◆胡 勇

（重庆市南岸区人民检察院技术科 重庆 400060）

基于角色访问的网络安全技术在检察机关的应用

◆胡 勇

（重庆市南岸区人民检察院技术科 重庆 400060）

今年是《网络安全法》实施的元年，网络安全已经成为了检察机关信息化建设的重要一环。网络技术在带来便捷工作环境的同时，也会产生很多的安全问题和隐患。如今，检察机关网络信息化对检察业务影响的逐年加强，保障检察网络安全具有重要意义。本文旨在针对检察机关网络安全现状，运用角色访问控制策略，对网络安全问题和隐患，提出有效可操作的防范措施。

网络安全；信息化；检察机关；角色访问

0 引言

随着信息化技术飞速发展和广泛应用，检察机关已经建成了覆盖全国的信息网络，实现了数据共享和传输等一系列功能。由于检察机关特殊的工作环境和保密需求，其对网络安全有着严格的要求。

《网络安全法》规定：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息”。检察机关作为国家法律的监督机关，在国家如此重视网络安全的大背景下，运用现代信息化安全手段解决检察工作中出现的问题，服务检察工作势在必行。近年来，按照最高检的统一部署和要求，各级检察机关已经基本完成本院信息化基础建设，实现了检察内网和检察业务系统配套建设，达到了全国检察机关互联互通。但是对于安全保密的要求还仅仅停留在物理隔离和主机监控上，而对存在大量的保密信息设备和网络设备安全缺乏足够的重视，使得信息化建设存在巨大安全隐患。

1 角色访问控制技术概述

角色访问控制技术在信息化系统安全防范和保护上有着很重要的作用，它能保障安全、快捷的访问受保护资源的同时拒绝非法用户的访问。

基于角色的访问控制（RBAC）是在访问控制基础上简化了不同情境下的授权管理，通过将访问权限分配给角色，再将角色分配给用户，然后用户通过角色所具有的权限拥有相应的权限。角色访问控制实际上通过向一个比较稳定的角色赋予权限实现对网络安全的保障。当用户发生变更时，此用户所具有的角色属性将被撤销。角色访问控制的优点是可以通过不同类型、不同的安全等级划分出不同的角色，以适应不同的访问控制环境。

2 角色访问控制实现网络安全的原理

按照不同的网络安全策略划分出的不同角色所建立起的访问控制系统可以实现对非法用户的控制和防范。当用户发生变化时，及时调整其相应角色即可实现其权限变更。如果其功能变化太大，只需要删除之前的角色增加新的角色并重新定义其权限，而不需要对系统中所有用户的访问权限进行更新。这种方式可以极大的简化授权管理操作，通过对网络资源的控制达到网络信息安全的要求。

角色访问控制既可以细致到两套网络设备间的具体的网络应用控制，也可以按照网段对大范围的访问控制进行管理，为网络应用提供了一个有效的安全手段。

3 检察机关网络安全现状分析

在检察网络系统中存在较为传统的访问权限控制方式，当人员和岗位发生变动，其相应的权限也需要进行调整，这样修改权限的工作将十分繁琐，特别是有的基层院用户很多，这时权限的配置和变更十分不便，也容易出现安全漏洞。

基于角色访问控制不但可以避免权限变更比较繁杂的缺点，还可以对个别用户和访问直接处理的特点。在网络权限配置过程中引入“角色控制”不仅可以作为中间变量关联一组权限集合，还可以当做是有相同权限的一组用户集合。根据不同的职责制定不同的角色控制其访问权限实现了用户和权限的灵活对应，在保障网络安全的同时避免了复杂操作可能造成的漏洞。

最近wannacry勒索病毒肆虐全球，150多个国家都被感染，中国近3万多家机构受到影响，检察机关虽然有各种网络保护措施，但仍然受到很大影响，部分涉密电脑被感染。“必加”勒索病毒的再次袭来，威力更大，危害性更严重，达到了“一台中招，全网瘫痪”的地步。相较于紧迫的网络安全形势，需要从顶层设计入手，加大对访问信息的控制，保障网络安全。

4 检察网络中角色访问保护策略

目前，配合高检的各项安全软件的部署，检察网络已经有安全审计软件和防护系统，但是对策略控制保护还有不完善的地方，检察网络中的角色访问控制主要从以下几个方面来实现：

身份验证管理：通过人员身份和访问管理方案，可以针对访问哪个系统做出更改，通过角色的访问控制来检查当前角色的访问权利，验证网络访问是否正常，从活动目录中获得当前权限，实现不同角色的数据共享。IEEE802.1X协议被称为端口访问控制协议，能够作为对网络设备认证的手段。

访问控制策略：访问控制是网络系统对信息资源集合受到非法用户访问时，能够使用适当的机制及防护措施，保护资源的完整性和不可访问性。访问控制实质上是对资源使用的限制。通过对检察网络中用户、服务、操作的访问限制，使得依赖于角色的主体访问合法化。对于未经授权访问机密资源的用户进行留痕、禁止。检察网络的访问控制必须遵守最小特权原则，既用户只能拥有执行他们业务功能的必须权限，不能拥有其他权限，这样可以使得异操作对网络造成最小危害。

多级分层安全策略：在对角色进行不同权限分配后产生对用户具有不同约束层级的线性关系。角色之间可以存在互斥状态，也可以存在一个角色有多个权限，一个用户有多个角色。每个角色得到自己的访问控制时，可以得到一个会话，这个会话将激活该用户全部角色的所有授权，通过对角色的不同授权，想要合法地获得信息就要得到大于该信息安全级别的角色授权。

角色继承：在一个用户层级中，存在着不少通用的权限，不同用户共有的权限可以通过角色进行继承，对于特定的用户又可以进行特殊的授权。

5 结论

内部系统被入侵和泄密是一个非常严重的问题。保障网络系统、计算机终端和整个信息设施的安全已经成为信息化发展过程中刻不容缓的重要课题。在网络安全技术中，除了数据加密、防火墙技术、安全审计之外，访问控制也必不可少，它是网络防护的重要部分。网络安全不是静态的，是一个动态的防范体系。基于角色访问的网络安全技术能够及时发现网络中的异常现象，灵活调配用户的权限和安全级别，适用于保密程度较高的检察网络。

[1]朱伟.基于角色的访问控制技术在网络安全中的研究和应用[D].上海交通大学，2004.

[2]罗明宇，卢锡城，卢泽新.计算机网络安全技术[J].计算机科学，2000.

[3] Stallings W.Network and internetwork security: principles and practice[M]. Prentice-Hall. Inc.，1995.

调研课题：《擅自发行股票、公司企业债券罪实证研究》 立项编号：2017NAJCY02。