◆胡 勇

（重慶市南岸區(qū)人民檢察院技術(shù)科 重慶 400060）

基于角色訪問的網(wǎng)絡(luò)安全技術(shù)在檢察機(jī)關(guān)的應(yīng)用

◆胡 勇

（重慶市南岸區(qū)人民檢察院技術(shù)科 重慶 400060）

今年是《網(wǎng)絡(luò)安全法》實(shí)施的元年，網(wǎng)絡(luò)安全已經(jīng)成為了檢察機(jī)關(guān)信息化建設(shè)的重要一環(huán)。網(wǎng)絡(luò)技術(shù)在帶來便捷工作環(huán)境的同時，也會產(chǎn)生很多的安全問題和隱患。如今，檢察機(jī)關(guān)網(wǎng)絡(luò)信息化對檢察業(yè)務(wù)影響的逐年加強(qiáng)，保障檢察網(wǎng)絡(luò)安全具有重要意義。本文旨在針對檢察機(jī)關(guān)網(wǎng)絡(luò)安全現(xiàn)狀，運(yùn)用角色訪問控制策略，對網(wǎng)絡(luò)安全問題和隱患，提出有效可操作的防范措施。

網(wǎng)絡(luò)安全；信息化；檢察機(jī)關(guān)；角色訪問

0 引言

隨著信息化技術(shù)飛速發(fā)展和廣泛應(yīng)用，檢察機(jī)關(guān)已經(jīng)建成了覆蓋全國的信息網(wǎng)絡(luò)，實(shí)現(xiàn)了數(shù)據(jù)共享和傳輸?shù)纫幌盗泄δ堋Ｓ捎跈z察機(jī)關(guān)特殊的工作環(huán)境和保密需求，其對網(wǎng)絡(luò)安全有著嚴(yán)格的要求。

《網(wǎng)絡(luò)安全法》規(guī)定：“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)加強(qiáng)對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)立即停止傳輸該信息”。檢察機(jī)關(guān)作為國家法律的監(jiān)督機(jī)關(guān)，在國家如此重視網(wǎng)絡(luò)安全的大背景下，運(yùn)用現(xiàn)代信息化安全手段解決檢察工作中出現(xiàn)的問題，服務(wù)檢察工作勢在必行。近年來，按照最高檢的統(tǒng)一部署和要求，各級檢察機(jī)關(guān)已經(jīng)基本完成本院信息化基礎(chǔ)建設(shè)，實(shí)現(xiàn)了檢察內(nèi)網(wǎng)和檢察業(yè)務(wù)系統(tǒng)配套建設(shè)，達(dá)到了全國檢察機(jī)關(guān)互聯(lián)互通。但是對于安全保密的要求還僅僅停留在物理隔離和主機(jī)監(jiān)控上，而對存在大量的保密信息設(shè)備和網(wǎng)絡(luò)設(shè)備安全缺乏足夠的重視，使得信息化建設(shè)存在巨大安全隱患。

1 角色訪問控制技術(shù)概述

角色訪問控制技術(shù)在信息化系統(tǒng)安全防范和保護(hù)上有著很重要的作用，它能保障安全、快捷的訪問受保護(hù)資源的同時拒絕非法用戶的訪問。

基于角色的訪問控制（RBAC）是在訪問控制基礎(chǔ)上簡化了不同情境下的授權(quán)管理，通過將訪問權(quán)限分配給角色，再將角色分配給用戶，然后用戶通過角色所具有的權(quán)限擁有相應(yīng)的權(quán)限。角色訪問控制實(shí)際上通過向一個比較穩(wěn)定的角色賦予權(quán)限實(shí)現(xiàn)對網(wǎng)絡(luò)安全的保障。當(dāng)用戶發(fā)生變更時，此用戶所具有的角色屬性將被撤銷。角色訪問控制的優(yōu)點(diǎn)是可以通過不同類型、不同的安全等級劃分出不同的角色，以適應(yīng)不同的訪問控制環(huán)境。

2 角色訪問控制實(shí)現(xiàn)網(wǎng)絡(luò)安全的原理

按照不同的網(wǎng)絡(luò)安全策略劃分出的不同角色所建立起的訪問控制系統(tǒng)可以實(shí)現(xiàn)對非法用戶的控制和防范。當(dāng)用戶發(fā)生變化時，及時調(diào)整其相應(yīng)角色即可實(shí)現(xiàn)其權(quán)限變更。如果其功能變化太大，只需要刪除之前的角色增加新的角色并重新定義其權(quán)限，而不需要對系統(tǒng)中所有用戶的訪問權(quán)限進(jìn)行更新。這種方式可以極大的簡化授權(quán)管理操作，通過對網(wǎng)絡(luò)資源的控制達(dá)到網(wǎng)絡(luò)信息安全的要求。

角色訪問控制既可以細(xì)致到兩套網(wǎng)絡(luò)設(shè)備間的具體的網(wǎng)絡(luò)應(yīng)用控制，也可以按照網(wǎng)段對大范圍的訪問控制進(jìn)行管理，為網(wǎng)絡(luò)應(yīng)用提供了一個有效的安全手段。

3 檢察機(jī)關(guān)網(wǎng)絡(luò)安全現(xiàn)狀分析

在檢察網(wǎng)絡(luò)系統(tǒng)中存在較為傳統(tǒng)的訪問權(quán)限控制方式，當(dāng)人員和崗位發(fā)生變動，其相應(yīng)的權(quán)限也需要進(jìn)行調(diào)整，這樣修改權(quán)限的工作將十分繁瑣，特別是有的基層院用戶很多，這時權(quán)限的配置和變更十分不便，也容易出現(xiàn)安全漏洞。

基于角色訪問控制不但可以避免權(quán)限變更比較繁雜的缺點(diǎn)，還可以對個別用戶和訪問直接處理的特點(diǎn)。在網(wǎng)絡(luò)權(quán)限配置過程中引入“角色控制”不僅可以作為中間變量關(guān)聯(lián)一組權(quán)限集合，還可以當(dāng)做是有相同權(quán)限的一組用戶集合。根據(jù)不同的職責(zé)制定不同的角色控制其訪問權(quán)限實(shí)現(xiàn)了用戶和權(quán)限的靈活對應(yīng)，在保障網(wǎng)絡(luò)安全的同時避免了復(fù)雜操作可能造成的漏洞。

最近wannacry勒索病毒肆虐全球，150多個國家都被感染，中國近3萬多家機(jī)構(gòu)受到影響，檢察機(jī)關(guān)雖然有各種網(wǎng)絡(luò)保護(hù)措施，但仍然受到很大影響，部分涉密電腦被感染。“必加”勒索病毒的再次襲來，威力更大，危害性更嚴(yán)重，達(dá)到了“一臺中招，全網(wǎng)癱瘓”的地步。相較于緊迫的網(wǎng)絡(luò)安全形勢，需要從頂層設(shè)計(jì)入手，加大對訪問信息的控制，保障網(wǎng)絡(luò)安全。

4 檢察網(wǎng)絡(luò)中角色訪問保護(hù)策略

目前，配合高檢的各項(xiàng)安全軟件的部署，檢察網(wǎng)絡(luò)已經(jīng)有安全審計(jì)軟件和防護(hù)系統(tǒng)，但是對策略控制保護(hù)還有不完善的地方，檢察網(wǎng)絡(luò)中的角色訪問控制主要從以下幾個方面來實(shí)現(xiàn)：

身份驗(yàn)證管理：通過人員身份和訪問管理方案，可以針對訪問哪個系統(tǒng)做出更改，通過角色的訪問控制來檢查當(dāng)前角色的訪問權(quán)利，驗(yàn)證網(wǎng)絡(luò)訪問是否正常，從活動目錄中獲得當(dāng)前權(quán)限，實(shí)現(xiàn)不同角色的數(shù)據(jù)共享。IEEE802.1X協(xié)議被稱為端口訪問控制協(xié)議，能夠作為對網(wǎng)絡(luò)設(shè)備認(rèn)證的手段。

訪問控制策略：訪問控制是網(wǎng)絡(luò)系統(tǒng)對信息資源集合受到非法用戶訪問時，能夠使用適當(dāng)?shù)臋C(jī)制及防護(hù)措施，保護(hù)資源的完整性和不可訪問性。訪問控制實(shí)質(zhì)上是對資源使用的限制。通過對檢察網(wǎng)絡(luò)中用戶、服務(wù)、操作的訪問限制，使得依賴于角色的主體訪問合法化。對于未經(jīng)授權(quán)訪問機(jī)密資源的用戶進(jìn)行留痕、禁止。檢察網(wǎng)絡(luò)的訪問控制必須遵守最小特權(quán)原則，既用戶只能擁有執(zhí)行他們業(yè)務(wù)功能的必須權(quán)限，不能擁有其他權(quán)限，這樣可以使得異操作對網(wǎng)絡(luò)造成最小危害。

多級分層安全策略：在對角色進(jìn)行不同權(quán)限分配后產(chǎn)生對用戶具有不同約束層級的線性關(guān)系。角色之間可以存在互斥狀態(tài)，也可以存在一個角色有多個權(quán)限，一個用戶有多個角色。每個角色得到自己的訪問控制時，可以得到一個會話，這個會話將激活該用戶全部角色的所有授權(quán)，通過對角色的不同授權(quán)，想要合法地獲得信息就要得到大于該信息安全級別的角色授權(quán)。

角色繼承：在一個用戶層級中，存在著不少通用的權(quán)限，不同用戶共有的權(quán)限可以通過角色進(jìn)行繼承，對于特定的用戶又可以進(jìn)行特殊的授權(quán)。

5 結(jié)論

內(nèi)部系統(tǒng)被入侵和泄密是一個非常嚴(yán)重的問題。保障網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)終端和整個信息設(shè)施的安全已經(jīng)成為信息化發(fā)展過程中刻不容緩的重要課題。在網(wǎng)絡(luò)安全技術(shù)中，除了數(shù)據(jù)加密、防火墻技術(shù)、安全審計(jì)之外，訪問控制也必不可少，它是網(wǎng)絡(luò)防護(hù)的重要部分。網(wǎng)絡(luò)安全不是靜態(tài)的，是一個動態(tài)的防范體系?；诮巧L問的網(wǎng)絡(luò)安全技術(shù)能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常現(xiàn)象，靈活調(diào)配用戶的權(quán)限和安全級別，適用于保密程度較高的檢察網(wǎng)絡(luò)。

[1]朱偉.基于角色的訪問控制技術(shù)在網(wǎng)絡(luò)安全中的研究和應(yīng)用[D].上海交通大學(xué)，2004.

[2]羅明宇，盧錫城，盧澤新.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].計(jì)算機(jī)科學(xué)，2000.

[3] Stallings W.Network and internetwork security: principles and practice[M]. Prentice-Hall. Inc.，1995.

調(diào)研課題：《擅自發(fā)行股票、公司企業(yè)債券罪實(shí)證研究》 立項(xiàng)編號：2017NAJCY02。