配合 RBAC 稽核機制之設計 -- 以製造業的採購流程為例

Abstract

在基本的資訊安全架構中，使用者身份識別 (Authentification)、執行權管制 (Access Control)、與稽核 (Audit) 三者組成資訊安全的基礎。在本論文中即以稽核機制做為主要的研究領域。 在執行權管制的理論中，以職務為基礎的執行權管制 (Role-Based Access Control，簡稱 RBAC) 相當適合用來表達企業內部複雜的管理原則。在此，我們根據以 RBAC 理論所描述之企業的授權資訊，對企業資訊資源的使用情形進行偵測與檢查，並將違反RBAC 授權資訊的事件即時告知稽核人員做出對應的處置。如此一來便可以將稽核服務提升至企業層次，用以輔助企業授權政策的實行。 本論文中提出RBAC稽核機制之架構以及運作的方式，並依據 RBAC 的特性，設計了「RBAC 政策制定介面」、「稽核軌跡的記錄項目」、與「稽核軌跡分析技巧」。最後，我們以實際的製造業採購流程為例，與「先進開發股份有限公司」的製造部主任陳東安先生做訪談，整理出符合企業實際運作的採購流程規範做為稽核系統應用的實例，詳述整個稽核過程與產出的結果，展示一個理論與實際結合的稽核系統之應用。

The user Authentication, Access Control, and Audit construct the foundation of the Information Security Architecture. In this paper, we focus the research on the System Audit. Role Based Access Control (RBAC) is one of the many Access Control theory suitable for expressing the enterprise management policy. We use this information to audit all RBAC system events. If the auditing system find any events that violate the policy, it will be reported to the auditor. In this paper we design an Audit Mechanism, in which several audit functions are working together to help auditors keep track of all RBAC system events. Finally we take Purchase Workflow as example for demonstrating how the auditing mechanism works.