面向企業(yè)管理的通用訪問控制管理框架研究.pdf

1、信息化技術(shù)的創(chuàng)新和發(fā)展對(duì)現(xiàn)代經(jīng)濟(jì)社會(huì)的進(jìn)步起到了舉足輕重的作用，信息資源也成為了企業(yè)組織的重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富。信息化與經(jīng)濟(jì)全球化相互交織推動(dòng)著全球產(chǎn)業(yè)分工深化和經(jīng)濟(jì)結(jié)構(gòu)調(diào)整，也帶動(dòng)著企業(yè)組織戰(zhàn)略、組織結(jié)構(gòu)以及管理方式的改變。根據(jù)國家信息化測評(píng)中心2007年中國企業(yè)信息化500強(qiáng)調(diào)查與測評(píng)結(jié)果顯示，對(duì)于國內(nèi)企業(yè)組織特別是大型企業(yè)組織來說，信息化建設(shè)勢在必行，因?yàn)樗褲u漸成為提高企業(yè)管理效率和核心競爭力的重要而且必要的手段。

2、 在企業(yè)的信息化建設(shè)過程中，企業(yè)信息化安全管理體系貫穿始終，涉及物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、內(nèi)容安全、信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全以及公共與國家信息安全等多個(gè)方面，具有多維性、多因素、多層次和多目標(biāo)的特點(diǎn)。其中網(wǎng)絡(luò)安全是基礎(chǔ)，系統(tǒng)安全是關(guān)鍵，信息安全是核心，制度安全是保障。在信息社會(huì)，沒有各種信息的有效支持，沒有信息安全作保障，企業(yè)就不可能生存和發(fā)展。鑒于信息安全對(duì)企業(yè)管理的重要性，選取其中的權(quán)限訪問控制作為本文的切入點(diǎn)和立足點(diǎn)。

3、 作為國際標(biāo)準(zhǔn)化組織ISO提出的五大安全服務(wù)之一，訪問控制技術(shù)的主要任務(wù)是保證系統(tǒng)資源不被非法使用和非法訪問，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用，其基本概念包括用戶、客體、操作和權(quán)限等。30多年的發(fā)展過程中，出現(xiàn)很多有名的訪問控制方式包括自主訪問控制(DAC)、強(qiáng)制訪問控制(MAC)、基于角色的訪問控制(RBAC)和基于任務(wù)的訪問控制(TBAC)，而后兩種方式的研究最具有代表性和影響力。RBAC的主要思想是用戶和權(quán)限通過角色相關(guān)聯(lián)，對(duì)用

4、戶的授權(quán)通過賦予用戶相應(yīng)的角色來實(shí)現(xiàn)。而 TBAC是以任務(wù)、活動(dòng)為中心來建立的安全模型和實(shí)現(xiàn)機(jī)制，在進(jìn)行任務(wù)處理過程中，對(duì)信息對(duì)象的訪問權(quán)限是隨著執(zhí)行任務(wù)的上下文環(huán)境而變化的。他們也是本文訪問控制管理框架通用性研究的理論基礎(chǔ)。 事實(shí)上，大多數(shù)國內(nèi)外對(duì)訪問控制技術(shù)的研究方興未艾，有針對(duì)某個(gè)或某系列的模型的深化擴(kuò)展，有關(guān)于不同模型之間的整合與應(yīng)用。但真正具備抽象意義和實(shí)現(xiàn)價(jià)值的通用訪問控制管理框架并不多。前期學(xué)者的研究或集中在通用訪

5、問控制框架(GFAC)在操作系統(tǒng)層面的應(yīng)用和優(yōu)化，對(duì)其基本理念進(jìn)一步深入和改進(jìn)，但不涉及企業(yè)應(yīng)用程序領(lǐng)域；或針對(duì)GFAC與RBAC的結(jié)合進(jìn)行某個(gè)系統(tǒng)開發(fā)上的設(shè)計(jì)，在系統(tǒng)性和通用性上略有欠缺；或使用軟件復(fù)用技術(shù)達(dá)到面向?qū)ο?，并包容業(yè)務(wù)規(guī)則變化，但未能包含諸如針對(duì)工作流和客體狀態(tài)等訪問控制需求。本文為解決上述研究的不足，提出一種面向企業(yè)應(yīng)用系統(tǒng)集成和信息安全控制的通用管理框架，意圖借助科學(xué)技術(shù)手段與管理方法改進(jìn)使得應(yīng)用系統(tǒng)實(shí)現(xiàn)其社會(huì)、經(jīng)濟(jì)、

6、生態(tài)效益的滿意化。 借鑒ARBA02模型管理范圍的定義與TBAC模型的協(xié)作概念，本文在管理框架中定義了基本的管理內(nèi)容即訪問控制中共有的組件，具體來說是訪問控制的主體(包含管理者)和權(quán)限(細(xì)分為操作和對(duì)象)，也定義了管理者的管理范圍，即由其可管理的主體和權(quán)限共同確定，而管理者對(duì)訪問控制策略的管理操作必須在其管理范圍內(nèi)。此通用管理框架抽象了訪問控制模型中的基本概念用戶、管理員、操作和對(duì)象作為管理內(nèi)容的基本定義，將企業(yè)內(nèi)復(fù)雜的業(yè)務(wù)邏輯

7、高度抽象為應(yīng)用集作為框架的基本管理單元。而對(duì)應(yīng)的，管理者的管理操作是否被允許則需驗(yàn)證管理操作涉及的管理內(nèi)容是否在其被授權(quán)的管理單元內(nèi)。 文中以集合論等形式化語言系統(tǒng)地定義和描述框架中的基本概念和操作規(guī)則，包括U、AU、OB、OP、POLICIES和APp等六個(gè)集合，UAP、AUAP、OBAP、OPAP、PoAP和APC等六個(gè)關(guān)系，以及policyUser，policyOB和policyOP三個(gè)與策略相關(guān)的函數(shù)，以提供一個(gè)統(tǒng)一的抽

8、象接口來確定策略的管理內(nèi)容從而確定其管理單元。在此基礎(chǔ)上，文中討論了管理框架應(yīng)該具備的12個(gè)管理操作和規(guī)則，并論證了框架在訪問主體和訪問權(quán)限兩個(gè)方面都是完備的，最后結(jié)合了人事管理、售后客服、銷售管理與財(cái)務(wù)管理等四個(gè)基本企業(yè)應(yīng)用系統(tǒng)的邏輯關(guān)系討論了框架內(nèi)應(yīng)用集的協(xié)同關(guān)系(APC)，最終證明此管理框架在理論意義層面的完整性和邏輯性。 為進(jìn)一步論證所述管理框架的通用性與可行性，本文從軟件工程設(shè)計(jì)的角度，設(shè)計(jì)用戶管理、操作管理和對(duì)象管理

9、作為訪問控制管理框架的三個(gè)基本功能模塊，界定規(guī)則管理、訪問管理和訪問控制模式工廠作為框架的訪問控制部分，實(shí)現(xiàn)了訪問控制模式與應(yīng)用程序的對(duì)應(yīng)和調(diào)用，達(dá)到了對(duì)應(yīng)用程序權(quán)限訪問控制的集中管理。具體來說，在管理框架運(yùn)行過程中，一旦應(yīng)用程序在框架內(nèi)啟動(dòng)，框架系統(tǒng)將獲得應(yīng)用程序的對(duì)應(yīng)注冊(cè)信息，并找到其綁定的訪問控制模式參數(shù)。訪問管理部分獲得這個(gè)參數(shù)后傳值給訪問控制模式工廠的接口，由訪問控制模式工廠與該應(yīng)用程序交互獲得具體的規(guī)則信息和應(yīng)用程序的其他注

10、冊(cè)信息，在具體類中創(chuàng)建一個(gè)訪問控制模式的實(shí)例，并返回給訪問管理部分。訪問管理部分接收此實(shí)例后返回給應(yīng)用程序作為權(quán)限控制的具體模式，而與訪問控制模式相關(guān)的概念和應(yīng)用程序的處理邏輯均在具體類中實(shí)現(xiàn)。 另一方面，針對(duì)管理框架在實(shí)際軟件開發(fā)中的應(yīng)用，本文主要應(yīng)用了軟件設(shè)計(jì)模式中的工廠方法模式、命令模式和狀態(tài)模式優(yōu)化設(shè)計(jì)其框架類圖，并使用UML中的時(shí)序圖對(duì)RBAC和TBAC兩類控制模式在框架中的授權(quán)流程加以描述。最后結(jié)合廣鐵集團(tuán)下屬單位的

11、實(shí)際系統(tǒng)討論了文章涉及的框架設(shè)計(jì)理念與應(yīng)用情況。 總體來說，本文以計(jì)算機(jī)信息安全控制為技術(shù)應(yīng)用角度，以企業(yè)信息化建設(shè)和管理為切入點(diǎn)，以權(quán)限訪問控制為理論實(shí)踐方向，充分體現(xiàn)信息技術(shù)與經(jīng)濟(jì)管理的結(jié)合。本研究主要工作與創(chuàng)新主要體現(xiàn)在管理學(xué)與計(jì)算機(jī)應(yīng)用的整合過程中，批判性的分析前人的研究成果，針對(duì)其不足提出系統(tǒng)性的管理框架，并結(jié)合軟件設(shè)計(jì)方法實(shí)證了框架的實(shí)用性和可行性，達(dá)到了學(xué)術(shù)價(jià)值和實(shí)踐價(jià)值的二重效應(yīng)。而本文提出的通用訪問權(quán)限框架在實(shí)