论文部分内容阅读
银行信息系统通常是技术密集、系统多样化、结构网络化的复杂应用系统,在运维过程中往往存在违规操作、外包操作、多人共享等风险。尽管银行通常采取双人复核、流程管理等制度来规避或降低IT操作风险,但在实际操作过程中往往存在制度执行力差、缺少有效的监督等问题。因此如何采用技术手段来有效管理用户权限、控制用户行为是一个十分重要和紧迫的问题。基于角色的访问控制模型RBAC(Role-Based Access Control)是目前使用最为广泛的访问控制模型。但RBAC模型存在一定的缺陷。例如像银行这样的大型企业,在日常IT运维过程中,人员身份角色并不固定,对信息系统访问的要求会有频繁的变化,同时还存在很多例外权限。在这种情况下,传统的RBAC模型的访问控制方式就显得非常不灵活。本文为解决RBAC模型的缺陷,对RBAC模型进行了扩展和封装。根据银行的运维流程特点,建立了一个基于服务的访问控制模型(Service-Based Access Control:SBAC)。该模型用服务的概念替换了RBAC模型中的角色概念,资源的访问控制完全根据业务服务流程的需要进行授权。无论参与服务的人员如何变化,模型能够依据人员身份进行高效的访问控制授权。通过基于服务的访问控制,改进了传统RBAC模型在某些场景下控制不灵活的缺陷。基于改进后的SBAC模型,建立一套适合银行内部运维体系的账号访问控制系统——单一身份访问控制系统。这套系统作为我行系统账号安全管理平台中的重要组成部分在全行范围内部署上线,从根本上解决了账号权限由人工管理存在的问题和风险,解决了之前普遍存在的账号共享、生产应急情况下需要临时授权而产生的用户权限难以严格管理等一系列问题。通过基于服务的访问控制系统,使得IT用户能够方便、有效、安全地访问各种信息系统资源。