涉密信息化應用系統安全保密功能設計分析

范杰奇FAN Jie-qi

（中國兵器工業規劃研究院，北京100053）

0 引言

隨著我國信息化產業的不斷發展，各級涉密黨政機關、軍工單位的信息化建設也逐漸滲透到各項工作當中。由于較多涉密單位往往會涉及國家秘密信息，因此在執行業務工作及日常管理所使用的涉密應用系統需要具備較高的安全保密功能條件。當前，國家保密局針對涉密應用系統不斷強化安全保密防護措施建設，2020 年新出臺的最新涉密信息系統分級保護測評把握準則更是將涉密應用系統列為重點審查項目。新標準要求各涉密單位的涉密應用系統須按照各項規定進行安全保密功能設計，經過國家保密科技測評中心檢測合格后才允許投入運行使用。因此，如何根據測評要求做好涉密應用系統安全保密功能的設計尤為重要。

1 安全保密功能設計要求

2020 年，由國家保密局設立的國家保密科技測評中心出臺了新版涉密信息系統測評標準，該標準中對涉密應用系統部分提出了更嚴格的測評要求，強調系統的安全保密功能設計規范必須滿足身份鑒別、訪問控制、密級標志和安全審計等4 項基本功能，同時需要滿足三員管理要求，禁止使用超級管理員賬號進行系統管理。此外還要保證數據的安全域邊界防護（信息流向控制）、運行管理、信息完整性檢測和抗抵賴等要求。涉密應用系統安全保密相關技術防護要求主要從以下5 個方面中進行了規定：

1.1 密級標志

新標準重點強調了對涉密應用系統中信息流向和知悉范圍的控制，而密級標志則是實現該功能的一項重要的控制技術。密級是指包括系統用戶和系統數據的密級等級，密級標志是系統的一個安全標識，主要作用是標識系統產生和輸出信息的密級等級，它是給電子文檔等數據信息定義一個密級屬性，該屬性與文檔本身進行了綁定，通過在系統中規定好不同密級的各模塊以及各用戶的策略，進而實現涉密文檔的訪問控制及傳輸流向控制，最大程度阻止知悉范圍擴大。

目前國家保密科技測評中心過檢的密級標志產品已逐漸成熟，能夠通過與涉密應用系統進行接口集成實現密級標志功能。但由于該類產品及采購費用較高，不能保證所有機關單位都能及時部署，因此建議涉密應用系統在設計過程中要包括密級標志功能，確保基本符合測評新標準。在設計涉密應用系統時，要實現密級標志與信息主體不可分離，且不得被隨意篡改。

1.2 身份鑒別

新標準要求對涉密網絡中所有涉密應用系統的本地登錄和遠程登錄通過“用戶名+口令”的方式進行用戶身份鑒別，并對口令復雜度做相應規范，其中機密級增強的涉密網絡要求采用USBKey+PIN 碼等雙因子身份鑒別措施進行用戶身份鑒別，保證系統的安全訪問。

1.3 訪問控制

訪問控制要求對系統內的主體和客體進行分級分類，并制定相應的訪問控制策略。對于系統中涉密信息的訪問控制，要求主體控制到單個用戶，客體控制到信息類別（如數據庫、數據表、業務方向、密級、敏感程度劃分的類別）。

1.4 安全審計

安全審計通過記錄普通用戶和管理員的訪問過程，建立一套全面的、有效的回溯和追查機制，審計記錄應包括事件發生的時間、地點、類型、主體、客體和結果。安全審計應與身份鑒別、訪問控制、信息完整性等安全功能緊密結合，系統對所有用戶的登錄/注銷、具體操作做詳細的日志記錄，并通過安全審計員和安全保密員分別對三員和普通用戶的訪問、操作等行為進行審計，保證系統的使用安全，并且保證審計記錄不被篡改、偽造和非授權刪除。

1.5 系統三員管理

涉密應用系統應采用三員管理，分別負責系統的運行、安全保密和安全審計工作，管理員不應具有非授權的用戶業務權限，三員應由本單位內部人員擔任。

系統管理員主要負責系統的日常運行維護工作；安全保密員主要負責系統的日常安全保密管理工作；安全審計員主要負責對系統管理員、安全保密員的操作行為進行審計跟蹤分析和監督檢查。系統三員權限劃分要求相互獨立、相互制約，安全保密員和安全審計員不得由一人兼任。三員為系統內置角色，不可修改其權限范圍。不能使用超級管理員賬號，或將某一賬號授權為超級管理員。如果存在超級管理員賬號，應封存不使用。

2 安全保密功能存在問題

涉密應用系統在開發設計過程中往往側重業務功能的設計，卻忽略對安全保密功能的重視，因此涉密單位在部署涉密應用系統時通常會出現一些共性問題。下面針對各類基本功能匯總了一些常見問題。

2.1 密級標志問題

①涉密應用系統密級標志或不明確或無密級標志，無法根據應用系統密級來對系統運行數據的密級進行進一步限制；

②系統中各功能模塊及菜單選項無密級標志和相關警示，容易使涉密數據分散傳輸且無法精確進行流向控制及追查，進而導致低密級的用戶訪問到存儲高密級數據的功能模塊；

③系統中所上傳的附件無密級標志功能，無法實現對文件的訪問控制，易產生高密級的數據向低密級的用戶進行傳遞；

④系統用戶無密級標志，低密級用戶可查看到高密級的數據信息。

2.2 身份鑒別問題

①登錄口令沒有設置更換周期，同一個口令無限期有效；

②登錄口令沒有長度和復雜度的限制，即使設置空口令也能登錄；

③空閑操作超過10 分鐘后登錄未重新進行身份鑒別；

④不支持USBkey+口令的雙因子登錄認證方式，不能滿足機密增強型網絡的要求。

2.3 訪問控制問題

①數據密級超過涉密應用系統本身的密級但卻沒有控制措施；

②未將系統的模塊按照其功能和密級來限制不同用戶的訪問權限，對用戶的角色和密級的控制不合規；

③未對系統內的數據設置有效的訪問控制策略，低密級用戶可以查看高密級信息，或者高密級用戶可以將高密級信息向低密級用戶流轉。

2.4 安全審計問題

①應用系統審計日志記錄類型不全且不詳細，無法還原用戶或管理員操作；

②系統無安全審計日志存儲空間將滿的告警提示功能，導致當日志存儲空間不夠時安全審計人員不能及時發現并轉存以釋放空間，審計日志無法時刻保持記錄最新狀態。

2.5 系統三員管理問題

①三員功能劃分不滿足分級保護要求，如系統管理員同時具備用戶創建和用戶訪問控制權限的配置功能，或者安全審計員既可以查看系統管理員和安全保密員的操作日志也可以查看一般用戶的業務日志等；

②存在超級管理員賬號，兼具三員的全部功能甚至更高權限，可越過三員本身進行操作甚至無審計日志，無法實現三員的相互獨立、相互制約和相互監督功能。

3 安全保密功能設計分析

通過上述對涉密應用系統安全保密功能設計存在主要問題的分析，應參照分級保護測評新標準中的相關要求將以下重點項進行設計改造：

3.1 密級標志功能設計

涉密網絡中的涉密應用系統密級包括秘密和機密；系統中存儲、處理及傳輸的數據密級包括非涉密、內部、秘密和機密；系統用戶密級包括一般涉密和重要涉密。為了將每一名使用涉密應用系統的用戶與其可存儲、處理的數據信息實現密級的統一，具體設計思路如下：

①應用系統要有密級標志。在部署應用系統時，使用單位需根據實際處理的數據明確指定系統密級。涉密應用系統在登錄界面和首頁LOGO 處需要標識對應的密級，并嚴格禁止在系統中存儲、處理高于系統密級的數據。

②系統用戶要有密級標志。在系統管理員創建用戶時，必須指定用戶密級，且不可未經審批隨意更改。

③電子文檔等系統數據要有密級標志。系統中上傳的或直接創建的單個文件以其中文檔內部標注的密級等級作為該文檔的密級標志，文件夾或壓縮包等形式的文件應以其中最高密級文件的等級作為整體的密級標志。在保存數據前必須指定其密級，否則不允許保存及傳遞。在進行數據發送、下載等操作時，系統必須對收發雙方的用戶密級標志進行判斷，任何一方用戶的密級低于數據密級時則無法完成相關操作。

④系統各功能模塊要有密級標志。功能模塊需要按照非密、內部、秘密、機密等進行劃分，確定好各模塊所允許運行處理的數據的最高密級，非涉密模塊無法運行涉密數據，低密級模塊無法運行高密級數據，從而起到對各密級的用戶使用過程中的訪問控制作用。

3.2 身份鑒別功能設計

系統根據用戶及權限規劃設置用戶及權限，通過“用戶名+口令”方式控制用戶的訪問，并對口令的長度、復雜度和更換周期等做相應規范，保證系統訪問安全。機密級（增強）要求系統三員和普通用戶都要采用USB+PIN 碼等雙因子身份鑒別措施，即單點登錄方式，不能存在任何形式的“用戶名+口令”鑒別措施，且不再設置修改口令、口令有效天數、口令到期提醒等功能。具體方案如下：

①系統用戶標識符由系統管理員統一生成，具有唯一性，并確保不被非法授權地訪問、修改和刪除。

②提供重鑒別功能，設置空閑操作時間（通常為10min），超時后需重新進行身份鑒別。

③若身份鑒別失敗，則需對用戶進行鎖定，并設定只能由安全管理員解鎖，同時形成審計事件作為告警記錄。

④設置用戶的口令密碼策略，可以選擇系統三員和普通用戶分開管理方式，采用一致的管理機制：

1）在用戶登錄系統時，口令需要采用加密傳輸。并在在數據庫底層存儲登錄口令時采用MD5 加密。

2）系統三員及普通用戶口令最短位數：設置用戶口令長度不得少于設置的位數，秘密級系統要求最少為8位，機密級系統要求最少為10 位。

3）系統三員及普通用戶口令有效天數：設置用戶口令的更換周期，機密級系統要求更換周期不得長于一周，秘密級系統要求更換周期不得長于一個月。口令失效后可以強制修改口令訪問系統。

4）系統三員及普通用戶口令設置策略：必須包含大寫字母、小寫字母、數字或特殊字符（四種至少選三種）。

5）用戶登錄失敗次數：設置用戶登錄失敗次數（一般設置不超過5 次），超過后將鎖定。

6）用戶登錄失敗鎖定保持分鐘數：設置用戶鎖定時間（一般為10 分鐘），涉密系統鎖定后只能由安全管理員為用戶進行提前解鎖。

3.3 訪問控制功能設計

系統通過建立專用的授權機制，統一維護資源操作權限，實現整個信息資源訪問控制的管理維護，在身份鑒別管理基礎上實現已接入系統的授權管理及訪問控制，分配和管理不同角色的用戶對資源數據的訪問權限，并在用戶對數據的訪問過程中進行精確的訪問控制，具體方案如下：

①授權管理模塊采用基于角色的訪問控制（RBAC）授權模型和基于功能資源的授權訪問控制模型，支持分布式授權體系、交叉授權模式，實現用戶身份及權限的完整生命周期管理。在授權的控制粒度上，支持應用系統級的粗粒度授權和業務角色級的細粒度授權，細粒度授權模式支持業務用戶角色分配和角色權限管理等功能，包括數據訪問權限和功能訪問權限等，并為后續系統的接入提供擴展應用。

②對用戶按最小授權原則進行權限劃分，嚴格依照權限分離、相互制約的原則，避免邏輯上出現不受約束的超級用戶。

③用戶只能創建、編輯、查看、傳輸與之密級匹配的或者不高于其密級的數據。

④系統設置3 個互相獨立的管理員：系統管理員、安全保密管理員和安全審計員，實際使用中，應用系統管理員間的權限能夠相互制約、互相監督、避免了由于權限過于集中帶來的安全風險。

3.4 安全審計功能設計

安全審計日志內容主要分為登錄日志、功能訪問日志、業務操作日志、系統日志等。登錄日志主要記錄用戶登錄和注銷的時間、用戶名和登錄IP 地址；功能訪問日志主要記錄用戶登錄的功能模塊，業務操作日志主要記錄用戶進行的業務操作；系統日志主要記錄一些系統資源使用情況或系統告警等方面的日志。具體設計思路如下：

①安全審計范圍包含系統內用戶的增加和刪除、用戶權限的更改、三員和用戶所實施的操作、用戶的違規操作、身份鑒別相關事件、訪問控制相關事件、涉密信息的輸入輸出操作等。

②審計日志內容包括事件發生的時間、IP 地址、操作用戶、操作對象、操作行為、操作結果等信息，系統日志記錄類型應全且詳細，看日志可以還原用戶或管理員操作。

③審計記錄至少保存6 個月，6 個月以上的審計日志可以提供刪除功能，并提供備份功能，保留刪除記錄。

④提供審計記錄存儲空間閾值設置，存儲空間將滿時告警提示，存儲空間已滿時自動轉存審計數據。

⑤審計日志時鐘采用應用服務器時鐘。

⑥審計日志存儲與業務數據存儲同步，數據管理和備份策略采用與業務數據管理和備份相同的策略。

⑦審計日志可讀性良好，可按用戶名、組織等多種條件進行查詢，可按時間、行為等多種方式進行排序。

3.5 三員管理功能設計

①系統管理員用戶功能權限。

1）根據業務實際配置，調整包括系統配置、登錄控制、日志保存等系統選項。

2）建立維護單位和維護角色的信息，可對相關信息進行增加、刪除、修改操作。

3）建立并維護業務用戶賬號，且業務用戶賬號應唯一。可對用戶進行增加、修改、初始化密碼、修改密碼、設置所屬單位、刪除已標記用戶等。

4）修改安全管理員、安全審計員密碼。

②安全管理員用戶功能權限。

1）業務角色授權與管理，包括創建角色與功能授權、查看角色用戶、標記刪除角色等。

2）業務用戶授權與管理，包括對用戶設置所屬職責、分配角色、激活使用與鎖定等。

3）查看業務用戶及安全審計員操作日志，監控操作行為，提供查詢、排序、搜索、刪 除、審計功能。

4）備份業務用戶及安全審計員操作日志，提供導入、導出功能。

5）修改系統管理員密碼。

③安全審計員用戶功能權限。

1）對系統管理員和安全保密管理員的操作行為進行審計跟蹤分析和監督檢查。

2）查看系統管理員和安全保密管理員操作日志，提供查詢、排序、搜索、刪除、審計 功能。

3）備份系統管理員和安全保密管理員操作日志，提供導入、導出功能。

4）修改系統管理員密碼。

4 結論

國家保密局出臺的分級保護測評新標準，對各機關單位運行的涉密應用系統的安全保密功能設計提出了愈發嚴格的要求，因此各單位在每套系統的設計過程中要認真遵循標準中的各項要求，這不但有利于幫助各單位通過國家保密局組織的系統測評，進而開展涉密業務及管理，更有利于增強我國各項涉密領域的信息化安全保密防護建設水平，既在技術層面保障了數據安全性，也為實現我國保密管理整體實力的提升具有深遠意義。