【文章內(nèi)容簡(jiǎn)介】 權(quán)完整性審計(jì)系統(tǒng)/網(wǎng)絡(luò)管理圖23 企業(yè)安全層次模型圖驗(yàn)證包括單向驗(yàn)證和雙向驗(yàn)證。用戶驗(yàn)證系統(tǒng)時(shí)，信息有可能被截取。解決方法：數(shù)字證書(shū)。支持基于傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)的認(rèn)證、基于LDAP的身份認(rèn)證，支持單點(diǎn)登錄（SSO）。授權(quán)層驗(yàn)證證實(shí)了正確的用戶登錄到系統(tǒng)，承擔(dān)著使用安全性策略調(diào)整指定的用戶可以訪問(wèn)系統(tǒng)中的哪些資源，能實(shí)現(xiàn)統(tǒng)一權(quán)限管理。完整性是企業(yè)系統(tǒng)中保證數(shù)據(jù)不被沒(méi)有修改權(quán)限的人修改。解決方法：數(shù)字簽名、電子印章。審計(jì)可以捕獲安全性相關(guān)事件記錄的操作。目的：審計(jì)對(duì)預(yù)防和追究非法操作至關(guān)重要；審計(jì)可以發(fā)現(xiàn)系統(tǒng)中可能存在的問(wèn)題；審計(jì)可以防止授權(quán)用戶越級(jí)操作，具有防抵賴功能。圖24 審計(jì)模式 設(shè)計(jì)原則1. 分權(quán)制衡原則。安全管理采取分權(quán)制衡的原則，避免操作權(quán)利過(guò)分集中，否則一旦出現(xiàn)問(wèn)題就將全線崩潰。2. 最小特權(quán)原則。對(duì)信息、信息系統(tǒng)的訪問(wèn)采用最小特權(quán)原則。任何實(shí)體（用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該主體需要完成其被指定任務(wù)所必須的特權(quán)，不應(yīng)享有任何多余特權(quán)。3. 失效保護(hù)原則。系統(tǒng)運(yùn)行錯(cuò)誤或故障時(shí)必須拒絕非授權(quán)訪問(wèn)，阻斷非授權(quán)人員進(jìn)入內(nèi)部系統(tǒng)，直至必要時(shí)以犧牲使用為代價(jià)確保安全。4. 職責(zé)分離原則。職責(zé)分離是降低意外或故意濫用系統(tǒng)風(fēng)險(xiǎn)的一種方法。為減小未經(jīng)授權(quán)的修改或?yàn)E用信息或服務(wù)的機(jī)會(huì)，對(duì)特定職責(zé)或責(zé)任領(lǐng)域的管理和執(zhí)行功能實(shí)施分離。有條件的組織或機(jī)構(gòu)，應(yīng)執(zhí)行專(zhuān)職專(zhuān)責(zé)。如職責(zé)分離比較困難，應(yīng)附加其他的控制措施，如行為監(jiān)視，審計(jì)跟蹤和管理監(jiān)督。5. 審計(jì)獨(dú)立原則。審計(jì)獨(dú)立，才能保證公正。6. 控制社會(huì)影響原則。非涉密信息的完整性、可用性對(duì)社會(huì)具有相當(dāng)重大的影響，同樣應(yīng)針對(duì)其風(fēng)險(xiǎn)程度予以保護(hù)。 主要功能主要包括登陸限制、身份驗(yàn)證、權(quán)限管理、系統(tǒng)審計(jì)等4部分：圖25 安全管理體系結(jié)構(gòu)圖1. 登陸限制：為了保證用戶帳號(hào)的安全，限制IP策略。只有IP沒(méi)有限制的用戶，通過(guò)正確的登錄口令才可登陸。其中IP策略分為系統(tǒng)級(jí)IP策略和用戶級(jí)IP策略，系統(tǒng)級(jí)IP策略是一個(gè)全局的IP策略，對(duì)所有的用戶有效。用戶級(jí)IP策略是作用在單個(gè)用戶上的，是一個(gè)個(gè)性化的策略。對(duì)與不符合IP策略的請(qǐng)求，即使用戶名密碼正確系統(tǒng)也不允許該用戶登錄。采用登陸用戶及密碼匹配的方式，對(duì)通過(guò)IP策略放行的用戶，進(jìn)行登陸限制，用戶不符或者密碼不符者不能登陸。2. 身份驗(yàn)證：用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的類(lèi)圖及時(shí)序圖：圖26 用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的類(lèi)圖圖27 用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的時(shí)序圖登錄入口模塊：是用戶訪問(wèn)系統(tǒng)的初始入口，用來(lái)控制對(duì)用戶登錄界面的轉(zhuǎn)向。用戶通過(guò)登錄界面提交身份憑證。例：用戶名和密碼登錄方式時(shí)，登錄界面就是一個(gè)提示輸入用戶名和密碼的表單界面；采用證書(shū)登錄時(shí)，該登錄界面就是一個(gè)能自動(dòng)獲取用戶數(shù)字證書(shū)的頁(yè)面，在瀏覽器上沒(méi)有任何頁(yè)面展現(xiàn)。身份認(rèn)證模塊：對(duì)用戶提交的身份憑證進(jìn)行驗(yàn)證，驗(yàn)證合法后，構(gòu)建系統(tǒng)用戶信息。權(quán)限控制模塊：關(guān)聯(lián)用戶對(duì)應(yīng)的系統(tǒng)權(quán)限，不同的用戶在系統(tǒng)中有不同的訪問(wèn)權(quán)限。業(yè)務(wù)模塊：進(jìn)行實(shí)際的業(yè)務(wù)處理。3. 權(quán)限管理：角色就是組織結(jié)構(gòu)環(huán)境中具有某些關(guān)聯(lián)語(yǔ)義的職責(zé)功能，這些功能和用戶的權(quán)限和職責(zé)有關(guān)，而用戶是分配給角色的。在權(quán)限管理模型中，角色只與功能權(quán)限關(guān)聯(lián)。角色之間可以繼承，或者說(shuō)角色分級(jí)，角色A繼承了角色B，A就有了B的功能權(quán)限。角色之間可以建立靜態(tài)約束，即如果角色A和B具有利益沖突而不能同時(shí)分配給同一個(gè)用戶的話，可以通過(guò)定義不相容角色集來(lái)設(shè)置角色之間的互斥關(guān)系。角色隸屬于法人，每個(gè)法人都有自己的單獨(dú)角色集，為了減輕集團(tuán)用戶的安全管理負(fù)擔(dān)，管理員可以通過(guò)定義角色模板，將模板中的角色應(yīng)用到下屬子公司，以實(shí)現(xiàn)角色的自動(dòng)復(fù)制。角色對(duì)應(yīng)的權(quán)限，分為功能資源權(quán)限和數(shù)據(jù)資源權(quán)限。功能資源管理又分為三級(jí)管理，第一級(jí)就是模塊，第二級(jí)是功能，第三級(jí)是操作，即要分配給角色的操作。例如“工作流”是模塊級(jí)，“工作流”模塊中的“表單管理”是功能級(jí)，“表單管理”具體的增、刪、改、查等屬于操作級(jí)。除了功能資源，還定義數(shù)據(jù)資源，數(shù)據(jù)資源直接分配給用戶，在“定義用戶”的數(shù)據(jù)權(quán)限標(biāo)簽中進(jìn)行管理。數(shù)據(jù)資源類(lèi)型既包括組織結(jié)構(gòu)組建中的組織類(lèi)型，也可以動(dòng)態(tài)的增加數(shù)據(jù)資源類(lèi)型。4. 系統(tǒng)審計(jì)：系統(tǒng)審計(jì)包括三大部分：在線用戶：該服務(wù)提供實(shí)時(shí)的在線用戶監(jiān)控功能，管理員可以隨時(shí)監(jiān)控系統(tǒng)的使用情況，并可在緊急情況下終止用戶會(huì)話。 用戶在線歷史紀(jì)錄：用戶在線歷史記錄提供追蹤用戶歷史使用系統(tǒng)記錄的功能。管理員可根據(jù)認(rèn)證記錄追蹤用戶在登錄系統(tǒng)過(guò)程中的所做的具體操作記錄。安全日志：系統(tǒng)對(duì)于用戶在使用系統(tǒng)期間的關(guān)鍵操作進(jìn)行記錄，管理員可以根據(jù)需要實(shí)時(shí)查看安全日志，監(jiān)控系統(tǒng)資源的使用情況，以防范和化解系統(tǒng)安全風(fēng)險(xiǎn)。 本章小結(jié)本章分析了作為應(yīng)用支撐平臺(tái)在安全管理體系方面的主要需求：實(shí)體鑒別、訪問(wèn)控制、防抵賴、加密、完整性，并給出了主要模塊的概要設(shè)計(jì)。第 3 章 IP策略的設(shè)計(jì)與實(shí)現(xiàn) 設(shè)計(jì)思路 系統(tǒng)級(jí)IP策略1. 。2. 增加一個(gè)配置文件WEBINF\classes\ 。該配置文件的格式如下：?xml version= encoding=UTF8?rootallow group start/start end/end /group group start.*/start end0/end /group group start/start end0/end /group/allowrootunallow group start/start end/end /group group start.*/start end0/end /group group start/start end0/end /group/unallow/root該配置文件的schema格式為：?xml version= encoding=UTF8?xs:schema xmlns:xs= elementFormDefault=qualified xs:element name=root xs:plexType xs:sequence xs:element name=allow maxOccurs=unbounded minOccurs=0 /xs:element xs:element name=unallow maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=allow xs:plexType xs:sequence xs:element name=group maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=unallow xs:plexType xs:sequence xs:element name=group maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=group xs:plexType xs:sequence xs:element name=start maxOccurs=unbounded minOccurs=0 /xs:element xs:element name=end maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=start type=xs:string/xs:element xs:element name=end type=xs:string/xs:element/xs:schema說(shuō)明：名為allow的節(jié)點(diǎn)表示允許訪問(wèn)的全局IP數(shù)據(jù)，名為unallow節(jié)點(diǎn)表示禁止訪問(wèn)的全局IP數(shù)據(jù)。start/startend/end；start.*/startend0/end；start/startend0/end。 可以看出，數(shù)據(jù)規(guī)則為：start表示起始點(diǎn)IP，end表示結(jié)束的IP，取的值為這一個(gè)范圍內(nèi)的IP數(shù)據(jù)，*表示可以匹配任何數(shù)值，如果想要取一個(gè)IP或使用通配符“*”end段需要填0.3. ，當(dāng)啟用系統(tǒng)級(jí)IP策略時(shí)，判斷客戶端的IP是否是允許的IP。如果當(dāng)前IP不允許訪問(wèn)系統(tǒng)，拋出異?！澳幍腎P不允許訪問(wèn)本系統(tǒng)，請(qǐng)聯(lián)系管理員?！?用戶級(jí)IP策略用戶級(jí)IP是為用戶設(shè)定允許或禁止登錄的IP，把用戶帳號(hào)和登錄計(jì)算機(jī)的IP綁定起來(lái)。系統(tǒng)級(jí)IP策略的優(yōu)先級(jí)大于用戶級(jí)IP策略，用戶登錄時(shí)首先要滿足系統(tǒng)級(jí)的IP策略，然后再判斷是否滿足用戶級(jí)的IP策略。 IP策略格式說(shuō)明及判斷規(guī)則可以使用通配符“*”用來(lái)表示所有數(shù)字，“*”只能用來(lái)通配IP地址的某段，.*；表示某段IP的范圍用“”隔開(kāi)，用“”；表示禁止某IP用“”開(kāi)頭，用“”；多項(xiàng)IP用“；”分開(kāi)，.*段的IP，.*段的IP，填寫(xiě)方式為：。 .*。 。.*；如果當(dāng)前IP在IP無(wú)記錄、不符合通配符、不符合IP范圍，那么這個(gè)IP被認(rèn)為是不符合IP策略。IP策略符合靠前原則，在IP策略中排在前面的被優(yōu)先使用。判斷規(guī)則：. UsernamePasswordAuthenticationProvider的authenticate方法，增加對(duì)獲得的客戶端IP比對(duì)的判斷。判斷用戶的身份后，根據(jù)用戶名在數(shù)據(jù)庫(kù)中取出該用戶對(duì)應(yīng)的IP策略，如果取出的數(shù)據(jù)包含“*”，說(shuō)明使用的按指定IP網(wǎng)段策略，此時(shí)只需要比較客戶端IP和數(shù)據(jù)庫(kù)中數(shù)據(jù)的前三段；如果取出的數(shù)據(jù)包含“”,說(shuō)明使用的按指定IP范圍策略。此時(shí)比較客戶端IP是否在指定的范圍內(nèi)；如果取出的數(shù)據(jù)不為空且不屬于上述2種情況，說(shuō)明使用的是按指定IP策略，此時(shí)需要把得到的數(shù)據(jù)按“?！狈指?，判斷是否包含客戶端IP。 系統(tǒng)實(shí)現(xiàn)效果 系統(tǒng)級(jí)IP策略系統(tǒng)級(jí)IP策略默認(rèn)是關(guān)閉的，如要開(kāi)啟，請(qǐng)?jiān)赪EBINF\classes\，把它賦值true。=false；關(guān)閉系統(tǒng)級(jí)IP策略。=true；開(kāi)啟系統(tǒng)級(jí)IP策略。接下來(lái)需要定義IP規(guī)則，系統(tǒng)級(jí)IP策略的IP規(guī)則保存在WEBINF\classes\，我們想要禁止或允許哪些IP登錄，都需要在這個(gè)文件中定義。下面是該文件內(nèi)容的示例：?xml version= encoding=UTF8?root xmlns:xsi= xsi:noNamespaceSchemaLocation=allow group start/start end/end /group group start.*/start end0/end /group group start/start end0/end /group/allowunallow group start/start end/end /group/unallow/root這個(gè)IP規(guī)則的意思是：、對(duì)所有用戶生效；，對(duì)所有用戶生效。規(guī)則說(shuō)明：該文件只允許出現(xiàn)一個(gè)root節(jié)點(diǎn)，root節(jié)點(diǎn)下允許出現(xiàn)allow和unallow節(jié)點(diǎn)，allow及unallow只允許出現(xiàn)group節(jié)點(diǎn)，group節(jié)點(diǎn)下允許出現(xiàn)start和end節(jié)點(diǎn)，start及end為最末級(jí)節(jié)點(diǎn)。allow：表示允許的IP。unallow：表示禁止的IP。group：表示IP組：start：表示起始IPend：表示結(jié)束IP。如果使用通配符“*”時(shí)，通配符“*”只能出現(xiàn)在IP的第四段，且要寫(xiě)在start內(nèi)，同時(shí)end內(nèi)填0，例如：group start.*/start end0/end/group如果使用單一IP時(shí)，IP寫(xiě)在start內(nèi)，end內(nèi)填0，例如：group start/start end0/end/group使用IP段時(shí)，start內(nèi)的IP一定是起始點(diǎn)IP，也就是說(shuō)end內(nèi)的內(nèi)容大于start內(nèi)的內(nèi)容，例如：group start/start end/end/group 用戶級(jí)IP策略以新增用戶說(shuō)明用戶級(jí)IP策略的操作步驟，進(jìn)入新增用戶的頁(yè)面，點(diǎn)擊啟用IP策略后的“是”，顯示如下頁(yè)面：圖31 為用戶啟用IP策略圖填寫(xiě)相應(yīng)的信息后點(diǎn)擊創(chuàng)建就可以新增一個(gè)啟用用戶級(jí)IP策略的用戶了。判斷IP策略的關(guān)鍵代碼如下： private static boolean isConformIP(String ipaddress,String rule){ if(ipaddress==null||rule==null){ return false。 } StringTokenizer strToken = new StringTokenizer(rule,。