基于服務(wù)的單一身份訪問(wèn)控制系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、銀行信息系統(tǒng)通常是技術(shù)密集、系統(tǒng)多樣化、結(jié)構(gòu)網(wǎng)絡(luò)化的復(fù)雜應(yīng)用系統(tǒng)，在運(yùn)維過(guò)程中往往存在違規(guī)操作、外包操作、多人共享等風(fēng)險(xiǎn)。盡管銀行通常采取雙人復(fù)核、流程管理等制度來(lái)規(guī)避或降低IT操作風(fēng)險(xiǎn)，但在實(shí)際操作過(guò)程中往往存在制度執(zhí)行力差、缺少有效的監(jiān)督等問(wèn)題。因此如何采用技術(shù)手段來(lái)有效管理用戶(hù)權(quán)限、控制用戶(hù)行為是一個(gè)十分重要和緊迫的問(wèn)題。
　　基于角色的訪問(wèn)控制模型RBAC（Role-Based Access Control）是目前使用最為

2、廣泛的訪問(wèn)控制模型。但RBAC模型存在一定的缺陷。例如像銀行這樣的大型企業(yè)，在日常IT運(yùn)維過(guò)程中，人員身份角色并不固定，對(duì)信息系統(tǒng)訪問(wèn)的要求會(huì)有頻繁的變化，同時(shí)還存在很多例外權(quán)限。在這種情況下，傳統(tǒng)的RBAC模型的訪問(wèn)控制方式就顯得非常不靈活。
　　本文為解決RBAC模型的缺陷，對(duì)RBAC模型進(jìn)行了擴(kuò)展和封裝。根據(jù)銀行的運(yùn)維流程特點(diǎn)，建立了一個(gè)基于服務(wù)的訪問(wèn)控制模型（Service-Based Access Control：SBA

3、C）。該模型用服務(wù)的概念替換了RBAC模型中的角色概念，資源的訪問(wèn)控制完全根據(jù)業(yè)務(wù)服務(wù)流程的需要進(jìn)行授權(quán)。無(wú)論參與服務(wù)的人員如何變化，模型能夠依據(jù)人員身份進(jìn)行高效的訪問(wèn)控制授權(quán)。通過(guò)基于服務(wù)的訪問(wèn)控制，改進(jìn)了傳統(tǒng)RBAC模型在某些場(chǎng)景下控制不靈活的缺陷。
　　基于改進(jìn)后的SBAC模型，建立一套適合銀行內(nèi)部運(yùn)維體系的賬號(hào)訪問(wèn)控制系統(tǒng)——單一身份訪問(wèn)控制系統(tǒng)。這套系統(tǒng)作為我行系統(tǒng)賬號(hào)安全管理平臺(tái)中的重要組成部分在全行范圍內(nèi)部署上線，從