【正文】 五項功能，其中銷售日報對接入間每天的銷售信息（包括產(chǎn)品號碼、業(yè)務(wù)類型、資費價格、銷售經(jīng)理、客戶名稱等）進行登記，通過查詢、匯總，生成每日的銷售進度，便于對銷售效果進行監(jiān)督；資源情報對接入間可用資源、已用資源、未用資源等信息進行登記、管理；報表管理用于導入、導出各類營銷報表資料，提供與業(yè)務(wù)支撐系統(tǒng)的接口。該模塊的結(jié)構(gòu)見圖 26?？蛻舴?wù)人員每天通過熱線電話受理通信用戶的業(yè)務(wù)咨詢、故障投訴、業(yè)務(wù)受理，為客戶提供方便快捷的服務(wù)?？蛻舴?wù)模塊見圖 27，主要完成對客服流水信息的登記和對客戶服務(wù)信息的匯總分析工作?？蛻舴?wù)模塊共包括客戶類別管理、服務(wù)類別18 / 76管理、客服信息管理、客服報告輸出等功能模塊，其中客戶類別管理、服務(wù)類型管理模塊主要的功能如下：(1) 客戶類別管理：按業(yè)務(wù)管理的分類原則和要求對客戶類別進行管理，客戶一般分為家庭用戶、中小商企客戶、大客戶?？蛻纛悇e管理模塊提供客戶類別添加、修改、刪除、查詢等功能。本模塊提供服務(wù)類型的定義、修改功能，以便于管理人員根據(jù)業(yè)務(wù)需要對服務(wù)類型進行管理。 客戶服務(wù) 客 戶 類 別 管 理 客 服 報 告 輸 出 客 服 信 息 管 理 服 務(wù) 類 型 管 理 圖 27 客戶服務(wù)模塊結(jié)構(gòu)圖6. 經(jīng)營分析經(jīng)營分析模塊主要匯總通信經(jīng)營過程各個業(yè)務(wù)環(huán)節(jié)的業(yè)務(wù)信息，采用查詢、匯總、分類、統(tǒng)計、分析等方法，為訪問者提供各種類別的關(guān)于通信經(jīng)營方面的查詢信息和分析報表，包括業(yè)務(wù)量、客戶、收益、市場競爭、服務(wù)質(zhì)量、營銷、網(wǎng)絡(luò)七個方面的內(nèi)容，主要的功能模塊見圖 28。如揭陽營銷中心的工作人員不能查閱潮州營銷中心的通信經(jīng)營分析報表，只能查詢揭陽營銷中心的分析報表。 系統(tǒng)管理 數(shù) 據(jù) 管 理 訪 問 控 制 管 理 日 志 管 理 圖 29 系統(tǒng)管理模塊結(jié)構(gòu)圖訪問控制管理向系統(tǒng)安全管理員提供對系統(tǒng)的安全設(shè)置的操作界面，數(shù)據(jù)管理主要提供數(shù)據(jù)備份與恢復(fù)功能，包括數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)模塊。在該系統(tǒng)中，日志將記錄自某用戶登錄時起，到其退出系統(tǒng)時止，這20 / 76段時間所執(zhí)行的所有操作，包括登錄失敗操作，對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志管理模塊提供多項功能，不僅可以分類檢索日志內(nèi)容，還能根據(jù)已記錄的日志內(nèi)容，通過智能型檢索，自動找出可能存在的不安全因素，并實時觸發(fā)相應(yīng)的警告信息以及時通知系統(tǒng)管理員及用戶進行處理。21 / 763 基于角色訪問控制技術(shù) 傳統(tǒng)的訪問控制技術(shù)傳統(tǒng)訪問控制技術(shù)主要有自主訪問控制和強制訪問控制 [21]。傳統(tǒng)訪問控制為了控制對資源的訪問，通常需要明確標識系統(tǒng)中的所有用戶和資源，將用戶和資源抽象為主體或客體。 自主訪問控制（ DAC）自主訪問控制是指對某個客體具有擁有權(quán)的主體能夠?qū)υ摽腕w的一種訪問權(quán)或多種訪問權(quán)自主地授予其它主體，并在隨后的任何時刻將這些權(quán)限收回 [23]。自主訪問控制是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對系統(tǒng)的參數(shù)做適當修改以決定哪些用戶可以訪問他們的文件，亦即一個用戶可以有選擇地與其它用戶共享他的文件，用戶有自主的決定權(quán)。通常 DAC 通過訪問控制列表(ACL)來限定哪些主體針對哪些客體可以執(zhí)行什么操作 [24]。安全管理員通過維護 ACL 控制用戶對信息的訪問。利用 ACL 可以非常靈活地對策略進行調(diào)整，但當用戶數(shù)量多、管理數(shù)據(jù)量大時，由于訪問控制的粒度是單個用戶，ACL 會很龐大 [25]，當組織內(nèi)的人員發(fā)生變化（換崗、招聘、離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時，對 ACL 的修改變得異常困難。但自主訪問控制技術(shù)也存在明顯的不足，主要體現(xiàn)在以下幾方面：1. 主體可任意在系統(tǒng)中規(guī)定誰可以訪問它們的資源，系統(tǒng)管理員難以確定哪些用戶對哪些資源有訪問權(quán)限，不利于實現(xiàn)統(tǒng)一的全局訪問控制。而且，各組織希望訪問控制的實現(xiàn)能與組織內(nèi)部的安全策略相一致，并由管理部門統(tǒng)一實施訪問控制，不允許用戶自主地處理，而DAC 卻存在用戶濫用職權(quán)的問題。4. 信息容易泄露，不能抵御特洛伊木馬（Trojan Horse）的攻擊。在自主型訪問控制下，一旦帶有特洛伊木馬的應(yīng)用程序被激活，特洛伊木馬便可以任意泄露和破壞接觸到的信息，甚至改變這些信息的訪問授權(quán)模式 [27]。早在七十年代末，、 和 就對傳統(tǒng) DAC 做出擴充，提出了主體（即資源擁有者）自主管理該客體的訪問和安全管理員限制訪問權(quán)限隨意擴散相結(jié)合的半自主式的 HRU 訪問控制模型。到了 1992 年，Sandhu 等人將 HRU 模型發(fā)展為 TAM（Typed Access Matrix）模型，在客體和主體產(chǎn)生時就對訪問權(quán)限的擴散做了具體的規(guī)定。但是，由于其核心是主體（即資源擁有者）控制客體的訪問授權(quán)，使得它們不能用于具有較高安全要求的系統(tǒng)，因而其改進模型幾乎沒有得到實際應(yīng)用。MAC 的基本思想是：為每個主、客體分別定23 / 76義安全屬性，主體能否對客體執(zhí)行特定的操作取決于二者間的安全屬性的關(guān)系。這樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標簽，訪問控制機制通過比較安全標簽來確定授予還是拒絕用戶對資源的訪問。在多級安全策略中，安全屬性用二元組（安全級，類別集合）表示，其中安全級表示機密程度。人作為安全主?體，其類別集合表示他可涉獵哪些范圍內(nèi)的信息，而信息作為安全客體，其類別集合表示該信息所涉及的范圍 [30]。2. 寫操作安全性原則：僅當主體的安全級別不高于客體的安全級別且客體的類別集合包含主體的類別集合時，才允許該主體對該客體進行寫操作。 MAC 就是通過信息的單向流動來防止信息擴散，抵御特洛伊木馬對系統(tǒng)保密性的攻擊。MAC 的不足主要體現(xiàn)在以下兩方面：1. 用戶共享數(shù)據(jù)的機制不靈活：MAC 不允許一個進程生成共享文件，可防止進程通過共享文件將信息從一個進程轉(zhuǎn)移到另一個進程，但這對合法用戶卻是一種限制。盡管很多學者對 MAC 進行了種種改進，使得 MAC 技術(shù)更加完善，但從總體24 / 76上看，這些改進大都針對具體應(yīng)用開發(fā)，靈活性差，所產(chǎn)生的影響不大。進入九十年代，安全需求的發(fā)展加上 等人的倡導和推動，RBAC 又引起人們廣泛的關(guān)注。與 DAC 和 MAC 相比，RBAC 技術(shù)也存在一定的不足。 基于角色訪問控制的模型RBAC 模型是參考模型，提出了一個通用的參考結(jié)構(gòu)，為軟件開發(fā)人員在未來的系統(tǒng)中實現(xiàn)基于角色訪問控制提供了一個準則。RBAC96 模型RBAC96 模型是用戶授權(quán)模型，它由四個概念模型 RBAC0、RBACRBAC2和 RBAC3 組成，圖 31(a)描述了各子模型的關(guān)系，圖 31(b)顯示了它們的本質(zhì)特征。RBAC1：在 RBAC0 的基礎(chǔ)上增加了角色等級的概念。RBAC3：包含了 RBAC1 和 RBAC2，由于傳遞性也間接地包含了 RBAC0。ACL 直接將主體和目標相聯(lián)系，而 RBAC 在中間加入了角色，通過角色溝通主體與目標 [33]。在 RBAC 授權(quán)模型中，包含了 3 個實體：用戶、角色和權(quán)限（也稱許可） 。在 RBAC 中，用戶的授權(quán)是經(jīng)過角色進行的。用戶與角色是多對多的關(guān)系，一個用戶可以擁用多個角色，用戶只有通過角色取得許可，實現(xiàn)對資源的訪問。角色與用戶是多對多的關(guān)系，根據(jù)崗位職責的需要，一個角色可以授予多個用戶。許可與角色之間也存26 / 76在多對多的關(guān)系，一個角色可以擁有多個許可，一個許可可以賦予多個角色 [36]。一個用戶在他所建立的會話中，可以激活該用戶所屬角色的角色集合的某個子集，也就是說，用戶在一次會話中可以同時激活多個角色，用戶所擁有的權(quán)限就是在這個會話中所有被激活的角色所對應(yīng)的權(quán)限集的并集 [37]，因此會話可以看作是一個用戶到多個角色的映射，一個用戶可以同時打開多個會話。ARBAC97 模型ARBAC97 模型是基于角色授權(quán)的管理模型，整體框架見圖 32，其中限制作用于所有部件，底半部是上半部的鏡像，管理角色 AR 和管理許可 AP 分別與規(guī)則角色 R 和規(guī)則許可 P 不同。管理許可只能賦予管理角色，規(guī)則許可只可賦予規(guī)則角色，每個管理角色都映射到規(guī)則角色等級的某個子集 [39]。利用 RBAC 管理模型，可以實現(xiàn)訪問控制系統(tǒng)的分布式管理，避免由一個安全管理員負責整個系統(tǒng)的管理和維護。PRA97：分布式實現(xiàn)權(quán)限角色指派。RBAC 管理模型有效地劃分規(guī)則角色與管理角色、規(guī)則權(quán)限與管理權(quán)限，并明確規(guī)則角色與管理角色、規(guī)則權(quán)限與管理權(quán)限的區(qū)別，比較方便地支持多管理員的分布式管理。 角色的層次關(guān)系RBAC 模型中引入了角色等級來反映一個組織的職權(quán)與責任分布的偏序關(guān)系。 PL1 QE1 PE1 E1 QE1 圖 33 角色等級關(guān)系示例圖 33 是一個角色等級關(guān)系的示例。通過繼承，高級別角色 PL1 可以擁有低級別角色 QE1 的權(quán)限。在 RBAC 中通常是利用私有角色對角色的繼承進行限制，通過構(gòu)造新的角色作為私有角色，將不允許被繼承的權(quán)限集合定義為私有28 / 76角色，將用戶分配給這些私有角色。圖 33 中的QE11，它擁有的權(quán)限就不會被高級別角色所繼承?；コ庀拗品譃椤跋嗷ヅ懦狻焙汀半p重約束”兩種約束 [42]。 “相互排斥”約束可以推廣到多個角色之間，來限定用戶的各種角色組合情況在不同的環(huán)境中是否可被接受。這種權(quán)限分配限制阻止了權(quán)限被故意或非故意濫用，是一種限制高級權(quán)限分配的有效方法。同樣一個用戶可以擁有的角色數(shù)量也是受限的。一個角色可以擁有的權(quán)限不能超過系統(tǒng)規(guī)定的最大值。必備角色比新角色要低級。先決條件限制作用于權(quán)限分配上，表示權(quán)限 P 能夠指派給一個角色只有當該角色已經(jīng)擁有了權(quán)限 Q 才行。例如一個用戶可以擁有兩個不同的角色，但卻不能在一次會話中同時激活它們，而且同一權(quán)限所分配的會話數(shù)也受到限制。2. 極大地簡化了權(quán)限管理在 RBAC 中，權(quán)限管理要圍繞角色進行。3. 能實現(xiàn)最小權(quán)限分配（leastprivilege assignment ）所謂最小權(quán)限分配原則是指：用戶所擁有的權(quán)限不能超過其工作所需的權(quán)限。當用戶發(fā)出訪問時，可以同時打開多個會話，每個會話激活的角色集合可能不一樣，即便是為完成某一特定的操作而建立的一系列會話，也可能包含不同的角色。為了防止這種情況發(fā)生，RBAC 中規(guī)定用戶所擁有的角色集合對應(yīng)的權(quán)限不能超過用戶工作時所需要的最大權(quán)限，而且每次會話中激活的角色集合所對應(yīng)的權(quán)限要小于等于用戶所擁有的權(quán)限?；诮巧脑L問控制由于在滿足目前大量存在的商業(yè)和政府部門安全需求方面顯示了極大的優(yōu)勢，因此它便作為傳統(tǒng)訪問控制的替代和補充引起了廣泛的關(guān)注和討論。31 / 764 通信經(jīng)營信息系統(tǒng)基于角色的訪問控制策略 通信經(jīng)營信息系統(tǒng)的安全需求通信經(jīng)營信息系統(tǒng)對通信經(jīng)營過程的各項業(yè)務(wù)信息進行處理，按照業(yè)務(wù)流程對信息的流轉(zhuǎn)進行管理，確保信息的處理及時、有序、高效，是一個大型分布式信息管理系統(tǒng)，數(shù)據(jù)量大，有不同的信息敏感度，用戶多，變動頻繁，其訪問控制管理十分復(fù)雜。1. 對用戶的授權(quán)存在多種安全需求通信經(jīng)營管理的各個工作崗位在業(yè)務(wù)處理上有著明確的分工，同一部門不同的工作人員在不同的業(yè)務(wù)處理上可能具備不同的訪問授權(quán)。例如在制訂通信經(jīng)營計劃時，制訂者應(yīng)該有權(quán)對經(jīng)營計劃數(shù)據(jù)進行修改，但在使用過程，相關(guān)人員則只能有查詢的權(quán)限。不同崗位的工作人員對信息系統(tǒng)的訪問應(yīng)該按實際的工作職責進行授權(quán)。經(jīng)營計劃的制訂者在制訂過程對計劃有修改的權(quán)限，當經(jīng)營計劃經(jīng)過公司的審核后，制訂者的權(quán)限就消失了，對于經(jīng)營計劃的訪問也只有查詢的權(quán)限。市場調(diào)查與工程立項有時序上的聯(lián)系，工程立項與工程建設(shè)有時序上的聯(lián)系。通信經(jīng)營的各項工作由不同部門不同崗位的人員處理，信息在處理過程中需要按一定的時序進行控制，工作人員對通信經(jīng)營信息的處理要根據(jù)其崗位職責與業(yè)務(wù)流程的要求進行約束。敏感信息的32 / 76處理應(yīng)有嚴格的管理。例如工程立項申請和工程審核不能由同一個人處理，市場物資的領(lǐng)用和記帳應(yīng)由不同崗位的人進行處理。通信經(jīng)營信息有較強的時效性，歷史的經(jīng)營情況的分析對于經(jīng)營預(yù)測和經(jīng)營決策有較大的參考和指導作用，對歷史通信經(jīng)營信息的查詢和分析，對于不同的部門必須有不同的管理范疇和查閱范圍。在部門內(nèi)部，工作職責的劃分、工作人員的管理、業(yè)務(wù)過程的管理通常由部門管理人員按組織的相關(guān)制度確定。通信經(jīng)營管理過程與機構(gòu)設(shè)置存在密切的對應(yīng)關(guān)系。在經(jīng)營業(yè)務(wù)的管理上，部門與具體業(yè)務(wù)處理權(quán)限通常具有“一對多” 的對應(yīng)關(guān)系，業(yè)務(wù)權(quán)限的管理與工作人員實際的崗位職責存在較多的聯(lián)系。由于授權(quán)管理復(fù)雜，系統(tǒng)安全管理員需要將用戶授權(quán)的管理職責按部門進行劃分，委托各部門相關(guān)的管理人員進行管理。系統(tǒng)安全管理員可以制定各個單位的訪問控制策略，利用審核、審計、稽核等方法對系統(tǒng)的安全進行集中管理。部門的管理職責指派給部門管理人員之后，公司管理人員也受制度約束，不能任意地參33 / 76與部門內(nèi)部日常的事務(wù)的管理。系統(tǒng)安全管理員對部門安全管理員的授權(quán)，也需要與組織管理策略相適應(yīng)，保障授權(quán)管理的分散與集中相協(xié)調(diào)。 通信經(jīng)營信息系統(tǒng)的安全策略通信經(jīng)營信息系統(tǒng)對于通信經(jīng)營信息的管理，必須以業(yè)務(wù)處理流程和各部門、各業(yè)務(wù)人員在業(yè)務(wù)的不同階段及扮演的角色為基礎(chǔ)，控制、跟蹤、監(jiān)督業(yè)務(wù)處理的過程，靜態(tài)或動態(tài)地為系統(tǒng)用戶賦予相應(yīng)的角色，通過角色控制相應(yīng)的業(yè)務(wù)處理職能和對相關(guān)數(shù)據(jù)的訪問權(quán)限。在通信經(jīng)營信息系統(tǒng)，安全策略是通信經(jīng)營信息安全性的高級指導，它出自對用戶授權(quán)要求、通信設(shè)備環(huán)境、公司業(yè)務(wù)管理規(guī)則以及法律法規(guī)約束等方面的詳細研究，其重要性在于對安全管理的指導作用。不同的業(yè)務(wù)、不同部門有不同的管理需要，安全策略也有隨實際業(yè)務(wù)管理需要進行調(diào)整