对保密管理信息系统安全性设计的思考
2023-01-02贾聃周炜王平李洁
贾聃,周炜,王平,李洁
(北京航天长征飞行器研究所,北京 100076)
一直以来,我国都非常重视保密工作,保密工作是军工企业的一条红线,不可触碰。为了做好军工企业的保密管理工作,中共中央保密委员会办公室、国家保密局出台了《中共中央保密委员会关于加强国防工业保密管理工作的实施意见》,对于做好军工企业的保密管理工作提出了具体的工作指导,严格要求相关企业遵守保密规定。
进入新时期以来,国家在科技创新领域的投入越来越多,军工领域作为国家科技创新的前沿阵地,研制任务和预研创新的需求也不断增加,随之也带来了大量的保密管理问题,某研究所开展保密管理体系标准化流程研究,提出建立军工研究所的保密管理体系并进行实践。通过建立保密管理信息系统可以实现更加科学、合理、高效的保密管理,但保密管理信息系统本身就是保密安全的重要组成,在开展保密管理信息系统建设时,必须考虑系统自身的安全保密设计。针对保密管理信息系统安全的密级标识、应用安全性设计、数据备份与恢复开展思考,为实现保密管理新系统安全提供支撑。
1 密级标识
在保密管理信息系统中,实体权限使用对象继承密级接口的方式,为对象在实体权限校验中加入了关于密级验证的运算。一般运算规则为“防止涉密信息从高密级安全域流向低密级安全域”,即表现为低密级主体禁止访问高密级客体。
密级与信息主体的不可分离,保密管理信息系统中使用将密级与信息主体的关键信息一起进行签名的方式来进行防篡改,如果数据库中凭证或者项目的密级字段被篡改,系统将在前台页面给予提示。保密管理信息系统有关于加密解密的组件(接口)可用于进行签名及验证,加解密可用于验证密级标识的签名从而达到防篡改。实体权限提供实体对象继承密级接口的方式,使密级参与权限运算。
2 应用安全性
(1)身份鉴别。保密管理信息系统采用神舟航天软件技术有限公司ADP平台提供的身份鉴别策略进行用户身份鉴别。ADP的身份认证实现系统用户与非系统用户的身份鉴别,支持与其他认证系统的集成,同时支持多种身份认证方式。系统支持身份认证重鉴别问题,对于处于空闲状态超过一定时间的用户将被强制注销。同时对于登录成功和失败的用户,进行详细的日志审计。
(2)身份标识符。保密管理信息系统的管理员有权限可以创建用户身份标识,且规定用户身份标识在保密管理信息系统的全寿命周期中的唯一性,创建和修改身份标识时会进行唯一性校验。用户身份标识符不可变更,账号只能被冻结,不能被删除。系统用户管理模块的访问、操作授权是软件内置功能,运行时不能由管理员进行修改。三类管理员的账号信息在系统平台的初始化过程中直接形成,并且三类管理员按照国家保密规定可形成同级管理员。
(3)登录方式。保密管理信息系统采用ADP平台提供的登录策略进行登录。根据具体要求,主要登录方式为CA认证登录方式;当CA认证方式出现紧急故障时,可以临时切换用户名/密码的应急登录方式进行登录。对于用户名密码登陆方式,应注意用户账号是由用户名和域名组合的方式,管理员可以控制密码策略。
(4)访问控制。保密管理信息系统的访问控制组件可分为:功能权限、URL访问控制和实体权限。保密管理信息系统权限管理功能提供完整的权限定义、设定、检查等一系列功能,支撑应用系统实现功能、实体权限管理需求。功能权限主要用以实现功能菜单的访问控制,实体权限用以实现业务数据的精细化访问控制。对于URL访问控制,主要用来控制绕过系统操作界面直接访问系统处理逻辑的场景,通常是恶意访问系统的情况。
(5)数据完整性。保密管理信息系统对数据的完整性有如下保障:包含数据的存储、输入、输入控制。保密管理信息系统输入的存储数据分为存储在数据库中的涉及密级的少量数据(如用户密级)、存储在保密管理信息系统文件服务器中的数据两部分。
(6)系统三员管理。系统三员是指系统管理员、安全保密管理员和安全审计员。系统管理员负责保密管理信息系统运行环境参数的设置、系统维护和数据备份等系统管理工作;安全保密管理员负责用户的增、删(冻结)、改,用户权限的分配以及用户操作日志的管理等安全管理工作;安全审计员负责查看系统管理员及安全保密管理员操作日志的管理等安全审计工作。
(7)安全审计。审计管理主要用于监视不同用户的操作,跟踪用户操作轨迹,作为日后审计的主要依据。审计管理中记录的日志包括系统中所有域下不同用户操作不同对象的日志。当用户以管理员(审计管理员或安全管理员)身份登录审计工具时,只能看到当前登录域的日志信息,如果用户想查询其它域的审计信息,应切换到目标域下查询审计信息。
3 数据备份与恢复
通过对保密管理信息系统数据进行备份和恢复,以避免保密管理信息系统的数据损坏或丢失。备份部分主要包含了备份内容、备份内容的保留时长和备份方式。恢复部分主要阐述了应用系统、文件和数据库的恢复方式。
(1)备份。备份主要考虑备份内容、备份保留的时间以及备份方式。备份内容:需要备份的内容主要包括应用系统、文件和数据库。备份保留时间:虚拟带库存储按中心存储要求,在业务需求不提出长期保存的情况下不做磁带导出,即按照虚拟带库1季度的存储时长。备份方式:系统通过windows计划任务(Linux脚本)定时运行脚本执行数据库和文件自动备份,并提供每次备份日志说明备份情况,管理员需要定期查看备份日志,检查、处理异常情况。
(2)恢复。按照存储备份内容的硬件是否损坏恢复可以分为本地恢复和带库恢复两类,具体恢复方式如下。本地恢复:在存储备份的服务器并未发生损坏至存储硬盘中信息不可用的情况下,可使用本地恢复,以缩短恢复时间窗口。带库恢复:在存储备份的服务器发生损坏至存储硬盘中信息不可用的情况下,需要使用带库恢复,即将带库中备份的最新一天的数据恢复到新机器,进行系统恢复。
4 结语
针对某研究所保密管理信息系统,从系统密级标识、应用安全性设计、数据备份与恢复三个方面开展了系统安全性设计思考,为提升军工企业保密管理效率提供一些参考。
