用户身份鉴别:应用系统用户表设计应包含的字段为:中文的姓名,登录名称以及口令。应用系统用户都采用基于数字证书的集中式管理。各应用系统、数据库等口令均应满足以下要求:长度不低于10位;采用复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中两者以上的组合;运行期间应定期更换口令,周期不得长于一周;要采取加密等安全保护措施保证口令存储和传输的安全。
登陆控制:登录应用系统区域应通过数字证书+口令的验证,通过后方允许用户使用,验证没有通过则不允许用户使用。登录程序应限制登录失败的次数,限制在正常时间之外的登录,并将所有的登录信息记录至日志。当用户身份鉴别尝试失败达到五次后,应采取以下措施:
对于本地登录,进行登录锁定,同时形成审计事件并告警;
对于远程登录,对该用户进行锁定,并且只能由安全保密管理员恢复,同时形成审计时间并告警;
对于应用程序,禁止使用该程序或延长一定时间后再允许尝试,同时形成审计事件并告警。
连接时间控制:用户在正确登录应用系统后一定时间(通常为10分钟)内没有进行任何操作,当用户再进行操作时,系统将提示用户重新登录。
用户角色和权限划分:一般应将可以访问应用系统的用户按照安全管理权限分为:应用系统管理员、安全保密管理员、安全审计员和其他用户。管理员间的权限应能够相互制约、相互监督,避免由于权限过于集中带来的安全风险。
不同的用户角色及权限程序应提供不同的访问界面及菜单来控制用户对该系统功能的访问,对不同用户的权限应能设置到具体内容。应采取措施禁止系统管理员查看系统中其它用户的涉密文件,禁止使用超级管理员。
信息访问控制:程序应根据不同的登录用户提供相应的界面及菜单来控制对应用系统的访问;将普通用户与管理员分开管理;控制用户对信息的访问权限,如读、写、删除、执行等;在应用系统信息流转过程中,保证系统的输出无多余信息,并只发送给合法的终端,避免无关人员的介入。
系统访问权限:系统将建立按模块功能层次分类的访问权限控制表,并把权限控制表的说明提供给整个应用系统区域前的统一授权系统。统一授权系统可根据应用系统管理员提供的实际访问权限(必要时要经过保密办审批)进行权限设置,即将每个用户的访问权限写入统一的权限表,再由应用系统读取统一的权限表,并依此权限对系统的权限进行设计。统一授权系统将把统一权限表的设计说明开放给应用系统,并提供接口。应用系统要求按模块功能层次分类。
流程中的权限:流程中每一个环节均可设置哪些人作为该环节的处理人,并设置操作权限。例如设定哪些人可以起草某种公文,这些人可以进行编辑或修改等操作。文件流转过程中,只有流程流转中处理过该文件的人员和指定的阅文人才有权限看到该文件,无关人员的系统界面中不会出现该文件的链接供其查看。
附件文件的访问权限:系统将附件文件全文存放于数据库表结构中,通过数据库管理系统进行管理。用户通过系统界面中的链接访问,系统对其进行访问权限控制。
应用系统中存储、处理、传递、输出的涉密电子文件和资料要有相应的密级标识,密级标识不能与正文分离,标于正文右上角。标密必须从盘符开始,直至存储涉密信息的文件夹、涉密文档均需进行标识。标识内容必须包括密级、保密期限,正确标识为“密级★保密期限”。
根据不同的数据资源为数据库设置字段密级。只有用户的数据操作权限高于或等于相应的字段密级,才能进行正常的操作,否则不显示该字段的内容。
安全设计应与身份鉴别、访问控制、信息完整性等安全功能的设计紧密结合,并为下述可审计事件产生审计记录:
● 审计功能的开启和关闭;
● 系统内用户增加和删除;
● 用户权限的修改;
● 系统管理员、安全保密管理员、安全审计员和用户所实施的操作;
● 用户的违规操作行为;
● 其他与系统安全有关的事件或可专门定义的可审计事件。
对于重要信息系统还应对以下事件进行审计:
● 身份鉴别相关事件;
● 访问控制相关事件;
● 涉密数据的输入输出操作;
● 涉密数据的其他操作