减小字体
增大字体- ·上一篇文章:在动态网站设计中ASP的应用
- ·下一篇文章:对当前办公自动化网络安全的分析
对办公自动化网络系统的安全解析
来实现. 1)授权控制(Authentication):控制特定的用户在特定的时间内使用特定的应用.防火墙用专有的FTP和
Telnet进程取代了标准进程。FTP或者Telnet的请求只有经过防火墙认证般权后才能进行通信.HTTP认证服务运
行在Firewall gateway之上,可以保护在防火墙之后的所有的HTTP服务器.管理员可以制定用户授权策略,决定
哪些服务器或应用可以被用户访问.2)数据加密((Encryption):在通信节点配备Firewall gateway,可以将各个节
点定义成为一个加密域,形成了一个虚拟专用网VPN. 3)地址转换(IP Translation):管理员可决定哪些IP地址需
要映射成能够接入Internet的有效地址,哪些地址被屏蔽掉,不能接入Internet. 4)在对操作系统(Windows 2000
Server)访问检查设置功能中采取进入系统时口令检查;在文件管理系统中建立文件、记录和共享资源的访问许
可控制;对存储空间的访问进行保护;控制面板中的网络窗口定义网络资源的访问许可控制;用户管理系统建
立登录用户的帐户,规定用户在系统中各种操作的权利等保护措施.
对于防止数据丢失,采取的方法是:
1)利用磁带机对文件服务器上的系统数据进行定期备份.2)采用先进的UPS来防止外部电源断电而引起的
对网络使用的伤害.3)利用磁盘阵列做好重要数据的冗余备份,提高网上重要设备的自身容错能力.4)设计
的主机群应采用双机祸合容错结构,主辅机可以共享磁盘阵列资源,可以自动错误侦测,接管备援,恢复系统,
使整个主机群处于高可靠祸合工作状态,双机可以互为备份,两台机器之间可以均衡负载.
4.4基于角色的访问控制机制
在防止非法访问和数据丢失的同时,应做到既防止公文信息被窃取、破坏和滥用,又有利于提高公文处理
效率,其重要手段之一就是采取一套安全有效又灵活的访问控制机制.
基于角色的访问控制是George Mason(乔治梅森)大学的教授Sandhu(圣得胡)提出的一种新型访问控制模
型.它的基本思想是将权限与角色联系起来,在系统中根据工作应用的需要为不同的工作岗位创建相应的角色,
同时根据用户职务和责任指派合适的角色,用户通过所指派的角色获得相应的权限,实现对文件的访问.因此
可以极大地简化权限的管理,灵活地将用户从一个角色重新指派为另一个角色,给角色分配和撤销一些权限.它
支持最小特权、责任分离以及数据抽象三个基本的安全原则.
基于角色的安全性是指公文文档可被而且仅被预先定义的人员存取操作,在底层是网络和数据库安全性保
证,包括服务器存取控制、数据库存取控制表、加密、签名和用于鉴别的Domino/Notes和SSL(SecureSocketsLayer)
数字签名验证字.Domin。有以下访问类型(角色),按权限的高低依次有:管理者、设计者、编辑者、作者、读
者、投稿者等。而实际参与办公系统的有管理员、文书、办公室主任、局领导、科领导和科员等角色,由于在
该系统运行中,实际的角色权限还在动态改变,仍无法直接用Domino系统提供的权限,因此,提出通过映射关
系来实现(见表1).还必须借助Script动态的修改表单的域,实现对包括管理员在内的一些必要的限制.
如何根据应用的需求恰当地建立用户—角色—权限这三者之间多对多的映射关系,将是整个办公自动
化系统安全可靠和高效运行的关键.此外,所建立的映射关系,应提供灵活的配置功能,使映射关系具有可更
改和可扩充性,以适应可能变化的需求.为了实现基于角色的访问控制,这里定义了四张表以实现角色到用户、
角色到权限的分配.如表2} 3} 4} 5所示.
在用户申请某操作时,系统需要检测用户所拥有的角色集,并根据这些角色集中所包含的权限来判断该用
户是否能进行该操作,如果可行则置许可证发放标记为真.同时,系统为了执行某些静态约束,比如同一用户
不能同属于两个互斥角色,还可以定义互斥角色表.约束是基于角色的访问控制中重要的安全策略,是对用户
执行权限的一些限制.静态约束在系统设计时定义,而动态约束在系统运行时执行.某个用户在系统中可能同
时拥有多个角色,但是在某一个工作过程中,当他充当其中一个角色的同时不能激活其另一个角色.例如在一
个文件的处理过程中,用户的拟稿角色和审批角色至多只能激活一个.又例如对用户阅读文件的时间期限,系
统也可以加以限制.
5小结
系统安全在办公自动化网络系统中占据着尤为重要的地位.本文对系统安全设计进行了简要的阐述,针对
非法访问,数据丢失和访问控制模式进行了较为详细的论述.
随着我国信息化的逐步深入,尤其是“电子政务”建设热点的兴起,建设办公自动化网络系统的热潮将会
得到更迅速的发展,将会促进我国信息化的建设.
参考文献:
t1]李海泉.计算机系统安全技术与方法[叫.西安:西安电子科技大学出版社,1991.
[2]陈江东.办公自动化系统的系统分析闭.计算机系统应用,1998,(10).
[3]李孟柯,余祥宣.基于角色的访问控制技术及应用t}l.计算机应用研究,2000, (10).
[4]洪帆,杜小勇.办公自动化系统中基于任务的访问控制【月,华中科技大学学报,2001,(3).
Telnet进程取代了标准进程。FTP或者Telnet的请求只有经过防火墙认证般权后才能进行通信.HTTP认证服务运
行在Firewall gateway之上,可以保护在防火墙之后的所有的HTTP服务器.管理员可以制定用户授权策略,决定
哪些服务器或应用可以被用户访问.2)数据加密((Encryption):在通信节点配备Firewall gateway,可以将各个节
点定义成为一个加密域,形成了一个虚拟专用网VPN. 3)地址转换(IP Translation):管理员可决定哪些IP地址需
要映射成能够接入Internet的有效地址,哪些地址被屏蔽掉,不能接入Internet. 4)在对操作系统(Windows 2000
Server)访问检查设置功能中采取进入系统时口令检查;在文件管理系统中建立文件、记录和共享资源的访问许
可控制;对存储空间的访问进行保护;控制面板中的网络窗口定义网络资源的访问许可控制;用户管理系统建
立登录用户的帐户,规定用户在系统中各种操作的权利等保护措施.
对于防止数据丢失,采取的方法是:
1)利用磁带机对文件服务器上的系统数据进行定期备份.2)采用先进的UPS来防止外部电源断电而引起的
对网络使用的伤害.3)利用磁盘阵列做好重要数据的冗余备份,提高网上重要设备的自身容错能力.4)设计
的主机群应采用双机祸合容错结构,主辅机可以共享磁盘阵列资源,可以自动错误侦测,接管备援,恢复系统,
使整个主机群处于高可靠祸合工作状态,双机可以互为备份,两台机器之间可以均衡负载.
4.4基于角色的访问控制机制
在防止非法访问和数据丢失的同时,应做到既防止公文信息被窃取、破坏和滥用,又有利于提高公文处理
效率,其重要手段之一就是采取一套安全有效又灵活的访问控制机制.
基于角色的访问控制是George Mason(乔治梅森)大学的教授Sandhu(圣得胡)提出的一种新型访问控制模
型.它的基本思想是将权限与角色联系起来,在系统中根据工作应用的需要为不同的工作岗位创建相应的角色,
同时根据用户职务和责任指派合适的角色,用户通过所指派的角色获得相应的权限,实现对文件的访问.因此
可以极大地简化权限的管理,灵活地将用户从一个角色重新指派为另一个角色,给角色分配和撤销一些权限.它
支持最小特权、责任分离以及数据抽象三个基本的安全原则.
基于角色的安全性是指公文文档可被而且仅被预先定义的人员存取操作,在底层是网络和数据库安全性保
证,包括服务器存取控制、数据库存取控制表、加密、签名和用于鉴别的Domino/Notes和SSL(SecureSocketsLayer)
数字签名验证字.Domin。有以下访问类型(角色),按权限的高低依次有:管理者、设计者、编辑者、作者、读
者、投稿者等。而实际参与办公系统的有管理员、文书、办公室主任、局领导、科领导和科员等角色,由于在
该系统运行中,实际的角色权限还在动态改变,仍无法直接用Domino系统提供的权限,因此,提出通过映射关
系来实现(见表1).还必须借助Script动态的修改表单的域,实现对包括管理员在内的一些必要的限制.
如何根据应用的需求恰当地建立用户—角色—权限这三者之间多对多的映射关系,将是整个办公自动
化系统安全可靠和高效运行的关键.此外,所建立的映射关系,应提供灵活的配置功能,使映射关系具有可更
改和可扩充性,以适应可能变化的需求.为了实现基于角色的访问控制,这里定义了四张表以实现角色到用户、
角色到权限的分配.如表2} 3} 4} 5所示.
在用户申请某操作时,系统需要检测用户所拥有的角色集,并根据这些角色集中所包含的权限来判断该用
户是否能进行该操作,如果可行则置许可证发放标记为真.同时,系统为了执行某些静态约束,比如同一用户
不能同属于两个互斥角色,还可以定义互斥角色表.约束是基于角色的访问控制中重要的安全策略,是对用户
执行权限的一些限制.静态约束在系统设计时定义,而动态约束在系统运行时执行.某个用户在系统中可能同
时拥有多个角色,但是在某一个工作过程中,当他充当其中一个角色的同时不能激活其另一个角色.例如在一
个文件的处理过程中,用户的拟稿角色和审批角色至多只能激活一个.又例如对用户阅读文件的时间期限,系
统也可以加以限制.
5小结
系统安全在办公自动化网络系统中占据着尤为重要的地位.本文对系统安全设计进行了简要的阐述,针对
非法访问,数据丢失和访问控制模式进行了较为详细的论述.
随着我国信息化的逐步深入,尤其是“电子政务”建设热点的兴起,建设办公自动化网络系统的热潮将会
得到更迅速的发展,将会促进我国信息化的建设.
参考文献:
t1]李海泉.计算机系统安全技术与方法[叫.西安:西安电子科技大学出版社,1991.
[2]陈江东.办公自动化系统的系统分析闭.计算机系统应用,1998,(10).
[3]李孟柯,余祥宣.基于角色的访问控制技术及应用t}l.计算机应用研究,2000, (10).
[4]洪帆,杜小勇.办公自动化系统中基于任务的访问控制【月,华中科技大学学报,2001,(3).
