涉密信息化应用系统安全保密功能设计分析
2022-02-07范杰奇FANJieqi
范杰奇FAN Jie-qi
(中国兵器工业规划研究院,北京100053)
0 引言
随着我国信息化产业的不断发展,各级涉密党政机关、军工单位的信息化建设也逐渐渗透到各项工作当中。由于较多涉密单位往往会涉及国家秘密信息,因此在执行业务工作及日常管理所使用的涉密应用系统需要具备较高的安全保密功能条件。当前,国家保密局针对涉密应用系统不断强化安全保密防护措施建设,2020 年新出台的最新涉密信息系统分级保护测评把握准则更是将涉密应用系统列为重点审查项目。新标准要求各涉密单位的涉密应用系统须按照各项规定进行安全保密功能设计,经过国家保密科技测评中心检测合格后才允许投入运行使用。因此,如何根据测评要求做好涉密应用系统安全保密功能的设计尤为重要。
1 安全保密功能设计要求
2020 年,由国家保密局设立的国家保密科技测评中心出台了新版涉密信息系统测评标准,该标准中对涉密应用系统部分提出了更严格的测评要求,强调系统的安全保密功能设计规范必须满足身份鉴别、访问控制、密级标志和安全审计等4 项基本功能,同时需要满足三员管理要求,禁止使用超级管理员账号进行系统管理。此外还要保证数据的安全域边界防护(信息流向控制)、运行管理、信息完整性检测和抗抵赖等要求。涉密应用系统安全保密相关技术防护要求主要从以下5 个方面中进行了规定:
1.1 密级标志
新标准重点强调了对涉密应用系统中信息流向和知悉范围的控制,而密级标志则是实现该功能的一项重要的控制技术。密级是指包括系统用户和系统数据的密级等级,密级标志是系统的一个安全标识,主要作用是标识系统产生和输出信息的密级等级,它是给电子文档等数据信息定义一个密级属性,该属性与文档本身进行了绑定,通过在系统中规定好不同密级的各模块以及各用户的策略,进而实现涉密文档的访问控制及传输流向控制,最大程度阻止知悉范围扩大。
目前国家保密科技测评中心过检的密级标志产品已逐渐成熟,能够通过与涉密应用系统进行接口集成实现密级标志功能。但由于该类产品及采购费用较高,不能保证所有机关单位都能及时部署,因此建议涉密应用系统在设计过程中要包括密级标志功能,确保基本符合测评新标准。在设计涉密应用系统时,要实现密级标志与信息主体不可分离,且不得被随意篡改。
1.2 身份鉴别
新标准要求对涉密网络中所有涉密应用系统的本地登录和远程登录通过“用户名+口令”的方式进行用户身份鉴别,并对口令复杂度做相应规范,其中机密级增强的涉密网络要求采用USBKey+PIN 码等双因子身份鉴别措施进行用户身份鉴别,保证系统的安全访问。
1.3 访问控制
访问控制要求对系统内的主体和客体进行分级分类,并制定相应的访问控制策略。对于系统中涉密信息的访问控制,要求主体控制到单个用户,客体控制到信息类别(如数据库、数据表、业务方向、密级、敏感程度划分的类别)。
1.4 安全审计
安全审计通过记录普通用户和管理员的访问过程,建立一套全面的、有效的回溯和追查机制,审计记录应包括事件发生的时间、地点、类型、主体、客体和结果。安全审计应与身份鉴别、访问控制、信息完整性等安全功能紧密结合,系统对所有用户的登录/注销、具体操作做详细的日志记录,并通过安全审计员和安全保密员分别对三员和普通用户的访问、操作等行为进行审计,保证系统的使用安全,并且保证审计记录不被篡改、伪造和非授权删除。
1.5 系统三员管理
涉密应用系统应采用三员管理,分别负责系统的运行、安全保密和安全审计工作,管理员不应具有非授权的用户业务权限,三员应由本单位内部人员担任。
系统管理员主要负责系统的日常运行维护工作;安全保密员主要负责系统的日常安全保密管理工作;安全审计员主要负责对系统管理员、安全保密员的操作行为进行审计跟踪分析和监督检查。系统三员权限划分要求相互独立、相互制约,安全保密员和安全审计员不得由一人兼任。三员为系统内置角色,不可修改其权限范围。不能使用超级管理员账号,或将某一账号授权为超级管理员。如果存在超级管理员账号,应封存不使用。
2 安全保密功能存在问题
涉密应用系统在开发设计过程中往往侧重业务功能的设计,却忽略对安全保密功能的重视,因此涉密单位在部署涉密应用系统时通常会出现一些共性问题。下面针对各类基本功能汇总了一些常见问题。
2.1 密级标志问题
①涉密应用系统密级标志或不明确或无密级标志,无法根据应用系统密级来对系统运行数据的密级进行进一步限制;
②系统中各功能模块及菜单选项无密级标志和相关警示,容易使涉密数据分散传输且无法精确进行流向控制及追查,进而导致低密级的用户访问到存储高密级数据的功能模块;
③系统中所上传的附件无密级标志功能,无法实现对文件的访问控制,易产生高密级的数据向低密级的用户进行传递;
④系统用户无密级标志,低密级用户可查看到高密级的数据信息。
2.2 身份鉴别问题
①登录口令没有设置更换周期,同一个口令无限期有效;
②登录口令没有长度和复杂度的限制,即使设置空口令也能登录;
③空闲操作超过10 分钟后登录未重新进行身份鉴别;
④不支持USBkey+口令的双因子登录认证方式,不能满足机密增强型网络的要求。
2.3 访问控制问题
①数据密级超过涉密应用系统本身的密级但却没有控制措施;
②未将系统的模块按照其功能和密级来限制不同用户的访问权限,对用户的角色和密级的控制不合规;
③未对系统内的数据设置有效的访问控制策略,低密级用户可以查看高密级信息,或者高密级用户可以将高密级信息向低密级用户流转。
2.4 安全审计问题
①应用系统审计日志记录类型不全且不详细,无法还原用户或管理员操作;
②系统无安全审计日志存储空间将满的告警提示功能,导致当日志存储空间不够时安全审计人员不能及时发现并转存以释放空间,审计日志无法时刻保持记录最新状态。
2.5 系统三员管理问题
①三员功能划分不满足分级保护要求,如系统管理员同时具备用户创建和用户访问控制权限的配置功能,或者安全审计员既可以查看系统管理员和安全保密员的操作日志也可以查看一般用户的业务日志等;
②存在超级管理员账号,兼具三员的全部功能甚至更高权限,可越过三员本身进行操作甚至无审计日志,无法实现三员的相互独立、相互制约和相互监督功能。
3 安全保密功能设计分析
通过上述对涉密应用系统安全保密功能设计存在主要问题的分析,应参照分级保护测评新标准中的相关要求将以下重点项进行设计改造:
3.1 密级标志功能设计
涉密网络中的涉密应用系统密级包括秘密和机密;系统中存储、处理及传输的数据密级包括非涉密、内部、秘密和机密;系统用户密级包括一般涉密和重要涉密。为了将每一名使用涉密应用系统的用户与其可存储、处理的数据信息实现密级的统一,具体设计思路如下:
①应用系统要有密级标志。在部署应用系统时,使用单位需根据实际处理的数据明确指定系统密级。涉密应用系统在登录界面和首页LOGO 处需要标识对应的密级,并严格禁止在系统中存储、处理高于系统密级的数据。
②系统用户要有密级标志。在系统管理员创建用户时,必须指定用户密级,且不可未经审批随意更改。
③电子文档等系统数据要有密级标志。系统中上传的或直接创建的单个文件以其中文档内部标注的密级等级作为该文档的密级标志,文件夹或压缩包等形式的文件应以其中最高密级文件的等级作为整体的密级标志。在保存数据前必须指定其密级,否则不允许保存及传递。在进行数据发送、下载等操作时,系统必须对收发双方的用户密级标志进行判断,任何一方用户的密级低于数据密级时则无法完成相关操作。
④系统各功能模块要有密级标志。功能模块需要按照非密、内部、秘密、机密等进行划分,确定好各模块所允许运行处理的数据的最高密级,非涉密模块无法运行涉密数据,低密级模块无法运行高密级数据,从而起到对各密级的用户使用过程中的访问控制作用。
3.2 身份鉴别功能设计
系统根据用户及权限规划设置用户及权限,通过“用户名+口令”方式控制用户的访问,并对口令的长度、复杂度和更换周期等做相应规范,保证系统访问安全。机密级(增强)要求系统三员和普通用户都要采用USB+PIN 码等双因子身份鉴别措施,即单点登录方式,不能存在任何形式的“用户名+口令”鉴别措施,且不再设置修改口令、口令有效天数、口令到期提醒等功能。具体方案如下:
①系统用户标识符由系统管理员统一生成,具有唯一性,并确保不被非法授权地访问、修改和删除。
②提供重鉴别功能,设置空闲操作时间(通常为10min),超时后需重新进行身份鉴别。
③若身份鉴别失败,则需对用户进行锁定,并设定只能由安全管理员解锁,同时形成审计事件作为告警记录。
④设置用户的口令密码策略,可以选择系统三员和普通用户分开管理方式,采用一致的管理机制:
1)在用户登录系统时,口令需要采用加密传输。并在在数据库底层存储登录口令时采用MD5 加密。
2)系统三员及普通用户口令最短位数:设置用户口令长度不得少于设置的位数,秘密级系统要求最少为8位,机密级系统要求最少为10 位。
3)系统三员及普通用户口令有效天数:设置用户口令的更换周期,机密级系统要求更换周期不得长于一周,秘密级系统要求更换周期不得长于一个月。口令失效后可以强制修改口令访问系统。
4)系统三员及普通用户口令设置策略:必须包含大写字母、小写字母、数字或特殊字符(四种至少选三种)。
5)用户登录失败次数:设置用户登录失败次数(一般设置不超过5 次),超过后将锁定。
6)用户登录失败锁定保持分钟数:设置用户锁定时间(一般为10 分钟),涉密系统锁定后只能由安全管理员为用户进行提前解锁。
3.3 访问控制功能设计
系统通过建立专用的授权机制,统一维护资源操作权限,实现整个信息资源访问控制的管理维护,在身份鉴别管理基础上实现已接入系统的授权管理及访问控制,分配和管理不同角色的用户对资源数据的访问权限,并在用户对数据的访问过程中进行精确的访问控制,具体方案如下:
①授权管理模块采用基于角色的访问控制(RBAC)授权模型和基于功能资源的授权访问控制模型,支持分布式授权体系、交叉授权模式,实现用户身份及权限的完整生命周期管理。在授权的控制粒度上,支持应用系统级的粗粒度授权和业务角色级的细粒度授权,细粒度授权模式支持业务用户角色分配和角色权限管理等功能,包括数据访问权限和功能访问权限等,并为后续系统的接入提供扩展应用。
②对用户按最小授权原则进行权限划分,严格依照权限分离、相互制约的原则,避免逻辑上出现不受约束的超级用户。
③用户只能创建、编辑、查看、传输与之密级匹配的或者不高于其密级的数据。
④系统设置3 个互相独立的管理员:系统管理员、安全保密管理员和安全审计员,实际使用中,应用系统管理员间的权限能够相互制约、互相监督、避免了由于权限过于集中带来的安全风险。
3.4 安全审计功能设计
安全审计日志内容主要分为登录日志、功能访问日志、业务操作日志、系统日志等。登录日志主要记录用户登录和注销的时间、用户名和登录IP 地址;功能访问日志主要记录用户登录的功能模块,业务操作日志主要记录用户进行的业务操作;系统日志主要记录一些系统资源使用情况或系统告警等方面的日志。具体设计思路如下:
①安全审计范围包含系统内用户的增加和删除、用户权限的更改、三员和用户所实施的操作、用户的违规操作、身份鉴别相关事件、访问控制相关事件、涉密信息的输入输出操作等。
②审计日志内容包括事件发生的时间、IP 地址、操作用户、操作对象、操作行为、操作结果等信息,系统日志记录类型应全且详细,看日志可以还原用户或管理员操作。
③审计记录至少保存6 个月,6 个月以上的审计日志可以提供删除功能,并提供备份功能,保留删除记录。
④提供审计记录存储空间阈值设置,存储空间将满时告警提示,存储空间已满时自动转存审计数据。
⑤审计日志时钟采用应用服务器时钟。
⑥审计日志存储与业务数据存储同步,数据管理和备份策略采用与业务数据管理和备份相同的策略。
⑦审计日志可读性良好,可按用户名、组织等多种条件进行查询,可按时间、行为等多种方式进行排序。
3.5 三员管理功能设计
①系统管理员用户功能权限。
1)根据业务实际配置,调整包括系统配置、登录控制、日志保存等系统选项。
2)建立维护单位和维护角色的信息,可对相关信息进行增加、删除、修改操作。
3)建立并维护业务用户账号,且业务用户账号应唯一。可对用户进行增加、修改、初始化密码、修改密码、设置所属单位、删除已标记用户等。
4)修改安全管理员、安全审计员密码。
②安全管理员用户功能权限。
1)业务角色授权与管理,包括创建角色与功能授权、查看角色用户、标记删除角色等。
2)业务用户授权与管理,包括对用户设置所属职责、分配角色、激活使用与锁定等。
3)查看业务用户及安全审计员操作日志,监控操作行为,提供查询、排序、搜索、删 除、审计功能。
4)备份业务用户及安全审计员操作日志,提供导入、导出功能。
5)修改系统管理员密码。
③安全审计员用户功能权限。
1)对系统管理员和安全保密管理员的操作行为进行审计跟踪分析和监督检查。
2)查看系统管理员和安全保密管理员操作日志,提供查询、排序、搜索、删除、审计 功能。
3)备份系统管理员和安全保密管理员操作日志,提供导入、导出功能。
4)修改系统管理员密码。
4 结论
国家保密局出台的分级保护测评新标准,对各机关单位运行的涉密应用系统的安全保密功能设计提出了愈发严格的要求,因此各单位在每套系统的设计过程中要认真遵循标准中的各项要求,这不但有利于帮助各单位通过国家保密局组织的系统测评,进而开展涉密业务及管理,更有利于增强我国各项涉密领域的信息化安全保密防护建设水平,既在技术层面保障了数据安全性,也为实现我国保密管理整体实力的提升具有深远意义。
