《授权系统的设计、建设规范.docVIP

胜利石油管理局企业标准 Q/SL TEC-b－2002 授权系统的设计、建设规范 1 适用范围 胜利油田全辖 2 规范解释权 本规范由胜利油田石油管理局信息中心解释。 3需求背景 随着信息系统的不断发展和广泛应用，企业内部和外部的信息数据不断膨胀。企业虽然上了先进的信息系统，但信息数据是呈离散式分布的，缺乏相应的整合与管理为了解决上述难题，建立一个统一的信息获取窗口或门户，从而提高整体的数据获取效率而用户认证在确认了合法用户的身份后，如不能赋予用户明确的权限，亦将大大降低控制的细度。操作系统和数据库都有授权控制功能。整个系统存在着多帐户、多密码、多次登录问题，因此在信息网中采用集中的授权访问控制。4授权系统的相关术语 4.1企业信息资源授权系统( Authorization System,EIRAS) 是一套4.2强制访问控制mandatory access control） 根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限,限制主体访问客体的方法。定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。4.3敏感标记 sensitivity label） 表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，系统向授权用户要求并接受这些数据的安全级别，且可由系统审计。4.4安全策略security policy） 有关管理、保护和发布敏感信息的法律、规定和实施细则。4.5身份鉴别 计算机信息系统初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。还具备将身份标识与该用户所有可审计行为相关联的能力。4.6数据完整性? 计算机信息系统通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。4.7客体重用 在计算机信息系统的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。4.8审计? 计算机信息系统能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。系统能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于系统独立分辨的审计记录。4.9计算机信息系统可信计算基 trusted computing base of computer information system） 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 4客体object） 信息的载体。 4主体subject） 引起信息在客体之间流动的人、进程或设备等。 55.1对数据的授权 包括了对文档的授权（系统内的所有表单文档，建立者可以对其建立的文档授权于某一用户、部门、群组拥有浏览、修改、删除等不同的权限）、对网页访问权限（系统管理员可以设置每一个用户拥有访问相应模块的网页权限；系统管理员可以对某一部门，某一群组拥有授予访问权限；灵活的定义角色，让成为这一角色的用户或部门拥有相同的权限；超时登陆需要重新进行身份认证登陆。）、还有对于各类其他的需要安全授权的数据授权。 5.2对进程的授权 对于当前的计算机系统中的进程必须根据它所被授予的权限，进行授权处理。使它的操作范围处于受控范围内。 5.3对设备的授权 对于网络系统中各种可以通过远程获取或操作的设备需要进行授权的控制。没有访问权限的用户不得访问！有访问权限的但是没有修改权限的也必须分别对待。 6安全级别的划分 第一级：用户自主保护级通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。???第二级：系统审计保护级与用户自主保护级相比，实施了粒度更细的