执行权管制系统的设计标准ISO/IEC
文件类型:DOC/Microsoft Word 文件大小:字节
更多搜索:执行 权管制 系统 设计标准 ISO IE
执行权管制系统的设计标准ISO/IEC执行权管制系统的设计标准—ISO/IEC 10181-3介绍
刘兴华,黄景彰
国立交通大学资讯管理研究所
u8434803@ms4.hinet.net,jjhwang@cc.nctu.edu.tw
摘要
企业在面临网际网路Internet/Intranet的快速发展之下,如何来确保内部资讯网路的安全性以提高整体的竞争力?资讯系统中的执行权管制(Access Control)提供了防护资讯安全的功能.
在探讨执行权管制的相关文献中,国际标准组织所制定的ISO/IEC 10181-3文件,提供了执行权管制系统的设计蓝本.其中,较为重要的部分包括了:(1) 执行权管制模组的功能元件,(2) 各功能模组使用的讯息定义,(3)执行权管制的政策与机制的分类等.这一份标准文件提供了资讯厂商在设计执行权管制机制的参考规范.
目前普遍为大众所使用的Windows系列以及UNIX系统所提供的执行权管制做法与这份标准所建议的管制方式还有一段差距.因此,本文除了让大家重新认识执行权管制的标准外,同时也提供未来资讯系统的执行权管制机制的设计方案.
关键字∶执行权管制,执行权管制模组
壹,绪论
近年来,网际网路(Web/ Internet)技术的快速发展,现代企业的经营者体会了於网际网路上实行电子商务(E-commerce)的潜力,它们将网际网路的技术移植於企业内部,形成了企业资讯网路(Intranet)的发展与应用,藉由此一新技术的提供也带来了企业的竞争优势[Hoffman and Novak and Peralta,1999].
企业资讯网路的发展,起源於数个分公司之间的资讯交流并延伸扩大至提供客户存取公司资源的需求.在这个前提之下,企业也陆续地将Internet相关的技术与标准,延伸至上下游企业之间沟通与整合,渐渐形成企业相互间的资讯网路(Extranet)技术的发展.由於企业资讯网路内部所交换流通的资讯,攸关著企业的商业机密与经营绩效,为了维护这些资讯不会被非法的使用或撷取,企业必须要采取一些防范措施来确保资讯网路上的安全问题.
透过Intranet/Extranet 相互的连结机制,企业资讯网路内的员工可以於任何的时间或地点,对不同应用伺服器上所储存的资讯资源,进行交换或存取的动作.为了能够使企业所属资讯资源的安全得以确保,资讯系统除了要有能力确认使用者的身份是否为合法外,并能够判定该使用者是否有权限使用或更动某一项资讯资源.这是资讯安全的主要功能之一,称为执行权管制(Access Control);若以电脑作业系统的观点来看,可以称之为存取控制,若以企业管理的观点来论述,这种功能也就是授权管制(Authorization Control),即查核资讯资源之执行权限是否经过适当的授权.[刘兴华,黄景彰,张克章 民88]
国际标准组织(International Standard Organization,简称为ISO)与国际电子工程委员会(the International Electrotechnical Commission,简称为IEC)两个国际性的组织,由於具有一定的专业声望,因此,凡是与电机与资讯相关领域的标准,经由这两个专门机构的认定,普遍的为学术界与业界所认可.其中,在ISO/IEC 10181标准系列部分,是它们为开放式系统环境下的资讯安全理论模式所制定的标准(Information technology—Open Systems Interconnection---- Security frameworks for open systems).它包括了七大部分,分别为: Part 1(10181-1):简介(Overview);Part 2(10181-2):身份确认理论模式(Authentication framework);Part 3(10181-3):执行权管制理论模式(Access control framework);Part 4(10181-4):[不可抵赖机制理论模式(Non-repudiation framework);Part 5(10181-5):机密性理论模式(Confidentiality framework);Part 6(10181-6):真确性理论模式(Integrity framework);Part 7(10181-7):安全稽核理论模式(Security audit framework).本文所要讨论的仅是ISO/IEC 10181-3,也就是执行权管制的理论模式部分.
ISO/IEC 10181-3 这份标准文件中,开宗明义就定义了资讯系统所属的执行权管制目标:[
·上一篇:晟智ISO文件管理系统
·下一篇:创业计划书大纲