【正文】 問范圍， 實現(xiàn)從個體用戶到系統(tǒng) 整體用戶的多層次訪問控制 。信息安全立法存在許多空白，安全保護的法律體系存在諸多問題。 本課題的研究擬實現(xiàn)以下目標： 按照對業(yè)務系統(tǒng)訪問的順序，從外向內(nèi)，依次施行訪問控制手段及身份驗證方法。s attention. Businessoriented application support platform typically provides the user with munication, transaction monitoring, application integration, data integration, process management services, with user management and businessrelated degree of relatively large, is to manage the software development platform for a mon basis. Which safety management system such as access control, authorization, authentication, monitoring function determines whether the system resources, accurate, and effective visit is businessoriented application support platform, the key is also the field of information security a hot issue. Application system is currently in the user management, data access control, etc. There are still some problems, access control, in addition to intercept user requests the resource access request right away, but also shield the user in the interface do not have access to resources, items, to achieve “WYSIWYG.” Many of the domestic industry, the unit has a further demand for data access control, data access control, despite the securityrelated, but the problem is essentially a business logic, how can effective access to the resources, involving the units of information security, business normal operation, transmit messages and other areas of information in the application system, whether the normal operation of the unit business major impact. Especially in the face several sets of system, how to carry out a unified platform management, these problems bee more prominent. In the businessoriented application support platform on the safety management system, authorization, certification, monitoring and other key technologies can solve this problem. Based on J2EE system and the MVC framework, businessoriented application support platform in the security management system in areas such as research, design 山 東 大 學 碩 士 學 位 論 文 III a more general model of anizational petence management model, by reference to RBAC (Rolebased Access Control Role Based Access Control) model for access control, and through the traditional user name and password, ca, Ad, ldap, etc. a variety of ways to authenticate, and also supports expansion. This R amp。 分類號： TP311 單位代碼： 10422 密 級： 學 號： 0843048008 碩 士 學 位 論 文 論文題目 : 面向業(yè)務的應用支撐平臺 安全管理體系設計 與實現(xiàn) Design and implementation of the safetymanagement system on businessoriented applicationsupporting platform 作 者 姓 名 阮 靜 專 業(yè) 軟件工程 指導教師姓名 專業(yè)技術職務 李學慶 教授 20xx 年 10 月 10 日 原創(chuàng)性聲明和關于論文使用授權的說明 原 創(chuàng) 性 聲 明 本人鄭重聲明：所呈交的學位論文，是本人在導師的指導下，獨立進行研究所取得的成果。 關鍵詞： 安全管理體系 ； 權限管理 ； 授權 ； 身份驗證 ； 監(jiān)控 山 東 大 學 碩 士 學 位 論 文 II Abstract With the development of social information, many units use applications as a management tool, as the information construction in recent years, the product of businessoriented application support platform for more and more of their businessoriented and driven, can quickly build applications by the industry, the characteristics of the user39。因此， 安全管理模塊 需要設計一套切實有效的 管理方案 來滿足 用戶在 應用系統(tǒng) 對資源的安全訪問。信息安全對國家安全的巨大影響、作用及意義認識不明確。 第二 ，按照 對 業(yè)務系統(tǒng)訪問的順序，從外向內(nèi)，依次介紹訪問控制手段及身份驗證方法。 訪問控制層面能夠通過授權控制，實現(xiàn)用戶對資源的訪問控制 ， 根據(jù)用戶的崗位或職責不同， 即能實現(xiàn)功能上的訪問控制，又能實現(xiàn)具體到一條信息數(shù)據(jù)的訪問控制 。 支持基于傳統(tǒng)關系數(shù)據(jù)庫的認證、基于 LDAP 的身份認證，支持單點登錄 （ SSO） 。有條件的組織或機構，應執(zhí) 行專職專責。 權限控制模塊：關聯(lián)用戶對應的系統(tǒng)權限，不同的用戶在系統(tǒng)中有不同的訪問權限。 本章小結 本章分析了作為 應用支撐平臺在安全管理體系方面的主要需求：實體鑒別、訪問控制、防抵賴、加密、完整性，并給出了主要模塊的概要設計。 功能資源管理 又 分為三級管理，第一級就是模塊，第二級是功能，第三級是操作 ， 即 要分配給角色的操作。其中 IP策略分為系統(tǒng)級 IP策略和用戶級 IP策略，系統(tǒng)級 IP策略是一個全局的 IP策略，對所有的用戶有效。 2. 最小特權原則。 山 東 大 學 碩 士 學 位 論 文 6 統(tǒng)一用戶管理系統(tǒng) 單點登錄 用戶管理 機構管理 角色管理 授權管理 用戶認證 委托管理 系統(tǒng)管理 第三方應用系統(tǒng)集成 OA 系統(tǒng) 新建系統(tǒng) 人事系統(tǒng) 其他系統(tǒng) CA 認證 LDAP WEB服務器 用戶 管理員 R D B M S 外部應用 IP 策略 口令 ( M D 5 ) 監(jiān)控審計 用戶信息 系統(tǒng)信息 圖 21 基于角色分級授權管理安全體系 圖示 從部署的內(nèi)外結構上 要求能夠依次對系統(tǒng)安全進行控制 。 第 2 章 對 應用支撐平 臺在安全管理方面的需求，并進行概要設計 。中國信息安全保障還遠遠不足以抵御其威脅。 蘇聯(lián)解體后，俄羅斯將信息戰(zhàn)列為僅次于核戰(zhàn)爭的重要位置強調(diào)在保持核潛力的同時，廣泛開發(fā)信息戰(zhàn)手段，時時處處以信息安全危機來鞭策，督促各單位把信息保密工作做得更好。據(jù) 計算機安全相關機構 調(diào)查 ，系統(tǒng)因 安全問題產(chǎn)生 不合理訪問造成的損失，有 55%是 來自內(nèi)部非法訪問造成的， 而 內(nèi)部濫用權限 訪問 所造成的損失 高達 97%，可見內(nèi)部非法訪問是無法 依靠防火墻技術有效解決的 ， 必須依靠強有力的訪問控制技術 以及身份驗證技術 。 其中 安全管理 體系 等 的授權訪問控制 、認證、監(jiān)控 功能決定了能否對系 統(tǒng)資源進行準確、有效訪問，是面向業(yè)務的應用支撐平臺的關鍵所在，也是信息安全領域一個熱點問題 。 目前 應用系統(tǒng) 在用戶管理、數(shù)據(jù)訪問權限的控制等方面還存在一些問題 ， 訪問控制除了在用戶請求時攔截無權的資源訪問請求以外，還要在界面屏蔽用戶無權訪問的資源項，實現(xiàn)“所見即所得”。 信息化涉及到國家政治、經(jīng)濟、軍事、安全的要害領域， 國家自倡導自主創(chuàng)新以來，國產(chǎn)軟件的自主創(chuàng)新 對國家大型企業(yè)、重要單位的信息安全 具有重要的意義。從法令、機構人員、資金、技術、管理角度全方位給信息安全檢查工作予以支持和保障。 信息資源管理人才不足，信息管理教育水平不高，國民信息資源保護意識、保密意識和法制意識不強，導致在應付信息入侵時的無所 適從。 第 3 章 針對安全管理體系中的 IP 策略 進行設計和實現(xiàn) 。 能夠限制登陸著的來源，可以識別登陸著的合法性，可以依據(jù) 其賦予的權限進行業(yè)務操作，能夠對業(yè)務操作進行監(jiān)控、審計。對信息、信息系統(tǒng)的訪問采用最小特權原則。用戶級 IP策略是作用在單個用戶上的，是一個個性化的策略。 例如“工作流”是模塊級，“工作流”模塊中的“表單管理”是功能級，“表單管理”具體的 增、刪、改、查等屬于操作級。 安全日志： 系統(tǒng)對于用戶在使用系統(tǒng)期間的關鍵操作進行 記錄，管理員可以根據(jù)需要實時查看 安全日志 ，監(jiān)控系統(tǒng)資源的使用情況，以防范和化解系統(tǒng)安全風險。 身份認證模塊：對用戶提交的身份憑證進行驗證，驗證合法后，構建系統(tǒng)用戶信息。為減小未經(jīng)授權的修改或濫用信息或服務的機會，對特定職責或責任領域的管理和執(zhí)行功能實施分離。 解決方法：數(shù)字證書。 實體鑒別方面能夠 確保應用系統(tǒng)中的各類數(shù)據(jù)不被非法訪問、竊取、誤用、散發(fā)等，確保敏感數(shù)據(jù)處于可控制的范圍之內(nèi)，僅有經(jīng)過嚴格身份認證的用戶、系統(tǒng)才允許其獲得相關數(shù)據(jù)。 第一 ， 對業(yè)務系統(tǒng)的信息安全需求進行 深入研究 分析， 主要分為 實體鑒別、訪問控制、防抵賴、加密、完整性等五 個方面 ， 并提出了在授權及擴展的應用需求 。 在我國信息化過程中，仍存在許多尚未解決的缺陷和脆弱環(huán)節(jié)，主要表現(xiàn)在：對信息安全的認識和預防不足，信息安全立法不足。 安全管理模塊 主要 負責應用支撐平臺及應用系統(tǒng)的 用戶管理、權限管理、單點登陸、認證集成 、系統(tǒng)監(jiān)控等工作， 由于應用系統(tǒng)以及應用支撐平臺自帶的通用模塊均面向業(yè)務， 所以 安全管理模塊 承擔起了保障系統(tǒng)操作安全的 重任 ?？梢?對組織、機構、崗位、人員進行一般性的權限配置，還可以實現(xiàn)權限分層管理以及權限繼承等復雜功能 。除文中已經(jīng)注明引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的科研成果。 D service platform enables unified management of the user can access various types of operations to set up and work closely with anizations set up to achieve the division of labor and business rights management business. Can be anizations, i