涉密信息化應(yīng)用系統(tǒng)安全保密功能設(shè)計(jì)分析

范杰奇FAN Jie-qi

（中國兵器工業(yè)規(guī)劃研究院，北京100053）

0 引言

隨著我國信息化產(chǎn)業(yè)的不斷發(fā)展，各級涉密黨政機(jī)關(guān)、軍工單位的信息化建設(shè)也逐漸滲透到各項(xiàng)工作當(dāng)中。由于較多涉密單位往往會涉及國家秘密信息，因此在執(zhí)行業(yè)務(wù)工作及日常管理所使用的涉密應(yīng)用系統(tǒng)需要具備較高的安全保密功能條件。當(dāng)前，國家保密局針對涉密應(yīng)用系統(tǒng)不斷強(qiáng)化安全保密防護(hù)措施建設(shè)，2020 年新出臺的最新涉密信息系統(tǒng)分級保護(hù)測評把握準(zhǔn)則更是將涉密應(yīng)用系統(tǒng)列為重點(diǎn)審查項(xiàng)目。新標(biāo)準(zhǔn)要求各涉密單位的涉密應(yīng)用系統(tǒng)須按照各項(xiàng)規(guī)定進(jìn)行安全保密功能設(shè)計(jì)，經(jīng)過國家保密科技測評中心檢測合格后才允許投入運(yùn)行使用。因此，如何根據(jù)測評要求做好涉密應(yīng)用系統(tǒng)安全保密功能的設(shè)計(jì)尤為重要。

1 安全保密功能設(shè)計(jì)要求

2020 年，由國家保密局設(shè)立的國家保密科技測評中心出臺了新版涉密信息系統(tǒng)測評標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)中對涉密應(yīng)用系統(tǒng)部分提出了更嚴(yán)格的測評要求，強(qiáng)調(diào)系統(tǒng)的安全保密功能設(shè)計(jì)規(guī)范必須滿足身份鑒別、訪問控制、密級標(biāo)志和安全審計(jì)等4 項(xiàng)基本功能，同時需要滿足三員管理要求，禁止使用超級管理員賬號進(jìn)行系統(tǒng)管理。此外還要保證數(shù)據(jù)的安全域邊界防護(hù)（信息流向控制）、運(yùn)行管理、信息完整性檢測和抗抵賴等要求。涉密應(yīng)用系統(tǒng)安全保密相關(guān)技術(shù)防護(hù)要求主要從以下5 個方面中進(jìn)行了規(guī)定：

1.1 密級標(biāo)志

新標(biāo)準(zhǔn)重點(diǎn)強(qiáng)調(diào)了對涉密應(yīng)用系統(tǒng)中信息流向和知悉范圍的控制，而密級標(biāo)志則是實(shí)現(xiàn)該功能的一項(xiàng)重要的控制技術(shù)。密級是指包括系統(tǒng)用戶和系統(tǒng)數(shù)據(jù)的密級等級，密級標(biāo)志是系統(tǒng)的一個安全標(biāo)識，主要作用是標(biāo)識系統(tǒng)產(chǎn)生和輸出信息的密級等級，它是給電子文檔等數(shù)據(jù)信息定義一個密級屬性，該屬性與文檔本身進(jìn)行了綁定，通過在系統(tǒng)中規(guī)定好不同密級的各模塊以及各用戶的策略，進(jìn)而實(shí)現(xiàn)涉密文檔的訪問控制及傳輸流向控制，最大程度阻止知悉范圍擴(kuò)大。

目前國家保密科技測評中心過檢的密級標(biāo)志產(chǎn)品已逐漸成熟，能夠通過與涉密應(yīng)用系統(tǒng)進(jìn)行接口集成實(shí)現(xiàn)密級標(biāo)志功能。但由于該類產(chǎn)品及采購費(fèi)用較高，不能保證所有機(jī)關(guān)單位都能及時部署，因此建議涉密應(yīng)用系統(tǒng)在設(shè)計(jì)過程中要包括密級標(biāo)志功能，確?；痉蠝y評新標(biāo)準(zhǔn)。在設(shè)計(jì)涉密應(yīng)用系統(tǒng)時，要實(shí)現(xiàn)密級標(biāo)志與信息主體不可分離，且不得被隨意篡改。

1.2 身份鑒別

新標(biāo)準(zhǔn)要求對涉密網(wǎng)絡(luò)中所有涉密應(yīng)用系統(tǒng)的本地登錄和遠(yuǎn)程登錄通過“用戶名+口令”的方式進(jìn)行用戶身份鑒別，并對口令復(fù)雜度做相應(yīng)規(guī)范，其中機(jī)密級增強(qiáng)的涉密網(wǎng)絡(luò)要求采用USBKey+PIN 碼等雙因子身份鑒別措施進(jìn)行用戶身份鑒別，保證系統(tǒng)的安全訪問。

1.3 訪問控制

訪問控制要求對系統(tǒng)內(nèi)的主體和客體進(jìn)行分級分類，并制定相應(yīng)的訪問控制策略。對于系統(tǒng)中涉密信息的訪問控制，要求主體控制到單個用戶，客體控制到信息類別（如數(shù)據(jù)庫、數(shù)據(jù)表、業(yè)務(wù)方向、密級、敏感程度劃分的類別）。

1.4 安全審計(jì)

安全審計(jì)通過記錄普通用戶和管理員的訪問過程，建立一套全面的、有效的回溯和追查機(jī)制，審計(jì)記錄應(yīng)包括事件發(fā)生的時間、地點(diǎn)、類型、主體、客體和結(jié)果。安全審計(jì)應(yīng)與身份鑒別、訪問控制、信息完整性等安全功能緊密結(jié)合，系統(tǒng)對所有用戶的登錄/注銷、具體操作做詳細(xì)的日志記錄，并通過安全審計(jì)員和安全保密員分別對三員和普通用戶的訪問、操作等行為進(jìn)行審計(jì)，保證系統(tǒng)的使用安全，并且保證審計(jì)記錄不被篡改、偽造和非授權(quán)刪除。

1.5 系統(tǒng)三員管理

涉密應(yīng)用系統(tǒng)應(yīng)采用三員管理，分別負(fù)責(zé)系統(tǒng)的運(yùn)行、安全保密和安全審計(jì)工作，管理員不應(yīng)具有非授權(quán)的用戶業(yè)務(wù)權(quán)限，三員應(yīng)由本單位內(nèi)部人員擔(dān)任。

系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)工作；安全保密員主要負(fù)責(zé)系統(tǒng)的日常安全保密管理工作；安全審計(jì)員主要負(fù)責(zé)對系統(tǒng)管理員、安全保密員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查。系統(tǒng)三員權(quán)限劃分要求相互獨(dú)立、相互制約，安全保密員和安全審計(jì)員不得由一人兼任。三員為系統(tǒng)內(nèi)置角色，不可修改其權(quán)限范圍。不能使用超級管理員賬號，或?qū)⒛骋毁~號授權(quán)為超級管理員。如果存在超級管理員賬號，應(yīng)封存不使用。

2 安全保密功能存在問題

涉密應(yīng)用系統(tǒng)在開發(fā)設(shè)計(jì)過程中往往側(cè)重業(yè)務(wù)功能的設(shè)計(jì)，卻忽略對安全保密功能的重視，因此涉密單位在部署涉密應(yīng)用系統(tǒng)時通常會出現(xiàn)一些共性問題。下面針對各類基本功能匯總了一些常見問題。

2.1 密級標(biāo)志問題

①涉密應(yīng)用系統(tǒng)密級標(biāo)志或不明確或無密級標(biāo)志，無法根據(jù)應(yīng)用系統(tǒng)密級來對系統(tǒng)運(yùn)行數(shù)據(jù)的密級進(jìn)行進(jìn)一步限制；

②系統(tǒng)中各功能模塊及菜單選項(xiàng)無密級標(biāo)志和相關(guān)警示，容易使涉密數(shù)據(jù)分散傳輸且無法精確進(jìn)行流向控制及追查，進(jìn)而導(dǎo)致低密級的用戶訪問到存儲高密級數(shù)據(jù)的功能模塊；

③系統(tǒng)中所上傳的附件無密級標(biāo)志功能，無法實(shí)現(xiàn)對文件的訪問控制，易產(chǎn)生高密級的數(shù)據(jù)向低密級的用戶進(jìn)行傳遞；

④系統(tǒng)用戶無密級標(biāo)志，低密級用戶可查看到高密級的數(shù)據(jù)信息。

2.2 身份鑒別問題

①登錄口令沒有設(shè)置更換周期，同一個口令無限期有效；

②登錄口令沒有長度和復(fù)雜度的限制，即使設(shè)置空口令也能登錄；

③空閑操作超過10 分鐘后登錄未重新進(jìn)行身份鑒別；

④不支持USBkey+口令的雙因子登錄認(rèn)證方式，不能滿足機(jī)密增強(qiáng)型網(wǎng)絡(luò)的要求。

2.3 訪問控制問題

①數(shù)據(jù)密級超過涉密應(yīng)用系統(tǒng)本身的密級但卻沒有控制措施；

②未將系統(tǒng)的模塊按照其功能和密級來限制不同用戶的訪問權(quán)限，對用戶的角色和密級的控制不合規(guī)；

③未對系統(tǒng)內(nèi)的數(shù)據(jù)設(shè)置有效的訪問控制策略，低密級用戶可以查看高密級信息，或者高密級用戶可以將高密級信息向低密級用戶流轉(zhuǎn)。

2.4 安全審計(jì)問題

①應(yīng)用系統(tǒng)審計(jì)日志記錄類型不全且不詳細(xì)，無法還原用戶或管理員操作；

②系統(tǒng)無安全審計(jì)日志存儲空間將滿的告警提示功能，導(dǎo)致當(dāng)日志存儲空間不夠時安全審計(jì)人員不能及時發(fā)現(xiàn)并轉(zhuǎn)存以釋放空間，審計(jì)日志無法時刻保持記錄最新狀態(tài)。

2.5 系統(tǒng)三員管理問題

①三員功能劃分不滿足分級保護(hù)要求，如系統(tǒng)管理員同時具備用戶創(chuàng)建和用戶訪問控制權(quán)限的配置功能，或者安全審計(jì)員既可以查看系統(tǒng)管理員和安全保密員的操作日志也可以查看一般用戶的業(yè)務(wù)日志等；

②存在超級管理員賬號，兼具三員的全部功能甚至更高權(quán)限，可越過三員本身進(jìn)行操作甚至無審計(jì)日志，無法實(shí)現(xiàn)三員的相互獨(dú)立、相互制約和相互監(jiān)督功能。

3 安全保密功能設(shè)計(jì)分析

通過上述對涉密應(yīng)用系統(tǒng)安全保密功能設(shè)計(jì)存在主要問題的分析，應(yīng)參照分級保護(hù)測評新標(biāo)準(zhǔn)中的相關(guān)要求將以下重點(diǎn)項(xiàng)進(jìn)行設(shè)計(jì)改造：

3.1 密級標(biāo)志功能設(shè)計(jì)

涉密網(wǎng)絡(luò)中的涉密應(yīng)用系統(tǒng)密級包括秘密和機(jī)密；系統(tǒng)中存儲、處理及傳輸?shù)臄?shù)據(jù)密級包括非涉密、內(nèi)部、秘密和機(jī)密；系統(tǒng)用戶密級包括一般涉密和重要涉密。為了將每一名使用涉密應(yīng)用系統(tǒng)的用戶與其可存儲、處理的數(shù)據(jù)信息實(shí)現(xiàn)密級的統(tǒng)一，具體設(shè)計(jì)思路如下：

①應(yīng)用系統(tǒng)要有密級標(biāo)志。在部署應(yīng)用系統(tǒng)時，使用單位需根據(jù)實(shí)際處理的數(shù)據(jù)明確指定系統(tǒng)密級。涉密應(yīng)用系統(tǒng)在登錄界面和首頁LOGO 處需要標(biāo)識對應(yīng)的密級，并嚴(yán)格禁止在系統(tǒng)中存儲、處理高于系統(tǒng)密級的數(shù)據(jù)。

②系統(tǒng)用戶要有密級標(biāo)志。在系統(tǒng)管理員創(chuàng)建用戶時，必須指定用戶密級，且不可未經(jīng)審批隨意更改。

③電子文檔等系統(tǒng)數(shù)據(jù)要有密級標(biāo)志。系統(tǒng)中上傳的或直接創(chuàng)建的單個文件以其中文檔內(nèi)部標(biāo)注的密級等級作為該文檔的密級標(biāo)志，文件夾或壓縮包等形式的文件應(yīng)以其中最高密級文件的等級作為整體的密級標(biāo)志。在保存數(shù)據(jù)前必須指定其密級，否則不允許保存及傳遞。在進(jìn)行數(shù)據(jù)發(fā)送、下載等操作時，系統(tǒng)必須對收發(fā)雙方的用戶密級標(biāo)志進(jìn)行判斷，任何一方用戶的密級低于數(shù)據(jù)密級時則無法完成相關(guān)操作。

④系統(tǒng)各功能模塊要有密級標(biāo)志。功能模塊需要按照非密、內(nèi)部、秘密、機(jī)密等進(jìn)行劃分，確定好各模塊所允許運(yùn)行處理的數(shù)據(jù)的最高密級，非涉密模塊無法運(yùn)行涉密數(shù)據(jù)，低密級模塊無法運(yùn)行高密級數(shù)據(jù)，從而起到對各密級的用戶使用過程中的訪問控制作用。

3.2 身份鑒別功能設(shè)計(jì)

系統(tǒng)根據(jù)用戶及權(quán)限規(guī)劃設(shè)置用戶及權(quán)限，通過“用戶名+口令”方式控制用戶的訪問，并對口令的長度、復(fù)雜度和更換周期等做相應(yīng)規(guī)范，保證系統(tǒng)訪問安全。機(jī)密級（增強(qiáng)）要求系統(tǒng)三員和普通用戶都要采用USB+PIN 碼等雙因子身份鑒別措施，即單點(diǎn)登錄方式，不能存在任何形式的“用戶名+口令”鑒別措施，且不再設(shè)置修改口令、口令有效天數(shù)、口令到期提醒等功能。具體方案如下：

①系統(tǒng)用戶標(biāo)識符由系統(tǒng)管理員統(tǒng)一生成，具有唯一性，并確保不被非法授權(quán)地訪問、修改和刪除。

②提供重鑒別功能，設(shè)置空閑操作時間（通常為10min），超時后需重新進(jìn)行身份鑒別。

③若身份鑒別失敗，則需對用戶進(jìn)行鎖定，并設(shè)定只能由安全管理員解鎖，同時形成審計(jì)事件作為告警記錄。

④設(shè)置用戶的口令密碼策略，可以選擇系統(tǒng)三員和普通用戶分開管理方式，采用一致的管理機(jī)制：

1）在用戶登錄系統(tǒng)時，口令需要采用加密傳輸。并在在數(shù)據(jù)庫底層存儲登錄口令時采用MD5 加密。

2）系統(tǒng)三員及普通用戶口令最短位數(shù)：設(shè)置用戶口令長度不得少于設(shè)置的位數(shù)，秘密級系統(tǒng)要求最少為8位，機(jī)密級系統(tǒng)要求最少為10 位。

3）系統(tǒng)三員及普通用戶口令有效天數(shù)：設(shè)置用戶口令的更換周期，機(jī)密級系統(tǒng)要求更換周期不得長于一周，秘密級系統(tǒng)要求更換周期不得長于一個月?？诹钍Ш罂梢詮?qiáng)制修改口令訪問系統(tǒng)。

4）系統(tǒng)三員及普通用戶口令設(shè)置策略：必須包含大寫字母、小寫字母、數(shù)字或特殊字符（四種至少選三種）。

5）用戶登錄失敗次數(shù)：設(shè)置用戶登錄失敗次數(shù)（一般設(shè)置不超過5 次），超過后將鎖定。

6）用戶登錄失敗鎖定保持分鐘數(shù)：設(shè)置用戶鎖定時間（一般為10 分鐘），涉密系統(tǒng)鎖定后只能由安全管理員為用戶進(jìn)行提前解鎖。

3.3 訪問控制功能設(shè)計(jì)

系統(tǒng)通過建立專用的授權(quán)機(jī)制，統(tǒng)一維護(hù)資源操作權(quán)限，實(shí)現(xiàn)整個信息資源訪問控制的管理維護(hù)，在身份鑒別管理基礎(chǔ)上實(shí)現(xiàn)已接入系統(tǒng)的授權(quán)管理及訪問控制，分配和管理不同角色的用戶對資源數(shù)據(jù)的訪問權(quán)限，并在用戶對數(shù)據(jù)的訪問過程中進(jìn)行精確的訪問控制，具體方案如下：

①授權(quán)管理模塊采用基于角色的訪問控制（RBAC）授權(quán)模型和基于功能資源的授權(quán)訪問控制模型，支持分布式授權(quán)體系、交叉授權(quán)模式，實(shí)現(xiàn)用戶身份及權(quán)限的完整生命周期管理。在授權(quán)的控制粒度上，支持應(yīng)用系統(tǒng)級的粗粒度授權(quán)和業(yè)務(wù)角色級的細(xì)粒度授權(quán)，細(xì)粒度授權(quán)模式支持業(yè)務(wù)用戶角色分配和角色權(quán)限管理等功能，包括數(shù)據(jù)訪問權(quán)限和功能訪問權(quán)限等，并為后續(xù)系統(tǒng)的接入提供擴(kuò)展應(yīng)用。

②對用戶按最小授權(quán)原則進(jìn)行權(quán)限劃分，嚴(yán)格依照權(quán)限分離、相互制約的原則，避免邏輯上出現(xiàn)不受約束的超級用戶。

③用戶只能創(chuàng)建、編輯、查看、傳輸與之密級匹配的或者不高于其密級的數(shù)據(jù)。

④系統(tǒng)設(shè)置3 個互相獨(dú)立的管理員：系統(tǒng)管理員、安全保密管理員和安全審計(jì)員，實(shí)際使用中，應(yīng)用系統(tǒng)管理員間的權(quán)限能夠相互制約、互相監(jiān)督、避免了由于權(quán)限過于集中帶來的安全風(fēng)險(xiǎn)。

3.4 安全審計(jì)功能設(shè)計(jì)

安全審計(jì)日志內(nèi)容主要分為登錄日志、功能訪問日志、業(yè)務(wù)操作日志、系統(tǒng)日志等。登錄日志主要記錄用戶登錄和注銷的時間、用戶名和登錄IP 地址；功能訪問日志主要記錄用戶登錄的功能模塊，業(yè)務(wù)操作日志主要記錄用戶進(jìn)行的業(yè)務(wù)操作；系統(tǒng)日志主要記錄一些系統(tǒng)資源使用情況或系統(tǒng)告警等方面的日志。具體設(shè)計(jì)思路如下：

①安全審計(jì)范圍包含系統(tǒng)內(nèi)用戶的增加和刪除、用戶權(quán)限的更改、三員和用戶所實(shí)施的操作、用戶的違規(guī)操作、身份鑒別相關(guān)事件、訪問控制相關(guān)事件、涉密信息的輸入輸出操作等。

②審計(jì)日志內(nèi)容包括事件發(fā)生的時間、IP 地址、操作用戶、操作對象、操作行為、操作結(jié)果等信息，系統(tǒng)日志記錄類型應(yīng)全且詳細(xì)，看日志可以還原用戶或管理員操作。

③審計(jì)記錄至少保存6 個月，6 個月以上的審計(jì)日志可以提供刪除功能，并提供備份功能，保留刪除記錄。

④提供審計(jì)記錄存儲空間閾值設(shè)置，存儲空間將滿時告警提示，存儲空間已滿時自動轉(zhuǎn)存審計(jì)數(shù)據(jù)。

⑤審計(jì)日志時鐘采用應(yīng)用服務(wù)器時鐘。

⑥審計(jì)日志存儲與業(yè)務(wù)數(shù)據(jù)存儲同步，數(shù)據(jù)管理和備份策略采用與業(yè)務(wù)數(shù)據(jù)管理和備份相同的策略。

⑦審計(jì)日志可讀性良好，可按用戶名、組織等多種條件進(jìn)行查詢，可按時間、行為等多種方式進(jìn)行排序。

3.5 三員管理功能設(shè)計(jì)

①系統(tǒng)管理員用戶功能權(quán)限。

1）根據(jù)業(yè)務(wù)實(shí)際配置，調(diào)整包括系統(tǒng)配置、登錄控制、日志保存等系統(tǒng)選項(xiàng)。

2）建立維護(hù)單位和維護(hù)角色的信息，可對相關(guān)信息進(jìn)行增加、刪除、修改操作。

3）建立并維護(hù)業(yè)務(wù)用戶賬號，且業(yè)務(wù)用戶賬號應(yīng)唯一?？蓪τ脩暨M(jìn)行增加、修改、初始化密碼、修改密碼、設(shè)置所屬單位、刪除已標(biāo)記用戶等。

4）修改安全管理員、安全審計(jì)員密碼。

②安全管理員用戶功能權(quán)限。

1）業(yè)務(wù)角色授權(quán)與管理，包括創(chuàng)建角色與功能授權(quán)、查看角色用戶、標(biāo)記刪除角色等。

2）業(yè)務(wù)用戶授權(quán)與管理，包括對用戶設(shè)置所屬職責(zé)、分配角色、激活使用與鎖定等。

3）查看業(yè)務(wù)用戶及安全審計(jì)員操作日志，監(jiān)控操作行為，提供查詢、排序、搜索、刪 除、審計(jì)功能。

4）備份業(yè)務(wù)用戶及安全審計(jì)員操作日志，提供導(dǎo)入、導(dǎo)出功能。

5）修改系統(tǒng)管理員密碼。

③安全審計(jì)員用戶功能權(quán)限。

1）對系統(tǒng)管理員和安全保密管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查。

2）查看系統(tǒng)管理員和安全保密管理員操作日志，提供查詢、排序、搜索、刪除、審計(jì) 功能。

3）備份系統(tǒng)管理員和安全保密管理員操作日志，提供導(dǎo)入、導(dǎo)出功能。

4）修改系統(tǒng)管理員密碼。

4 結(jié)論

國家保密局出臺的分級保護(hù)測評新標(biāo)準(zhǔn)，對各機(jī)關(guān)單位運(yùn)行的涉密應(yīng)用系統(tǒng)的安全保密功能設(shè)計(jì)提出了愈發(fā)嚴(yán)格的要求，因此各單位在每套系統(tǒng)的設(shè)計(jì)過程中要認(rèn)真遵循標(biāo)準(zhǔn)中的各項(xiàng)要求，這不但有利于幫助各單位通過國家保密局組織的系統(tǒng)測評，進(jìn)而開展涉密業(yè)務(wù)及管理，更有利于增強(qiáng)我國各項(xiàng)涉密領(lǐng)域的信息化安全保密防護(hù)建設(shè)水平，既在技術(shù)層面保障了數(shù)據(jù)安全性，也為實(shí)現(xiàn)我國保密管理整體實(shí)力的提升具有深遠(yuǎn)意義。