苏辉 任增朋 孟祥山
(江苏核电有限公司 江苏连云港 222042)
摘要:江苏核电有限公司在信息安全管理体系建设过程中,推出了江苏核电独具特色的信息系统访问控制权限管理模型。文章详细介绍了该模型的产生背景、设计原则和总体情况,并对组成模型的3个不同体系维度分别加以论述。文章重点介绍了在信息系统访问控制权限管理模型的指导下,江苏核电具体开展的信息系统权限管理模式和开展的工作,并对实施效果进行了总结。
关键词:信息安全;权限管理;管控模型
产生背景
江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作,信息化程度越来越高,业务对信息系统的依赖程度越来越大,同时访问系统的用户账号和权限管理也变得越来越复杂。江苏核电需要在授予用户信息系统访问权限的同时,准确、及时的管控用户权限。但是公司在线的信息系统及设备权限管理的多样性,信息系统用户覆盖多个直属部门、合作伙伴的现实情况,共同导致系统访问控制管理工作复杂度激增。这不仅提高了系统访问控制管理的成本,同时带来了相应的安全问题,主要体现在如下两个方面:
系统缺少统一的、全寿期的权限管控规范,存在权限管控的短板,从而在实质上降低了信息系统的安全性。
系统上线后权限管控的接口不清晰,权限控制不准确,不及时。业务用户对于权限了解的信息不对称。
为了规范系统访问控制管理工作。需要构建一个统一的信息系统访问控制权限管控模型,才能系统深入的解决上述两个方面的现实问题。因此,江苏核电开展了专题研究,并推出了江苏核电的信息系统权限管控模型。
设计原则
江苏核电信息系统权限管理的模型涉及系统和承载信息的安全,因此在设计权限管控模型的时候应坚持如下几个基本原则,以保证模型的先进性和实用性。
标准性原则
尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,充分参考行业内的最佳实践。标准性原则从根本上保证了信息系统权限管控模型的的全面性、合规性和开放性。
整体性原则
从宏观的、整体的角度出发,系统地设计江苏核电信息系统权限管理模型,覆盖系统的整个生命周期和管理维度的各个方面。从整体上管控信息系统的权限,保证系统的安全和信息的安全。
实用性原则
建立信息系统权限管理模型,必须针对江苏核电信息系统的特点,避免简单照抄照搬其它的信息安全权限管控方案。同时,信息系统权限管理模型中的所有内容,都被用来指导江苏核电信息系统权限管理的实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。
先进性原则
信息系统权限管理模型中涉及的思路和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,江苏核电的信息系统建设和权限管理的需要,为系统和信息的安全提供保障。
2、权限管控模型介绍
江苏核电信息系统权限管理模型包括信息系统生命周期、访问控制要素、业务需求三个维度,下面将从这三个维度来阐释权限管理的思路和措施。
图1 信息系统权限管控模型
信息系统生命周期
信息系统生命周期维度是把信息系统的全生命周期分为初始阶段、需求阶段、设计阶段、开发阶段、测试阶段、上线阶段、运维阶段、废弃阶段。针对这八个阶段制定具体的访问控制管理的管控流程、规则。
初始阶段:依据信息系统的可用性要求、业务重要性对其进行定级。
需求阶段:结合业务需求,梳理、汇总访问控制管理的需求。
设计阶段:依据需求说明书对访问控制管理进行设计,确保系统满足功能和安全需求。重点要关注访问控制管理流程梳理、角色权限与岗位对应关系、授权后能够访问的信息分级、认证方式选择、权限颗粒度定义、审计功能和范围等。
开发阶段:审核开发实现工作的成果,确保访问控制管理的功能需求和安全需求得到实现。
测试阶段:对系统开发的结果进行验证,确保访问控制管理部分的真实性、可用性。
上线阶段:对信息系统上线测试报告进行评审,确保访问控制管理在功能和安全方面符合预期要求。另外,还要完成测试账号清理、初始账号部署、以及权限维护的交接工作。
运维阶段:根据实际业务场景,遵循运维管理规范,加强运行阶段用户权限的入场管理、变更管理、离场管理,并通过审计活动监督。
废弃阶段:在系统下线前按照管理要求对访问控制管理数据进行备份,和对信息系统自身及相关软硬件的剩余信息进行清除。
访问控制要素
参考国际广泛应用的RBAC模型、4A模型,把访问控制要素分为账号管理、认证管理、授权管理、审计管理等四个要素。
账号管理:信息系统必须提供账号管理模块,用于管理其账号及属性信息。需要包括以下内容:
组织管理:提供账号按组织结构、业务流程进行层级管理的功能。
属性管理:提供账号及账号使用者、职位、描述、时间等属性管理。
操作管理:提供账号及其信息的创建(C)、查看(R)、更新(U)、删除(D)等操作管理
外部接口:提供信息系统对账号同步、调用所需要的外部接口。
认证管理:信息系统必须提供认证管理模块,用于提供认证服务或者转发认证请求,并且要支持符合安全要求的认证方式。需要包括以下内容:
认证服务/认证枢纽服务:提供认证服务或者转发认证请求。
认证方式:提供符合安全要求的认证方式。
授权管理:信息系统必须提供授权管理模块,用于管理其权限资源、角色/组及属性信息、授权配置等,需要包括以下内容:
创建权限:定义权限的分类、颗粒度。
分配权限:把权限分配给相应账号所需要的功能。
使用权限:使用权限时的动态约束机制。
审计管理:信息系统必须提供审计管理模块,用于对信息系统的登入登出、敏感数据访问和关键操作进行审计。需要包括以下内容:
审计范围:根据信息系统的重要性,确定审计范围。
审计预警:提供对违规事件的预警,及时发现。
审计分析:提供审计查询、报表等以便于实现审计分析。
业务需求要素
根据组织提出的满足分级运维要求、权限不相容的要求,参考多行业案例,定义访问控制管理的组织架构、业务逻辑要求。本专题要求角色、账号、授权都要支持组织架构的要求,授权要考虑静态约束、动态约束机制。
组织架构:依据江苏核电的分级管理规定,需要账号、角色可以按照实际组织结构或者业务流程进行层次管理。具体要求如下:
层次化的管理:应支持在每个层级的所有部门设置部门权限管理员,部门管理员可以对本部门的用户进行管理和授权。
层次化的授权:上级部门的管理员可是指定下级部门的管理员,可以启用或关闭上级部门管理员对下级部门用户的直接管理和授权。
业务逻辑
按照江苏核电要求“工作必需、最小权限”原则,授权应该颗粒度越小越好,因此,信息系统应该按照实际业务需求,支持细粒度的资源控制。为了让实际资源控制更容易实现,可以通过属性约束,降低开发成本。
按照江苏核电要求“责任分离”原则,既要考虑不相容权限要静态分离,又要考虑实际业务场景中工作交叉的带来的动态分离,所以,信息系统权限设计时应该考虑静态约束和动态约束机制,实现有效的访问控制。
3、权限管控模型在江苏核电的应用
江苏核电信息系统权限管理模型在建成后,在该模型的指导下,针对现有的系统开展了一系列的信息系统权限管理的实施和部署工作,主要开展的工作如下:
建立完善的管理制度
根据模型的要求,江苏核电建立了完善的系统权限管理制度,覆盖系统建设和运维的各个阶段,对每个阶段在系统权限管控的各个方面应该完成的工作都做出了明确的规定。
将系统权限量化成清单
权限管理模型建成之后,公司信息化部门联合业务归口部门针对新开发的系统在需求和设计阶段,依据业务实际全面分析系统的权限管理需求,并将需求细化,形成清晰的系统权限规则清单和权限设计说明,以此保证系统在建设阶段就落实权限管理的要求,为系统上线后的权限控制奠定坚实的基础。对于已经在线运行的系统,由信息安全管理员组织系统管理员和业务接口人对已有的系统权限信息逐条进行梳理,形成系统业务权限规则清单(见图2)。经过相关人员的共同努力,目前已经完成32个主要业务系统的80余份权限规则清单,包含业务权限1200余条。
权限申请流程电子化
在责任部门梳理完权限规则清单后,为了优化用户申请权限的便捷性、规范性、实现系统权限可视化,提高权限申请工作的效率,同时完整记录权限申请流程的审核痕迹;减少原有的纸质权限申请表单流转的繁杂,易丢失,传递速度慢,难以审计等问题,江苏核电开发了信息系统权限申请流程(图3),实现了信息系统权限申请工作电子化,系统能够依据权限审批节点、权限获取信息敏感度等信息,动态构造流程,提高权限申请效率;公司用户可以随时在线申请所需系统的权限,并能够自助查询跟踪申请状态,对于个人已经拥有的系统权限,可以通过系统查询申请记录获取;同时归口审批部门也能够及时准确的掌握本领域业务授权用户的现状,为权限审计提供了基础条件。该流程上线以来已完成申请记录1600余条,目前流程运行稳定,用户反馈良好。
4、结语
江苏核电信息系统权限管控模型在设计和策划中参考了国内外多个与权限管理相关的标准要求和多家大公司、大企业的管理实践,可以保证管理思想的先进性和实用性。该权限管控模型在公司多个正在开发系统的的权限规范化管理工作中进行了推广,实践证明,可操作性强、管理效果好。同时,通过实施权限管理电子化流程,提高了用户申请系统权限的工作效率,减少了纸质申请的复杂性,节约了纸张、人力、时间等管理成本,实现了系统运维阶段的权限可控、在控的目标,有效的保障了信息系统安全可靠运行。
参考文献
[1]王凤英, 《访问控制原理与实践》, 北京邮电大学出版社有限公司, 2010.12
[2]陈泽茂,《信息系统安全》, 武汉大学出版社, 2014.4
论文作者:苏辉,任增朋,孟祥山
论文发表刊物:《电力设备》2016年第11期
论文发表时间:2016/8/23
标签:权限论文; 信息系统论文; 核电论文; 江苏论文; 系统论文; 模型论文; 访问控制论文; 《电力设备》2016年第11期论文;