三员分立权限控制模型的设计与实现

宗琳

摘要：涉密信息系统中的“三员”是指系统管理员、安全保密管理员、安全审计员。“三员分立”要求系统管理员、安全保密管理员、安全审计员三者之间的关系相互独立、互相制约，加强涉密信息系统保密管理，减少泄密风险。而三员分立权限控制模型就是基于“三员分立”的思想提出来的权限管理方法，该方法的设计和实现对于满足涉密信息系统三员管理要求，实现信息系统的安全保密具有重要意义。

关键词：三员；三员分立；权限控制模型

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）15-0062-03

Design and Implementation of Three Management Roles Separation Authority Control Model

ZONG Lin

（China Information Development Inc.， LTD. Shanghai， Shanghai 200333 China）

Abstract： Three management roles in the classified information system are administrator， secret keeper and auditor. Three-Roles-Separation model asks the three management roles mutual independence and condition， strengthening secret management in the classified information system and avoiding secret risks. Access control model based on Three-Roles-Separation model is designed and implemented for satisfying the requirement of roles management in classified information system. This model is very important for classified information system to improve its security and secrecy.

Key words： three management roles； three management roles separation； Role Based Access Control（RBAC）

1 引言

一个计算机信息系统是否属于涉密信息系统，主要是看其系统里的信息是否包含涉及国家秘密的信息。不论其中的涉密信息是多还是少，只要是有（即存储、处理或传输了涉密信息），这个信息系统就是涉密信息系统。

国家在涉密信息系统建设方面，着重强调信息安全等级保护和安全风险管理。依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的有关规定，涉密信息系统应配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员，分别负责系统运行、安全保密和安全审计工作。三员应该相互独立、相互制约，且每个角色应配置A、B角互为备份，安全保密管理员和安全审计员不得由一人兼任[1]。这就要求信息服务商在涉密信息系统的权限控制功能设计时也要考虑三员分立的需求。

2 RBAC权限控制模型

基于角色的访问控制（RBAC[2]，Role Based Access Control），是把系统用户根据其所拥有的执行功能和安全策略分成不同的角色，然后对每个角色分配对应的权限，再通过每个用户指定不同的角色，来实现对用户权限的管理控制。美国GeorgeMason大学信息安全技术实验室提出RBAC96模型是RBAC的研究和应用中的经典。它包括四个模型：RBACO、RBAC1、RBAC2、RBAC3。

RBACO被称为基本模型，它是RBAC控制系统中的最小元素集合。它的基本思想是先对用户赋予一定的角色，再为角色赋予相应的权限，每个用户通过角色来获得权限。用户与角色，角色与权限之间均是多对多的关系，角色是安全控制策略的核心。RBAC模型图如下。

而RBAC1、RBAC2、RBAC3是在RBAC0的基础上进行扩展而产生的模型。RBAC1被称为角色层次模型[3]，该模型在RBACO的基础上引入了角色层次关系，角色之间可以继承。RBAC2被称为角色约束模型[4]，该模型在RBACO的基础上增加了责任分离关系，包括互斥限制、指派限制、先决限制及会话限制。RBAC3被称为统一模型[5]，该模型既包含了角色间的继承关系，又包含了责任分离关系。

综上所述，RBAC模型利用角色的概念，靈活控制了用户的访问权限。然而在实际应用中，RBAC模型过于简单，难以适应复杂情况的需求，仍然存在以下不足之处：

1）RBAC模型限定了系统所有用户的权限都依附于某一个（或某些）角色的权限（或权限集合），没有细化权限与用户之间的关系，权限与用户实例之间不产生直接关系。因此会造成拥有同一种角色的用户，它们之间的访问权限无差别，这无法满足涉密应用系统对于访问控制要求。

2）RBAC模型无法适应系统管理的权限动态变化。目前大多数系统中通常由系统管理员负责权限分配，但是对于系统管理员的授权行为的确认、审批和审查未做严格规定，由于系统管理员权限过大导致的权限扩散问题时有发生。

3 三员分立权限控制模型设计

基于RBAC权限控制模型的技术特点，对于安全保密性要求较高的系统，提出了“三员分立”新型权限控制模型。该模型对涉密系统管理员的操作进行了必要的限制，将权限管理部分分解为三员（即系统管理员、安全保密员、安全审计员）管理，进而形成由系统管理员授权、安全保密员审批、安全审计员监督的三员分立权限控制方法。

从权限的划分角度上说，整个权限管理过程划分为三类人员，各类人员具体职能描述如下：

1）系统管理员。负责系统用户权限的开放工作，具有赋予权；

2）安全保密员。负责系统用户权限开放的审批，具有审批权；

3）安全审计员。负责开展操作日志审计，特别是针对系统管理员和安全保密员在系统操作过程中的行为进行审计，具有监督权。

从权限控制的设计流程上说，实线代表具体权限操作流程，虚线代表附加业务流程和结果流程，椭圆形文本框表示和RBAC权限控制模型（见图1）的对应环节，整个权限控制流程描述如下：

1）用户登录系统申请权限，申请权限流程流转至系统管理员处，登录日志信息流转至安全审计员处；

2）系统管理员收到申请权限请求后，对用户和角色进行登记，并进行角色拟分配，同时完成角色功能表和分配表的初步制定。授权数据完成后交付至安全保密管理员处，授权过程中将产生日志推送至安全审计员处；

3）安全保密员收到授权数据后，对数据进行复核和审批。无论是否通过，审批结果均反馈给系统管理员。只有通过审批后，授权数据才真正成为有效的授权，同时通过审批的授权流程将生成操作日志提交至安全审计员处；

4）系统管理员收到安全保密员的审批反馈结果后，对用户进行赋权操作：通过则进行授权，进行相应权限的分配，不通过则拒绝授权，用户申请的权限不被批准；

5）安全审计员将全程监督整个授权过程，包括对登录日志、推送日志和操作日志的审计和备查，并可导出需要的日志数据，全程监督安全保密员和系统管理员的操作过程。

与普通RBAC权限控制模型相比较，三员分立权限控制模型具有以下优点：

1）在权限设置上采用了三员分立的模式，即在权限分配过程中赋予权、审批权和审计权三者之间分离。三个权限拥有者之间是相互独立、相互制约的，从而有效解决了系统管理员权限过大的问题；

2）可以根据角色和应用程度逐级下放授权过程，上级节点只需要管理下一级节点的权限，无须越级管理；通过严格的授权访问机制确保不越权访问；

3）三员分立的权限控制方式在权限授予过程中具有公平和灵活的特性，能够有效支持一套完备的权限控制机制的组建。

4 三员分立权限控制功能实现

在部分安全保密要求较高的应用系统设计开发过程中，可以融入三员分立权限控制的思想，进行具体功能的实现。下图展示了三员分立权限控制功能的时序过程。

以某安全级别较高的政府部门应用系统为例，权限控制主体划分为系统管理员、安全员和审计员，系统权限控制功能模块划分为用户管理、日志管理和审批管理三大功能模块。

首先，系统管理员利用用户管理模块实现用户及授权角色新增登记，此时用户授权状态在系统后台为待审批状态，授权过程中生成的相关操作日志可在日志管理模块中读取。

其次，系统安全员利用审批管理模块，对系统后台授权数据进行复核审批，审批通过后则该用户授权状态为审批通过，未通过则显示为未通过。审批过程中生成的相关操作日志同样汇总至日志管理模块中。

最后，系统审计员利用日志管理模块，随时对权限控制过程中生成的相关日志信息进行查阅和审计，并可导出需要的日志数据。

5 结束语

本文通过分析基于角色的访问控制模型RBAC的基本原理、主要类型和存在问题，提出了基于三员分立的权限控制模型。该模型将权限管理部分分解为三员管理，达到事前预防、事中复核、事后审计的效果，降低了系统安全风险。本模型的设计理念已在多个安全级别较高的政府部门應用系统中成功实施，取得了较好的应用效果，具备推广应用价值。

参考文献：

[1] 耿伟，吴肖炎，涉密信息系统安全保密管理人员的职责要求与权限划分[J].信息安全与通信保密，2009.

[2] 杨帆；张博.基于RBAC的涉密应用系统访问控制方法设计[C].2012年MIS/S & A学术交流会议论文集，2012.

[3] 贺德富，苏喜生，丁文，信息系统中基于角色的权限控制模型研究与应用[J].计算机应用与软件，2008.

[4] 时小虎，刘永福，RBAC在Web考试管理系统权限控制中的设计和实现[J].电脑知识与技术，2011.

[5] 向奎，基于RBAC的用户权限管理系统的设计和实现[D].武汉：武汉理工大学，2013.