资源信息化平台与业务应用安全管理设计与应用

李大林，张 茜，金 涛

（北京神舟航天软件技术有限公司，北京 100094）

1 平台化安全管理需求分析

随着大数据、云计算和人工智能等信息化技术的飞速发展，企业信息化建设朝着集成化、协同化和智能化的趋势发展。国内外高端装备制造业企业面向数字化转型升级需求，纷纷通过平台化路线，打造一种“互联网+信息技术+工业系统”全方位深度融合的基础设施。由于军工企业多数信息系统属于涉密系统，在实践平台化路线时，如何保障平台以及业务应用的信息安全成为首要解决的问题。

1.1 满足涉密信息系统分级保护相关要求

根据国家法律法规要求，军工信息系统建设应以《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）和《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007）为基础，以《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）进行全面的、针对性的、可操作性强的方案设计。因此，军工企业信息化平台与业务应用首先要满足涉密信息系统分级保护的技术要求与规范。

涉密应用系统安全性要求主要体现在以下三个方面。

（1）身份鉴别

需要支持的登录方式扩充、口令复杂度要求、口令更换周期限制、身份鉴别尝试次数限制、身份重鉴别、口令加密存储、加密传输和身份标识符不被非授权访问、修改或删除等。

（2）访问控制

需要遵守低密人员不得访问高密信息、授权主体能控制到单个用户，客体能控制到信息类别、前台页面上的涉密信息，不允许执行非授权的打印、拷贝、粘贴、另存为和截屏等操作。

（3）安全审计

确定审计策略是否依据上下文分层级，确定审计事件范围、应符合审计记录内容组成要素要求、日志存储将满时应告警、应能转储、系统异常时应保证存储审计记录不被破坏、通过指定条件进行查询、超期未查阅审计、异常事件通知及生成审计结果报告、保证审计记录不被篡改、伪造和非授权删除以及保证审计日志保存时间要求等。

1.2 平台应沉淀共性安全管理服务

军工企业实施平台化战略，需要建立全企业统一的底层平台，用以支撑众多的业务应用数据一致、功能联通以及广泛协同等需求。

由于科研生产和综合管控两大类的业务系统众多，按照以往的建设模式，在安全管理上需要每个业务系统都要进行满足分级保护要求的开发或升级改造等工作。尤其是微服务化后的系统功能颗粒度越来越细，形成了众多的微应用（ APP ），如果仍然按照以往模式开展安管方面的建设，会造成巨大的资源浪费。因此，如果将多个业务系统（包括APP）共性的安全功能沉淀到平台上，上层应用只需关心应用本身个性的安全管理功能，共性基础安全管理功能均由平台提供，则可大幅降低企业信息化建设成本，加快业务应用的建设进度，提升整个企业的效率。

1.3 平台应沉淀共性安全管理服务

军工企业实施平台化战略，需要建立全企业统一的底层平台，用以支撑众多的业务应用系统间的数据一致、功能联通以及广泛协同等需求。由于科研生产和综合管控两大类的业务系统众多，按照以往的建设模式，在安全管理上需要每个业务系统都要进行满足分级保护要求的开发或升级改造等工作。尤其是微服务化后的系统功能颗粒度越来越细，形成了众多的微应用（ APP ），如果仍然按照以往模式开展安管方面的建设，会造成巨大的资源浪费。因此，如果将多个业务系统（包括 APP ）共性的安全功能沉淀到平台上，上层应用只需关心应用本身个性的安全管理功能，共性基础安全管理的功能均由平台提供，则可大幅降低企业信息化建设成本，加快业务应用的建设进度，提升整个企业的效率。

2 平台化安全管理策略

平台的安全防护依照涉密环境中满足分级防护要求，遵循“分层分级保护”基本原则，将平台的安全策略划分为 IaaS 层的安全防护、PaaS 层的安全防护和 SaaS 层的安全防护3个层面。其中，IaaS 层的安全防护由设施提供商提供，主要包括物理安全、主机安全、网络安全、虚拟化安全和接口安全等功能；PaaS 层的安全防护由安全子平台提供，主要包括防护技术、安全框架和安全服务等能力；SaaS 层的安全防护主要由各 APP 提供，包括平台级的 APP安全、第三方 APP 安全和基于平台的协同安全能能力。

3 平台+工业应用安全管理方案设计

面向军工企业平台化安全管理需求，基于平台化安全策略，提出平台+工业应用安全管理方案，如图 1所示。

图 1 平台+工业应用安全管理框架体系

平台+工业应用安全管理框架主要由基础设施安全层、平台安全层和应用安全层三个层次的安全功能组成。其中，基础设施安全主要由底层硬件提供商提供，本文不做详细描述。

平台安全层首先提供 PKI/CA、信息加密、HTTPS、安全传输和安全存储等安全防护组件；在此基础之上提供一个统一的安全框架，主要支撑平台安全相关的统一基础数据、多级的三员管理框架以及多租户模式下的安全框架；同时对上层应用开放系列安全服务，主要包括密级、身份鉴别、访问控制、安全审计、安全传输和安全存储等。

应用安全层根据 APP 种类的不同，分别提出了包括平台级 APP（原生 APP）、第三方 APP 及应用和基于平台的协同类 APP 的安全防护方案。

3.1 平台安全方案

（1）统一基础数据

1）密级标识基础数据。平台提供密级标识的统一定义：公开、内部、秘密和机密。上述定义一般用于对涉密信息进行密级标识，为便于对涉密人员定密标密，平台维护一套与其相对应的普通（对应公开）、一般（对应内部和秘密，内部一般按照秘密级进行管理）和重要（对应机密）基础数据，并维护其对应关系。

接入应用系统密级定义与平台定义不一致时，应维护接入系统密级定义基础数据及其与平台定义的对应关系（或由应用系统负责密级标识转换），便于平台统一对数据进行解释。

提供密级基础数据的维护功能，包括密级标识的增删改查。对于有保密期限以及国家秘密标识符“★”有需求的用户单位，提供标密工具实现。

2）用户、组织基础数据。平台（含上层应用）维护一套用户、组织基础数据。提供用户、组织基础数据的维护功能，包括用户及组织的增删改查、用户与组织的隶属关系维护、组织支持多级组织等。可对用户的状态进行管理，包括锁定、解锁等。每个用户对应唯一的身份标识符，不可修改。平台统一基础数据服务如图2所示。

图 2 平台统一基础数据服务

用户、组织等信息来源于 HR 或人员主数据等系统时，由来源系统负责维护以及通过分级保护测评，平台仅使用相关基础数据，不进行任何的管理维护操作。

（2）平台三员管理

三员中的管理员只能访问指定的功能 APP，平台级的公共 APP 三类管理员均可访问。平台三员管理见下表。

表 平台三员管理

?

1）用户管理中心 APP。用户管理中心 APP 主要为系统管理员提供搜索用户、查看用户、添加新用户和修改用户等功能。可修改用户的相关属性，不允许修改用户名；可根据用户对象的属性检索用户；可显示用户属性（包括头像），注意需要区分本级用户和子级用户；提供手工添加、批量导入和集成接入三种方式添加新用户。

集成 HR 后，平台用户管理中心只能查看用户信息，新增、修改、删除等在 HR 系统中操作。

2）设置中心 APP。设置中心 APP 主要为系统管理员提供资源配置、平台界面设置、平台服务设置、APP 初始化设置工具配置和传输环境配置等功能。可提供平台客户端到服务器、APP 到平台数据传输环境配置；可提供平台使用的各类服务器、中间件等基础设施的运行参数配置；可提供平台界面风格、布局调整、显示位置等配置；可控制平台级服务的开启与关闭；提供具有复杂配置特点的应用 APP 的初始化；并提供 ETL 工具等配置，以及平台对象默认打开工具等。

3）监控运维中心 APP。监控运维中心应用 APP 主要为系统管理员提供在线用户列表、平台运行信息、APP 监控和云监控等功能。可显示目前在线的用户列表，针对每一个用户查看其 IP 地址、登录时间等；可查看平台运行信息，包括服务器运行情况、资源占用情况和负载情况等；可监控 APP 使用情况，如当前最活跃的 APP 等；并提供云服务监控功能等。

4）授权管理 APP。授权管理以独立 APP 方式呈现，专供安全管理员进行授权设置。平台级权限授予如图3所示。

图 3 平台级权限授予

平台安全管理员可对不同的角色，不同的用户授予应用 APP 的使用权限，APP 内的功能权限以及数据权限由APP的安全管理员授予。安全管理员授权过程如图4所示

图 4 安全管理员授权过程

5）保密设备中心 APP。保密设备中心安全管理的对象主要为接入平台，并在平台注册的保密设备，主要有USB Key、保密打印机等。主要功能有设备注册、设备配置、设备监控、设备日志查看和设备安全预警等。

新的设备接入平台首先由责任主体申请注册，审批许可后进行必要的配置，限定设备使用的范围、功能的范围、能够采集、处理和输出等数据范围。安全管理员对设备的运行情况进行监控，定义相关事件并形成日志，设定安全预警项，并能够实时通知到责任主体，具备必要时断开并终止该设备的能力。

6）保密监控看板 APP。保密监控看板 APP 主要为安全管理员使用，监控范围包括普通用户对涉密对象的操作、平台安全事件等。针对普通用户对涉密对象的操作主要有可选定用户监控，可选定涉密对象监控；监控的安全事件包括用户锁定、非法访问和日志存储容量超阈值等。

7）日志审计 APP。审计 APP 按照审计普通用户、系统管理员和安全管理员的不同分成三个不同的 APP，均具备审计策略设置、日志审计和生成报告等功能。平台日志监控机制如图5所示。

图 5 平台日志监控机制

日志属性主要包括主体（用户、标识）、来自应用、时间、客体（类型、标识）、描述（事件、情景、动作和结果）、成功失败标志、密级、日志级别及类型、IP、计算机名和 MAC 等。审计内容主要包括服务器启动和关闭、审计功能的启动和关闭、平台内用户的增加和删除、用户权限的更改、三员和普通用户的操作、涉密数据的操作、身份鉴别相关事件、访问控制相关事件、其他与系统安全相关的事件或专门定义的可审计事件等。

（3）平台多级三员体系

平台多级三员体系如图6所示。

图 6 平台多级三员体系

平台在多级部署时，安全管理需要按照部署层级设立多级三员。以三级部署为例，三级平台的用户为当前层级平台的用户，并设立本层级的三员；二级平台的用户包括当前平台以及其下子平台的注册用户，并设立本层级的三员，下级平台的三员在本级平台为普通用户，依次类推。需要和其他层级平台协同时，按照层级关系，下层平台向上层平台注册协同用户。

（4）平台安全服务

平台开放公共安全服务，为平台上的业务应用（包括APP）提供基础的安全支撑。目前开放的服务包括密级服务、身份鉴别服务以及访问控制服务三类，具体如下：

1）密级服务。密级服务主要包括标密服务、密级映射两类。标密服务的标密对象包括用户、平台产生的涉密对象、实体文件等。涉密对象的密级由创建者在创建时标密，用户的密级由安全管理员统一进行标密，用户的平台密级为访问各 APP 的最高密级。

密级映射服务主要应用在 APP（多为接入系统）密级定义与平台不一致时，当数据流向平台时进行密级映射，由平台统一解释。

2）身份鉴别服务。平台提供的身份鉴别方式包括用户名/口令、PKI/CA 两类。口令方式提供口令的过期检查、密码复杂度检查和判断重复等服务，口令长度约束不少于10位；口令复杂度约束要求口令包括字母（大小写）、数字和符号混合；口令可以使用的期限约束不长于7天，过期前进行提醒；口令非明文传输，非明文存储（由传输安全及存储安全保证）；口令重置时禁止设置为原口令。

当用户身份鉴别成功后，其空闲操作时间超过10分钟时，对该用户重新进行身份鉴别；身份鉴别尝试次数不多于5次，失败达到限制次数后，临时锁定用户，同时形成审计事件。平台提供统一身份认证服务，实现 APP 单点登录。统一身份认证示意如图7所示。

图 7 统一身份认证示意

主要认证流程及注意事项如下：用户登录平台（口令或 CA 方式）；登录需要二次验证的应用系统，通过设置可以选择其中一种，二次登录应用系统和可选择重登录或协议级验证；只操作APP不算空闲时间。

3）访问控制服务。平台访问控制服务为用户角色管理与资源访问控制服务，可以创建、管理用户角色，并对平台内的资源（接入保密设备、APP）具有操作权限。

角色包括内置角色（系统管理员、安全管理员、审计管理员）和普通角色（可自定义）两类。平台可将一个用户赋予多个角色，多个角色分配不同的授权策略，或直接向用户分配授权策略。授权策略按照适用对象可分为系统授权策略和用户自定义授权策略。系统授权策略主要支撑平台三员分权，可控制是否启用三员角色，初始化后不可修改。

用户自定义授权策略主要支撑用户可访问的 APP 资源，如可授予某专业仿真工程师角色具有与其专业相关的设计类、仿真类 APP 的访问权限。授权策略按照控制内容可分为密级控制、实体权限控制和功能权限控制三类，APP 可利用平台授权策略，将控制点注册到平台，使用相关服务。

密级控制主要为低密人员不得访问高密信息，启用三员管理后此策略为平台全局控制策略，拥有最高优先级。

功能权限控制主要针对 APP 的访问权限进行控制，用户可根据需求自定义。一些 APP 需要复杂的功能显隐控制，可在平台对 APP 实例所在的安全域进行控制点注册，利用平台功能权限控制服务实现菜单或操作入口的显隐等细粒度的控制。

实体对象权限一般在 APP 中进行控制，当在平台中暂存时，仍需要对实体对象的权限进行控制，控制原则参照实体在来源系统中的权限设置。权限可被继承以及转移。双向授权如图8所示，权限继承与一链转移如图9所示。

图 8 双向授权

图 9 权限继承与一键转移

3.2 工业应用安全方案

（1）平台级 APP 安全

平台级 APP 数据安全如图10所示。

图 10 平台级 APP 数据安全

平台级 APP 仅需对自有数据访问进行控制，功能权限由平台控制。

在某些需要平台对各应用系统数据进行统一管理的情况下，平台提供独立的数据管理 APP。实体权限较为复杂的数据管理 APP 需考虑两种实体权限的控制：映射对象和链接对象。对于链接对象，由数据提供方 APP 负责控制，对于实体对象由平台数据管理 APP 负责控制。

（2）第三方应用安全

第三方应用主要接入平台的安全服务，包括统一基础数据接入，实现密级、用户、组织机构、用户与组织机构的隶属关系以及角色的数据；统一身份认证服务接入，实现第三方 APP 单点登陆；统一日志服务接入将 APP 日志统一记录到平台提供的日志数据库。

对于三员管理，平台提供三员用户，三员分权由 APP自行按照实际情况实现。

对于访问控制，细粒度的功能权限的实现可将控制点注册到平台，由平台控制，也可自行控制。实体权限由APP 自行控制。

（3）协同类 APP 安全

1）即时通信 APP。即时通信 APP 的安全管理，主要通过共享区来控制。共享区分为带密和公开两类，分别设置为带密共享区和公开共享区，即时通信 APP 安全如图11所。

图 11 即时通信 APP 安全

带密共享区的密级设置为秘密；根据密级邀请满足要求的人员参加；根据密级检查使用的资料；所有过程和记录满足分级保护审计。

公开共享区为公开的共享区，参与人员首次参与系统提醒“请注意遵守分级保护要求，确认不将涉密资料带入共享讨论区”；所有过程和记录满足分级保护审计。

2）搜索 APP。对于平台级搜索 APP，在搜索时只展示经过密级过滤、权限过滤后的搜索结果。对于密级检查符合，无权限的搜索内容，只给出“平台搜索出XX条内容，因无访问权限不予展示”。对于密级高于搜索者密级的内容，不予展示，也不给出相关信息。

3）分享服务。对于平台分享服务，被分享的信息密级必须低于接收人；信息分享到接收人时同时赋予该接收人访问权限，信息以临时文件形式存储，且为只读，并进行了防拷贝处理；在分享时需设置分享时长，过期自动删除，或采用“阅后即焚”机制。分享服务安全如图12所示。

图 12 分享服务安全

4 技术实现及典型应用

某总体单位实施了智能制造支撑平台，如图13所示。智能制造支撑平台（Aerospace Smart Platform）是企业级操作系统，为现有和未来工业应用提供核心“基座”，可兼容传统 IT 设备，私有云和公有云环境，兼容主流工业软件、应用系统（如 PDM、ERP、MES）和制造装备，为各类企业应用（单体应用、APP 应用）提供个性运行支持及系列公共服务，是支撑传统 IT 应用向工业互联网应用，向数据智能应用发展的基础软件平台。其中安全管理系统使用了本文方案实现并应用。技术架构如图 14所示。

图 13 某总体单位平台化建设框架

图 14 ASP安全管理技术框架

平台提供了23个 APP 及服务包括搜索、即时通信、门户、任务中心、消息中心，收藏、分享和推介等服务；集成了10余种应用系统，包括 PDM、计划管理、流程引擎、主数据管理、知识管理和工具库等不同厂商、不同技术体系的系统；支撑了包括总体、结构、弹道和姿控等11个专业子系统的建设。这些 APP、业务系统均由安全管理系统提供安全服务支撑，并通过了分保测评，现已上线应用，支撑了多个型号研制及发射任务。

5 结束语

军工企业以平台化路线实践数字化转型逐渐成为主流做法。针对军工涉密平台+工业应用信息化建设模式中的安全管理关键问题，分析了建设需求，提出了平台+工业应用安全管理框架，设计了平台安全、应用安全的方案，并在某总体单位进行了应用实践，应用效果显示本文提出的安全管理设计方案可满足军工企业信息化平台与业务应用的建设需求，可有效支撑军工企业数字化转型。