基于角色訪問(wèn)的網(wǎng)絡(luò)安全技術(shù)在檢察機(jī)關(guān)的應(yīng)用

◆胡 勇

（重慶市南岸區(qū)人民檢察院技術(shù)科 重慶 400060）

基于角色訪問(wèn)的網(wǎng)絡(luò)安全技術(shù)在檢察機(jī)關(guān)的應(yīng)用

◆胡 勇

（重慶市南岸區(qū)人民檢察院技術(shù)科 重慶 400060）

今年是《網(wǎng)絡(luò)安全法》實(shí)施的元年，網(wǎng)絡(luò)安全已經(jīng)成為了檢察機(jī)關(guān)信息化建設(shè)的重要一環(huán)。網(wǎng)絡(luò)技術(shù)在帶來(lái)便捷工作環(huán)境的同時(shí)，也會(huì)產(chǎn)生很多的安全問(wèn)題和隱患。如今，檢察機(jī)關(guān)網(wǎng)絡(luò)信息化對(duì)檢察業(yè)務(wù)影響的逐年加強(qiáng)，保障檢察網(wǎng)絡(luò)安全具有重要意義。本文旨在針對(duì)檢察機(jī)關(guān)網(wǎng)絡(luò)安全現(xiàn)狀，運(yùn)用角色訪問(wèn)控制策略，對(duì)網(wǎng)絡(luò)安全問(wèn)題和隱患，提出有效可操作的防范措施。

網(wǎng)絡(luò)安全；信息化；檢察機(jī)關(guān)；角色訪問(wèn)

0 引言

隨著信息化技術(shù)飛速發(fā)展和廣泛應(yīng)用，檢察機(jī)關(guān)已經(jīng)建成了覆蓋全國(guó)的信息網(wǎng)絡(luò)，實(shí)現(xiàn)了數(shù)據(jù)共享和傳輸?shù)纫幌盗泄δ堋Ｓ捎跈z察機(jī)關(guān)特殊的工作環(huán)境和保密需求，其對(duì)網(wǎng)絡(luò)安全有著嚴(yán)格的要求。

《網(wǎng)絡(luò)安全法》規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)立即停止傳輸該信息”。檢察機(jī)關(guān)作為國(guó)家法律的監(jiān)督機(jī)關(guān)，在國(guó)家如此重視網(wǎng)絡(luò)安全的大背景下，運(yùn)用現(xiàn)代信息化安全手段解決檢察工作中出現(xiàn)的問(wèn)題，服務(wù)檢察工作勢(shì)在必行。近年來(lái)，按照最高檢的統(tǒng)一部署和要求，各級(jí)檢察機(jī)關(guān)已經(jīng)基本完成本院信息化基礎(chǔ)建設(shè)，實(shí)現(xiàn)了檢察內(nèi)網(wǎng)和檢察業(yè)務(wù)系統(tǒng)配套建設(shè)，達(dá)到了全國(guó)檢察機(jī)關(guān)互聯(lián)互通。但是對(duì)于安全保密的要求還僅僅停留在物理隔離和主機(jī)監(jiān)控上，而對(duì)存在大量的保密信息設(shè)備和網(wǎng)絡(luò)設(shè)備安全缺乏足夠的重視，使得信息化建設(shè)存在巨大安全隱患。

1 角色訪問(wèn)控制技術(shù)概述

角色訪問(wèn)控制技術(shù)在信息化系統(tǒng)安全防范和保護(hù)上有著很重要的作用，它能保障安全、快捷的訪問(wèn)受保護(hù)資源的同時(shí)拒絕非法用戶的訪問(wèn)。

基于角色的訪問(wèn)控制（RBAC）是在訪問(wèn)控制基礎(chǔ)上簡(jiǎn)化了不同情境下的授權(quán)管理，通過(guò)將訪問(wèn)權(quán)限分配給角色，再將角色分配給用戶，然后用戶通過(guò)角色所具有的權(quán)限擁有相應(yīng)的權(quán)限。角色訪問(wèn)控制實(shí)際上通過(guò)向一個(gè)比較穩(wěn)定的角色賦予權(quán)限實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的保障。當(dāng)用戶發(fā)生變更時(shí)，此用戶所具有的角色屬性將被撤銷(xiāo)。角色訪問(wèn)控制的優(yōu)點(diǎn)是可以通過(guò)不同類(lèi)型、不同的安全等級(jí)劃分出不同的角色，以適應(yīng)不同的訪問(wèn)控制環(huán)境。

2 角色訪問(wèn)控制實(shí)現(xiàn)網(wǎng)絡(luò)安全的原理

按照不同的網(wǎng)絡(luò)安全策略劃分出的不同角色所建立起的訪問(wèn)控制系統(tǒng)可以實(shí)現(xiàn)對(duì)非法用戶的控制和防范。當(dāng)用戶發(fā)生變化時(shí)，及時(shí)調(diào)整其相應(yīng)角色即可實(shí)現(xiàn)其權(quán)限變更。如果其功能變化太大，只需要?jiǎng)h除之前的角色增加新的角色并重新定義其權(quán)限，而不需要對(duì)系統(tǒng)中所有用戶的訪問(wèn)權(quán)限進(jìn)行更新。這種方式可以極大的簡(jiǎn)化授權(quán)管理操作，通過(guò)對(duì)網(wǎng)絡(luò)資源的控制達(dá)到網(wǎng)絡(luò)信息安全的要求。

角色訪問(wèn)控制既可以細(xì)致到兩套網(wǎng)絡(luò)設(shè)備間的具體的網(wǎng)絡(luò)應(yīng)用控制，也可以按照網(wǎng)段對(duì)大范圍的訪問(wèn)控制進(jìn)行管理，為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段。

3 檢察機(jī)關(guān)網(wǎng)絡(luò)安全現(xiàn)狀分析

在檢察網(wǎng)絡(luò)系統(tǒng)中存在較為傳統(tǒng)的訪問(wèn)權(quán)限控制方式，當(dāng)人員和崗位發(fā)生變動(dòng)，其相應(yīng)的權(quán)限也需要進(jìn)行調(diào)整，這樣修改權(quán)限的工作將十分繁瑣，特別是有的基層院用戶很多，這時(shí)權(quán)限的配置和變更十分不便，也容易出現(xiàn)安全漏洞。

基于角色訪問(wèn)控制不但可以避免權(quán)限變更比較繁雜的缺點(diǎn)，還可以對(duì)個(gè)別用戶和訪問(wèn)直接處理的特點(diǎn)。在網(wǎng)絡(luò)權(quán)限配置過(guò)程中引入“角色控制”不僅可以作為中間變量關(guān)聯(lián)一組權(quán)限集合，還可以當(dāng)做是有相同權(quán)限的一組用戶集合。根據(jù)不同的職責(zé)制定不同的角色控制其訪問(wèn)權(quán)限實(shí)現(xiàn)了用戶和權(quán)限的靈活對(duì)應(yīng)，在保障網(wǎng)絡(luò)安全的同時(shí)避免了復(fù)雜操作可能造成的漏洞。

最近wannacry勒索病毒肆虐全球，150多個(gè)國(guó)家都被感染，中國(guó)近3萬(wàn)多家機(jī)構(gòu)受到影響，檢察機(jī)關(guān)雖然有各種網(wǎng)絡(luò)保護(hù)措施，但仍然受到很大影響，部分涉密電腦被感染?！氨丶印崩账鞑《镜脑俅我u來(lái)，威力更大，危害性更嚴(yán)重，達(dá)到了“一臺(tái)中招，全網(wǎng)癱瘓”的地步。相較于緊迫的網(wǎng)絡(luò)安全形勢(shì)，需要從頂層設(shè)計(jì)入手，加大對(duì)訪問(wèn)信息的控制，保障網(wǎng)絡(luò)安全。

4 檢察網(wǎng)絡(luò)中角色訪問(wèn)保護(hù)策略

目前，配合高檢的各項(xiàng)安全軟件的部署，檢察網(wǎng)絡(luò)已經(jīng)有安全審計(jì)軟件和防護(hù)系統(tǒng)，但是對(duì)策略控制保護(hù)還有不完善的地方，檢察網(wǎng)絡(luò)中的角色訪問(wèn)控制主要從以下幾個(gè)方面來(lái)實(shí)現(xiàn)：

身份驗(yàn)證管理：通過(guò)人員身份和訪問(wèn)管理方案，可以針對(duì)訪問(wèn)哪個(gè)系統(tǒng)做出更改，通過(guò)角色的訪問(wèn)控制來(lái)檢查當(dāng)前角色的訪問(wèn)權(quán)利，驗(yàn)證網(wǎng)絡(luò)訪問(wèn)是否正常，從活動(dòng)目錄中獲得當(dāng)前權(quán)限，實(shí)現(xiàn)不同角色的數(shù)據(jù)共享。IEEE802.1X協(xié)議被稱為端口訪問(wèn)控制協(xié)議，能夠作為對(duì)網(wǎng)絡(luò)設(shè)備認(rèn)證的手段。

訪問(wèn)控制策略：訪問(wèn)控制是網(wǎng)絡(luò)系統(tǒng)對(duì)信息資源集合受到非法用戶訪問(wèn)時(shí)，能夠使用適當(dāng)?shù)臋C(jī)制及防護(hù)措施，保護(hù)資源的完整性和不可訪問(wèn)性。訪問(wèn)控制實(shí)質(zhì)上是對(duì)資源使用的限制。通過(guò)對(duì)檢察網(wǎng)絡(luò)中用戶、服務(wù)、操作的訪問(wèn)限制，使得依賴于角色的主體訪問(wèn)合法化。對(duì)于未經(jīng)授權(quán)訪問(wèn)機(jī)密資源的用戶進(jìn)行留痕、禁止。檢察網(wǎng)絡(luò)的訪問(wèn)控制必須遵守最小特權(quán)原則，既用戶只能擁有執(zhí)行他們業(yè)務(wù)功能的必須權(quán)限，不能擁有其他權(quán)限，這樣可以使得異操作對(duì)網(wǎng)絡(luò)造成最小危害。

多級(jí)分層安全策略：在對(duì)角色進(jìn)行不同權(quán)限分配后產(chǎn)生對(duì)用戶具有不同約束層級(jí)的線性關(guān)系。角色之間可以存在互斥狀態(tài)，也可以存在一個(gè)角色有多個(gè)權(quán)限，一個(gè)用戶有多個(gè)角色。每個(gè)角色得到自己的訪問(wèn)控制時(shí)，可以得到一個(gè)會(huì)話，這個(gè)會(huì)話將激活該用戶全部角色的所有授權(quán)，通過(guò)對(duì)角色的不同授權(quán)，想要合法地獲得信息就要得到大于該信息安全級(jí)別的角色授權(quán)。

角色繼承：在一個(gè)用戶層級(jí)中，存在著不少通用的權(quán)限，不同用戶共有的權(quán)限可以通過(guò)角色進(jìn)行繼承，對(duì)于特定的用戶又可以進(jìn)行特殊的授權(quán)。

5 結(jié)論

內(nèi)部系統(tǒng)被入侵和泄密是一個(gè)非常嚴(yán)重的問(wèn)題。保障網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)終端和整個(gè)信息設(shè)施的安全已經(jīng)成為信息化發(fā)展過(guò)程中刻不容緩的重要課題。在網(wǎng)絡(luò)安全技術(shù)中，除了數(shù)據(jù)加密、防火墻技術(shù)、安全審計(jì)之外，訪問(wèn)控制也必不可少，它是網(wǎng)絡(luò)防護(hù)的重要部分。網(wǎng)絡(luò)安全不是靜態(tài)的，是一個(gè)動(dòng)態(tài)的防范體系?；诮巧L問(wèn)的網(wǎng)絡(luò)安全技術(shù)能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常現(xiàn)象，靈活調(diào)配用戶的權(quán)限和安全級(jí)別，適用于保密程度較高的檢察網(wǎng)絡(luò)。

[1]朱偉.基于角色的訪問(wèn)控制技術(shù)在網(wǎng)絡(luò)安全中的研究和應(yīng)用[D].上海交通大學(xué)，2004.

[2]羅明宇，盧錫城，盧澤新.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].計(jì)算機(jī)科學(xué)，2000.

[3] Stallings W.Network and internetwork security: principles and practice[M]. Prentice-Hall. Inc.，1995.

調(diào)研課題：《擅自發(fā)行股票、公司企業(yè)債券罪實(shí)證研究》 立項(xiàng)編號(hào)：2017NAJCY02。