尹 娜 仲崇鑫

摘要 随着信息化时代的到来,信息安全问题也备受关注。如何确保核心数据的安全,保障系统正常运行,是信息管理人员需要面对和解决的首要问题。本文针对各级管理员的访问权限进行设计,按照角色对应控制其登录访问权限。

关键词 访问控制;角色分配;访问入口设计

中图分类号 G203 文献标识码 A 文章编号1674-6708(2009)07-0054-02

随着计算机技术应用的普及和企业信息化步伐的加快,越来越多的企事业单位都建立了自己的管理信息系统。管理信息系统一般操作数据量都很大,大量的数据和信息存放于它的数据库平台中,有些甚至是关系到企业或单位切身利益的重要信息。在开发多用户信息系统的过程中,由于大量的重要信息集中存放,且某些信息为多个用户共享,这就使得权限控制成了开发多用户信息系统中的一个重要环节。

系统的数据使用权限控制,是指防止不合法地使用数据库,以避免数据的泄漏、非法更改和破坏,本质上就是保证数据的合法访问,阻止非法访问。本文以某政府门户网站系统为例,来讨论如何实现多用户信息系统的数据使用权限控制的控制问题。

1 网站信息访问权限分配设计

基于角色的访问控制模型(RBAC:role-based access contro1)是目前安全模型领域的研究热点,由于其易管理而被广泛地应用在网络控制领域。将计算机信息管理应用人用分为4大类:信息报送人员、信息审核人员、信息维护发布人员和系统管理员。信息报送人员负责海量数据筛选、编辑、上传、存储等工作,系统维护员负责系统的维护、更新、数据库的管理等,系统管理员可以进入网站任何机器进行维护及保密工作等。将权限明确划分是考虑到权责到人有利于整个系统的统筹分配,每个人有相关的权限值只能访问到相应权限内的资源,这样保证信息的一定范围内的安全性。

1.1 角色级控制

角色的概念源于实际工作中的职务。一个具体职务代表了在日常工作中处理某些事务的权利,一个角色与权限关联可以看作是该角色拥有一组权限的集合,与用户关联又可以看作是若干具有相同身份的用户的集合,角色与用户和权限之间的关系,详细阐述了角色控制在信息系统中的应用。

由于该门户网站信息系统中的用户很多,且有些用户有完全相同的权限,如果单独给每个用户分别分配权限,势必大大增加管理的难度。因此,根据用户分工的不同,在数据库中建立了信息报送人员、信息审核人员、信息维护发布人员、系统管理员等不同的角色。根据分工的不同,分别赋予各个角色不同的权限集合,然后按部门将相应的角色赋予各个用户,这样就保证了用户登录时只能访问到其具有相应角色权限的数据信息,从而使用户的管理得以大大简化。

1.2 部门级控制

部门级安全性控制是指在一定的资源共享的前提下,一个部门的用户不能操作另外一个同等级别部门的某些关键数据,但允许高级别的用户操作访问低级别部门的数据。

比如,001为普通的管理的用户,admin为系统管理员。在001 登录系统时,不允许他访问到其它内容的关键数据,也不能访问局端的一些数据,而是应该首先把其它部门的关键数据过滤掉,而在用户admin登录系统时,应允许其访问各个数据,即部门级控制要实现上级部门用户能访问和修改下级部门的数据,但不允许下级部门访问和修改上级部门的数据,也不允许同等级别部门用户之间相互操作对方的关键数据,其原理恰似企业中的上下级层次管理结构。

2 控制访问权限的登录设计

访问控制是系统安全机制的重要组成部分。信息网格中访问控制解决的是合法用户对网格资源的访问权限问题。在信息网格复合管理域这一特征环境中,访问控制需要考虑异构管理域问题,也即跨域的授权访问与查验。目前,针对跨域的访问控制的研究有很多。在信息网格系统中比较常用的几种访问控制机制有域信任模式、信任第三方的授权认证机制、用户映射或者权限关系映射机制访问控制机制来解决跨域问题,但他们存在管理域数目增大、管理开销大、控制不灵活、实现困难等特点。针对这些缺点,本文在用户映射或者权限关系映射机制的基础上提出权限预分配方案,从而实现跨域的复合授权与查验。

某些时候也会出现这样的问题。例如,有时普通管理员需要找到一些资料,管理员无法到达现场需要委托其他工作人员打开其权限访问区域,这时就要把密码告诉给其他人,也就是把自己的权限交给了他人。将密码告知给别人需要承受一定的风险,如果是系统管理员将会有访问所有保密信息的权限,其他人本来是不能查阅,或者别人可能有意或者无意地破坏的机器,这些都是无法预知的。解决上边所说的问题我们可以用授权密码控制的方式,设计如下:登录时先选择角色,然后每个角色有两个登录口,一个登录口使用原密码,另外一个使用授权密码,不同人员授权的密码访问权限也不相同。考虑到有限授权密码的使用同样存在着安全隐患,授权密码只能使用一次,引入随机生成密码方式,每次授权使用完毕又随机生成方式生成新的密码。访问记录:每次使用控制访问权限方式时,启用日志记录方式记录登录着行为,并且权限内不能做删除日志操作,以便查管理员查看。

3 结论

信息系统安全作为一门综合性的动态学科,其研究的内容是多层次和多方面的。针对授权的访问机制,将访问控制考虑因素扩展到被授权人的实际操作环境的安全性上,将终端的安全性纳入考虑范畴中。

通过权限管理可以避免非法用户进入信息管理系统,可以删除或禁用某些不经常登录和有破坏数据安全倾向的用户,可以根据需要将某些禁用的用户取消禁用等,所以在信息系统设计中,权限设计是一个非常重要的方面。结合某网站的管理信息系统的开发,详细地讨论了在多用户信息系统中数据权限使用控制原理以及实现,使得不同级别的管理人员和操作人员能充分、有效而且合理地使用其应用软件系统,从而在一定程度上保证了系统的安全性。

参考文献

[1]Bellare M,Canetti R,Krawczyk H.Keyed Hash Functions and Message Authentication [C] // Proceedings of Crypto96.Los Angeles,Califomia,USA:[s.n.],1996.

[2]Barraza O.Achieving 999 998% Storage Uptime and Availability.Dot Hill Systems Corpm,2002.http://www.dothil1.com/products/whitepapers/5-9s_wp.pdf.

[3]欧阳星明,张华哲.大型网络 MIS 中基于角色的权限管理[J].计算机工程与应用,2000,36(4):138-140.

科学巨擘 民族英雄 科技界缅怀钱老

“上午,我正在参加一个会议,忽然总装备部的一个同志告诉我,可能钱老出事了。一会儿我就听到了钱老去世的噩耗。太惋惜了。我们还想着明年给他过百岁生日呢!”中科院力学所俞鸿儒院士话语中含着极度的悲伤。

一代巨星离世,中国科技界沉浸在悲痛之中。中国工程院副院长杜祥琬院士难以拟制自己的悲痛说:“他是我们国家授予的唯一一个人民科学家啊。”

8年前,记者在报道“钱学森科学贡献暨学术思想研讨会”时,听到时任全国政协副主席、中国工程院院长宋健对钱学森的评价:“钱老是20世纪中国科技事业的巨擘、中国科技界的楷模和中华民族的英雄。”

这位民族英雄,在历经人生的98个春秋之后,于今天驾鹤西行。“钱老是一个非常有才华的世界级科学家。当年他从美国回国时,美国人知道他的价值,对他不放行。他是费了很多周折才回来的。”在杜祥琬的心中,钱学森是一位伟大的爱国者。

正在国外出访的中国航天科工集团公司总经理许达哲闻知钱学森去世的消息,立即通过电话向他的家人表示慰问,对钱学森的辞世表示深切哀悼。他不能忘记,今年6月27日,钱学森还给他写信,以一个老航天工作者的身份,对航天科工集团成立十周年表示祝贺。他在信中说:“要取得更大的成绩,一个重要方面就是要把系统工程的理论发扬光大,探索在市场经济条件下进一步发展的路子;并把它介绍到其他行业中去。欣闻你们在这方面已有新的考虑、新的举措。我完全赞成。预祝你们成功!”一个年近百岁的老人,在其生命蜡烛的最后一段,依然关心着祖国的航天科技,关注着这一领域如何在市场经济条件下发展。

俞鸿儒当年是在听到钱学森的大名后,才报考中科院力学所研究生的。那是1957年,力学所刚刚成立不久,钱学森担任所长。“很遗憾,我没有成为钱先生的研究生。因为他知道自己太忙,没有多少时间指导学生,所以他在力学所一个研究生都不带。虽然没有成为钱先生的研究生,但他还是经常指导我们。”俞鸿儒说当年经常参加钱学森主持的学术报告会。“他自己掏腰包拿钱,买糖果、点心让大家边吃边听。可我们听时也很紧张:当他认为某人报告中有问题时,他会随时叫起听会的人,问演讲者讲得对不对,为什么?现场的分析评判对我们收获很大。”钱学森一生追求科学,他影响了很多人,也影响了中国和世界。

中国运载火箭技术研究院(航天一院)党委书记梁小虹不敢相信钱学森真的已经走了。他在电话里对钱学森的儿子说:“钱老永远活在航天一院人心里,永远缅怀钱老在一院的那段日子。”上世纪60年代,我国发射了自行设计的第一枚中近程火箭。在准备期间,科研人员计算火箭推力时发现射程不够,但是火箭的燃料贮箱体积有限,再也“喂”不进去了。当时还是小字辈的王永志提出,从火箭体内卸出600kg燃料会命中目标。在场的专家们几乎不敢相信自己的耳朵,也没人理睬他的建议。发射前,王永志鼓起勇气找到技术总指挥钱学森,谈了自己的想法。钱学森眼睛一亮:“这个年轻人的意见对,就按他说的办!”果然,火箭射程变远了,连打3发导弹,全部命中目标。从此,钱学森记住了王永志。我国开始研制第二代导弹的时候,钱学森建议,第二代战略导弹让第二代人挂帅,让王永志担任总设计师。这个故事让航天一院的许多老同志津津乐道。

中科院高能所的冼鼎昌院士是从事理论物理及同步辐射应用研究的,与钱学森研究的不是一个领域。“我在上世纪50年代就知道钱老的大名。他是一个科学大师,是世界级的科学领军人物。他留下的东西,中国人不会忘记,世界也不会忘记。”