⑴ 電腦系統如何設置管理員許可權
在計算機管理的界面中可以設置管理員許可權,具體操作請參照以下步驟。
1、在電腦桌面找到「計算機」圖標,然後右擊滑鼠,在右鍵菜單中選擇「管理」選項進行點擊。
⑵ 為什麼要進行許可權管理(關於操作系統的)
也許你認為只有你一個人使用你的操作系統,但其實你操作系統上每個應用程序都是一個用戶。
你用滑鼠鍵盤可以修改文件,應用程序也可以做修改文件,只不過不是通過滑鼠鍵盤而已。你和應用程序其實都是使用了操作系統的介面,所以對操作系統來說都是用戶。
但理想的情況是,除你以外的其他用戶不得擅自操作,所以你應該有更高的許可權,其他用戶要進行操作需要經過你的同意。最高許可權的用戶就是管理員。但是用戶的操作會非常多,任何操作都要向你請示你根本處理不過來,所以針對不同的監控力度產生了不同的安全等級。
一句話就是,實現了可操作的安全控制
⑶ 如何解決Windows7系統中操作文件時總提示需要管理員許可權問題
1、點擊開始菜單,選擇控制面板--用戶賬戶和家庭安全--用戶賬戶; 2、點擊「更改用戶賬戶控制設置」,可以看到左側的滑塊處於頂部「始終通知」,將滑塊下拉至合適的位置即可。 方法二:設置文件的安全訪問許可權 如果上面的方法還是不能解決問題,可以查看下文件的安全訪問設置。 1、右鍵單擊文件,選擇「屬性」; 2、在文件屬性窗口中,切換至「安全」項,點擊「編輯」按鈕,勾選「完全控制」,點擊確定; 3、之後就可以對文件進行操作了
⑷ 系統安全管理主要包括系統日常維護用戶和許可權
隨著信息技術的飛速發展和廣泛應用,我國信息化建設也進入了快速發展時期,一些政府部門、軍隊、金融機構、科研機構等特殊單位的信息系統構成了「涉密信息系統」,而如何去保障涉及重要機密的信息安全是需要重視的問題。
在數學里,三角形是最穩定的結構,比如三角形鋼架、鋼架橋和埃菲爾鐵塔都以三角形形狀建造。高穩定性也意味著更加安全、可靠,在軟體行業也有類似的一種也有類似的結構來保證這類涉密機構數據的穩定性和安全,比如意暢企業雲盤系統中的三員管理制度,針對政府部門、軍隊、金融機構、科研機構等特殊行業的客戶提供數據安全保障。
在意暢企業雲盤的三員管理制度中,將管理員許可權劃分為具有相互獨立、相互制約的系統管理員、安全保密管理員和安全審計員三個管理員角色,分別負責系統運行、安全保密管理和安全審計工作。
系統管理員、安全保密管理員和安全審計員的具體職責和職責范圍如下:
系統管理員主要負責生成用戶身份標識符和系統運行維護,主要負責管理所有用戶組織、文檔數據及集群系統,保護用戶和文檔數據的安全性,及集群系統的正常運轉。
安全保密管理員主要負責用戶許可權設定、以及系統日誌、用戶和安全審計員日誌的審查分析,主要負責配置管理用戶許可權策略和文檔策略,保證用文檔數據安全,防止客戶端數據泄露。
安全審計員主要負責對系統管理員和安全保密管理員的日誌進行審查分析,主要負責審計日誌,監控系統管理員和安全管理員的訪問管理行為。
意暢企業雲盤除了三員管理模式也支持超級管理員模式模式,在超級管理員模式下,系統默認角色為admin(超級管理員),為系統的最高級管者,可以進行用戶管理、運營管理、系統管理及審計管理。
如今,信息安全已經越來越受到企業的重視,涉及涉密行業的信息化就繞不開三員管理,三員管理制度已經愈發成熟,成為企業保障信息安全的重要策略之一。
⑸ 操作系統安全的簡介
過去,微軟一直以在操作系統上捆綁許多額外特性而著稱,這些額外特性大多數是以默認的服務訪問許可權進行安裝的。Windows Server 2003打破了這種傳統的模式,使得在Windows 2000 Server默認情況下能夠運行的二十多種服務被關閉或者使其以更低的許可權運行。
在Windows 2003中,兩個最重要的安全特性的革新在於直接處理IIS和Telnet伺服器。IIS和Telnet在默認的情況下都沒有安裝,並且這兩個服務是在兩個新的賬戶下運行,新賬戶的許可權比正常系統賬戶的許可權要低。如果惡意的軟體危及到這兩個服務時,這種革新將直接改善伺服器的安全性。
與IIS和Telnet上的服務賬戶改進一起,Windows 2003還包含了大量的新的安全特性,也許,這些新的安全特性將是你決定升級到Windows Server 2003的決定因素。 1.Internet連接防火牆(ICF)ICF是一個軟體防火牆,它為用戶的網路伺服器提供了基本的埠安全性。它與用戶當前的安全設備一起工作,給用戶的關鍵的基礎設施增加了一層保護。
2.軟體限制策略軟體限制策略使用策略和強制執行機制,來限制系統上運行的未授權的可執行程序。這些限制是一些額外的手段,以防止用戶執行那些不是該公司標准用戶軟體套件中的程序。
3.網頁伺服器的安全性當裝載了IIS 6.0的默認安裝時,網頁伺服器的安全性將達到最大化。新的IIS 6.0安全特性包括可選擇的加密服務,高級的摘要認證以及可配置的過程訪問控制。
4.新的摘要安全包新的摘要安全包支持在RFC 2617中定義的摘要認證協議。該包對IIS和活動目錄(AD)提供了更高級的保護。
5.改善了以太區域網和無線區域網的安全性不論連接的介質是什麼,基於IEEE 802.1X規范改進了以太區域網和無線區域網的安全性,促進了用戶和計算機的安全認證和授權。這些改進也支持公鑰證書和智能卡的自動注冊,使得能夠對傳統的位於或者橫跨公共場所的網路進行訪問控制,例如大學校園的廣域網(WAN)和橫穿大城市的政府廣域網(WAN)。
6.憑證管理器對於所有的用戶憑證,包括口令密碼和X.509證書,憑證管理器提供了一個安全的倉庫。這個特性使得單一的簽名特性可以獲得多個領域的信任。
7.Internet認證伺服器和遠程認證撥號用戶伺服器(IAS/RADIUS)Internet認證伺服器和遠程認證撥號用戶伺服器(IAS/RADIUS)控制遠程的用戶認證和授權訪問。對於不同的連接類型,例如撥號上網,虛擬專用網(VPNs)以及防火牆連接,該服務都是很實用的。
8.FIPS——廣為認可的內核模式加密演算法聯邦信息處理標准(FIPS)演算法支持SHA-1、DES、3DES和一個隨機數發生器。這種政府級的加密模式用於加密通過VPN使用第二層隧道協議(L2TP)和IP安全(IPSec)建立的連接,這種連接或是從客戶端到伺服器,或是從伺服器到伺服器,或是從網關到網關。
9.改進的SSL客戶端認證安全套接字層(SSL)客戶端認證的改進使得會話速度可以提高35%,而且多個進程可以緩存和共享會話。這樣可以減少用戶對應用程序的認證,從而減少應用程序伺服器上的網路通信量和CPU工作周期。
10.增強的EFS加密文件服務(EFS)的改進允許管理員和用戶提供給多個用戶訪問多組加密文件的可能。它還提供了額外的文件存儲保護和最大數量的用戶容量。
除了這些新的安全特性之外,微軟已經發行了一個安全配置管理器,用於將整個操作系統的安全選項集合成一個管理控制台。 一、物理安全
伺服器應當放置在安裝了監視器的隔離房間內,並且監視器應當保留15天以內的錄像記錄。另外,機箱、鍵盤、抽屜等要上鎖,以保證旁人即使在無人值守時也無法使用此計算機,鑰匙要放在安全的地方。
二、停止Guest帳號
在[計算機管理]中將Guest帳號停止掉,任何時候不允許Guest帳號登錄系統。為了保險起見,最好給Guest帳號加上一個復雜的密碼,並且修改Guest帳號屬性,設置拒絕遠程訪問。
三、限制用戶數量
去掉所有的測試帳戶、共享帳號和普通部門帳號,等等。用戶組策略設置相應許可權、並且經常檢查系統的帳號,刪除已經不適用的帳號。
很多帳號不利於管理員管理,而黑客在帳號多的系統中可利用的帳號也就更多,所以合理規劃系統中的帳號分配。
四、多個管理員帳號
管理員不應該經常使用管理者帳號登錄系統,這樣有可能被一些能夠察看Winlogon進程中密碼的軟體所窺探到,應該為自己建立普通帳號來進行日常工作。
同時,為了防止管理員帳號一旦被入侵者得到,管理員擁有備份的管理員帳號還可以有機會得到系統管理員許可權,不過因此也帶來了多個帳號的潛在安全問題。
五、管理員帳號改名
在Windows 2000系統中管理員Administrator帳號是不能被停用的,這意味著攻擊者可以一再嘗試猜測此帳戶的密碼。把管理員帳戶改名可以有效防止這一點。
不要將名稱改為類似Admin之類,而是盡量將其偽裝為普通用戶。
六、陷阱帳號
和第五點類似、在更改了管理員的名稱後,可以建立一個Administrator的普通用戶,將其許可權設置為最低,並且加上一個10位以上的復雜密碼,藉此花費入侵者的大量時間,並且發現其入侵企圖。
七、更改文件共享的默認許可權
將共享文件的許可權從「Everyone更改為授權用戶」,」Everyone意味著任何有權進入網路的用戶都能夠訪問這些共享文件。
八、安全密碼
安全密碼的定義是:安全期內無法破解出來的密碼就是安全密碼,也就是說,就算獲取到了密碼文檔,必須花費42天或者更長的時間才能破解出來(Windows安全策略默認42天更改一次密碼,如果設置了的話)。
九、屏幕保護 / 屏幕鎖定 密碼
防止內部人員破壞伺服器的一道屏障。在管理員離開時,自動載入。
十、使用NTFS分區
比起FAT文件系統,NTFS文件系統可以提供許可權設置、加密等更多的安全功能。
十一、防病毒軟體
Windows操作系統沒有附帶殺毒軟體,一個好的殺毒軟體不僅能夠殺除一些病毒程序,還可以查殺大量的木馬和黑客工具。設置了殺毒軟體,黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經常升級病毒庫 !
十二、備份盤的安全
一旦系統資料被黑客破壞,備份盤將是恢復資料的唯一途徑。備份完資料後,把備份盤放在安全的地方。不能把備份放置在當前伺服器上,那樣的話還不如不做備份。(二) Windows Server 2003的安全結構體系Windows Server 2003是目前最為成熟的網路伺服器平台,安全性相對於Windows 2000有很大的提高,本節就從Windows 2003的安全結構體系入手,帶領大家學習Windows 2003的安全結構特性。
LSA組件概述身份驗證
1.LSA組件概述身份驗證是通過基於密碼的事務處理來實現的,其中涉及Kerberos或者經典NT LanMan(NTLM)Challenge-Response(質詢-響應)。Windows 2003使用名為「安全描述符」的特殊數據結構來保護資源。安全描述符指出誰能訪問一個資源,以及他們能對這個資源採取什麼操作。所有進程都由定義了用戶安全上下文的「訪問令牌」來進行標識。審核由安全系統中的特殊功能完成,它們能記錄對安全記錄的訪問。
在本地安全機構(Local Security Authority,LSA)組件中,包含作為Windows Executive一部分來執行的「核心模式」服務,以及對客戶端-服務進程(比如互動式登錄和網路訪問許可權的授予)進行控制的「用戶模式」服務。LSA中的用戶模式安全服務包含在兩個可執行程序中,即「本地安全機構子系統(Local Security Subsystem,LSASS.EXE)」以及Winlogon.exe。LSASS容納著以下進程:
(1)Kerberos KDC。該服務提供Kerberos身份驗證和票證授予服務。它使用AD來存儲安全身份憑據。
(2)NTLM安全性支持提供者。它支持所有下級客戶端以及非域成員的現代Windows客戶端。
(3)Netlogon。處理來自下級客戶的「直通(Pass-Through)」式身份驗證,從而提供對經典NT身份驗證的支持。但不支持Kerberos事務處理。在基於AD的域控制器上,它負責注冊DNS記錄。
(4)IPSec。這個服務管理IP Security連接策略和IPSec Internet Key Exchange(IKE)。
(5)保護性存儲(Protected Storge)。這個服務負責加密並安全存儲與PKI子系統關聯的證書。
LSA組件的「封裝」
2.LSA組件訪問一個伺服器上的安全資源時,對這個所將發生的安全事務處理進行管理的服務稱為「封裝」或者「包」。有兩種類型的封裝:身份驗證封裝和安全性封裝。
(1)身份驗證封裝。Microsoft提供了Kerberos和MSV1_0(質詢-響應)兩種身份驗證封裝。Windows支持源於DOS的客戶端(Windows Me以下)所用的LanMan(LM)質詢-響應,以及NT客戶端和非域成員的現代Windows客戶端所用的NT LanMan(NTLM)質詢-響應。
(2)經典安全性資料庫。NTLM身份驗證將安全信息存儲在注冊表的3個資料庫中。①builtin:這個資料庫包含Administraotr和Guest兩個默認的用戶賬戶,另外還有各個默認組,如用於域的Domain Users及用於工作站和獨立伺服器的Power User組。Builtin賬戶包含在SAM注冊表分支中。②安全賬戶管理器(SAM):這個資料庫包含了本地用戶和組賬戶。③LSA:這個資料庫包含了計算機的密碼規則、系統策略以及可信賬戶。LSA資料庫包含在Security Registry分支中,這個分支也包含了SAM資料庫的一個副本。
Windows得登錄身份憑據
3.WINLOGONLSA需要某種機制從用戶處獲得登錄身份憑據。負責獲取這些身份憑據的可執行程序就是Windows exe,當按下Ctrl+Alt+Del組合鍵時,就調用 Winlogon exe。Winlogon所提供的窗口來源於一個名為「圖形標識和身份驗證」的DLL。用戶登錄時,LSA會構建一個訪問令牌,用身份安全系統描述這個用戶。由用戶所有的一個進程在嘗試訪問一個安全對象時,安全性參考監視器(SRM)會將安全描述中的SID與用戶訪問令牌中的SID進行比較,並依此得出用戶的訪問許可權集合。用戶連接到一個伺服器時,伺服器上的LSASS必須建立代表該用戶的一個本地訪問令牌,並將令牌附加到用戶的進程上。LSASS通過兩種方式以獲取構建這個本地訪問令牌所需的信息:
· 如果是Kerberos身份驗證,它從客戶端出示的Kerberos會話票證的Authorization Data欄位中獲取信息。
· 如果是NTLM身份驗證,它從一個域控制器獲取信息,這是作為「直通」式身份驗證過程的一部分來完成的。
LSA工作過程
4.LSA工作過程概述(1)Windows從用記收集登錄身份信息。
(2)LSASS獲取這些身份憑據,並在Kerberos或者NTLM的幫助(通過MSV1_))下使用這些憑據來驗證用戶的身份。這是「身份驗證」階段。
(3)LSASS構建一個訪問令牌,它定義用戶的訪問許可權和系統許可權。
(4)安全性參考監視器(Security Reference Monitor,SRM)將這個令牌與對象的安全描述符中的訪問控制列表(Access Control List,ACL)進行比較,判斷是否允許用戶訪問。這是「授權」階段。
(5)最後,LSASS和SRM配合,監視對安全對象的訪問,並生成報告來記錄部分或者全部事件。這是「審核」階段。
Windows 2003的改進
Windows的安全性歷來為人所詬病,直到Windows 2000才有較大改觀,但依然難如人意:登錄時的輸入法漏洞、IIS特殊網址漏洞都是著名的例子。Windows 2000的補丁幾乎全是安全補丁,以致有的網管一天不上微軟網站心裡就不踏實。Windows Server 2003在安全上下了大力氣,不僅堵完了已發現的所有NT漏洞,而且還重新設計了安全子系統,增加了新的安全認證,改進了安全演算法。處處設防,連訪問一個新網站和運行一個新程序都有確認提示。 2IE安全模塊Windows 2003的安全性比微軟以往的操作系統有了大幅提高,內置IE 6.0的安全設置的默認值也被提到了「高」,這無疑是比較保險的辦法。但每次瀏覽不同的網頁都會彈出確認窗口,實在有些大煞風景。有些朋友在IE的「工具」→「安全」→「Internet區域的安全級別」中把安全等級降為「中」或者「中低」來解決。但這必須具有系統管理員級別的用戶才能修改,其他用戶不能修改,只能忍受微軟不厭其煩的安全警告提示。
其實大家只要在組策略中把相關的安全設置功能打開就能解決上述問題。首先利用系統管理員身份登錄,在運行框中輸入「gpedit msc」,回車後進入組策略編輯器,找到「本地計算機策略」→「計算機配置」→「管理模塊」→「Windows組件」→Internet Explorer。選定該項,把右邊的「安全區域:僅是計算機設置」的默認值「未配置」改為「已啟用」即可。這樣系統管理員設置安全區域為「中」後,其他的用戶也能享受「清靜」了。
Windows 2003的防火牆功能
3防火牆在校園網的日常管理與維護中,網路安全正日益受到人們的關注。校園網伺服器是否安全將直接影響學校日常教育教學工作的正常進行。為了提高校園網的安全性,網路管理員首先想到的就是配備硬體防火牆或者購買軟體防火牆,但硬體防火牆價格昂貴,軟體防火牆也價格不菲,
這對教學經費比較緊張的廣大中小學來說是一個沉重的負擔。在此筆者結合自己的工作經驗,談談如何利用Windows 2003提供的防火牆功能為校園網伺服器構築安全防線。
Windows 2003提供的防火牆稱為Internet連接防火牆,通過允許安全的網路通信通過防火牆進入網路,同時拒絕不安全的通信進入,使網路免受外來威脅。Internet連接防火牆只包含在Windows Server 2003 Standard Edition和32位版本的Windows Server 2003 Enterprise Edition 中。
Internet連接防火牆的設置:
在Windows 2003伺服器上,對直接連接到Internet的計算機啟用防火牆功能,支持網路適配器、DSL適配器或者撥號數據機連接到 Internet。
誕生於Windows 2000 Server的Active Directory,作為微軟的目錄服務和Windows 2000網路的核心,在Windows Server 2003上有了許多增強與改進:如可以使用備份數據安裝附加域控制器,擁有更多的Active Directory功能級別,更加順暢的目錄數據復制功能,更加方便的管理功能等。
Active Directory技術功能特性
在針對Microsoft Windows 2000 Server操作系統所實施的多項重大改進中,Microsoft Active Directory不僅是最為重要、而且也是最容易遭到混淆的技術特性。本節提供了有關Active Directory技術功能特性的概括性資料。
就像可提供人員與單位電話信息的電話目錄服務一樣,Active Directory也是一種可供用來存儲全部網路資源信息、並提供針對此類信息之簡易訪問服務的目錄服務功能。這里所說的網路資源主要包括計算機、列印機、共享文件夾和消息隊列等對象。
Active Directory相當於整個網路環境中的主交換機。該技術可幫助用戶和應用程序針對那些已處於網路連接狀態的相關資源實施目標定位與訪問調用,並在彼此之間實現網路互聯。更重要的是,該技術還可供用來確保只有那些經過授權的用戶或應用程序方可獲准在具備安全保障的前提下針對相關資源實施訪問調用。
⑹ 如何讓系統的許可權管理系統更安全
基於RBAC模型的許可權管理系統的設計和實現
0 引言
管理信息系統是一個復雜的人機交互系統,其中每個具體環節都可能受到安全威脅。構建強健的許可權管理系統,保證管理信息系統的安全性是十分重要的。許可權管理系統是管理信息系統中可代碼重用性最高的模塊之一。任何多用戶的系統都不可避免的涉及到相同的許可權需求,都需要解決實體鑒別、數據保密性、數據完整性、防抵賴和訪問控制等安全服務(據ISO7498-2)。例如,訪問控制服務要求系統根據操作者已經設定的操作許可權,控制操作者可以訪問哪些資源,以及確定對資源如何進行操作。
目前,許可權管理系統也是重復開發率最高的模塊之一。在企業中,不同的應用系統都擁有一套獨立的許可權管理系統。每套許可權管理系統只滿足自身系統的許可權管理需要,無論在數據存儲、許可權訪問和許可權控制機制等方面都可能不一樣,這種不一致性存在如下弊端:
a.系統管理員需要維護多套許可權管理系統,重復勞動。
b.用戶管理、組織機構等數據重復維護,數據一致性、完整性得不到保證。
c.由於許可權管理系統的設計不同,概念解釋不同,採用的技術有差異,許可權管理系統之間的集成存在問題,實現單點登錄難度十分大,也給企業構建企業門戶帶來困難。
採用統一的安全管理設計思想,規范化設計和先進的技術架構體系,構建一個通用的、完善的、安全的、易於管理的、有良好的可移植性和擴展性的許可權管理系統,使得許可權管理系統真正成為許可權控制的核心,在維護系統安全方面發揮重要的作用,是十分必要的。
本文介紹一種基於角色的訪問控制RBAC(Role-Based policies Access Control)模型的許可權管理系統的設計和實現,系統採用基於J2EE架構技術實現。並以討論了應用系統如何進行許可權的訪問和控制。
1 採用J2EE架構設計
採用J2EE企業平台架構構建許可權管理系統。J2EE架構集成了先進的軟體體系架構思想,具有採用多層分布式應用模型、基於組件並能重用組件、統一完全模型和靈活的事務處理控制等特點。
系統邏輯上分為四層:客戶層、Web層、業務層和資源層。
a. 客戶層主要負責人機交互。可以使系統管理員通過Web瀏覽器訪問,也可以提供不同業務系統的API、Web Service調用。
b. Web層封裝了用來提供通過Web訪問本系統的客戶端的表示層邏輯的服務。
c. 業務層提供業務服務,包括業務數據和業務邏輯,集中了系統業務處理。主要的業務管理模塊包括組織機構管理、用戶管理、資源管理、許可權管理和訪問控制幾個部分。
d. 資源層主要負責數據的存儲、組織和管理等。資源層提供了兩種實現方式:大型關系型資料庫(如ORACLE)和LDAP(Light Directory Access Protocol,輕量級目錄訪問協議)目錄伺服器(如微軟的活動目錄)。
2 RBAC模型
訪問控制是針對越權使用資源的防禦措施。基本目標是為了限制訪問主體(用戶、進程、服務等)對訪問客體(文件、系統等)的訪問許可權,從而使計算機系統在合法范圍內使用;決定用戶能做什麼,也決定代表一定用戶利益的程序能做什麼[1]。
企業環境中的訪問控制策略一般有三種:自主型訪問控制方法、強制型訪問控制方法和基於角色的訪問控制方法(RBAC)。其中,自主式太弱,強制式太強,二者工作量大,不便於管理[1]。基於角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特徵是:1.減小授權管理的復雜性,降低管理開銷;2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。
NIST(The National Institute of Standards and Technology,美國國家標准與技術研究院)標准RBAC模型由4個部件模型組成,這4個部件模型分別是基本模型RBAC0(Core RBAC)、角色分級模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和統一模型RBAC3(Combines RBAC)[1]。
a. RBAC0定義了能構成一個RBAC控制系統的最小的元素集合。在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標objects(OBS)、操作operations(OPS)、許可權permissions(PRMS)五個基本數據元素,許可權被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的許可權。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統訪問控制的差別在於增加一層間接性帶來了靈活性,RBAC1、RBAC2、RBAC3都是先後在RBAC0上的擴展。
b. RBAC1引入角色間的繼承關系,角色間的繼承關系可分為一般繼承關系和受限繼承關系。一般繼承關系僅要求角色繼承關系是一個絕對偏序關系,允許角色間的多繼承。而受限繼承關系則進一步要求角色繼承關系是一個樹結構。
c. RBAC2模型中添加了責任分離關系。RBAC2的約束規定了許可權被賦予角色時,或角色被賦予用戶時,以及當用戶在某一時刻激活一個角色時所應遵循的強制性規則。責任分離包括靜態責任分離和動態責任分離。約束與用戶-角色-許可權關系一起決定了RBAC2模型中用戶的訪問許可。
d. RBAC3包含了RBAC1和RBAC2,既提供了角色間的繼承關系,又提供了責任分離關系。
3核心對象模型設計
根據RBAC模型的許可權設計思想,建立許可權管理系統的核心對象模型。
對象模型中包含的基本元素主要有:用戶(Users)、用戶組(Group)、角色(Role)、目標(Objects)、訪問模式(Access Mode)、操作(Operator)。主要的關系有:分配角色許可權PA(Permission Assignment)、分配用戶角色UA(Users Assignmen描述如下:
a .控制對象:是系統所要保護的資源(Resource),可以被訪問的對象。資源的定義需要注意以下兩個問題:
1.資源具有層次關系和包含關系。例如,網頁是資源,網頁上的按鈕、文本框等對象也是資源,是網頁節點的子節點,如可以訪問按鈕,則必須能夠訪問頁面。
2.這里提及的資源概念是指資源的類別(Resource Class),不是某個特定資源的實例(Resource Instance)。資源的類別和資源的實例的區分,以及資源的粒度的細分,有利於確定許可權管理系統和應用系統之間的管理邊界,許可權管理系統需要對於資源的類別進行許可權管理,而應用系統需要對特定資源的實例進行許可權管理。兩者的區分主要是基於以下兩點考慮:
一方面,資源實例的許可權常具有資源的相關性。即根據資源實例和訪問資源的主體之間的關聯關系,才可能進行資源的實例許可權判斷。
例如,在管理信息系統中,需要按照營業區域劃分不同部門的客戶,A區和B區都具有修改客戶資料這一受控的資源,這里「客戶檔案資料」是屬於資源的類別的范疇。如果規定A區只能修改A區管理的客戶資料,就必須要區分出資料的歸屬,這里的資源是屬於資源實例的范疇。客戶檔案(資源)本身應該有其使用者的信息(客戶資料可能就含有營業區域這一屬性),才能區分特定資源的實例操作,可以修改屬於自己管轄的信息內容。
另一方面,資源的實例許可權常具有相當大的業務邏輯相關性。對不同的業務邏輯,常常意味著完全不同的許可權判定原則和策略。
b.許可權:對受保護的資源操作的訪問許可(Access Permission),是綁定在特定的資源實例上的。對應地,訪問策略(Access Strategy)和資源類別相關,不同的資源類別可能採用不同的訪問模式(Access Mode)。例如,頁面具有能打開、不能打開的訪問模式,按鈕具有可用、不可用的訪問模式,文本編輯框具有可編輯、不可編輯的訪問模式。同一資源的訪問策略可能存在排斥和包含關系。例如,某個數據集的可修改訪問模式就包含了可查詢訪問模式。
c.用戶:是許可權的擁有者或主體。用戶和許可權實現分離,通過授權管理進行綁定。
d.用戶組:一組用戶的集合。在業務邏輯的判斷中,可以實現基於個人身份或組的身份進行判斷。系統弱化了用戶組的概念,主要實現用戶(個人的身份)的方式。
e.角色:許可權分配的單位與載體。角色通過繼承關系支持分級的許可權實現。例如,科長角色同時具有科長角色、科內不同業務人員角色。
f.操作:完成資源的類別和訪問策略之間的綁定。
g.分配角色許可權PA:實現操作和角色之間的關聯關系映射。
h.分配用戶角色UA:實現用戶和角色之間的關聯關系映射。
該對象模型最終將訪問控制模型轉化為訪問矩陣形式。訪問矩陣中的行對應於用戶,列對應於操作,每個矩陣元素規定了相應的角色,對應於相應的目標被准予的訪問許可、實施行為。按訪問矩陣中的行看,是訪問能力表CL(Access Capabilities)的內容;按訪問矩陣中的列看,是訪問控製表ACL(Access Control Lists)的內容。
4 許可權訪問機制
許可權管理系統端:提供集中管理許可權的服務,負責提供用戶的鑒別、用戶信息、組織結構信息,以及許可權關系表的計算。
系統根據用戶,角色、操作、訪問策略和控制對象之間的關聯關系,同時考慮許可權的正負向授予,計算出用戶的最小許可權。在業務邏輯層採用Session Bean實現此服務,也可以發布成Web Service。採用代理Proxy模式,集中控制來自應用系統的所要訪問的許可權計算服務,並返回許可權關系表,即二元組{ObjectId,OperatorId}。
應用系統端:可以通過訪問能力表CL和訪問控製表ACL兩種可選的訪問方式訪問許可權管理系統。
以基於J2EE框架的應用系統為例,說明訪問過程:
a.首先採用基於表單的驗證,利用Servlet方式集中處理登錄請求[2]。考慮到需要鑒別的實體是用戶,採用基於ACL訪問方式。用戶登錄時調用許可權管理系統的用戶鑒別服務,如果驗證成功,調用許可權計算服務,並返回許可權關系表,以HashMap的方式存放到登錄用戶的全局Session中;如果沒有全局的Session或者過期,則被導向到登錄頁面,重新獲取許可權。
b.直接URL資源採用基於CL訪問方式進行的訪問控制。如果用戶直接輸入URL地址訪問頁面,有兩種方法控制訪問:1.通過許可權標簽讀取CL進行控制;2.採取Filter模式,進行許可權控制,如果沒有許可權,則重定向到登錄頁面。
5 許可權控制機制
許可權所要控制的資源類別是根據應用系統的需要而定義的,具有的語義和控制規則也是應用系統提供的,對於許可權管理系統來說是透明的,許可權將不同應用系統的資源和操作統一對待。應用系統調用許可權管理系統所獲得的許可權關系表,也是需要應用系統來解釋的。按此設計,許可權管理系統的通用性較強,許可權的控制機制則由應用系統負責處理。
由於應用系統的許可權控制與特定的技術環境有關,以基於J2EE架構的應用系統為例來說明,系統主要的展示組件是JSP頁面,採用標記庫和許可權控制組件共同來實現。
a. 許可權標識:利用標簽來標識不同級別資源,頁面許可權標簽將標識頁面對象。
b. 許可權注冊:遍歷JSP頁面上的許可權控制標簽,讀取JSP的控制許可權。通過許可權注冊組件將JSP頁面上的許可權控制對象以及規則注冊到許可權管理信息系統中。
c. 許可權控制:應用系統用戶登錄系統時,從許可權管理系統獲得許可權關系表之後,一方面,許可權標簽控制頁面展示;另一方面,利用許可權控制組件在業務邏輯中進行相應的許可權控制,尤其是和業務邏輯緊密聯系的控制對象實例的許可權控制。
6 許可權存儲機制
許可權管理系統採用了兩種可選的存儲機制:LDAP(Lightweight Directory Access Protocol)目錄服務資料庫和關系型資料庫。存儲用戶信息、組織結構、角色、操作、訪問模式等信息。
其中,目錄服務系統基於LDAP標准,具有廣泛的數據整合和共享能力。元目錄(Meta-Directory)功能允許快速、簡潔的與企業現存基礎結構進行集成,解決基於傳統RDBMS等用戶資料庫與LDAP用戶資料庫的同步問題。
7 結語
本文論述了一種基於RBAC模型的許可權管理系統的實現技術方案。該許可權管理系統已成功應用於系統的設計和開發實踐,與應用系統具有很好的集成。實踐表明,採用基於RBAC模型的許可權具有以下優勢:許可權分配直觀、容易理解,便於使用;擴展性好,支持崗位、許可權多變的需求;分級許可權適合分層的組織結構形式;重用性強。
⑺ 談談操作系統是如何進行為文件設置訪問許可權的
方法/步驟
設置共享文件及共享文件夾最簡單的方法,就是藉助操作系統對共享文件的管理功能來實現。右擊想要共享的文件夾,選擇「屬性」,並在其屬性窗口中切換到「共享」選項卡,點擊「共享」按鈕。
⑻ 如何設置共享文件夾訪問許可權,Win7共享文件夾訪問許可權設置的方法
win7共享文件夾無法訪問 win7系統無法訪問共享文件夾本文提供了一套比較有效的,可以在大部分情況都可以解決共享文件無法訪問、共享文件夾拒絕訪問的方法,需要的朋友可以參考下. 首先,由於Windows操作系統的安全考慮,使得區域網用戶訪問共享文件被限制只能通過匿名賬戶(也即Everyone)進行,而操作系統處於安全的考慮,通常也禁用了匿名賬戶。因此,解決共享文件夾無法訪問的首要步驟就是開啟Windows操作系統的匿名賬戶訪問許可權。方法如下:選擇一個文件夾,然後右鍵點擊「共享」,然後選擇「特定用戶」,如下圖所示: 圖:設置文件共享 然後在「選擇要與其共享的用戶」下面的框內添加「everyone」賬戶,並點擊後面的「添加」,這樣就成功添加了「everyone」用戶許可權,也即區域網用戶訪問共享文件將不再需要輸入密碼,實現了匿名訪問。同時,這里也可以分配「everyone」用戶的許可權,點擊後面的下拉三角,然後這里可以選擇「讀取」、「讀/寫」,這樣就分配了相應的共享文件訪問許可權了,然後點擊下面的「共享」即可成功設置了共享,然後區域網用戶就可以正常訪問了。如下圖所示: 這樣我們就成功了設置了共享文件夾的匿名訪問許可權。 其次, 如何保護共享文件夾的安全,尤其是當賦予「everyone」賬戶完全讀寫許可權的情況下,使得區域網用戶訪問共享文件時不僅可以打開、讀取共享文件,而且還可以剪切、修改甚至刪除共享文件。而企事業單位的共享文件常常是單位的無形資產和商業機密,一旦被非法操作,如復制到本地磁碟、剪切、惡意修改甚至不小心或惡意刪除共享文件,都會對企事業單位造成較大損失。為此,必須採取有效的舉措來保護共享文件的安全。 而有效保護區域網共享文件的安全,一方面需要藉助於操作系統文件訪問許可權、賬戶許可權,另一方面也需要藉助於專門的共享文件夾管理軟體、共享文件訪問許可權設置軟體來實現。例如有一款「大勢至共享文件夾許可權設置軟體」(下載地址:/gxwjjm.html),就可以實現區域網共享文件訪問許可權的有效管理。通過將「大勢至共享文件許可權設置軟體」部署在開啟共享文件的電腦或伺服器上,區域網其他電腦不需要安裝客戶端軟體,也不需要更改網路結構,不改變共享文件訪問方式的情況下,就可以輕松實現共享文件的訪問許可權控制。如下圖所示: 同時,被「大勢至共享文件夾訪問控制軟體」保護後的共享文件,由於被限制了訪問共享文件的方式,並可以阻止拷貝共享文件、剪切共享文件、另存為共享文件到本地等,這樣也同時可以防止通過U盤、郵件、網盤、FTP文件上傳、QQ發送文件的方式將共享文件發送到外面去,從而極大地保護了共享文件的安全。 總之,一方面我們需要配置共享文件訪問許可權,便於區域網實現文件共享文件和協同工作,另一方面也必須採取有效的舉措保護共享文件的安全,防止共享文件被非法使用、未經授權的使用行為,避免給企事業單位帶來重大損失,保護企事業單位的穩健經營。