信息系统访问控制策略部署

浅析信息系统访问控制策略部署

摘要：武器装备企业多数已具备了自己的内部局域信息网络，伴随着信息系统安全事件的不断发生，信息系统访问控制已逐渐被众多企业所认识、并在一定程度上得到了应用，如何综合运用安全产品做好各层次的访问控制随即成为大家更加关注的问题。本文介绍了信息系统访问控制结构划分，结合网络安全产品阐述vlan间访问控制、安全域间访问控制、关键服务器访问控制和应用系统内部访问控制的实现及策略部署。

关键词：信息系统访问控制策略部署

【中图分类号】c931.6

一、武器装备行业信息系统访问控制必要性及结构划分

武器装备作为特殊行业，内部网络系统中通常存储大量敏感数据，加之企业结构复杂，信息资源分布广泛，服务器、数据存储系统、应用系统、用户终端都存有限制知悉范围的信息，若不加以控制，一旦被不法分子利用，甚至非法盗取，损失无法估计。因此，信息资源的访问必须受到严格限制，控制信息流向，知悉范围控制到最小工作群。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问，是维护网络系统安全、保护网络资源的重要手段。安全策略分为入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等，各种安全策略必须

相互配合才能真正起到保护作用，但访问控制却是保证网络安全的核心策略之一。

访问控制如同信息网络的闸门，按不同级别和控制类型分vlan

访问控制、安全域访问控制、服务器访问控制、应用系统访问控制。

二、vlan间访问控制

vlan间用户互访关系到各用户终端存储信息的安全性。通常企业划分vlan都是根据部门划分，为防止部门内部信息外流或被非授权查看，必须阻断部门间终端互访，即建立vlan间访问控制。基于三层交换机的访问控制策略能够很好解决vlan间访问控制问题。基于vlan和三层交换的网络安全：vlan的特点及访问控制策略设置。通过控制广播域和网段流量，提高网络性能、安全性和可管理性。在使用vlan时，各端口不可以互通，仅通过扩展模块上联端口或其他上联端口访问其他网络或服务器。若业务需要端口间通信，则借助三层交换机或路由器进行路由转发。采取上述安全措施后，没有授权的用户在网络中不能任意访问，给网络的安全性带来了基本保障。在核心层和汇聚层交换机接口建立访问控制列表来实现vlan间访问控制，决定哪些用户数据流可在vlan间交换，最终到达核心层。

重点信息保护。管理人员业务信息多为核心数据须严格保密时，可把用户放到基于mac地址的vlan中，该vlan唯一允许的访问只有自己，任何其它用户都不能监听到该用户的内容。另外一种安全的方式是分配一个专用端口，为这个用户生成基于端口的vlan。

三、安全域间访问控制

武器装备企业组织结构复杂，建议在建立vlan访问控制基础上划分安全域，通过防火墙控制各安全域信息流向，实现安全域间访问控制。

通常企业至少将整网划分为三个安全域，应用服务器域、安全管理服务器域、终端应用域，控制范围主要是业务系统服务器区、网络安全管理服务器区和终端用户区，企业还可以根据需要增加其他安全域，以满足其他访问控制需求，提高访问控制强度。

集中安全保护。通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

四、关键服务器访问控制

企业关键服务器的访问应严格控制，策略应设置为只有相关业务人员可以访问对应服务器，这种策略需要安全认证网关实现。

安全认证网关通常和ca认证系统共同使用，通过身份认证及访问控制系统结合，以密码、访问控制、代理和pki技术为核心，利用终端密码模块（身份认证介质）等硬件，实现数据加密、身份认证、协议代理和基于角色的访问控制等功能，能有效满足网络身份认证、访问控制和事后审计方面的需求。

设备部署：安全认证网关系统串接于应用系统客户端与服务器之间，代理后台服务器数据传输，对传输的数据进行机密性和完整性保护。证书密钥管理系统服务器可以部署在信息系统的安全管理

组，身份认证介质配发给每个终端用户，证书密钥管理系统用来为身份认证介质分发数字证书，该证书代表着介质持有人的用户身份；安全代理网关部署在防火墙与应用服务器组之间，所有应用系统被代理网关隔离在受信网段内，安全代理网关代理各应用服务器的服务端口，用户需要访问代理网关后面的应用服务器时，首先需要通过身份认证系统的认证，认证通过后，身份认证系统自动建立用户身份传递给应用系统。企业根据终端用户不同职能赋予每个人不同的角色，按照角色分配可以访问的端口服务器端口。

基于角色的访问控制。提取一类用户所共有的特点，为一类职权相同的用户定义一个角色并授权，所有的授权均针对角色，不针对具体的访问者，降低授权管理的工作量。

五、应用系统内部访问控制

每个已经建立内部网络的企业一定应用了一个或多个业务应用

系统，每个系统都包含大量业务数据，敏感信息分布在不同模块间，如果对所有系统操作人员都放开权限，那么就如同资料库敞开了大门，每个人都可以查看任何信息，没有秘密可言。因此，必须建立基于应用系统内部的信息访问控制策略。

策略部署：按照主体类别、客体类别进行分级分类强制访问控制策略。

第一级权限控制：系统管理员和普通用户的权限划分。通常情况下系统会自带一个系统管理员账户，该账户可以创建其他管理员账户和普通用户账户，并赋予账户一定的使用操作权限。

第二级权限控制：各应用系统一般都会设置多个应用模块和子系统。以erp为例，就会有人力资源管理子系统、进销存子系统、财务管理子系统、供应链管理子系统、客户关系管理子系统等等，这些子系统不是所有工作人员都用得上的，都授权既浪费资源，信息共享度也过高，因此应根据业务需求将不同模块和子系统授权给相应工作人员。

第三级权限控制：模块内部信息控制权限。以pdm系统为例，pdm 系统即产品数据管理系统，产品设计过程产生的所有信息包括产品图、设计文件、工艺文件、bom表、三维图等，这些信息按照工作性质不同使用权限也不同，比如创建、复制、删除、修改、查看、打印、下载等，系统内应创建相应角色，在角色授权时应加以区分，只针对必要的对象赋予必需的权限，将控制在最小范围。

其他权限设置：一些应用系统会附加自带的特色权限控制功能，像工作流控制、打印控制。