涉及國家秘密的信息系統(tǒng)需要實(shí)行分級保護(hù)，對信息系統(tǒng)安全進(jìn)行合理分級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。中國航天科技集團(tuán)公司（以下簡稱：集團(tuán)公司）各院所作為涉及國家秘密的重要單位，已經(jīng)基本形成了基于神舟AVPDM的數(shù)字化管理體系，隨著國防軍工企業(yè)對于涉密信息化系統(tǒng)安全等級要求的進(jìn)一步提高，集團(tuán)公司各院所有必要加強(qiáng)和完善涉密應(yīng)用系統(tǒng)建設(shè)。

一、總體思路

    分級保護(hù)基本評測范圍包括物理隔離、安全保密產(chǎn)品選擇、安全域邊界防護(hù)、密級標(biāo)識、用戶身份鑒別、訪問控制力度、信息傳輸加密、信息存儲(chǔ)加密、信息設(shè)備的電磁泄漏發(fā)射防護(hù)、邊界控制、違規(guī)外聯(lián)監(jiān)控、安全保密管理機(jī)構(gòu)、安全保密管理制度、安全保密管理人員、集成資質(zhì)單位選擇等方面。

    神舟AVPDM作為工程應(yīng)用項(xiàng)目的重要工程研制管理軟件系統(tǒng)，需要重點(diǎn)處理信息安全保密問題。信息安全保密問題包括密級標(biāo)識、身份鑒別、訪問控制、密碼保護(hù)、信息完整性校驗(yàn)、系統(tǒng)安全性能檢測、安全審計(jì)與監(jiān)控、抗抵賴、操作系統(tǒng)安全、數(shù)據(jù)庫安全、邊界防護(hù)與控制。

    神舟AVPDM通過選擇安全技術(shù)、設(shè)備，形成滿足型號研制需要的業(yè)務(wù)應(yīng)用安全體系保障，在選用業(yè)務(wù)數(shù)據(jù)安全保障技術(shù)、涉密數(shù)據(jù)處理技術(shù)和通用安全技術(shù)支持下，確保在各種安全手段和策略下，實(shí)現(xiàn)涉密數(shù)據(jù)的安全、可控。

二、系統(tǒng)實(shí)現(xiàn)

    1.系統(tǒng)目標(biāo)

    神舟AVPDM依據(jù)涉密信息系統(tǒng)分級保護(hù)評測的標(biāo)準(zhǔn)，選用先進(jìn)、成熟的安全控制技術(shù)，實(shí)現(xiàn)身份鑒別、密級標(biāo)識、信息完整性校驗(yàn)、訪問控制、應(yīng)用安全審計(jì)等功能，確保系統(tǒng)的使用安全和數(shù)據(jù)安全，形成可滿足航天涉密應(yīng)用要求的安全型號協(xié)同研制系統(tǒng)。

    2.系統(tǒng)框架

    神舟AVPDM分級保護(hù)體系結(jié)構(gòu)如下圖所示。

    從神舟AVPDM分級保護(hù)體系結(jié)構(gòu)可見，安全體系主要由用戶身份鑒別、三員分權(quán)、密級保護(hù)、訪問控制、安全審計(jì)、信息完整性校驗(yàn)、涉密信息存儲(chǔ)/備份/恢復(fù)七部分組成。

    3.關(guān)鍵技術(shù)

    （1）多級三員分權(quán)

    神舟AVPDM提供站點(diǎn)、組織、產(chǎn)品、基礎(chǔ)庫等多類上下文，上下文間存在層級關(guān)系，將系統(tǒng)劃分為若干管理空間。通過上下文的劃分，神舟AVPDM支持單一單位獨(dú)立部署應(yīng)用，也支持多單位集中部署應(yīng)用。另外，根據(jù)用戶單位的部署和應(yīng)用模式，系統(tǒng)使用時(shí)可提供多級三員管理的設(shè)置。

    系統(tǒng)提供上下文體系下相互制約、相互監(jiān)督為原則的三員分權(quán)，支持多級三員設(shè)置及分權(quán)，提供在站點(diǎn)、組織、產(chǎn)品等各范圍進(jìn)行三權(quán)分立管理。上下文結(jié)構(gòu)與三員劃分如下圖。

    系統(tǒng)在站點(diǎn)、組織實(shí)現(xiàn)多級系統(tǒng)管理員、安全管理員和審計(jì)管理員創(chuàng)建及設(shè)置，在產(chǎn)品、基礎(chǔ)庫實(shí)現(xiàn)安全管理員及審計(jì)管理員的設(shè)置，并且三員在上下文體系下具有相應(yīng)的管理范圍。其中，系統(tǒng)管理員負(fù)責(zé)指定上下文范圍的系統(tǒng)配置和日常管理；安全管理員負(fù)責(zé)指定上下文范圍的業(yè)務(wù)配置、權(quán)限配置方面的工作，并且負(fù)責(zé)對指定范圍普通用戶、審計(jì)管理員操作行為的審計(jì)；審計(jì)管理員負(fù)責(zé)對指定上下文范圍系統(tǒng)管理員、安全管理員操作行為的審計(jì)跟蹤分析和監(jiān)督檢查。

    （2）密級保護(hù)

    系統(tǒng)可根據(jù)涉密信息的不同保密程度對涉密信息及涉密人員進(jìn)行密級標(biāo)識，支持對涉密人員在不同的型號產(chǎn)品中進(jìn)行降密處理。在系統(tǒng)中可以設(shè)置涉密信息的業(yè)務(wù)對象包括文檔、圖樣、更改單等，涉密數(shù)據(jù)的實(shí)體文件都標(biāo)識密級。在密級保護(hù)方面，涉密業(yè)務(wù)對象的密級與用戶在指定型號產(chǎn)品中的密級相關(guān)，用戶不能創(chuàng)建高于其密級的對象。業(yè)務(wù)對象的密級控制用戶是否不允許訪問此對象，密級拒絕具有一票否決效力，低密人員不得訪問高密信息。

    用戶密級的變更，須經(jīng)變更審批流程通過后，由安全保密管理員進(jìn)行變更；涉密業(yè)務(wù)對象的密級屬性修改后自動(dòng)寫入實(shí)體文件，使密級屬性與正文密級保持一致，并且當(dāng)對象密級屬性與實(shí)體文件中密級不一致時(shí)，不允許發(fā)起審簽。下圖示意標(biāo)識密級的對象間密級的關(guān)聯(lián)及影響。

    此外，業(yè)務(wù)對象密級的修改通過單獨(dú)的操作和權(quán)限控制，密級修改的歷史會(huì)被記錄和形成審計(jì)日志，并且系統(tǒng)支持基于對象密級進(jìn)行對象查詢和統(tǒng)計(jì)以及跨站點(diǎn)協(xié)同過程中密級保護(hù)。

    （3）系統(tǒng)訪問控制

    系統(tǒng)提供功能顯隱規(guī)則、對象訪問規(guī)則、業(yè)務(wù)規(guī)則（密級、專業(yè)等）三大類訪問控制途徑。

    功能顯隱規(guī)則指定最終用戶可查看用戶界面的哪些功能，將僅對用戶公開其所需的必要功能和信息，能確保用戶無法查看禁止其查看的信息、無法操作禁止其操作的功能。

    對象訪問規(guī)則包括策略域訪問控制規(guī)則、生命周期訪問控制規(guī)則、工作流訪問控制規(guī)則、對象實(shí)例訪問控制規(guī)則四類規(guī)則。其中：策略域訪問控制規(guī)則指定相應(yīng)于某范圍內(nèi)的各類型數(shù)據(jù)的用戶權(quán)限規(guī)則，當(dāng)用戶將對某數(shù)據(jù)執(zhí)行某操作時(shí)，系統(tǒng)將利用該數(shù)據(jù)關(guān)聯(lián)的策略域計(jì)算出用戶對數(shù)據(jù)的凈權(quán)限，由此控制用戶對數(shù)據(jù)的訪問操作；生命周期訪問控制規(guī)則在生命周期模板的特定狀態(tài)設(shè)置各用戶身份對此狀態(tài)對象的權(quán)限。當(dāng)用戶對受生命周期管理的某數(shù)據(jù)執(zhí)行某操作時(shí)，系統(tǒng)會(huì)根據(jù)對象的狀態(tài)及其關(guān)聯(lián)的生命周期模板，綜合計(jì)算用戶對數(shù)據(jù)的權(quán)限，由此對數(shù)據(jù)訪問進(jìn)行控制；工作流訪問控制規(guī)則控制流程某環(huán)節(jié)的任務(wù)執(zhí)行者對此環(huán)節(jié)的審閱數(shù)據(jù)的訪問和操作，僅對設(shè)置的流程環(huán)節(jié)有效，當(dāng)流程某環(huán)節(jié)的審閱人對審閱數(shù)據(jù)執(zhí)行某操作時(shí)，系統(tǒng)會(huì)綜合流程訪問控制規(guī)則計(jì)算用戶權(quán)限，由此對數(shù)據(jù)進(jìn)行訪問控制；對象實(shí)例訪問控制規(guī)則控制用戶對特定版本的對象的訪問和操作，當(dāng)授權(quán)范圍的用戶試圖訪問或操作此對象時(shí)，將具有設(shè)置的相關(guān)權(quán)限。

    另外，密級和專業(yè)等業(yè)務(wù)規(guī)則通過人員身份條件與對象屬性條件進(jìn)行運(yùn)算的表達(dá)式規(guī)則表達(dá)特定條件的用戶對特定條件的對象具有哪些權(quán)限。密級業(yè)務(wù)規(guī)則前面已有描述，此處不再贅述。專業(yè)業(yè)務(wù)規(guī)則表達(dá)專業(yè)參與人員對專業(yè)對象具有哪些權(quán)限，專業(yè)參考人員對專業(yè)對象具有哪些權(quán)限，專業(yè)信任人員對專業(yè)對象具有哪些權(quán)限等規(guī)則。

    此外，系統(tǒng)對信息的輸出進(jìn)行嚴(yán)格控制，包括涉密數(shù)據(jù)防拷貝、對打印出口進(jìn)行嚴(yán)格控制等。

    （4）信息完整性校驗(yàn)

    為保證信息完整性，數(shù)據(jù)傳輸、存儲(chǔ)都進(jìn)行加密，不存留臨時(shí)文件，并且系統(tǒng)進(jìn)行涉密信息的有效性驗(yàn)證。同站點(diǎn)服務(wù)器間文件傳輸進(jìn)行加密，跨站點(diǎn)協(xié)同數(shù)據(jù)傳輸進(jìn)行加密，文件柜存儲(chǔ)實(shí)體文件進(jìn)行加密。簽署服務(wù)器、文件服務(wù)器的臨時(shí)文件（包括上傳、下載等操作產(chǎn)生的臨時(shí)文件）配置策略及時(shí)刪除，客戶端不存儲(chǔ)瀏覽的臨時(shí)文件。系統(tǒng)對于涉密數(shù)據(jù)及文件自動(dòng)實(shí)現(xiàn)數(shù)字簽名和加密存儲(chǔ)，如果系統(tǒng)檢測到業(yè)務(wù)對象的數(shù)據(jù)庫中數(shù)據(jù)記錄的密級、編號、階段等信息被篡改，當(dāng)訪問業(yè)務(wù)對象時(shí)，系統(tǒng)會(huì)進(jìn)行提示，并禁止對該數(shù)據(jù)的訪問，同時(shí)生成審計(jì)日志。

    （5）安全審計(jì)

    系統(tǒng)為滿足審計(jì)需要，對重要的操作進(jìn)行審計(jì)日志的記錄和管理。安全審計(jì)支持的主要功能包括分級審計(jì)、審計(jì)內(nèi)容控制、審計(jì)記錄存儲(chǔ)、審計(jì)記錄保護(hù)等功能。其中：

    分級審計(jì)即只有審計(jì)管理員和安全管理員能訪問審計(jì)管理，其他人員不能進(jìn)入審計(jì)管理。根據(jù)審計(jì)管理員級別和安全管理員級別，區(qū)分其所能查看的人員日志范圍。

    在審計(jì)內(nèi)容控制方面，系統(tǒng)審計(jì)對象為引起系統(tǒng)狀態(tài)和系統(tǒng)數(shù)據(jù)發(fā)生變化的所有事件，事件的等級可以設(shè)定為警告、信息、重大事件、錯(cuò)誤等，審計(jì)日志記錄事件發(fā)生的詳細(xì)的時(shí)間、IP地址、事件級別、主體、客體和結(jié)果等信息。

    在審計(jì)記錄存儲(chǔ)方面，可以設(shè)定存儲(chǔ)空間的閥值，系統(tǒng)根據(jù)設(shè)定閾值進(jìn)行審計(jì)日志的定期或定量自動(dòng)轉(zhuǎn)儲(chǔ)，并支持存儲(chǔ)空間提醒等便捷功能。審計(jì)日志可以定期或定量自動(dòng)轉(zhuǎn)儲(chǔ)，也可以手工進(jìn)行轉(zhuǎn)儲(chǔ)。系統(tǒng)中可至少保留近六個(gè)月的日志信息。

    在審計(jì)記錄查閱方面，具有查看審計(jì)記錄的人員可以根據(jù)需要定期查閱審計(jì)記錄。同時(shí)還提供按照后臺設(shè)定的時(shí)間期限，定期給安全保密管理員和安全審計(jì)管理員發(fā)送郵件，提醒其及時(shí)進(jìn)行審計(jì)，通過審計(jì)記錄檢索功能，根據(jù)指定的條件（如時(shí)間范圍、主體、客體身份、行為類型）進(jìn)行精確檢索和模糊檢索查詢，生成審計(jì)記錄檢索結(jié)果。

    在審計(jì)記錄保護(hù)方面，在系統(tǒng)中只能對審計(jì)記錄進(jìn)行查閱，不能進(jìn)行修改、刪除操作，并且對審計(jì)記錄的查閱會(huì)形成審計(jì)記錄。如果系統(tǒng)檢測到審計(jì)日志的數(shù)據(jù)庫記錄被篡改，當(dāng)查看審計(jì)日志時(shí)，系統(tǒng)會(huì)提示，并且禁止對審計(jì)日志的訪問，同時(shí)會(huì)生成審計(jì)日志，通知安全審計(jì)人員進(jìn)行報(bào)警。

    4.系統(tǒng)實(shí)現(xiàn)

    神舟AVIDM（企業(yè)級產(chǎn)品協(xié)同研制管理平臺）作為支撐航天型號研制全生命周期過程管理的協(xié)同平臺，功能涵蓋產(chǎn)品數(shù)據(jù)管理、工藝過程管理、項(xiàng)目管理等。神舟AVPDM產(chǎn)品數(shù)據(jù)管理系統(tǒng)是神舟AVIDM的重要一員，其安全增強(qiáng)功能主要包括系統(tǒng)用戶身份鑒別、三員分權(quán)、密級保護(hù)、系統(tǒng)訪問控制、信息完整性校驗(yàn)、安全審計(jì)等。

    用戶身份鑒別：支持用戶名/密碼登錄和集成CA用戶登錄身份安全認(rèn)證，提供密碼復(fù)雜度及更換周期限制、身份鑒別次數(shù)限制、操作超時(shí)身份重鑒別、密碼加密等安全增強(qiáng)功能。

    三員分權(quán)：實(shí)現(xiàn)上下文體系下多級系統(tǒng)管理員、安全管理員、審計(jì)管理員的相互制約、相互監(jiān)督為原則的三員分權(quán)，實(shí)現(xiàn)多級上下文體下系統(tǒng)管理人員的權(quán)限分離。

    密級保護(hù)：系統(tǒng)實(shí)現(xiàn)涉密數(shù)據(jù)及涉密人員的密級標(biāo)識。通過密級控制用戶對涉密數(shù)據(jù)的創(chuàng)建和訪問，并且保證文件實(shí)體的標(biāo)識與對象屬性不可分離。

    系統(tǒng)訪問控制：系統(tǒng)提供界面訪問控制、對象訪問控制和業(yè)務(wù)規(guī)則控制三類一體的訪問控制體系。

    信息完整性校驗(yàn)：系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)傳輸加密、存儲(chǔ)加密，不存留臨時(shí)文件，并且系統(tǒng)進(jìn)行涉密信息的有效性驗(yàn)證。

    安全審計(jì)：系統(tǒng)對重要的操作進(jìn)行審計(jì)日志的記錄和管理，支持分級審計(jì)、審計(jì)日志查詢、審計(jì)日志訂閱、歷史日志轉(zhuǎn)儲(chǔ)等功能。

    神舟AVPDM針對國防軍工行業(yè)信息安全管控需要，綜合采用數(shù)據(jù)傳輸/存儲(chǔ)加密、細(xì)粒度權(quán)限控制、三員分立的用戶制約監(jiān)督機(jī)制等技術(shù)與手段，構(gòu)建了符合軍工要求的數(shù)據(jù)安全保障體系，在集團(tuán)公司各院所涉密信息系統(tǒng)建設(shè)過程中配合運(yùn)行管理、備份與恢復(fù)等一系列業(yè)務(wù)安全措施，可有效保證系統(tǒng)的安全防護(hù)等級。