角色访问控制的安全风险及其防范

摘要：计算机技术已经成为企业经营管理的必备技术，其通过创建自动化的办公模式为企业创造了有利的管理条件。考虑到计算机自身存在的风险问题，企业在设计办公自动化模式的同时也要注重安全风险的防范。本文分析了角色访问控制下的安全风险及防范措施。

关键词：角色访问；安全风险；防范；分析

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Role Based Access Control Security Risk and its Prevention

Chen Fang

(Suzhou College of Information Technology,Wujiang215200,China)

Abstract:Computer technology has become a business management essential technology,through establishing office automation model for enterprises to create favorable conditions for the management.Considering that the computer's own risks,enterprises in the design of office automation mode must also pay attention to the security risk prevention.This paper analyzed the role access control under the security risks and preventive measures.

Keywords:Role access;Security risk;Prevention;Analysis

为了保证计算机数据库的安全，企业在创建自动化办公系统时要对数据库访问权限进行设置，而基于角色的访问控制则是常用的访问控制模式。但从实际运用情况看，角色访问控制自身也存在诸多安全隐患，企业必须要制定严格的防范策略才能保证访问控制的有效运行。

一、角色访问控制的风险

随着企业经营规模的扩大改革，计算机办公自动化的作用更加明显。企业纷纷创建了计算机控制中心协调内部运作，对企业内部信息设置了权限访问，以免重要的商业信息被窃取而造成经济损失。角色访问控制是企业管理系统的主要构成，其主要是系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这种被授予“角色”的控制方法，能够为用户的计算机操作提供很大的方便，严格规定了操作系统的权限划分情况，避免企业企业系统运行错杂混乱。

基于角色的访问控制在运行期间也会遇到各种风险，给企业的办公自动化造成诸多阻碍。安全风险是导致角色访问控制失效的主要因素，对企业造成的经济损失较大。其安全风险主要表现为：权限盗用，部分用户私自盗用权限访问系统，对系统内部的信息随意调配使用；系统漏洞，计算机系统自身存在的漏洞造成后期管理混乱，容易引起企业计算机内部控制系统的错乱；人员失误，管理人员在控制系统时没有按照标准操作，给入侵者创造了攻击条件等等。

二、安全风险的防范措施

为了适应市场经济改革发展的需要，企业引进先进的计算机控制系统是不可缺少的。角色访问控制模式的推广提高了企业办公自动化水平，但对于角色权限的设置，企业在制定系统管理计划时要注重风险的防范。笔者认为，企业应从可持续发展角度考虑角色访问控制的风险控制。

（一）权限公平。市场经济体制改革后，企业在市场经营中面临的竞争问题更加严重，同行之间为了赚取更多的经济利益而开展全面竞争活动。企业在引进计算机控制系统后应合理划分权限，对每个管理人员给予一定的管理权，使其能积极参与到系统管理中，企业可根据实际控制需要分配权限。

（二）持续思想。计算机技术的运用是为了保证企业的持续发展。社会主义可持续发展观的核心要求在于发展的“持续性”，这是社会主义市场经济的最根本思想。企业不能盲目地引进角色访问控制模式，而是要将远光放长远。角色访问控制模式引进后，企业还有投入资金配备针对性的安全防御系统。

（三）效率思想。效率优先是我国大型企业创造盈利的基本条件，只有整体生产效率提升了，企业的产量、效率、收益才能稳步增长。因此，企业在经营管理期间要注重效益考核，对基于角色访问控制系统的操控严格管理。只有提升了角色访问控制的效率，才能加快企业内部建设。

三、结论

总之，基于角色访问控制系统的运用不仅维护了企业经营管理的有序进行，也是对内部信息安全管理的重要措施。企业在制定自动化管理模式的同时，应注重角色访问控制潜在的风险隐患。对于潜在的访问控制风险要提前防范，这样才能保证管理系统的高效运行，为企业创造更多的经济效益。

参考文献：

[1]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,2

[2]尹志兵,黄红明,熊桂喜.一种基于PMI的访问控制模型及其应用[J].计算机工程,2004,1

[3]董雅莉,邵秀丽,刘Z.面向任务,基于角色的工作流技术在CIMS中的应用[J].计算机应用,2002,10

[4]甘泉,贺也平,韩乃平.一种改进的基于角色的访问控制[J].计算机工程,2006,7

[5]刘洋,艾青,郭晓莉,秦玉平.基于访问控制的数据库安全模型比较研究[J].渤海大学学报(自然科学版),2006,4

[6]马文斌.基于角色的访问控制系统设计[J].同煤科技,2006,4

[作者简介]陈芳（1980-），女，江苏吴江人，讲师，本科，研究方向：计算机网络技术。