精华内容
下载资源
问答
  • 软件企业研发人员激励机制研究

    千次阅读 2015-04-02 14:32:11
    因此,如何对我国软件企业研发人员进行有效激励成为众多管理者关注的一个焦点,这其中由于研发人员个体差异性较,同样一套激励方案并非适用所有研发人员。研发人员在个人职业生命周期的不同阶段,其需求

    软件企业提高企业技术能力、增强竞争优势的一个关键环节是充分发挥研发人员的积极性和创造性。然而,许多软件企业往往缺乏对研发人员的有效激励,从而导致企业对研发人员的吸引力小,研发人员积极性低,最终造成人才大量流失。因此,如何对我国软件企业研发人员进行有效激励成为众多管理者关注的一个焦点,这其中由于研发人员个体差异性较大,同样一套激励方案并非适用所有研发人员。研发人员在个人职业生命周期的不同阶段,其需求的轻重层次是不同的,管理者应根据其不同的需求来设计合理的激励方式。

        一、研发人员职业生涯的阶段划分和激励要素 

        美国心理学家马斯洛将人类的需求由低到高划分为五个层次:生理需求,安全需求,情感需求,尊重需求,自我实现需求。并且人类这五个层次的需求具有以下特征:(1)需求的多样性。人类的需求是多种多样的,一个人在不同时期可有多种不同的需求,即使在同一时期,也存在着程度、作用不同的需求。(2)需求的层次性。马斯洛认为,支配人们行为的需求是由低级向高级发展的,当低层次的需求得到满足以后就会产生高层次的需求。马斯洛的需求层次理论对我们研究软件企业研发人员激励机制很有指导意义,软件企业研发人员不仅存在多种需求,而且在个人职业生涯不同阶段其需求也存在差异,表现在不同阶段的多种需求中总有一种或几种需求占支配或主导地位。鉴于此,本文针对软件企业研发人员在其职业生涯不同阶段的需求状况展开实证调研。通过对我国34家高新技术企业(主要是信息技术与计算机软件类企业)的220个研发人员进行了调研和统计性分析,获得了研发人员职业生涯阶段划分的实证结果以及研发人员激励要素变量的聚类分析结果。

          (一)研发人员职业生涯的阶段划分

        1.实现期。对激励和报酬感到满意,对目前的工作产生很高的满足感,可能发生在大学刚毕业,初选研发人员。但这时可能会导致向过渡期转化。

        2.过渡期。处于事业和个人发展的十字路口,并对未来职业发展方向正进行合适定位。例如,是继续从事研发工作,还是从事市场销售或公司行政工作。这可能发生在任何一个年龄阶段,可能导致向发展期或稳定期转化。

        3.发展期。已经明确选择了今后的职业发展方向,处于个人事业的发展初期,正在寻求和实现自我理想目标。

        4.稳定期。基本确定和实现了想要达到的成就水平,激励和报酬需要与个体成长保持一致,不再需要新的挑战。

    二)研发人员五大激励要素 

        在对研发人员职业生涯阶段划分的基础上,我们根据研发人员的特点,并综合理论与实践,将激励因素大致分为五大类:

        1.个人成长与发展。包括岗位培训、科研院所代培、新项目研发培训、学术交流等,企业提供与行政管理人员晋升相似的技术发展路线,使研发人员的潜能得到充分发挥。例如,建立与行政管理人员并行的技术等级晋升制度,提供创新基金给核心研发人员独立发展的空间。

        2.决策参与。给研发人员提供技术决策参与的权力和机会,管理者与研发人员之间能够进行平等的沟通、交流、协商。例如,企业在整合企业发展战略和研发人力资源管理战略上听取和采用研发人员意见;为研发人员提供参与企业战略计划的机会和条件;研发人员被其他职能部门人员视为企业管理的合作伙伴和变革的推动者。

        3.环境激励。提供有利于创造力发挥、相对自由的研发环境。例如,资源的柔性安排、提倡知识共享、鼓励研发创新和容忍失败、强化团队协同能力以及团队文化氛围、在企业战略和团队目标的约束边界下,研发人员能够高绩效地完成任务。

        4.产权激励。研发人员参与分享研发成果,主要以技术入股的形式分享企业创造的剩余价值。例如,给予研发人员一定的知识产权受益权、以作价入股方式分配企业股票和期权、给予研发人员企业年终盈余的分红权等等。

        5.薪酬激励。根据个人工作业绩,获得与之相称的物质报酬与奖励,薪酬激励包括当期物质奖励、奖金、工资、津贴以及各项货币性的福利安排等等。

    二、华为公司基于不同职业生涯阶段研发人员的激励

        为了获取研发人员职业生涯不同阶段激励策略的成功经验,本文在对以上研发人员职业生涯不同阶段划分和激励要素聚类的实证统计研究的基础之上,对华为技术有限公司进行个案研究。为了避免个人主观片面性的影响,本文从华为公司的不同研发部门,遴选出研发管理经验较深的研发小组组长、研发项目经理、研发部门主管、技术总监,资深程序员、系统分析师以及一些基层的代码编写人员、测试人员等共计50人,通过跟这些人的结构式访谈,从不同角度获取华为公司对研发人员的激励策略。在研究过程中,按研发人员职业生涯不同阶段分为四个阶段,在每一阶段中,分别让这50位被访对象根据自己所了解的公司激励策略状况,对五大激励要素按重要程度进行排序,分为:首选策略,次选策略,第一备选策略,第二备选策略,第三备选策略。在统计分析方面,针对职业生涯的每一个阶段,分别计算五大激励要素在五个序位策略中的百分比

          (一)华为公司第一阶段(实现期)的激励策略

        华为公司在研发人员实现期采用的激励策略为:首选策略是薪酬激励,次选策略是个人成长与发展,备选策略按重要程度由高到低分别为环境激励、决策参与、产权激励。

        研究中发现,华为公司处于实现期的研发人员绝大多数是刚毕业的大学生,他们往往偏重于以货币性薪酬的高低来衡量自身的价值与实力,并以此作为与其他同学攀比的惟一标尺。华为公司曾提出“高薪聘用优秀应届毕业生”的激励策略,计算机本科毕业生进入华为公司的每月基薪5500元,这在整个计算机行业中是开价最高的(这项政策从1999年开始,一直延续至今)。与之相比,东大阿尔派、创智科技、四川托普等中国大型软件企业的月基薪仅仅为2000元左右。

        除了薪酬激励作为首选激励策略之外,华为公司还为处在实现期的研发人员提供了有助于个人成长与发展的广泛的培训计划,以便为他们潜力的发挥作铺垫。为此,华为公司成为国内绝大多数重点大学电子信息与计算机专业优秀毕业生的首选单位。

          (二)华为公司第二阶段(过渡期)的激励策略 

        华为公司在研发人员过渡期采用的激励策略按重要程度和被采用的频次由高到低排序为:个人成长与发展、薪酬激励、环境激励、决策参与激励、产权激励。

        在华为公司处于过渡期阶段的研发人员一般正在考虑自身未来的发展方向,对于今后几年究竟是从事代码编写工作、安全测试、结构分析,还是从事系统设计、公司行政管理或市场开发与售后技术服务等工作,必须做出一个明确选择,并且接受相应的专业培训与指导。鉴于此,华为公司首选能够大力推动员工个人快速成长与发展的培训激励策略,派驻研发人员在美国硅谷、达拉斯、印度班加罗尔、瑞典斯德尔摩等地进行学习和培训,而且还建立了完善的华为认证培训体系,包括华为认证网络工程师、华为认证高级网络工程师、华为认证网络互联专家等。与此同时,华为还采用了带薪学习的激励策略,从而极大地调动了处在过渡期阶段研发人员的工作积极性与学习动力。国内的许多优秀软件人员因此“跳槽”加盟华为,以谋求更大的发展空间。

    (三)华为公司第三阶段(发展期)的激励策略

        华为公司在研发人员发展期采用的激励策略按重要程度和被采用的频次由高到低排序为:环境激励、个人成长与发展、决策参与策略、薪酬激励、产权激励。

        华为公司处在发展期阶段的研发人员基本上已经接受了相当完善的职业技术培训,他们具备完善的知识结构,掌握着企业当前的前沿性技术,但需要完善与之相配套的科研设备与条件,并且渴望公司能够鼓励他们开展风险型研发工作,并能容忍他们的失败,他们也希望通过职位晋升以求更大的个人成长与发展空间。鉴于此,华为公司首选能够快速孵化创新成果的环境设施激励策略,成立了“华为科技基金”,大力鼓励和引导发展期阶段的研发人员开展创业活动,而且还成立了技术等级晋升制度,保证处于“发展期”阶段的研发人员随着自身经验的增加,而不断地获得地位提升,并增配和优化工作设施与条件,从而不断拓展处于发展期阶段研发人员的个人成长与发展空间。华为公司正是通过创业与晋升激励这条“金枷锁”牢牢地锁定了大量优秀人才不外流。

          (四)华为公司第四阶段(稳定期)的激励策略

        华为公司在研发人员稳定期阶段采用的激励策略按重要程度和被采用的频次由高到低排序为:决策参与、环境激励、薪酬激励、个人成长与发展、产权激励。

        华为公司处在稳定期阶段的绝大多数研发人员已经晋升到了自己理想的岗位,基本上都承担着研发管理任务,如担任着研发部门经理、项目总监、技术总监、区域总裁、副总裁、首席指导师等职务。他们希望获得公司的尊重,同时他们不想受到过多的约束,凭一种原有的工作惯性去工作,喜欢弹性工作制以及工作自主。鉴于此,华为公司首先创造条件积极引导这些研发人员参与公司决策,曾经担任华为集团副总裁、人力资源总监的张建国先生曾谈到“让老员工参与公司决策将不再仅仅停留在单纯的激励问题上,它将为提高企业的竞争力以及全体员工的士气和对公司的归属意识,起着战略性的意义”。在对这些人的工作设施条件的改善方面,华为公司总裁任正非先生提出了“不敢花钱的干部不是好干部,花不了的要扣工资”,“省钱的不是好干部”等理念,这些均能充分反映华为“员工的收入一流,工作设施条件也是一流”的宗旨。
     
      三、实施研发人员激励策略的深层次成因探究 

          (一)个人成长与发展激励策略的成因分析

        1.全面的培训发展计划可激发研发人员工作兴趣,避免人才流失。


        通过对华为公司的激励策略分析发现,个人成长与发展这一激励策略在研发人员职业生涯的前三个阶段一直排在前三位,该策略对研发人员而言,主要包括两个方面内容——培训和晋升。根据人力资本理论,软件企业研发人力资本是指研发人员所拥有的知识与技能。这些知识与技能作为一种资本从战略上进行投资的主要方式是进行知识培训、技术指导。由于软件企业的技术和知识更新发展日新月异,对研发人员来说,积累、更新知识是保持一定可得价值的知识资本和竞争优势的惟一途径。

        在对全国范围的软件企业实证调研过程中发现,华为、四川托普、创智科技等优秀软件企业采用的研发培训方式多种多样,包括岗位培训、科研院所代培、新项目研发培训、学术交流,对于技术难度较大但具有超前性的开发项目,则可以请外部专家对全体研发人员进行培训。华为公司建立了自己的培训认证体系,四川托普建立了自己的信息技术学院。研究中发现,全面的培训发展计划可以激发研发人员的工作兴趣,提高研发人员的技能,交流研发信息可以增强研发人员的创新信心,有利于研发人员的全面发展和提高,从而形成对企业有利的纯技术激励。对于那些已取得一定成果,有潜力并希望进一步深造的处于职业生涯过渡期的研发人员,培训和技术指导是最重要的激励措施。这一措施既可以使外部知识内部化,又可以使这类员工今后更容易出成果。在调研我国计算机软件领域的研发人员时,他们普遍认为,决定是否“跳槽”的首要因素是学习培训环境的优劣,因为学习培训效果的好坏直接决定着员工个人研发绩效水平的高低,这一点也揭示了我国许多软件企业研发人员频繁流失的一个重要原因。

        2.建立与管理序列并行的技术等级晋升通道。

        资产专用性是指在不牺牲生产价值的条件下,资产可用于不同用途和由不同使用者利用的程度。资产专用性程度越高,这种资产被挪作它用时价值贬值越大。资产专用性理论认为,决定交易成本的主要因素是资产专用性。研发人员拥有的知识与技能是企业长期以来开展员工培训的成果,如果这些知识与技能不能被很好地用于企业的研发活动,比如,经验丰富的研发人员为了不断提高自身在企业中的地位与权力,转而从事企业行政管理工作,那么他们所拥有的知识与技能的价值将会迅速贬值,使得企业长期以来开展员工培训等的投资收益迅速减少,进而影响到企业研发绩效水平的提高。

        在对全国范围的软件企业实证调研过程中发现,有不少的软件企业只为员工设立了行政管理等级晋升制度,员工如果希望不断提升自己在组织中的地位和价值,就不得不进入管理阶层,通过拥有一定的权力和地位来获得组织的认知。这就导致了研发人员职业生涯中的“35岁现象”:一些很有才华的研发人员在过渡期(一般35岁左右开始)为了追求个人发展而放弃了自己的技术专长,成为一名行政管理阶层人员。这样一来,企业通过对他们的长期培训所创造的潜在价值迅速减少以至泯灭,进而影响到企业研发绩效水平的提高。

        为减少和避免此种情况的发生,国内许多大的软件企业,如四川托普、华为、东大阿尔派等都普遍建立了技术等级晋升制度,发展一种并行的职业结构、建立一种特殊角色结构,不断的实行技术职称晋升激励,以保证研发人员随着自身知识与经验的积累而获得相应的权力和地位。这些权力和地位包括:随着技术职务的晋升,将不断获得良好的工作环境,配置较好的研发设备和较齐全的资料;对那些技术能力强又有领导管理才能的研发人员委以重任;采用研发成果的署名制度,这样既可以让署名的研发人员得到科技界同行的认同而深受鼓舞,也可以对其他员工形成鞭策,有利于激发他们的工作热情。

          (二)薪酬激励策略的成因分析

        在对华为公司的个案研究中,薪酬激励是研发人员职业生涯实现期阶段的首选激励策略,随后三个阶段该策略的重要程度虽然在缓慢降低,但仍然是重要的激励手段。究其原因,由于我国软件业刚刚起步,软件业研发人员的总体薪酬水平与国外同比相差悬殊,与国内其他行业的收入水平同比虽然位居榜首,但其年均工资也仅仅43515元(广东省2004年的统计数据),这种收入水平在深圳与广州仅能解决基本生活花销问题。因此,无论是软件企业还是研发人员都非常重视以工资、奖金、津贴以及各项货币性的福利等牢固可靠、实实在在的现金激励途径。

        进一步的问卷调查表明,研发人员对短期激动手段(奖金、提成)比长期激励手段(股票期权、员工持股)具有明显的偏好,特别是在企业规模不大、企业发展前景不明显时对非核心研发人员更为凸显。

    (三)决策参与和环境激励策略的成因分析

        在对华为公司的研究中,决策参与和环境激励两种激励策略随着研发人员职业生涯的发展,其重要程度在不断上升,特别是对于处在稳定期的研发人员,这两种激励策略排在前两位。研发人员尤其是处在稳定期的核心研发人员作为软件企业的直接利益相关者,之所以关注参与企业战略决策的制定与实施,可从以下方面理解:

        第一,中国快速变化的竞争环境使得企业必须频繁地调整竞争战略,为保持核心竞争力,软件企业必须确保总体战略与自身的研发实力、技术战略保持高度一致。核心研发人员作为研发实力的承载者参加到企业战略决策的制定、实施、调整过程中来,必将增强它的可行性,进而有助于提高企业的研发绩效。

        第二,利益相关者理论认为,出资者单方面享有企业决策权的观点并不符合软件企业所有权结构发生变化的现实。非人力资本所有者与人力资本所有者及其他利益相关者共同分享企业决策权的制度安排,已经被很多企业尤其是高科技软件企业认可并付诸实施。这样,不仅可以实现企业与核心研发人员的“双边治理”,而且可以使核心研发人员愿意承担创新带来的风险,避免企业陷入“单边风险危机”之中,从而有助于提高软件企业的研发绩效。

        在对全国范围的软件企业调研中发现,不少企业在研发人员职业生涯的前两个阶段,能够将研发人员的货币性薪酬收入分级定等列入他们的工资报表之中,而且也起到了很大的激励作用。但是到了研发人员职业生涯的后两个阶段,因为各种原因,对核心研发人员许诺了许多,也划拨了许多,但在工资中就是体现不出来,这往往造成了核心研发人员离奇地“跳槽”。也就是说,你没有提拔他们的时候,他们作为员工还是兢兢业业地工作,但提拔了却反而逼着他们选择了“跳槽”。这不是这些核心研发人员出了问题,而是软件企业没有转换观念,仍然将这些核心研发人员视为企业的“打工仔”或者是“高级打工仔”,没有计划着让他们作为“双边治理”的重要一方参与到企业的决策中来。

        随着职业生涯的发展,研发人员各自的工作风格逐渐形成,自主工作意识也在逐渐增强,他们潜意识中抵制着各种严格程序化的制度和框架。鉴于此,华为公司有意识地为发展到了稳定期的研发人员提供各种优越的环境设施条件,例如提供各种资源的柔性安排和及时保障;在营造知识共享型团队文化的过程中,配套建立了企业内部知识产权认证和内部成果引用的制度性安排,充分尊重稳定期的元老型研发人员向资历浅的研发人员传授象征他们自身“权力与威望”的隐性技能与技巧;在相信这些研发人员的基础上,充分授权,给他们更大的自由度,让他们独立自主地做出相应决策,将他们推至工作流程前端,而管理者则将自己的角色转变为资源提供者和过程服务者。

          (四)产权激励策略的成因分析

        由对华为公司激励策略分析可知,产权激励无论在研发人员职业生涯发展的哪一个阶段,一直均被视为第三备选的激励策略,在对全国范围的软件企业实证调研中,我们也同样发现了这种现象。究其原因,主要表现在以下三个方面:

        第一,我国软件企业研发人员总体持股量少,比例低,零持股现象严重,不能产生有效的激励作用。调研中发现,不少软件企业研发人员的报酬结构不合理,形式单一,绝大多数研发人员的报酬是工资加奖金。

        第二,我国软件企业研发人员持股制度更多的是表现为一种福利安排,而不是一种激励安排。研发人员持股作为一种奖励,不是靠表现而是凭公司正式员工资格就可获得。而且他们所持有的股份绝大多数是技术股份,这些技术股份是在研发项目产出的一定年限后根据其收益增值的一定比例变现或转化为普通股份,研发人员在此之前离开企业,其所拥有的技术股权将自动作废。因此,导致拥有剩余索取权产生的激励效应荡然无存。

        第三,我国现行的有关员工持股(内部股)的法律法规不完善性致使我国软件企业研发人员持股处于一个十分僵硬而且是自我封闭的体系之中。

      四、结论

        软件企业在激励研发人员时,首先必须明确细分各大激励需求要素,包括个人成长与发展、工作环境、薪酬、决策参与、企业产权等激励要素。其次,根据研发人员职业生涯的实现期、过渡期、发展期、稳定期等四个不同阶段因地制宜地实施激励策略。在实现期,首先强化薪酬激励策略,以吸引和储备更多更优秀的大学毕业生,同时为他们提供较为充裕的岗前职业培训,以便推进他们尽早定位未来的职业发展方向。在过渡期,首先根据员工未来职业发展的不同方向,通过各种渠道和方式进一步展开广泛的岗位技能培训,同时保持较高的薪酬激励强度,为激发员工潜能创造优越的条件。在发展期,提供完善的技术等级晋升制度,确保研发人员随着自身知识技能和资历的不断累积,而持续提升优化他们的工作环境设施与条件。在稳定期,企业应该加强制度性激励,从企业产权的高度,实现企业与核心研发人员的“双边治理”,积极引导他们参与企业战略决策,通过多种方式使得核心研发人员实实在在地分享企业剩余的控制权与索取权。

    展开全文
  • 关注ITValue,查看企业级市场最新鲜、最具价值的报道!在经分的年代,数据仓库推倒重来了几遍,构建了很多的专题项目,经历了上万次取数,制作了成百上千的报表,但在支撑了当初的业务发展的同时,到底给如今的企业...

                                   关注ITValue,查看企业级市场最新鲜、最具价值的报道!



    在经分的年代,数据仓库推倒重来了几遍,构建了很多的专题项目,经历了上万次取数,制作了成百上千的报表,但在支撑了当初的业务发展的同时,到底给如今的企业留下了多少资产?

     

    也许是培养了一代又一代的数据人员,如今有的成为数据专家,有的转型业务人员,有的晋升为领导,有的离职踏上新的岗位,为企业服务的合作伙伴也由此获得快速成长,很多也成了庞然大物。

     

    但这个够吗?

     

    显然不够,但很多企业现有的数据历史底蕴就是这些了吧,老系统迟早要倒,新系统还是要建,但老系统的好基因却很难留下来,这一代的数据仓库与上一代数据仓库一般不能说是演进,而是重来,或者是靠着个人的经验撑起整片天,又如10年前笔者用逻辑回归实现的飞信潜在模型,现在只能到历史的PPT中去寻找其踪影了,反应了同样的道理。

     

    那么问题的核心在哪里?

     

    答案就是数据中台,今天就来谈一谈。

     

    广义的数据中台包括了数据技术,比如对海量数据进行采集、计算、存储、加工的一系列技术集合,对于大多企业,这些能力是能够买到的,因此无所谓积淀,要积淀大多也是别人的积淀,而不是企业的,当然自主研发的除外,比如阿里的ODPS等。

     

    笔者提的数据中台要更往上走,包括数据模型,算法服务,数据产品,数据管理等等,这些服务跟企业的业务有较强的关联性,是这个企业独有的且能复用的,比如企业自建的2000个基础模型,300个融合模型,5万个标签,这些就是笔者说的中台,它是企业业务和数据的沉淀,其不仅能降低重复建设,减少烟囱式协作的成本,也是差异化竞争优势所在。

     

    为什么数据中台如此重要呢,笔者概括大致有以下四个原因:

     

    1、回归服务的本质-数据重用

     

    今天的浙江移动已经将2000个基础模型作为所有数据服务开发的基础,这些基础模型做到了“书同文,车同轨”,无论应用的数据模型有多复杂,总是能溯源到2000张基础表,这奠定了数据核对和认知的基础,最大程度的避免了“重复数据抽取和维护带来的成本浪费。”

     

    曾经企业的数据抽取就有多份,报表一份,数据仓库一份,地市集市一份,无论是抽取压力、维护难度及数据一致性要求都很高。

     

    同时,统一的基础模型将相关业务领域的数据做了很好的汇聚,解决了数据互通的诉求,这点的意义巨大,谁都知道数据1+1>2的意思。

     

    2、数据中台需要不断的业务滋养

     

    在企业内,无论是专题、报表或取数,当前基本是烟囱式数据生产模式或者是项目制建设方式,必然导致数据知识得不到沉淀和持续发展,从而造成模型不能真正成为可重用的组件,无法支撑数据分析的快速响应和创新。

     

    究其原因是模型建设往往是项目式的建设方式,一旦项目结束,在面对业务提出更多需求时,项目模型团队可能已经撤离了,或者考核指标早已经随着项目结束,模型提供者在主观上没有太大的积极性去满足新的需求,如果当初模型的扩展性设计的不好,或者时间太紧,或者系统稳定的需要,往往导致有心无力满足新的需求,结果是数据模型无法再扩展,成为事实上稳定的但无用的模型。

     

    其实,业务最不需要的就是模型的稳定,一个数据模型如果一味追求稳定不变,一定程度就是故步自封,这样的做法必然导致其他的新的类似的数据模型产生,当越来越多的模型都采用自建的方式满足需求时,意味着老的数据模型就可能要离开历史舞台了,而留下的是割裂的成千上万的模型,也就失去了模型知识沉淀的可能,曾经做过一张几百个字段的万能宽表,由于太大后来就没人敢去动它,随着新的业务不断增加,这张宽表的价值却越来越低直至退出历史舞台。

     

    数据模型不需要“稳定”,而需要不断的滋养,只有在滋养中才能从最初的字段单一到逐渐成长为企业最为宝贵的模型资产。

     

    其实标签也一样,做过不少异动标签或离网模型,曾经效果不错,随着公司转型流量经营,原来以语音异动判断为主的这类标签开始难以适应变化,但后续已经没人能改得动它,这个标签也就退出了历史舞台,退出的可不仅仅是一个标签,这个标签承载的所有的既有经验也就被废弃掉了,想想这些标签当初花了多大的代价做成就会感觉非常可惜。

     

    再以报表为例,企业报表成千上万的原因往往也是没有沉淀造成的,针对一个业务报表,由于不同的业务人员提出的角度不同,会幻化出成百上千的报表,如果有报表中台的概念,就可以提出一些基准报表的原则,比如一个业务一张报表,已经有的业务报表只允许修改而不允许新增,自然老报表就会由于新的需求而不断完善,从而能演化成企业的基础报表目录,否则就是一堆报表的堆砌,后续的数据一致性问题层出不穷,管理成本急剧增加,人力投入越来越多,这样的事情在每个企业都在发生。

     

    3、数据中台是培育业务创新的土壤

     

    企业的数据创新一定要站在巨人的肩膀上,即从数据中台开始,不能总是从基础做起,数据中台是数据创新效率的保障。

     

    搞过机器学习的都知道,没有好的规整数据,数据准备的过程极其冗长,这也是数据仓库模型的一个核心价值所在,比如运营商中要获取3个月的ARPU数据,如果没有融合模型的支撑,得自己从账单一层层汇总及关联,速度可想而知。

     

    很多合作伙伴的数据科学家到一个企业水土不服,除了业务上不熟悉外,往往还面临着数据准备的困境,取数的高难度导致他难以快速的去验证想法,企业想借助外力去搞数据创新有时成了一厢情愿。

     

    标签也一样,企业打造标签可并不仅仅是做几个标签那么简单,它需要打造的是一个标签服务平台,要能最大限度的规范标签的格式,接入方式,组合方式,调用方式等等,只有这样,基于标签的二次快速创新才有可能,企业每发布一个新的标签,就意味着新增了一种能力,这才是数据知识的真正传承。

     

    比如当常驻地模型发布成为标签平台的一个标签后,以后凡是涉及到常驻地判断的都可以直接调用,这极大降低了关于用户位置数据准备的成本。

     

    在如今的互联网时代,企业都在全力谋求转型,转型的关键是要具备跟互联网公司一样的快速创新能力,大数据是其中一个核心驱动力,但拥有大数据还是不够的,数据中台的能力往往最终决定速度,拥有速度意味着试错成本很低,意味着可以再来一次。

     

    4、数据中台是人才成长的摇篮

     

    记得笔者刚进企业的时候,要获得成长一是靠人带,二是找人问,三是自己登陆各种系统去看源代码,这样的学习比较支离破碎,其实很难了解全貌,无法知道什么东西对于企业是最重要的,获得的文档资料也往往也是过了时的。

     

    现在有了数据中台,很多成长问题就能解决,有了基础模型,新人可以系统的学习企业有哪些基本数据能力,O域数据的增加更是让其有更广阔的视野,有了融合模型,新人可以知道有哪些主题域,从主题域切入去全局的理解公司的业务概念,有了标签库,新人可以获得前人的所有智慧结晶,有了数据管理平台,新人能清晰的追溯数据、标签和应用的来龙去脉,所有的知识都是在线的,最新的,意味着新人的高起点。

     

    更为关键的是,数据中台让新人摆脱了在起步阶段对于导师的过渡依赖,能快速的融入团队,在前人的基础上进行创新。

     

    数据中台天然的统一,集成的特性,有可能让新人打破点线的束缚,快速构筑起自己的知识体系,成为企业数据领域的专家。

     

    当然,数据中台的建立不是一蹴而就的,每个企业都应该基于实际打造独有的中台能力,在这个过程中,需要遵循一些原则:

     

    首先,企业的组织架构及机制需要顺势而变,比如以前负责数据的部门或团队往往缺乏话语权,面对业务需求往往是被动的接受的角色,这让一切数据中台的想法化为泡影,需要为数据中台团队授权。

     

    其次,要改变工作方式,现在很多企业的数据团队的主要工作内容就是项目管理、需求管理等等,当一个项目完成后又投入到下一个项目,做好一个需求后又开始负责下一个需求,这样的工作确实非常锻炼人的组织、协调能力,但这样能力的提升与工作时间的长短并不是呈线性增长的,虽然增加了项目和需求管理经验,但并不能在某一个专业领域得到知识和经验的沉淀,随着时间的流逝,越来越多的人会失去最初的工作积极性和创造性,事实上,数据人员只有深入的研究业务、数据和模型,端到端的去实践,打造出数据中台,才是最大的价值创造,才能使得持续创新成为可能。

     

    第三,数据中台的团队要从传统的支撑角色逐步向运营角色转变,不仅在数据上,在业务上也要努力赶超业务人员,中台人员要逐步建立起对于业务的话语权,不仅仅是接受需求的角色,更要能提出合理的建议,能为业务带来新的增长点,比如精确营销。

     

    DT时代,接下来整个社会会进入开放共享的时代,致力于大数据变现的企业最大的价值就是将这些核心数据能力进行对外开放的运营,到那个时代,数据中台将成为企业最为宝贵的资产。

     

    从个人的角度讲,将自己的贡献幻化为中台能力,能够持续的为公司创造价值,这是值得骄傲的事情。( 本文转载自微信公众号:与数据同行,ID:ysjtx_fyp)







    中国最大的技术高管实名社区,提供互联网时代最全面权威、也最前沿有趣的B2B市场信息解读。

    点击【阅读原文】,进入ITValue社区,与CIO们一起脑力激荡!


    我们只提供有价值的干货!

    长按二维码
    关注ITValu

    展开全文
  • ERP即企业资源计划系统,是指建立在信息技术的基础上,以系统化的管理思想,为企业决策层及员工提供的管理平台。它是一种跨地区、跨部门、甚至跨公司整合实时信息的企业管理系统。

      ERP:ERP即企业资源计划系统,是指建立在信息技术的基础上,以系统化的管理思想,为企业决策层及员工提供的管理平台。它是一种跨地区、跨部门、甚至跨公司整合实时信息的企业管理系统。

      一个典型的ERP实施进程主要包括哪几个阶段?

      答:一个典型的ERP实施进程主要包括以下几个阶段。

      (1)、项目的前期准备工作

      在前期的准备工作中,培训教育要注意不能仅限于ERP原理和信息技术方面,而应把相关科学技术都包括进来。为了成功地应用ERP,我们必须在ERP应用过程中建立ERP项目管理体系和运行机制,具体来说要做好以下几个方面的工作。

      ①ERP原理的培训。主要的培训对象是企业高层领导及今后ERP项目组人员,使他们掌握ERP的基本原理和管理思想。只有他们理解ERP,才能判断企业需要什么样的ERP软件,才能更有效率地运用ERP。

      ②企业诊断。由企业的高层领导和今后各项目组人员用ERP的思想对企业现行管理的业务流程和存在的问题进行评价和诊断,找出问题,寻求解决方案,用书面形式明确预期目标,并制定评价目标实现的标准。

      ③需求分析。确定目标企业在准备应用ERP系统之前,还需要理智地进行理想分析。

      ④软件选型。软件是系统配置的关键。在软件的选型中,可根据企业运营的动作流程和功能,从“用户化”和“本地化”的角度来为ERP选型。

      (2)、实施准备阶段

      在这个准备阶段,要做好以下几项工作。

      ①项目组织ERP的实施是一个大型的系统工程,需要组织上的保证,如果项目的组成人选不当、协调配合不好,将会直接影响项目的实施周期和成败。项目组织应该由以下三层小组组成,而每一层的组长都是上层的成员

      ②领导小组。由企业的一把手牵头,并与系统相关的副总一起组成领导小组。

      ③项目实施小组大量主要的ERP项目实施工作的是由他们来完成的,一般由项目经理来组织工作,其他的成员应当由企业主要业务部门的领导或业务骨干组成。

      ④业务组这部分工作的好坏是ERP项目的实施能不能贯彻到基层的关键所在。

      A、数据准备。在运行ERP系统之前,要准备和录入一系列基础数据,这些数据在运用系统之前没有或未明确规定,因而需要进行大量的分析和研究。

      B、系统安装调试。

      C、软件原型测试。

      (3)模拟运行及用户化

      ①模拟运行及用户化。在基本掌握软件功能的基础上,选择代表产品,将各种必要的数据录入系统,带着企业日常工作中经常遇到的问题,组织项目小组进行实战性模拟,提出解决方案。

      ②制定工作准则与工作规程。

      ③验收。在完成必要的用户化工作,进入现场运行之前,还要经过企业最高领导的审批和验收通过,以确保ERP的实施质量。

      ④切换运行。

      ⑤新系统运行。一个新系统被应用到企业后,实施的工作其实并没有完全结束,还应将其转入到业绩评价和下一步的后期支持阶段。这是因为我们有必要对系统实施的结果作一个小结和自我评价,判断是否达到了最初目标,从而在此基础上制定下一步的工作方向。

      (4)、ERP项目的监理与评价

      实行项目监理是国际上确保工程项目质量和进度的一种通行惯例,广为应用。

      随着ERP应用的不断深入,一方面,我们要尽快建立健全的ERP项目评价体系;另一方面,应用ERP的企业也应积极开展项目评价工作,通过定量计算、定性分析和客观公正的评价,从不同角度科学地揭示ERP应用状况,有利于ERP的推广应用和应用水平的提高。

    展开全文
  • 第一章 访问控制的概念  访问控制分类  网络访问控制  主机/操作系统访问控制 ...第章 访问控制模型  BELL-LAPADULA保密性模型  LATTICE安全模型  BIBA完整性模型  CLARK WILSON完整

    第一章 访问控制的概念

     访问控制分类

     网络访问控制

     主机/操作系统访问控制

     应用程序访问控制

     加密方式在访问控制系统中的应用

    第二章 强制访问控制与自主访问控制

     强制访问控制(MAC)

     自主访问控制(DAC)

    第三章 访问控制模型

     BELL-LAPADULA保密性模型

     LATTICE安全模型

     BIBA完整性模型

     CLARK WILSON完整性模型

     CHINESE WALL模型


    第一讲 访问控制概念


    绪论

      访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。 所有这些技术可归诸于几类访问控制模型,本文将一一介绍并以实例说明,以帮助设计者在多变的环境中解决相关安全问题。

    第一章 访问控制的概念

      访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。

    访问控制的两个重要过程:
    1、通过"鉴别(authentication)"来检验主体的合法身份
    2、通过"授权(authorization)"来限制用户对资源的访问级别

    访问包括读取数据,更改数据,运行程序,发起连接等。

    访问控制分类

    因实现的基本理念不同,访问控制可分为以下两种:

    • 强制访问控制(Mandatory access control)
    • 自主访问控制(Discretionary access control)
      (关于强制访问控制与自主访问控制,本文将在第二章作详细介绍。)

      例如,当一个用户通过身份认证机制登陆到某一WINDOWS系统时,WINDOWS文件访问控制机制将检查系统中哪些文件该用户可以访问。

      访问控制所要控制的行为有以下几类:读取数据、运行可执行文件、发起网络连接等等。

    访问控制应用类型

    根据应用环境的不同,访问控制主要有以下三种:

    • 网络访问控制
    • 主机、操作系统访问控制
    • 应用程序访问控制

    网络访问控制


    图1-1                   

      访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。防火墙作为网络边界阻塞点来过滤网络会话和数据传输。根据防火墙的性能和功能,这种控制可以达到不同的级别。

     防火墙可实现以下几类访问控制:

      1) 连接控制,控制哪些应用程序终结点之间可建立连接。例如,防火墙可控制内部的某些用户可以发起对外部WEB站点间的的连接。

      2) 协议控制,控制用户通过一个应用程序可以进行什么操作,例如,防火墙可以允许用户浏览一个页面,同时拒绝用户在非信任的服务器上发布数据。

      3) 数据控制,防火墙可以控制应用数据流的通过。如防火墙可以阻塞邮件附件中的病毒。

    防火墙实现访问控制的尺度依赖于它所能实现的技术。

    主机/操作系统访问控制


    图1-2

      目前主流的操作系统均提供不同级别的访问控制功能。通常,操作系统借助访问控制机制来限制对文件及系统设备的访问。

      例如:Windows NT/2000操作系统应用访问控制列表来对本地文件进行保护,访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。

    应用程序访问控制


       访问控制往往嵌入应用程序(或中间件)中以提供更细粒度的数据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时,应用程序将提供其内置的访问控制模型。

     例如,大多数数据库(如Oracle)都提供独立于操作系统的访问控制机制,Oracle使用其内部用户数据库,且数据库中的每个表都有自己的访问控制策略来支配对其记录的访问。

      另外比较典型的例子是电子商务应用程序,该程序认证用户的身份并将其置于特定的组中,这些组对应用程序中的某一部分数据拥有访问权限。

    加密方式在访问控制系统中的应用

      加密方法也经常被用来提供实现访问控制。或者独立实施访问控制,或者作为其它访问控制机制的加强手段。例如,采用加密可以限定只有拥有解密密钥的用户才有权限访问特定资源。

      IPsec VPN采用强加密机制来提供访问控制以非可信网络中的用户访问经由VPN传输的数据。此外,加密和密钥管理也可实现访问控制机制,只有拥有相应的密钥(IPsec安全关联协商成功),才可以解密及访问数据。

      存储于本地硬盘的数据也可以被加密,所以同一系统中的用户若无相应解密密钥也不可读取相关数据。如此就可以代替传统的文件权限控制方式。个别数据库产品可以加密位于本地磁盘上的数据库文件,这样就可弥补操作系统访问控制机制的不足。



    第二章 强制访问控制与自主访问控制

    强制访问控制(MAC)

      用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。


                  图2-1

      在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。

    •  主体 (用户, 进程) 被分配一个安全等级
    •  客体 (文件, 数据) 也被分配一个安全等级
    •  访问控制执行时对主体和客体的安全级别进行比较

      用一个例子来说明强制访问控制规则的应用,如WEB服务以"秘密"的安全级别运行。假如WEB服务器被攻击,攻击者在目标系统中以"秘密"的安全级别进行操作,他将不能访问系统中安全级为"机密"及"高密"的数据。

    自主访问控制(DAC)

      自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。

    自主访问控制中,用户可以针对被保护对象制定自己的保护策略。

    •  每个主体拥有一个用户名并属于一个组或具有一个角色
    •  每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL
    •  每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制

      在商业环境中,你会经常遇到自主访问控制机制,由于它易于扩展和理解。大多数系统仅基于自主访问控制机制来实现访问控制,如主流操作系统(Windows NT Server, UNIX 系统),防火墙(ACLs)等。

      强制访问控制和自主访问控制有时会结合使用。例如,系统可能首先执行强制访问控制来检查用户是否有权限访问一个文件组(这种保护是强制的,也就是说:这些策略不能被用户更改),然后再针对该组中的各个文件制定相关的访问控制列表(自主访问控制策略)。

     

    第三章 访问控制模型 之 强制访问控制(MAC)

    Bell-LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)。

    1973年,David BellLen LaPadula提出了第一个正式的安全模型,该模型基于强制访问控制系统,以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统

    Bell-LaPadula (BLP) 安全模型对主体和客体按照强制访问控制系统的哲学进行分类,这种分类方法一般应用于军事用途。

    数据和用户被划分为以下安全等级

    •  公开(Unclassified
    •  受限(Restricted
    •  秘密(Confidential
    •  机密(Secret
    •  高密(Top Secret

    BLP 保密模型基于两种规则来保障数据的机秘度与敏感度:

    •  上读(NRU) , 主体不可读安全级别高于它的数据
    •  下写(NWD) , 主体不可写安全级别低于它的数据

      直接来讲,要考虑数据的保秘性. 例如.假如一个用户,他的安全级别为"高密",想要访问安全级别为"秘密"的文档,他将能够成功读取该文件,但不能写入;而安全级别为"秘密"的用户访问安全级别为"高密"的文档,则会读取失败,但他能够写入。这样,文档的保秘性就得到了保障。

      另外,目前不能在原有操作系统中直接进行安全分级。也就是说,在解决其易用性与功能单一性之前,BLP模型不能直接用于商业系统。


     

    图3-1 图3-1为一个用户和资源安全分级的例子。 BLP模型允许用户读取安全级别比他低的资源;相反地,写入对象的安全级别只能高于用户级别。简言之,信息系统是一个由低到高的层次化结构。
     

     

                          图3-2

    图3-2示例在通讯过程中如何体现BLP模型思想,尽管这种应用在BLP模型的实际应用中并不多见。当企业的两个分支网络要跨越非可信网络进行互联时,我们可以为两个网络及其间传输的数据设定虚拟的安全标签,可以假设两个分支机构的安全级别均为"机秘",而Internet,作为VPN的传输媒介,它的安全级别为"公开",因此依照BLP模型,Internet上的用户仅可以看到"公开"的数据。而两个分支网络间的数据安全级别为"机秘",因此,访问控制机制导致Internet用户不能访问"机秘"数据,而这是由于VPN使用了加密技术以实现访问控制机制。

      另外的一个例子是防火墙所实现的单向访问机制,它不允许敏感数据从内部网络(例如,其安全级别为"机秘")流向Internet(安全级别为"公开"),所有内部数据被标志为"机密"或"高密"。防火墙提供"上读"功能来阻止Internet对内部网络的访问,提供"下写"功能来限制进入内部的数据流只能经由由内向外发起的连接流入(例如,允许HTTP的"GET"操作而拒绝"POST"操作,或阻止任何外发的邮件)。

    Lattice安全模型



    Lattice 模型通过划分安全边界对BLP模型进行了扩充,它将用户和资源进行分类,并允许它们之间交换信息,这是多边安全体系的基础。

      多边安全的焦点是在不同的安全集束(部门,组织等)间控制信息的流动,而不仅是垂直检验其敏感级别。

      建立多边安全的基础是为分属不同安全集束的主体划分安全等级,同样在不同安全集束中的客体也必须进行安全等级划分,一个主体可同时从属于多个安全集束,而一个客体仅能位于一个安全集束。

      在执行访问控制功能时,lattice模型本质上同BLP模型是相同的,而lattice模型更注重形成"安全集束"。BLP模型中的"上读下写"原则在此仍然适用,但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性,因此在它们中没有信息可以流通。

      例如,某用户有安全级别为"高密"并从属于安全集束"ALPHA",另一个安全级别为"机密"的集束"BETA"中的用户试图访问从属于多个安全集束中的文件,若他需要访问集束"ALPHA"中安全级别为"机密"的文件,访问将被允许;而他访问集束"BETA"中的"机密"文件的试图将被拒绝。试图访问集束"GAMMA"中的任何对象都将被拒绝,因为其在集束"GAMMA"中不具有任何安全等级

    Biba完整性模型


      七十年代,Ken Biba提出了Biba访问控制模型,该模型对数据提供了分级别的完整性保证,类似于BLP保密性模型,BIBA模型也使用强制访问控制系统。

      Biba完整性模型对主体和客体按照强制访问控制系统的哲学进行分类,这种分类方法一般应用于军事用途

     数据和用户被划分为以下安全等级

    •  公开(Unclassified
    •  受限(Restricted
    •  秘密(Confidential
    •  机密(Secret
    •  高密(Top Secret

    BIBA模型基于两种规则来保障数据的完整性的保密性。

    •  下读(NRU) 属性, 主体不能读取安全级别低于它的数据
    •  上写(NWD) 属性, 主体不能写入安全级别高于它的数据

      从这两个属性来看,我们发现BibaBLP模型的两个属性是相反的,BLP模型提供保密性,而BIBA模型对于数据的完整性提供保障。

      BIBA模型并没有被用来设计安全操作系统,但大多数完整性保障机制都基于Biba模型的两个基本属性构建。

      如图3-4,一个安全级别为"机密"的用户要访问级别为"秘密"的文档,他将被允许写入该文档,而不能读取。如果他试图访问"高密"级的文档,那么,读取操作将被允许,而写入操作将被拒绝。这样,就使资源的完整性得到了保障。

      因此,只有用户的安全级别高于资源的安全级别时可对资源进行写操作,相反地,只有用户的安全级别低于资源的安全经别时可读取该资源。简而言之,信息在系统中只能自上而下进行流动。

    应用举例:


    Biba模型在应用中的一个例子是对WEB服务器的访问过程。如图形-5,定义Web服务器上发布的资源安全级别为"秘密",Internet上用户的安全级别为"公开",依照Biba模型,Web服务器上数据的完整性将得到保障,Internet上的用户只能读取服务器上的数据而不能更改它,因此,任何"POST"操作将被拒绝。

      另一个例子是对系统状态信息的收集,网络设备作为对象,被分配的安全等级为"机密",网管工作站的安全级别为"秘密",那么网管工作站将只能使用SNMP的"get"命令来收集网络设备的状态信息,而不能使用"set"命令来更改该设备的设置。这样,网络设备的配置完整性就得到了保障。

     

    Clark Wilson完整性模型

      Clark-Wilson数据完整性安全模型是在1987年被提出的,通常被用在银行系统中来保证数据的完整性,该模型略显复杂,是为现代数据存储技术量身定制的。

      Clark Wilson完整性模型经常应用在银行应用中以保证数据完整性,它的实现基于成形的事务处理机制。

    •  系统接受"自由数据条目 (UDI)"并将其转换为 "受限数据条目 (CDI)"
    •  "受限数据条目 (CDI)"仅能被"转换程序(TP)"所改变
    •  "转换程序 (TP)" 保证"受限数据条目
      CDI"的完整性
    •  每个受限数据条目(CDI) 拥有一个完整性检查程序 (IVP)
    •  访问控制机制由三个元素组成 (主体, TP, CDI)

    应用举例:
     

    图3-6所示为Clark Wilson完整性模型在电子商务程序中的应用,用户接到自主数据条目(UDI)并由转换程序(TP)将其转换为受限数据条目(CDICDI1CDI1用来更新CDI2(例如客户的订单)和CDI3(如客户的帐单),完整性检查程序(IVP)总是要检查是否CDI2(订单)和CDI3(帐单)是否出入平衡,因此可确保整个交易的完整性。

    Chinese Wall模型

    Chinese Wall模型是应用在多边安全系统中的安全模型(也就是多个组织间的访问控制系统),应用在可能存在利益冲突的组织中。最初是为投资银行设计的,但也可应用在其它相似的场合。

    Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中,一个银行会同时拥有多个互为竞争者的客户,一个银行家可能为一个客户工作,但他可以访问所有客户的信息。因此,应当制止该银行家访问其它客户的数据。

    Chinese Wall安全模型的两个主要属性:

    •  用户必须选择一个他可以访问的区域
    •  用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问

      这种模型同时包括了DACMAC的属性:银行家可以选择为谁工作(DAC),但是一旦选定,他就被只能为该客户工作(MAC)。

    应用示例:


    图3-7

      Chinese Wall安全模型在网络安全体系中应用的一个典型的例子是位于防火墙内部的一台服务器,连接着内部与外部网络。假如策略禁止经由此服务器转发数据,该服务器将曝露于外部网络(也就是说,该服务器仅能与外部网络通讯,而不能与内部网络通讯)


    图3-8

      另外用远程访问VPN来举例说明,位于Internet上的用户与内部网络建立VPN会话之后。依照中国墙安全模型所建议,在任何时候,用户或与Internet通讯,或与公司网络进行通讯,二者只可选其一(也就是说:隧道不可分割)

      单向会话只发生在有限的时间内,本安全模型的核心在于--用户选择与其中一方进行通讯,则放弃了与另一方会话的权利。

    第二讲 传统的访问控制

    一、基本概念

    访问控制的基本任务是:防止非法用户进入系统及合法用户对系统资源的非法使用,它保证主体对客体的所有直接访问都是经过授权的。

    1.客体:

    是一种能够从其它主体或客体接收信息的实体(文件、目录、数据块、记录、程序、存储器段、网络节点等),即包含有信息,又可以被访问的实体。

    2.主体

    是一种可以使信息在客体之间流动的实体(进程、作业或任务(代表用户),用户也称为是主体)或能访问或使用客体的活动实体。

    通常,我们把主体也看作是一个客体。因为当一个程序存放在内存或硬盘上时,那么它就与其它数据一样被当作客体,可供其它主体访问,但当这个程序运行时,它就成为了主体,可以去访问别的客体。

    3.访问模式(访问权限)
          是指主体对客体可进行的特定访问操作如:读(r)、写(w可读可写或修改)、添加(a)、删除(d)、运行(e)等。

    二种特殊的访问权限是控制权(c)、拥有权(o)。

           c是指某个主体具有改变其它主体对某客体的访问权限的能力。

           o若主体S创建客体O,则SO具有拥有权(每一客体O只有唯一的拥有者)。对O具有拥有权的主体必对O具有控制权,但反之则不然。

    4.自主访问控制

    是指对某个客体具有拥有权(或控制权)的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体,并在随后的任何时刻将这些权限回收。

    自主访问控制是保护计算机系统资源不被非法访问的一种有效手段,但是,它有一个明显的缺点:这种控制是自主的,虽然这种自主性为用户提供了很大的灵活性,得同时也带来了严重的安全问题。为此人们认识到必须采取更强有力的访问控制手段,这就是强制访问控制。

    5.强制访问控制

          系统根据主体被信任的程度和客体所包含的信息的机密性或敏感程度来决定主体对客体的访问权,这种控制往往可以通过给主、客体赋以安全标记来实现。

          强制访问控制一般与自主访问控制结合使用,在自主访问控制的基础上,施加一些更强的访问限制。一个主体只有通过了自主与强制性访问控制检查后,才能访问某个客体。

          用户可以利用自主访问控制来防范其它用户对自己客体的攻击,强制访问则提供了一个不可逾越的、更强的安全保护层。

    二、自主访问控制(Discretionary Access Control

    1、自主访问控制的矩阵模型
        系统状态用一个有序三元组表示Q=(S,O,A)

    其中        S——主体的集合

                  O——客体的集合

                  A——访问矩阵,行对应于主体,列对应客体。A(i,j)项元素a­­­ij是一个集合,该集合中列出了主体Si对客体Oj所允许的访问权限。

    例:设S={s1,s2},O={m1,m2,f1,f2,s1,s2,}系统当前的状态如下:

    m1         m2         f1          f      s1    s2

           

    注:“拥有权”与“控制权”在有的系统中有区别。

    系统中设置监控程序用来监控主体对客体的访问,某一主体Si要对客体oj进行访问时,监控程序要检查aij以决定Si是否可对oj进行访问以及可以进行什么样的访问,当aij中不包含主体Si对客体oj的某种访问权时,监控程序就禁止Sioj进行相应的访问操作。监控程序可以由硬件、软件或者硬件与软件共同完成。

    系统状态的变化
          
    系统状态是在不断变化的,变化是由于用户的一系列操作引起来的,系统状态变化,则相应的访问控制矩阵也就要发生变化。引起状态变化的操作基本上有如下几种:

    1Enter p into aij         (oj拥有者授予主体SiOjp”访问权)

    2Delete p from aij        (oj拥有者撤销主体SiOjp”访问权)

    3. Create Subject s’

    4. Create Object o’

    5. Delete Subject s’

    6. Delete Object o’

    这些操作将引起访问控制矩阵的变化,且使得状态由Q=(S,O,A)转换到Q’=(S’,O’,A’)

    2、自主访问控制的实现方法

          为了实现自主访问控制,必须将访问控制矩阵所提供的信息以某种形式保存在计算机系统中,实际上在实现自主访问控制时,并不是将矩阵整个存放在系统中,这样做,效率是很低的,因为这个矩阵很可能是一个许多项都为空的一个稀疏矩阵,这对于存储空间和查询时间都是一个很大的浪费。

    实际上的实现方法可分为如下几类:

    基于行的自主访问控制——权力表

    每个主体Si都有一个相应的权力表,Si的权力表由访问控制矩阵中Si所对应的行中所有的非空项所组成,它是一张Si可以访问的所有客体的明细表。如:上例中

    O

    P

    m1

    m2

    f1

    {r,w,e}

    {r}

    {c,r,w}

    S1的权力表

    O

    P

    m1

    m2

    f1

    {r,w,e}

    {r}

    {c,r,e}

    S2的权力表

    根据每一主体Si的权力表,可决定该主体可否对客体进行访问以及可以进行哪种模式的访问。

    基于列的自主访问控制——授权表(或访问控制表)

    第一个客体都有一个相应的授权表,oj的授权表由访问控制矩阵中oj所对应的列中所有非空项所组成,它是一张可以访问oj的所有主体的明细表。如上例中

    S

    P

    S1

    S2

    {r,w,e}

    {r}

    m1的授权表

    S

    P

    S2

     

    {c,r,e}

    f2的授权表

    根据每一客体oj的授权表可以决定哪些主体可以访问该客体以及可以进行什么样的访问。

    3.授权的管理方式

          主体对客体的控制权“c“在系统中有两种管理方式:一种是集中式管理,一种是分散式管理。

    集中式管理

          一个主体si在创建某个客体oj后,该主体就获得了对这一客体的“c”权和其它所有可能权限。“c”权意味着可以将它对oj所有其它(除“c”权以外)的访问权限授予系统中任何一个主休,也可以撤销系统中任何主体对oj的其它访问权限。其它主体因为对oj不具有“c”权,因此即使他们对oj具有某些访问权限,但它们也无权将这些权限转授给别的主体、或撤销别的主体对oj的任何访问权限——在这种管理模式下,对于任一客体oj,哪些主体可以对其进行访问,可以进行什么样的访问,完全由oj的拥有者决定。(在此管理模式下,“拥有权”和“控制权”是一致的。)

    分散式管理

          在这种管理模式下,一个客体oj的拥有者不仅可以授予其它主体对oj的所有其它的访问权,而且还可以授予他们对oj的某些访问权的授予权,因此,对于一客体oj的访问权,不仅oj的拥有者可以授权,其他的主体也有可能得到全部或部分的授予权。

          例如:下图表示数据库中对某个关系X的授权情况:

    图中:ABCD分别表示四个主体,表示AB授权。10152030表示授权的时刻,R(y)表示所授予的权限R可以再转授别的主体,R(n)表示所授予的权

    D

    C

    A

    B

    10

    R(y),I(y)

    20

    R(y),I(y)

    30

    R(y),I(n)

    15

    R(n)

    A

    B


    R 不允许再转授给别的主体。

          由图中可看出:在时刻15——时刻30之间的一段时间,D虽得到了对点系XRRead)访问权,但他不能将此权再授给其它主体。而在时刻30以后,C授予了DRI的权限后,D仅可将R权限授予其它的主体。

          在这种管理模式下,一个主体在撤销他所授予的对某个客体的某种权限时,必须将由于这一授权而引起的所有授权都予以撤销,系统的状态应该是好像该主体从来未对该权限授予过。

          例如:上例中,若时刻40后的某个时刻A撤销对B所授予的对关系XR权,则此时不公B失去了对XR权,且由此而引起CXR权,DXR权都被撤销,此时虽然D保留了由A处得到的R权,但D不能将此权转授出去。

          对授权提出分散式管理的模式虽然有它的实际需要,但是分散式管理的缺陷是,一旦oj的拥有者将对oj的访问权的授予权授予出去后,他便无法控制系统中哪些主体可对oj进行访问,哪些主体不能进行访问,哪些主体对oj具有授予权,哪些主体对oj不具有授予权。例如该例中的DA不让其具有R的授予权,但C却将R的授予授给了他。因此又有人提出了发“黑令牌”的方法,即oj的主体可对不允许访问oj的主体发放黑令牌。这样凡被发放黑令牌的主体,其它主体不得向他授权。(当然,可对某种访问权)

          在这种管理模式下,“拥有权”和“控制权”是不一致的。

    第三讲 安全策略与安全模型

    一、安全策略

    1、安全策略的概念

          计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则。这些规则规定系统中所有授权的访问,是实施访问控制的依据。

          一个计算机系统的安全策略应能说明系统在各种情形下,哪些主体对哪些信息的访问是允许的,什么样的访问是不允许的。

          相对于系统中实施安全策略的访问控制机制来说,安全策略是抽象的,指导性的原则,然而安全策略的制定是有强烈的实际背景的。

    2、安全策略举例

          以军事安全策略和商业安全策略为例来说明这一概念。军事部门的安全主要关心的是数据的保密性,而商业部门的安全主要关心的是数据的完整性,由于这一出发点不同使得他们的安全策略也有很大的不同。

    军事安全策略:

          分为两部分:自主安全策略(discretionary)和强制安全策略( mandatory

          ·自主安全策略:一个主体对客体的任何一种方式的访问都必须是该客体的拥有者事先对其进行了授权的。

    复习数学概念:

    1. 笛卡尔积:A×B

    2. 集合A的幂集:P(A)=2A={s|sA}

    3. 集合A上的偏序关系:集合A上的关系、自反、反对称、可传递的定义、次序图、偏序集、全序关系。

    4. 有用的结论:

    <A;><B;>是,定义A×B上的关系:对任意(a1,b1), (a2,b2) A×B当且仅当a1a2b1b2时,有(a1,b1)(a2,b2)。可以证明:<A×B;>也是一个偏序集。

    ·强制安全策略

           1.系统中每个主体和每个客体都有安全标记

          客体的安全级表示该客体所包含的信息的敏感程度或机密程度;

          主体的安全级表示该主休被信任的程度或访问信息的能力。

           2.安全标记由两个部分组成(密级,部门集)

          密级一般定义为四个级别:一般(U),秘密(C),机密(S)和绝密(TS)。

          用全序描述:一般≤秘密≤机密≤绝密。

          A={U,C,S,TS},则<A;>是一个偏序集

          设某单位的部门集如下:{科技处,干部处,生产处,情报处}

    B={科技处,干部处,生产处,情报处},则PB=2B={S|SB}PB中的元素均是B的子集,如{科技处,干部处}PB{科技处,生产处,情报处}PB<PB;>也是一个偏序集。

    定义笛卡尔积A×PB={(a,H)|aA,HPB}

    例如:(C{科技处}=class(o1)                           (可读)

            S{科技处,干部处}=class(u)

            (TS,{科技处,情报处,干部处})=class(o2)            (可写)

            C{情报处}=class(o3)                           (不读,不写)

    oi

    u

    oj

    均是 A × PB 中的元素,系统中主、客体的安全级由这些二元组来定义。

    3.访问权的控制原则(即安全策略)

          一个主体仅能读安全级比自已安全级低或相等的客体,即“向下读”。

                 一个主体仅能写安全级比自己高或相等的客体,即“向上写”。

           4.安全级如何比较高低

    <A;>是一个偏序集,<PB;>也是一个偏序集。

    在集合A×PB上定义关系≤:对于a1,H1,a2,H2)∈A×PB,a1,H1)≤(a2,H2)当且仅当a1a2H1H2,可以证明:≤是A×PB上的一个偏序关系,即<A×PB;>也构成一个偏序集。在此,若(a1,H1)≤(a2,H2)则称(a1,H1)低于(a2,H2)。

    例如:

    C{科技处})≤(S{科技处,干部处});

    S{科技处,干部处})≤(TS{科技处,情报处,干部处})。

    因此,(C{科技处})≤(TS{科技处,情报处,干部处});

    但(C{情报处})与(C{科技处})不可比,(C{情报处})与(S{科技处,干部处})不可比。

    对于上述控制原则具体化:若主体u和客体o的安全级满足

    class(u)class(o),u可“写”o,

    class(o)class(u),u可“读”o.

    于是上述u可读o1,u可写o2,uo3不能读,也不能写,又如,若class(o4)=(TS,{科技处}),则u不能读,也不能写。

    商业安全策略

    主要的目的是防欺诈,防错误,防篡改,保护信息的完整性。虽然它也要防止非授权的泄露,但没有必要像军事安全中那样复杂的要求,其安全策略主要体现在以下两个方面:

    良形事务(Well-formed transaction

    用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理。

    例:保存记录(包括修改数据的前后记录)

    双入口规则,保持帐面平衡。

    职责分散(Separation duty)

    把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。

    当然欺诈行为并不一定能就此消除,但它会在众多的职员的合作性行为中变得显而易见。

    例如,购买原材料、进货并付款的过程可分解为以下几个操作来完成:

    购买订单——记录到货——记录到货发票——付款

    最后一个步骤只有在前三个步骤完成后才执行。

    军事安全策略与商业安全策略的比较

    区别:

    1.军事安全策略——主要关心的是数据的机密性

       商业安全策略——主要关心的是数据的完整性

    2.军事安全策略——将数据与一个安全级相联系,通过数据的安全级来控制用户对数据的访问。

     商业安全策略——将数据与一组允许对其进行操作的程序相联系,通过这组程序来控制用户对数据的访问。

    3.军事安全策略——用户被授权去读或写某一数据。

    商业安全策略——用户被授权去执行与某一数据相关的程序。

           4.军事安全策略——用户只要获得了相应的访问权限,则他可以任意地去读或写访问该数据。

            商业安全策略——用户对数据的读、写方式不是任意的,而是隐含在那些被执行的程序动作之中。

           这一条使前者更容易受到病毒或特洛依木马的攻击。

    相同之处:

    1.计算机系统中必须有一种机制来保证系统实施了相应的安全策略;

    2.系统中的安全机制必须防止破坏,即防止非授权的修改。

    二、安全模型

    1.安全模型

           安全模型是对安全策略所表达的安全需求简单、抽象和无歧义的描述。它为安全系统的设计提供指导。

           安全模型应具有如下一些特点:

    它是精确的、无二义性的;

    它是简单、抽象的,也是易于理解的;

    它仅涉及安全性,不过分限制系统的功能及实现;

    它是安全策略的一个清晰的表达方式。

    分为:

    非形式化的安全模型:用自然语言对系统的安全性进行描述。其优点是直观、易于理解但不严谨,往往有二义性,表达不简洁。

    形式化的安全模型:使用数学语言精确地描述系统的安全性质或规则。优点是简洁、准确、严谨,可以从理论上进行严格的证明其安全性;缺点是抽象、难于理解。

    按照TCSEC的评估标准,B1级要求既有自主访问控制又要有强制访问控制,这也就是要求它要制定安全策略,即非形式化的安全模型,指导系统如何进行上述两种访问控制;B2级的计算机系统要求具有形式化的安全模型,A1级并要求对安全模型进行形式化的证明。

    由上可看出,若设计开发具有B类及以上的安全计算机系统必须要有安全模型作指导,对高安全级的计算机系统,形式化的安全模型则是不可少的必要条件。


    第三章 BLP模型(Bell-La Padula模型)

    是对安全策略形式化的第一个数学模型,是一个状态机模型,用状态变量表示系统的安全状态,用状态转换规则来描述系统的变化过程。

    一、模型的基本元素

    模型定义了如下的集合:

    S={s1,s2,,sn主体的集合,主体:用户或代表用户的进程,能使信息流动的实体。

    O={o1,o2,,om}客体的集合,客体:文件、程序、存贮器段等。(主体也看作客体SO

    C={c1,c2,,cq主体或客体的密级(元素之间呈全序关系),c1c2≤…≤cq.

    K={k1,k2,,kr部门或类别的集合

    A={r,w,e,a,c}   访问属性集,其中,r:只读;w:读写;e:执行;a:添加(只写);                          c:控制。

    RA={g,r,c,d}   请求元素集

                                gget(得到),give(赋予)

                                rrelease(释放),rescind(撤销)

                                cchange(改变客体的安全级),create(创建客体)

                                ddelete(删除客体)

    D={yes,no,error,?}判断集(结果集),其中

                                yes:请求被执行;

                                no请求被拒绝;

                                error:系统出错,有多个规则适合于这一请求;

                                ?  请求出错,规则不适用于这一请求。

    μ={M1,M2,,Mp访问矩阵集,其中元素Mk是一n×m的矩阵,Mk的元素MijA

    F=CS×CO×(PK)S×(PK)O,其中,

           CS={f1|f1SC}              f1给出每一主体的密级;

           CO={f2|f2OC}             f2给出每一客体的密级;

           (PK)S={f3|f3SPK} f3给出每一主体的部门集;

           (PK)O={f4|f4OPK}f4给出每一客体的部门集。

    其中,PK表示K的幂集(PK=2K)。

    F的元素记作f=(f1,f2,f3,f4),给出在某状态下每一主体的密级和部门集,每一客体的密级和部门集,即主体的许可证级(f1,f3),客体的安全级(f2,f4)。

    二、系统状态

    V=P(S×O×A)×μ×F是状态的集合,状态v=(b,M,f)用有序三元组表示,其中

           bS×O×A,是当前访问集。

           M是访问矩阵,它的第i行,第j列的元素MijA表示在当前状态下,主体Si对客体Oj所拥有的访问权限。

           f=(f1,f2,f3,f4),其中,f1(s)和f3(s)分别表示主体s的密级和部门集,f2(s)和f4(s)分别表示客体O的密级和部门集。

           


    三、安全特性

           自主安全性

           状态v=(b,M,f)满足自主安全性,当且仅当对所有的(si,oj,x)b,有xMij

           简单安全性

           状态v=(b,M,f)满足简单安全性,当且仅当对所有的(s,o,x)b,有

                  ix=ex=ax=c

              (ii) (x=rx=w)(f1(s)f2(o)f3(s)f4(o))

    S

    O

    e,c,a

    S

    ()

    O

    ()

    r,w

     

           *—性质

    S

    O1

    ()

    O2

    ()

    a

    r

    S

    O1

    ()

    O2

    ()

    a

    w


           状态 v=(b,M,f) 满足 * —性质,当且仅当对所有的 s S ,若 o1 b(S:w,a) o2 b(S:r,w), f2(o1) f2(o2) f4(o1)f4(o2) ,其中符号 b(S:x1, ,xn) 表示 b 中主体 s 对其具有访问特权 xi(1 i n) 的所有客体的集合。

           解释:

    S

    O1

    ()

    O2

    ()

    w

    r

    S

    O1

    O2

    w

    w

    (级别)

    (级别)

    相等


           一个状态v如果满足上述三条性质,那么v才是安全状态。

    四、请求

           R=S+×RA×S+×O×请求集(不是请求元素集),它的元素是一个完整的请求。其中S+=S{}X=A{}F

           R中的元素是一个五元组,代表一次请求或一个操作。

           T={1,2,,t,离散时刻的集合(标识)。用作请求序列,结果序列和状态序列的下标;

    X=RT={x|x:TR},其中元素x可表示为x=xx2x3xt…是一个请求序列,每一时刻有一请求,构成一个请求序列,因此X是请求序列的集合;

    Y=DT={y|y:TD},其中元素y=y1y2y3yt…是一个结果序列,每一时刻的请求导致一个判断(或结果),构成一个结果序列,Y是结果序列的集合;

    Z=VT={z|z:TV},其中元素z=z1z2z3zt…是一个状态序列,每一ztV,表示时刻t时系统的状态。Z是状态序列的集合

    五、状态转换规则

           系统状态的转换由一组规则定义,一个规则P定义为:R×VD×V。其中:R是请求集,D为判断集,V是状态集。

           也就是说,P规定对于给定的一个状态和一个请求,系统产生一个判断和下一个状态,只有当D的取值为“yes”时,请求才被执行,状态才发生转换。

           BLP模型定义了十条基本规则(后来又有所扩充):

           规则1~规则4分别用于主体请求对客体的读(r),添加(a),执行(e)和写(w)的访问权。(φ,g,si,oj,r), (φ,g,si,oj,a), (φ,g,si,oj,e), (φ,g,si,oj,w)

           规则5用于主体释放它对某客体的访问权(包括r,或a,或e,或w)。(φ,r,si,oj,x)

           规则6和规则7分别用于一个主体授予和撤销另一个主体对某客体的访问权。

    (sλ,g,si,oj,r)     (sλ,r,si,oj,r)

           规则8用于改变静止客体的密级和类别集。(φ,c,φ,oj,f*)

           规则9和规则10分别用于创建和删除(使之成为静止)一个客体。

    (φ,c,sj, oj,e)     (φ,d, si,oj,φ)

    (φ,c, si,oj,φ)

    规则1:主体si请求得到对客体ojr访问权

    get-read P1(Rk,v)

           if σ1φ or γg or xr or σ2=φ then

                  P1(RK,v)=(?,v)

           if rMij or (f1(si)<f2(oj) or f3(si)    f4(oj))

                  then P(RK,v)=(no,v)

           if ={o|ob(si:w,a) and [f2(oj)>f2(o) or f4(oj) f4(o)]}= φ

                  then P(RK,v)=(yes,v*=(b{(si,oj,r)},M,f))

                  else P(RK,v)=(no,v)

           end

    规则2:主体si请求得到对客体oja访问权

    get-appendP2(RK,v)

           如果 σ1φ or γg or xa or σ2,则P2(RK,v)=(?,v)

           如果 aMij,则P2(RK,v)=(no,v)

           如果 ={o|ob(si:r,w) and [f2(oj)<f2(o) or f4(oj)f4(o)]}=φ

              P2(RK,v)=(yes,v*=(b{(si,oj,a)},M,f))

           否则 P2(RK,v)=(no,v)

           end

    规则3:主体si请求得到对客体oje访问权

    get-executeP3(RK,v)

           if σ1φ or γg or xe or σ2=φ then P3(RK,v)=(?,v)

           if eMij then P3(RK,v)=(no,v)

                          else P3(RK,v)=(yes,v*=(b{(si,oj,e)},M,f))

           end

    规则4:主体si请求得到对客体ojw访问权

    get-writeP4(RK,v)

           if σ1φ or γg or xw or σ2=φ then P4(RK,v)=(?,v)

           if wMij or [f1(s)<f2(oj) or f3(si) f4(oj)]

                  then P4(RK,v)=(no,v)

           if ={o|ob(si:r) and [f2(o)<f2(o) orf4(o)   f4(o)]}

                  {o|ob(si:a) and [f2(o)>f2(o) or f4(o) f4(o)]}

                  {o|ob(si:w) and [f2(o)f2(o) or f4(o)f4(o)]}=φ

           then P4(RK,v)=(yes,v*=(b{(si,oj,w)},M,f))

           else P4(RK,v)=(no,v)

           end

    规则5:主体si请求释放对客体ojrwea访问权

    release-read/write/append/executeP5(RK,v)

           if (σ1φ) or (γr) or (xr,w,a and e) or (σ2=φ)

                  then P5(RK,v)=(?,v)

                  else P5(RK,v)=(yes,v*=(b-{(si,oj,x)},M,f))

           end

    规则6:主体sλ请求授予主体si对客体ojrwea访问权

    give-read/write/append/execute P6(RK,v)

           if (σ1S) or (γg) or (xr,w,a and e) or (σ2=φ)

                  then P6(RK,v)=(?,v)

           if xMλj or cMλj then P6(RK,v)=(no,v)

                  else P6(RK,v)=(yes,(b,M[x]ij,f))

           end

    规则7:主体sλ请求撤销主体si对客体ojrwea访问权

    rescind-read/write/append/executeP7(RK,v)

           if (σ1S) or (γr) or (xr,w,a and e) or (σ2=φ) then

                  P7(RK,v)=(?,v)

           if xMλj or cMλj then P7(RK,v)=(no,v)

                  else P7(RK,v)=(yes, (b-{(si,oj,x)},M [x]ij,f))

           end

    规则8:改变静止客体的安全级

    change-fP8(RK,v)

           if (σ1φ) or (γc) or (σ2φ) or xF

    then P8(RK,v)=(?,v)

           if f1 or f3 or [(oj)f2(oj) or (oj)f4(oj) for jA(m)]

                                                           注:A(m)表示活动客体的集合

                  then P8(RK,v)=(no,v)

                  else P8(RK,v)=(yes,(b,M,f*))

           end

    规则9:主体s请求创建客体oj

    create-objectP9(RK,v)

           if σ1φ or γc or σ2=φ or (xe and φ) then

                  P9(RK,v)=(?,v)

           if jA(m) then P9(RK,v)=(no,v)

           if x=φ then P9(RK,v)=(yes,(b,M[{r,w,a,c}]ij,f))

                  else P9(RK,v)=(yes,(b,M[{r,w,a,c,e}]ij,f))

           end

    规则10:主体s请求删除客体oj

    delete-objectP10(RK,v)

           if σ1φ or γd or σ2=φ or xφ then

                  P10(RK,v)=(?,v)

           if cMij then P10(RK,v)=(no,v)

                  else P10(RK,v)=(yes,b,M [{r,w,a,c,e}]ij,1in,f))

           end

    六、系统的定义

    1R×D×V×V={(rK,dm,v*,v) | rKR,dmD,v*,vV}

           即,任意一个请求,任意一个结果(判断)和任意两个状态都可组成一个上述的有序四元组,这些有序四元组便构成集合R×D×V×V

           2.设ω={P1,P2,Ps}是一组规则的集合,定义W(ω)R×D×V×V.

                  (rk,?,v,v)W(ω) iff对每个i,1is,Pi(rk,v)=(?,v)

                  (rk,error,v,v)W(ω) iff存在i1,i2,1i1,i2s,使得对于任意的v*VPi1(rk,v)(?,v*)Pi2(rk,v)(?,v*)

    (rk,dm,v*,v)W(ω),dm?,dmerroriff存在唯一的i1is,使得对某个v*和任意的v**vPi(rk,v)(?,v**)Pi(rk,v)=(dm,v*)

    以上定义说明W(ω)只包含R×D×V×V中一部分四元组,或某些特定的四元组。若某(rk,dm,v*,v)W(ω),则说明该四元组一定满足上述定义中(3条)的某一条,亦即意味着在状态v下,发出某请求rk后,按照某条规则,其结果为dm,状态v转换成状态v*。因此W(ω)是由ω中的一组规则所定义的有序四元组所组成。

           3X×Y×Z={(x,y,z)|xX,yY,zZ},其中,

                  x=x1x2xt…是请求序列,X是请求序列集;

                  y=y1y2yt…是结果序列,Y是结果序列集;

                  z=z1z2zt…是状态序列,Z是状态序列集。

           任意一个请求序列,任意一个结果序列和任意一个状态序列均可组成一个有序三元组,X×Y×Z即由所有这样的有序三元组所构成。

           4.系统表示为∑(R,D,W(ω),z0),定义为:

           ∑(R,D,W(ω),z0)X×Y×Z,只含有其中一部分有序三元组,X×Y×Z中的有序三元组(x,y,z)∑(R,D,W(ω),z0),iff对每一个tT(xt,yt,zt,zt-1)W(ω)

           z0是系统的初始状态,通常表示为(φ,M,f)

              x=x1x2xt…是请求序列

                  y=y1y2yt…是结果序列;

                  z=z1z2zt…是状态序列

           (x,y,z)∑(R,D,W(ω),z0),则意味着对于所有的tT(xt,yt,zt,zt-1)W(ω),即符合ω所规定的操作规则。

    z0

    z1

    z2

    zt-1

    zt

    x1

    x2

    xt

    y1

    y2

    yt


           因此系统∑(R,D,W(ω),z0)是一个状态机,它从一个特定的初始状态z0开始,接受用户的一系列请求,按照W(ω)的规则给出相应的结果,并进行相应的状态转换,符合上述条件的所有可能的(x,y,z)组成系统。系统R就是由所有这些有序三元组(x,y,z)所组成。

           从初始状态z0出发,任何一个请求序列均可导致出一结果序列和状态序列,引起一系列的状态转换。

    七、系统安全的定义

           1.安全状态

                  一个状态v=(b,M,f)V,若它满足自主安全性,简单安全性和*—性质,那么这个状态就是安全的。

           2.安全状态序列

                  zZ是一状态序列,若对于每一个tTzt都是安全状态,则z是安全状态序列。

           3.系统的一次安全出现

                  (x,y,z)∑(R,D,W(ω),z0)称为系统的一次出现。

                  (x,y,z)是系统的一次出现,且z是一安全状态序列,则称(x,y,z)是系统∑(R,D,W(ω),z0)的一次安全出现。

           4.安全系统

                  若系统∑(R,D,W(ω),z0)的每次出现都是安全的,则称该系统是一安全系统。

    八、模型中的有关安全的结论

           BLP模型中证明了:

           1.这十条规则都是安全性保持的。(即若v是安全状态,则经过这十条规则转换后的状态v*也一定是安全状态)

           2.若z0是安全状态,ω是一组安全性保持的规则,则系统∑(R,D,W(ω),z0)是安全的。

           说明BLP模型所描述的系统是一个安全的系统。

    九、对BLP安全模型的评价

           BLP模型是最早的一种安全模型,也是最有名的多级安全策略模型。它给出了军事安全策略的一种数学描述,用计算机可实现的方式定义。它已为许多操作系统所使用。

           由于它描述的是军事安全策略,受到美国国防部的特别推崇,以致于在很长一段时期人们将多级安全策略等同于强制访问控制策略。

           优点:是一个最早地对多级安全策略进行描述的模型;

                   是一个严格形式化的模型,并给出了形式化的证明;

    是一个很安全的模型,既有自主访问控制,又有强制访问控制。

    控制信息只能由低向高流动,能满足军事部门等一类对数据保密性要求特别高的机构的需求。

                 

           1.总的来说,BLP模型“过于安全”。

                  上级对下级发文受到限制;

                  部门之间信息的横向流动被禁止;

                  缺乏灵活、安全的授权机制。

           不安全的地方:

                  低安全级的信息向高安全级流动,可能破坏高安全客体中数据完整性,被病毒和黑客利用。

    只要信息由低向高流动即合法(高读低),不管工作是否有需求,这不符合最小特权原则。

    高级别的信息大多是由低级别的信息通过组装而成的,要解决推理控制的问题。

    2.仔细分析BLP模型,其描述上尚有不安全的地方,还有待改进,缺乏记忆,造成不安全性。

    S

    r

    o2

    o3

    r

    时刻t1

    时刻t2

    释放对o2o3的访问权


    例如:设 o1> o2> o3> o4 S 的安全级同 o1

    S

    a

    o3

    o4

    r

    时刻t3

    S已含有o2o3的信息

    此时S可将o2的信息传送到o3

    (无记忆)

    又例如:

    oo

    r

    s2

    更高

    s1

    a


           改进:针对过安全:

    1.允许高安全级的主体在受控的情况下创建低安全级的客体。(解决从上到下流的问题)。

           .对客体安全级的动态约束,如(秘级,部门级,时限)。随客体内容进行动态约束(解决自上向下和横向)。

    .给主体发临时许可证,如(密级,部门级,时限)或(客体,权限,时限)。

           针对不安全问题:

           1.可否用“推”和“拉”来解决。用“拉”,而不用“推”。在计算机中“推”和“拉”如何实现?  “同级写”

           2.基于语义的动态控制;

           3.问题比较复杂。

    展开全文
  • 解决区块链三大问题的利器

    千次阅读 2016-11-18 13:10:52
    作者:高志豪(weibo.com/elwingao)虽然目前区块链技术发展飞快和日趋成熟,但仍有不少企业对应用区块链还有些顾虑,主要因为传统区块链技术要落地到商业应用特别是金融应用,仍有比较多问题,其中最大三大问题分别是...
  • 企业安全包括哪些事情 企业安全涵盖7领域 建议 互联网行业安全工作总结 互联网企业和传统企业在安全建设中的区别 总体上 传统企业和互联网企业在安全建设需求上的差异 安全建设 不同规模企业的安全管理 ...
  • 继续这一个系列,WEB后台--基于Token的WEB后台登录认证机制(并讲解其他认证机制以及cookie和session机制)。每个后端不得不解决的认证问题。这篇博客会顺带讲解session和cookie机制,希望大家有所收获!!!
  • 企业包括很多东西,包括源代码、文档、单元测试等等,这里主要介绍与开发息息相关的内容。一。企业库的应用模块:1.缓存应用模块(The Caching Application Block)。可以为应用程序加上本地缓存。2.加密应用模块...
  • 何谓“二上二下”部门预算机制?  这原本是机关为了规范执法部门“收支两条线”管理,节约开支,建始县结合实际,对部门预算采用了“二上二下”的编制程序。“二上”即各部门按部门预算编制要求,向财政部门...
  • ASP.NET大型企业OA平台+所有文档说明

    千次阅读 热门讨论 2015-06-17 10:25:07
    ******系统更新修改时间:2016年8月24日****** 这个OA系统是我之前从朋友那里花了不少RMB买来的,之后我修改...如果大家有需求的话,可以加我qq,文档包括:OA介绍、OA使用手册、目录文件说明、数据库存储过程、系...
  • Mysql、SqlServer、Oracle三大数据库的区别

    千次阅读 多人点赞 2019-03-31 10:53:45
    SQL Server 只能windows上运行没有丝毫开放性操作系统系统稳定对数据库十分重要Windows9X系列产品偏重于桌面应用NT server只适合小型企业而且windows平台靠性安全性和伸缩性非常有限象unix样久经考验尤其处理...
  • 6种核心安全机制(1)

    千次阅读 2016-09-01 14:48:35
    6种核心安全机制-加密、密钥、签名与证书安全机制之对称加密 秘钥:氛围加密秘钥和解密秘钥 明文:没有加密的信息 密文:加密了的信息 加密:明文到密文的过程 解密:密文->明文 过程 对称加密概念:加密端和解密的使用的...
  • 目录 一、分布式事物:本地...(2)阶段提交协议3PC (二)对于微服务,传统分布式事务存在的问题 二、CAP理论和BASE思想 1.CAP理论 一致性Consistency: 可用性Availability: 分区容错性PartitionToler...
  • Token认证机制

    千次阅读 2017-08-08 18:00:48
    几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但...
  • 区块链信用机制与应用场景介绍

    千次阅读 2018-07-30 11:41:08
    本文向大家介绍了区块链以及区块链信用机制,最后简要列举了区块链的商业应用。本文选自《区块链供应链金融》。 区块链简介 将有意义的事件记录下来,是形成人类文明的重要内容之一。《史记》生动地记录和展开了...
  • Device Mapper 机制

    千次阅读 2015-01-15 18:04:35
    本文结合具体代码对 Linux 内核中的 device mapper 映射机制进行了介绍。Device mapper 是 Linux 2.6 内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现...
  • 使用分布式账本目的是让每个节点都能够验证交易,而拜占庭将军问题与账本的一致性有关,即本文要讨论的共识机制(Consensus)。 区块链上的共识机制主要解决由谁来构造区块,以及如何维护区块链统一的问题,该问题...
  • 第十章 建立系统实用的危机管理机制 2006年是个多事之秋。 新年初始,《国际金融报》就毫不吝啬地在头版刊登了国际名酒芝华士的成本分析报告,称其成本低廉,是“变了味道的水”,随后引发了媒体铺天盖地的报道...
  • 1997年,中国出现第一个电子邮件系统,那是丁磊和陈磊华一起研究Hotmail邮件系统后,历时7个月开发的,在97年底完成,它是...笔者从以下几个方面对这企业邮箱的品牌进行对比:品牌实力,稳定性,安全性,反垃圾...
  • 风起云涌的物联网,随着国内外公司的入局,形式也逐渐明朗起来。物联网不仅仅是硬件接入的一个网,还是接入后,大数据的存储、分析和呈现,以及人工智能技术的深度介入,对各类企业的生产、运维、管理带来的改变。...
  • JAVA的三大体系

    万次阅读 2018-05-09 22:23:24
    J2EE是java三大体系之一。 Java分为三个体系,分别为Java SE(J2SE,Java2 Platform Standard Edition,标准版),JavaEE(J2EE,Java 2 Platform, Enterprise Edition,企业版),Java ME(J2ME,Java 2 Platform ...
  • 包括了一些开发者希望能够及早做出的决定,因为这些决定看起来是难以改变的. 如果发现一些决定并不像你想象的那么难以改变,那么他就不再与架构相关.这么下去,架构自然就浓缩成了一些重要的东西. 在架构模式中,层次...
  • 什么是共识机制 所谓“共识机制”,是通过特殊节点的投票,在很短的时间内完成对交易的验证和确认;对一笔交易,如果利益不相干的若干个节点能够达成共识,我们就可以认为全网对此也能够达成共识。 区块链作为一个去...
  • 字节跳动面经(一、二、+boss+hr面)

    万次阅读 多人点赞 2019-07-18 16:15:08
    面) A:一是现在网工就业不是那么好,因为更多的企业运用了云服务,我去买腾讯,阿里的云服务,他们给我接口和相关的配套就可以了。 同时也觉得和硬件相关的工作会比较有意思 Q:对现在自己学的专业的看法?(...
  • 商务智能与第方物流企业管理

    千次阅读 2008-11-18 18:12:00
    我国物流企业也从传统的以存储为主逐渐向配送一体化的现代物流企业发展,出现了专业物流服务企业即第方物流企业。物流管理不仅表现为实物流动,更表现为对计划、控制等蕴含于物流过程中的无形的管理的组织效率和...
  • ESB 企业服务总线基本内容概述

    千次阅读 热门讨论 2016-10-09 15:26:18
    ESB全称为Enterprise Service Bus,即企业服务总线。它是传统中间件技术与XML、Web服务等技术结合的产物。ESB提供了网络中最基本的连接中枢,是构筑企业神经系统的必要元素。整个架构体系里面分为个组件或子系统,...
  • 摘要: 在分布式系统中,经常需要利用健康检查机制来检查服务的可用性,防止其他服务调用时出现异常。自 1.12 版本之后,Docker 引入了原生的健康检查实现。本文将介绍Docker容器健康检查机制,以及在Docker Swarm ...
  • 本篇介绍:以恰当的合规机制实现数据跨国传输 本篇为第3篇/共5篇 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四) 引子 在2019年,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 228,115
精华内容 91,246
关键字:

企业三大机制包括