目前,國家保密形勢異常嚴峻,尤其計算機及其網絡已成為泄密的重要隱患,通過計算機信息系統(tǒng)采用信息技術手段發(fā)生的泄密案與竊密案頻發(fā),隨著國家BMB相關標準的出臺, 以及從業(yè)人員對國家BMB相關標準的深入理解,勢必對企業(yè)應用系統(tǒng)的安全保密防護提出更高的要求。已經運行的應用系統(tǒng)如企業(yè)OA、PDM、MEG中保存了大量的涉密數(shù)據(jù),這些數(shù)據(jù)的安全保密要求就需要對原有的應用系統(tǒng)進行安全改造。
一、應用系統(tǒng)安全保密改造目的
隨著企業(yè)信息化程度的進一步推廣,應用深度也進一步增加,企業(yè)的應用系統(tǒng)中積累了大量的數(shù)據(jù),在0A、PDM、MES中保存的大量數(shù)據(jù)中,多數(shù)屬于涉密數(shù)據(jù)。在早年推廣的系統(tǒng)中,重點考慮應用的便利性和數(shù)據(jù)的安全性,基本不會考慮到數(shù)據(jù)保密這個范疇,因此,原有的應用系統(tǒng)也就存在大量的漏洞和風險,如用戶管理、日志管理身份鑒別等,這些問題不解決,勢必容易造成涉密信息被非授權訪問,以及對竊、泄密事件的無法追溯。為了保證這些數(shù)據(jù)的安全,除做好單機防護、訪問控制和邊界防護外,還應該對已經投入使用的應用系統(tǒng)進行安全保密改造工作。
二、應用系統(tǒng)安全保密改造方案
(一)用戶管理改造
原有的應用系統(tǒng)用戶一般有系統(tǒng)管理員和普通用戶兩類。根據(jù)國家BMB標準的相關要求,在應用系統(tǒng)安全保密改造過程中將系統(tǒng)用戶分為以下幾類:(1)普通用戶:用戶在應用系統(tǒng)的操作主要有符合個人權限信息的查詢、瀏覽、處理等。(2)業(yè)務管理員:業(yè)務管理員一般容易與系統(tǒng)管理員混淆,從事的主要是原系統(tǒng)管理員的部分工作,一般包括應用系統(tǒng)的啟動及停止,管理應用系統(tǒng)的安裝,更新等,管理應用系統(tǒng)的程序、數(shù)據(jù)備份,系統(tǒng)備份、恢復和程序升級等系統(tǒng)日常管理工作。(3)系統(tǒng)管理員:新概念的系統(tǒng)管理員主要從事管理用戶及用戶組、用戶新增、變更、注銷、應用系統(tǒng)的系統(tǒng)日志管理等。(4)安全保密管理員:負責應用系統(tǒng)安全策略的設置、用戶賬號安全策略的設置(口令復雜度、更改周期、權限分配等)、用戶和用戶組的權限分配、訪問控制等的操作和日常管理以及普通用戶的登陸、操作和退出日志審計。(5)安全審計管理員:負責系統(tǒng)中業(yè)務管理員、系統(tǒng)管理員、安全保密管理員的操作審計以及安全管理的操作結果驗證等。
(二)系統(tǒng)備份和恢復
1.系統(tǒng)備份。(1)應用軟件備份:系統(tǒng)應用軟件通過應用服務器發(fā)布,每次系統(tǒng)BUG修改和版本的升級、需求功能的補充,均會產生系統(tǒng)應用軟件的更新,程序的每次更新均有版本控制器記錄,每周對系統(tǒng)應用軟件進行備份,且備份后的程序與應用服務器不在同一臺機器中。該項工作由業(yè)務管理員進行負責操作和記錄。(2)數(shù)據(jù)庫備份:系統(tǒng)提供數(shù)據(jù)庫自動備份的批處理命令文件,通過系統(tǒng)的計劃任務進行自定義設置,并定時對數(shù)據(jù)庫進行備份,且備份文件與數(shù)據(jù)庫服務器不在同一臺機器中。該項工作由業(yè)務管理員進行定期檢查和記錄。
2.系統(tǒng)恢復。業(yè)務管理員按照各系統(tǒng)恢復預案進行系統(tǒng)恢復,操作人員及接觸數(shù)據(jù)的范圍,數(shù)據(jù)存儲要求均符合保密要求。具體恢復分為以下兩個方面:
應用軟件恢復:一旦應用服務器出現(xiàn)故障或癱瘓,業(yè)務管理員應按照系統(tǒng)恢復預案進行恢復,協(xié)調有關部門和崗位人員配合該項工作的開展。首先,恢復應用服務器操作系統(tǒng);其次,恢復應用服務器的WEB發(fā)布支撐軟件;最后,恢復備份的應用系統(tǒng)軟件,并在應用服務器上進行部署和發(fā)布,并記錄恢復過程。
數(shù)據(jù)庫恢復:一旦數(shù)據(jù)庫服務器出現(xiàn)故障或癱瘓,業(yè)務管理員應按照恢復預案進行恢復,根據(jù)系統(tǒng)備份的數(shù)據(jù)文件,首先恢復數(shù)據(jù)庫,然后按照數(shù)據(jù)庫恢復批處理命令文件進行數(shù)據(jù)的恢復,并記錄恢復過程。
(三)安全審計
安全審計的記錄信息要符合機密性、完整性、可控性、可用性和不可否認性(抗抵賴)的原則。應用系統(tǒng)要具備相當充分的審計條件,做好這方面的安全審計內容,主要反映在應用層面的審計數(shù)據(jù)收集工作,將有用的信息提取出來作為審計的內容,通過特定的管理頁面提供給進行審計工作的用戶。
應用系統(tǒng)可以存儲海量的日志信息,也就是為整個解決方案中的審計中心,所有的日志信息都將歸總到這個統(tǒng)一臼志審計中心里管理來,方便審計人員的統(tǒng)一審計管理,審計操作員和一般用戶的所有的操作都將被記錄到日志存儲庫中, 能確保日志管理的安全性,防止用戶的惡意篡改日志記錄。
(四)日志管理
要求有日志管理策略設置的界面。日志管理要求一般可以包括三個方面,一是日志的存放要求,如日志存儲路徑、日志存儲方式、目志存儲空間或存儲周期等。二是日志容量和目志的覆蓋周期,一般可追溯周期不少于1個月。三是應用系統(tǒng)的安全日志應與系統(tǒng)日志分開,并限制用戶對日志的訪問。
1.系統(tǒng)管理日志。系統(tǒng)管理日志模塊主要記錄應用系統(tǒng)的啟動、關閉以及功能模塊、系統(tǒng)異常事件的日志信息,不涉及用戶操作系統(tǒng)管理日志信息不可刪除和修改,可以查詢和導出系統(tǒng)管理日志信息。
2.安全管理日志。系統(tǒng)安全管理日志主要記錄一般用戶的操作行為,主要包括用戶登錄、退出、模塊操作等。系統(tǒng)安全管理日志信息不可修改和刪除。
3.系統(tǒng)審計日志。系統(tǒng)審計日志模塊主要記錄安全保密員、系統(tǒng)管理員和安全審計員的操作日志進行審計記錄。系統(tǒng)根據(jù)審計策略進行審計內容的設置,包括:審核登陸、審核功能模塊訪問、審核賬戶管理、審核權限分配等策略內容,系統(tǒng)根據(jù)策略設置進行日志審計。系統(tǒng)審計日志信息不可刪除和修改,可以查詢和導出系統(tǒng)審計日志信息。主要是三員操作行為。
(五)鑒別方式
常用的鑒別方式有用戶名/口令,動態(tài)口令,數(shù)字證書,生物特征識別等:
用戶名/口令是最簡單的身份鑒別方式,采用用戶名+口令對的方式進行用戶身份的確認,這種方式是企業(yè)任何一個軟件系統(tǒng)都必須提供的方式。
動態(tài)口令、數(shù)字證書、生物特征識別等鑒別方式采用與第三方軟件進行集成的方式進行,如企業(yè)與上海格爾軟件的集成涉密企業(yè)一般可采用指紋儀等生物特征識別設備,也可采用USB Key+口令的方式。
(六)口令限制
口令限制具體表現(xiàn)在以下幾個方面:
強口令限制(密碼復雜度):系統(tǒng)的賬戶密碼必須由數(shù)字(0-9)、大寫字母(A—z)、小寫字母(a—Z)、特殊符號(@#$% 一十等)中的3種組合而成。如采用正則表達式驗證。
密碼最小長度:系統(tǒng)提供自定義設置系統(tǒng)賬戶密碼的最小長度(不應少于8位),根據(jù)應用系統(tǒng)最終確定密級可能會發(fā)生變化。密碼更改周期(密碼有效期):系統(tǒng)提供自定義設置系統(tǒng)賬戶密碼修改的最長期限(根據(jù)系統(tǒng)密級1周或1個月),后臺提供配置頁面供管理員選擇有效期長度,提前幾天提醒用戶修改密碼。差異度控制:修改后的新密碼不能與舊密碼相同,新舊口令至少有幾位的差別,可逐個字符匹配校驗,根據(jù)應用系統(tǒng)最終確定密級可能會發(fā)生變化。
系統(tǒng)登陸失敗限制:系統(tǒng)提供自定義設置系統(tǒng)賬戶登陸失敗自鎖定的次數(shù),登陸失敗超過該設置值后登陸賬戶就被鎖定,形成審計事件并告警,必須經過系統(tǒng)安全保密管理員核實通過后,該賬戶才能重新進行系統(tǒng)登陸。
(七)鑒別處理
鑒別失敗處理:連續(xù)登錄三次或五次失敗需要鎖定賬戶,只能由系統(tǒng)管理員解鎖、禁用該程序或隨機延長一段時間后允許用戶再次嘗試;
重鑒別:在用戶沒有使用系統(tǒng)到達一個閥值后,用戶需要重新進行鑒別,后臺管理界面提供系統(tǒng)閥值配置頁面, 由安全管理員來配置系統(tǒng)閥值的長度,如十分鐘。
鑒別審計:用戶的鑒別行為需要被記錄下來,管理員的解鎖、更改鑒別機制的行為也需要被審計,在后臺日志表中增加日志類型字段,將用戶登錄、賬號鎖定、賬號解鎖等行為歸類為鑒別審計日志。
(八)涉密信息流向控制
涉密信息流向控制主要包括兩個方面:一是對于密級級別高的人員,不但可以獲取相同密級的數(shù)據(jù)信息,還可以獲取比其密級低的數(shù)據(jù)信息;相反,密級低的人員不能獲取比其密級高的數(shù)據(jù)信息。二是防止知悉范圍擴大,即非授權用戶無法查獲非授權的密級信息,授權用戶僅能查獲相應授權的密級信息。重點是通過菜單權限和數(shù)據(jù)權限對用戶權限進行限制。
涉密信息的流向還可以通過企業(yè)內不同部門崗位和不同業(yè)務范圍來進行控制,這種控制通常是結合系統(tǒng)權限控制來實現(xiàn)。例如:班組級、車間級、工廠級,部門級別高的人員有權訪問下屬級別的數(shù)據(jù)信息,相反,則受到限制。相應密級用戶瀏覽相應的密級信息,低密級的人員無法獲取高密級信息的目的;相應的業(yè)務用戶瀏覽相應的業(yè)務信息,無法瀏覽不相關業(yè)務信息。實現(xiàn)方式主要有:
1.功能權限控制。涉密應用系統(tǒng)的功能權控制也就是菜單權限,主要是針對用戶或用戶組設置不同的菜單權限,主要有兩個方面:一是針對管理員權限而言,企業(yè)普通用戶或用戶組具有授權的相關業(yè)務的瀏覽、查詢、處理等權限,但沒有用戶管理、權限管理和審計管理的功能,這些功能分別是系統(tǒng)管理員、安全保密管理員和安全審計員的功能。二是針對業(yè)務而言,不同的用戶和用戶組具有不同的業(yè)務權限權的控制由相應的業(yè)務應用系統(tǒng)內進行權限控制。
2.數(shù)據(jù)權限控制。在應用系統(tǒng)中,系統(tǒng)提供對數(shù)據(jù)的訪問權進行控制,即針對系統(tǒng)用戶或用戶組按用戶或用戶組的角色進行權限劃分,根據(jù)不同的用戶角色可以看到特定的內容。普通用戶可以看到業(yè)務上授權個人的可以看到的信息;系統(tǒng)管理員、安全管理員和安全審計員可以看到相應授權的信息或數(shù)據(jù)。如安全保密管理員可以看到的一般員工操作信息,安全審計員可以看到三員操作信息,別人看不到。
三、總結和建議
綜上所述,要提高信息系統(tǒng)的安全水平,除了硬件和環(huán)境相應防范措施外,重點應該關注應用系統(tǒng)的安全保密防護,而應用系統(tǒng)的安全保密防護處技術措施外,還應在管理措施和相應的標準規(guī)范上下功夫,才能真正做好應用系統(tǒng)的安全保密工作。相對于用戶改造,文中提到的密級流向控制是比較難改造的,很有可能會涉及到應用系統(tǒng)結構性調整。當然。原有的應用系統(tǒng)由于最初設計時目標的差異,應用系統(tǒng)進行改造過程中會由于歷史應用原因,無法徹底按照本文描述的內容進行改造,但應該重點關注應用系統(tǒng)改造的原因和目的,采用其他方法達到保護應用系統(tǒng)中的涉密信息得到防護的目的。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.sdyuan.com/
本文標題:涉密應用系統(tǒng)安全保密改造方向
相關文章
