全审计员）分离。其中，为进一步提高系统权限分配的适应性以及用户信息安全性，减少用户授权操作的复杂性，采用了基于角色的访问控制（RBAC）策略和Rijndael（ResearchontheRijndaelAlgorithm）算法设计。结果表明，系统三员分离可以有效的减少管理员权限过于集中给系统带来的危害。 　　关键词：涉密应用系统；基于角色的访问控制；Rijndael算法；三员分离设计 　　中图分类号：TP311.1文献标识码：A文章编号：1007-9599（2013）01-0010-02 　　系统管理员的权限过于集中导致信息安全问题越来越受人们重视，为加强公司涉密应用系统的运行的安全管理与审计管理，依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的有关规定，涉密信息系统应配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员，分别负责系统运行、安全保密和安全审计工作。三员应该相互独立、相互制约，且每个角色应配置A、B角互为备份，安全保密管理员和安全审计员不得由一人兼任。根据以上规定，我们需要为涉密应用系统进行相应的三员分离设计。 　　1系统总体设计 　　涉密应用系统三员分离设计采用C/S（Client/Server）两层架构，即客户端服务器端架构。其中在客户端完成绝大多数的业务逻辑和界面展示，如图1所示，主要需要完成3部分内容设计：①登入模块设计，②系统三员分离设计，③Rijndael加密算法对用户信息加密设计。而服务器端采用的是Oracle数据库服务器端，在服务器端进行数据库设计。客户端使用基于组件的数据库编程接口ADO（ActiveXDataObjects）来访问Oracle数据库的数据，通过与数据库的交互（即SQL或存储过程的实现）来达到数据的持久化。 　　此外，为进一步加强涉密应用系统的安全性，除客户端设计之外，特别添加了两项保密措施：应用程序同oracle客户端一起打包，以及Oracle数据库触发器代码编写。 　　2客户端程序设计 　　客户端程序是系统用户直接使用的程序，其功能是依据系统用户拥有的管理员角色不同，加载不同的功能模块，客户端程序设计就是对每个功能模块的详细设计，其中包括了注册系统用户帐号和角色名称、为用户和角色赋权并使帐号生效、审计用户访问行为与应用系统数据备份与恢复、审计系统管理员和安全保密员的行为等功能的设计，并依照图2所示的流程进行系统设计。 　　2.1登入模块设计 　　登入模块是进入并访问涉密应用系统的第一道防线，是系统统一且惟一的访问入口，在该入口需实现用户认证和身份鉴别。该模块中对未经用户认证及身份鉴别的用户，禁止其访问应用服务，只有获得了涉密应用系统发放的第一道通行证，访问用户才获得继续访问应用服务的权利[2]；登录模块包括两部分设计：登录界面设计和网络设置设计。登录界面设计是用户能否进入数据库的关键，在登录界面中完成用户名及密码的校对以及用户所拥有的角色的识别，依据识别用户的角色加载相应的功能模块。网络设置主要用于识别登录系统的机器类型、局域网内数据库所在服务器的IP和所要连接的数据库服务名，是客户端是否能够连上数据库的关键。涉密应用系统通过审核访问用户的身份信息、拥有的角色（如系统管理员、安全保密管理员和安全审计员等）、安全等级等加载进入到相应操作界面。访问用户只能对同安全级别或低安全级别的应用服务进行访问，且所有违规的访问行为都将被限制和审计。 　　2.2系统功能三员分离设计 　　系统功能三员分离设计主要是对管理员的权限进行控制，根据涉密信息系统分级保护测评标准，采用最小授权原则对系统三员进行系统权限的赋予，使三者相互间形成制约关系，表1指出了角色与系统权限的对应关系。 　　2.2.1系统管理员模块设计 　　系统管理员模块是用户拥有系统管理员角色才能进入的功能模块。在该模块中需实现两个模块，即角色注册和用户注册。系统管理员可以根据用户书面申请以及保密工作机构的审核结果，在该模块中完成系统角色的创建、修改与删除，用户身份标识符的生成和删除、初始口令设置以及用户信息（用户姓名、性别、联系方式等）的填写。为确保身份标识符在系统生命周期中的唯一性，需对每一个新注册的身份标识符进行唯一性检查，例如系统管理员创建了一个标识符为User的用户，通过查询Oracle数据库中所有的用户名，判断数据库用户中是否存在标识符为User的用户，如果存在该用户，则用户创建不成功，该判断可以用于解决数据库中存在的多重帐号/