賈聃，周煒，王平，李潔

（北京航天長征飛行器研究所，北京 100076）

一直以來，我國都非常重視保密工作，保密工作是軍工企業(yè)的一條紅線，不可觸碰。為了做好軍工企業(yè)的保密管理工作，中共中央保密委員會辦公室、國家保密局出臺了《中共中央保密委員會關(guān)于加強國防工業(yè)保密管理工作的實施意見》，對于做好軍工企業(yè)的保密管理工作提出了具體的工作指導(dǎo)，嚴(yán)格要求相關(guān)企業(yè)遵守保密規(guī)定。

進入新時期以來，國家在科技創(chuàng)新領(lǐng)域的投入越來越多，軍工領(lǐng)域作為國家科技創(chuàng)新的前沿陣地，研制任務(wù)和預(yù)研創(chuàng)新的需求也不斷增加，隨之也帶來了大量的保密管理問題，某研究所開展保密管理體系標(biāo)準(zhǔn)化流程研究，提出建立軍工研究所的保密管理體系并進行實踐。通過建立保密管理信息系統(tǒng)可以實現(xiàn)更加科學(xué)、合理、高效的保密管理，但保密管理信息系統(tǒng)本身就是保密安全的重要組成，在開展保密管理信息系統(tǒng)建設(shè)時，必須考慮系統(tǒng)自身的安全保密設(shè)計。針對保密管理信息系統(tǒng)安全的密級標(biāo)識、應(yīng)用安全性設(shè)計、數(shù)據(jù)備份與恢復(fù)開展思考，為實現(xiàn)保密管理新系統(tǒng)安全提供支撐。

1 密級標(biāo)識

在保密管理信息系統(tǒng)中，實體權(quán)限使用對象繼承密級接口的方式，為對象在實體權(quán)限校驗中加入了關(guān)于密級驗證的運算。一般運算規(guī)則為“防止涉密信息從高密級安全域流向低密級安全域”，即表現(xiàn)為低密級主體禁止訪問高密級客體。

密級與信息主體的不可分離，保密管理信息系統(tǒng)中使用將密級與信息主體的關(guān)鍵信息一起進行簽名的方式來進行防篡改，如果數(shù)據(jù)庫中憑證或者項目的密級字段被篡改，系統(tǒng)將在前臺頁面給予提示。保密管理信息系統(tǒng)有關(guān)于加密解密的組件（接口）可用于進行簽名及驗證，加解密可用于驗證密級標(biāo)識的簽名從而達到防篡改。實體權(quán)限提供實體對象繼承密級接口的方式，使密級參與權(quán)限運算。

2 應(yīng)用安全性

（1）身份鑒別。保密管理信息系統(tǒng)采用神舟航天軟件技術(shù)有限公司ADP平臺提供的身份鑒別策略進行用戶身份鑒別。ADP的身份認(rèn)證實現(xiàn)系統(tǒng)用戶與非系統(tǒng)用戶的身份鑒別，支持與其他認(rèn)證系統(tǒng)的集成，同時支持多種身份認(rèn)證方式。系統(tǒng)支持身份認(rèn)證重鑒別問題，對于處于空閑狀態(tài)超過一定時間的用戶將被強制注銷。同時對于登錄成功和失敗的用戶，進行詳細(xì)的日志審計。

（2）身份標(biāo)識符。保密管理信息系統(tǒng)的管理員有權(quán)限可以創(chuàng)建用戶身份標(biāo)識，且規(guī)定用戶身份標(biāo)識在保密管理信息系統(tǒng)的全壽命周期中的唯一性，創(chuàng)建和修改身份標(biāo)識時會進行唯一性校驗。用戶身份標(biāo)識符不可變更，賬號只能被凍結(jié)，不能被刪除。系統(tǒng)用戶管理模塊的訪問、操作授權(quán)是軟件內(nèi)置功能，運行時不能由管理員進行修改。三類管理員的賬號信息在系統(tǒng)平臺的初始化過程中直接形成，并且三類管理員按照國家保密規(guī)定可形成同級管理員。

（3）登錄方式。保密管理信息系統(tǒng)采用ADP平臺提供的登錄策略進行登錄。根據(jù)具體要求，主要登錄方式為CA認(rèn)證登錄方式；當(dāng)CA認(rèn)證方式出現(xiàn)緊急故障時，可以臨時切換用戶名/密碼的應(yīng)急登錄方式進行登錄。對于用戶名密碼登陸方式，應(yīng)注意用戶賬號是由用戶名和域名組合的方式，管理員可以控制密碼策略。

（4）訪問控制。保密管理信息系統(tǒng)的訪問控制組件可分為：功能權(quán)限、URL訪問控制和實體權(quán)限。保密管理信息系統(tǒng)權(quán)限管理功能提供完整的權(quán)限定義、設(shè)定、檢查等一系列功能，支撐應(yīng)用系統(tǒng)實現(xiàn)功能、實體權(quán)限管理需求。功能權(quán)限主要用以實現(xiàn)功能菜單的訪問控制，實體權(quán)限用以實現(xiàn)業(yè)務(wù)數(shù)據(jù)的精細(xì)化訪問控制。對于URL訪問控制，主要用來控制繞過系統(tǒng)操作界面直接訪問系統(tǒng)處理邏輯的場景，通常是惡意訪問系統(tǒng)的情況。

（5）數(shù)據(jù)完整性。保密管理信息系統(tǒng)對數(shù)據(jù)的完整性有如下保障：包含數(shù)據(jù)的存儲、輸入、輸入控制。保密管理信息系統(tǒng)輸入的存儲數(shù)據(jù)分為存儲在數(shù)據(jù)庫中的涉及密級的少量數(shù)據(jù)（如用戶密級）、存儲在保密管理信息系統(tǒng)文件服務(wù)器中的數(shù)據(jù)兩部分。

（6）系統(tǒng)三員管理。系統(tǒng)三員是指系統(tǒng)管理員、安全保密管理員和安全審計員。系統(tǒng)管理員負(fù)責(zé)保密管理信息系統(tǒng)運行環(huán)境參數(shù)的設(shè)置、系統(tǒng)維護和數(shù)據(jù)備份等系統(tǒng)管理工作；安全保密管理員負(fù)責(zé)用戶的增、刪（凍結(jié)）、改，用戶權(quán)限的分配以及用戶操作日志的管理等安全管理工作；安全審計員負(fù)責(zé)查看系統(tǒng)管理員及安全保密管理員操作日志的管理等安全審計工作。

（7）安全審計。審計管理主要用于監(jiān)視不同用戶的操作，跟蹤用戶操作軌跡，作為日后審計的主要依據(jù)。審計管理中記錄的日志包括系統(tǒng)中所有域下不同用戶操作不同對象的日志。當(dāng)用戶以管理員（審計管理員或安全管理員）身份登錄審計工具時，只能看到當(dāng)前登錄域的日志信息，如果用戶想查詢其它域的審計信息，應(yīng)切換到目標(biāo)域下查詢審計信息。

3 數(shù)據(jù)備份與恢復(fù)

通過對保密管理信息系統(tǒng)數(shù)據(jù)進行備份和恢復(fù)，以避免保密管理信息系統(tǒng)的數(shù)據(jù)損壞或丟失。備份部分主要包含了備份內(nèi)容、備份內(nèi)容的保留時長和備份方式?；謴?fù)部分主要闡述了應(yīng)用系統(tǒng)、文件和數(shù)據(jù)庫的恢復(fù)方式。

（1）備份。備份主要考慮備份內(nèi)容、備份保留的時間以及備份方式。備份內(nèi)容：需要備份的內(nèi)容主要包括應(yīng)用系統(tǒng)、文件和數(shù)據(jù)庫。備份保留時間：虛擬帶庫存儲按中心存儲要求，在業(yè)務(wù)需求不提出長期保存的情況下不做磁帶導(dǎo)出，即按照虛擬帶庫1季度的存儲時長。備份方式：系統(tǒng)通過windows計劃任務(wù)（Linux腳本）定時運行腳本執(zhí)行數(shù)據(jù)庫和文件自動備份，并提供每次備份日志說明備份情況，管理員需要定期查看備份日志，檢查、處理異常情況。

（2）恢復(fù)。按照存儲備份內(nèi)容的硬件是否損壞恢復(fù)可以分為本地恢復(fù)和帶庫恢復(fù)兩類，具體恢復(fù)方式如下。本地恢復(fù)：在存儲備份的服務(wù)器并未發(fā)生損壞至存儲硬盤中信息不可用的情況下，可使用本地恢復(fù)，以縮短恢復(fù)時間窗口。帶庫恢復(fù)：在存儲備份的服務(wù)器發(fā)生損壞至存儲硬盤中信息不可用的情況下，需要使用帶庫恢復(fù)，即將帶庫中備份的最新一天的數(shù)據(jù)恢復(fù)到新機器，進行系統(tǒng)恢復(fù)。

4 結(jié)語

針對某研究所保密管理信息系統(tǒng)，從系統(tǒng)密級標(biāo)識、應(yīng)用安全性設(shè)計、數(shù)據(jù)備份與恢復(fù)三個方面開展了系統(tǒng)安全性設(shè)計思考，為提升軍工企業(yè)保密管理效率提供一些參考。