李潇

北京航天控制仪器研究所 北京 100854

0 引言

随着信息技术的发展和网络技术应用的不断深入，内部局域网已经成为企事业单位日常工作不可或缺的重要组成部分，其中通常运行着产品研发、生产调度、综合服务及办公自动化等与企业重要业务相关的应用系统。如何加强内网中应用系统的安全，防止关键数据从应用系统中泄露出去，成为内网安全管理的一个重要组成部分，也是当前很多政府部门和涉密单位普遍关注并努力解决的问题之一。

1 应用系统安全防护机制需求分析

通常应用系统中纳入了与企业生产运营各个步骤有关的电子文档、过程、人员与组织，内网的互联互通为资源的共享、信息的交换提供了极为便捷的环境，同时，企业内部大量的涉密数据和信息也是通过内网应用系统进行传递的。网络开放共享的特点，使得分布在各应用系统中的重要信息资源处于一种高风险的状态。

针对以上应用系统在企业中的运行状况，通常需要考虑以下几个方面的需求：

（1）能够对用户身份进行鉴别和认证，保证系统用户的合法性。

（2）保证系统中的数据安全，防止数据丢失、泄密。

（3）能够严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

（4）能够对管理员及普通用户操作行为进行记录，为事后审查提供依据，防止违规越权操作行为的发生。

2 应用系统安全防护机制的设计思路

为了全面满足以上应用系统安全防护的需求，必须制定相应的安全策略，使用可靠的安全机制与安全技术以及有效的管理才能解决。安全不单纯是技术问题，而是技术与管理的有机结合。

应用系统安全防护机制如图1所示，由技术体系和管理体系两部分组成。

图1 应用系统安全防护机制

其中，技术体系是通过安全策略和技术的部署来达到安全管理目标，包括身份安全控制、文件安全控制、备份恢复机制；管理体系是以管理制度为核心实施管理的过程，包括“三权”分立、审计日志监控、安全管理制度以及人员培训。

3 应用系统安全防护机制的详细设计

3.1 技术体系设计

3.1.1 身份安全控制

在技术体系上为了区别系统合法用户与系统外用户，应用系统应利用身份安全控制机制，严格限制系统用户的登录行为。身份安全控制机制通过密码控制及传输策略、重鉴别策略来实现。

（1）密码控制及传输策略

① 在内网用户登录系统时，通过加强系统用户口令管理，对其进行严格的身份认证。在密码的长度、复杂度以及更换时间上进行严格限制。如密码长度不应小于 10位；在复杂度上必须满足大、小写英文字母、数字和特殊字符中任意三种或以上的组合；并且强制每隔一定时间用户必须进行密码更换。

② 在基于用户名/口令的登录中，系统用户的口令应采用不可逆加密算法对其进行加密。用户登录时通过在服务器上生成随机字符串，并在接受一次登录请求后将立即删除登录过程中使用的随机字符串，以保证即使在网络中监听到登录中使用的随机字符串，也不可能利用此字符串伪造第二次成功登录过程，实现用户名/口令的加密和防止网络监听功能。

（2）身份重鉴别策略

为了防止用户通过多次尝试登录获得他人密码，系统对输入密码的次数进行严格限制。如在登录系统的过程中，用户在输入5次错误密码的情况下，用户账户将被系统临时冻结，冻结时间一般为15分钟。临时冻结用户可在15分钟后获得重新登录系统的权限，或在冻结时间内告知系统安全管理员将其解冻。

此外，还可以利用 Session的有效时间进行用户身份认证重鉴别。一般将Session的有效时间设置不得超过10分钟，即系统对于空闲状态超过 Session有效时间的用户，将该用户踢出系统。再次使用时必须重新进行系统登录，以防止他人在用户未操作系统和计算机时非法获得系统文件或其它存储于计算机中的涉密信息。

3.1.2 文件安全控制

（1）文件存储加密

应用系统中运行着大量涉及产品研制开发各个阶段的、不同密级的文件，涉密数据可能分别存储在数据库及应用服务器中，应用服务器中的实体文件和临时文件应进行加密存储，加密文件只有在知晓密钥的情况下才能还原其实际内容，这样即使文件丢失，文件中的数据也无法被轻易获取，最大程度上保证了数据的安全性。同时，系统采用流格式的数据浏览格式，客户端不存储临时文件，解决了客户端遗留临时文件导致涉密数据泄露的问题。

（2）访问权限控制

访问控制是进行授权、管理和监控的基础。应用系统中利用密级、产品、专业、角色、信任关系等分类对涉密数据进行粒度不同的访问控制。针对不同权限的用户，提供与权限相应的功能，以满足系统中不同用户的各种实际需求。

系统中对权限的控制主要是针对功能权限和对象权限进行的。功能权限主要是访问系统具备的各项功能，用户登录系统后访问某个模块还要受到其在系统中的授权范围进行操作，对于未授权的功能模块和对象没有访问权限；对象权限为系统中的实体对象的访问权限(如：文档的浏览、打印，计划的查看、修改等)，对象权限根据用户对访问对象的权限控制列表检查确定其具体权限。

3.1.3 备份恢复机制

应用系统的正常运行由数据库和应用服务器提供保障，在数据库和应用服务器中存储着大量的业务数据，为了保证企业重要业务的连续性和安全性，必须配置相应完善的备份与恢复机制，实现数据库与应用服务器的备份与恢复，一旦数据库或是应用服务器发生故障，利用恢复机制可以实现快速恢复。

3.2 安全管理体系

严密、完整的管理体系，不但可以最大限度的在确保信息安全的前提下实现信息资源共享，而且可以弥补技术性安全隐患的部分弱点。管理体系的建立和实施能为应用系统的管理和长期监控提供有理可依的指导性理论。管理体系组成分为“三权”分立、审计日志监控、安全管理制度、人员培训。

3.2.1 “三权”分立

应用系统中设置三类管理用户角色，分别为：系统管理员、安全保密管理员、安全审计管理员。系统管理员、安全管理员以及审计管理员在职责分工上的独立性，三员各司其职以避免权限的过分集中。

系统管理员主要进行系统相关模板配置、运行环境配置以及日常运行维护。安全管理员主要进行组织管理、用户管理、产品分类管理并为产品配置相应产品管理员、角色管理以及对产品管理员与普通用户操作进行审计。审计管理员负责监督审计系统管理员、安全管理员登录系统行为以及判断其所进行配置的操作有无危险越权现象。

3.2.2 审计日志监控

通过系统审计模块，实现审计管理员对系统管理员、安全管理员；安全管理员对产品管理员和普通用户的登录系统行为以及所进行操作的监督，审计信息记录了事件发生的详细的用户、时间、地点、内容、级别。根据对审计日志的分析查看相关人员操作有无危险越权行为，为在发生系统安全时间后实现有效的取证。

3.2.3 安全管理制度

应用系统的安全仅仅依靠技术手段是无法达到的，必须依照安全需求制定一系列内部安全管理制度，从责任、人员、部位、行为等多方面对保护系统的安全进行具体规定，并通过全面推行，使之贯穿到日常具体工作当中。

3.2.4 人员培训

对所有与应用系统有关的人员进行培训。培训内容除了系统操作外，还涉及系统相关内部安全管理制度、安全意识等内容。

4 结束语

内网安全已成为信息安全的新热点。内网的安全管理体系中，应用系统的安全保密和资源共享利用之间一直都存在着一种难以调和的矛盾，本文针对企业广泛应用的应用系统安全防护机制的设计进行了深入分析，提出了一种较为有效、全面的安全管理控制技术和解决方案，通过管理体系与技术体系的有机结合，使安全防护渗透到系统的建设、运行和维护的全过程中，真正保障应用系统的安全稳定运行。

[1]崔福云.企业网络安全建设方法初探.网络安全技术与应用.2009.

[2]曾朝蓉.内网安全管理方案探讨.网络安全技术与应用.2009.