悦库安全访问白皮书V1
信息化时代背景下,企业中大多数数据以文件形式进行保存、共享、访问,数据即资产,文件即资产。
出于数据隐私的考虑,企业中不同部门、不同项目中的人员所能访问的文件和对其能进行的操作都必须是安全可控的,我们在本文中第1~4章阐述了大组织中对海量树结构分布的文件进行更有效、灵活的安全访问控制方法。
在第6章介绍了文件的流程化,这有助于企业建立文件协同工作的标准流程,实现高效工作。
在大型企业中,软件的合规性尤其重要,参考国家《网络安全等级保护测评》标准,实现系统和软件的网络信息安全功能,可以从整体上度量企业信息化系统的标准安全规格。在第7章中我们对国际《信息技术安全评估通用标准》和国家《网络安全等级保护测评》标准做了一些总结。
1. 组织
组织架构是将企业人员根据工作职能建立的具有上下层级结构的有向无环图,由总部、单位、部门、人员四个组织层级组成。
总部
是一个组织的最顶级单位,例如集团名称、大学名称等,系统中有且只有一个总部。总部下包含多个层级的单位,而单位中也包含多个部门,形成一个树形组织结构。总部本身也是一个特殊的单位
,遵守单位
相关规则。
单位
,是一种隶属于总部的组织逻辑类型,通常用于建立一个相对独立的人员管理逻辑范围,具有独立的组织结构和文件访问安全边界。例如集团子公司、大学学院、集团医院分院等。单位中可以包含多个子单位或部门,可以在总部或其他单位之下,但不能在部门下。
部门
是一个独立组织下的分支机构。可以直接隶属于总部,或某一个单位,可以在总部、单位、其他部门之下。
人员
是隶属于组织中的个人,人员可以直接隶属于总部,也可以同时隶属于多个部门或单位中。
简化的树形组织结构示例:
1.1 组织关系
总部关系
- 总部下可以有0或多个单位,单位有且只有1个总部。
- 总部下可以有0或多个部门,部门有且只有1个总部。
- 总部下可以有0或多个人员,人员必须隶属于1个总部。
单位关系
- 单位可以有0或多个子单位,子单位1个或多个上级单位。
- 单位可以有0或多个部门,部门有1个或多个上级单位。
- 单位可以有0或多个人员,人员可以隶属于1个或多个上级单位。
部门关系
- 部门可以有0或多个子部门,子部门有1个或多个上级部门。
- 部门可以有0或多个人员,人员可以隶属于1个或多个上级部门。
人员关系
- 人员可以直接隶属于总部/单位/部门之下。
- 人员必须隶属于1个总部,但可以同时隶属于多个单位或部门之下。
1.2 组织隔离
单位 是一个相对独立的组织,拥有单位范围的安全边界。各单位之间在组织访问、文件访问、角色设置等操作中相互隔离,默认不能互通。
例如在集团医院
中,如果将市北分院
和崂山分院
定义为单位,则默认市北分院
的人员无法访问崂山分院
的文件,同时也看不到崂山分院
的组织结构。市北分院
中创建和设置的自定义角色在崂山分院
中不可见。
1.3 组织协作
在相互隔离的单位之间建立协作关系,是企业中常见的应用场景。
单个人员可以通过设置和授权方式实现对其他单位的组织或文件的访问。
例如:
- 通过将
市北分院
的用户小明,设置可见西海岸分院
,小明就可以访问西海岸分院
的组织结构。 - 通过将
市北分院
的 用户小明,设置可下载西海岸分院
的技术资料
空间,小明就可以访问西海岸分院
的文件。
作为一个独立单位或部门,也可以设置可见组织,实现两个单位或部门之间的组织互通。组织互通后,就可以根据授权访问对方单位的文件。
1.4 用户组
用户组是一种在组织架构以外将多个不同部门或单位中的用户组织在一起的方式,以便更容易地管理他们的权限。每个组都有一个唯一的组ID和一组成员。用户可以属于一个或多个组。
如果我们有很多用户需要具有相同的权限,那么将他们添加到一个组会更简单,更容易管理。例如,如果我们有一个大型的项目团队,需要调配多个部门下的不同职责人员,我们可以创建一个“developers”组,然后一次性地给这个组分配权限,而不是给每个项目参与者单独分配权限。
2. 角色
在企业中访问控制的范围取决于员工所扮演的角色,角色中包含已确认的访问职责和能力,悦库系统中的角色包括文件管理员、人事管理员等,每一种角色根据其包含的职责有不同的访问能力。
例如单位人事主管
角色用于管理单位内部的人员,拥有对人员/部门的创建、编辑和删除等人事相关操作权限。
在组织中只有人员可以拥有角色,一个人员可以同时拥有多个角色:
2.1 角色级别
角色按权力级别分为:管理员角色、主管角色、普通角色。管理人员不能创建高于自身角色级别的新角色,当为其他人指派角色时,被指派角色行为集必须是当前管理者自身角色的行为集的子集,这样可以防止角色恶意提权问题。
由系统创建的默认角色,其中1、2级为管理角色,3级为普通角色:
1级管理员角色
1级管理员角色只能隶属于总部之下,按职责分为文件/人事管理员,管理员角色可以查看整个组织。
文件管理员
,可以管理系统中的所有文件,可以查看系统中的所有单位、部门和人员。
人事管理员
,可以管理系统中所有下属单位以及下属单位中的部门和人员、管理本单位角色和公共角色,拥有人事管理最高权利,但只拥有人事权利,无管理文件权利。
2级主管角色
2级主管角色,管理的具体组织范围,根据指派角色时为其绑定的单位/部门而定。
文件主管
,可以管理单位/部门中的所有文件,可以查看当前单位中的所有部门和人员。
人事主管
,可以管理单位/部门中的所有部门和人员 、管理角色,无管理文件权限。
运维主管
,对系统进行运行管理维护,无其他管理权限。
3级普通角色
普通员工
,可以在授权范围内对文件进行操作,默认仅可以访问本单位内组织,经过授权可以访问其它单位组织。
2.2 职责分离
职责分离是确保单个人员不具备完成恶意行为的所有必要权限的一种策略。
最常见的⽰例是:财务工作中的发起⽀付和授权⽀付操作,任何⼀个⼈员都不应该能够同时拥有这两种权限。
在文件管理领域中以FTP服务器为例:运维人员的职责是系统运行维护,却可以超出自身职责,直接查看FTP服务器上的所有企业文件(本应属于文件管理职责),运维人员的职责不明确,将为企业文件增加泄露风险。
管理角色按职责分为职能管理和文件(业务)管理。人事管理和运维管理属于职能管理,人事管理角色只负责管理组织和人员,运维管理角色则只负责管理系统运维相关工作,职能管理角色不参与对文件访问权限的管理。文件管理角色专门负责组织内的文件(业务)管理,不参与组织的职能管理。
3. 访问安全
3.1 通用权限模型
以下介绍了四种常见的通用权限模型,通用权限模型是系统安全访问控制模块设计实现的理论依据。
自主访问控制, 简称 DAC (Discretionary Access Control),通过根据主体的身份和所属组限制对对象的访问(UGO+RWX/ACL)。所谓的自主,是指拥有访问权限的主体可以将权限赋予其他主体。
强制访问控制,简称 MAC (Mandatory Access Control),是一种根据自定义标签限制对对象的访问的方法。在SELinux中定义为类型、类别、层级三种标签。
基于角色的访问控制,简称 RBAC (Role-Based Access Control),是一种基于角色并使用角色中预先定义的策略(Policy)对主体操作对象进行验证的访问控制方式。
基于属性的访问控制,简称ABAC(Attribute Based Access Control),是一种根据主体属性、对象属性、环境条件,使用预先定义的策略(Policy)对操作对象进行验证的访问控制方式。
3.2 策略
策略(policy)是由管理员添加到系统中的安全规则,系统鉴权机制使用策略验证人员对资源操作行为合法性,由主体、资源、行为三个要素组成,主体是:单位/部门/人员,资源是:空间/文件夹/文件,行为是:查看/下载/上传/删除等。
策略按行为类型分为:允许策略和拒绝策略。允许策略用于表达允许谁对哪个资源拥有什么操作行为
,拒绝策略用于表达拒绝谁对哪个资源拥有什么操作行为
。拒绝策略优先级大于允许策略,即当设置主体对同一资源同时拥有允许和拒绝策略时,鉴权结果为以拒绝策略为准。
以主体的视角来看,策略是主体的访问权限,以资源视角来看策略是资源的访问规则。例如一条策略允许小明对test.txt拥有下载行为
,以主体视角是表达小明拥有对test.txt下载的访问权限
,是一条允许访问权限,以资源视角是表达test.txt拥有小明对其下载的访问规则
,是一条允许访问规则。
主体
主体
是指人员、部门、单位、总部、用户组等组织类型相关节点。
主体路径
是指从组织根节点到当前主体的组织父节点所经过的所有节点的组合。
资源
资源主要是指空间、文件夹、文件。
资源路径
是指从资源根节点到当前资源父节点所经过的所有节点的组合。
空间是文件的逻辑存储容器,类似于硬盘的分区,用于对文件进行逻辑分隔管理。考虑到组织安全访问的必要性,组织结构在此场景中也被定义为一种资源,例如用于限制人员查看其他子组织,实现组织隔离。
具有层级关系的资源称为结构化资源,空间、文件夹、组织结构都是结构化资源。