引言

随着计算机技术和通信技术的快速发展，计算机及其网络成为泄密的重要渠道和被攻击的目标。涉密的建设过程中，《涉及国家秘密的信息系统分级保护技术要求》和《涉及国家秘密的信息系统分级保护管理规范》是主要遵循的标准。访问控制作为信息系统保护框架中的核心措施之一，在标准和法规中始终贯穿了分级保护思想，如对物理层和网络层边界环境的访问，应按安全域等级或风险分析得到的安全需求，选择不同力度的措施进行保护。在系统应用层的层面，现有系统多是针对具体的某个薄弱点，从软件技术上组织局部安全策略，控制措施无法形成系统化的合力以保证控制的粒度。

本文以工作中涉及国家秘密的OA系统为研究对象，探讨在应用层访问控制设计过程中分级保护思想的应用，并给出了一个以Oracle9i和IBMDomino／Notes为数据库工具构建的典型OA系统的应用层访问控制的模型。模型涉及具体设计措施包括：采用C／S和B／S二元体系结构来适应复杂的网络环境；采用改进的基于角色的访问控制策略(RBAC)使用户与权限的关系清晰灵活，并结合对主客体的分级设置克服了传统RBAC的一些缺陷；管理员三权分立与审计有效解决了其权限过大对系统的威胁；数据库的综合审计及对审计日志的分级存储处理，为包括管理员在内的所有用户的操作问责提供了有效依据。

1系统体系结构

从系统的整体结构上来看，涉密系统采用数据层、逻辑层和表现层的三层软件体系架构，同时根据管理员和普通用户的不同需求，将逻辑层放在客户端或服务器端，即采用Client／Server和Browser／Server混合的架构，简化了网络应用的开发与运行维护，如图1所示。

图1系统体系结构

以往的信息系统包括涉密系统多采用单纯的C／S或B／S系统，使程序难以适应复杂的网络环境，网络配置和应用模式死板，不可避免地会因网络功能与安全策略冲突而产生漏洞。系统开发技术人员多争执于两种架构的优劣比较，对某一系统具体安全需求的分析却不足。相比于一般信息系统，涉密办公类信息系统又有其特殊的情况和需求。涉密系统多在一个封闭的环境中，为固定群体提供服务，具有对权限多层次校验，处理用户面固定且对用户要求高、安全需求层次高等特点，迎合了C／S结构的专长，因而C／S结构可被系统中数据维护人员、专业分析人员等管理员类角色使用；而另一方面，对系统中其他的一般工作人员，Browser／Server又可以灵活建立在广域网的基础上，降低对客户端操作人员和操作环境的要求，简化网络开发与运行维护的成本。因而在系统开发中，可以采用一种基于C／S与B／S混合的架构，再依据系统的具体需求加以细节变化。

2应用层访问控制策略

安全访问控制策略提供了分配用户访问权限的依据，从而截断破坏系统与泄密数据的途径。按照安全访问控制策略授予的用户权限，应是用户能完成其工作的最小权限集合。访问控制模型应能够准确表达和分析系统访问控制策略，有效监控资源访问活动，仅授权用户在合法的时间内才能获得有效的访问权限，从而防止非法入侵和泄密数据。系统中访问控制主要集中于物理层，网络层和应用层三个层次，本访问控制模型定位于应用层，改进了基于角色的访问控制机制，实现用户与访问权限的分离，构建可靠、安全的访问构架。

2.1改进基于角色的访问控制

在涉密信息系统中，安全管理工作较为复杂，一般包括大量不同敏感程度的信息和各种访问需求的用户。系统采用基于角色的访问控制模型(RBAC)，并引入信息主客体分级加以改进，防止越权。

RBAC包括以下几种对象：(1)用户，一个可以独立访问计算机系统中的数据或者用数据表示的其它资源的主体；(2)角色，系统中具有某一种或多种权限的对象，权限和角色本身都可以增加和删除；(3)权限，对计算机系统中的数据或者用数据表示的其它资源进行访问的许可。RBAC的方法是安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程被分成两个部分：即访问权限和角色相关联。角色再与用户关联，从而实现了用户与访问权限的逻辑分离，并通过分配和取消角色来完成用户权限变化，给出静态与动态授权约束。

但基本的RBAC方法也存在着两个常见问题：(1)较大主客体系统运行时的控制粒度；(2)系统中客体交换缺少限制。

本模型从系统建设的角度出发，对第一个问题的解决方法为：用户除关联带有固定权限级别的角色外，再附加部门参数(或系统应用单位依据实际情况，自定一个相同组织结构意义的参数)。

除了非密公告性信息，一个部门内信息即使其密级低于外部门一个业务不相关人员的密级，该消息也不能为此人所访问；对需要部门间协同的工作中的信息流转，应在对应的部门内建立专门的人员传递通道。人员无法访问的信息，不仅包括“由于密级不够而不能访问”的信息，也包括“由于业务无关而不必访问”的信息。这样既有力地规范了信息的流向，减小了人员的可能知悉范围，反过来又在人员的工作中增加了其所接触信息的有效性，减小了人员的工作负担和差错率。为适应单位内偶尔的部门成立、撤销和整合，系统提供专门的模块用来设置组织部门。在新设定的部门内对角色进行增减，从权限表为其赋予合适的权限。

RBAC系统实现了用户与访问权限的逻辑分离，清晰描述了角色层次关系，而部门参数的引入减小了信息控制的粒度，提高了系统的效率。该系统易于进行多用户多级别的权限管理，保护工作流中的应用数据不被非法浏览或修改。在主客体分级保护的轮廓内，每个用户只能访问和操作其所在部门内、不高于自己密级的信息，只能在与本身工作直接相关的主体范围内接受和流转信息。实现了最少权限原则——这也是涉密系统工作的基本原则之一。结合用户登录鉴别和审计机制，构成了可靠的安全访问框架，如图2所示。

图2信息访问框架

而RBAC存在的另一个问题，可以通过客体的存储分级保护来解决。

国家法规规定，按照主体类别、客体类别进行涉密信息和重要信息的访问控制。本模型设计了主客体分级结构，做到主体控制到具体用户，客体控制到信息类别，如图3所示。

图3主客体分级对应

每个主体和每个客体都必须明确其对应的分级项，作为其必要的标记属性。系统从“密级”和“职务一类别”两个角度控制重要信息的访问，限定哪些信息可以为哪些用户使用。系统中信息客体按密级从低向高分为非密、秘密、机密、绝密，对应的信息主体也分为非密、秘密、机密、绝密。引入传统强制访问控制的思想，确保密级信息的知悉范围，杜绝高密信息流向低密人员的现象和工作流中低密级用户收发高密级文件。每个用户只接触自己被授权范围内的信息。

系统同时采用对信息客体按密级不同存放在不同数据库服务器节点的措施，对各密级服务器采取专门的不同强度的保护，降低数据存储的风险。信息分布式分级存储还将应用于审计日志，后文中将讲述。同时阻止不同密级服务器节点间的数据交换，缓解了RBAC中“访问过程中产生的客体间信息流可能因为不明确的信息流控制方法导致用户获得非法数据”的结构缺陷问题一。