RBAC模型的改进及其在电力ERP权限管理中的应用

基于角色的访问控制(RBAC)是目前研究得最多、思想最成熟的一种面向企业安全需求的访问控制策略。文中在核心RBAC基本模型的基础上,将角色集和权限集进行细分。细分后的核心RBAC在权限设置上更加细致,每一级管理员可以按照实际需要,对角色的功能、权限从数据周期、数据对象、数据类别、操作功能、操作级别5个维度上进行明细设置,并灵活、深入地控制角色的功能及其访问的数据内容,从而达到精确管理的目的。将细粒度化的RBAC模型应用于供电企业资源计划(ERP)系统的权限管理模块的开发中,并取得了良好的应用效果。     

访问控制技术综述

访问控制是一门重要的信息安全技术。论文介绍了自主访问控制和强制访问控制的原理和特点,描述了基于角色的访问控制技术,分析了RBAC96模型、ARBAC97模型以及最近提出的NIST RBAC建议标准的原理和特点。     

基于角色的访问权限控制在电力MIS中的应用

本文在研究RBAC访问控制模型的基础上,设计了一种应用于电力MIS系统的RBAC模型.在该模型的设计工程中,详细讨论了安全控制中的资源对象、权限划分与角色定义,并引入了组织结构、业务流程和子任务等概念对RABC基本模型进行扩展.根据电力企业的组织结构,建立了电力MIS软件的权限划分方法,并设计了访问控制数据库的结构.通过调用存储过程对安全信息库进行操作,实现了系统资源的安全访问,并完成了基于RBAC的管理软件的设计.     

基于角色的电力SCADA系统多区域权限访问控制模型设计

针对电网调控一体化条件下权限访问控制过于复杂的问题,分析了传统的自主访问控制方法、强制访问控制方法和基于角色的访问控制方法的不足,基于目前的SCADA系统,提出一种多区域权限管理模型。该模型以角色访问控制模型为基础,引入责任区的概念,把权限拆分为区域权限与公共服务权限,使得权限能够基于责任区进行分流,并根据调度人员生产和管理的要需,划分不同的调度职责范围,在不同责任区内分配不同权限,满足现代SCADA系统根据区域进行权限差异化管理的需求,有效避免了跨管辖范围误操作。项目实践验证了该模型的有效性和可靠性。     

基于信任度的RBAC授权模型研究

针对在线服务的不断发展,不少机构和企业拥有非常庞大的用户数量,应用传统RBAC模型为用户赋予角色以及维护用户角色是一项繁重且易错的任务这一客观事实,提出了基于模糊理论、利用综合评判方法的RBAC授权模型来指派用户角色,从而为web访问控制提供了一种新的方法.     

基于RBAC模型的电力营销系统用户权限分配方法

为了提高电力营销系统用户访问控制效果,提出基于RBAC模型的电力营销系统用户权限分配方法。利用信任度属性扩展访问策略表达式,通过监控用户的访问行为,获得电力营销系统信息资源的全局信任度,控制访问权限;根据访问权限控制结果,在分析自主型访问控制模型和强制型访问控制模型的基础上,基于RBAC模型,引入角色的概念,通过量化计算用户中不同的访问行为在分配权限时彼此的信任度,获取用户权限访问等级,完成电力营销系统用户权限分配。实验结果表明,所提方法的电力营销系统用户访问权限控制时间较短,用户权限分配误差率较低,提高了用户满意程度。     

基于任务和角色的工作流权限控制研究与实现

结合国家电网ERP工作流项目的实际情况,分析了几种常见的访问控制模型在工作流权限控制中的不足,以及基于任务和角色的访问控制模型在实现权限动态管理方面的优势。并以项目模块工程付款流程为例,阐述了SAP客户化工作流的开发过程,以及基于任务和角色的访问控制在ERP工作流中的具体应用,最后介绍了本项目中工作流待办的展现方式。实践证明基于任务和角色的访问控制能够有效地实现权限的动态管理,较好地满足ERP工作流权限控制的需要。     

RBAC模型在电力信息系统中的应用探讨

根据信息系统中关于访问控制的安全问题，介绍了美国国家标准与技术局NIST发布的基于角色的访问控制RBAC标准中的RBAC参考模型及RBAC系统和管理规范。在对电力信息系统访问控制的安全需求进行分析的基础上提出了在电力信息系统中使用RBAC参考模型值得注意的事项供探讨。     

电力工作流中基于组织与任务的访问控制模型

传统的基于角色的访问控制应用于电力工作流系统中能大大简化用户的权限管理。然而，仅使用角色的概念不足以反映企业的组织结构，而且不能为任务指定组织单元，角色之间的权限继承关系与电力工作流应用实际不相符，静态的访问控制约束不能满足电力工作流的动态需求。因此，提出了一种基于组织和任务的访问控制模型。该模型去除了角色之间的权限继承关系，引入组织单元和任务的概念，将任务分为普通任务和专门任务，普通任务分配到组织单元，可以被继承，专门任务分配到组织单元中的角色，不能被继承，再将权限分配给任务，用户通过分配组织单元中的角色或组织单元来获得执行任务的权限。结合提出的模型，通过给每个任务定义黑名单数据结构，给出了一种动态的访问控制算法。最后以变电站设备检修工作流为例给出了具体的动态访问控制设计，实例表明该模型和算法可以实现动态的权责分离及权责绑定约束。     

角色访问控制模型在两票管理系统中的应用

在电力调度检修票和操作票(简称两票)系统中,设计了许多功能和流程,一个用户具有多个权限,一个权限也需要授予多个用户。文中在电力调度两票管理系统中引入基于角色的访问控制(RBAC)模型,其基本特征是根据安全策略划分出不同的角色,对于每个角色分配不同的权限,并为用户指派不同的角色,用户通过角色间接地对信息资源进行许可的相应操作,使得对用户的管理更直观,在很大程度上简化了权限管理工作。     

电力调度自动化系统中基于可信度的访问控制模型

针对电力调度自动化系统对访问控制的要求和基于角色的访问控制模型存在的缺陷,提出了一种基于可信度的角色访问控制模型。将用户身份可信与行为可信相结合,根据用户身份认证过程中捕获到的隐含信息,借助人工智能不确定性推理理论计算用户的可信度,并将可信度参与用户授权。对角色、权限分别设置可信度激活阈值,用户必须通过角色、权限的可信激活约束才能获得相应的权限。该模型能实现灵活的系统授权,保证了用户对系统资源安全访问,很好地适用于现有的电力调度自动化系统。     

基于角色的电力信息系统数据安全设计

根据电力企业的特点,系统分析了信息共享与数据安全的重要性,提出了基于 RBAC(Role-Based policies AccessControl)模型的权限管理体系设计方案,并详细分析了该方案在三层 C/S 结构下的实现方法。     

基于工作流任务实例变迁的动态访问控制模型

在研究工作流已有安全策略的基础上,提出了基于工作流任务实例变迁的动态访问控制模型,通过角色执行工作流任务实例,并结合工作流任务上下文内容确定任务实例所处的不同状态,动态地将任务权限传递给执行角色,用户通过角色分配自动拥有执行角色的访问权限,实现了对工作流的动态安全访问。同时,对模型的动态访问控制机制进行了形式化描述,并结合电力系统工作流给出了具体的动态访问控制设计。     

软件总线系统中基于角色的权限管理

简要介绍了软件总线的概念以及基于角色的访问控制模型,并在此基础上提出了一套在软件总线系统中基于角色的权限管理应用模型。     

基于角色和任务的工作流权限管理模型在甘肃电力绩效考核系统中的应用研究

工作流权限管理模型的权限控制是工作流的重要因素。对传统的访问控制权限进行改进,在基于角色和任务的工作流权限管理模型中将任务与组织部门、时间进行关联,为工作流的权限管理提出一种新的思路。最后将该模型应用到甘肃电力绩效考核系统中,实现了用户权限动态分配的设计模式。     

基于工作流任务实例变迁的动态访问控制模型

在研究工作流已有安全策略的基础上，提出了基于工作流任务实例变迁的动态访问控制模型，通过角色执行工作流任务实例，并结合工作流任务上下文内容确定任务实例所处的不同状态，动态地将任务权限传递给执行角色，用户通过角色分配自动拥有执行角色的访问权限，实现了对工作流的动态安全访问。同时，对模型的动态访问控制机制进行了形式化描述，并结合电力系统工作流给出了具体的动态访问控制设计。     

基于角色访问控制在电力监控系统中的应用

针对电力监控系统对访问控制的要求,比较了几种常见的访问控制策略,提出了一种基于角色访问控制的电力监控系统访问控制策略.文中介绍了基于角色访问控制的基本概念及其特点和优势,分析了电力监控系统体系结构并建立了其资源模型,在此基础上设计了电力监控系统中的资源管理与访问控制,形成了完整的访问控制策略.该策略细化了资源的粒度,提高了资源管理的效率,简化了用户权限管理,提高了电力监控系统的安全性和可靠性.     

综合监控系统权限管理的研究及应用

针对轨道交通综合监控系统庞大复杂的特性和两级管理三地控制的需求,提出一整套权限管理的解决方案,包括多现场多责任区的访问控制策略,用户Ｇ角色Ｇ权限为核心的权限管理模型及基于实时库互斥锁的权限移交机制等.该方案已在重庆市轨道交通环线综合监控系统中实际应用,对于轨道交通类似工程具有一定的借鉴意义。     

基于PKI/PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。     

基于PKI/PMI的变电站自动化系统访问安全管理

随着信息技术的发展，电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求，其中有关智能电子设备（IED）的访问安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现IED的访问安全，而公钥基础设施/权限管理基础设施（PKI/PMI）体制正在电力系统企业中广泛推行，通过设计专用的认证访问处理模块实现二者的有机结合，采用基于角色的访问控制（RBAC）模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析，证明该系统能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应用系统统一管理的实际需要，相关的密码算法遵循国家密码管理局的商用密码管理条例，设计内容既符合国际标准的发展方向，为电力系统通信安全标准的制定提供了参考，又能满足国家对信息安全方面的特殊要求。