曾伟川

（广东工业大学，广州 510006）

摘要：OA系统即办公自动化系统，是一种面向组织的日常运作和管理系统，也是当前员工和组织管理者使用频率最高的应用系统，能够实现协同办公以及自动化办公，为组织的运行管理提供良好的支撑。本文从分级保护的角度，对OA系统应用层访问控制进行了讨论和分析，希望能够有效提升涉密信息系统的安全性，保障系统安全。

关键词：分级保护；OA系统；应用层；访问控制

中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2016）49-0254-02

前言：在科学技术飞速发展的带动下，计算机技术、网络技术和现代通信技术得到了越来越广泛的应用，极大地推动了社会的发展，同时也使得计算机和网络成为了信息泄露的主要渠道之一。在涉密OA系统建设中，应该遵循相关标准，做好相应的访问控制，结合分级保护思想，采取相应的应用层访问控制策略，保障系统的使用安全。

一、系统结构

从系统整体结构分析，OA系统采用的是三层软件体系架构，包括了表现层、逻辑层和数据层。因用户、管理员的需求不同，将逻辑层设置在服务器端、或者客户端，在一定程度上对网络应用的开发和运行维护进行了简化。系统结构如图1所示：

与一般的OA系统相比，涉密系统部分面临着比较特别的需求，整个系统部分处于一个相对闭环的环境中，为特殊用户提供相应的服务，具有多层次校验权限，处理用户面固定和高安全、高要求需求，切合了C/S结构的专长，也就使此类结构在系统中被管理人员广泛应用。同时，对于系统中的一般工作人员，B/S结构能够更加灵活地适应广域网的基础，降低了对操作环境和人员的要求，并使网络架构简单化，减轻系统的运维成本。因而，在系统研发中，更多的采用基于B/S和C/S的混合架构，并根据实际功能需求，对其细节进行调整。

二、应用层访问控制策略

在涉密OA系统中，访问控制集中体现在应用层、物理层和网络层三个不同的层次中，本文主要针对应用层，对基于角色的访问控制进行了相应的改进，将访问权与用户分离出来，构建出更加可靠安全的访问架构。

（一）基于角色的访问控制改进

对于OA系统而言，安全管理工作包含了大量特殊的、敏感度不同的信息，特别是不同访问需求的用户，因此是一项非常复杂的系统性工作。在系统中，采用基于角色的访问控制模型（RBAC），同时引入信息主客体分级保护机制，以防止出现越权现象。RBAC的对象包括了三种，一是用户，即可以独立对计算机系统中的资源（信息）、数据进行访问的个体；二是角色，在系统中具有单一种限或多权限的个体，而无论是权限还是角色，都可以根据实际需要进行删除或者增加；三是权限，主要是对系统中的资源（信息）和数据进行访问的许可。在RBAC中，要求安全管理员可根据用户需要，对各种用户角色进行定义，不同用户设置相应的访问权限，用户则根据各自的权责，获得对应的角色。通过这样的方式，可以将访问控制分为两个部分，即用户访问的权限和角色。角色与用户关联，实现了用户与访问权限的逻辑分离，系统安全管理员可以通过对角色的分配和取消，完成对于用户权限的改动。

基于角色的访问与控制，有效实现了用户与访问权限的逻辑分离，对角色之间的层次关系进行了描述，同时，通过引入相应的部门参数，提高了系统的运行效率。同时，系统能够实现多用户、多级别的权限管理，对应用数据进行保护，避免信息的泄露或丢失。在主客体分级保护中，每一个用户都只能够对自身权限所对应等级的信息进行访问和操作，在工作的直接相关范围内，实现信息的接收和传递。结合用户登录与身份鉴别及审计机制，可以构建安全可靠的访问框架，如图2所示：

结合相关规定，依照主体与客体类别，实现对于重要信息和涉密信息的访问控制。在系统中，采用主客体分级结构，主体控制到具体用户，客体控制到信息类别。每一个主客体都必须有各自相对应的等级，并将为其作为一种必要的属性标记。在系统中，按照密集从高到低，可以将信息客体划分为绝密、机密、非密，对应的信息主体同样如此划分。引入传统的强制访问控制思想，有效保证密级信息的知悉范围，使得每一个用户都只能够接触自身权限内的信息，减少信息的泄露。不仅如此，系统按照信息客體的密级，将其存在在了不同的服务器节点，采取针对性的保护措施，降低了数据存储的风险。

（二）管理员角色控制

在系统所有访问主体中，管理员是一个非常特殊的用户，权限较普通用户更高，也更容易造成大规模的信息泄密和破坏。对此，在系统中设计了分散管理与集中管理相互结合的手段，将管理员角色分为三种不同的类型，即审计员、保密员和系统管理员，分别对系统安全的不同方面进行控制。同时对于一些特殊的操作，如系统的初始化、管理员的添加、修改和删除等，设置了“超级管理员”，设置严密的启动密码，由上述三种管理员分别进行保存，在三方同时存在时，才能够启动超级管理员角色。这样，一方面避免了集中管理所带来的不可控性和监督缺失，也避免了分散管理中的协调一致性与分权漏洞的问题。

三、访问审计机制

（一）数据库访问审计

数据库的功能是对系统中的数据信息进行整理和保存，一旦遭到非法入侵或者破坏，将造成极其严重的后果。对此，在系统开发设计中，应该尽量在满足功能需求的前提下，选择成熟的数据库产品。以Oracle数据库为例，其结构包括了控制文件、日志文件和数据文件，能够通过三种文件，实现对于数据库系统操作的有效记录，以及对特定业务数据表的控制，审计措施包括：实体级，语句级，权限级，实体级就是监视所有用户对某一指定用户表的存取和更新状况；语句级就是审计某种类型的SQL语句，记录创建、丢弃等表操作；权限级就是审计某一系统权限的使用状况，包含大部分的对数据库对象的数据定义语言操作。

（二）审计日志存储

对于审计日志，主要采用分布式管理的方式，结合日志代理、管理网关以及多服务器节点，对日志记录的完整性进行验证，对其保密级别进行检测，并根据相应的密级，进行分布式存储。管理网关的功能是对日志的暂时接收存储，按照日志所对应的安全级别，在相应的服务器节点进行日志的存储和审计分析，将审计日志存储到不同的服务器节点中，采取不同的安全保护措施。在系统运行中，系统管理员、保密员和审计员对于系统的任何操作，都会产生相应的审计日志，存储到级别较高的服务器中，系统管理员可以对普通用户的审计记录进行查看，但是不能对日志的内容进行干涉。审计员则负责对管理员操作日志、系统管理日志以及普通用户日志进行监督，同样不能对日志内容进行直接干涉。在系统中，利用审计信息导出工具，可以导出审计日志，存储在其他位置，然后清除服务器中的审计信息，以节约服务器成本，提升其运行效率。

四、结语

总而言之，在计算机技术和网络技术飞速发展的带动下，OA系统得到了日益广泛的应用，如何保证系统的运行安全，是需要重点关注的问题。本文基于分级保护思想，提出了OA系统应用层访问控制的有效策略，希望能够为系统的安全稳定运行提供相应的保障。

参考文献：

[1]张天白，王晶.基于分级保护的OA系统应用层访问控制[J].北京化工大学学报（自然科学版），2011，38（2）：113-117.