【正文】 在經(jīng)營(yíng)信息系統(tǒng)中主要的安全策略包括：1．安全管理的職責(zé)：采用了集中管理與分散管理相結(jié)合的形式，一方面由負(fù)責(zé)系統(tǒng)安全工作的管理人。通信經(jīng)營(yíng)過程新機(jī)構(gòu)的設(shè)立或合并、人員崗位的調(diào)整、部門授權(quán)的調(diào)整都需要相應(yīng)地在通信經(jīng)營(yíng)信息系統(tǒng)調(diào)整授權(quán)或管理策略。根據(jù)安全管理的需要，通信經(jīng)營(yíng)信息系統(tǒng)引入訪問控制機(jī)制，按照通信業(yè)務(wù)管理的需要落實(shí)多種安全策略，對(duì)數(shù)據(jù)信息的使用提供安全保護(hù)，確保用戶對(duì)系統(tǒng)信息的訪問是經(jīng)過授權(quán)的。系統(tǒng)安全管理員既要指定每個(gè)管理人員可管理的部門，核定可管理的部門的工作人員和崗位職責(zé)，并規(guī)定部門管理人員只能對(duì)部門內(nèi)部工作人員進(jìn)行管理。公司管理人員負(fù)責(zé)公司經(jīng)營(yíng)工作的管理，按組織要求設(shè)計(jì)分權(quán)策略，對(duì)部門管理員的行為進(jìn)行監(jiān)督，確保各部門內(nèi)部人員的管理符合組織策略要求。在經(jīng)營(yíng)管理上，人員的招聘、錄用統(tǒng)一由人力資源部門負(fù)責(zé)，部門的職責(zé)由組織劃分，部門管理人員只能按公司要求對(duì)分派到本部門工作的員工進(jìn)行管理。部門管理人員的管理職責(zé)由系統(tǒng)安全管理員指定，部門管理人員只能管理部門內(nèi)部用戶的訪問授權(quán)，其管理職責(zé)局限于指定的部門。人員的日常管理由各部門負(fù)責(zé)，人員的工作分工由部門指定，部門管理人員對(duì)業(yè)務(wù)過程熟悉，對(duì)部門內(nèi)部業(yè)務(wù)分工明確，由其指定業(yè)務(wù)人員在通信經(jīng)營(yíng)信息系統(tǒng)中的訪問權(quán)限，對(duì)提高信息處理的準(zhǔn)確性和及時(shí)性有積極的作用。組織職能按部門劃分，經(jīng)營(yíng)工作的管理也是按部門進(jìn)行分工，不同部門有不同的職能。在工作目標(biāo)和責(zé)任層層分解后，部門人員的工作授權(quán)、工作內(nèi)容就是部門管理人員的管理對(duì)象。2. 授權(quán)的管理存在多種安全需求在組織結(jié)構(gòu)中，部門被賦予一定的職能，在組織中完成一定的職能。對(duì)于通信經(jīng)營(yíng)信息的查詢，也需要進(jìn)行嚴(yán)格的管理。對(duì)于有鉤稽關(guān)系的業(yè)務(wù)應(yīng)嚴(yán)格分工，由不同崗位的人員分別處理。同時(shí)，計(jì)算機(jī)系統(tǒng)對(duì)通信經(jīng)營(yíng)信息的處理應(yīng)符合實(shí)際管理的規(guī)范。上一環(huán)節(jié)的業(yè)務(wù)尚未完成，下道環(huán)節(jié)的業(yè)務(wù)就不能開展。通信經(jīng)營(yíng)信息系統(tǒng)中信息的處理有嚴(yán)格的時(shí)序關(guān)系。在通信業(yè)務(wù)的管理中，通常同一工作人員在同一業(yè)務(wù)的不同階段有不同的訪問授權(quán)。工程立項(xiàng)的審批是總經(jīng)理的職責(zé)，只有總經(jīng)理才能有處理的權(quán)限。在通信經(jīng)營(yíng)信息系統(tǒng)中，崗位職責(zé)不同，其訪問需求也不相同，該查詢什么信息、該處理什么數(shù)據(jù)，應(yīng)該與工作職責(zé)相聯(lián)系。如何有效地管理通信經(jīng)營(yíng)信息系統(tǒng)中大量授權(quán)數(shù)據(jù)，提供按需訪問控制，適應(yīng)業(yè)務(wù)管理需要，是系統(tǒng)安全管理的首要問題。30 / 76 小結(jié)本章介紹了課題的技術(shù)背景，比較了自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制的優(yōu)點(diǎn)和不足，說明了基于角色訪問控制技術(shù)在應(yīng)用上的優(yōu)勢(shì)。4. 具備靈活地定義角色間關(guān)系的能力當(dāng)角色之間存在互斥關(guān)系時(shí)，例如“會(huì)計(jì)” 這個(gè)角色與 “出納”角色之間就存在這種關(guān)系，在角色間定義這類關(guān)系可以實(shí)現(xiàn)用戶間的制約作用。如果用戶在一次會(huì)話中激活的角色集所能完成的功能遠(yuǎn)遠(yuǎn)超出需要，就造成一種浪費(fèi)，有時(shí)用戶還會(huì)出現(xiàn)誤操作，破壞系統(tǒng)。由于可以有針對(duì)性地按照具體要求定義相應(yīng)的角色并給用戶分配合適的角色，可防止給用戶賦予過高的訪問權(quán)限，提高系統(tǒng)的安全性。例如，根據(jù)具體要求定義角色，為用戶分配或取消角色等；當(dāng)用戶的職責(zé)變化時(shí)，改變其角色也就改變了用戶的權(quán)限；或者當(dāng)組織的功能變化時(shí)，也只需要定義新角色即可，而不必針對(duì)每一個(gè)用戶的權(quán)限重新配置，極大地簡(jiǎn)化了權(quán)限的管理 [46]。29 / 76 RBAC 在應(yīng)用上的優(yōu)勢(shì)1. RBAC 能適應(yīng)范圍廣泛的安全策略RBAC 與具體的安全策略無關(guān)，所以能適應(yīng)范圍廣泛的安全策略 [45]，包括前面討論過的 DAC 和 MAC，因而系統(tǒng)管理員能夠按照不同的安全策略的需要定義角色，適應(yīng)不同應(yīng)用領(lǐng)域的安全需要。約束限制也作用在會(huì)話上，因?yàn)橛脩艉徒巧瘮?shù)與會(huì)話相聯(lián)系，而角色與權(quán)限也相聯(lián)系 [44]。更一般化地，可以利用這樣一些必要條件，僅當(dāng)用戶已是或者不是一些特定角色中的成員，用戶才可以被分配到角色 A。先決條件限制對(duì)角色分配的約束也稱為“必備角色” ，是指當(dāng)用戶擁有角色 B時(shí)，角色 A 也可以分配給該用戶，并且角色 A 在其它任何情況下都不能分配給該用戶，這個(gè)角色 B 就是角色 A 的必備角色 [43]。一個(gè)權(quán)限可分配的角色數(shù)量也受到“基本限制”約束以控制高級(jí)權(quán)限在系統(tǒng)中的分配?；鶖?shù)限制也稱為“基本限制” ，它規(guī)定了一個(gè)角色可被分配的最大用戶數(shù)。 “雙重約束”是指同一權(quán)限只能分派給相互排斥的角色中的一個(gè)。 “相互排斥”約束指一個(gè)用戶最多只能分配到這兩個(gè)“相互排斥”角色中的一個(gè)角色。 RBAC 中的約束RBAC 模型引入了約束概念，約束的形式多種多樣，包括互斥限制、基數(shù)限制、先決條件限制、運(yùn)行時(shí)互斥限制、會(huì)話數(shù)量的限制、時(shí)間頻度限制等 [41]。利用私有角色來對(duì)權(quán)限繼承的范圍進(jìn)行限制，就能夠限制高級(jí)別角色通過角色繼承擁有它不應(yīng)該得到的權(quán)限。但通常情況是，低級(jí)別角色擁有的一部分權(quán)限是該角色的專有權(quán)限，在安全策略上是不允許被其它角色所繼承。在角色等級(jí)關(guān)系中，存在高級(jí)別角色對(duì)低級(jí)別角色的繼承關(guān)系。角色等級(jí)關(guān)系有自反性、傳遞性和非對(duì)稱性，是一種偏序關(guān)系 [40]。但采用邊界角色來劃分管理范圍會(huì)增加管理的復(fù)雜性。RRA97：分布式實(shí)現(xiàn)角色層次關(guān)系指派。RBAC 管理模型基本組成部分包括：URA97：分布式實(shí)現(xiàn)用戶角色指派。 AR R P AP U 約 束 AP ARH AU UA RH PA UA： 規(guī) 則 角 色 分 配 PA： 規(guī) 則 許 可 分 配 RH： 角 色 層 次 等 級(jí) U： 管 理 角 色 分 配 AP： 管 理 許 可 分 配 ARH： 管 理 角 色 等 級(jí) U： 用 戶 R： 規(guī) 則 角 色 P： 規(guī) 則 許 可 S： 會(huì) 話 A： 管 理 角 色 A： 管 理 許 可 ARH S 27 / 76圖 32 RBAC 管理模型框架圖基于角色授權(quán)管理模型在 RBAC 模型內(nèi)部實(shí)現(xiàn)對(duì)各部分元素的管理，包括對(duì)用戶角色的管理、權(quán)限的管理、角色層次關(guān)系管理、角色限制管理等。管理許可授權(quán)對(duì)包含 RBAC0、RBACRBAC2 或RBAC3 在內(nèi)的各種部件的改變，而規(guī)則許可不可以。在 RBAC 授權(quán)模型中，角色與權(quán)限的靜止的映射關(guān)系并不能很好的滿足組織管理的授權(quán)策略 [38]。會(huì)話指用戶的一次請(qǐng)求的執(zhí)行。許可（或權(quán)限）在系統(tǒng)中是對(duì)目標(biāo)進(jìn)行特定訪問的操作。角色是執(zhí)行特定任務(wù)的能力，是許可的集合，可以是組織中已被授予一定責(zé)任的崗位，也可以是組織結(jié)構(gòu)中承擔(dān)一定職能的部門 [35]。用戶概念可以很廣，是擁有角色的主體，可以是人、計(jì)算機(jī)，也可以是組織結(jié)構(gòu)中的一個(gè)部門、一個(gè)機(jī)構(gòu)。用戶與角色存在多對(duì)多的關(guān)系，角色與許可也存在多對(duì)多的關(guān)系，角色作為用戶與許可的中間媒介，溝通用戶與許可 [34]。當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。RBAC 的特點(diǎn)是：授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。RBAC2：在 RBAC0 的基礎(chǔ)上增加了限制的概念。25 / 76 RBAC3 RBAC2 RBAC0 RBAC1 (a) U用 戶 R角 色 P權(quán) 限 RH角 色 等級(jí) H角 色 等級(jí)S會(huì) 話 (b) 限 制 圖 31 RBAC 授權(quán)模型它們的關(guān)系如下：RBAC0：基本模型，規(guī)定了任何 RBAC 系統(tǒng)所必須的最小需求。在目前所出現(xiàn)的幾種 RBAC 模型中，美國(guó) Gee Mason 大學(xué)提出的 RBAC96 模型和 ARBAC97 模型，由于系統(tǒng)地、全面地描述了 RBAC 多層次的意義而得到了廣泛的認(rèn)可。一方面，RBAC 技術(shù)還不十分成熟，其模型的建立與實(shí)現(xiàn)是當(dāng)今的兩大難點(diǎn)與熱點(diǎn)，還需要進(jìn)一步研究；另一方面，RBAC 的策略無關(guān)性需要用戶自己定義適合本領(lǐng)域的安全策略，定義眾多角色和訪問權(quán)限以及它們之間的關(guān)系也是一項(xiàng)非常復(fù)雜的工作。 RBAC 的基本思想是：通過將系統(tǒng)資源訪問權(quán)限（處理功能的使用、數(shù)據(jù)的讀、寫、打?。┓纸M或歸類或建立層次性關(guān)系，統(tǒng)稱為“角色” ，再根據(jù)安全策略為用戶指派角色，從而實(shí)現(xiàn)了用戶和權(quán)限之間的靈活對(duì)應(yīng)關(guān)系（一對(duì)一、一對(duì)多或多對(duì)一） 。 基于角色的訪問控制基于角色的訪問控制（RBAC ）的概念早在七十年代就已經(jīng)提出，但在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)沒有得到人們的關(guān)注。2. 應(yīng)用的領(lǐng)域比較窄，使用不靈活，一般只用于軍方等具有明顯等級(jí)觀念的行業(yè)領(lǐng)域。由于用戶不能改變?nèi)魏慰腕w的安全屬性，因此，MAC 可抵御用戶濫用職權(quán)等攻擊，是比 DAC 功能更強(qiáng)的訪問控制機(jī)制。上述兩個(gè)原則保證了信息的單向流動(dòng)，既不允許低信任級(jí)別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，即信息只能向高安全屬性的方向流動(dòng) [32]。MAC 一般都要求主體對(duì)客體的訪問滿足 BLP(Bell and LaPadula)[31]安全模型的兩個(gè)原則：1. 讀操作安全性原則：僅當(dāng)主體的安全級(jí)別不低于客體的安全級(jí)別且主體的類別集合包含客體的類別集合時(shí)，才允許該主體讀該客體。安全級(jí)一般定義為四個(gè)級(jí)別：一般，秘密，機(jī)密和絕密，用全序來描述：一般 秘密 機(jī)密 絕密。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級(jí)劃分，經(jīng)常用于軍事用途，主要用來描述軍用計(jì)算機(jī)系統(tǒng)環(huán)境下的多級(jí)安全策略。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理員，或者是系統(tǒng)根據(jù)限定的規(guī)則確定的，主體不能加以修改。 強(qiáng)制訪問控制（ MAC）強(qiáng)制訪問控制是指根據(jù)主體被信任的程度和客體所包含的信息的機(jī)密性或敏感程度來決定主體對(duì)客體的訪問權(quán) [29]。這些改進(jìn)措施在一定程度上提高了DAC 的安全性能。HRU 模型提出了管理員可以限制客體訪問權(quán)限的擴(kuò)散，但沒有對(duì)訪問權(quán)限擴(kuò)散的程度和內(nèi)容做出具體的定義。針對(duì) DAC 的不足，一些學(xué)者對(duì)它提出了一系列的改進(jìn)措施 [28]。特洛伊木馬是嵌入在合法程序中的一段以竊取或破壞信息為目的的惡意代碼。3. 用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來，無法按組織策略進(jìn)行管理。2. 在許多組織中，用戶對(duì)他們所能訪問的資源并不具有所有權(quán)，組織本身才是系統(tǒng)中資源的真正擁有者 [26]。22 / 76由于其易用性與可擴(kuò)展性，自主訪問控制機(jī)制經(jīng)常被用于商業(yè)系統(tǒng)。對(duì)每一個(gè)受保護(hù)的資源，ACL 對(duì)應(yīng)一個(gè)個(gè)人用戶列表或由個(gè)人用戶構(gòu)成的組列表，表中規(guī)定了相應(yīng)的訪問模式。ACL 是帶有訪問權(quán)限的矩陣，這些訪問權(quán)是授予主體訪問某一客體的。自主訪問控制機(jī)制允許對(duì)象的屬主來制定針對(duì)該對(duì)象的保護(hù)策略。自主訪問控制基于這樣的思想：主體（即資源所有者）全權(quán)管理有關(guān)該客體的訪問授權(quán)，有權(quán)泄露、修改該客體的有關(guān)信息。主體是能夠?qū)е滦畔⒃谙到y(tǒng)中流動(dòng)并改變系統(tǒng)狀態(tài)的用戶或進(jìn)程的抽象；客體是對(duì)具備存放或接受信息的被動(dòng)實(shí)體的抽象，如文件、內(nèi)存及功能單元等。訪問控制的基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用，保證主體對(duì)客戶的所有直接訪問都是經(jīng)過授權(quán) [22]。 小結(jié)本章主要介紹課題的應(yīng)用背景，根據(jù)通信經(jīng)營(yíng)的業(yè)務(wù)特點(diǎn)和管理特點(diǎn)，對(duì)通信經(jīng)營(yíng)信息系統(tǒng)的應(yīng)用需求進(jìn)行分析，最后給出應(yīng)用系統(tǒng)的硬軟件結(jié)構(gòu)和工作模式。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶及執(zhí)行操作的機(jī)器 IP 地址、操作類型、操作對(duì)象及操作執(zhí)行時(shí)間等，以備日后審計(jì)核查之用。日志管理是系統(tǒng)安全審計(jì)的重要信息來源，具有綜合性數(shù)據(jù)記錄功能和自動(dòng)分類檢索能力。19 / 76 經(jīng)客分析 基 于 業(yè) 務(wù) 量 的 分 析 基 于 市 場(chǎng) 競(jìng) 爭(zhēng) 的 分 析 基 于 收 益 的 分 析 基 于 客 戶 的 分 析 基 于 服 務(wù) 質(zhì) 量 的 分 析 基 于 營(yíng) 銷 的 分 析 基 于 網(wǎng) 絡(luò) 的 分 析 圖 28 經(jīng)營(yíng)分析模塊結(jié)構(gòu)圖7. 系統(tǒng)管理系統(tǒng)管理模塊包括通信經(jīng)營(yíng)信息系統(tǒng)的訪問控制管理、數(shù)據(jù)管理和日志的管理，其結(jié)構(gòu)見圖 29。根據(jù)訪問者所在部門或職位的不同，其可查詢的經(jīng)營(yíng)分析報(bào)表及報(bào)表的輸出結(jié)果受到其權(quán)限的約束。模塊提供添加、修改、刪除、查詢操作界面。(2) 服務(wù)類型管理：客戶的服務(wù)需求多種多樣，統(tǒng)一規(guī)范的服務(wù)類型對(duì)于經(jīng)營(yíng)管理、服務(wù)分析至關(guān)重要。客戶類別可根據(jù)營(yíng)銷需要進(jìn)行細(xì)分或重新修改，以便于公司收集和分析各個(gè)用戶群的服務(wù)需求信息，制訂有效的營(yíng)銷措施。客戶服務(wù)信息的登記由客戶服務(wù)人員在業(yè)務(wù)受理過程完成，服務(wù)信息的規(guī)范管理有助于提高受理過程的信息登記效率。及時(shí)對(duì)客戶服務(wù)信息進(jìn)行處理和分析，對(duì)改善公司服務(wù)質(zhì)量有直接的幫助，對(duì)改進(jìn)營(yíng)銷模式有較好的指導(dǎo)作用。 營(yíng)銷信息管理 銷 售 計(jì) 劃 資 源 情 報(bào) 銷 售 日 報(bào) 營(yíng) 銷 措 施 報(bào) 表 管 理 圖 26 營(yíng)銷信息管理模塊結(jié)構(gòu)圖5. 客戶服務(wù)客戶服務(wù)中心是通信業(yè)務(wù)最主要的服務(wù)窗口之一，是公司與通信用戶雙向溝通的重要渠道。營(yíng)銷中心和相關(guān)管理人員通過該模塊提供的各項(xiàng)功能，就能對(duì)階段性的銷售動(dòng)態(tài)有一個(gè)全面的了解，并與業(yè)務(wù)支撐系統(tǒng)的登記情況進(jìn)行對(duì)比，了解業(yè)務(wù)進(jìn)度。17 / 76營(yíng)銷信息包括接入間投產(chǎn)后階段性銷售計(jì)劃、該接入間使用的營(yíng)銷措施、營(yíng)銷方式、推廣產(chǎn)品種類、產(chǎn)品銷售價(jià)格和服務(wù)承諾。 資 源 建 設(shè) 管 理 工 程 立 項(xiàng) 申 請(qǐng) 工 程 建 設(shè) 管 理 項(xiàng) 目 審 批 項(xiàng) 目 審 查 圖 25 資源建設(shè)管理模塊結(jié)構(gòu)圖4. 營(yíng)銷信息管理營(yíng)銷信息管理是按照通信接入間進(jìn)行分類，對(duì)各接入間的營(yíng)銷信息進(jìn)行登記和管理。同意立項(xiàng)的項(xiàng)目將轉(zhuǎn)入建設(shè)周期，不同意立項(xiàng)的項(xiàng)目重新進(jìn)入申請(qǐng)流程或直接取消。工程項(xiàng)目的審查由市場(chǎng)部門根據(jù)立項(xiàng)需求和市場(chǎng)調(diào)查結(jié)果，對(duì)申請(qǐng)立項(xiàng)的工程的可行性進(jìn)行審核，項(xiàng)目