空管信息系统安全域划分机制研究

Researches on Security Domain Distribution of ATC Information system
　　HAN Xuan-zong
　　(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)
　　Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.
　　Key words: ATC information; security domain; private allocate; information security
　　空中交通管制作为LRI(Life related industry)生死攸关行业的一种，在航班数量飞速增加的今天，日益面临着严峻的挑战；尤其是大量基础支撑性的空管信息系统的引入，尽管有效地提升了管制工作效率，但是空管信息系统的安全管理问题却越来越成为一个潜在的隐患。
　　在当前空管行业应用的各类空管信息系统当中，从包括自动化系统、航行情报控制系统在内的管制直接相关系统，到日常应用的班前准备系统、设备运维管理系统等，大都采用设置超级管理员用户口令的方式进行管理，此方式尽管便于实现对系统的配置和维护，但由于权限过大，使得其可以对空管信息系统中数据进行任意操作，一旦出现超级管理员误操作或外部黑客获取到超级管理员权限，都可能造成难以估量的严重后果。
　　安全操作系统八大设计原则中包括的“最小特权”和“权值分离”的安全原则，可以有效地解决这一问题。最小特权原则思想在于控制为主体分配的每个操作的最小权限；权值分离原则思想在于实现操作由专人执行同时由第三方用户进行监管。
　　最小特权和权值分离两大原则的共同使用，构建出了基于角色的访问控制（Role-Based Access Control，RBAC）安全策略模型[1]。RBAC作为对用户角色权限的一种高度抽象，同一角色用户仍然拥有同样的权限，但为了能够更好的体现最小特权原则，角色下用户的权限仍必须得到进一步的控制；DTE（Domain And Type Enforcement，DTE）策略模型实现了将空管信息系统的不同进程划分为不同的域（Domain），将不同类型的资源划分为不同的类型（Type），通过对域和类型的安全属性进行限制，来实现对用户权限的控制[2]。
　　该文在综合了RBAC安全策略模型和DTE策略模型的基础上，提出一种对空管信息系统进行分域管理的划分机制，该机制符合最小特权和权值分离原则，实现了对系统超级管理员的权限细分，通过对权限的划分，建立管理员—域—类型的相关对应关系，分散了由于超级管理员权限过大造成的安全风险。
　　1系统/安全/审计管理划分机制
　　在任何一个构建完善的管理体系运行当中，管理人员、管理行为审计人员、安全管理人员的角色都不可或缺。空管信息系统超级管理员的权限也应依据此原则进行划分[3]。在具体实现中，应结合DTE策略中对于域和类型的管理思想，采取二维访问控制策略，强化对空管信息系统完整性和数据安全性的保护；DTE策略通过对管理权限进行控制，阻止单一用户权限造成的恶意程序扩散等情况。通过系统管理、安全管理、审计管理三方面的协同制约，保护系统资源的安全性。
　　1.1基于MSA的管理机制
　　该文依据RBAC及DTE策略遵循的最小特权和权值分离原则，将空管信息系统中超级管理员权限进行细粒度（Fine-Grain）的划分，将其权限一分为三，即管理（Management）权限、安全（Security）权限、审计（Audit）权限，构建一套基于MSA的权限管理机制。使三类管理员只具备完成所需工作的最小特权，在单项管理操作的整个生命周期中，必须历经安全权限的设置、管理权限的操作、审计权限的审核这一流程。该文通过设立独立的系统管理员、安全管理员、审计管理员，并为其设置独立的与安全域挂勾的安全管理特权集，实现了管理-安全域-类型的二维离散对应关系。具体而言，三类管理员主要承担了以下职责：
　　1)系统管理特权集：归属于系统管理员，包括系统相关资源的分配，系统软件的配置、维护等权限；
　　2)安全管理特权集：归属于安全管理员，包括系统内部安全策略的制订，安全阙值的设置等安全相关权限；
　　3)审计管理特权集：归属于审计管理员，包括对系统管理员和安全管理员操作记录的审计和审批，作为一个独立的第三方监督角色出现。
　　MSA管理机制将系统超级管理员的权限划分为三个相互独立又相互依存的独立环节，实现了系统特权的细粒度划分，强化了系统的安全属性。图1展示了三类管理员之间的具体关系：图1 MSA管理员协作流程
　　如图1所示，空管信息系统用户总是会提出一定的需求，并寻求通过系统得到相应的应用来解决面临的问题。在这一过程中，首先会由系统管理员针对用户需求，判断满足用户需要调用的相应资源，如功能域和资源的类型，同时生成解决方案，并将其提交至安全管理员处。
　　安全管理员在接收到系统管理员产生的解决方案后，即时的会依照相关规定要求，为解决方案制定对应的安全级别，并实施可行的安全策略。如解决方案能够较好地满足安全级别和安全策略的要求，即通过安全管理员的安全评估，为其施加安全策略。
　　解决方案历经系统管理员、安全管理员的制定、安全策略实施等步骤后，将生成应用提交至用户，由用户验证其需求是否得到满足。
　　审计管理员在整个过程中，将针对从需求提出至应用发布的所有环节进行监控，任何系统内部的操作均需经过审计管理员的审计和监督，审计管理员有权停止任何涉及到安全的异常操作。
　　通过上述模式的应用，将使得空管信息系统划分为由MSA三个管理员所共同管理的系统，也形成了三大管理员之间的制约机制。该机制的建立，有效地避免了超级用户误操作和黑客入侵可能造成的危害。同时权限的细分，也使得任何一名管理员在操作自身环节事务时，都需要其它管理员的协助，无法独立完成越权操作。如当系统管理员进行用户的删除时，此操作将依据安全管理员制定的安全策略确定为较危险操作，实施的结果将由审计管理员进行审核，在确保该行为是合理有效的情况下才能实施。 (责任编辑：论文发表网)转贴于八度论文发表网: http://www.8dulw.com(论文网__代写代发论文_论文发表_毕业论文_免费论文范文网_论文格式_广东论文网_广州论文网)