系统安全需求(三员)

1.系统安全

系统建设严格遵照《BMB17-2006 涉及国家秘密的信息系统分级保护技术要求》、《BMB20-2007 涉及国家秘密的信息系统分级保护管理规范》、《BMB22-2007 涉及国家秘密的信息系统分级保护测评指南》设计、开发、测试，以满足涉密信息系统分级保护技术要求。

1.1.系统安全防护要求

按照国家标准相对应等级的防护要求，本项目从物理安全、运行安全、安全保密措施、安全保密管理等方面进行系统安全建设。

1.1.1.1.安全审计与监控

系统具备完善安全审计功能，做好系统的安全审计，并且要充分利用数据库提供的安全审计功能，做好数据的安全审计。审计的对象：文件。保存及访问方式：包括数据处理的审计、人员的身份验证及登录等审计信息、管理人员的审计信息等。

具体要求：实现用户业务应用日志审计。对用户授权、用户违规操作等的监控。日志记录存储空间至少保证日志记录保存6个月。

1.1.

2.安全保密管理要求

1.1.

2.1.管理人员

协助指定人员负责本系统的系统管理、应用管理、安全管理、安全审计，并修订完善相关管理制度和管理流程。

1.1.

2.2.运行维护管理

制定运行维护管理制度，依据制度对人员、物理环境与设施、设备与介质、信息安全保密等方面进行规范。

人员管理包括：系统维护、人员授权、自身行为受控。系统管理人员管理，系统使用人员管理。防止非授权使用、非法自主访问知悉系统信息的系统受控等。

物理环境与设施运维管理包括：建立系统运行维护的管理制度和工作流程标准；负责系统的网络硬件设备、基础设施建设、系统平台和日常维护工作，保障网络畅通和系统正常运行；为相关项目实施和设备选型提供技术支持和保障；为信息化建设提供硬件和网络平台的技术支持、技术咨询和技术服务；

设备与介质运维管理包括：设备防火、防水、物理损害措施；设备防火灭火正常检查；设备定期检查火灾隐患；供暖系统、空调等保障；设备电源保障；数据传输线路维护与保障；主机等设备保障；可移动数据保障；存储介质维护；磁盘磁带库访问的介质的维护等。

信息安全保密运维管理包括：运行维护软件升级管理；信息安全事件识别；缩小事件影响范围；信息安全事件解决；后续报告与处理机制；补救措施等。

1.2.系统安全保密需求

对系统中涉密信息应提供强制访问控制，访问控制机制应能防止非授权的访问；对涉密信息，用户必须在得到合法的授权后才能进行访问、修改、打印、下载、导入、导出等操作。

所有的操作可审计，审计数据要能保存一年并可备份，并可按时间、用户名和事件类型对审计数据进行查询、统计。

系统的管理按照三员原则，职责分离且相互制约。

上述安全需求是系统的基础需求，适应于系统的各功能模块，各功能具体的和特定安全需求可参考相应章节。

1.3.系统安全保密实现

本系统按照机密级安全防护要求结合用户的业务需求，实现以下几个方面的安全保密功能。

1、密级标识要求；

2、涉密数据产生与存储；

3、身份鉴别要求；

4、访问控制要求；

5、安全审计要求；

6、三员管理要求；

1.3.1密级标识管理

涉密信息系统中的信息应有相应的密级标识。密级标识应与信息主体不可分离，其自身不可篡改。因此在系统中每条记录都必须有相应的密级标识。

1.3.3身份鉴别管理

本系统与兵器装备集团现有涉密信息系统的身份认证系统相结合，达到用户身份鉴别到单个用户的要求。

1.3.4访问控制管理

在本系统实施中，需要结合系统的访问权限控制机制，基于用户的身份标识设定对信息类别的访问权限，包括信息密级、业务范围、专业类别、其它属性等。系统通过身份鉴别、访问控制等多种手段阻挡非授权访问。用户及管理人员都不能直接浏览、修改、删除数据。

权限访问控制：系统内所有功能和信息都有与用户对应的权限控制。通过权限分配，被赋予权限的账户才能访问相关信息，执行相关操作。如果用户不含有信息或功能所对应的权限，则不允许进行信息访问和功能操作。

角色访问控制：系统内每一个账户都隶属于不同的角色。对不同的角色赋予不同的权限，账户通过所在角色的权限可以访问相关信息。

访问控制策略：涉密信息的访问控制主体到具体用户，客体控制到单个文件。采用强制访问控制策略。具体控制策略实现如下：

➢用户访问信息时，首先检测该用户的密级标识是否高于或等于信息的密级标识，然后检测该用户是否能够访问此专业类别，再检测此信息的访问控制列表中是

否有该用户，最后只有检测全部通过后，用户才能访问到此信息。

1.3.5安全审计管理

安全审计管理主要包括日志的生成、权限设置、日志文件的分类、查询等。系统内用户增加和删除，用户权限的更改，系统三员和用户所实施的操作，身份鉴别相关事件，访问控制相关事件，涉密数据的操作(增加、删除、修改、查询、打印、导入、导出)均作为审计信息记录。日志信息达到预定存储容量的70%时产生报警。

➢用户身份鉴别审计信息

系统日志会记录所有用户对本系统的登录信息。审计内容包括登录时间、帐号、客户机ip。

➢数据输入输出审计信息

系统对所有信息数据的输入输出操作进行审计，审计内容包括时间、帐号、客户机ip、所做操作类型、处理数据类别等内容。其中审计时间统一以系统服务器时间为准，确保所有审计信息的时间一致性。

➢用户操作审计信息

用户在对所有信息数据进行任何操作时，系统形成审计信息。用户操作包括新建信息、修改信息、查询信息、删除信息、打印信息、导入信息、导出信息等，审计内容包括时间、帐号、客户机ip、所做操作类型、处理数据类别等内容。

➢系统管理员操作审计信息

系统对系统管理员的操作进行审计，其中包括菜单、数据字典、业务流程、表单等的添加、修改和删除等操作。

➢安全管理员操作审计信息

系统对安全管理员的操作进行审计，其中包括用户、角色权限的修改等操作。

➢审计管理员操作审计信息

系统对审计管理员的操作进行审计，其中包括审计管理员对系统内所有审计信息的审计和审计信息的操作(查看、导入、导出)。

➢审计信息安全

只有审计管理员可以查看系统内所有的审计信息，审计管理员的操作记录可由系统管理员和安全管理员进行查看。

审计信息至少保留一年。

审计记录应具备统计、查询功能，包括按时间范围、主客体身份、行为类型等条件进行检索查询。审计记录的查询应具备访问控制功能，保证审计记录不被篡改、伪造和非授权删除，存储的审计记录不能被破坏。

➢系统日志

系统日志主要记录应用服务器、数据库系统、服务器操作系统的日志信息。系统管理员、审计管理员可以利用系统日志监视系统中发生的事件。系统管理员可以通过它来发现系统中所发生的错误，审计管理员可以利用它寻找受到攻击时攻击者留下的痕迹。

1.3.6三员管理

系统管理功能按照三权分离的原则，分别交由系统管理员进行系统管理；应用管理员进行应用管理；安全管理员进行安全管理；审计管理员进行系统审计。

应用管理员、安全管理员和审计管理员的权限相互独立、相互制约。

➢系统管理员

负责对操作系统、服务器、数据库的管理。系统管理员可对系统环境日志进行审计。