涉密信息化应用系统安全保密功能设计分析

DesignandAnalysisoftheSecurityandSecrecyFunctionoftheSecret-relatedInformation

ApplicationSystem

渊中国兵器工业规划研究院袁北京100053冤

渊ChinaOrdnanceIndustryPlanningandResearchInstitute袁Beijing100053袁China冤

摘要院近年来袁随着我国各涉密单位的涉密信息化应用系统的逐渐普及袁系统中运行的涉密数据规模也在飞速增长袁这将容易产

生各类泄密隐患袁因此针对涉密应用系统的安全保密功能的完善迫在眉睫遥本文通过对涉密应用系统安全保密功能设计需求进行分析袁提出了符合国家保密局新出台的分级保护测评标准的设计思路袁对各涉密机关单位内部和国家层面的涉密领域信息化建设的发展与保密管理水平的提高具有重要意义遥

Abstract:Inrecentyears,withthegradualpopularizationofsecret-relatedinformationapplicationsystemsofvarioussecret-relatedunitsinChina,thescaleofsecret-relateddatarunninginthesystemisalsorapidlyincreasing,whichwilleasilycausevarioushiddendangersofsecrets,soforsecret-relatedapplicationsTheperfectionofthesystem'ssecurityandconfidentialityfunctionsisimminent.Thispaperanalyzesthedesignrequirementsforthesecurityandconfidentialityfunctionsofthesecret-relatedapplicationsystem,andputsforwardadesignideathatmeetsthenewclassificationprotectionevaluationstandardsissuedbytheStateSecurityBureau.Theimprovementofdevelopmentandconfidentialitymanagementisofgreatsignificance.

关键词院涉密应用系统曰安全保密曰功能设计曰分级保护测评Keywords:secretapplicationsystem曰securityandconfidentiality曰functiondesign曰hierarchicalprotectionevaluation中图分类号院TP311.5文献标识码院A文章编号院1006-4311渊2022冤02-170-03doi:10.3969/j.issn.1006-4311.2022.02.055

范杰奇FANJie-qi0引言随着我国信息化产业的不断发展袁各级涉密党政机关尧军工单位的信息化建设也逐渐渗透到各项工作当中遥由于较多涉密单位往往会涉及国家秘密信息袁因此在执行业务.com.cn. All Rights Reserved.工作及日常管理所使用的涉密应用系统需要具备较高的安全保密功能条件遥当前袁国家保密局针对涉密应用系统不断强化安全保密防护措施建设袁2020年新出台的最新涉密信息系统分级保护测评把握准则更是将涉密应用系统列为重点审查项目遥新标准要求各涉密单位的涉密应用系统须按照各项规定进行安全保密功能设计袁经过国家保密科技测评中心检测合格后才允许投入运行使用遥因此袁如何根据测评要求做好涉密应用系统安全保密功能的设计尤为重要遥1安全保密功能设计要求2020年袁由国家保密局设立的国家保密科技测评中心出台了新版涉密信息系统测评标准袁该标准中对涉密应用系统部分提出了更严格的测评要求袁强调系统的安全保密功能设计规范必须满足身份鉴别尧访问控制尧密级标志和安全审计等4项基本功能袁同时需要满足三员管理要求袁禁止使用超级管理员账号进行系统管理遥此外还要保证数据的安全域边界防护渊信息流向控制冤尧运行管理尧信息完整性检测和抗抵赖等要求遥涉密应用系统安全保密相关技术防护要求主要从以下5个方面中进行了规定院1.1密级标志新标准重点强调了对涉密应用系统中信息流向和知悉范围的控制袁而密级标志则是实现该功能的一项重要的控制技术遥密级是指包括系统用户和系统数据的密级等级袁密级标志是系统的一个安全标识袁主要作用是标识系统产生和输出信息的密级等级袁它是给电子文档等数据信息定义一个密级属性袁该属性与文档本身进行了绑定袁通要要要要要要要要要要要要要要要要要要要要要要要作者简介院范杰奇渊1992-冤袁男袁北京人袁工程师袁本科袁研究方向

为信息管理与信息系统遥过在系统中规定好不同密级的各模块以及各用户的策略袁进而实现涉密文档的访问控制及传输流向控制袁最大程度阻止知悉范围扩大遥目前国家保密科技测评中心过检的密级标志产品已逐渐成熟袁能够通过与涉密应用系统进行接口集成实现密级标志功能遥但由于该类产品及采购费用较高袁不能保证所有机关单位都能及时部署袁因此建议涉密应用系统在设计过程中要包括密级标志功能袁确保基本符合测评新标准遥在设计涉密应用系统时袁要实现密级标志与信息主体不可分离袁且不得被随意篡改遥1.2身份鉴别新标准要求对涉密网络中所有涉密应用系统的本地登录和远程登录通过野用户名+口令冶的方式进行用户身份鉴别袁并对口令复杂度做相应规范袁其中机密级增强的涉密网络要求采用USBKey+PIN码等双因子身份鉴别措施进行用户身份鉴别袁保证系统的安全访问遥1.3访问控制访问控制要求对系统内的主体和客体进行分级分类袁并制定相应的访问控制策略遥对于系统中涉密信息的访问控制袁要求主体控制到单个用户袁客体控制到信息类别渊如数据库尧数据表尧业务方向尧密级尧敏感程度划分的类别冤遥1.4安全审计安全审计通过记录普通用户和管理员的访问过程袁建立一套全面的尧有效的回溯和追查机制袁审计记录应包括事件发生的时间尧地点尧类型尧主体尧客体和结果遥安全审计应与身份鉴别尧访问控制尧信息完整性等安全功能紧密结合袁系统对所有用户的登录/注销尧具体操作做详细的日志记录袁并通过安全审计员和安全保密员分别对三员和普通用户的访问尧操作等行为进行审计袁保证系统的使用安全袁并且保证审计记录不被篡改尧伪造和非授权删除遥1.5系统三员管理ValueEngineering涉密应用系统应采用三员管理袁分别负责系统的运行尧安全保密和安全审计工作袁管理员不应具有非授权的用户业务权限袁三员应由本单位内部人员担任遥系统管理员主要负责系统的日常运行维护工作曰安全保密员主要负责系统的日常安全保密管理工作曰安全审计员主要负责对系统管理员尧安全保密员的操作行为进行审计跟踪分析和监督检查遥系统三员权限划分要求相互独立尧相互制约袁安全保密员和安全审计员不得由一人兼任遥三员为系统内置角色袁不可修改其权限范围遥不能使用超级管理员账号袁或将某一账号授权为超级管理员遥如果存在超级管理员账号袁应封存不使用遥2安全保密功能存在问题涉密应用系统在开发设计过程中往往侧重业务功能的设计袁却忽略对安全保密功能的重视袁因此涉密单位在部署涉密应用系统时通常会出现一些共性问题遥下面针对各类基本功能汇总了一些常见问题遥2.法根据应用系统密级来对系统运行数据的密级进行进一淤1涉密应用系统密级标志或不明确或无密级标志密级标志问题袁无步限制警示于曰袁容易使涉密数据分散传输且无法精确进行流向控制系统中各功能模块及菜单选项无密级标志和相关及追查袁进而导致低密级的用户访问到存储高密级数据的功能模块曰文件的访问控制盂系统中所上传的附件无密级标志功能袁易产生高密级的数据向低密级的用户进袁无法实现对行传递的数据信息榆曰系统用户无密级标志遥袁低密级用户可查看到高密级2.有效淤2登录口令没有设置更换周期身份鉴别问题袁同一个口令无限期令也能登录于曰登录口令没有长度和复杂度的限制袁即使设置空口鉴别盂曰满足机密增强型网络的要求榆曰空闲操作超过10分钟后登录未重新进行身份不支持USBkey+口令的双因子登录认证方式遥袁不能2.3访问控制问题控制措施淤数据密级超过涉密应用系统本身的密级但却没有户的访问权限于未将系统的模块按照其功能和密级来限制不同用曰袁对用户的角色和密级的控制不合规曰级用户可以查看高密级信息盂未对系统内的数据设置有效的访问控制策略袁或者高密级用户可以将高密袁低密级信息向低密级用户流转遥2.4原用户或管理员操作淤应用系统审计日志记录类型不全且不详细安全审计问题袁无法还能袁于导致当日志存储空间不够时安全审计人员不能及时系统无安全审计日志存储空间将满的告警提示功曰发现并转存以释放空间袁审计日志无法时刻保持记录最新状态遥窑171窑2.同时具备用户创建和用户访问控制权限的配置功能淤5三员功能划分不满足分级保护要求系统三员管理问题袁如系统管理员袁或者安全审计员既可以查看系统管理员和安全保密员的操作日志也可以查看一般用户的业务日志等高权限于存在超级管理员账号袁可越过三员本身进行操作甚至无审计日志袁兼具三员的全部功能甚至更曰袁无法实现三员的相互独立尧相互制约和相互监督功能遥3安全保密功能设计分析通过上述对涉密应用系统安全保密功能设计存在主要问题的分析袁应参照分级保护测评新标准中的相关要求将以下重点项进行设计改造院3.1密级标志功能设计涉密网络中的涉密应用系统密级包括秘密和机密曰系统中存储尧处理及传输的数据密级包括非涉密尧内部尧秘密和机密曰系统用户密级包括一般涉密和重要涉密遥为了将每一名使用涉密应用系统的用户与其可存储尧处理的数据信息实现密级的统一单位需根据实际处理的数据明确指定系统密级淤应用系统要有密级标志袁具体设计思路如下遥在部署应用系统时院遥涉密应用袁使用系统在登录界面和首页LOGO处需要标识对应的密级袁并严格禁止在系统中存储时袁必须指定用户密级于系统用户要有密级标志尧处理高于系统密级的数据袁且不可未经审批随意更改遥在系统管理员创建用户遥遥或直接创建的单个文件以其中文档内部标注的密级等级盂电子文档等系统数据要有密级标志遥系统中上传的作为该文档的密级标志袁文件夹或压缩包等形式的文件应以其中最高密级文件的等级作为整体的密级标志遥在保存数据前必须指定其密级袁否则不允许保存及传递遥在进行数据发送尧下载等操作时袁系统必须对收发双方的用户密级标志进行判断袁任何一方用户的密级低于数据密级时则无法完成相关操作非密榆尧内部系统各功能模块要有密级标志遥尧秘密尧机密等进行划分袁确定好各模块所允许遥功能模块需要按照运行处理的数据的最高密级袁非涉密模块无法运行涉密数据袁低密级模块无法运行高密级数据袁从而起到对各密级的用户使用过程中的访问控制作用遥3.2身份鉴别功能设计系统根据用户及权限规划设置用户及权限袁通过野用户名+口令冶方式控制用户的访问袁并对口令的长度尧复杂度和更换周期等做相应规范双因子身份鉴别措施增强冤要求系统三员和普通用户都要采用袁保证系统访问安全遥机密级袁即单点登录方式袁不能存在任何形USB+PIN码等式的野用户名+口令冶鉴别措施袁且不再设置修改口令尧口令有效天数尧口令到期提醒等功能性袁并确保不被非法授权地访问淤系统用户标识符由系统管理员统一生成遥具体方案如下袁院具有唯一10mi于尧修改和删除遥n提供重鉴别功能袁设置空闲操作时间渊通常为能由安全管理员解锁盂冤袁若身份鉴别失败超时后需重新进行身份鉴别袁同时形成审计事件作为告警记录袁则需对用户进行锁定遥袁并设定只遥通用户分开管理方式榆设置用户的口令密码策略袁采用一致的管理机制袁可以选择系统三员和普院.com.cn. All Rights Reserved.渊窑172窑1冤在用户登录系统时袁口令需要采用加密传输遥并在在数据库底层存储登录口令时采用MD5加密遥2冤系统三员及普通用户口令最短位数院设置用户口令长度不得少于设置的位数袁秘密级系统要求最少为8位袁机密级系统要求最少为10位遥3冤系统三员及普通用户口令有效天数院设置用户口令的更换周期袁机密级系统要求更换周期不得长于一周袁秘密级系统要求更换周期不得长于一个月遥口令失效后可以强制修改口令访问系统遥4冤系统三员及普通用户口令设置策略院必须包含大写字母尧小写字母尧数字或特殊字符渊四种至少选三种冤遥5冤用户登录失败次数院设置用户登录失败次数渊一般设置不超过5次冤袁超过后将锁定遥渊用户进行提前解锁一般为6冤用户登录失败锁定保持分钟数10分钟冤袁院设置用户锁定时间遥涉密系统锁定后只能由安全管理员为3.3访问控制功能设计系统通过建立专用的授权机制袁统一维护资源操作权限袁实现整个信息资源访问控制的管理维护袁在身份鉴别管理基础上实现已接入系统的授权管理及访问控制袁分配和管理不同角色的用户对资源数据的访问权限袁并在用户对数据的访问过程中进行精确的访问控制权模型和基于功能资源的授权访问控制模型淤授权管理模块采用基于角色的访问控制袁具体方案如下袁支持分布式渊RBAC冤院授授权体系尧交叉授权模式袁实现用户身份及权限的完整生命周期管理遥在授权的控制粒度上袁支持应用系统级的粗粒度授权和业务角色级的细粒度授权袁细粒度授权模式支持业务用户角色分配和角色权限管理等功能袁包括数据访问权限和功能访问权限等限分离于对用户按最小授权原则进行权限划分袁并为后续系统的接入提供扩展应用尧相互制约的原则袁避免逻辑上出现不受约束的超袁严格依照权遥级用户者不高于其密级的数据盂遥用户只能创建尧编辑遥尧查看尧传输与之密级匹配的或全保密管理员和安全审计员榆系统设置3个互相独立的管理员袁实际使用中院袁系统管理员应用系统管理尧安员间的权限能够相互制约尧互相监督尧避免了由于权限过于集中带来的安全风险遥3.4安全审计功能设计安全审计日志内容主要分为登录日志尧功能访问日志尧业务操作日志尧系统日志等遥登录日志主要记录用户登录和注销的时间尧用户名和登录IP地址曰功能访问日志主要记录用户登录的功能模块袁业务操作日志主要记录用户进行的业务操作曰系统日志主要记录一些系统资源使用情况或系统告警等方面的日志权限的更改淤安全审计范围包含系统内用户的增加和删除遥具体设计思路如下院尧三员和用户所实施的操作尧用户的违规操作尧用户尧身份鉴别相关事件尧访问控制相关事件尧涉密信息的输入输出操作等用户于尧操作对象审计日志内容包括事件发生的时间遥尧操作行为尧操作结果等信息尧I袁P系统日志记地址尧操作录类型应全且详细盂审计记录至少保存袁看日志可以还原用户或管理员操作6个月袁6个月以上的审计日志遥价值工程可以提供删除功能告警提示榆提供审计记录存储空间阈值设置袁并提供备份功能袁保留删除记录袁存储空间将满时遥虞审计日志时钟采用应用服务器时钟袁存储空间已满时自动转存审计数据遥份策略采用与业务数据管理和备份相同的策略愚审计日志存储与业务数据存储同步遥袁数据管理和备件进行查询舆审计日志可读性良好遥袁可按时间尧行为等多种方式进行排序袁可按用户名尧组织等多种条遥3.淤5三员管理功能设计1冤系统管理员用户功能权限根据业务实际配置袁调整包括系统配置遥尧登录控制尧日志保存等系统选项遥2冤建立维护单位和维护角色的信息袁可对相关信息进行增加尧删除尧修改操作遥3冤建立并维护业务用户账号袁且业务用户账号应唯一遥可对用户进行增加尧修改尧初始化密码尧修改密码尧设置所属单位尧删除已标记用户等遥4于冤修改安全管理员尧安全审计员密码遥1冤安全管理员用户功能权限业务角色授权与管理袁包括创建角色与功能授权遥尧查看角色用户尧标记删除角色等遥2冤业务用户授权与管理袁包括对用户设置所属职责尧分配角色尧激活使用与锁定等遥3冤查看业务用户及安全审计员操作日志袁监控操作行为袁提供查询尧排序尧搜索尧删除尧审计功能遥4冤备份业务用户及安全审计员操作日志袁提供导入尧导出功能遥5盂冤修改系统管理员密码遥1冤安全审计员用户功能权限对系统管理员和安全保密管理员的操作行为进行遥审计跟踪分析和监督检查遥2冤查看系统管理员和安全保密管理员操作日志袁提供查询尧排序尧搜索尧删除尧审计功能遥3冤备份系统管理员和安全保密管理员操作日志袁提供导入尧导出功能遥4冤修改系统管理员密码遥4结论国家保密局出台的分级保护测评新标准袁对各机关单位运行的涉密应用系统的安全保密功能设计提出了愈发严格的要求袁因此各单位在每套系统的设计过程中要认真遵循标准中的各项要求袁这不但有利于帮助各单位通过国家保密局组织的系统测评袁进而开展涉密业务及管理袁更有利于增强我国各项涉密领域的信息化安全保密防护建设水平袁既在技术层面保障了数据安全性袁也为实现我国保密管理整体实力的提升具有深远意义遥参考文献院[1]黄斌.安全应用系统软件的综合设计方法[J].计算机与网络袁2010渊22冤院60-62.

[2]李利民袁侯轩袁朱淑侦.军工企业OA系统的设计尧开发与应用[J].电脑开发与应用袁2013袁26渊2冤.

[3]杨娜袁薛瑛袁朱轲.军工企业涉密应用系统安全改造分析与设计[J].信息与电脑袁2016渊18冤.

[4]王会波.内网应用安全几点考虑[J].信息安全与通信保密袁2012渊1冤院45-46.

.com.cn. All Rights Reserved.