基于服務的單一身份訪問控制系統(tǒng)的研究與實現(xiàn).pdf

1、銀行信息系統(tǒng)通常是技術(shù)密集、系統(tǒng)多樣化、結(jié)構(gòu)網(wǎng)絡(luò)化的復雜應用系統(tǒng)，在運維過程中往往存在違規(guī)操作、外包操作、多人共享等風險。盡管銀行通常采取雙人復核、流程管理等制度來規(guī)避或降低IT操作風險，但在實際操作過程中往往存在制度執(zhí)行力差、缺少有效的監(jiān)督等問題。因此如何采用技術(shù)手段來有效管理用戶權(quán)限、控制用戶行為是一個十分重要和緊迫的問題。
　　基于角色的訪問控制模型RBAC（Role-Based Access Control）是目前使用最為

2、廣泛的訪問控制模型。但RBAC模型存在一定的缺陷。例如像銀行這樣的大型企業(yè)，在日常IT運維過程中，人員身份角色并不固定，對信息系統(tǒng)訪問的要求會有頻繁的變化，同時還存在很多例外權(quán)限。在這種情況下，傳統(tǒng)的RBAC模型的訪問控制方式就顯得非常不靈活。
　　本文為解決RBAC模型的缺陷，對RBAC模型進行了擴展和封裝。根據(jù)銀行的運維流程特點，建立了一個基于服務的訪問控制模型（Service-Based Access Control：SBA

3、C）。該模型用服務的概念替換了RBAC模型中的角色概念，資源的訪問控制完全根據(jù)業(yè)務服務流程的需要進行授權(quán)。無論參與服務的人員如何變化，模型能夠依據(jù)人員身份進行高效的訪問控制授權(quán)。通過基于服務的訪問控制，改進了傳統(tǒng)RBAC模型在某些場景下控制不靈活的缺陷。
　　基于改進后的SBAC模型，建立一套適合銀行內(nèi)部運維體系的賬號訪問控制系統(tǒng)——單一身份訪問控制系統(tǒng)。這套系統(tǒng)作為我行系統(tǒng)賬號安全管理平臺中的重要組成部分在全行范圍內(nèi)部署上線，從