紧扣时代脉搏,构建安全运维 (连载一)
本文章出自圣博润 (转载请注明出处)
紧扣时代脉搏,构建安全运维
——全国海关运维审计系统权限模型研究与实现
1项目背景
在金关工程一期建设中,全国海关初步建立了安全防护体系。在金关工程二期建设中,将在充分利用金关一期建设的标准规范、信息资源、网络系统、安全系统、基础设施等基础上,对应用系统、网络系统、安全系统、运行维护系统等进行部分升级改造。
运维操作审计系统是金关工程二期安全系统建设的重要组成部分,其将在一期工程中实现的内部安全域划分基础上,结合已部署数据库审计设备功能,实现对信息系统运维人员的操作方法、操作过程、操作结果、系统提示等进行全方位的记录,并可以进行“行为重现”,以便对操作行为的真实性、正确性、合规性、效益性进行审查和监督。
堡垒机作为新兴的运维管理工具,其应用范围越来越广。越来越多的政府部门选择使用堡垒主机系统地制度化地规范本单位及第三方运维人员的操作行为。堡垒机作为统一的运维认证入口和审计平台也越来越多的受到各级领导的重视。
长期以来,全国海关运维工作缺乏统一有效的运维审计体系及制度,本项目在金关二期安全系统建设基础上设计适合海关全网工作模式的运维审计权限体系。使各级运维人员及主管领导均能明确并行使合理有效的管理权限,有效的规范了运维管理体系并可在制度层面上保证运行维护工作的信息安全。
2权限模型的必要性
全国海关自2015年以来开始建设全国范围内的运维审计系统,在此之前,全国海关的运维管理体系相对混乱,各地方海关的信息化建设水平参差不齐。因此有必要通过建设本期运维审计系统,统一全国海关的运维审计策略、授权审批策略、统一认证策略。
在充分研究了传统权限模型及全国海关运维审计特点后,我们设计了符合角色访问控制(RBAC)同时融合了全国海关现阶段实际运维管理需求的权限模型。
3权限模型设计
3.1基于角色的权限控制模型
对于权限管理,国外学术界已经作了大量的理论研究工作,提出了许多种模型。目前主流的访问控制策略主要有自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)三种。前两种均属于传统的访问控制策略,既工作量大,又不便于管理。RBAC是当前信息系统资源访问控制公认的有效方法。
基于角色的访问控制模型(RBAC)是由David Fenaiol Richard Kuhn等提出的。RBAC包含三个实体:用户、角色和权限。用户是对数据对象进行操作的主体,可以是人、机器人和计算机等。权限是对某一数据对象可操作的权利。角色的概念源于实际工作中的职务。一个具体职务代表了在工作中处理某些事务的权利。把这个概念引入授权管理中,则角色作为中间桥梁把用户和权限联系起来。 传统的企业权限系统设计一般由系统功能、系统角色、系统用户、角色功能关联和用户角色关联五部分构成,其具体实现是用户被分配角色,角色来具体访问系统功能的权限。即其数据库的ER关系表示如下图所示。
1.1.1部门、用户组、资源组
(方括号【】为部门,圆括号()为组)
| 说明 | 展现图 |
部门树 | 属性:部门名称、上级父部门。 创建方式:只能由超级管理员创建。 描述:表现形式为树形,且支持多级扩展。一般按照客户单位实际的IT运维组织架构进行创建。 |  |
用户树 | 属性:用户组名称、上级用户树(唯一)、归属部门(唯一)。 创建方式:由超级管理员或部门配置管理员创建。 描述:表现形式为树形,且支持多级扩展,但用户组由本部门配置管理员创建。一般用户组是部门配置管理员对组内及组外人员的主观分组方式。 | 信息安全部管理员可见的用户树  |
资源树 | 属性:资源组名称、上级资源组(唯一)、归属部门(唯一)。 创建方式:由超级管理员或部门配置管理员创建。 描述:表现形式为树形,且支持多级扩展,但资源组由本部门配置管理员创建。一般资源组是部门配置管理员对组内资源的主观分组方式。 | 开发一部管理员可见的资源树  |
1.1.1角色定义及说明
1.1.1.1预置角色
先实现预置的固定角色,后实现自定义角色功能。具体的固定角色用户身份请参考下表:
角色 | 说明 | 如何赋予 | 其他约束 |
初始配置账号 | 设备到货后上线或测试使用前出厂系统默认自带的账号,也就是系统默认的初始化账号。可以将超级管理员角色分配给某个用户。 初始配置帐号建议在做完产品实施后,将产品正式移交给用户时删除。 | 新机自带 | 在有其他超级管理员时可以被自身或其他超级管理员移除。 |
超级管理员 | 管理运维操作审计系统设备运行配置,管理用户,系统策略调整用户,也是系统最高级别的权限。 | 超级管理员身份只能由初始化账号或超级管理员账号赋予 | 一个账号体系可持有超级管理员权限的人员不得少于1个。 |
部门配置管理员 | 操作运维操作审计系统内部的用户、资源、资源账号、授权关系等信息,具备本部门的设备、用户管理、口令修改计划、口令备份计划能力。但不具备本部门任何审计权限。 该权限与密钥管理员权限、审计管理员权限互斥。 | 由超级管理员指定或由同级或上级部门配置管理员赋予 | 一个部门可以有多个部门配置管理员但部门配置管理员必须是部门内的用户不能来自部门外部其他部门。部门配置管理员可以被上级、同级部门配置管理员或超级管理员移除身份或删除。 |
密钥管理员 | 仅具有接收口令改密计划产生的密码包相对应的解密密钥权限。 该权限与部门配置管理员权限互斥。 | 由超级管理员指定或 由部门配置管理员赋予 | 一个部门可以有多个密钥管理员但密钥管理员必须是部门内的用户不能来自部门外部其他部门。密钥管理员可以被部门配置管理员或超级管理员移除身份或删除。 |
审计管理员 | 可以查看本部门的人对运维操作审计系统的操作(登录、登出、修改配置等);本部门的人对本部门或其他部门的设备的操作;其他部门的人对本部门设备的操作。 该权限与部门配置管理员权限互斥。 | 由超级管理员指定或 由同级或上级部门配置管理员赋予 | 存在根节点审计管理员,根节审计管理员由初始化帐号或超级管理员指定。 部门审计管理员,一个部门可以有多个审计管理员但必须是部门内的用户不能来自其他部门。审计管理员可以被同级或上级部门配置管理员或超级管理员移除身份或删除。 |
运维操作员 | 具体被授权并可操作相关设备资源的用户,是运维操作审计系统真正的最终服务用户。 | 由超级管理员指定或 由同级或上级部门配置管理员赋予 | 一个部门可以有多个运维操作员,本部门设备的运维操作员可以选择其他部门的用户。运维操作员可以被部门配置管理员或超级管理员移除身份或删除。 |
各内置角色相互关系如下图所示:
1.1.1.1.1角色权限范围
不同类型的各类身份角色在系统中可见的模块地图并不一致,下面分别采用图示的方法描述各个角色所能够管理的模块维度范围。
产品整体模块
1.1.1.1.1权限约束规则
固定角色的权限约束
部门配置管理员具备计划任务权限,并保管改密后的密码包,解密密钥由密钥管理员保管;
部门配置管理员权限仅与审计员权限互斥;部门配置管理员与密钥管理员互斥;审计员可以具备选择密钥管理员权限;
密钥管理员、审批权限、运维操作员为可复选权限(审批权限作用范围:命令复核、审计查看、审计下载、上级审批);
审计员的权限以部门为节点可以查看配置审计、运维审计(本部门的人访问本部门的设备、本部门的人访问其他部门的设备、其他部门的人访问本部门的设备)。
部门、用户、资源、组的约束
资源只能归属于一个部门,同一部门下的资源可以属于本部门下的多个资源组;
一个用户可以属于多个组(本部门的用户组、其他部门的用户组);
部门下用户、资源做部门移动时,默认需要移出该在当前部门下的用户组、资源组;
用户、资源做部门移动时,弹出提醒,将移除用户、资源的所有权限及访问关系;
用户分组、资源分组主要目的是为了便于访问授权(单对多、多对多、多对单)。
默认存在根部门概念;
组下不能存在部门只能存在子组或本身就是叶节点;
上级部门的审计管理员、部门配置管理员对下级部门同样具有审计权限、配置权限;
存在根审计管理员概念,根审计管理员由超级管理员或初始配置账号创建;
流程审批及审计。
流程控制模块对运维操作员开放,包括双人审批、主副岗审批、上级审批(需具有审批权限);
审计员具有对归档工单的查看权限。
1.1.1.2自定义角色
自定义角色权限可根据用户需求灵活的定义角色权限:对功能项是否可见,对功能项是否可操作。可根据需要依据系统级和部门级菜单,对用户可使用的功能模块进行划分。
客服热线
官方微信
官方微博
网站地图
