李大林，張 茜，金 濤

（北京神舟航天軟件技術(shù)有限公司，北京 100094）

1 平臺(tái)化安全管理需求分析

隨著大數(shù)據(jù)、云計(jì)算和人工智能等信息化技術(shù)的飛速發(fā)展，企業(yè)信息化建設(shè)朝著集成化、協(xié)同化和智能化的趨勢(shì)發(fā)展。國(guó)內(nèi)外高端裝備制造業(yè)企業(yè)面向數(shù)字化轉(zhuǎn)型升級(jí)需求，紛紛通過(guò)平臺(tái)化路線，打造一種“互聯(lián)網(wǎng)+信息技術(shù)+工業(yè)系統(tǒng)”全方位深度融合的基礎(chǔ)設(shè)施。由于軍工企業(yè)多數(shù)信息系統(tǒng)屬于涉密系統(tǒng)，在實(shí)踐平臺(tái)化路線時(shí)，如何保障平臺(tái)以及業(yè)務(wù)應(yīng)用的信息安全成為首要解決的問(wèn)題。

1.1 滿足涉密信息系統(tǒng)分級(jí)保護(hù)相關(guān)要求

根據(jù)國(guó)家法律法規(guī)要求，軍工信息系統(tǒng)建設(shè)應(yīng)以《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》（BMB17-2006）和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》（BMB20-2007）為基礎(chǔ)，以《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南》（BMB23-2008）進(jìn)行全面的、針對(duì)性的、可操作性強(qiáng)的方案設(shè)計(jì)。因此，軍工企業(yè)信息化平臺(tái)與業(yè)務(wù)應(yīng)用首先要滿足涉密信息系統(tǒng)分級(jí)保護(hù)的技術(shù)要求與規(guī)范。

涉密應(yīng)用系統(tǒng)安全性要求主要體現(xiàn)在以下三個(gè)方面。

（1）身份鑒別

需要支持的登錄方式擴(kuò)充、口令復(fù)雜度要求、口令更換周期限制、身份鑒別嘗試次數(shù)限制、身份重鑒別、口令加密存儲(chǔ)、加密傳輸和身份標(biāo)識(shí)符不被非授權(quán)訪問(wèn)、修改或刪除等。

（2）訪問(wèn)控制

需要遵守低密人員不得訪問(wèn)高密信息、授權(quán)主體能控制到單個(gè)用戶，客體能控制到信息類別、前臺(tái)頁(yè)面上的涉密信息，不允許執(zhí)行非授權(quán)的打印、拷貝、粘貼、另存為和截屏等操作。

（3）安全審計(jì)

確定審計(jì)策略是否依據(jù)上下文分層級(jí)，確定審計(jì)事件范圍、應(yīng)符合審計(jì)記錄內(nèi)容組成要素要求、日志存儲(chǔ)將滿時(shí)應(yīng)告警、應(yīng)能轉(zhuǎn)儲(chǔ)、系統(tǒng)異常時(shí)應(yīng)保證存儲(chǔ)審計(jì)記錄不被破壞、通過(guò)指定條件進(jìn)行查詢、超期未查閱審計(jì)、異常事件通知及生成審計(jì)結(jié)果報(bào)告、保證審計(jì)記錄不被篡改、偽造和非授權(quán)刪除以及保證審計(jì)日志保存時(shí)間要求等。

1.2 平臺(tái)應(yīng)沉淀共性安全管理服務(wù)

軍工企業(yè)實(shí)施平臺(tái)化戰(zhàn)略，需要建立全企業(yè)統(tǒng)一的底層平臺(tái)，用以支撐眾多的業(yè)務(wù)應(yīng)用數(shù)據(jù)一致、功能聯(lián)通以及廣泛協(xié)同等需求。

由于科研生產(chǎn)和綜合管控兩大類的業(yè)務(wù)系統(tǒng)眾多，按照以往的建設(shè)模式，在安全管理上需要每個(gè)業(yè)務(wù)系統(tǒng)都要進(jìn)行滿足分級(jí)保護(hù)要求的開(kāi)發(fā)或升級(jí)改造等工作。尤其是微服務(wù)化后的系統(tǒng)功能顆粒度越來(lái)越細(xì)，形成了眾多的微應(yīng)用（ APP ），如果仍然按照以往模式開(kāi)展安管方面的建設(shè)，會(huì)造成巨大的資源浪費(fèi)。因此，如果將多個(gè)業(yè)務(wù)系統(tǒng)（包括APP）共性的安全功能沉淀到平臺(tái)上，上層應(yīng)用只需關(guān)心應(yīng)用本身個(gè)性的安全管理功能，共性基礎(chǔ)安全管理功能均由平臺(tái)提供，則可大幅降低企業(yè)信息化建設(shè)成本，加快業(yè)務(wù)應(yīng)用的建設(shè)進(jìn)度，提升整個(gè)企業(yè)的效率。

1.3 平臺(tái)應(yīng)沉淀共性安全管理服務(wù)

軍工企業(yè)實(shí)施平臺(tái)化戰(zhàn)略，需要建立全企業(yè)統(tǒng)一的底層平臺(tái)，用以支撐眾多的業(yè)務(wù)應(yīng)用系統(tǒng)間的數(shù)據(jù)一致、功能聯(lián)通以及廣泛協(xié)同等需求。由于科研生產(chǎn)和綜合管控兩大類的業(yè)務(wù)系統(tǒng)眾多，按照以往的建設(shè)模式，在安全管理上需要每個(gè)業(yè)務(wù)系統(tǒng)都要進(jìn)行滿足分級(jí)保護(hù)要求的開(kāi)發(fā)或升級(jí)改造等工作。尤其是微服務(wù)化后的系統(tǒng)功能顆粒度越來(lái)越細(xì)，形成了眾多的微應(yīng)用（ APP ），如果仍然按照以往模式開(kāi)展安管方面的建設(shè)，會(huì)造成巨大的資源浪費(fèi)。因此，如果將多個(gè)業(yè)務(wù)系統(tǒng)（包括 APP ）共性的安全功能沉淀到平臺(tái)上，上層應(yīng)用只需關(guān)心應(yīng)用本身個(gè)性的安全管理功能，共性基礎(chǔ)安全管理的功能均由平臺(tái)提供，則可大幅降低企業(yè)信息化建設(shè)成本，加快業(yè)務(wù)應(yīng)用的建設(shè)進(jìn)度，提升整個(gè)企業(yè)的效率。

2 平臺(tái)化安全管理策略

平臺(tái)的安全防護(hù)依照涉密環(huán)境中滿足分級(jí)防護(hù)要求，遵循“分層分級(jí)保護(hù)”基本原則，將平臺(tái)的安全策略劃分為 IaaS 層的安全防護(hù)、PaaS 層的安全防護(hù)和 SaaS 層的安全防護(hù)3個(gè)層面。其中，IaaS 層的安全防護(hù)由設(shè)施提供商提供，主要包括物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、虛擬化安全和接口安全等功能；PaaS 層的安全防護(hù)由安全子平臺(tái)提供，主要包括防護(hù)技術(shù)、安全框架和安全服務(wù)等能力；SaaS 層的安全防護(hù)主要由各 APP 提供，包括平臺(tái)級(jí)的 APP安全、第三方 APP 安全和基于平臺(tái)的協(xié)同安全能能力。

3 平臺(tái)+工業(yè)應(yīng)用安全管理方案設(shè)計(jì)

面向軍工企業(yè)平臺(tái)化安全管理需求，基于平臺(tái)化安全策略，提出平臺(tái)+工業(yè)應(yīng)用安全管理方案，如圖 1所示。

圖 1 平臺(tái)+工業(yè)應(yīng)用安全管理框架體系

平臺(tái)+工業(yè)應(yīng)用安全管理框架主要由基礎(chǔ)設(shè)施安全層、平臺(tái)安全層和應(yīng)用安全層三個(gè)層次的安全功能組成。其中，基礎(chǔ)設(shè)施安全主要由底層硬件提供商提供，本文不做詳細(xì)描述。

平臺(tái)安全層首先提供 PKI/CA、信息加密、HTTPS、安全傳輸和安全存儲(chǔ)等安全防護(hù)組件；在此基礎(chǔ)之上提供一個(gè)統(tǒng)一的安全框架，主要支撐平臺(tái)安全相關(guān)的統(tǒng)一基礎(chǔ)數(shù)據(jù)、多級(jí)的三員管理框架以及多租戶模式下的安全框架；同時(shí)對(duì)上層應(yīng)用開(kāi)放系列安全服務(wù)，主要包括密級(jí)、身份鑒別、訪問(wèn)控制、安全審計(jì)、安全傳輸和安全存儲(chǔ)等。

應(yīng)用安全層根據(jù) APP 種類的不同，分別提出了包括平臺(tái)級(jí) APP（原生 APP）、第三方 APP 及應(yīng)用和基于平臺(tái)的協(xié)同類 APP 的安全防護(hù)方案。

3.1 平臺(tái)安全方案

（1）統(tǒng)一基礎(chǔ)數(shù)據(jù)

1）密級(jí)標(biāo)識(shí)基礎(chǔ)數(shù)據(jù)。平臺(tái)提供密級(jí)標(biāo)識(shí)的統(tǒng)一定義：公開(kāi)、內(nèi)部、秘密和機(jī)密。上述定義一般用于對(duì)涉密信息進(jìn)行密級(jí)標(biāo)識(shí)，為便于對(duì)涉密人員定密標(biāo)密，平臺(tái)維護(hù)一套與其相對(duì)應(yīng)的普通（對(duì)應(yīng)公開(kāi)）、一般（對(duì)應(yīng)內(nèi)部和秘密，內(nèi)部一般按照秘密級(jí)進(jìn)行管理）和重要（對(duì)應(yīng)機(jī)密）基礎(chǔ)數(shù)據(jù)，并維護(hù)其對(duì)應(yīng)關(guān)系。

接入應(yīng)用系統(tǒng)密級(jí)定義與平臺(tái)定義不一致時(shí)，應(yīng)維護(hù)接入系統(tǒng)密級(jí)定義基礎(chǔ)數(shù)據(jù)及其與平臺(tái)定義的對(duì)應(yīng)關(guān)系（或由應(yīng)用系統(tǒng)負(fù)責(zé)密級(jí)標(biāo)識(shí)轉(zhuǎn)換），便于平臺(tái)統(tǒng)一對(duì)數(shù)據(jù)進(jìn)行解釋。

提供密級(jí)基礎(chǔ)數(shù)據(jù)的維護(hù)功能，包括密級(jí)標(biāo)識(shí)的增刪改查。對(duì)于有保密期限以及國(guó)家秘密標(biāo)識(shí)符“★”有需求的用戶單位，提供標(biāo)密工具實(shí)現(xiàn)。

2）用戶、組織基礎(chǔ)數(shù)據(jù)。平臺(tái)（含上層應(yīng)用）維護(hù)一套用戶、組織基礎(chǔ)數(shù)據(jù)。提供用戶、組織基礎(chǔ)數(shù)據(jù)的維護(hù)功能，包括用戶及組織的增刪改查、用戶與組織的隸屬關(guān)系維護(hù)、組織支持多級(jí)組織等?？蓪?duì)用戶的狀態(tài)進(jìn)行管理，包括鎖定、解鎖等。每個(gè)用戶對(duì)應(yīng)唯一的身份標(biāo)識(shí)符，不可修改。平臺(tái)統(tǒng)一基礎(chǔ)數(shù)據(jù)服務(wù)如圖2所示。

圖 2 平臺(tái)統(tǒng)一基礎(chǔ)數(shù)據(jù)服務(wù)

用戶、組織等信息來(lái)源于 HR 或人員主數(shù)據(jù)等系統(tǒng)時(shí)，由來(lái)源系統(tǒng)負(fù)責(zé)維護(hù)以及通過(guò)分級(jí)保護(hù)測(cè)評(píng)，平臺(tái)僅使用相關(guān)基礎(chǔ)數(shù)據(jù)，不進(jìn)行任何的管理維護(hù)操作。

（2）平臺(tái)三員管理

三員中的管理員只能訪問(wèn)指定的功能 APP，平臺(tái)級(jí)的公共 APP 三類管理員均可訪問(wèn)。平臺(tái)三員管理見(jiàn)下表。

表 平臺(tái)三員管理

?

1）用戶管理中心 APP。用戶管理中心 APP 主要為系統(tǒng)管理員提供搜索用戶、查看用戶、添加新用戶和修改用戶等功能?？尚薷挠脩舻南嚓P(guān)屬性，不允許修改用戶名；可根據(jù)用戶對(duì)象的屬性檢索用戶；可顯示用戶屬性（包括頭像），注意需要區(qū)分本級(jí)用戶和子級(jí)用戶；提供手工添加、批量導(dǎo)入和集成接入三種方式添加新用戶。

集成 HR 后，平臺(tái)用戶管理中心只能查看用戶信息，新增、修改、刪除等在 HR 系統(tǒng)中操作。

2）設(shè)置中心 APP。設(shè)置中心 APP 主要為系統(tǒng)管理員提供資源配置、平臺(tái)界面設(shè)置、平臺(tái)服務(wù)設(shè)置、APP 初始化設(shè)置工具配置和傳輸環(huán)境配置等功能?？商峁┢脚_(tái)客戶端到服務(wù)器、APP 到平臺(tái)數(shù)據(jù)傳輸環(huán)境配置；可提供平臺(tái)使用的各類服務(wù)器、中間件等基礎(chǔ)設(shè)施的運(yùn)行參數(shù)配置；可提供平臺(tái)界面風(fēng)格、布局調(diào)整、顯示位置等配置；可控制平臺(tái)級(jí)服務(wù)的開(kāi)啟與關(guān)閉；提供具有復(fù)雜配置特點(diǎn)的應(yīng)用 APP 的初始化；并提供 ETL 工具等配置，以及平臺(tái)對(duì)象默認(rèn)打開(kāi)工具等。

3）監(jiān)控運(yùn)維中心 APP。監(jiān)控運(yùn)維中心應(yīng)用 APP 主要為系統(tǒng)管理員提供在線用戶列表、平臺(tái)運(yùn)行信息、APP 監(jiān)控和云監(jiān)控等功能?？娠@示目前在線的用戶列表，針對(duì)每一個(gè)用戶查看其 IP 地址、登錄時(shí)間等；可查看平臺(tái)運(yùn)行信息，包括服務(wù)器運(yùn)行情況、資源占用情況和負(fù)載情況等；可監(jiān)控 APP 使用情況，如當(dāng)前最活躍的 APP 等；并提供云服務(wù)監(jiān)控功能等。

4）授權(quán)管理 APP。授權(quán)管理以獨(dú)立 APP 方式呈現(xiàn)，專供安全管理員進(jìn)行授權(quán)設(shè)置。平臺(tái)級(jí)權(quán)限授予如圖3所示。

圖 3 平臺(tái)級(jí)權(quán)限授予

平臺(tái)安全管理員可對(duì)不同的角色，不同的用戶授予應(yīng)用 APP 的使用權(quán)限，APP 內(nèi)的功能權(quán)限以及數(shù)據(jù)權(quán)限由APP的安全管理員授予。安全管理員授權(quán)過(guò)程如圖4所示

圖 4 安全管理員授權(quán)過(guò)程

5）保密設(shè)備中心 APP。保密設(shè)備中心安全管理的對(duì)象主要為接入平臺(tái)，并在平臺(tái)注冊(cè)的保密設(shè)備，主要有USB Key、保密打印機(jī)等。主要功能有設(shè)備注冊(cè)、設(shè)備配置、設(shè)備監(jiān)控、設(shè)備日志查看和設(shè)備安全預(yù)警等。

新的設(shè)備接入平臺(tái)首先由責(zé)任主體申請(qǐng)注冊(cè)，審批許可后進(jìn)行必要的配置，限定設(shè)備使用的范圍、功能的范圍、能夠采集、處理和輸出等數(shù)據(jù)范圍。安全管理員對(duì)設(shè)備的運(yùn)行情況進(jìn)行監(jiān)控，定義相關(guān)事件并形成日志，設(shè)定安全預(yù)警項(xiàng)，并能夠?qū)崟r(shí)通知到責(zé)任主體，具備必要時(shí)斷開(kāi)并終止該設(shè)備的能力。

6）保密監(jiān)控看板 APP。保密監(jiān)控看板 APP 主要為安全管理員使用，監(jiān)控范圍包括普通用戶對(duì)涉密對(duì)象的操作、平臺(tái)安全事件等。針對(duì)普通用戶對(duì)涉密對(duì)象的操作主要有可選定用戶監(jiān)控，可選定涉密對(duì)象監(jiān)控；監(jiān)控的安全事件包括用戶鎖定、非法訪問(wèn)和日志存儲(chǔ)容量超閾值等。

7）日志審計(jì) APP。審計(jì) APP 按照審計(jì)普通用戶、系統(tǒng)管理員和安全管理員的不同分成三個(gè)不同的 APP，均具備審計(jì)策略設(shè)置、日志審計(jì)和生成報(bào)告等功能。平臺(tái)日志監(jiān)控機(jī)制如圖5所示。

圖 5 平臺(tái)日志監(jiān)控機(jī)制

日志屬性主要包括主體（用戶、標(biāo)識(shí)）、來(lái)自應(yīng)用、時(shí)間、客體（類型、標(biāo)識(shí)）、描述（事件、情景、動(dòng)作和結(jié)果）、成功失敗標(biāo)志、密級(jí)、日志級(jí)別及類型、IP、計(jì)算機(jī)名和 MAC 等。審計(jì)內(nèi)容主要包括服務(wù)器啟動(dòng)和關(guān)閉、審計(jì)功能的啟動(dòng)和關(guān)閉、平臺(tái)內(nèi)用戶的增加和刪除、用戶權(quán)限的更改、三員和普通用戶的操作、涉密數(shù)據(jù)的操作、身份鑒別相關(guān)事件、訪問(wèn)控制相關(guān)事件、其他與系統(tǒng)安全相關(guān)的事件或?qū)ｉT定義的可審計(jì)事件等。

（3）平臺(tái)多級(jí)三員體系

平臺(tái)多級(jí)三員體系如圖6所示。

圖 6 平臺(tái)多級(jí)三員體系

平臺(tái)在多級(jí)部署時(shí)，安全管理需要按照部署層級(jí)設(shè)立多級(jí)三員。以三級(jí)部署為例，三級(jí)平臺(tái)的用戶為當(dāng)前層級(jí)平臺(tái)的用戶，并設(shè)立本層級(jí)的三員；二級(jí)平臺(tái)的用戶包括當(dāng)前平臺(tái)以及其下子平臺(tái)的注冊(cè)用戶，并設(shè)立本層級(jí)的三員，下級(jí)平臺(tái)的三員在本級(jí)平臺(tái)為普通用戶，依次類推。需要和其他層級(jí)平臺(tái)協(xié)同時(shí)，按照層級(jí)關(guān)系，下層平臺(tái)向上層平臺(tái)注冊(cè)協(xié)同用戶。

（4）平臺(tái)安全服務(wù)

平臺(tái)開(kāi)放公共安全服務(wù)，為平臺(tái)上的業(yè)務(wù)應(yīng)用（包括APP）提供基礎(chǔ)的安全支撐。目前開(kāi)放的服務(wù)包括密級(jí)服務(wù)、身份鑒別服務(wù)以及訪問(wèn)控制服務(wù)三類，具體如下：

1）密級(jí)服務(wù)。密級(jí)服務(wù)主要包括標(biāo)密服務(wù)、密級(jí)映射兩類。標(biāo)密服務(wù)的標(biāo)密對(duì)象包括用戶、平臺(tái)產(chǎn)生的涉密對(duì)象、實(shí)體文件等。涉密對(duì)象的密級(jí)由創(chuàng)建者在創(chuàng)建時(shí)標(biāo)密，用戶的密級(jí)由安全管理員統(tǒng)一進(jìn)行標(biāo)密，用戶的平臺(tái)密級(jí)為訪問(wèn)各 APP 的最高密級(jí)。

密級(jí)映射服務(wù)主要應(yīng)用在 APP（多為接入系統(tǒng)）密級(jí)定義與平臺(tái)不一致時(shí)，當(dāng)數(shù)據(jù)流向平臺(tái)時(shí)進(jìn)行密級(jí)映射，由平臺(tái)統(tǒng)一解釋。

2）身份鑒別服務(wù)。平臺(tái)提供的身份鑒別方式包括用戶名/口令、PKI/CA 兩類?？诹罘绞教峁┛诹畹倪^(guò)期檢查、密碼復(fù)雜度檢查和判斷重復(fù)等服務(wù)，口令長(zhǎng)度約束不少于10位；口令復(fù)雜度約束要求口令包括字母（大小寫）、數(shù)字和符號(hào)混合；口令可以使用的期限約束不長(zhǎng)于7天，過(guò)期前進(jìn)行提醒；口令非明文傳輸，非明文存儲(chǔ)（由傳輸安全及存儲(chǔ)安全保證）；口令重置時(shí)禁止設(shè)置為原口令。

當(dāng)用戶身份鑒別成功后，其空閑操作時(shí)間超過(guò)10分鐘時(shí)，對(duì)該用戶重新進(jìn)行身份鑒別；身份鑒別嘗試次數(shù)不多于5次，失敗達(dá)到限制次數(shù)后，臨時(shí)鎖定用戶，同時(shí)形成審計(jì)事件。平臺(tái)提供統(tǒng)一身份認(rèn)證服務(wù)，實(shí)現(xiàn) APP 單點(diǎn)登錄。統(tǒng)一身份認(rèn)證示意如圖7所示。

圖 7 統(tǒng)一身份認(rèn)證示意

主要認(rèn)證流程及注意事項(xiàng)如下：用戶登錄平臺(tái)（口令或 CA 方式）；登錄需要二次驗(yàn)證的應(yīng)用系統(tǒng)，通過(guò)設(shè)置可以選擇其中一種，二次登錄應(yīng)用系統(tǒng)和可選擇重登錄或協(xié)議級(jí)驗(yàn)證；只操作APP不算空閑時(shí)間。

3）訪問(wèn)控制服務(wù)。平臺(tái)訪問(wèn)控制服務(wù)為用戶角色管理與資源訪問(wèn)控制服務(wù)，可以創(chuàng)建、管理用戶角色，并對(duì)平臺(tái)內(nèi)的資源（接入保密設(shè)備、APP）具有操作權(quán)限。

角色包括內(nèi)置角色（系統(tǒng)管理員、安全管理員、審計(jì)管理員）和普通角色（可自定義）兩類。平臺(tái)可將一個(gè)用戶賦予多個(gè)角色，多個(gè)角色分配不同的授權(quán)策略，或直接向用戶分配授權(quán)策略。授權(quán)策略按照適用對(duì)象可分為系統(tǒng)授權(quán)策略和用戶自定義授權(quán)策略。系統(tǒng)授權(quán)策略主要支撐平臺(tái)三員分權(quán)，可控制是否啟用三員角色，初始化后不可修改。

用戶自定義授權(quán)策略主要支撐用戶可訪問(wèn)的 APP 資源，如可授予某專業(yè)仿真工程師角色具有與其專業(yè)相關(guān)的設(shè)計(jì)類、仿真類 APP 的訪問(wèn)權(quán)限。授權(quán)策略按照控制內(nèi)容可分為密級(jí)控制、實(shí)體權(quán)限控制和功能權(quán)限控制三類，APP 可利用平臺(tái)授權(quán)策略，將控制點(diǎn)注冊(cè)到平臺(tái)，使用相關(guān)服務(wù)。

密級(jí)控制主要為低密人員不得訪問(wèn)高密信息，啟用三員管理后此策略為平臺(tái)全局控制策略，擁有最高優(yōu)先級(jí)。

功能權(quán)限控制主要針對(duì) APP 的訪問(wèn)權(quán)限進(jìn)行控制，用戶可根據(jù)需求自定義。一些 APP 需要復(fù)雜的功能顯隱控制，可在平臺(tái)對(duì) APP 實(shí)例所在的安全域進(jìn)行控制點(diǎn)注冊(cè)，利用平臺(tái)功能權(quán)限控制服務(wù)實(shí)現(xiàn)菜單或操作入口的顯隱等細(xì)粒度的控制。

實(shí)體對(duì)象權(quán)限一般在 APP 中進(jìn)行控制，當(dāng)在平臺(tái)中暫存時(shí)，仍需要對(duì)實(shí)體對(duì)象的權(quán)限進(jìn)行控制，控制原則參照實(shí)體在來(lái)源系統(tǒng)中的權(quán)限設(shè)置。權(quán)限可被繼承以及轉(zhuǎn)移。雙向授權(quán)如圖8所示，權(quán)限繼承與一鏈轉(zhuǎn)移如圖9所示。

圖 8 雙向授權(quán)

圖 9 權(quán)限繼承與一鍵轉(zhuǎn)移

3.2 工業(yè)應(yīng)用安全方案

（1）平臺(tái)級(jí) APP 安全

平臺(tái)級(jí) APP 數(shù)據(jù)安全如圖10所示。

圖 10 平臺(tái)級(jí) APP 數(shù)據(jù)安全

平臺(tái)級(jí) APP 僅需對(duì)自有數(shù)據(jù)訪問(wèn)進(jìn)行控制，功能權(quán)限由平臺(tái)控制。

在某些需要平臺(tái)對(duì)各應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)一管理的情況下，平臺(tái)提供獨(dú)立的數(shù)據(jù)管理 APP。實(shí)體權(quán)限較為復(fù)雜的數(shù)據(jù)管理 APP 需考慮兩種實(shí)體權(quán)限的控制：映射對(duì)象和鏈接對(duì)象。對(duì)于鏈接對(duì)象，由數(shù)據(jù)提供方 APP 負(fù)責(zé)控制，對(duì)于實(shí)體對(duì)象由平臺(tái)數(shù)據(jù)管理 APP 負(fù)責(zé)控制。

（2）第三方應(yīng)用安全

第三方應(yīng)用主要接入平臺(tái)的安全服務(wù)，包括統(tǒng)一基礎(chǔ)數(shù)據(jù)接入，實(shí)現(xiàn)密級(jí)、用戶、組織機(jī)構(gòu)、用戶與組織機(jī)構(gòu)的隸屬關(guān)系以及角色的數(shù)據(jù)；統(tǒng)一身份認(rèn)證服務(wù)接入，實(shí)現(xiàn)第三方 APP 單點(diǎn)登陸；統(tǒng)一日志服務(wù)接入將 APP 日志統(tǒng)一記錄到平臺(tái)提供的日志數(shù)據(jù)庫(kù)。

對(duì)于三員管理，平臺(tái)提供三員用戶，三員分權(quán)由 APP自行按照實(shí)際情況實(shí)現(xiàn)。

對(duì)于訪問(wèn)控制，細(xì)粒度的功能權(quán)限的實(shí)現(xiàn)可將控制點(diǎn)注冊(cè)到平臺(tái)，由平臺(tái)控制，也可自行控制。實(shí)體權(quán)限由APP 自行控制。

（3）協(xié)同類 APP 安全

1）即時(shí)通信 APP。即時(shí)通信 APP 的安全管理，主要通過(guò)共享區(qū)來(lái)控制。共享區(qū)分為帶密和公開(kāi)兩類，分別設(shè)置為帶密共享區(qū)和公開(kāi)共享區(qū)，即時(shí)通信 APP 安全如圖11所。

圖 11 即時(shí)通信 APP 安全

帶密共享區(qū)的密級(jí)設(shè)置為秘密；根據(jù)密級(jí)邀請(qǐng)滿足要求的人員參加；根據(jù)密級(jí)檢查使用的資料；所有過(guò)程和記錄滿足分級(jí)保護(hù)審計(jì)。

公開(kāi)共享區(qū)為公開(kāi)的共享區(qū)，參與人員首次參與系統(tǒng)提醒“請(qǐng)注意遵守分級(jí)保護(hù)要求，確認(rèn)不將涉密資料帶入共享討論區(qū)”；所有過(guò)程和記錄滿足分級(jí)保護(hù)審計(jì)。

2）搜索 APP。對(duì)于平臺(tái)級(jí)搜索 APP，在搜索時(shí)只展示經(jīng)過(guò)密級(jí)過(guò)濾、權(quán)限過(guò)濾后的搜索結(jié)果。對(duì)于密級(jí)檢查符合，無(wú)權(quán)限的搜索內(nèi)容，只給出“平臺(tái)搜索出XX條內(nèi)容，因無(wú)訪問(wèn)權(quán)限不予展示”。對(duì)于密級(jí)高于搜索者密級(jí)的內(nèi)容，不予展示，也不給出相關(guān)信息。

3）分享服務(wù)。對(duì)于平臺(tái)分享服務(wù)，被分享的信息密級(jí)必須低于接收人；信息分享到接收人時(shí)同時(shí)賦予該接收人訪問(wèn)權(quán)限，信息以臨時(shí)文件形式存儲(chǔ)，且為只讀，并進(jìn)行了防拷貝處理；在分享時(shí)需設(shè)置分享時(shí)長(zhǎng)，過(guò)期自動(dòng)刪除，或采用“閱后即焚”機(jī)制。分享服務(wù)安全如圖12所示。

圖 12 分享服務(wù)安全

4 技術(shù)實(shí)現(xiàn)及典型應(yīng)用

某總體單位實(shí)施了智能制造支撐平臺(tái)，如圖13所示。智能制造支撐平臺(tái)（Aerospace Smart Platform）是企業(yè)級(jí)操作系統(tǒng)，為現(xiàn)有和未來(lái)工業(yè)應(yīng)用提供核心“基座”，可兼容傳統(tǒng) IT 設(shè)備，私有云和公有云環(huán)境，兼容主流工業(yè)軟件、應(yīng)用系統(tǒng)（如 PDM、ERP、MES）和制造裝備，為各類企業(yè)應(yīng)用（單體應(yīng)用、APP 應(yīng)用）提供個(gè)性運(yùn)行支持及系列公共服務(wù)，是支撐傳統(tǒng) IT 應(yīng)用向工業(yè)互聯(lián)網(wǎng)應(yīng)用，向數(shù)據(jù)智能應(yīng)用發(fā)展的基礎(chǔ)軟件平臺(tái)。其中安全管理系統(tǒng)使用了本文方案實(shí)現(xiàn)并應(yīng)用。技術(shù)架構(gòu)如圖 14所示。

圖 13 某總體單位平臺(tái)化建設(shè)框架

圖 14 ASP安全管理技術(shù)框架

平臺(tái)提供了23個(gè) APP 及服務(wù)包括搜索、即時(shí)通信、門戶、任務(wù)中心、消息中心，收藏、分享和推介等服務(wù)；集成了10余種應(yīng)用系統(tǒng)，包括 PDM、計(jì)劃管理、流程引擎、主數(shù)據(jù)管理、知識(shí)管理和工具庫(kù)等不同廠商、不同技術(shù)體系的系統(tǒng)；支撐了包括總體、結(jié)構(gòu)、彈道和姿控等11個(gè)專業(yè)子系統(tǒng)的建設(shè)。這些 APP、業(yè)務(wù)系統(tǒng)均由安全管理系統(tǒng)提供安全服務(wù)支撐，并通過(guò)了分保測(cè)評(píng)，現(xiàn)已上線應(yīng)用，支撐了多個(gè)型號(hào)研制及發(fā)射任務(wù)。

5 結(jié)束語(yǔ)

軍工企業(yè)以平臺(tái)化路線實(shí)踐數(shù)字化轉(zhuǎn)型逐漸成為主流做法。針對(duì)軍工涉密平臺(tái)+工業(yè)應(yīng)用信息化建設(shè)模式中的安全管理關(guān)鍵問(wèn)題，分析了建設(shè)需求，提出了平臺(tái)+工業(yè)應(yīng)用安全管理框架，設(shè)計(jì)了平臺(tái)安全、應(yīng)用安全的方案，并在某總體單位進(jìn)行了應(yīng)用實(shí)踐，應(yīng)用效果顯示本文提出的安全管理設(shè)計(jì)方案可滿足軍工企業(yè)信息化平臺(tái)與業(yè)務(wù)應(yīng)用的建設(shè)需求，可有效支撐軍工企業(yè)數(shù)字化轉(zhuǎn)型。