隨著《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施，我國網(wǎng)絡(luò)安全等級保護(hù)制度正式進(jìn)入“2.0”時代。依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239—2019），第三級以上的等級保護(hù)對象應(yīng)實現(xiàn)基于安全標(biāo)記的訪問控制機(jī)制（LBAC），本文基于數(shù)據(jù)分類分級探索了一種在業(yè)務(wù)應(yīng)用系統(tǒng)中實現(xiàn)LBAC機(jī)制的技術(shù)思路，供大家參考。
1. 基本概念
  基于安全標(biāo)記的訪問控制機(jī)制具有以下特性：
  （1）以安全標(biāo)記為基礎(chǔ)，訪問許可是根據(jù)訪問主體和被訪問數(shù)據(jù)資源的安全標(biāo)記進(jìn)行判定；
  （2）強(qiáng)制性，訪問控制策略（含安全標(biāo)記）應(yīng)由授權(quán)主體配置，且第四級明確提出了強(qiáng)制訪問控制規(guī)則的要求，明顯區(qū)別于自主訪問控制機(jī)制（DAC）；
  （3）細(xì)粒度，訪問控制策略對主體和客體的粒度有明確的要求。
2. 總體思路
  本文采取基于角色的訪問控制機(jī)制（RBAC）和LBAC機(jī)制訪問相結(jié)合的方法，來實現(xiàn)一種面向數(shù)據(jù)資源的業(yè)務(wù)應(yīng)用系統(tǒng)合規(guī)方案。其中，RBAC機(jī)制負(fù)責(zé)控制功能層面的權(quán)限，LBAC機(jī)制負(fù)責(zé)控制數(shù)據(jù)層面的安全，兩者相結(jié)合來保障業(yè)務(wù)數(shù)據(jù)安全。
  為方便描述，將業(yè)務(wù)應(yīng)用系統(tǒng)簡化為RBAC權(quán)限認(rèn)證模塊、LBAC控制模塊、業(yè)務(wù)功能模塊和數(shù)據(jù)存儲模塊4個部分（如圖1所示），具體流程如下：
  1）用戶通過客戶端訪問業(yè)務(wù)系統(tǒng)，通過RBAC模塊進(jìn)行功能層面認(rèn)證、授權(quán)。
  2）業(yè)務(wù)功能模塊接收到用戶請求后調(diào)用強(qiáng)制訪問控制模塊進(jìn)行數(shù)據(jù)權(quán)限校驗。
  3）RBAC控制模塊對業(yè)務(wù)請求進(jìn)行解析獲取主體用戶信息及所請求的業(yè)務(wù)數(shù)據(jù)信息，并通過強(qiáng)制訪問控制策略判定用戶請求是否合法。如果不合法直接返回權(quán)限校驗不通過的信息。
  4）RBAC控制模塊判定數(shù)據(jù)權(quán)限通過后，業(yè)務(wù)功能模塊調(diào)用數(shù)據(jù)存儲模塊接口獲取數(shù)據(jù)，邏輯運算后返回業(yè)務(wù)結(jié)果。
3. LBAC模塊構(gòu)建
3.1 構(gòu)建數(shù)據(jù)安全標(biāo)記
在構(gòu)建安全標(biāo)記時，可以依據(jù)等級保護(hù)對象的定級結(jié)果對業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)資源進(jìn)行梳理（如下表所示），并將數(shù)據(jù)資源的分類（業(yè)務(wù)范圍）、分級（業(yè)務(wù)信息安全保護(hù)等級）結(jié)果作為數(shù)據(jù)安全標(biāo)記。
3.2 構(gòu)建用戶安全標(biāo)記
梳理業(yè)務(wù)應(yīng)用系統(tǒng)的用戶職責(zé)及工作流，按照日常業(yè)務(wù)所需為用戶打上安全標(biāo)記（如下表所示），并將用戶標(biāo)識與對應(yīng)的用戶安全標(biāo)記數(shù)據(jù)存儲在用戶標(biāo)簽表中。其中，用戶安全標(biāo)記也包含業(yè)務(wù)范圍和業(yè)務(wù)信息安全保護(hù)等級兩個要素，其含義與數(shù)據(jù)安全標(biāo)記保持一致。
數(shù)據(jù)資源梳理完成后，將安全標(biāo)記數(shù)據(jù)存儲到數(shù)據(jù)庫中的數(shù)據(jù)標(biāo)簽表中，該表用于存儲數(shù)據(jù)資源的基本信息以及對應(yīng)的數(shù)據(jù)安全標(biāo)記。

3.3 構(gòu)建訪問策略
  依據(jù)用戶及數(shù)據(jù)資源的安全標(biāo)記梳理結(jié)果初步構(gòu)建用戶安全標(biāo)記與數(shù)據(jù)安全標(biāo)記的映射關(guān)系，并將策略結(jié)果存儲到數(shù)據(jù)庫中訪問控制策略表。以表2為例，業(yè)務(wù)員張三具有業(yè)務(wù)范圍A的業(yè)務(wù)信息安全保護(hù)等級1~3級的數(shù)據(jù)訪問權(quán)限，具有業(yè)務(wù)范圍B的業(yè)務(wù)信息安全保護(hù)等級1~4級的數(shù)據(jù)訪問權(quán)限。
3.4 實現(xiàn)訪問控制機(jī)制
  以J2EE框架的應(yīng)用為例，為了最小化的對業(yè)務(wù)邏輯的侵占，可以利用java注解和AOP的方式實現(xiàn)強(qiáng)制訪問控制。首先，Controller層打上業(yè)務(wù)數(shù)據(jù)的注解，注解記錄需要用到的數(shù)據(jù)庫表名。其次，實現(xiàn)框架的AOP切面接口對Controller層的調(diào)用進(jìn)行攔截，解析請求獲取用戶角色信息，同時利用反射機(jī)制獲取表名信息。最后，通過關(guān)聯(lián)查詢數(shù)據(jù)庫中的強(qiáng)制訪問控制策略表，數(shù)據(jù)標(biāo)簽表和用戶標(biāo)簽表來判斷用戶是否具備訪問對應(yīng)數(shù)據(jù)表的權(quán)限。
4. 結(jié)束語
  在前面描述的實現(xiàn)方案基礎(chǔ)上，可以進(jìn)一步優(yōu)化實現(xiàn)動態(tài)強(qiáng)制訪問控制。如，利用用戶和實體行為分析系統(tǒng)（UEBA）對業(yè)務(wù)用戶行為進(jìn)行風(fēng)險評估，依據(jù)評估結(jié)果及時動態(tài)調(diào)整主體用戶的安全標(biāo)記和訪問控制策略；或接入數(shù)據(jù)防泄漏系統(tǒng)（DLP），參照DLP分析結(jié)果對數(shù)據(jù)安全標(biāo)記動態(tài)調(diào)整以符合組織實際數(shù)據(jù)安全訴求；或接入環(huán)境感知系統(tǒng)，對業(yè)務(wù)用戶使用的客戶端環(huán)境進(jìn)行全面檢測評估，參照評估結(jié)果動態(tài)調(diào)整用戶的訪問控制策略。