隨著《中華人民共和國網(wǎng)絡安全法》的正式實施，我國網(wǎng)絡安全等級保護制度正式進入“2.0”時代。依據(jù)《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019），第三級以上的等級保護對象應實現(xiàn)基于安全標記的訪問控制機制（LBAC），本文基于數(shù)據(jù)分類分級探索了一種在業(yè)務應用系統(tǒng)中實現(xiàn)LBAC機制的技術思路，供大家參考。
1. 基本概念
  基于安全標記的訪問控制機制具有以下特性：
  （1）以安全標記為基礎，訪問許可是根據(jù)訪問主體和被訪問數(shù)據(jù)資源的安全標記進行判定；
  （2）強制性，訪問控制策略（含安全標記）應由授權主體配置，且第四級明確提出了強制訪問控制規(guī)則的要求，明顯區(qū)別于自主訪問控制機制（DAC）；
  （3）細粒度，訪問控制策略對主體和客體的粒度有明確的要求。
2. 總體思路
  本文采取基于角色的訪問控制機制（RBAC）和LBAC機制訪問相結合的方法，來實現(xiàn)一種面向數(shù)據(jù)資源的業(yè)務應用系統(tǒng)合規(guī)方案。其中，RBAC機制負責控制功能層面的權限，LBAC機制負責控制數(shù)據(jù)層面的安全，兩者相結合來保障業(yè)務數(shù)據(jù)安全。
  為方便描述，將業(yè)務應用系統(tǒng)簡化為RBAC權限認證模塊、LBAC控制模塊、業(yè)務功能模塊和數(shù)據(jù)存儲模塊4個部分（如圖1所示），具體流程如下：
  1）用戶通過客戶端訪問業(yè)務系統(tǒng)，通過RBAC模塊進行功能層面認證、授權。
  2）業(yè)務功能模塊接收到用戶請求后調用強制訪問控制模塊進行數(shù)據(jù)權限校驗。
  3）RBAC控制模塊對業(yè)務請求進行解析獲取主體用戶信息及所請求的業(yè)務數(shù)據(jù)信息，并通過強制訪問控制策略判定用戶請求是否合法。如果不合法直接返回權限校驗不通過的信息。
  4）RBAC控制模塊判定數(shù)據(jù)權限通過后，業(yè)務功能模塊調用數(shù)據(jù)存儲模塊接口獲取數(shù)據(jù)，邏輯運算后返回業(yè)務結果。
3. LBAC模塊構建
3.1 構建數(shù)據(jù)安全標記
在構建安全標記時，可以依據(jù)等級保護對象的定級結果對業(yè)務應用系統(tǒng)的數(shù)據(jù)資源進行梳理（如下表所示），并將數(shù)據(jù)資源的分類（業(yè)務范圍）、分級（業(yè)務信息安全保護等級）結果作為數(shù)據(jù)安全標記。
3.2 構建用戶安全標記
梳理業(yè)務應用系統(tǒng)的用戶職責及工作流，按照日常業(yè)務所需為用戶打上安全標記（如下表所示），并將用戶標識與對應的用戶安全標記數(shù)據(jù)存儲在用戶標簽表中。其中，用戶安全標記也包含業(yè)務范圍和業(yè)務信息安全保護等級兩個要素，其含義與數(shù)據(jù)安全標記保持一致。
數(shù)據(jù)資源梳理完成后，將安全標記數(shù)據(jù)存儲到數(shù)據(jù)庫中的數(shù)據(jù)標簽表中，該表用于存儲數(shù)據(jù)資源的基本信息以及對應的數(shù)據(jù)安全標記。

3.3 構建訪問策略
  依據(jù)用戶及數(shù)據(jù)資源的安全標記梳理結果初步構建用戶安全標記與數(shù)據(jù)安全標記的映射關系，并將策略結果存儲到數(shù)據(jù)庫中訪問控制策略表。以表2為例，業(yè)務員張三具有業(yè)務范圍A的業(yè)務信息安全保護等級1~3級的數(shù)據(jù)訪問權限，具有業(yè)務范圍B的業(yè)務信息安全保護等級1~4級的數(shù)據(jù)訪問權限。
3.4 實現(xiàn)訪問控制機制
  以J2EE框架的應用為例，為了最小化的對業(yè)務邏輯的侵占，可以利用java注解和AOP的方式實現(xiàn)強制訪問控制。首先，Controller層打上業(yè)務數(shù)據(jù)的注解，注解記錄需要用到的數(shù)據(jù)庫表名。其次，實現(xiàn)框架的AOP切面接口對Controller層的調用進行攔截，解析請求獲取用戶角色信息，同時利用反射機制獲取表名信息。最后，通過關聯(lián)查詢數(shù)據(jù)庫中的強制訪問控制策略表，數(shù)據(jù)標簽表和用戶標簽表來判斷用戶是否具備訪問對應數(shù)據(jù)表的權限。
4. 結束語
  在前面描述的實現(xiàn)方案基礎上，可以進一步優(yōu)化實現(xiàn)動態(tài)強制訪問控制。如，利用用戶和實體行為分析系統(tǒng)（UEBA）對業(yè)務用戶行為進行風險評估，依據(jù)評估結果及時動態(tài)調整主體用戶的安全標記和訪問控制策略；或接入數(shù)據(jù)防泄漏系統(tǒng)（DLP），參照DLP分析結果對數(shù)據(jù)安全標記動態(tài)調整以符合組織實際數(shù)據(jù)安全訴求；或接入環(huán)境感知系統(tǒng)，對業(yè)務用戶使用的客戶端環(huán)境進行全面檢測評估，參照評估結果動態(tài)調整用戶的訪問控制策略。