賈聃，周煒，王平，李潔

（北京航天長(zhǎng)征飛行器研究所，北京 100076）

一直以來(lái)，我國(guó)都非常重視保密工作，保密工作是軍工企業(yè)的一條紅線，不可觸碰。為了做好軍工企業(yè)的保密管理工作，中共中央保密委員會(huì)辦公室、國(guó)家保密局出臺(tái)了《中共中央保密委員會(huì)關(guān)于加強(qiáng)國(guó)防工業(yè)保密管理工作的實(shí)施意見(jiàn)》，對(duì)于做好軍工企業(yè)的保密管理工作提出了具體的工作指導(dǎo)，嚴(yán)格要求相關(guān)企業(yè)遵守保密規(guī)定。

進(jìn)入新時(shí)期以來(lái)，國(guó)家在科技創(chuàng)新領(lǐng)域的投入越來(lái)越多，軍工領(lǐng)域作為國(guó)家科技創(chuàng)新的前沿陣地，研制任務(wù)和預(yù)研創(chuàng)新的需求也不斷增加，隨之也帶來(lái)了大量的保密管理問(wèn)題，某研究所開(kāi)展保密管理體系標(biāo)準(zhǔn)化流程研究，提出建立軍工研究所的保密管理體系并進(jìn)行實(shí)踐。通過(guò)建立保密管理信息系統(tǒng)可以實(shí)現(xiàn)更加科學(xué)、合理、高效的保密管理，但保密管理信息系統(tǒng)本身就是保密安全的重要組成，在開(kāi)展保密管理信息系統(tǒng)建設(shè)時(shí)，必須考慮系統(tǒng)自身的安全保密設(shè)計(jì)。針對(duì)保密管理信息系統(tǒng)安全的密級(jí)標(biāo)識(shí)、應(yīng)用安全性設(shè)計(jì)、數(shù)據(jù)備份與恢復(fù)開(kāi)展思考，為實(shí)現(xiàn)保密管理新系統(tǒng)安全提供支撐。

1 密級(jí)標(biāo)識(shí)

在保密管理信息系統(tǒng)中，實(shí)體權(quán)限使用對(duì)象繼承密級(jí)接口的方式，為對(duì)象在實(shí)體權(quán)限校驗(yàn)中加入了關(guān)于密級(jí)驗(yàn)證的運(yùn)算。一般運(yùn)算規(guī)則為“防止涉密信息從高密級(jí)安全域流向低密級(jí)安全域”，即表現(xiàn)為低密級(jí)主體禁止訪問(wèn)高密級(jí)客體。

密級(jí)與信息主體的不可分離，保密管理信息系統(tǒng)中使用將密級(jí)與信息主體的關(guān)鍵信息一起進(jìn)行簽名的方式來(lái)進(jìn)行防篡改，如果數(shù)據(jù)庫(kù)中憑證或者項(xiàng)目的密級(jí)字段被篡改，系統(tǒng)將在前臺(tái)頁(yè)面給予提示。保密管理信息系統(tǒng)有關(guān)于加密解密的組件（接口）可用于進(jìn)行簽名及驗(yàn)證，加解密可用于驗(yàn)證密級(jí)標(biāo)識(shí)的簽名從而達(dá)到防篡改。實(shí)體權(quán)限提供實(shí)體對(duì)象繼承密級(jí)接口的方式，使密級(jí)參與權(quán)限運(yùn)算。

2 應(yīng)用安全性

（1）身份鑒別。保密管理信息系統(tǒng)采用神舟航天軟件技術(shù)有限公司ADP平臺(tái)提供的身份鑒別策略進(jìn)行用戶身份鑒別。ADP的身份認(rèn)證實(shí)現(xiàn)系統(tǒng)用戶與非系統(tǒng)用戶的身份鑒別，支持與其他認(rèn)證系統(tǒng)的集成，同時(shí)支持多種身份認(rèn)證方式。系統(tǒng)支持身份認(rèn)證重鑒別問(wèn)題，對(duì)于處于空閑狀態(tài)超過(guò)一定時(shí)間的用戶將被強(qiáng)制注銷(xiāo)。同時(shí)對(duì)于登錄成功和失敗的用戶，進(jìn)行詳細(xì)的日志審計(jì)。

（2）身份標(biāo)識(shí)符。保密管理信息系統(tǒng)的管理員有權(quán)限可以創(chuàng)建用戶身份標(biāo)識(shí)，且規(guī)定用戶身份標(biāo)識(shí)在保密管理信息系統(tǒng)的全壽命周期中的唯一性，創(chuàng)建和修改身份標(biāo)識(shí)時(shí)會(huì)進(jìn)行唯一性校驗(yàn)。用戶身份標(biāo)識(shí)符不可變更，賬號(hào)只能被凍結(jié)，不能被刪除。系統(tǒng)用戶管理模塊的訪問(wèn)、操作授權(quán)是軟件內(nèi)置功能，運(yùn)行時(shí)不能由管理員進(jìn)行修改。三類管理員的賬號(hào)信息在系統(tǒng)平臺(tái)的初始化過(guò)程中直接形成，并且三類管理員按照國(guó)家保密規(guī)定可形成同級(jí)管理員。

（3）登錄方式。保密管理信息系統(tǒng)采用ADP平臺(tái)提供的登錄策略進(jìn)行登錄。根據(jù)具體要求，主要登錄方式為CA認(rèn)證登錄方式；當(dāng)CA認(rèn)證方式出現(xiàn)緊急故障時(shí)，可以臨時(shí)切換用戶名/密碼的應(yīng)急登錄方式進(jìn)行登錄。對(duì)于用戶名密碼登陸方式，應(yīng)注意用戶賬號(hào)是由用戶名和域名組合的方式，管理員可以控制密碼策略。

（4）訪問(wèn)控制。保密管理信息系統(tǒng)的訪問(wèn)控制組件可分為：功能權(quán)限、URL訪問(wèn)控制和實(shí)體權(quán)限。保密管理信息系統(tǒng)權(quán)限管理功能提供完整的權(quán)限定義、設(shè)定、檢查等一系列功能，支撐應(yīng)用系統(tǒng)實(shí)現(xiàn)功能、實(shí)體權(quán)限管理需求。功能權(quán)限主要用以實(shí)現(xiàn)功能菜單的訪問(wèn)控制，實(shí)體權(quán)限用以實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的精細(xì)化訪問(wèn)控制。對(duì)于URL訪問(wèn)控制，主要用來(lái)控制繞過(guò)系統(tǒng)操作界面直接訪問(wèn)系統(tǒng)處理邏輯的場(chǎng)景，通常是惡意訪問(wèn)系統(tǒng)的情況。

（5）數(shù)據(jù)完整性。保密管理信息系統(tǒng)對(duì)數(shù)據(jù)的完整性有如下保障：包含數(shù)據(jù)的存儲(chǔ)、輸入、輸入控制。保密管理信息系統(tǒng)輸入的存儲(chǔ)數(shù)據(jù)分為存儲(chǔ)在數(shù)據(jù)庫(kù)中的涉及密級(jí)的少量數(shù)據(jù)（如用戶密級(jí)）、存儲(chǔ)在保密管理信息系統(tǒng)文件服務(wù)器中的數(shù)據(jù)兩部分。

（6）系統(tǒng)三員管理。系統(tǒng)三員是指系統(tǒng)管理員、安全保密管理員和安全審計(jì)員。系統(tǒng)管理員負(fù)責(zé)保密管理信息系統(tǒng)運(yùn)行環(huán)境參數(shù)的設(shè)置、系統(tǒng)維護(hù)和數(shù)據(jù)備份等系統(tǒng)管理工作；安全保密管理員負(fù)責(zé)用戶的增、刪（凍結(jié)）、改，用戶權(quán)限的分配以及用戶操作日志的管理等安全管理工作；安全審計(jì)員負(fù)責(zé)查看系統(tǒng)管理員及安全保密管理員操作日志的管理等安全審計(jì)工作。

（7）安全審計(jì)。審計(jì)管理主要用于監(jiān)視不同用戶的操作，跟蹤用戶操作軌跡，作為日后審計(jì)的主要依據(jù)。審計(jì)管理中記錄的日志包括系統(tǒng)中所有域下不同用戶操作不同對(duì)象的日志。當(dāng)用戶以管理員（審計(jì)管理員或安全管理員）身份登錄審計(jì)工具時(shí)，只能看到當(dāng)前登錄域的日志信息，如果用戶想查詢其它域的審計(jì)信息，應(yīng)切換到目標(biāo)域下查詢審計(jì)信息。

3 數(shù)據(jù)備份與恢復(fù)

通過(guò)對(duì)保密管理信息系統(tǒng)數(shù)據(jù)進(jìn)行備份和恢復(fù)，以避免保密管理信息系統(tǒng)的數(shù)據(jù)損壞或丟失。備份部分主要包含了備份內(nèi)容、備份內(nèi)容的保留時(shí)長(zhǎng)和備份方式?；謴?fù)部分主要闡述了應(yīng)用系統(tǒng)、文件和數(shù)據(jù)庫(kù)的恢復(fù)方式。

（1）備份。備份主要考慮備份內(nèi)容、備份保留的時(shí)間以及備份方式。備份內(nèi)容：需要備份的內(nèi)容主要包括應(yīng)用系統(tǒng)、文件和數(shù)據(jù)庫(kù)。備份保留時(shí)間：虛擬帶庫(kù)存儲(chǔ)按中心存儲(chǔ)要求，在業(yè)務(wù)需求不提出長(zhǎng)期保存的情況下不做磁帶導(dǎo)出，即按照虛擬帶庫(kù)1季度的存儲(chǔ)時(shí)長(zhǎng)。備份方式：系統(tǒng)通過(guò)windows計(jì)劃任務(wù)（Linux腳本）定時(shí)運(yùn)行腳本執(zhí)行數(shù)據(jù)庫(kù)和文件自動(dòng)備份，并提供每次備份日志說(shuō)明備份情況，管理員需要定期查看備份日志，檢查、處理異常情況。

（2）恢復(fù)。按照存儲(chǔ)備份內(nèi)容的硬件是否損壞恢復(fù)可以分為本地恢復(fù)和帶庫(kù)恢復(fù)兩類，具體恢復(fù)方式如下。本地恢復(fù)：在存儲(chǔ)備份的服務(wù)器并未發(fā)生損壞至存儲(chǔ)硬盤(pán)中信息不可用的情況下，可使用本地恢復(fù)，以縮短恢復(fù)時(shí)間窗口。帶庫(kù)恢復(fù)：在存儲(chǔ)備份的服務(wù)器發(fā)生損壞至存儲(chǔ)硬盤(pán)中信息不可用的情況下，需要使用帶庫(kù)恢復(fù)，即將帶庫(kù)中備份的最新一天的數(shù)據(jù)恢復(fù)到新機(jī)器，進(jìn)行系統(tǒng)恢復(fù)。

4 結(jié)語(yǔ)

針對(duì)某研究所保密管理信息系統(tǒng)，從系統(tǒng)密級(jí)標(biāo)識(shí)、應(yīng)用安全性設(shè)計(jì)、數(shù)據(jù)備份與恢復(fù)三個(gè)方面開(kāi)展了系統(tǒng)安全性設(shè)計(jì)思考，為提升軍工企業(yè)保密管理效率提供一些參考。