涉及國家秘密的信息系統需要實行分級保護,對信息系統安全進行合理分級、按標準進行建設、管理和監督。中國航天科技集團公司(以下簡稱:集團公司)各院所作為涉及國家秘密的重要單位,已經基本形成了基于神舟AVPDM的數字化管理體系,隨著國防軍工企業對于涉密信息化系統安全等級要求的進一步提高,集團公司各院所有必要加強和完善涉密應用系統建設。
一、總體思路
分級保護基本評測范圍包括物理隔離、安全保密產品選擇、安全域邊界防護、密級標識、用戶身份鑒別、訪問控制力度、信息傳輸加密、信息存儲加密、信息設備的電磁泄漏發射防護、邊界控制、違規外聯監控、安全保密管理機構、安全保密管理制度、安全保密管理人員、集成資質單位選擇等方面。
神舟AVPDM作為工程應用項目的重要工程研制管理軟件系統,需要重點處理信息安全保密問題。信息安全保密問題包括密級標識、身份鑒別、訪問控制、密碼保護、信息完整性校驗、系統安全性能檢測、安全審計與監控、抗抵賴、操作系統安全、數據庫安全、邊界防護與控制。
神舟AVPDM通過選擇安全技術、設備,形成滿足型號研制需要的業務應用安全體系保障,在選用業務數據安全保障技術、涉密數據處理技術和通用安全技術支持下,確保在各種安全手段和策略下,實現涉密數據的安全、可控。
二、系統實現
1.系統目標
神舟AVPDM依據涉密信息系統分級保護評測的標準,選用先進、成熟的安全控制技術,實現身份鑒別、密級標識、信息完整性校驗、訪問控制、應用安全審計等功能,確保系統的使用安全和數據安全,形成可滿足航天涉密應用要求的安全型號協同研制系統。
2.系統框架
神舟AVPDM分級保護體系結構如下圖所示。
從神舟AVPDM分級保護體系結構可見,安全體系主要由用戶身份鑒別、三員分權、密級保護、訪問控制、安全審計、信息完整性校驗、涉密信息存儲/備份/恢復七部分組成。
3.關鍵技術
(1)多級三員分權
神舟AVPDM提供站點、組織、產品、基礎庫等多類上下文,上下文間存在層級關系,將系統劃分為若干管理空間。通過上下文的劃分,神舟AVPDM支持單一單位獨立部署應用,也支持多單位集中部署應用。另外,根據用戶單位的部署和應用模式,系統使用時可提供多級三員管理的設置。
系統提供上下文體系下相互制約、相互監督為原則的三員分權,支持多級三員設置及分權,提供在站點、組織、產品等各范圍進行三權分立管理。上下文結構與三員劃分如下圖。
系統在站點、組織實現多級系統管理員、安全管理員和審計管理員創建及設置,在產品、基礎庫實現安全管理員及審計管理員的設置,并且三員在上下文體系下具有相應的管理范圍。其中,系統管理員負責指定上下文范圍的系統配置和日常管理;安全管理員負責指定上下文范圍的業務配置、權限配置方面的工作,并且負責對指定范圍普通用戶、審計管理員操作行為的審計;審計管理員負責對指定上下文范圍系統管理員、安全管理員操作行為的審計跟蹤分析和監督檢查。
(2)密級保護
系統可根據涉密信息的不同保密程度對涉密信息及涉密人員進行密級標識,支持對涉密人員在不同的型號產品中進行降密處理。在系統中可以設置涉密信息的業務對象包括文檔、圖樣、更改單等,涉密數據的實體文件都標識密級。在密級保護方面,涉密業務對象的密級與用戶在指定型號產品中的密級相關,用戶不能創建高于其密級的對象。業務對象的密級控制用戶是否不允許訪問此對象,密級拒絕具有一票否決效力,低密人員不得訪問高密信息。
用戶密級的變更,須經變更審批流程通過后,由安全保密管理員進行變更;涉密業務對象的密級屬性修改后自動寫入實體文件,使密級屬性與正文密級保持一致,并且當對象密級屬性與實體文件中密級不一致時,不允許發起審簽。下圖示意標識密級的對象間密級的關聯及影響。
此外,業務對象密級的修改通過單獨的操作和權限控制,密級修改的歷史會被記錄和形成審計日志,并且系統支持基于對象密級進行對象查詢和統計以及跨站點協同過程中密級保護。
(3)系統訪問控制
系統提供功能顯隱規則、對象訪問規則、業務規則(密級、專業等)三大類訪問控制途徑。
功能顯隱規則指定最終用戶可查看用戶界面的哪些功能,將僅對用戶公開其所需的必要功能和信息,能確保用戶無法查看禁止其查看的信息、無法操作禁止其操作的功能。
對象訪問規則包括策略域訪問控制規則、生命周期訪問控制規則、工作流訪問控制規則、對象實例訪問控制規則四類規則。其中:策略域訪問控制規則指定相應于某范圍內的各類型數據的用戶權限規則,當用戶將對某數據執行某操作時,系統將利用該數據關聯的策略域計算出用戶對數據的凈權限,由此控制用戶對數據的訪問操作;生命周期訪問控制規則在生命周期模板的特定狀態設置各用戶身份對此狀態對象的權限。當用戶對受生命周期管理的某數據執行某操作時,系統會根據對象的狀態及其關聯的生命周期模板,綜合計算用戶對數據的權限,由此對數據訪問進行控制;工作流訪問控制規則控制流程某環節的任務執行者對此環節的審閱數據的訪問和操作,僅對設置的流程環節有效,當流程某環節的審閱人對審閱數據執行某操作時,系統會綜合流程訪問控制規則計算用戶權限,由此對數據進行訪問控制;對象實例訪問控制規則控制用戶對特定版本的對象的訪問和操作,當授權范圍的用戶試圖訪問或操作此對象時,將具有設置的相關權限。
另外,密級和專業等業務規則通過人員身份條件與對象屬性條件進行運算的表達式規則表達特定條件的用戶對特定條件的對象具有哪些權限。密級業務規則前面已有描述,此處不再贅述。專業業務規則表達專業參與人員對專業對象具有哪些權限,專業參考人員對專業對象具有哪些權限,專業信任人員對專業對象具有哪些權限等規則。
此外,系統對信息的輸出進行嚴格控制,包括涉密數據防拷貝、對打印出口進行嚴格控制等。
(4)信息完整性校驗
為保證信息完整性,數據傳輸、存儲都進行加密,不存留臨時文件,并且系統進行涉密信息的有效性驗證。同站點服務器間文件傳輸進行加密,跨站點協同數據傳輸進行加密,文件柜存儲實體文件進行加密。簽署服務器、文件服務器的臨時文件(包括上傳、下載等操作產生的臨時文件)配置策略及時刪除,客戶端不存儲瀏覽的臨時文件。系統對于涉密數據及文件自動實現數字簽名和加密存儲,如果系統檢測到業務對象的數據庫中數據記錄的密級、編號、階段等信息被篡改,當訪問業務對象時,系統會進行提示,并禁止對該數據的訪問,同時生成審計日志。
(5)安全審計
系統為滿足審計需要,對重要的操作進行審計日志的記錄和管理。安全審計支持的主要功能包括分級審計、審計內容控制、審計記錄存儲、審計記錄保護等功能。其中:
分級審計即只有審計管理員和安全管理員能訪問審計管理,其他人員不能進入審計管理。根據審計管理員級別和安全管理員級別,區分其所能查看的人員日志范圍。
在審計內容控制方面,系統審計對象為引起系統狀態和系統數據發生變化的所有事件,事件的等級可以設定為警告、信息、重大事件、錯誤等,審計日志記錄事件發生的詳細的時間、IP地址、事件級別、主體、客體和結果等信息。
在審計記錄存儲方面,可以設定存儲空間的閥值,系統根據設定閾值進行審計日志的定期或定量自動轉儲,并支持存儲空間提醒等便捷功能。審計日志可以定期或定量自動轉儲,也可以手工進行轉儲。系統中可至少保留近六個月的日志信息。
在審計記錄查閱方面,具有查看審計記錄的人員可以根據需要定期查閱審計記錄。同時還提供按照后臺設定的時間期限,定期給安全保密管理員和安全審計管理員發送郵件,提醒其及時進行審計,通過審計記錄檢索功能,根據指定的條件(如時間范圍、主體、客體身份、行為類型)進行精確檢索和模糊檢索查詢,生成審計記錄檢索結果。
在審計記錄保護方面,在系統中只能對審計記錄進行查閱,不能進行修改、刪除操作,并且對審計記錄的查閱會形成審計記錄。如果系統檢測到審計日志的數據庫記錄被篡改,當查看審計日志時,系統會提示,并且禁止對審計日志的訪問,同時會生成審計日志,通知安全審計人員進行報警。
4.系統實現
神舟AVIDM(企業級產品協同研制管理平臺)作為支撐航天型號研制全生命周期過程管理的協同平臺,功能涵蓋產品數據管理、工藝過程管理、項目管理等。神舟AVPDM產品數據管理系統是神舟AVIDM的重要一員,其安全增強功能主要包括系統用戶身份鑒別、三員分權、密級保護、系統訪問控制、信息完整性校驗、安全審計等。
用戶身份鑒別:支持用戶名/密碼登錄和集成CA用戶登錄身份安全認證,提供密碼復雜度及更換周期限制、身份鑒別次數限制、操作超時身份重鑒別、密碼加密等安全增強功能。
三員分權:實現上下文體系下多級系統管理員、安全管理員、審計管理員的相互制約、相互監督為原則的三員分權,實現多級上下文體下系統管理人員的權限分離。
密級保護:系統實現涉密數據及涉密人員的密級標識。通過密級控制用戶對涉密數據的創建和訪問,并且保證文件實體的標識與對象屬性不可分離。
系統訪問控制:系統提供界面訪問控制、對象訪問控制和業務規則控制三類一體的訪問控制體系。
信息完整性校驗:系統實現數據傳輸加密、存儲加密,不存留臨時文件,并且系統進行涉密信息的有效性驗證。
安全審計:系統對重要的操作進行審計日志的記錄和管理,支持分級審計、審計日志查詢、審計日志訂閱、歷史日志轉儲等功能。
神舟AVPDM針對國防軍工行業信息安全管控需要,綜合采用數據傳輸/存儲加密、細粒度權限控制、三員分立的用戶制約監督機制等技術與手段,構建了符合軍工要求的數據安全保障體系,在集團公司各院所涉密信息系統建設過程中配合運行管理、備份與恢復等一系列業務安全措施,可有效保證系統的安全防護等級。
(審核編輯: 智匯小新)
分享
