學(xué)術(shù)研究Ac adem c ResearchPM在大型應(yīng)用系統(tǒng)中的應(yīng)用趙曉東(航天科技財(cái)務(wù)有限責(zé)任公司,北京100830)【摘要】隨著IT系統(tǒng)規(guī)模和用戶范圍的擴(kuò)大,在大中型企業(yè)和組織中,授權(quán)管理仍然是復(fù)雜和具有挑戰(zhàn)性的工作論文概述了授權(quán)管理基礎(chǔ)設(shè)施(PM)在大型應(yīng)用系統(tǒng)中的應(yīng)用和建設(shè)問題,以及PM對應(yīng)用系統(tǒng)授權(quán)管理和訪問控制模式的影響【關(guān)鍵詞】信息安全;授權(quán)管理基礎(chǔ)設(shè)施;公鑰基礎(chǔ)設(shè)施【中圖分類號】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號】1009-8054(2006)12-0164-03Applying PMI in Large Scale Application Systemsng(Aerospace Science Technology Finance Co, Ltd Beijing 100830, China)(Abstract ]Especially recent years, with the scale-up of IT systems and the extension of scope of users, effective privilege administration is still a complex and challenging work, which is a major issue in large enterprises and organizations.This text introduced the applying and building of Privilege Management Infrastructure in large scale application systemsand analyzed the influence on authorization and access control model of application systems【 Keywords】 Information Security;PMI;PKI戶訪問的是“什么信息”,哪個(gè)用戶被授予什么樣的“權(quán)限”。1前言旦機(jī)構(gòu)確定了權(quán)限管理和發(fā)布的方式,訪問控制系統(tǒng)就可計(jì)算機(jī)網(wǎng)絡(luò)能有效地實(shí)現(xiàn)資源共享,但資源共享和信息以根據(jù)機(jī)構(gòu)發(fā)放的權(quán)限以及定義的安全策略控制用戶訪問,安全是一對矛盾體。隨著資源共享的進(jìn)一步加強(qiáng),隨之而來保護(hù)應(yīng)用系統(tǒng)。然而,過去在權(quán)限生命周期管理,權(quán)限的表的信息安全問題也日益突出,而身份認(rèn)證、權(quán)限和訪問控制達(dá)和權(quán)限管理方式方面沒有更成熟更實(shí)用的成果,權(quán)限管理又是網(wǎng)絡(luò)應(yīng)用安全的兩個(gè)重要內(nèi)容,因此它們也成為當(dāng)前信方案發(fā)展相對滯后。息安全領(lǐng)域中的研究熱點(diǎn)。許多應(yīng)用系統(tǒng)都需要分別在這兩相反,訪問控制,或者說授權(quán)服務(wù),已經(jīng)十分成熟,在過個(gè)方面采取相應(yīng)的安全措施,但是,對一些大型的組織機(jī)構(gòu)去的研究和應(yīng)用中已經(jīng)獲得了很多的成果,建立了我們目前主來說,其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,應(yīng)用系統(tǒng)比較多,如果分別對要使用的DAC、ACL、MAC、RBAC訪問控制模型。傳統(tǒng)的不同的應(yīng)用系統(tǒng)采用不同的安全策略,管理將變得越來越復(fù)應(yīng)用系統(tǒng)通常是通過使用用戶名和口令的方式來實(shí)現(xiàn)對用戶的甚至難以控制。由于機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,應(yīng)用系訪問控制,而對權(quán)限旳控制是毎個(gè)應(yīng)用系統(tǒng)分別進(jìn)行的,不同統(tǒng)和用戶都是分散分布的,不同的用戶對應(yīng)不同的應(yīng)用系統(tǒng),的應(yīng)用系統(tǒng)分別針對保護(hù)的資源進(jìn)行權(quán)限的管理和控制,這種因此對用戶的訪問控制和權(quán)限管理就顯得非常的復(fù)雜和淩亂。方式存在一些缺點(diǎn)。同時(shí),又因?yàn)椴煌到y(tǒng)的設(shè)計(jì)和實(shí)施策略而機(jī)構(gòu)必須要能夠控制:有“誰”能夠訪問機(jī)構(gòu)的信息,用不同,導(dǎo)致了同一機(jī)構(gòu)內(nèi)存在多種權(quán)限管理的現(xiàn)狀。2什么是PM收稿日期:2006-10-27目前,在信息化建設(shè)過程中,權(quán)限管理通常采用PM技作者簡介:趙曉東,男,漢族,1978年生,航天科技財(cái)務(wù)有術(shù)。PM是“ Privi l ege Managerment I nf r astr uct ur e”的縮限責(zé)任公司,學(xué)士,工程碩土在讀,研究方向?yàn)橛?jì)算機(jī)應(yīng)用寫,意為“授權(quán)管ITIIT n+c" i onal信息安全。Tel communi cat i中國煤化工neeri nCNMHG164www.cismag.com,cm學(xué)術(shù)研究Ac ademi c Resear chTask Force)使用屬性證書實(shí)現(xiàn)了PM于促進(jìn)統(tǒng)一身份管理和授權(quán)系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)各自向著規(guī)授權(quán)管理基礎(chǔ)設(shè)施是屬性證書、屬性權(quán)威、屬性證書庫范化的方向發(fā)展等部件的集合體,用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撒銷等功能。建立PM的目的是管理權(quán)限的生存周4授權(quán)模式的變化期,通過PM對證書和權(quán)限的管理,可以為應(yīng)用系統(tǒng)建立控制策略規(guī)則是隨著應(yīng)用變化的,而權(quán)限是可以不必依個(gè)高安全強(qiáng)度,更易維護(hù)管理,擴(kuò)展能力極強(qiáng)的訪問控制環(huán)賴于具體的應(yīng)用進(jìn)行管理的,比如說,一個(gè)注冊會(huì)計(jì)師,他境,提供可以不斷延伸和標(biāo)準(zhǔn)化的授權(quán)平臺(tái)。同公鑰基礎(chǔ)設(shè)擁有國內(nèi)會(huì)計(jì)師注冊機(jī)構(gòu)頒發(fā)的會(huì)計(jì)師資質(zhì),但是,在不同施PK相比,兩者主要區(qū)別在于:PK證明用戶是誰,而PM的企業(yè)內(nèi),他能夠接觸的資料范圍是完全不同的,或者說,他證明這個(gè)用戶有什么權(quán)限,能干什么,而且授權(quán)管理基礎(chǔ)設(shè)的權(quán)限是根據(jù)不同情況變化的。導(dǎo)致變化的原因是每個(gè)企業(yè)施PM需要公鑰基礎(chǔ)設(shè)施PKI為其提供身份認(rèn)證。對會(huì)計(jì)師能夠訪問的范圍根據(jù)自己的情況進(jìn)行了具體的定義也就是使用了不同的策略3深入認(rèn)識(shí)PM基于PM,就可以本著“誰負(fù)責(zé),誰授權(quán)”的原則,將PM實(shí)際提岀了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施,能夠與權(quán)限分配、發(fā)布、撤消過程與權(quán)限在應(yīng)用系統(tǒng)中的使用和驗(yàn)和目錄服務(wù)緊密地集成,并系統(tǒng)地建立起對認(rèn)可用戶的證等一系列活動(dòng)分成兩個(gè)相對獨(dú)立的過程。對權(quán)限的分配、特定授權(quán),對權(quán)限管理進(jìn)行了系統(tǒng)的定乂和描述,完整地提存儲(chǔ)、分發(fā)、撤消旳過程,我們稱其為授權(quán)管理過程,使用供了授權(quán)服務(wù)所需過程。建立在PKI基礎(chǔ)上的PM,以向用PM進(jìn)行管理;另一個(gè)相對獨(dú)立的過程是用戶使用授權(quán)管理戶和應(yīng)用程序提供權(quán)限管理和授權(quán)服努為目標(biāo),主要負(fù)責(zé)向過程產(chǎn)生的權(quán)限訪問應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)根據(jù)系統(tǒng)定義的控業(yè)務(wù)應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身制策略判斷用戶權(quán)限的合法性,并允許或拒絕訪問的過程份到應(yīng)用授權(quán)的映射功能,能夠?yàn)楦鞣N應(yīng)用系統(tǒng)提供統(tǒng)一的這個(gè)過程我們稱其為訪問控制過程。授權(quán)管理平臺(tái),極大地提高權(quán)限管理的安全性,并簡化應(yīng)用當(dāng)將傳統(tǒng)的訪問控制過程明確地區(qū)分為這兩個(gè)獨(dú)立的過開發(fā)。更為重要的是,PM為應(yīng)用提供一致和標(biāo)準(zhǔn)的權(quán)限服程時(shí),我們能夠更清晰地劃分職責(zé),規(guī)范業(yè)務(wù)管理流程和減務(wù),強(qiáng)有力地支持與應(yīng)用的集成,使用戶建立的訪問控制體輕系統(tǒng)管理的復(fù)雜性。這時(shí)人事官員或權(quán)限管只責(zé)是系能支持大量的用戶和訪問控制應(yīng)用,并能夠有效地控制管根據(jù)所轄用戶的真實(shí)情況給他授權(quán)(分配某個(gè)角色),只要這理的復(fù)雜性,可以根據(jù)應(yīng)用的發(fā)展隨時(shí)在體系中加入新的訪個(gè)授權(quán)符合總體授權(quán)策略就不必關(guān)心具體讓用戶訪問哪一個(gè)問控制應(yīng)用應(yīng)用系統(tǒng);而資源和數(shù)據(jù)的管理和保護(hù)人員只是按照訪問控需要注意的是,PM的提出實(shí)際是為各類實(shí)體提供了制策略來為毎個(gè)角色賦予能夠訪問的資源的范圍,而不必關(guān)種規(guī)范化和可交互的描述能力,而不是一種具體的授權(quán)管理心要為哪-個(gè)人分配什么樣的權(quán)限。這樣能夠使毎個(gè)人只是實(shí)現(xiàn)模式。PK/PM聯(lián)合為各類實(shí)體建立了一種標(biāo)準(zhǔn)的標(biāo)識(shí)關(guān)注自己的業(yè)務(wù)工作,減輕了管理員負(fù)擔(dān),而且容易界定問方法、規(guī)范化的實(shí)體知識(shí)描述方法和安全一致的發(fā)布方法。題的責(zé)任范圍這就使得統(tǒng)一或分散的管理模式下產(chǎn)生的實(shí)體和實(shí)體信息能夠以可信的方式跨越不同的應(yīng)用系統(tǒng)邊界(不必在應(yīng)用5PM的建設(shè)模式A和B中分別管理這些信息),并為各類應(yīng)用系統(tǒng)認(rèn)證和授權(quán)PM作為與PK緊密集成的基礎(chǔ)設(shè)施,擴(kuò)展了PK作為提供必要的信息。在管理上,PM為跨越不同的應(yīng)用系統(tǒng)邊基礎(chǔ)設(shè)施在實(shí)體管理方面的能力。PM在大型系統(tǒng)中更為界,對機(jī)構(gòu)外用戶(甚至是未知用戶)進(jìn)行授權(quán)管理提供了可般性的作用是作為權(quán)威源( SOA, Sour ce af Aut horit y)1對能。在這個(gè)意義上,基于PKI/PM構(gòu)造的統(tǒng)一身份管理和各業(yè)務(wù)機(jī)構(gòu)的權(quán)威或資信進(jìn)行管理(如許可證、執(zhí)照、實(shí)體屬授權(quán)系統(tǒng)完全可以作為信息化系統(tǒng)中規(guī)范的全局實(shí)體管理系性)。這種權(quán)威往往是不可讓渡的,即權(quán)力完全由擁有者行使統(tǒng)的核心。而且,身份證書和屬性證書本質(zhì)上降低了實(shí)體管(或進(jìn)行委托),而不能由其它機(jī)構(gòu)和人代為行使(或得到委理和授權(quán)系統(tǒng)與應(yīng)用系統(tǒng)的偶合度。證書是各類管理系統(tǒng)的托)。為此,應(yīng)使用PM為這些資信和權(quán)限的管理提供管理支產(chǎn)物,由相關(guān)業(yè)務(wù)部門根據(jù)規(guī)范流程和需要進(jìn)行管理,不受持,以保證資信和權(quán)限存在旳合法性和與應(yīng)用系統(tǒng)的交互能某個(gè)具體業(yè)務(wù)系統(tǒng)的應(yīng)用模式和訪問控制模式旳影響。各種力。目前,國內(nèi)已建的PM主要對人員屬性進(jìn)行管理,本質(zhì)業(yè)務(wù)應(yīng)用系統(tǒng)對所有實(shí)體證書使用一致的模式獲取、驗(yàn)證和上是一個(gè)人員信中N類似人員屬性管解析,而不必考慮管理系統(tǒng)流程的變化。這種方式非常有利理的方式,在各YHe中國煤化工類實(shí)體建立規(guī)CNMHG信息安全與通信保165學(xué)術(shù)研究Ac adem c Research范的屬性知識(shí)描述,為各類應(yīng)用系統(tǒng)的授權(quán)和訪問控制提供的訪冋控制提供標(biāo)準(zhǔn)化旳授權(quán)接口;使統(tǒng)一或分散的管理模必要的信息式下產(chǎn)生的授權(quán)信息,能夠以可信的方式跨越不同的應(yīng)用系從管理和效率考慮,可以建立全局性、統(tǒng)一的PM,管統(tǒng)邊界,為大型應(yīng)用系統(tǒng)信息化整合提供了重要的支撐杋制。理面向全網(wǎng)的權(quán)限和資信信息,這也意味著各機(jī)構(gòu)對代表所有機(jī)構(gòu)進(jìn)行全局管理的PM進(jìn)行了權(quán)限委托。對那些局限于參考文獻(xiàn)某個(gè)區(qū)域、機(jī)構(gòu)或者應(yīng)用的資信管理,可以考慮建立相應(yīng)資1]張健,胡成全,孫吉貴,馬春旺,齊紅.基于PK信和權(quán)限管理系統(tǒng)(或建立獨(dú)立的PM,主要基于安全性和規(guī)技術(shù)的PM的研究與實(shí)現(xiàn)].計(jì)算機(jī)集成制造系統(tǒng),2005,11模因素),即可建設(shè)一個(gè)全局性的PM(降低應(yīng)用復(fù)雜性)和為(6:881-884某些業(yè)務(wù)系統(tǒng)建設(shè)特定權(quán)威的PM2]馮瑜瑾,丁志強(qiáng),羅永紅.屬性證書:將PK擴(kuò)展到授權(quán)領(lǐng)域的數(shù)字證書[].云南大學(xué)學(xué)報(bào)(自然科學(xué)版),20036結(jié)論25(6A:111-115在PK得到較大規(guī)模應(yīng)用以后,人們已經(jīng)認(rèn)識(shí)到需要超[3] ITU T Recormmendat i on. X509 ISOI EC 9594-越當(dāng)前PK提供的身份驗(yàn)證和機(jī)密性,步入授權(quán)驗(yàn)證的領(lǐng)域,8 I nf or nat i on technol ogy open syst emi nt er connect i on提供信息環(huán)境的權(quán)限管理將成為下一個(gè)主要目標(biāo)。PM可以 t he di rect ory: publ i c key and at tri but e certi fi cate為應(yīng)用系統(tǒng)提供適合應(yīng)用規(guī)模和投資額度權(quán)限管理支持和服 fr amcor k務(wù);能夠極大地降低由多個(gè)相同或不同的應(yīng)用組成的安全域4洪帆,張馳.基于屬性證書的特權(quán)管理基礎(chǔ)設(shè)施[]內(nèi)授權(quán)管理系統(tǒng)的開發(fā)周期和成本;為各種規(guī)模的安全應(yīng)用微計(jì)算機(jī)應(yīng)用,2005,26(4:398-401.(上接第163頁)產(chǎn)和安全狀況普査,然后對典型抽樣節(jié)點(diǎn)進(jìn)行深入調(diào)查和安全風(fēng)險(xiǎn)評估,只有這樣才能設(shè)計(jì)出具有針對性、符合具體發(fā),則由本地的審核中心向集團(tuán)公司總部的一級∝A系統(tǒng)發(fā)企業(yè)要求的信息安全保障體系。本文就是基于這樣的理念出申請后,由一級A系統(tǒng)簽發(fā)。通過信用上溯和信用下傳,在參考相關(guān)標(biāo)準(zhǔn),并結(jié)合具體工程實(shí)踐,設(shè)計(jì)出構(gòu)建煤業(yè)集不同證書持有者之間可以建立起信任關(guān)系。團(tuán)信息安全體系的方法,并應(yīng)用到神華寧夏煤業(yè)集團(tuán)公司全網(wǎng)統(tǒng)一的安全管理中心(SαOa傳統(tǒng)的安全管理的安全體系設(shè)計(jì)項(xiàng)目中,取得了良好的效果方式是將分散在各地、不同種類安全系統(tǒng)就近分別管理,這樣導(dǎo)致安全信息互不相通,安全策略難以保持一致,是許多參考文獻(xiàn)的運(yùn)行管理權(quán)利集中到一起,通過高度自動(dòng)化的管理手段, I nf or ati on Security Manageer, e of practi ce for安全隱患形成的根源之一。安全管理中心將安全保護(hù)設(shè)施[1] I SOIEC 17799: 2005, Code將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種安全產(chǎn)品有機(jī)2] ISOI EC 27001 2005, I nf or at i on technol ogy地結(jié)成一個(gè)整體,實(shí)行一體化管理。在煤業(yè)集團(tuán)中建設(shè)和部 Security techni ques- I nf or mat i on securi ty nanagement署安全管理中心是對傳統(tǒng)管理方式的一種重大變革,它將 systens requi repent s安全防御上升到了一個(gè)新的、全局的高度,幫助企業(yè)從分散3]美國國家安全局發(fā)布,信息保障技術(shù)框架.北京的安全轉(zhuǎn)向集中的、可管理的安全。中軟電子出版社,20024]吳昌倫,王毅剛.PDA過程模式在信息安全管4結(jié)束語理體系的應(yīng)用 ht t p: //w cof I y. com f or um PDCA.信息安全是一個(gè)動(dòng)態(tài)發(fā)展、充滿對抗性的領(lǐng)域,它伴doc.隨著信息技術(shù)和攻擊手段的發(fā)展而不斷進(jìn)步。人們對于信5]田野.信息安全等級保護(hù)體系設(shè)計(jì) ht t p://息安全的認(rèn)識(shí)也由過去一味強(qiáng)調(diào)技術(shù)和產(chǎn)品轉(zhuǎn)變到現(xiàn)在的ww. cCw com cn/04/0412/e/0412e521.asp人、技術(shù)和運(yùn)行三個(gè)維度,通過構(gòu)建信息安全風(fēng)險(xiǎn)管理體系[6]安全風(fēng)險(xiǎn)管理指南 ht t p: //w m cr os of t和技術(shù)體系來保障系統(tǒng)的安全。在具體實(shí)踐中,需要對信息 cord chi na/ technetcl/def aul t系統(tǒng)的各方面進(jìn)行完整、深入的調(diào)研,以及大范圍的信息資px.←中國煤化工CNMHG166WW. CIsmacOnm-6n