涉密OA系统分级保护访问控制策略研究

"基于分级保护的OA系统应用层访问控制 (2011年) - 北京化工大学学报(自然科学版) Vol.38, No.2, 2011 - 张天白, 王晶 - 计算机技术, 通信技术, 分级保护, 涉密OA系统, 基于角色的访问控制, 访问审计" 本文主要探讨了在涉密信息系统的建设中，如何在应用层实现分级保护的访问控制策略，以提高系统的安全性。作者提出了一种解决方案，该方案结合了C/S（客户端/服务器）和B/S（浏览器/服务器）架构，旨在改进传统的基于角色的访问控制（RBAC）机制。 首先，系统引入了主客体分级保护的概念，这意味着主体（用户）和客体（资源）都被划分为不同的安全级别。这样做的目的是根据对象的重要性差异进行差异化保护，确保对关键信息和敏感数据的重点防护。通过将用户与权限分离，用户只能访问与其安全级别相匹配的资源，从而降低了非法访问的风险。 其次，为了实现管理员角色的分权制衡，文章指出需要设定多个管理员角色，每个角色拥有特定的管理权限，避免单点故障和权限过度集中导致的安全隐患。这种做法增加了系统的稳定性，并使得权限分配更加合理，减少了内部威胁的可能性。 此外，为了增强系统的审计功能，文章提到了综合审计和分布式审计日志存储。系统会记录所有访问活动，以便进行事后审查和异常检测。分布式存储审计日志可以防止日志数据的丢失或篡改，增强了审计的可靠性和完整性。 最后，该解决方案特别强调了分级保护思想在访问控制环节的应用，即通过对关键对象的特别关注和强化保护，确保整个系统的安全等级得以维持。这种方法不仅适用于涉密OA系统，而且对其他需要高度安全性的信息系统也有借鉴意义。 这篇文章提供了一个实际的涉密OA系统访问控制模型，通过多种技术手段实现了应用层的分级保护。这些措施有助于提升系统的整体安全性能，确保了涉密信息的有效保护，符合《涉及国家秘密的信息系统分级保护技术要求》和《涉及国家秘密的信息系统分级保护管理规范》的相关标准。