基于数据库中分级保护安全机制在党建业务中的设计与实现

摘要

本课题主要来自于在某研究所参与党建系统开发时发现的问题。由于该研究所属于涉密单位，安全保密要求很高，所以在党建系统开发时，对于员工的权限控制方面做了大量的工作，包括前期调研、安全分析、设计讨论、具体划分等等，以保证党建系统的安全性和保密性符合国家相关安全保密条例规定。但是，由于各方面条件的制约，权限控制的工作都是在前端代码中完成的，在数据库层面并未做限制。这样就带来了数据库安全防护不到位、系统可移植性差、开发人员任务繁重等问题。如何在数据库层面实现数据分级保护及权限控制，提高党建系统的安全性和可移植性，减轻开发人员工作量就成为了党建系统开发中的一个重要问题。本文选取了三个不同类型的党建业务为样例，结合强制访问控制（MAC）与自主访问控制（DAC），采用SSR模型设计实现了一套符合本单位实际情况的数据库安全机制，在数据库层面实现了数据分级保护及权限控制，大大提高了党建系统的安全性。本文研究内容如下： （1）对三个不同类型的党建业务进行分析，梳理业务流程，明确业务涉及岗位的许可证级别和数据的密级，为数据库安全机制设计做准备。 （2）利用MAC机制，并采用SSR模型，实现数据的分级保护。为党建业务中的岗位角色和业务数据设置相应的安全标签，通过强制的访问策略，控制用户的读写操作，来提高数据库的安全性与保密性。其中，读检查是通过在登录时触发的登录触发器检查当前用户当前岗位对可访问资源是否符合MAC规则；写检查是通过在进行DML操作时触发业务数据上的触发器来检查当前用户当前岗位对可访问资源是否符合MAC规则，以此来实现对数据的强制访问控制。 （3）DAC是主流数据库管理系统都具有的机制，根据业务需求，给合适的用户赋合适的权限。在实施时，引入业务角色和岗位角色两层设计，将对象权限赋给合适的业务角色，将业务角色赋给合适的岗位，将用户与岗位建立关联。可以实现非常高的灵活性，从而提升可维护性。 （4）通过MAC与DAC的结合，设计出一套较为完善的数据库安全机制，提高党建系统的安全性。并以三个党建业务为样例，进行了大量的功能测试，确定其安全性已达到数据分级保护的要求。

目录

声明

第一章 绪论

1. 1研究背景及意义

1. 2国内外研究现状

1. 3论文的主要内容及组织结构

第二章 相关知识和技术简介

2.1 Oracle Database 12c

2. 2强制访问控制

2. 3自主访问控制

2. 4基于角色的访问控制

2. 5本章小结

第三章 党建业务分析

3. 1业务描述

3. 2数据描述

3. 3本章小结

第四章 安全机制设计

4. 1 党建业务安全机制现状

4. 2 业务表结构设计

4. 3 强制访问控制设计

4. 4 自主访问控制设计

4. 5 MAC与DAC结合的优势

4. 6本章小结

第五章 安全机制实现

5. 1党建业务实现

5. 2强制访问控制实现

5. 3自主访问控制实现

5. 4安全性测试

5. 5本章小结

第六章 全文总结

6. 1全文主要工作

6. 2工作不足与展望

参考文献

致谢