角色层次中的静态职责分离.pptVIP

* 举例 一个用户可能同时成为出纳和出纳主管两个角色的授权用户。出纳主管可以确认对出纳开出票据的修改的合法性 如果一个出纳角色的成员尝试变成为出纳主管角色的成员，RBC会要求这个用户先放弃出纳角色，并在成为出纳主管角色的成员之前关闭或终止票据修改事务 * 只要同一个用户不能同时获得出纳和出纳主管两个角色，利益冲突问题就不会发生 尽管通过建立static SoD关系可以达到这种效果，但DSD关系通常能为一个公司提供更大的操作灵活性 * RBAC中的SoD和约束 * 职责分离 一.资金拨付 以下是对公司部门和会计办公室负责拨付资金的人应用的最小职责分离。 下列职责应当由不同的人执行： 1.支票申请审查-就申请的商业目的、适用政策、备份文件、核准签字进行评估 2.支票准备-准备支票，并在分户账簿记账 3.支票核发-在支票上签章，确认分户账簿的记账条目 4. 支票交付-分送支票，或寄送给收款人 5. 分户账簿审查员-就总账现金帐户核对银行对帐单，看账目是否平衡 * 二.储存资金 以下是对公司部门和会计办公室负责储存资金的人应用的最小职责分离。 下列职责应当由不同的人执行： 1.邮件收发-打开邮件，审核，背书支票 2.出纳-处理现金，确定账户代码，存入银行账户或交付给另一出纳 3.审计-长确保所有收到的支票存入帐户，账户代码无误。同时也核收退回办公室的支票 4. 审查分户账簿-比对部门会计记录与财务办公室记录，看账目是否平衡 * 职责分离定义 美国国家标准学会： “为敏感信息划分责任，以便没有单独行动的个人可以危及数据处理系统的安全。” （2000年，美国国家标准学会） 美国管理和预算办公室文件A - 123 （修订1995年6月21日） ： “授权，处理， 记录，审查官方代理事务中的关键职责和责任应当由不同的个人分开执行” * 职责分离的类型 研究者们已经提出许多不同的职责分离模型，而只有一部分被付诸实践 由Simon和Zurko所做的全面调查发现了两种粗略的职责分离方法的分类：静态职责分离和动态职责分离 简单的区分这两类职责分离的方法是考虑角色约束被提出的时间。静态职责分离在用户被授予某种角色时就对角色加以约束 * 在动态职责分离里，只有当用户正在应用系统时约束才起作用。因此这是一种较弱的职责分离形式 根据一个机构的安全需求和资源的不同，静态和动态角色可以分别满足其不同的要求 * 静态职责分离 职责分离关系经常被用来实施利益相互冲突的策略，而这种策略应横跨分布式系统，从整个组织机构范围内进行分析 避免这一形式的利益冲突，方法之一就是使用静态职责分离static SoD 对用户角色指派施加约束。如果这意味着如果一个用户被指派到一个角色A，这个用户就被禁止成为第二个角色B的成员 * 举例来说，下图显示了一个带有职责分离约束的角色层次 * 一个被指派了票据文员角色的用户就不能再被指派作为应收会计文员。就是说，票据文员和应收会计文员是相互排斥的 以策略的观点来看，静态约束关系为处理冲突利益，以及对RBAC元素集施加其它的分离规则提供了一种有力手段 * 在定义静态职责分离需求时必须考虑角色层次存在或不存在两种情况 静态职责分离：静态职责分离关系在用户指派角色时设置约束。视乎静态职责分离实施的规则，一个角色的成员资格可能防止同一个用户成为另一个或更多其它角色的成员 角色层次中的静态职责分离：这种静态职责分离关系和基本的静态职责分离类似，不同之处在于当施加约束时继承的角色和直接指派的角色都要考虑 * 为了定义角色集在用户角色指派上施加的约束，可定义为一个二元组（角色集，n）作为static SoD，（角色集，n）表示没有一个用户能够指派“角色集”中多于n个或更多的角色，实际应用中，n=2 因此，存在许多不同的静态职责分离策略 举例来说，一个用户可能不能被指派到指定角色集合中的所有角色，而同一特点的一个强部署可能限制用户被指派到角色集中任何两个或两个以上角色的组合 * * 静态约束具有多种形式。普通的例子是用户到角色集的互不相交的指派 尽管静态职责分离过于严格，未必适合小机构，因为它容易实现和验证，还是经常被投入使用 Simon和Zurko ，Gligor以及其他人，Ahn和Sandhu已经确认 职责分离关系包含了用户，操作和对象以及它们的组合之上的所有约束 * 静态职责分离 如果角色r1和r2需要静态分离，那么r1和r2不能被指派给相同的用户 SSD ??(2USERS ×N )，它由静态职责分离中的（rs，n）二元组组成，每个二元组中rs是一个角色集合，n是一个大于或等于2的自然数，具有性质： （rs，