面向企業(yè)管理的通用訪問控制管理框架研究.pdf

1、信息化技術的創(chuàng)新和發(fā)展對現(xiàn)代經濟社會的進步起到了舉足輕重的作用，信息資源也成為了企業(yè)組織的重要生產要素、無形資產和社會財富。信息化與經濟全球化相互交織推動著全球產業(yè)分工深化和經濟結構調整，也帶動著企業(yè)組織戰(zhàn)略、組織結構以及管理方式的改變。根據(jù)國家信息化測評中心2007年中國企業(yè)信息化500強調查與測評結果顯示，對于國內企業(yè)組織特別是大型企業(yè)組織來說，信息化建設勢在必行，因為它已漸漸成為提高企業(yè)管理效率和核心競爭力的重要而且必要的手段。

2、 在企業(yè)的信息化建設過程中，企業(yè)信息化安全管理體系貫穿始終，涉及物理安全、網絡安全、數(shù)據(jù)安全、內容安全、信息網絡基礎設施安全以及公共與國家信息安全等多個方面，具有多維性、多因素、多層次和多目標的特點。其中網絡安全是基礎，系統(tǒng)安全是關鍵，信息安全是核心，制度安全是保障。在信息社會，沒有各種信息的有效支持，沒有信息安全作保障，企業(yè)就不可能生存和發(fā)展。鑒于信息安全對企業(yè)管理的重要性，選取其中的權限訪問控制作為本文的切入點和立足點。

3、 作為國際標準化組織ISO提出的五大安全服務之一，訪問控制技術的主要任務是保證系統(tǒng)資源不被非法使用和非法訪問，從而使計算機系統(tǒng)在合法范圍內使用，其基本概念包括用戶、客體、操作和權限等。30多年的發(fā)展過程中，出現(xiàn)很多有名的訪問控制方式包括自主訪問控制(DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)和基于任務的訪問控制(TBAC)，而后兩種方式的研究最具有代表性和影響力。RBAC的主要思想是用戶和權限通過角色相關聯(lián)，對用

4、戶的授權通過賦予用戶相應的角色來實現(xiàn)。而 TBAC是以任務、活動為中心來建立的安全模型和實現(xiàn)機制，在進行任務處理過程中，對信息對象的訪問權限是隨著執(zhí)行任務的上下文環(huán)境而變化的。他們也是本文訪問控制管理框架通用性研究的理論基礎。 事實上，大多數(shù)國內外對訪問控制技術的研究方興未艾，有針對某個或某系列的模型的深化擴展，有關于不同模型之間的整合與應用。但真正具備抽象意義和實現(xiàn)價值的通用訪問控制管理框架并不多。前期學者的研究或集中在通用訪

5、問控制框架(GFAC)在操作系統(tǒng)層面的應用和優(yōu)化，對其基本理念進一步深入和改進，但不涉及企業(yè)應用程序領域；或針對GFAC與RBAC的結合進行某個系統(tǒng)開發(fā)上的設計，在系統(tǒng)性和通用性上略有欠缺；或使用軟件復用技術達到面向對象，并包容業(yè)務規(guī)則變化，但未能包含諸如針對工作流和客體狀態(tài)等訪問控制需求。本文為解決上述研究的不足，提出一種面向企業(yè)應用系統(tǒng)集成和信息安全控制的通用管理框架，意圖借助科學技術手段與管理方法改進使得應用系統(tǒng)實現(xiàn)其社會、經濟、

6、生態(tài)效益的滿意化。 借鑒ARBA02模型管理范圍的定義與TBAC模型的協(xié)作概念，本文在管理框架中定義了基本的管理內容即訪問控制中共有的組件，具體來說是訪問控制的主體(包含管理者)和權限(細分為操作和對象)，也定義了管理者的管理范圍，即由其可管理的主體和權限共同確定，而管理者對訪問控制策略的管理操作必須在其管理范圍內。此通用管理框架抽象了訪問控制模型中的基本概念用戶、管理員、操作和對象作為管理內容的基本定義，將企業(yè)內復雜的業(yè)務邏輯

7、高度抽象為應用集作為框架的基本管理單元。而對應的，管理者的管理操作是否被允許則需驗證管理操作涉及的管理內容是否在其被授權的管理單元內。 文中以集合論等形式化語言系統(tǒng)地定義和描述框架中的基本概念和操作規(guī)則，包括U、AU、OB、OP、POLICIES和APp等六個集合，UAP、AUAP、OBAP、OPAP、PoAP和APC等六個關系，以及policyUser，policyOB和policyOP三個與策略相關的函數(shù)，以提供一個統(tǒng)一的抽

8、象接口來確定策略的管理內容從而確定其管理單元。在此基礎上，文中討論了管理框架應該具備的12個管理操作和規(guī)則，并論證了框架在訪問主體和訪問權限兩個方面都是完備的，最后結合了人事管理、售后客服、銷售管理與財務管理等四個基本企業(yè)應用系統(tǒng)的邏輯關系討論了框架內應用集的協(xié)同關系(APC)，最終證明此管理框架在理論意義層面的完整性和邏輯性。 為進一步論證所述管理框架的通用性與可行性，本文從軟件工程設計的角度，設計用戶管理、操作管理和對象管理

9、作為訪問控制管理框架的三個基本功能模塊，界定規(guī)則管理、訪問管理和訪問控制模式工廠作為框架的訪問控制部分，實現(xiàn)了訪問控制模式與應用程序的對應和調用，達到了對應用程序權限訪問控制的集中管理。具體來說，在管理框架運行過程中，一旦應用程序在框架內啟動，框架系統(tǒng)將獲得應用程序的對應注冊信息，并找到其綁定的訪問控制模式參數(shù)。訪問管理部分獲得這個參數(shù)后傳值給訪問控制模式工廠的接口，由訪問控制模式工廠與該應用程序交互獲得具體的規(guī)則信息和應用程序的其他注

10、冊信息，在具體類中創(chuàng)建一個訪問控制模式的實例，并返回給訪問管理部分。訪問管理部分接收此實例后返回給應用程序作為權限控制的具體模式，而與訪問控制模式相關的概念和應用程序的處理邏輯均在具體類中實現(xiàn)。 另一方面，針對管理框架在實際軟件開發(fā)中的應用，本文主要應用了軟件設計模式中的工廠方法模式、命令模式和狀態(tài)模式優(yōu)化設計其框架類圖，并使用UML中的時序圖對RBAC和TBAC兩類控制模式在框架中的授權流程加以描述。最后結合廣鐵集團下屬單位的

11、實際系統(tǒng)討論了文章涉及的框架設計理念與應用情況。 總體來說，本文以計算機信息安全控制為技術應用角度，以企業(yè)信息化建設和管理為切入點，以權限訪問控制為理論實踐方向，充分體現(xiàn)信息技術與經濟管理的結合。本研究主要工作與創(chuàng)新主要體現(xiàn)在管理學與計算機應用的整合過程中，批判性的分析前人的研究成果，針對其不足提出系統(tǒng)性的管理框架，并結合軟件設計方法實證了框架的實用性和可行性，達到了學術價值和實踐價值的二重效應。而本文提出的通用訪問權限框架在實