悦库安全访问白皮书V1
信息化时代背景下,企业中大多数数据以文件形式进行保存、共享、访问,数据即资产,文件即资产。
出于数据隐私的考虑,企业中不同部门、不同项目中的人员所能访问的文件和对其能进行的操作都必须是安全可控的,我们在本文中第1~4章阐述了大组织中对海量树结构分布的文件进行更有效、灵活的安全访问控制方法。
在第6章介绍了文件的流程化,这有助于企业建立文件协同工作的标准流程,实现高效工作。
在大型企业中,软件的合规性尤其重要,参考国家《网络安全等级保护测评》标准,实现系统和软件的网络信息安全功能,可以从整体上度量企业信息化系统的标准安全规格。在第7章中我们对国际《信息技术安全评估通用标准》和国家《网络安全等级保护测评》标准做了一些总结。
1. 组织
组织架构是将企业人员根据工作职能建立的具有上下层级结构的有向无环图,由总部、单位、部门、人员四个组织层级组成。
总部
是一个组织的最顶级单位,例如集团名称、大学名称等,系统中有且只有一个总部。总部下包含多个层级的单位,而单位中也包含多个部门,形成一个树形组织结构。总部本身也是一个特殊的单位
,遵守单位
相关规则。
单位
,是一种隶属于总部的组织逻辑类型,通常用于建立一个相对独立的人员管理逻辑范围,具有独立的组织结构和文件访问安全边界。例如集团子公司、大学学院、集团医院分院等。单位中可以包含多个子单位或部门,可以在总部或其他单位之下,但不能在部门下。
部门
是一个独立组织下的分支机构。可以直接隶属于总部,或某一个单位,可以在总部、单位、其他部门之下。
人员
是隶属于组织中的个人,人员可以直接隶属于总部,也可以同时隶属于多个部门或单位中。
简化的树形组织结构示例:
1.1 组织关系
总部关系
- 总部下可以有0或多个单位,单位有且只有1个总部。
- 总部下可以有0或多个部门,部门有且只有1个总部。
- 总部下可以有0或多个人员,人员必须隶属于1个总部。
单位关系
- 单位可以有0或多个子单位,子单位1个或多个上级单位。
- 单位可以有0或多个部门,部门有1个或多个上级单位。
- 单位可以有0或多 个人员,人员可以隶属于1个或多个上级单位。
部门关系
- 部门可以有0或多个子部门,子部门有1个或多个上级部门。
- 部门可以有0或多个人员,人员可以隶属于1个或多个上级部门。
人员关系
- 人员可以直接隶属于总部/单位/部门之下。
- 人员必须隶属于1个总部,但可以同时隶属于多个单位或部门之下。
1.2 组织隔离
单位 是一个相对独立的组织,拥有单位范围的安全边界。各单位之间在组织访问、文件访问、角色设置等操作中相互隔离,默认不能互通。
例如在集团医院
中,如果将市北分院
和崂山分院
定义为单位,则默认市北分院
的人员无法访问崂山分院
的文件,同时也看不到崂山分院
的组织结构。市北分院
中创建和设置的自定义角色在崂山分院
中不可见。
1.3 组织协作
在相互隔离的单位之间建立协作关系,是企业中常见的应用场景。
单个人员可以通过设置和授权方式实现对其他单位的组织或文件的访问。
例如:
- 通过将
市北分院
的用户小明,设置可见西海岸分院
,小明就可以访问西海岸分院
的组织结构。 - 通过将
市北分院
的用户小明,设置可下载西海岸分院
的技术资料
空间,小明就可以访问西海岸分院
的文件。
作为一个独立单位或部门,也可以设置可见组织,实现两个单位或部门之间的组织互通。组织互通后,就可以根据授权访问对方单位的文件。
1.4 用户组
用户组是一种在组织架构以外将多个不同部门或单位中的用户组织在一起的方式,以便更容易地管理他们的权限。每个组都有一个唯一的组ID和一组成员。用户可以属于一个或多个组。
如果我们有很多用户需要具有相同的权限,那么将他们添加到一个组会更简单,更容易管理。例如,如果我们有一个大型的项目团队,需要调配多个部门下的不同职责人员,我们可以创建一个“developers”组,然后一次性地给这个组分配权限,而不是给每个项目参与者单独分配权限。
2. 角色
在企业中访问控制的范围取决于员工所扮演的角色,角色中包含已确认的访问职责和能力,悦库系统中的角色包括文件管理员、人事管理员等,每一种角色根据其包含的职责有不同的访问能力。
例如单位人事主管
角色用于管 理单位内部的人员,拥有对人员/部门的创建、编辑和删除等人事相关操作权限。
在组织中只有人员可以拥有角色,一个人员可以同时拥有多个角色:
2.1 角色级别
角色按权力级别分为:管理员角色、主管角色、普通角色。管理人员不能创建高于自身角色级别的新角色,当为其他人指派角色时,被指派角色行为集必须是当前管理者自身角色的行为集的子集,这样可以防止角色恶意提权问题。
由系统创建的默认角色,其中1、2级为管理角色,3级为普通角色:
1级管理员角色
1级管理员角色只能隶属于总部之下,按职责分为文件/人事管理员,管理员角色可以查看整个组织。
文件管理员
,可以管理系统中的所有文件,可以查看系统中的所有单位、部门和人员。
人事管理员
,可以管理系统中所有下属单位以及下属单位中的部门和人员、管理本单位角色和公共角色,拥有人事管理最高权利,但只拥有人事权利,无管理文件权利。
2级主管角色
2级主管角色,管理的具体组织范围,根据指派角色时为其绑定的单位/部门而定。
文件主管
,可以管理单位/部门中的所有文件,可以查看当前单位中的所有部门和人员。
人事主管
,可以管理单位/部门中的所有部门和人员、管理角色,无管理文件权限。
运维主管
,对系统进行运行管理维护,无其他管理权限。
3级普通角色
普通员工
,可以在授权范围内对文件进行操作,默认仅可以访问本单位内组织,经过授权可以访问其它单位组织。
2.2 职责分离
职责分离是确保单个人员不具备完成恶意行为的所有必要权限的一种策略。
最常见的⽰例是:财务工作中的发起⽀付和授权⽀付操作,任何⼀个⼈员都不应该能够同时拥有这两种权限。
在文件管理领域中以FTP服务器为例:运维人员的职责是系统运行维护,却可以超出自身职责,直接查看FTP服务器上的所有企业文件(本应属于文件管理职责),运维人员的职责不明确,将为企业文件增加泄露风险。
管理角色按职责分为职能管理和文件(业务)管理。人事管理和运维管理属于职能管理,人事管理角色只负责管理组织和人员,运维管理角色则只负责管理系统运维相关工作,职能管理角色不参与对文件访问权限的管理。文件管理角色专门负责组织内的文件(业务)管理,不参与组织的职能管理。
3. 访问安全
3.1 通用权限模型
以下介绍了四种常见的通用权限模型,通用权限模型是系统安全访问控制模块设计实现的理论依据。
自主访问控制, 简称 DAC (Discretionary Access Control),通过根据主体的身份和所属组限制对对象的访问(UGO+RWX/ACL)。所谓的自主,是指拥有访问权限的主体可以将权限赋予其他主体。
强制访问控制,简称 MAC (Mandatory Access Control),是一种根据自定义标签限制对对象的访问的方法。在SELinux中定义为类型、类别、层级三种标签。
基于角色的访问控制,简称 RBAC (Role-Based Access Control),是一种基于角色并使用角色中预先定义的策略(Policy)对主体操作对象进行验证的访问控制方式。
基于属性的访问控制,简称ABAC(Attribute Based Access Control),是一种根据主体属性、对象属性、环境条件,使用预先定义的策略(Policy)对操作对象进行验证的访问控制方式。
3.2 策略
策略(policy)是由管理员添加到系统中的安全规则,系统鉴权机制使用策略验证人员对资源操作行为合法性,由主体、资源、行为三个要素组成,主体是:单位/部门/人员,资源是:空间/文件夹/文件,行为是:查看/下载/上传/删除等。
策略按行为类型分为:允许策略和拒绝策略。允许策略用于表达允许谁对哪个资源拥有什么操作行为
,拒绝策略用于表达拒绝谁对哪个资源拥有什么操作行为
。拒绝策略优先级大于允许策略,即当设置主体对同一资源同时拥有允许和拒绝策略时,鉴权结果为以拒绝策略为准。
以主体的视角来看,策略是主体的访问权限,以资源视角来看策略是资源的访问规则。例如一条策略允许小明对test.txt拥有下载行为
,以主体视角是表达小明拥有对test.txt下载的访问权限
,是一条允许访问权限,以资源视角是表达test.txt拥有小明对其下载的访问规则
,是一条允许访问规则。
主体
主体
是指人员、部门、单位、总部、用户组等组织类型相关节点。
主体路径
是指从组织根节点到当前主体的组织父节点所经过的所有节点的组合。
资源
资源主要是指空间、文件夹、文件。
资源路径
是指从资源根节点到当前资源父节点所经过的所有节点的组合。
空间是文件的逻辑存储容器,类似于硬盘的分区,用于对文件进行逻辑分隔管理。考虑到组织安全访问的必要性,组织结构在此场景中也被定义为一种资源,例如用于限制人员查看其他子组织,实现组织隔离。
具有层级关系的资源称为结构化资源,空间、文件夹、组织结构都是结构化资源。
行为
行为包括文件行为和职能行为。
文件行为
包含对文件的常见操作行为,例如:上传、下载、新建、查看、删除等。
职能行为
是指分配给特定角色的访问行为,这些行为定义了角色成员可以在系统中访问和操作的资源。职能行为分为三类:空间管理、人事管理、运维管理,每一个分类对应一种角色职责,其下都包含多种行为。
行为组
行为组是指文件行为组,是将多个文件行为合成为一个组,用于便捷的分配文件访问权限。例如可以将下载、查看、列出
三个文件行为合成名称为只读
的行为组,这样后续为主体指定只读
权限时就会方便很多。
由多个职能行为合成的组其实就是角色,用于定义主体的职责和能力。
3.3 访问权限
访问权限是指以主体为视角的策略,表达其对资源可执行的行为,可以在主体上进行查看和编辑。
访问权限由私有权限和继承权限组成,私有权限是直接作用于主体的策略,继承权限是根据继承路径逐层递推累加节点权限后得出所有策略,私有权限优先级大于继承权限。
继承
继承权限可以使主体获取其路径中的所有访问权限,而不需要重复添加,且主体自身可以追加新的私有权限。主体不继承特性则可以使主体屏蔽从路径中继承权限,然后自行定义访问权限,拥有更好的灵活度。
-
研发一部 的所有访问权限,递推计算过程为:
-
研发部权限 = 公司(所有权限) + 研发部(私有权限)
-
研发一部权限 = 研发部(所有权限) + 研发一部(私有权限)
-
- 小明 的所有访问权限,递推计算过程为:
- 研发部权限 = 公司(所有权限) + 研发部(私有权限)
- 研发一部权限 = 研发部(所有权限) + 研发一部(私有权限)
- 小明权限 = 研发一部(所有权限) + 小明(私有权限)
在一些特殊场景下,可能不希望继承父组织的访问权限,由子组织自行添加,可以实现更自主可控的访问控制。
小明 是研发部的试用期员工,按公司规定不能访问研发部中的共享资料,需单独为其添加工作范围内的访问权限。
鉴权
鉴权是通过计算主体和其组织路径对目标资源和其资源路径的访问权限,得出主体对资源的最终访问权限的计算过程。该过程需要考虑主体的角色、继承权限、私有权限、允许/拒绝权限的优先级,目标资源的路径层级等因素。
举个例子,需要对小明下载文件word.zip
的操作进行鉴权,过程是:
查看小明及其主体路径节点对word.zip
及其资源路径的任意节点层级是否有下载权限 。例如研发部
对word.zip
有下载权限,则小明也就拥有了对word.zip
的下载权限,或者小明对应用软件
有下载权限,则同时也就拥有了对word.zip
的下载权限,计算过程是:
- 获取
公司
对word.zip
及其资源路径节点的私有权限。 - 获取
研发部
对word.zip
及其资源路径节点的私有权限,并累计公司
的继承权限。 - 获取
研发一部
对word.zip
及其资源路径节点的私有权限,并累计研发部
的继承权限。 - 获取
小明
对word.zip
及其资源路径节点的私有权限,并累计研发一部
的继承权限,得出小明最终对word.zip
的访问权限。
权限组
由用户自定义的一组拥有特定作用的一条或多条访问权限,可用于对单个主体批量添加访问权限。
例如:公司规定试用期员工不能访问本部门所有文件,但可以访问部分和试用期工作相关的文件,以下:
资源 | 行为/组 |
---|---|
/协同空间/技术资料/基础业务介绍 | 查看/下载 |
/协同空间/技术资料/常用工具 | 查看/下载 |
/协同空间/软件开发/编程语言/Python教程 | 查看/下载/分享 |
按照常规的赋权步骤,我们需要为试用期员工分别指定每条资源的访问权限,当试用期员工和访问资源都比较多时,显然这种方法费时费力,也很容易出错。
为了提高工作效率,我可以创建一个包含多条访问权限的试用期员工
的权限组。当为试用期员工指定访问权限时,先将该员工设置不继承部门权限,然后直接为其添加'试用期员工
的权限组,以此简化赋权操作。
3.4 访问规则
访问规则是指以资源为视角的策略,表达资源可以被主体执行的访问行为,可以在资源上进行查看和编辑。 访问规则和访问权限仅是主语视角不同,访问权限的主语是主体,而访问规则的主语是资源,但产生的作用是一致的,在系统内部实际都会被转换为以主体为主语的策略。
例如,管理员指定资源word.zip
的访问规则是:word.zip 可以被小明执行下载行为
,则在系统内部转换后对应的策略是:允许小明对word.zip 执行下载行为
,这时的主语为小明,鉴权机制以主体作为主语计算最终权限。
规则组
由文件管理者自定义的一组拥有特定作用的一条或多条访问规则,可用于对单个资源批量添加访问规则。
例如:一些分散的技术机密资源(在不同文件夹下)可以被小明、小刚等6人编辑,而小王、小高等10人仅可查看。
人员 | 行为/组 |
---|---|
小明、小刚等6人 | 查看/编辑 |
小王、小高等10人 | 查看 |
按照常规的操作步骤,我们需要为 资源分别指定每个人员的访问规则,当资源比较多时,显然这种重复操作费时费力,也很容易出错。
于是作为一名研发部文件主管,我可以创建一个包含多条访问规则的技术机密资源
的规则组。当为这些技术机密资源对应的文件指定访问规则时,直接为其添加'技术机密资源
的规则组即可,以此简化操作步骤。
3.5 策略关系
我们需要再次阐明策略的三要素:主体、资源、行为。记住这三要素对理解整个权限模型的内部关系非常重要。他们之间存在多种联系、组关系,下面进行整体介绍,便于大家有一个宏观的理解。
主体权限关系
主体包括单位、部门、人员、用户组,针对主体的权限管理可以通过设置权限组、权限、角色实现。权限由资源+行为/组 构成,而角色则定义了主体有限的职能行为能力,下图说明了主体权限的内部结构关系:
资源规则关系
资源包括空间、文件夹、文件,针对资源的访问规则管理可以通过设置规则组、规则实现。规则由主体(可能是单位、部门、人员、用户组)+行为/组 构成,下图说明了资源的内部结构关系:
3.6. ABAC
Attribute Based Access Control (基于属性的访问控制 ),简称ABAC, 是一种根据主体属性、对象属性、环境条件,使用预先定义的策略(Policy)对操作对象进行验证的访问控制方式。ABAC是对RBAC的改进,用于更细粒度更灵活的访问控制,NIST于2015年发表论文对ABAC标准进行了定义。
3.6.1 工作原理
下图展示了基于ABAC访问控制机制下,主体访问对象的工作原理:
- 主体请求访问对象。
- ABAC访问控制机制根据主体属性、对象属性、环境参数、操作、策略对该请求进行授权验证。
- 如果验证通过,则可以访问对象。
3.6.2 在现实世界的例子
”我作为一名爸爸,希望授权5岁的儿子,在电视上看1个小时的《超级飞侠》动画片。“
在这个例子中,“爸爸”相当于系统管理员,可以对动画片资源设定访问权限。
主体是“儿子”,主体的属性是:5岁(属年龄)。
对象是“文件“,对象的属性是:超级飞侠(属名称),动画片(属类型)。
环境属性是:电视(属设备)、1个小时(属时间范围)。
假如当前系统的策略定义格式为:allow {主体[属性]} {对象[属性]} {环境}{操作},则对这个例子的策略定义为:
allow {'{'}儿子[年龄=5岁]{'}'} {'{'}文件[类型=动画片 and 名称=超级飞侠]{'}'} {'{'}环境[设备=电视 and 时间=10:00~11:00]{'}'} {'{'}操作[读]{'}'}
在满足以上条件后,在儿子观看《超级飞侠》时,ABAC访问控制机制就可以根据主体属性、对象属性、环境条件,使用爸爸预先定义的策略(Policy)对这次访问进行验证,如果验证结 果通过,就可以观看。
3.6.3 ABAC其他场景
ABAC的应用场景非常广泛。
可以基于文件的大小、时间、标签、类型、内容关键字等实现基于文件属性的访问控制。
可以基于用户的登录IP、MAC地址、设备指纹等实现基于设备属性的访问控制。
还可以基于用户的角色、性别、年龄等实现基于用户属性的访问控制。
例如以下基于文件标签的访问控制实例:
在常见的文件系统中,我们只能使用文件夹对文件进行分类存放和访问。想一想,我们访问文件的时候是不是首先需要考虑文件放在哪个文件夹中?
但同一个文件有时从不同维度看有不同的分类方式,比如在\ABC公司\XXX项目
下名称为:XXX合同.docx
的文件,在市场部门人员看是一个合同
类别的文件,而在行政部人员看可能是一个机密
类别的文件。
使用标签对文件进行类别定义,在后续的文件管理过程中有很大的便捷性:
-
可以根据标签快速定位文件位置。
-
根据标签设置文件的访问控制规则,参考上述例子,管理员可以设置:“小明可以查看/编辑标签是
合同
的文件,小刚不能查看标签是机密
的文件”。文件虽然只能存放在一个位置下,但通过设置文件标签实现了不同类别文件的访问控制。
6. 流程化
文件流程化是在现有工作流工具基础上结合文件管理系统提供的基础访问能力实现的可编排的业务流程。
文件流程化业务堆栈,以下:
以权限控制流程为例,在常见的文件权限控制方式下,通常只能设置人员对固定位置文件的访问权限,例如可设置权限:小明 可访问 “/公司/研发部资料“ 下的所有文件
,这只是一条权限,在实际生产环境中,尤其是大型组织,情况要复杂的多,例如:
- 教师创建”数学作业” 文件夹,用于学生提交作业,截至时间为下午6点,过时则禁止学生上传/编辑,过时1小时前邮件提醒没有提交作业的学生。
- 拒绝角色为”实习生“的人员上传大于 1GB 的文件。
- 对于标签为"合同"的文件,自动设置”机密“标签(只能被授权"机密"人员访问), ”研发部“人员只能查看,不能修改。
为此我们可以使用工作流方式实现上述流程,工作流中可能包含多个任务和权限,而权限不仅包括主体、资源、行为三个基本要素,还包括了人员/组织属性、文件属性、文件标签、角色、用户组、IP、请求时间等更丰富的表达,它们可以使用工作流进行自由搭配,灵活组合,实现更强大的安全访问控制能力。
以工作流方式实现上面 "教师收作业" 用户故事的简单流程: