切换到宽版

档案管理系统权限案例(原创)

作者:admin 2015-06-11 23:10
1. 身份鉴别 1.1 用户身份鉴别 应用系统一般用户和管理员用户都采用基于数字证书的认证方式。各应用系统、数据库等口令均应满足以下要求: ..
1. 身份鉴别
1.1 用户身份鉴别
应用系统一般用户和管理员用户都采用基于数字证书的认证方式。各应用系统、数据库等口令均应满足以下要求:长度设置要求不低于10位;采用复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中两者以上的组合;要采取加密等安全保护措施保证口令存储和传输的安全。
1.2 登录控制
   登录应用系统区域应通过数字证书+PIN码的验证,通过后方允许用户使用。
   登录程序应限制登录失败的次数,并将所有的登录信息记录至日志。当用户身份鉴别尝试失败达到5次后,应采取以下措施:
 对于本地登录,进行登录锁定,同时形成审计事件并告警;
 对于远程登录,对该用户进行锁定,并且只能由安全保密管理员恢复,同时形成审计时间并告警;
 对于应用程序,禁止使用该程序或延长一定时间后再允许尝试,同时形成审计事件并告警。
1.3 连接时间控制
   用户在正确登录应用系统后一定时间(通常为10分钟)内没有进行任何操作,当用户再进行操作时,系统将提示用户重新登录
2. 访问控制
2.1 用户角色和权限划分
应将可以访问应用系统的用户按照安全管理权限分为:应用系统管理员、安全保密管理员、安全审计员和其他用户。管理员间的权限应能够相互制约、相互监督,避免由于权限过于集中带来的安全风险。
不同的用户角色及权限程序应提供不同的访问界面及菜单来控制用户对该系统功能的访问,对不同用户的权限应能设置到具体内容。
 2.2 信息访问控制
程序应根据不同的登录用户提供相应的界面及菜单来控制对应用系统的访问;将普通用户与管理员分开管理;控制用户对信息的访问权限,如读、写、删除、执行等;在应用系统信息流转过程中,保证系统的输出无多余信息,并只发送给授权访问的用户终端,避免无关人员的介入。
2.3 系统访问权限
系统将建立按模块功能层次分类的访问权限控制表,并把权限控制表的说明提供给整个应用系统区域前的统一授权系统。统一授权系统可根据应用系统管理员提供的实际访问权限进行权限设置,即将每个用户的访问权限写入统一的权限表,再由应用系统读取统一的权限表,并依此权限对系统的权限进行设计。统一授权系统将把统一权限表的设计说明开放给应用系统,并提供接口。应用系统访问权限应在安全保密管理员授权之后方可生效
2.4 流程中的权限
流程中每一个环节均可设置哪些人作为该环节的处理人,并设置操作权限。例如设定哪些人可以起草某种公文,这些人可以进行编辑或修改等操作。文件流转过程中,只有流程流转中处理过该文件的人员和指定的阅文人才有权限看到该文件,无关人员的系统界面中不会出现该文件的链接供其查看。
2.5 电子文件的访问权限
系统将附件文件全文存放于数据库表结构中,通过数据库管理系统进行管理。用户通过系统界面中的链接访问,系统应对其进行访问权限控制
3. 分类标识
应用系统中存储、处理、传递、输出的重要电子文件和资料要有相应的分类标识。
根据不同的数据资源为数据库设置字段密级。只有用户的数据操作权限高于或等于相应的字段密级,才能进行正常的操作,否则不显示该字段的内容。
4. 日志与审计
安全设计应与身份鉴别(与数字证书结合,记录用户基本信息)、访问控制、信息完整性等安全功能的设计紧密结合,并为下述可审计事件产生审计记录:
 应用系统的启动和关闭;
 审计功能的开启和关闭;
 系统内用户增加和删除;
 用户权限的修改;
 系统管理员、安全保密管理员、安全审计员和用户所实施的操作;
 用户的违规操作行为;
 其他与系统安全有关的事件或可专门定义的可审计事件。
对于重要信息系统应对以下事件进行审计:
 身份鉴别相关事件;
 访问控制相关事件;
 重要数据的输入输出操作;
 重要数据的其他操作。
系统应提供记录上述事件及其他异常事件的审计日志,并提供相应的管理界面及菜单进行查询、检索、排序、导入/导出、打印等操作。应提供统计、查询功能,包括时间范围,主客体身份、行为类型等条件。对审计记录的操作也应记录日志。
审计日志中对安全事件应提供足够的信息,以确定发生的事件及来源和经过。审计记录应包括以下内容但不限于这些内容:事件发生的时间、地点、类型、客体和主体以及结果(成功或失败)。审计日志还应记录所有特权操作。
系统应保障审计日志的保密性、完整性、一致性,除关于系统管理员和安全保密管理员的审计日志仅由安全审计员查看,其他用户审计日志可提供给安全保密管理员或安全审计员。系统应保证其他任何管理员和用户不能看到日志内容,任何人员不能对日志内容作任何篡改、伪造和非授权删除等操作。对审计记录的操作应记录日志。
系统应有充足的审计记录的存储空间,防止由于存储空间溢出造成审计记录的丢失。应具有存储空间的阈值设置功能,当存储空间将满时能及时进行告警,覆盖最早记录。审计记录保存期限应可设置,至少保存六个月。
审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计记录时间上的逻辑性,保证审计分析的正确性。
5.1 访问控制
  严格控制直接访问数据库的用户帐户,仅配置数据库管理员、安全保密管理员、安全审计员和开发人员四类人员,并设置符合1.1节规定的口令,定期更换管理员账号口令。
对数据库管理员、安全保密管理员、安全审计员和开发人员进行合理权限分配,管理员间的权限应能够相互制约、相互监督,避免由于权限过于集中带来的安全风险
5.2 安全加固
应在不影响数据库正常运行的前提下为数据库安全最新的补丁程序,结合数据库审计软件审计对数据库的操作,并生成审计记录。
调整数据库本身的安全策略,如禁用或重命名数据库默认帐户,修改这些帐户的默认口令和端口;及时删除多余的、过期的帐户;删除不必要的存储过程;端口隐藏等策略。
6. 数据安全
6.1 备份及恢复
在系统管理模块中,程序应提供备份,恢复数据的功能。结合其他设备及第三方软件,备份采取程序自动备份和手动备份两种方式,并可设置自动备份的周期以及存储路径等信息;恢复采取手工方式。
6.2 数据检查及控制
程序应提供数据有效性检验功能,保证输入、输出数据的数据格式或长度符合系统设定要求;控制用户对数据的直接访问;程序对所有的数据操作相关信息都应记录日志。
                                                                                                    HAMS 档案管理系统
 
已有3014人阅读