涉密应用系统安全保密改造探讨

1、精品文档 欢迎下载 。涉密应用系统安全保密改造探讨信息管理部陈金文目前，国家保密形势异常严峻，尤其计算机及其网络已成为泄密的重要隐患，通过计算机信息系统采用信息技术手段发生的泄密案与窃密案频发，随着国家BM田目关标准的出台，以及从业人员对国家BMB1关标准的深入理解，势必对企业应用系统的安全保密防护提出更高的要求。已经运行的应用系统如企业0A、PDM CAPP项目管理系统、档案等系统中存储着本单位各方面的大量信息，可以说是本单位的核心机密所在 , 这些数据的安全保密要求就需要对原有的应用系统进行安全改造。一、应用系统安全保密改造目的随着企业信息化程度的进一步推广，应用深度也进一步增加，涉密应用

2、系统的应用范围和业务应用的规模伴随着业务的需求必然会快速增长，信息的安全保密技术也会不断出现新的安全隐患，也在不停地发展， 对系统的安全保密管理的要求也会有所变化。随着业务的发展，规模会变化，机构会变化人员会变化，环境会变化，涉密应用系统也会跟随着调整、扩充、搬迁等，总会有或大或小的不同变化，因此，在涉密应用系统的安全保密工作中我们在跟随技术发展的同时，管理方法和技术手段也必须不断调整来适应技术和要求的发展。只有这样才能使涉密信息系统始终保持安全良好的运行状态。就拿航宇公司而言，随着信息化工作的不断深入，企业先后陆续上了大量的应用系统，如：OA PDM TDM CAPP项目管理系统、门户、档案

3、管理系统等，这些应用系统中积累了大量的数据，而且这些多数属于涉密数据。在早年推广的系统中，重点考虑应用的便利性和数据的安全性，很少会考虑到数据保密这个范畴，因此，原有的应用系统也就存在大量的漏洞和风险，如用户管理、“三员”管理、日志管理、审计管理、身份鉴别等，或多或少存在由于功能缺陷导致的保密问题、安全问题等，这些问题不解决，势必容易造成涉密信息被非授权访问，以及对窃、泄密事件的无法追溯。因此，为了保证这些数据的安全，除做好单机防护、访问控制和边界防护外，还应该对已经投入使用的应用系统进行安全保密改造工作。二、应用系统安全保密改造方案应用系统安全保密改造方案的总体思路是要适应实际和发展的需要，

4、既要满足信息化对应用系统便捷性的要求，又要满足保密对应用系统安全性的要求，整个改造过程动态推进，具体做法如下：（一 ） 用户管理改造原有的应用系统用户一般有系统管理员和普通用户两类，没有考虑“三员分立”管理功能。根据国家BM标准的相关要求，在应用系统安全保密改造过程中将系统用户分为以下几类：用户按照功能和权限一般划分为三类：第一类是普通用户。第二类是业务管理员主要指管理某个业务的功能模块的而设置的人员。例如0儆、同办公系统的表单管理员，主要负责表单的设计、制作、发布、修订和表单流程的设立。第三类为“三员”。即系统管理员、安全管理员和安全审计员。“三员”应该按照最小权限的原则和权限分离原则进行权

5、限划分，各管理员的权限应相互独立、相互监督和相互制约。系统管理员用于建立使用该应用系统的组织机构、建立和管理用户组和用户、用户的新增、变更、注销等等；安全管理员主要负责应用系统安全策略的设置、调整。用户账号安全策略的设置（口令复杂度、长度，口令更改周期，用户和用户组的访问控制权限分配和调整） 以及普通用户操作系统信息（ 包括登录、操作和退出等） 的查看；安全审计员负责审计业务管理员、系统管理员和安全管理员的操作，并对操作结果进行验证。因此，新上的应用系统除了具备“三员分立”的管理功能，实行三员分立的管理模式三员的权限相互独立，互不交叉，从而防范违规事件的发生外，还应删除系统默认用户、删除超级管

6、理员，避免管理员的权限过于集中导致信息安全问题。（二 ） 系统备份和恢复改造1、系统备份（1）应用软件备份：系统应用软件通过应用服务器发布，每次系统BU醪改和版本的升级、需求功能的补充，均会产生系统应用软件的更新，程序的每次更新均有版本控制器记录，每周对系统应用软件进行备份，且备份后的程序与应用服务器不在同一台机器中。该项工作由业务管理员进行负责操作和记录。（2） 数据库备份：系统提供数据库自动备份的批处理命令文件，通过系统的计划任务进行自定义设置，并定时对数据库进行备份，且备份文件与数据库服务器不在同一台机器中。该项工作由业务管理员进行定期检查和记录。2、系统恢复业务管理员按照各系统恢复预案

7、进行系统恢复，操作人员及接触数据的范围，数据存储要求均符合保密要求。具体恢复分为以下两个方面：应用软件恢复：一旦应用服务器出现故障或瘫痪，业务管理员应按照系统恢复预案进行恢复，协调有关部门和岗位人员配合该项工作的开展。首先，恢复应用服务器操作系统；其次，恢复应用服务器的WEB布支撑软件；最后，恢复备份的应用系统软件，并在应用服务器上进行部署和发布，并记录恢复过程。数据库恢复：一旦数据库服务器出现故障或瘫痪，业务管理员应按照恢复预案进行恢复，根据系统备份的数据文件，首先恢复数据库，然后按照数据库恢复批处理命令文件进行数据的恢复，并记录恢复过程。（三 ） 安全审计改造涉密的应用系统需要有完整的安全

8、审计功能，而我们很多应用系统在安全审计方面功能不足，需要改造。具体改造方案如下：首先，涉密应用系统的安全审计实现必须覆盖所有用户，并且能确保审计内容至少包括事件的日期、时间、事件发生的用户身份标识、发生事件的设备标识、事件类型、描述和结果；其次，安全审计的记录信息要符合机密性、完整性、可控性、可用性和不可否认性（ 抗抵赖） 的原则；再次，应用系统要具备相当充分的审计条件，做好这方面的安全审计内容，主要反映在应用层面的审计数据收集工作，将有用的信息提取出来作为审计的内容，通过特定的管理页面提供给进行审计工作的用户，对审计数据能进行统计、分析、按条件查询及生成统计报表等功能，方便审计人员的统一审计

9、管理。（四 ） 日志管理改造过去的应用系统在日志管理功能方面不足或者不全，日志可读性、可管理性较差，我们现在的日志管理改造要求有日志管理策略设置的统一界面，该统一的日志管理界面将作为整个日志的管理中心，所有日志信息都将归总到这个统一日志管理中心里进行管理。日志管理要求一般可以包括三个方面，一是日志的存放要求，如日志存储路径、日志存储方式、目志存储空间或存储周期，所有的日志同时应具有存储空间满时的告警功能和自动覆盖最早日志或自动转存的功能等；二是日志容量和目志的覆盖周期，一般可追溯周期不少于1 个月。三是应用系统的安全日志应与系统日志分开，同时涉密应用系统还应具备对特定事件进行实时报警功能，并限

10、制用户对日志的访问，能确保日志管理的安全性，防止用户的恶意篡改日志记录。此外，为增强日志的可读性，日志管理还应该具备导出功能，建议应用系统采用SYSLO镰口、SNM接口或者数据库接口三种之一提供日志的导出接口。（五 ） 身份鉴别改造保密标准对应用系统身份鉴别的要求主要归纳为几点： “确保身份标识唯一性、 可审计性和可核查性”、“口令设置长度、复杂度和更改周期”、 “重鉴别”、 “鉴别失败”等。常用的鉴别方式有用户名口令，动态口令，数字证书，生物特征识别等。随着应用系统的数量的增加，越来越多的用户面临着“分散身份鉴别”带来的各种各样的问题，也就是“身份漫游”功能，漫游功能在信息化来讲是非常便利的

11、，但从保密角度来讲却存在极大风险，因为不同身份所接触的涉密信息是不同的，涉密信息内有机密级计算机和秘密级计算机，甚至还有非密计算机，而各密级计算机所能接触的涉密信息等级不同，因此身份鉴别除了考虑上述要求同时，应考虑多个应用系统的单点登录和统一身份鉴别功能的实现。笔者认为：为了达到便利又安全保密的要求，采用身份认证网关实现单点登录访问控制是较好的办法。航宇公司的几个主要应用系统如：OA!（统，PD陈统等大部分采用B/S架构，采用CA字证书的验证的方式统一身份认证访问应用系统，并用防火墙对应用系统的端口进行最小化授权开放，用户成功登录应用系统后，应用系统会根据用户的角色出现相应的操作界面。在 OA

12、 PD晞重要的应用系统中均实现了通过门户统一身份认证身份鉴别方式实现了应用系统登录。（ 六 ）涉密信息流向控制改造涉密信息流向控制主要包括两个方面：一是对于密级级别高的人员，不但可以获取相同密级的数据信息，还可以获取比其密级低的数据信息；相反，密级低的人员不能获取比其密级高的数据信息。二是防止知悉范围扩大，即非授权用户无法查获非授权的密级信息，授权用户仅能查获相应授权的密级信息。重点是通过菜单权限和数据权限对用户权限进行限制。涉密信息的流向还可以通过企业内不同部门岗位和不同业务范围来进行控制，这种控制通常是结合系统权限控制来实现。例如：班组级、车间级、工厂级，部门级别高的人员有权访问下属级别的

13、数据信息，相反，则受到限制。相应密级用户浏览相应的密级信息，低密级的人员无法获取高密级信息的目的；相应的业务用户浏览相应的业务信息，无法浏览不相关业务信息。实现方式主要有：1 、功能权限控制。涉密应用系统的功能权控制也就是菜单权限，主要是针对用户或用户组设置不同的菜单权限，主要有两个方面：一是针对管理员权限而言，企业普通用户或用户组具有授权的相关业务的浏览、查询、处理等权限，但没有用户管理、权限管理和审计管理的功能，这些功能分别是系统管理员、安全保密管理员和安全审计员的功能。二是针对业务而言，不同的用户和用户组具有不同的业务权限权的控制由相应的业务应用系统内进行权限控制。2、数据权限控制。在应

14、用系统中，系统提供对数据的访问权限进行控制，即针对系统用户或用户组按用户或用户组的角色进行权限划分，根据不同的用户角色可以看到特定的内容。普通用户可以看到业务上授权个人的可以看到的信息；系统管理员、安全管理员和安全审计员可以看到相应授权的信息或数据。如安全保密管理员可以看到的一般员工操作信息，安全审计员可以看到三员操作信息，别人看不到。三、总结和建议综上所述，要提高涉密应用系统的安全水平，除了硬件和环境应具备相应防范措施外，重点应该关注应用系统的安全保密防护，而应用系统的安全保密防护除技术措施外，还应在管理措施和相应的标准规范上下功夫，才能真正做好应用系统的安全保密工作。相对于用户改造，文中提到的密级流向控制是比较难改造的，很有可能会涉及到应用系统结构性调整。当然，原有的应用系统由于最初设计时目标的差异，应用系统进行改造过程中会由于历史应用原因，无法彻底按照本文描述的内容进行改造，但应该重点关注应