公安業(yè)務(wù)應(yīng)用系統(tǒng)的管理_第1頁
公安業(yè)務(wù)應(yīng)用系統(tǒng)的管理_第2頁
公安業(yè)務(wù)應(yīng)用系統(tǒng)的管理_第3頁
公安業(yè)務(wù)應(yīng)用系統(tǒng)的管理_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

公安業(yè)務(wù)應(yīng)用系統(tǒng)的管理

0提高信息化建設(shè)質(zhì)量經(jīng)過多年的信息建設(shè),上海公共安全系統(tǒng)建立了大量成熟的應(yīng)用系統(tǒng),其應(yīng)用范圍覆蓋了上海公共安全的大部分所有公司。基于公安數(shù)字身份證書的集中授權(quán)平臺的建設(shè)不僅可以改善信息孤島的問題,也將促進公安行業(yè)信息系統(tǒng)建設(shè)、業(yè)務(wù)流程整合等方面的改革,從整體上提高信息化建設(shè)的質(zhì)量,適應(yīng)社會經(jīng)濟快速發(fā)展對公安信息化的需求。這在當(dāng)前公安信息化建設(shè)與發(fā)展中有著十分重要的意義。1授權(quán)規(guī)則的構(gòu)成基于PKI/PMI的規(guī)范的安全認(rèn)證模型如圖1所示。(1)用戶向訪問控制接口提交自己的數(shù)字證書,并提出訪問;(2)接口請求驗證服務(wù)器驗證用戶的身份和權(quán)限;(3)驗證服務(wù)器調(diào)用PKI系統(tǒng),PKI利用數(shù)字證書進行用戶的身份認(rèn)證,如果不能通過身份驗證,則為非法用戶,拒絕進入系統(tǒng);(4)通過身份認(rèn)證后,驗證服務(wù)器調(diào)用PMI系統(tǒng),PMI利用屬性證書進行用戶權(quán)限的驗證,如果通過權(quán)限驗證可以進入應(yīng)用系統(tǒng),系統(tǒng)響應(yīng)用戶請求,否則不能訪問應(yīng)用系統(tǒng)。模型的主要元素:(1)可視化授權(quán)策略生成器:可用來定義、維護和查詢滿足用戶需求的任何類型的授權(quán)策略。定義后的策略轉(zhuǎn)化成可被授權(quán)決策引擎處理的授權(quán)規(guī)則存放數(shù)據(jù)庫中。(2)授權(quán)語言控制臺:管理員用于指定授權(quán)規(guī)則,作用類似于可視化策略生成器,方便管理員更快更方便的制定授權(quán)規(guī)則。(3)用戶、組、角色管理模塊:管理用戶、組合角色之間的關(guān)系,包括分配角色給用戶、添加刪除組內(nèi)用戶、角色間的繼承關(guān)系等等。(4)API接口:用于授權(quán)和訪問控制的接口,分為兩類:授權(quán)管理API和授權(quán)引擎API。授權(quán)管理API用于為用戶和組設(shè)置權(quán)限。授權(quán)引擎API主要用于控制用戶對資源的訪問。(5)授權(quán)決策引擎:主要用于判斷是否允許主體(包括用戶、進程、應(yīng)用等)發(fā)送的訪問請求。授權(quán)決策引擎從文本文件、分布式授權(quán)服務(wù)器或用戶提供的證書獲取所有與該請求相關(guān)的訪問策略,并根據(jù)這些策略做出決策。引擎還包括權(quán)限沖突的檢測和解決。(6)授權(quán)語言解釋器:用于對客戶端生成的授權(quán)語句的解釋處理,然后存儲到授權(quán)規(guī)則數(shù)據(jù)庫中。(7)數(shù)據(jù)庫:保存成員信息、授權(quán)規(guī)則、歷史訪問信息等,用于授權(quán)決策的判定。(8)主體:主體的類型有多種,包括但不僅限于用戶、應(yīng)用、主機、任意一個人、機構(gòu)、進程等。(9)客體:訪問控制的目的是保護客體免于非授權(quán)的訪問。受保護的客體種類對應(yīng)用來說是特定的,不包含在授權(quán)模型內(nèi)。需要保護的客體包含但不僅限于:數(shù)據(jù)庫數(shù)據(jù)、文件、目錄、網(wǎng)絡(luò)連接、主機、外設(shè)等實體。客體名稱應(yīng)該從應(yīng)用特定的命名域中提取得到,而且對授權(quán)機制來說必須是明確的。(10)策略語言:與客體相關(guān)的策略包括一個允許的操作集合、一個允許的主體集合和一個可選的操作約束。定義一個策略必須包括:訪問標(biāo)志、授予者標(biāo)志、訪問權(quán)限集合、條件集合。策略語言表示了一個設(shè)置了條件的符號序列。(11)條件的設(shè)置:條件的設(shè)置分為一般的和特殊的,一般的條件可在訪問控制API中判定;特殊的條件是依賴于應(yīng)用的,由應(yīng)用來判定。一般的條件有:(1)訪問允許的時間或時間間隔。(2)主體的位置。權(quán)限被授予某些特定的主機、域或網(wǎng)絡(luò)上的主體。(3)信息保護。設(shè)置如何保護信息的機密性和完整性。(4)權(quán)限約束:一般,一個主體可能屬于多個組,該主體除了自己單獨的權(quán)限意外,還缺省的擁有他所屬組的所有權(quán)限。在分配權(quán)限時,可以選擇:A、一次只有一個組的權(quán)限。B、一次可以有特定幾個組的權(quán)限。(12)一般授權(quán)和訪問API(1)授權(quán)管理API:提供必要的訪問對授權(quán)相關(guān)的主體執(zhí)行管理功能,也可以用于實現(xiàn)認(rèn)證功能。主要的操作包括:增加或刪除用戶、增加或刪除機構(gòu)和增加或刪除應(yīng)用。(2)權(quán)限引擎API:主要包含兩個功能:一是檢查某個特定用戶是否被授予特定的操作集合;二是檢索特定用戶所授予的操作集合。2各系統(tǒng)接入方案從調(diào)研的各個應(yīng)用系統(tǒng)統(tǒng)計分析來看,它們都是面向上海市公安各個部門的警員用戶或與公安密切相關(guān)的用戶,用戶群體比較固定;組織機構(gòu)也相對一致。采用統(tǒng)一的基礎(chǔ)信息庫管理用戶和機構(gòu)信息,并通過同步的方式分發(fā)給各個應(yīng)用系統(tǒng)使用可以有效的解決用戶信息無法統(tǒng)一、信息重復(fù)、身份不一致、應(yīng)用系統(tǒng)無法整合、系統(tǒng)安全性差、用戶操作復(fù)雜、維護難度大等問題值。系統(tǒng)整體接入對策如圖2。(1)應(yīng)用正式開通前,需要到統(tǒng)一信息集中授權(quán)管理平臺進行注冊,并約定需要同步的機構(gòu)、用戶信息域。(2)統(tǒng)一信息集中授權(quán)管理平臺將人員機構(gòu)信息定時通過不同的適配器同步給各個應(yīng)用系統(tǒng)。(3)終端用戶通過SSL認(rèn)證網(wǎng)關(guān)進行身份驗證和屬性獲取,并提交到應(yīng)用服務(wù)器進行權(quán)限驗證。3關(guān)鍵技術(shù)3.1應(yīng)用系統(tǒng)機構(gòu)的功能基礎(chǔ)信息庫按結(jié)構(gòu)層次可分為展現(xiàn)層、應(yīng)用層和數(shù)據(jù)層,其中展現(xiàn)層主要是基礎(chǔ)信息管理UI,應(yīng)用層主要有組織機構(gòu)信息管理、人員信息管理、應(yīng)用系統(tǒng)信息管理、同步管理和服務(wù)管理等模塊(如圖3)。人員信息管理:實現(xiàn)應(yīng)用系統(tǒng)人員的整個生命周期的管理,對于人員的入職、調(diào)動、兼職、離職等過程中的用戶身份的信息操作管理。組織機構(gòu)信息管理:實現(xiàn)應(yīng)用系統(tǒng)機構(gòu)的整個生命周期的管理,對于機構(gòu)的創(chuàng)建、調(diào)整、拆分、合并等過程中機構(gòu)信息操作管理。應(yīng)用系統(tǒng)管理:在權(quán)威基礎(chǔ)信息庫注冊需要管理的應(yīng)用系統(tǒng)的信息;同時在應(yīng)用系統(tǒng)中注冊相應(yīng)服務(wù),以實現(xiàn)數(shù)據(jù)同步。應(yīng)用系統(tǒng)管理包括應(yīng)用系統(tǒng)注冊(應(yīng)用系統(tǒng)的注冊、審批、信息修改和注銷等生命流程)和應(yīng)用系統(tǒng)服務(wù)管理(應(yīng)用系統(tǒng)同步服務(wù)接口地址的注冊、修改和注銷)。授權(quán)管理:將各個應(yīng)用系統(tǒng)的角色授予對應(yīng)的人員,并記錄授權(quán)的歷史軌跡。主要包括授權(quán)、凍結(jié)授權(quán)、解凍授權(quán)、臨時授權(quán)、撤銷授權(quán)等過程中授權(quán)信息操作管理。服務(wù)管理:管理向外提供的服務(wù),如向外提供用戶信息修改、應(yīng)用系統(tǒng)注冊等接口。3.2統(tǒng)一信息集中授權(quán)平臺的數(shù)據(jù)同步設(shè)計數(shù)據(jù)同步服務(wù)用于基礎(chǔ)信息庫和各個應(yīng)用系統(tǒng)之間的數(shù)據(jù)交互,主要完成將基礎(chǔ)信息庫的數(shù)據(jù)同步到其它系統(tǒng)中(圖4)。統(tǒng)一信息集中授權(quán)平臺的數(shù)據(jù)同步設(shè)計思路是統(tǒng)一信息集中授權(quán)平臺對應(yīng)用系統(tǒng)開放數(shù)據(jù)接口,向應(yīng)用系統(tǒng)發(fā)布更新命令,應(yīng)用系統(tǒng)自行更新用戶、組織機構(gòu)等數(shù)據(jù)。平臺以XML文檔的形式開放用戶、組織機構(gòu)、用戶擁有角色信息的數(shù)據(jù)接口,平臺通過http協(xié)議向應(yīng)用系統(tǒng)的數(shù)據(jù)同步程序發(fā)布同步指令,數(shù)據(jù)同步程序通過平臺的數(shù)據(jù)接口讀取并更新數(shù)據(jù)。4公安信

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論