浅析信息管理系统的访问控制.doc
【 摘 要 】 随着企业的信息化技术不断加快,通信网络的飞快发展,信息管理系统安全威胁越来越大,对于访问控制要求越来越高。本文就信息系统的访问控制做了介绍,并阐述了相关工作原理、实现机制和控制策略。中国论文网 【 关键词 】 信息系统;访问;访问控制The Analysis of Information Management System Access ControlYe Xin-qun 1,2 Kong Jiang-tao 2(1.Jiangnan University Networking Engineering College JiangsuWuxi 214122 ;2.Northern General Electronics Group Company Limited Wuxi Branch JiangsuWuxi 214100 )【 Abstract 】 with the development of enterprise information technology continues to accelerate, the rapid development of communication networks, information management system safety threat growing, increasingly higher requirements for access control. In this paper, information system, access control is introduced, and described the working principle, the realization mechanism and control strategy.【 Keywords 】 information system;access;access control0 引言目前,随着计算机技术、软件技术、网络通信技术以及数据库技术的蓬勃发展,企业的信息化技术不断加快。企业规模不断扩大,对企业的管理要求相对较高,企业的信息化管理系统随之也向着多终端、多方面的应用以及集成度更高的方向发展,数据量不断加大,业务的关系越来越复杂。所以对系统的数据安全方面提出了更高的要求。信息安全需要尽可能达到细粒度管理的程度,尽可能细化管理对象,具体化管理责任和权限。当前,企业在信息资源共享的同时,如何有效防止敏感数据被非法破坏和盗取已经成为信息系统的重要挑战。访问控制系统最早开始于20世纪70年代,是指“按用户所处的角色及其所归属的小组来限制用户对某些信息项的获取,或限制对某些菜单、插件、页面的使用”。它能够控制用户对资源的访问能力和访问范围,有效防止非法主体访问系统资源和合法用户非法使用、控制资源,是目前主要的控制技术。访问控制的实现方法多种多样,传统的访问控制技术包括强制访问控制MAC和自主访问控制DAC。DAC虽然简单、易用,但是安全级别较低;MAC的安全性相对较好,但是不够灵活。DAC和MAC均不能满足目前信息系统的安全需求。基于角色的访问控制(Role Based Access Control,RBAC)机制引入了“角色概念作为权限与用户联系的中间桥梁,将资源的访问权限分配给角色而不是用户,通过给用户分配不同的角色来获取相应的权限。RBAC由于策略中立、灵活且容易扩展,有效地克服了传统访问控制技术存在的缺陷,可以减少授权管理的复杂性,灵活支持企业安全策略和适应企业的变化,是目前公认的解决大型企业信息系统中统一资源访问控制的有效手段。随着信息系统规模的不断扩大,系统中的角色和用户均可能成千上万,用户、角色之间的关系具有一定的特点且错综复杂。所以,在企业的信息管理系统中,传统的集中式授权管理应经不现实。如何分散管理RBAC模型中的元素(如角色、权限等)及元素之间的关系,如何分散管理RBAC模型中的角色、权限及资源使其不仅符合企业信息系统的授权特征,并且能有效降低系统管理员的工作负担,但又不失集中式管理的优点,是各种RBAC管理模型致力于解决的问题。目前,RBAC管理模型主要包括ARBAC97、ARBAC99、ARBAC02、SARBAC和GBRBAC等。他们提供了一个可行的办法,解决了RBAC系统的管理问题,更好地分散和集中管理之间的协调。然而,因为他们的一些缺点,提高信息系统的安全要求,需要进一步完善现有的RBAC管理模型,并应用到实际的项目,在实践中,以验证其正确性和可行性。访问控制模块是一个应用程序的重要组成部分,和不同的应用系统的访问控制的要求,有一些共同的特点。目前,大多数的应用紧密结合,根据自己的访问控制需求开发和项目准入控制子系统。这些系统能够满足当前需求的项目,但因为它的权限模型是固定的,分散在各系统的访问控制逻辑模块,与核心业务逻辑混在一起。因此,需要改变项目时,你需要修改程序的控制逻辑代码,重新编译部署;复杂本质上改变其权限的模式,这意味着重新开发系统。当企业开发新项目,也不能简单地移植已经在该项目的访问控制模块。1 访问控制工作原理访问控制的实施过程分为三个步骤:身份验证(Authentication),授权(Authorization)和验证(Verification)。身份验证是指验证用户提交的身份资料,以确定它是否是合法用户授权。授权是指系统的安全管理员根据用户承担的职责分配资源(URI、Method、页面元素等)的访问权限,使用数据库或文件存储生成的访问控制规则;验证指的是在通过用户身份验证后,按照商定的访问控制策略,认为他们是否有权限访问特定资源。在授权阶段,不合法用户权限分配给一个特定的资源时,请求将被拒绝。 转载请注明来源。原文地址:
