涉及國家秘密的信息系統(tǒng)需要實行分級保護，對信息系統(tǒng)安全進行合理分級、按標準進行建設、管理和監(jiān)督。中國航天科技集團公司（以下簡稱：集團公司）各院所作為涉及國家秘密的重要單位，已經(jīng)基本形成了基于神舟AVPDM的數(shù)字化管理體系，隨著國防軍工企業(yè)對于涉密信息化系統(tǒng)安全等級要求的進一步提高，集團公司各院所有必要加強和完善涉密應用系統(tǒng)建設。

一、總體思路

    分級保護基本評測范圍包括物理隔離、安全保密產(chǎn)品選擇、安全域邊界防護、密級標識、用戶身份鑒別、訪問控制力度、信息傳輸加密、信息存儲加密、信息設備的電磁泄漏發(fā)射防護、邊界控制、違規(guī)外聯(lián)監(jiān)控、安全保密管理機構、安全保密管理制度、安全保密管理人員、集成資質單位選擇等方面。

    神舟AVPDM作為工程應用項目的重要工程研制管理軟件系統(tǒng)，需要重點處理信息安全保密問題。信息安全保密問題包括密級標識、身份鑒別、訪問控制、密碼保護、信息完整性校驗、系統(tǒng)安全性能檢測、安全審計與監(jiān)控、抗抵賴、操作系統(tǒng)安全、數(shù)據(jù)庫安全、邊界防護與控制。

    神舟AVPDM通過選擇安全技術、設備，形成滿足型號研制需要的業(yè)務應用安全體系保障，在選用業(yè)務數(shù)據(jù)安全保障技術、涉密數(shù)據(jù)處理技術和通用安全技術支持下，確保在各種安全手段和策略下，實現(xiàn)涉密數(shù)據(jù)的安全、可控。

二、系統(tǒng)實現(xiàn)

    1.系統(tǒng)目標

    神舟AVPDM依據(jù)涉密信息系統(tǒng)分級保護評測的標準，選用先進、成熟的安全控制技術，實現(xiàn)身份鑒別、密級標識、信息完整性校驗、訪問控制、應用安全審計等功能，確保系統(tǒng)的使用安全和數(shù)據(jù)安全，形成可滿足航天涉密應用要求的安全型號協(xié)同研制系統(tǒng)。

    2.系統(tǒng)框架

    神舟AVPDM分級保護體系結構如下圖所示。

    從神舟AVPDM分級保護體系結構可見，安全體系主要由用戶身份鑒別、三員分權、密級保護、訪問控制、安全審計、信息完整性校驗、涉密信息存儲/備份/恢復七部分組成。

    3.關鍵技術

    （1）多級三員分權

    神舟AVPDM提供站點、組織、產(chǎn)品、基礎庫等多類上下文，上下文間存在層級關系，將系統(tǒng)劃分為若干管理空間。通過上下文的劃分，神舟AVPDM支持單一單位獨立部署應用，也支持多單位集中部署應用。另外，根據(jù)用戶單位的部署和應用模式，系統(tǒng)使用時可提供多級三員管理的設置。

    系統(tǒng)提供上下文體系下相互制約、相互監(jiān)督為原則的三員分權，支持多級三員設置及分權，提供在站點、組織、產(chǎn)品等各范圍進行三權分立管理。上下文結構與三員劃分如下圖。

    系統(tǒng)在站點、組織實現(xiàn)多級系統(tǒng)管理員、安全管理員和審計管理員創(chuàng)建及設置，在產(chǎn)品、基礎庫實現(xiàn)安全管理員及審計管理員的設置，并且三員在上下文體系下具有相應的管理范圍。其中，系統(tǒng)管理員負責指定上下文范圍的系統(tǒng)配置和日常管理；安全管理員負責指定上下文范圍的業(yè)務配置、權限配置方面的工作，并且負責對指定范圍普通用戶、審計管理員操作行為的審計；審計管理員負責對指定上下文范圍系統(tǒng)管理員、安全管理員操作行為的審計跟蹤分析和監(jiān)督檢查。

    （2）密級保護

    系統(tǒng)可根據(jù)涉密信息的不同保密程度對涉密信息及涉密人員進行密級標識，支持對涉密人員在不同的型號產(chǎn)品中進行降密處理。在系統(tǒng)中可以設置涉密信息的業(yè)務對象包括文檔、圖樣、更改單等，涉密數(shù)據(jù)的實體文件都標識密級。在密級保護方面，涉密業(yè)務對象的密級與用戶在指定型號產(chǎn)品中的密級相關，用戶不能創(chuàng)建高于其密級的對象。業(yè)務對象的密級控制用戶是否不允許訪問此對象，密級拒絕具有一票否決效力，低密人員不得訪問高密信息。

    用戶密級的變更，須經(jīng)變更審批流程通過后，由安全保密管理員進行變更；涉密業(yè)務對象的密級屬性修改后自動寫入實體文件，使密級屬性與正文密級保持一致，并且當對象密級屬性與實體文件中密級不一致時，不允許發(fā)起審簽。下圖示意標識密級的對象間密級的關聯(lián)及影響。

    此外，業(yè)務對象密級的修改通過單獨的操作和權限控制，密級修改的歷史會被記錄和形成審計日志，并且系統(tǒng)支持基于對象密級進行對象查詢和統(tǒng)計以及跨站點協(xié)同過程中密級保護。

    （3）系統(tǒng)訪問控制

    系統(tǒng)提供功能顯隱規(guī)則、對象訪問規(guī)則、業(yè)務規(guī)則（密級、專業(yè)等）三大類訪問控制途徑。

    功能顯隱規(guī)則指定最終用戶可查看用戶界面的哪些功能，將僅對用戶公開其所需的必要功能和信息，能確保用戶無法查看禁止其查看的信息、無法操作禁止其操作的功能。

    對象訪問規(guī)則包括策略域訪問控制規(guī)則、生命周期訪問控制規(guī)則、工作流訪問控制規(guī)則、對象實例訪問控制規(guī)則四類規(guī)則。其中：策略域訪問控制規(guī)則指定相應于某范圍內(nèi)的各類型數(shù)據(jù)的用戶權限規(guī)則，當用戶將對某數(shù)據(jù)執(zhí)行某操作時，系統(tǒng)將利用該數(shù)據(jù)關聯(lián)的策略域計算出用戶對數(shù)據(jù)的凈權限，由此控制用戶對數(shù)據(jù)的訪問操作；生命周期訪問控制規(guī)則在生命周期模板的特定狀態(tài)設置各用戶身份對此狀態(tài)對象的權限。當用戶對受生命周期管理的某數(shù)據(jù)執(zhí)行某操作時，系統(tǒng)會根據(jù)對象的狀態(tài)及其關聯(lián)的生命周期模板，綜合計算用戶對數(shù)據(jù)的權限，由此對數(shù)據(jù)訪問進行控制；工作流訪問控制規(guī)則控制流程某環(huán)節(jié)的任務執(zhí)行者對此環(huán)節(jié)的審閱數(shù)據(jù)的訪問和操作，僅對設置的流程環(huán)節(jié)有效，當流程某環(huán)節(jié)的審閱人對審閱數(shù)據(jù)執(zhí)行某操作時，系統(tǒng)會綜合流程訪問控制規(guī)則計算用戶權限，由此對數(shù)據(jù)進行訪問控制；對象實例訪問控制規(guī)則控制用戶對特定版本的對象的訪問和操作，當授權范圍的用戶試圖訪問或操作此對象時，將具有設置的相關權限。

    另外，密級和專業(yè)等業(yè)務規(guī)則通過人員身份條件與對象屬性條件進行運算的表達式規(guī)則表達特定條件的用戶對特定條件的對象具有哪些權限。密級業(yè)務規(guī)則前面已有描述，此處不再贅述。專業(yè)業(yè)務規(guī)則表達專業(yè)參與人員對專業(yè)對象具有哪些權限，專業(yè)參考人員對專業(yè)對象具有哪些權限，專業(yè)信任人員對專業(yè)對象具有哪些權限等規(guī)則。

    此外，系統(tǒng)對信息的輸出進行嚴格控制，包括涉密數(shù)據(jù)防拷貝、對打印出口進行嚴格控制等。

    （4）信息完整性校驗

    為保證信息完整性，數(shù)據(jù)傳輸、存儲都進行加密，不存留臨時文件，并且系統(tǒng)進行涉密信息的有效性驗證。同站點服務器間文件傳輸進行加密，跨站點協(xié)同數(shù)據(jù)傳輸進行加密，文件柜存儲實體文件進行加密。簽署服務器、文件服務器的臨時文件（包括上傳、下載等操作產(chǎn)生的臨時文件）配置策略及時刪除，客戶端不存儲瀏覽的臨時文件。系統(tǒng)對于涉密數(shù)據(jù)及文件自動實現(xiàn)數(shù)字簽名和加密存儲，如果系統(tǒng)檢測到業(yè)務對象的數(shù)據(jù)庫中數(shù)據(jù)記錄的密級、編號、階段等信息被篡改，當訪問業(yè)務對象時，系統(tǒng)會進行提示，并禁止對該數(shù)據(jù)的訪問，同時生成審計日志。

    （5）安全審計

    系統(tǒng)為滿足審計需要，對重要的操作進行審計日志的記錄和管理。安全審計支持的主要功能包括分級審計、審計內(nèi)容控制、審計記錄存儲、審計記錄保護等功能。其中：

    分級審計即只有審計管理員和安全管理員能訪問審計管理，其他人員不能進入審計管理。根據(jù)審計管理員級別和安全管理員級別，區(qū)分其所能查看的人員日志范圍。

    在審計內(nèi)容控制方面，系統(tǒng)審計對象為引起系統(tǒng)狀態(tài)和系統(tǒng)數(shù)據(jù)發(fā)生變化的所有事件，事件的等級可以設定為警告、信息、重大事件、錯誤等，審計日志記錄事件發(fā)生的詳細的時間、IP地址、事件級別、主體、客體和結果等信息。

    在審計記錄存儲方面，可以設定存儲空間的閥值，系統(tǒng)根據(jù)設定閾值進行審計日志的定期或定量自動轉儲，并支持存儲空間提醒等便捷功能。審計日志可以定期或定量自動轉儲，也可以手工進行轉儲。系統(tǒng)中可至少保留近六個月的日志信息。

    在審計記錄查閱方面，具有查看審計記錄的人員可以根據(jù)需要定期查閱審計記錄。同時還提供按照后臺設定的時間期限，定期給安全保密管理員和安全審計管理員發(fā)送郵件，提醒其及時進行審計，通過審計記錄檢索功能，根據(jù)指定的條件（如時間范圍、主體、客體身份、行為類型）進行精確檢索和模糊檢索查詢，生成審計記錄檢索結果。

    在審計記錄保護方面，在系統(tǒng)中只能對審計記錄進行查閱，不能進行修改、刪除操作，并且對審計記錄的查閱會形成審計記錄。如果系統(tǒng)檢測到審計日志的數(shù)據(jù)庫記錄被篡改，當查看審計日志時，系統(tǒng)會提示，并且禁止對審計日志的訪問，同時會生成審計日志，通知安全審計人員進行報警。

    4.系統(tǒng)實現(xiàn)

    神舟AVIDM（企業(yè)級產(chǎn)品協(xié)同研制管理平臺）作為支撐航天型號研制全生命周期過程管理的協(xié)同平臺，功能涵蓋產(chǎn)品數(shù)據(jù)管理、工藝過程管理、項目管理等。神舟AVPDM產(chǎn)品數(shù)據(jù)管理系統(tǒng)是神舟AVIDM的重要一員，其安全增強功能主要包括系統(tǒng)用戶身份鑒別、三員分權、密級保護、系統(tǒng)訪問控制、信息完整性校驗、安全審計等。

    用戶身份鑒別：支持用戶名/密碼登錄和集成CA用戶登錄身份安全認證，提供密碼復雜度及更換周期限制、身份鑒別次數(shù)限制、操作超時身份重鑒別、密碼加密等安全增強功能。

    三員分權：實現(xiàn)上下文體系下多級系統(tǒng)管理員、安全管理員、審計管理員的相互制約、相互監(jiān)督為原則的三員分權，實現(xiàn)多級上下文體下系統(tǒng)管理人員的權限分離。

    密級保護：系統(tǒng)實現(xiàn)涉密數(shù)據(jù)及涉密人員的密級標識。通過密級控制用戶對涉密數(shù)據(jù)的創(chuàng)建和訪問，并且保證文件實體的標識與對象屬性不可分離。

    系統(tǒng)訪問控制：系統(tǒng)提供界面訪問控制、對象訪問控制和業(yè)務規(guī)則控制三類一體的訪問控制體系。

    信息完整性校驗：系統(tǒng)實現(xiàn)數(shù)據(jù)傳輸加密、存儲加密，不存留臨時文件，并且系統(tǒng)進行涉密信息的有效性驗證。

    安全審計：系統(tǒng)對重要的操作進行審計日志的記錄和管理，支持分級審計、審計日志查詢、審計日志訂閱、歷史日志轉儲等功能。

    神舟AVPDM針對國防軍工行業(yè)信息安全管控需要，綜合采用數(shù)據(jù)傳輸/存儲加密、細粒度權限控制、三員分立的用戶制約監(jiān)督機制等技術與手段，構建了符合軍工要求的數(shù)據(jù)安全保障體系，在集團公司各院所涉密信息系統(tǒng)建設過程中配合運行管理、備份與恢復等一系列業(yè)務安全措施，可有效保證系統(tǒng)的安全防護等級。