权力模型提案No.5
文件是现代信息企业的核心数据资产,为了确保资产的安全,需要对资产管理者的集中式权力进行拆分和监督,以权力约束权力使其保持平衡,权力模型是建立在"三员"模型之上,实现人员权力相互制约,让文件访问更安全可控。
“一切有权力的人都容易滥用权力;要防止滥用权力,就必须以权力约束权力!” --- 孟德斯鸠
什么是三员
概念
“三员”的概念在国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中提出,要求涉密信息系统应当配备安全保密员、系统管理员和安全审计员三类安全保密管理人员(简称为“三员”),分别负责安全保密管理、系统运维和安全审计工作。“三员”担负维护系统安全、稳定、可靠运行的重要任务,对涉密信息系统具有重要作用。
�角色定义
由于超级管理员对整个系统拥有不受任何限制的所有操作权限,能够对增加删除任意用户、对所有文件进行操作,一旦超级管理员发生违规访问行为,文件本身就失去了安全性。因此在“三员”模型中,删除了超级管理员角色,个体不具备对系统所有资源的操作权限,同时将系统划分为安全保密、系统运维、行为审计三种相互独立、相互制约的角色,分别为安全保密员、系统管理员、安全审计员。
安全保密员
安全保密员负责空间/文件/功能的访问授权、变更用户角色、用户访问安全警告的分析和处理。安全保密员只能基于现存用户进行授权操作,无法创建新用户,避免了安全保密员违规创建新用户并授权造成的文件访问外泄行为。安全保密员无法创建新角色,只能基于现存用户和现存角色为用户进行角色变更,且变更后的角色中包含的功能必须是安全保密员的角色的子集否则该操作被识别为敏感提权操作,需要安全审计员审批,这样可以避免安全保密员为用户变更高权限角色间接为用户提权的不安全行为。
系统管理员
系统管理员负责系统运维、管理用户(新建、修改信息、删除)、管理角色(新建、变更功能、删除)。系统运维主要包括软硬件安装和升级、扩容、数据备份/迁移/恢复、网络管理、运行情况监察等。系统管理员不能为其新建的用户授权。如果角色已关联用户则变更角色功能或删除角色需要安全审计员审批,避免为用户增加角色功能造成间接为用户提权的不安全行为。在没有安全保密员授权的情况下也无法访问悦库内部管理的文件,避免了系统管理员违规访问内部文件的行为。
安全审计员
安全审计员负责定期对系统管理员和安全保密员的操作行为进行审计分析和监督检查,及时发现违规行为。还负责审批对于系统安全设置敏感操作:用户角色变更和角色功能变更。安全审计员只对系统管理员和安全保密员的操作行为合规性负责,不参与系统运维和访问授权的实际业务工作。
权力模型
支持二种权力模型,分别为:二员模型、三员模型。根据企业的人员数量和文件保密级别不同,对权力模型的需求会有差异。对于小企业人员少且组织结构简单,则权力模型也应简洁,避免不必要的额外操作,使用二员模型即可满足多数需求。对于大型企业则应使用三员模型来避免个体权力过大,造成数据安全风险。
二员模型
二员模型是指系统存在超级管理员和系统管理员角色。超级管理员拥有任意操作权限。系统管理员负责系统运维和管理用户,需额外授权才能访问空间中的文件。
二员模型实际是对三员模型的简化,目的是将系统管理员独立于文件的安全保密管理以外,专门负责系统运维。超级管理员同时拥有三员中的安全保密员、系统管理员、安全审计员角色。系统管理员则在三员中的系统管理员角色基础上中去�掉了管理角色的权力。
三员模型
“三员”模型中,删除了超级管理员角色,个体不具备对系统所有资源的操作权限,同时将系统划分为安全保密、系统运维、行为审计三种相互独立、相互制约的角色,分别为安全保密员、系统管理员、安全审计员,对信息系统整体安全有很好的防护作用。
用户故事
在“三员”模型下,系统全局权力由安全保密员、系统管理员、 安全审计员分别掌握,形成了“三权分立”的局面,产生了相互权力制约和监查,极大提高了系统的整体安全性。以新增用户为例子:
公司入职一名新员工,需要在网盘中创建新用户,可以访问研发部空间下的文件。
实施具体的操作是:
- 研发部新员工通过固定链接页面发起一个新建用户的审批流,转给研发部门主管。
- 由部门主管审批通过,审批流自动转给系统管理员。
- 系统管理员根据新员工提交的信息为其创建新账号,完成后审批流自动转给研发部的安全保密员。
- 安全保密员为新用户授予研发部空间的的访问权限,审批流结束,系统自动通知新员工账号生效。
系统定时生成《安全审计报表》,发送给安全审计员进行安全审计,以检查系统管理员、 安全保密管理员的操作是否合规。