資源信息化平臺與業務應用安全管理設計與應用

李大林，張 茜，金 濤

（北京神舟航天軟件技術有限公司，北京 100094）

1 平臺化安全管理需求分析

隨著大數據、云計算和人工智能等信息化技術的飛速發展，企業信息化建設朝著集成化、協同化和智能化的趨勢發展。國內外高端裝備制造業企業面向數字化轉型升級需求，紛紛通過平臺化路線，打造一種“互聯網+信息技術+工業系統”全方位深度融合的基礎設施。由于軍工企業多數信息系統屬于涉密系統，在實踐平臺化路線時，如何保障平臺以及業務應用的信息安全成為首要解決的問題。

1.1 滿足涉密信息系統分級保護相關要求

根據國家法律法規要求，軍工信息系統建設應以《涉及國家秘密的信息系統分級保護技術要求》（BMB17-2006）和《涉及國家秘密的信息系統分級保護管理規范》（BMB20-2007）為基礎，以《涉及國家秘密的信息系統分級保護方案設計指南》（BMB23-2008）進行全面的、針對性的、可操作性強的方案設計。因此，軍工企業信息化平臺與業務應用首先要滿足涉密信息系統分級保護的技術要求與規范。

涉密應用系統安全性要求主要體現在以下三個方面。

（1）身份鑒別

需要支持的登錄方式擴充、口令復雜度要求、口令更換周期限制、身份鑒別嘗試次數限制、身份重鑒別、口令加密存儲、加密傳輸和身份標識符不被非授權訪問、修改或刪除等。

（2）訪問控制

需要遵守低密人員不得訪問高密信息、授權主體能控制到單個用戶，客體能控制到信息類別、前臺頁面上的涉密信息，不允許執行非授權的打印、拷貝、粘貼、另存為和截屏等操作。

（3）安全審計

確定審計策略是否依據上下文分層級，確定審計事件范圍、應符合審計記錄內容組成要素要求、日志存儲將滿時應告警、應能轉儲、系統異常時應保證存儲審計記錄不被破壞、通過指定條件進行查詢、超期未查閱審計、異常事件通知及生成審計結果報告、保證審計記錄不被篡改、偽造和非授權刪除以及保證審計日志保存時間要求等。

1.2 平臺應沉淀共性安全管理服務

軍工企業實施平臺化戰略，需要建立全企業統一的底層平臺，用以支撐眾多的業務應用數據一致、功能聯通以及廣泛協同等需求。

由于科研生產和綜合管控兩大類的業務系統眾多，按照以往的建設模式，在安全管理上需要每個業務系統都要進行滿足分級保護要求的開發或升級改造等工作。尤其是微服務化后的系統功能顆粒度越來越細，形成了眾多的微應用（ APP ），如果仍然按照以往模式開展安管方面的建設，會造成巨大的資源浪費。因此，如果將多個業務系統（包括APP）共性的安全功能沉淀到平臺上，上層應用只需關心應用本身個性的安全管理功能，共性基礎安全管理功能均由平臺提供，則可大幅降低企業信息化建設成本，加快業務應用的建設進度，提升整個企業的效率。

1.3 平臺應沉淀共性安全管理服務

軍工企業實施平臺化戰略，需要建立全企業統一的底層平臺，用以支撐眾多的業務應用系統間的數據一致、功能聯通以及廣泛協同等需求。由于科研生產和綜合管控兩大類的業務系統眾多，按照以往的建設模式，在安全管理上需要每個業務系統都要進行滿足分級保護要求的開發或升級改造等工作。尤其是微服務化后的系統功能顆粒度越來越細，形成了眾多的微應用（ APP ），如果仍然按照以往模式開展安管方面的建設，會造成巨大的資源浪費。因此，如果將多個業務系統（包括 APP ）共性的安全功能沉淀到平臺上，上層應用只需關心應用本身個性的安全管理功能，共性基礎安全管理的功能均由平臺提供，則可大幅降低企業信息化建設成本，加快業務應用的建設進度，提升整個企業的效率。

2 平臺化安全管理策略

平臺的安全防護依照涉密環境中滿足分級防護要求，遵循“分層分級保護”基本原則，將平臺的安全策略劃分為 IaaS 層的安全防護、PaaS 層的安全防護和 SaaS 層的安全防護3個層面。其中，IaaS 層的安全防護由設施提供商提供，主要包括物理安全、主機安全、網絡安全、虛擬化安全和接口安全等功能；PaaS 層的安全防護由安全子平臺提供，主要包括防護技術、安全框架和安全服務等能力；SaaS 層的安全防護主要由各 APP 提供，包括平臺級的 APP安全、第三方 APP 安全和基于平臺的協同安全能能力。

3 平臺+工業應用安全管理方案設計

面向軍工企業平臺化安全管理需求，基于平臺化安全策略，提出平臺+工業應用安全管理方案，如圖 1所示。

圖 1 平臺+工業應用安全管理框架體系

平臺+工業應用安全管理框架主要由基礎設施安全層、平臺安全層和應用安全層三個層次的安全功能組成。其中，基礎設施安全主要由底層硬件提供商提供，本文不做詳細描述。

平臺安全層首先提供 PKI/CA、信息加密、HTTPS、安全傳輸和安全存儲等安全防護組件；在此基礎之上提供一個統一的安全框架，主要支撐平臺安全相關的統一基礎數據、多級的三員管理框架以及多租戶模式下的安全框架；同時對上層應用開放系列安全服務，主要包括密級、身份鑒別、訪問控制、安全審計、安全傳輸和安全存儲等。

應用安全層根據 APP 種類的不同，分別提出了包括平臺級 APP（原生 APP）、第三方 APP 及應用和基于平臺的協同類 APP 的安全防護方案。

3.1 平臺安全方案

（1）統一基礎數據

1）密級標識基礎數據。平臺提供密級標識的統一定義：公開、內部、秘密和機密。上述定義一般用于對涉密信息進行密級標識，為便于對涉密人員定密標密，平臺維護一套與其相對應的普通（對應公開）、一般（對應內部和秘密，內部一般按照秘密級進行管理）和重要（對應機密）基礎數據，并維護其對應關系。

接入應用系統密級定義與平臺定義不一致時，應維護接入系統密級定義基礎數據及其與平臺定義的對應關系（或由應用系統負責密級標識轉換），便于平臺統一對數據進行解釋。

提供密級基礎數據的維護功能，包括密級標識的增刪改查。對于有保密期限以及國家秘密標識符“★”有需求的用戶單位，提供標密工具實現。

2）用戶、組織基礎數據。平臺（含上層應用）維護一套用戶、組織基礎數據。提供用戶、組織基礎數據的維護功能，包括用戶及組織的增刪改查、用戶與組織的隸屬關系維護、組織支持多級組織等。可對用戶的狀態進行管理，包括鎖定、解鎖等。每個用戶對應唯一的身份標識符，不可修改。平臺統一基礎數據服務如圖2所示。

圖 2 平臺統一基礎數據服務

用戶、組織等信息來源于 HR 或人員主數據等系統時，由來源系統負責維護以及通過分級保護測評，平臺僅使用相關基礎數據，不進行任何的管理維護操作。

（2）平臺三員管理

三員中的管理員只能訪問指定的功能 APP，平臺級的公共 APP 三類管理員均可訪問。平臺三員管理見下表。

表 平臺三員管理

?

1）用戶管理中心 APP。用戶管理中心 APP 主要為系統管理員提供搜索用戶、查看用戶、添加新用戶和修改用戶等功能。可修改用戶的相關屬性，不允許修改用戶名；可根據用戶對象的屬性檢索用戶；可顯示用戶屬性（包括頭像），注意需要區分本級用戶和子級用戶；提供手工添加、批量導入和集成接入三種方式添加新用戶。

集成 HR 后，平臺用戶管理中心只能查看用戶信息，新增、修改、刪除等在 HR 系統中操作。

2）設置中心 APP。設置中心 APP 主要為系統管理員提供資源配置、平臺界面設置、平臺服務設置、APP 初始化設置工具配置和傳輸環境配置等功能。可提供平臺客戶端到服務器、APP 到平臺數據傳輸環境配置；可提供平臺使用的各類服務器、中間件等基礎設施的運行參數配置；可提供平臺界面風格、布局調整、顯示位置等配置；可控制平臺級服務的開啟與關閉；提供具有復雜配置特點的應用 APP 的初始化；并提供 ETL 工具等配置，以及平臺對象默認打開工具等。

3）監控運維中心 APP。監控運維中心應用 APP 主要為系統管理員提供在線用戶列表、平臺運行信息、APP 監控和云監控等功能。可顯示目前在線的用戶列表，針對每一個用戶查看其 IP 地址、登錄時間等；可查看平臺運行信息，包括服務器運行情況、資源占用情況和負載情況等；可監控 APP 使用情況，如當前最活躍的 APP 等；并提供云服務監控功能等。

4）授權管理 APP。授權管理以獨立 APP 方式呈現，專供安全管理員進行授權設置。平臺級權限授予如圖3所示。

圖 3 平臺級權限授予

平臺安全管理員可對不同的角色，不同的用戶授予應用 APP 的使用權限，APP 內的功能權限以及數據權限由APP的安全管理員授予。安全管理員授權過程如圖4所示

圖 4 安全管理員授權過程

5）保密設備中心 APP。保密設備中心安全管理的對象主要為接入平臺，并在平臺注冊的保密設備，主要有USB Key、保密打印機等。主要功能有設備注冊、設備配置、設備監控、設備日志查看和設備安全預警等。

新的設備接入平臺首先由責任主體申請注冊，審批許可后進行必要的配置，限定設備使用的范圍、功能的范圍、能夠采集、處理和輸出等數據范圍。安全管理員對設備的運行情況進行監控，定義相關事件并形成日志，設定安全預警項，并能夠實時通知到責任主體，具備必要時斷開并終止該設備的能力。

6）保密監控看板 APP。保密監控看板 APP 主要為安全管理員使用，監控范圍包括普通用戶對涉密對象的操作、平臺安全事件等。針對普通用戶對涉密對象的操作主要有可選定用戶監控，可選定涉密對象監控；監控的安全事件包括用戶鎖定、非法訪問和日志存儲容量超閾值等。

7）日志審計 APP。審計 APP 按照審計普通用戶、系統管理員和安全管理員的不同分成三個不同的 APP，均具備審計策略設置、日志審計和生成報告等功能。平臺日志監控機制如圖5所示。

圖 5 平臺日志監控機制

日志屬性主要包括主體（用戶、標識）、來自應用、時間、客體（類型、標識）、描述（事件、情景、動作和結果）、成功失敗標志、密級、日志級別及類型、IP、計算機名和 MAC 等。審計內容主要包括服務器啟動和關閉、審計功能的啟動和關閉、平臺內用戶的增加和刪除、用戶權限的更改、三員和普通用戶的操作、涉密數據的操作、身份鑒別相關事件、訪問控制相關事件、其他與系統安全相關的事件或專門定義的可審計事件等。

（3）平臺多級三員體系

平臺多級三員體系如圖6所示。

圖 6 平臺多級三員體系

平臺在多級部署時，安全管理需要按照部署層級設立多級三員。以三級部署為例，三級平臺的用戶為當前層級平臺的用戶，并設立本層級的三員；二級平臺的用戶包括當前平臺以及其下子平臺的注冊用戶，并設立本層級的三員，下級平臺的三員在本級平臺為普通用戶，依次類推。需要和其他層級平臺協同時，按照層級關系，下層平臺向上層平臺注冊協同用戶。

（4）平臺安全服務

平臺開放公共安全服務，為平臺上的業務應用（包括APP）提供基礎的安全支撐。目前開放的服務包括密級服務、身份鑒別服務以及訪問控制服務三類，具體如下：

1）密級服務。密級服務主要包括標密服務、密級映射兩類。標密服務的標密對象包括用戶、平臺產生的涉密對象、實體文件等。涉密對象的密級由創建者在創建時標密，用戶的密級由安全管理員統一進行標密，用戶的平臺密級為訪問各 APP 的最高密級。

密級映射服務主要應用在 APP（多為接入系統）密級定義與平臺不一致時，當數據流向平臺時進行密級映射，由平臺統一解釋。

2）身份鑒別服務。平臺提供的身份鑒別方式包括用戶名/口令、PKI/CA 兩類。口令方式提供口令的過期檢查、密碼復雜度檢查和判斷重復等服務，口令長度約束不少于10位；口令復雜度約束要求口令包括字母（大小寫）、數字和符號混合；口令可以使用的期限約束不長于7天，過期前進行提醒；口令非明文傳輸，非明文存儲（由傳輸安全及存儲安全保證）；口令重置時禁止設置為原口令。

當用戶身份鑒別成功后，其空閑操作時間超過10分鐘時，對該用戶重新進行身份鑒別；身份鑒別嘗試次數不多于5次，失敗達到限制次數后，臨時鎖定用戶，同時形成審計事件。平臺提供統一身份認證服務，實現 APP 單點登錄。統一身份認證示意如圖7所示。

圖 7 統一身份認證示意

主要認證流程及注意事項如下：用戶登錄平臺（口令或 CA 方式）；登錄需要二次驗證的應用系統，通過設置可以選擇其中一種，二次登錄應用系統和可選擇重登錄或協議級驗證；只操作APP不算空閑時間。

3）訪問控制服務。平臺訪問控制服務為用戶角色管理與資源訪問控制服務，可以創建、管理用戶角色，并對平臺內的資源（接入保密設備、APP）具有操作權限。

角色包括內置角色（系統管理員、安全管理員、審計管理員）和普通角色（可自定義）兩類。平臺可將一個用戶賦予多個角色，多個角色分配不同的授權策略，或直接向用戶分配授權策略。授權策略按照適用對象可分為系統授權策略和用戶自定義授權策略。系統授權策略主要支撐平臺三員分權，可控制是否啟用三員角色，初始化后不可修改。

用戶自定義授權策略主要支撐用戶可訪問的 APP 資源，如可授予某專業仿真工程師角色具有與其專業相關的設計類、仿真類 APP 的訪問權限。授權策略按照控制內容可分為密級控制、實體權限控制和功能權限控制三類，APP 可利用平臺授權策略，將控制點注冊到平臺，使用相關服務。

密級控制主要為低密人員不得訪問高密信息，啟用三員管理后此策略為平臺全局控制策略，擁有最高優先級。

功能權限控制主要針對 APP 的訪問權限進行控制，用戶可根據需求自定義。一些 APP 需要復雜的功能顯隱控制，可在平臺對 APP 實例所在的安全域進行控制點注冊，利用平臺功能權限控制服務實現菜單或操作入口的顯隱等細粒度的控制。

實體對象權限一般在 APP 中進行控制，當在平臺中暫存時，仍需要對實體對象的權限進行控制，控制原則參照實體在來源系統中的權限設置。權限可被繼承以及轉移。雙向授權如圖8所示，權限繼承與一鏈轉移如圖9所示。

圖 8 雙向授權

圖 9 權限繼承與一鍵轉移

3.2 工業應用安全方案

（1）平臺級 APP 安全

平臺級 APP 數據安全如圖10所示。

圖 10 平臺級 APP 數據安全

平臺級 APP 僅需對自有數據訪問進行控制，功能權限由平臺控制。

在某些需要平臺對各應用系統數據進行統一管理的情況下，平臺提供獨立的數據管理 APP。實體權限較為復雜的數據管理 APP 需考慮兩種實體權限的控制：映射對象和鏈接對象。對于鏈接對象，由數據提供方 APP 負責控制，對于實體對象由平臺數據管理 APP 負責控制。

（2）第三方應用安全

第三方應用主要接入平臺的安全服務，包括統一基礎數據接入，實現密級、用戶、組織機構、用戶與組織機構的隸屬關系以及角色的數據；統一身份認證服務接入，實現第三方 APP 單點登陸；統一日志服務接入將 APP 日志統一記錄到平臺提供的日志數據庫。

對于三員管理，平臺提供三員用戶，三員分權由 APP自行按照實際情況實現。

對于訪問控制，細粒度的功能權限的實現可將控制點注冊到平臺，由平臺控制，也可自行控制。實體權限由APP 自行控制。

（3）協同類 APP 安全

1）即時通信 APP。即時通信 APP 的安全管理，主要通過共享區來控制。共享區分為帶密和公開兩類，分別設置為帶密共享區和公開共享區，即時通信 APP 安全如圖11所。

圖 11 即時通信 APP 安全

帶密共享區的密級設置為秘密；根據密級邀請滿足要求的人員參加；根據密級檢查使用的資料；所有過程和記錄滿足分級保護審計。

公開共享區為公開的共享區，參與人員首次參與系統提醒“請注意遵守分級保護要求，確認不將涉密資料帶入共享討論區”；所有過程和記錄滿足分級保護審計。

2）搜索 APP。對于平臺級搜索 APP，在搜索時只展示經過密級過濾、權限過濾后的搜索結果。對于密級檢查符合，無權限的搜索內容，只給出“平臺搜索出XX條內容，因無訪問權限不予展示”。對于密級高于搜索者密級的內容，不予展示，也不給出相關信息。

3）分享服務。對于平臺分享服務，被分享的信息密級必須低于接收人；信息分享到接收人時同時賦予該接收人訪問權限，信息以臨時文件形式存儲，且為只讀，并進行了防拷貝處理；在分享時需設置分享時長，過期自動刪除，或采用“閱后即焚”機制。分享服務安全如圖12所示。

圖 12 分享服務安全

4 技術實現及典型應用

某總體單位實施了智能制造支撐平臺，如圖13所示。智能制造支撐平臺（Aerospace Smart Platform）是企業級操作系統，為現有和未來工業應用提供核心“基座”，可兼容傳統 IT 設備，私有云和公有云環境，兼容主流工業軟件、應用系統（如 PDM、ERP、MES）和制造裝備，為各類企業應用（單體應用、APP 應用）提供個性運行支持及系列公共服務，是支撐傳統 IT 應用向工業互聯網應用，向數據智能應用發展的基礎軟件平臺。其中安全管理系統使用了本文方案實現并應用。技術架構如圖 14所示。

圖 13 某總體單位平臺化建設框架

圖 14 ASP安全管理技術框架

平臺提供了23個 APP 及服務包括搜索、即時通信、門戶、任務中心、消息中心，收藏、分享和推介等服務；集成了10余種應用系統，包括 PDM、計劃管理、流程引擎、主數據管理、知識管理和工具庫等不同廠商、不同技術體系的系統；支撐了包括總體、結構、彈道和姿控等11個專業子系統的建設。這些 APP、業務系統均由安全管理系統提供安全服務支撐，并通過了分保測評，現已上線應用，支撐了多個型號研制及發射任務。

5 結束語

軍工企業以平臺化路線實踐數字化轉型逐漸成為主流做法。針對軍工涉密平臺+工業應用信息化建設模式中的安全管理關鍵問題，分析了建設需求，提出了平臺+工業應用安全管理框架，設計了平臺安全、應用安全的方案，并在某總體單位進行了應用實踐，應用效果顯示本文提出的安全管理設計方案可滿足軍工企業信息化平臺與業務應用的建設需求，可有效支撐軍工企業數字化轉型。