網絡基礎安全技術要求

1、信息安全技術網絡基礎安全技術要求引言本標準用以指導設計者如何設計和實現(xiàn)具有所需要的安全保護等級的網絡系統(tǒng)，主要說 明為實現(xiàn)GB 7859-1999中每一個安全保護等級的安全要求，網絡系統(tǒng)應采取的安全技術 措施，以及各安全技術要求在不同安全保護等級中具體差異。網絡是一個具有復雜結構、 由許多網絡設備組成的系統(tǒng)，不同的網絡環(huán)境又會有不同的系統(tǒng)結構。然而，從網絡系統(tǒng) 所實現(xiàn)的功能來看，可以概括為“實現(xiàn)網上信息 交換”。網上信息交換具體可以分解為信 息的發(fā)送、信息的傳輸和信息的接收。從信息安全的角度，網絡信息安全可以概括為“保 障網上信息交換的安全”，具體表現(xiàn)為信息發(fā)送的安全、信息傳輸的安全和信息接收

2、的安 全，以及網上信息交換的抗抵賴等。網上信息交換是通過確定的網絡協(xié)議實現(xiàn)的，不同的 網絡會有不同的協(xié) 議。任何網絡設備都是為實現(xiàn)確定的網絡協(xié)議而設置的。典型的、具有 代表性的網絡協(xié)議是國際標準化組織的開放系統(tǒng)互連協(xié)議（ISO/OSI），也稱七層協(xié) 議。 雖然很少有完全按照七層協(xié)議構建的網絡系統(tǒng)，但是七層協(xié)議的理論價值和指導作用是任 何網絡協(xié)議所不可替代的。網絡安全需要通過協(xié)議安全來實現(xiàn)。通過對七層協(xié)議每一層安 全的描述，可以實現(xiàn)對網絡安全的完整描述。網絡協(xié)議的安全需要由組成網絡系統(tǒng)的設備 來保障。因此，對七層協(xié)議的安全要求自然包括對網絡設備的安全要求。信息安全是與信息系統(tǒng)所實現(xiàn)的功能密切相關

3、的，網絡安全也不例外。網絡各層協(xié)議的 安全與其在每一層所實現(xiàn)的功能密切相關。附錄A. 2關于網絡各層協(xié)議主要功能的說明， 對物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層等各層的功能進行了簡要 描述，是確定網絡各層安全功能要求的主要依據。本標準以GB/T 20271-2006關于信息系統(tǒng)安全等級保護的通用技術要求為基礎，圍繞以 訪問控制為核心的思想進行編寫，在對網絡安全的組成與相互關系進行簡要說明的基礎上， 第5章對網絡安全功能基本技術分別進行了說明，第6章是對第5章網絡安全功能的分級 分層情況的描述。在此基礎上，本標準的第7章對網絡安全技術的分等級要求分別從安全 功能技術要求和安全保

4、證技術要求兩方面進行了詳細說明。在第7章的描述中除了引用以 前各章的內容外，還引用了 GB/T 20271-2006中關于安全保證技術要求的內容。由于GB/T 20271-2006的安全保證技術要求，對網絡而言沒有需要特別說明的內容，所以在網絡基本 技術及其分級分層的描述中沒有涉及這方面的內容。信息安全技術網絡基礎安全技術要求1范圍本標準依據GB 17859-1999的五個安全保護等級的劃分，根據網絡系統(tǒng)在信息系統(tǒng)中的 作用，規(guī)定了各個安全等級的網絡系統(tǒng)所需要的基礎安全技術的要求。本標準適用于按等級化的要求進行的網絡系統(tǒng)的設計和實現(xiàn)，對按等級化要求進行的網 絡系統(tǒng)安全的測試和管理可參照使用。2

5、規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件， 其隨后的所有修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據 本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T20271-2006信息安全技 術 信息系統(tǒng)通用安全技術要求3術語、定義和縮略語3.1術語和定義GB 17859-1999確立的以及下列術語和定義適用于本標準。3.1.1網絡安全 network security網絡環(huán)境下存儲、傳輸和處理的信息的保密性、完整

6、性和可用性的表征。3.1.2網絡安全基礎技術basis technology of network security實現(xiàn)各種類型的網絡系統(tǒng) 安全需要的所有基礎性安全技術。3.1.3網絡安全子系統(tǒng) security subsystem of network網絡中安全保護裝置的總稱，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它 建立了一個基本的網絡安全保護環(huán)境，并提供安全網絡所要求的附加用戶服務。注：按照GB 17859-1999對TCB （可信計算基）的定義，SSON （網絡安全子系統(tǒng)）就是 網絡的TCB。3.1.4SSON安全策略SS0N security policy對SS0N中的資源

7、進行管理、保護和分配的一組 規(guī)則。一個SSON中可以有一個或多個安全策略。3.1.5安全功能策略 security function policy為實現(xiàn)SSON安全要素要求的功能所采用的安全策略。安全要素 security element本標準中各安全保護等級的安全技術要求所包含的安全內容的組成成份。3.1.7SSON 安全功能 SSON security function正確實施SSON安全策略的全部硬件、固件、軟件所提供的功能。每一個安全策略的實 現(xiàn)，組成一個SSON安全功能模塊。一個SSON的所有安全功能模塊共同組成該SSON的安全 功能。3.1.8SSF 控制范圍 SSF scope

8、of controlSSON的操作所涉及的主體和客體的范圍。3.2縮略語下列縮略語適用于本標準：SFP 安全功能策略 security function policySSC SSF 控制范圍 SSF scope of controlSSF SSON 安全功能 SSON security functionSSP SSON 安全策略 SS0N security policySSON 網絡安全子系統(tǒng) security subsystem of network4網絡安全組成與相互關系根據OSI參考模型和GB 17859-1999所規(guī)定的安全保護等級和安全要素，網絡安全的組 成與相互關系如表1所示。對于

9、網絡系統(tǒng)的物理層、鏈路層、網絡層、傳輸層、會話層、表示層和應用層，可分別 按GB 17859-1999的各個安全等級的要求進行設計。在各協(xié)議層中，安全要素的實現(xiàn)方法可有所不同。本標準基于各項安全要素對各協(xié)議層 在各個安全保護等級中應采用的安全技術和機制提出要求。5網絡安全功能基本要求5.1.1用戶標識a）基本標識：應在SSF實施所要求的動作之前，先對提出該動作要求的用戶進行標識。b）唯一性標識：應確保所標識用戶在信息系統(tǒng)生存周期內的唯一性，并將用戶標識與 安全審計相關聯(lián)。c）標識信息管理：應對用戶標識信息進行管理、維護，確保其不被非授權地訪問、修 改或刪除。5.1.2用戶鑒別a）基本鑒別：應在

10、SSF實施所要求的動作之前，先對提出該動作要求的用戶成功地進 行鑒別。b）不可偽造鑒別：應檢測并防止使用偽造或復制的鑒別數據。一方面，要求SSF應檢 測或防止由任何別的用戶偽造的鑒別數據，另一方面，要求SSF應檢測或防止當前用戶從 任何其它用戶處復制的鑒別數據的使用；c）一次性使用鑒別：應能提供一次性使用鑒別數據操作的鑒別機制，即SSF應防止與 已標識過的鑒別機制有關的鑒別數據的重用；d）多機制鑒別：應能提供不同的鑒別機制，用于鑒別特定事件的用戶身份，并且SSF 應根據所描述的多種鑒別機制如何提供鑒別的規(guī)則，來鑒別任何用戶所聲稱的身份；e）重新鑒別：應有能力規(guī)定需要重新鑒別用戶的事件，即SSF

11、應在需要重鑒別的條件 表所指示的條件下，重新鑒別用戶。例如，用戶終端操作超時被斷開后，重新連接時需要 進行重鑒別。5.1.3用戶-主體綁定在SSON安全功能控制范圍之內，對一個已標識和鑒別的用戶，為了要求SSF完成某個 任務，需要激活另一個主體（如進程），這時，要求通過用戶主體綁定將該用戶與該主體 相關聯(lián)，從而將用戶的身份與該用戶的所有可審計行為相關聯(lián)。5.1.4鑒別失敗處理要求SSF為不成功的鑒別嘗試次數（包括嘗試數目和時間的閾值）定義一個值，以及明 確規(guī)定達到該值時所應采取的動作。鑒別失敗的處理應包括檢測出現(xiàn)相關的不成功鑒別嘗 試的次數與所規(guī)定的數目相同的情況，并進行預先定義的處理。5.2

12、.1訪問控制策略SSF應按確定的自主訪問控制安全策略進行設計，實現(xiàn)對策略控制下的主體與客體間操 作的控制?？梢杂卸鄠€自主訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。常用的自 主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權能表訪問控制等。5.2.2訪問控制功能SSF應明確指出采用一條命名的訪問控制策略所實現(xiàn)的特定功能，說明策略的使用和特 征，以及該策略的控制范圍。無論采用何種自主訪問控制策略，SSF應有能力提供：在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪問控制SFP；在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎上，允許主體對客體的訪問；在基于安全屬性的拒絕主體對客體訪問

13、的規(guī)則的基礎上，拒絕主體對客體的訪問。5.2.3訪問控制范圍網絡系統(tǒng)中自主訪問控制的覆蓋范圍分為：a）子集訪問控制：要求每個確定的自主訪問控制，SSF應覆蓋網絡系統(tǒng)中所定義的主 體、客體及其之間的操作；b）完全訪問控制：要求每個確定的自主訪問控制，SSF應覆蓋網絡系統(tǒng)中所有的主體、 客體及其之間的操作，即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的所 有操作將至少被一個確定的訪問控制SFP覆蓋。5.2.4訪問控制粒度網絡系統(tǒng)中自主訪問控制的粒度分為：a）粗粒度：主體為用戶組/用戶級，客體為文件、數據庫表級；b）中粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級；c）細

14、粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級或元素級。5.3標記5.3.1主體標記應為實施強制訪問控制的主體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。 如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。5.3.2客體標記應為實施強制訪問控制的客體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。 如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。5.3.3標記完整性敏感標記應能準確地表示特定主體或客體的訪問控制屬性，主體和客體應以此發(fā)生關聯(lián)。 當數據從SSON輸出時，根據需要，敏感標記應能準確地和明確地表示輸出數據的內部標記， 并與輸出的

15、數據相關聯(lián)。5.3.4有標記信息的輸出SSON應對每個通信信道和I/O設備標明單級或多級。這個標志的任何變化都應由授權 用戶實現(xiàn)，并可由SSON審計。SSON應維持并且能夠對安全保護等級的任何變化進行審定， 或對與通信信道或I/O設備有關的安全保護等級進行安全審計。a）向多級安全設備的輸出：當SSON將一客體信息輸出到一個具有多級安全的I/O設備 時，與該客體有關的敏感標記也應輸出，并以與輸出信息相同的形式（如機器可讀或人可讀 形式）駐留在同一物理媒體上。當SSON在多級通信信道上輸出或輸入一客體信息時，該信道使用的協(xié)議應在敏感標 記和被發(fā)送或被接收的有關信息之間提供明確的配對關系；b）向單級

16、安全設備的輸出：單級I/O設備和單級通信信道不需要維持其處理信息的敏 感標記，但SSON應包含一種機制，使SSON與一個授權用戶能可靠地實現(xiàn)指定的安全級的 信息通信。這種信息經由單級通信信道或I/O設備輸入/輸出；c）人可讀標記的輸出：SSON應標記所有人可讀的、編頁的、具有人可讀的敏感標記的 硬拷貝輸出（如行打印機輸出）的開始和結束，以適當地表示輸出敏感性。SSON應按默認值 標記人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出（如行打印機輸出）每頁的頂部和底部，以適當地表示 該輸出總的敏感性，或表示該頁信息的敏感性。SSON應該按默認值，并以一種適當方法標 記具有人可讀的敏感標記的其他形

17、式的人可讀的輸出（如圖形），以適當地表示該輸出的敏感性。這些標記默認值 的任何濫用都應由SSON審計。5.4強制訪問控制5.4.1訪問控制策略網絡強制訪問控制策略應包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體 與客體間的操作?？梢杂卸鄠€訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。 當前常見的強制訪問控制策略有：a）多級安全模型：基本思想是，在對主、客體進行標記的基礎上，SSOIS控制范圍內 的所有主體對客體的直接或間接的訪問應滿足：向下讀原則：僅當主體標記中的等級分類高于或等于客體標記中的等級分類，且主 體標記中的非等級類別包含了客體標記中的全部非等級類別，主體才能讀該客體

18、；向上寫原則：僅當主體標記中的等級分類低于或等于客體標記中的等級分類，且主 體標記中的非等級類別包含于客體標記中的非等級類別，主體才能寫該客體；b）基于角色的訪問控制（BRAC）:基本思想是，按角色進行權限的分配和管理；通過 對主體進行角色授予，使主體獲得相應角色的權限；通過撤消主體的角色授予，取消主體 所獲得的相應角色權限。在基于角色的訪問控制中，標記信息是對主體的授權信息；c）特權用戶管理：基本思想是，針對特權用戶權限過于集中所帶來的安全隱患，對特 權用戶按最小授權原則進行管理。實現(xiàn)特權用戶的權限分離；僅授予特權用戶為完成自身 任務所需要的最小權限。5.4.2訪問控制功能SSF應明確指出采

19、用一條命名的強制訪問控制策略所實現(xiàn)的特定功能。SSF應有能力提 供：在標記或命名的標記組的客體上，執(zhí)行訪問控制SFP；按受控主體和受控客體之間的允許訪問規(guī)則，決定允許受控主體對受控客體執(zhí)行受 控操作；按受控主體和受控客體之間的拒絕訪問規(guī)則，決定拒絕受控主體對受控客體執(zhí)行受 控操作。5.4.3訪問控制范圍網絡強制訪問控制的覆蓋范圍分為：a）子集訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統(tǒng)中由安全功能所 定義的主體、客體及其之間的操作；b）完全訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統(tǒng)中所有的主體、 客體及其之間的操作，即要求SSF應確保SSC內的任意一個主體和任意一個客

20、體之間的操 作將至少被一個確定的訪問控制SFP覆蓋。5.4.4訪問控制粒度網絡強制訪問控制的粒度分為：a）中粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級；b）細粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級和/或元素級。5.4.5訪問控制環(huán)境a）單一安全域環(huán)境：在單一安全域環(huán)境實施的強制訪問控制應在該環(huán)境中維持統(tǒng)一的 標記信息和訪問規(guī)則。當被控客體輸出到安全域以外時，應將其標記信息同時輸出；b）多安全域環(huán)境：在多安全域環(huán)境實施統(tǒng)一安全策略的強制訪問控制時，應在這些安 全域中維持統(tǒng)一的標記信息和訪問規(guī)則。當被控制客體在這些安全域之間移動時，應將其 標記信息一起移動。

21、5.5數據流控制對網絡中以數據流方式實現(xiàn)數據流動的情況，應采用數據流控制機制實現(xiàn)對數據流動的 控制，以防止具有高等級安全的數據信息向低等級的區(qū)域流動。5.6安全審計5.6.1安全審計的響應安全審計SSF應按以下要求響應審計事件：a）記審計日志：當檢測到可能有安全侵害事件時，將審計數據記入審計日志；b）實時報警生成：當檢測到可能有安全侵害事件時，生成實時報警信息；c）違例進程終止：當檢測到可能有安全侵害事件時，將違例進程終止；d）服務取消：當檢測到可能有安全侵害事件時，取消當前的服務；e）用戶賬號斷開與失效：當檢測到可能有安全侵害事件時，將當前的用戶賬號斷開， 并使其失效。5.6.2安全審計數據

22、產生SSF應按以下要求產生審計數據：a）為下述可審計事件產生審計記錄：審計功能的啟動和關閉；使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；系統(tǒng)管理員、系統(tǒng)安全員、審計員和一般操作員所實施的操作；其他與系統(tǒng)安全有關的事件或專門定義的可審計事件；b）對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件 是否成功，及其他與審計相關的信息；c）對于身份鑒別事件，審計記錄應包含請求的來源（例如：終端標識符）；d）對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客 體的安全保護等級；e）將每個可審計事件與引起該事件的用戶相關聯(lián)。

23、5.6.3安全審計分析安全審計分析應包括：a）潛在侵害分析：應能用一系列規(guī)則去監(jiān)控審計事件，并根據這些規(guī)則指出SSP的潛 在侵害。這些規(guī)則包括：由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；任何其他的規(guī)則；b）基于異常檢測的描述：應維護用戶所具有的質疑等級一一歷史使用情況，以表明該 用戶的現(xiàn)行活動與已建立的使用模式的一致性程度。當用戶的質疑等級超過門限條件時， SSF應能指出將要發(fā)生對安全性的威脅;c）簡單攻擊探測：應能檢測到對SSF實施有重大威脅的簽名事件的出現(xiàn)。為此，SSF 應維護指出對SSF侵害的簽名事件的內部表示，并將檢測到的系統(tǒng)行為記錄與簽名事件進 行比較，當發(fā)現(xiàn)兩者匹

24、配時，指出一個對SSF的攻擊即將到來；d）復雜攻擊探測：在上述簡單攻擊探測的基礎上，要求SSF應能檢測到多步入侵情況， 并能根據已知的事件序列模擬出完整的入侵情況，還應指出發(fā)現(xiàn)對SSF的潛在侵害的簽名 事件或事件序列的時間。5.6.4安全審計查閱安全審計查閱工具應具有：a）審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權用戶提供獲得和 解釋審計信息的能力。當用戶是人時，必須以人類可懂的方式表示信息；當用戶是外部IT 實體時，必須以電子方式無歧義地表示審計信息；b）有限審計查閱：在上述審計查閱的基礎上，審計查閱工具應禁止具有讀訪問權限以 外的用戶讀取審計信息；c）可選審計查閱：在上述

25、有限審計查閱的基礎上，審計查閱工具應具有根據準則來選 擇要查閱的審計數據的功能，并根據某種邏輯關系的標準提供對審計數據進行搜索、分類、 排序的能力。5.6.5安全審計事件選擇應根據以下屬性選擇可審計事件：a）客體身份、用戶身份、主體身份、主機身份、事件類型；b）作為審計選擇性依據的附加屬性。5.6.6安全審計事件存儲應具有以下創(chuàng)建并維護安全的審計蹤跡記錄的能力：a）受保護的審計蹤跡存儲：要求審計蹤跡的存儲受到應有的保護，能檢測或防止對審 計記錄的修改；b）審計數據的可用性確保：要求在意外情況出現(xiàn)時，能檢測或防止對審計記錄的修改， 以及在發(fā)生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不

26、被破壞；c）審計數據可能丟失情況下的措施：要求當審計跟蹤超過預定的門限時，應采取相應 的措施，進行審計數據可能丟失情況的處理；d）防止審計數據丟失：要求在審計蹤跡存儲記滿時，應采取相應的防止審計數據丟失 的措施，可選擇“忽略可審計事件”、“阻止除具有特殊權限外的其他用戶產生可審計事 件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其它行動”等措施，防止審計數據丟失。5.7用戶數據完整性5.7.1存儲數據的完整性應對存儲在SSC內的用戶數據進行完整性保護，包括：a）完整性檢測：要求SSF應對基于用戶屬性的所有客體，對存儲在SSC內的用戶數據 進行完整性檢測；b）完整性檢測和恢復：

27、要求SSF應對基于用戶屬性的所有客體，對存儲在SSC內的用 戶數據進行完整性檢測，并且當檢測到完整性錯誤時，SSF應采取必要的SSF應采取必要的恢復、 審計或報警措施。5.7.2傳輸數據的完整性當用戶數據在SSF和其它可信IT系統(tǒng)間傳輸時應提供完整性保護，包括：a）完整性檢測：要求對被傳輸的用戶數據進行檢測，及時發(fā)現(xiàn)以某種方式傳送或接收 的用戶數據被篡改、刪除、插入等情況發(fā)生；b）數據交換恢復：由接收者SSON借助于源可信IT系統(tǒng)提供的信息，或由接收者SSON 自己無須來自源可信IT系統(tǒng)的任何幫助，能恢復被破壞的數據為原始的用戶數據。若沒有 可恢復條件，應向源可信IT系統(tǒng)提供反饋信息。5.7.

28、3處理數據的完整性回退：對信息系統(tǒng)中處理中的數據，應通過“回退”進行完整性保護，即要求SSF應執(zhí) 行訪問控制SFP，以允許對所定義的操作序列進行回退。5.8用戶數據保密性5.8.1存儲數據的保密性應對存儲在SSC內的用戶數據進行保密性保護。5.8.2傳輸數據的保密性應對在SSC內傳輸的用戶數據進行保密性保護。5.8.3客體安全重用在對資源進行動態(tài)管理的系統(tǒng)中，客體資源（寄存器、內存、磁盤等記錄介質）中的剩 余信息不應引起信息的泄露。客體安全重用分為：a）子集信息保護：要求對SSON安全控制范圍之內的某個子集的客體資源，在將其分配 給某一用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息

29、；b）完全信息保護：要求對SSON安全控制范圍之內的所有客體資源，在將其分配給某一 用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息；c）特殊信息保護：對于某些需要特別保護的信息，應采用專門的方法對客體資源中的 殘留信息做徹底清除，如對剩磁的清除等。5.9可信路徑用戶與SSF間的可信路徑應：a）提供真實的端點標識，并保護通信數據免遭修改和泄露；b）利用可信路徑的通信可以由SSF自身、本地用戶或遠程用戶發(fā)起；c）對原發(fā)用戶的鑒別或需要可信路徑的其它服務均使用可信路徑。5.10抗抵賴5.10.1抗原發(fā)抵賴應確保信息的發(fā)送者不能否認曾經發(fā)送過該信息。這就要求SSF提供一種方法，來確保 接收

30、信息的主體在數據交換期間能獲得證明信息原發(fā)的證據，而且該證據可由該主體或第 三方主體驗證?？乖l(fā)抵賴分為：a）選擇性原發(fā)證明：要求SSF具有為主體提供請求原發(fā)證據信息的能力。即SSF在接 到原發(fā)者或接收者的請求時，能就傳輸的信息產生原發(fā)證據，證明該信息的發(fā)送由該原發(fā) 者所為；b）強制性原發(fā)證明：要求SSF在任何時候都能對傳輸的信息產生原發(fā)證據。即SSF在 任何時候都能就傳輸的信息強制產生原發(fā)證據，證明該信息的發(fā)送由該原發(fā)者所為。5.10.2抗接收抵賴應確保信息的接收者不能否認接受過該信息。這就要求SSF提供一種方法，來確保發(fā)送 信息的主體在數據交換期間能獲得證明該信息被接收的證據，而且該證據可

31、由該主體或第 三方主體驗證?？菇邮盏仲嚪譃椋篴）選擇性接收證明：要求SSF具有為主體提供請求信息接收證據的能力。即SSF在接 到原發(fā)者或接收者的請求時，能就接收到的信息產生接收證據，證明該信息的接收由該接 收者所為；b）強制性接收證明：要求SSF總是對收到的信息產生接收證據。即SSF能在任何時候 對收到的信息強制產生接收證據，證明該信息的接收由該接收者所為。5.11網絡安全監(jiān)控網絡安全監(jiān)控應采用以下安全技術和機制：a）網絡安全探測機制：在組成網絡系統(tǒng)的各個重要部位，設置探測器，實時監(jiān)聽網絡 數據流，監(jiān)視和記錄內、外部用戶出入網絡的相關操作，在發(fā)現(xiàn)違規(guī)模式和未授權訪問時， 報告網絡安全監(jiān)控中心；

32、b）網絡安全監(jiān)控中心：設置安全監(jiān)控中心，對收到的來自探測器的信息，根據安全策 略進行分析，并作審計、報告、事件記錄和報警等處理。網絡安全監(jiān)控中心應具有必要的 遠程管理功能，如對探測器實現(xiàn)遠程參數設置、遠程數據下載、遠程啟動等操作。網絡安全監(jiān)控中心還應具有實時響 應功能，包括攻擊分析和響應、誤操作分析和響應、漏洞分析和響應等。6網絡安全功能分層分級要求6.1身份鑒別功能應按照用戶標識和用戶鑒別的要求進行身份鑒別安全機制的設計。一般以用戶名和用 戶標識符來標識一個用戶，應確保在一個信息系統(tǒng)中用戶名和用戶標識符的唯一性，嚴格 的唯一性應維持在網絡系統(tǒng)的整個生存周期都有效，即使一個用戶的賬戶已被刪除，

33、他的 用戶名和標識符也不能再使用，并由此確保用戶的唯一性和可區(qū)別性。鑒別應確保用戶的 真實性。可以用口令進行鑒別，更嚴格的身份鑒別可采用智能IC卡密碼技術，指紋、虹膜 等特征信息進行身份鑒別，并在每次用戶登錄系統(tǒng)之前進行鑒別。口令應是不可見的，并 在存儲和傳輸時進行保護。智能IC卡身份鑒別應以密碼技術為基礎，并按用戶鑒別中不可 偽造鑒別所描述的要求進行設計。對于鑒別失敗的情況，要求按鑒別失敗所描述的要求進 行處理。用戶在系統(tǒng)中的行為一般由進程代為執(zhí)行，要求按用戶-主體綁定所描述的要求， 將用戶與代表該用戶行為的進程相關聯(lián)。這種關聯(lián)應體現(xiàn)在SSON安全功能控制范圍之內各 主、客體之間的相互關系上

34、。比如，一個用戶通過鍵入一條命令要求訪問一個指定文件， 信息系統(tǒng)運行某一進程實現(xiàn)這一功能。這時，該進程應與該用戶相關聯(lián)，于是該進程的行 為即可看作該用戶的行為。身份鑒別應區(qū)分實體鑒別和數據起源鑒別：當身份是由參與通信連接或會話的遠程實體 提交時叫實體鑒別，它可以作為訪問控制服務的一種必要支持；當身份信息是由數據項發(fā) 送者提交時叫數據起源鑒別，它是確保部分完整性目標的直接方法，確保知道某個數據項 的真正起源。表2給出了從用戶自主保護級到訪問驗證保護級對身份鑒別功能的分層分級 要求。6.2自主訪問控制功能應按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要 求，設計和實現(xiàn)所

35、需要的自主訪問控制功能。當使用文件、目錄和網絡設備時，網絡管理 員應給文件、目錄等指定訪問屬性。訪問控制規(guī)則應將給定的屬性與網絡服務器的文件、 目錄和網絡設備相聯(lián)系。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪 問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。自主訪問控制應能控 制以下權限：a）向某個文件寫數據、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱 含文件、共享、系統(tǒng)屬性等；b）為每個命名客體指定用戶名和用戶組，以及規(guī)定他們對客體的訪問模式。表3給出了從用戶自主保護級到訪問驗證保護級對自主訪問控制功能的分層分級要求。6.3標記功能應按照主體標記和客體標

36、記所描述的要求進行標記設計。在網絡環(huán)境中，帶有特定標記的數據應能被安全策略禁止通過某些子網、鏈路或中繼。 連接的發(fā)起者（或無連接數據單元的發(fā)送者）可以指定路由選擇說明，請求回避某些特定的 子網、鏈路或中繼。包含數據項的資源應具有與這些數據相關聯(lián)的敏感標記。敏感標記可能是與被傳送的數 據相連的附加數據，也可能是隱含的信息，例如使用一個特定密鑰加密數據所隱含的信息 或由該數據的上下文所隱含的信息，可由數據源或路由來隱含。明顯的敏感標記必須是清晰可辨認的，以便對它們 作適當的驗證。此外，它們還必須安全可靠地依附于與之關聯(lián)的數據。對于在通信期間要移動的數據項，發(fā)起通信的進程與實體，響應通信的進程與實體

37、，在 通信時被用到的信道和其他資源等，都可以用各自的敏感信息來標記。安全策 略應指明如 何使用敏感信息以提供必要的安全性。當安全策略是基于用戶身份時，不論直接或通過進 程訪問數據，敏感標記均應包含有關用戶身份的信息。用于特定標記的那些規(guī)則應該表示 在安全管理信息庫中的一個安全策略中，如果需要，還應與端系統(tǒng)協(xié)商。標記可以附帶敏 感信息，指明其敏感性，說明處理與分布上的隱蔽處，強制定時與定位，以及指明對該端 系統(tǒng)特有的要求。采用的安全策略決定了標記所攜帶的敏感信息及其含義，不同的網絡會有差異。表4給出了從安全標記保護級到訪問驗證保護級對標記功能的分層分級要求。6.4強制訪問控制功能應按照強制訪問控

38、制功能的要求，選擇所需的訪問控制策略，設計和實現(xiàn)所需要的強制 訪問控制功能。強制訪問控制應由專門設置的系統(tǒng)安全員統(tǒng)一管理系統(tǒng)中與該訪問控制有關的事件和 信息。為了防止由于系統(tǒng)管理人員或特權用戶的權限過于集中所帶來的安全隱患，應將系 統(tǒng)的常規(guī)管理、與安全有關的管理以及審計管理，由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員分別承擔，并在三者之間 形成相互制約的關系。采用多級安全模型的強制訪問控制應將SSON安全控制范圍內的所有主、客體成分通過 標記方式設置敏感標記，這些敏感標記與訪問規(guī)則一起確定每一次主體對客體的訪問是否 被允許。這里所要求的對客體的控制范圍除涉及系統(tǒng)內部的存儲、處理和傳輸過程外，還應包括

39、 將信息進行輸入、輸出操作的過程，即無論信息以何種形式存在，都應有一定的安全屬性 與其相關聯(lián)，并按強制訪問控制規(guī)則對其進行控制。第三級的強制訪問控制應對SSON所定義的主體與客體實施控制。第四級以上的強制訪 問控制應擴展到信息系統(tǒng)中的所有主體與客體。表5給出了從安全標記保護級到訪問驗證 保護級強制訪問控制功能的分層分級要求。6.5數據流控制功能對在網絡中以數據流方式進行的數據交換，應按照數據流控制的要求進行用戶數據保密 性保護設計。表6給出了從安全標記保護級到訪問驗證保護級對數據流控制功能的分層分 級要求。6.6 安全審計功能應按照對安全審計的要求進行設計。按安全審計數據產生的描述產生審計數據

40、；按安全 審計查閱的描述提供審計查閱、有限審計查閱和可選審計查閱；按安全審計事件選擇的描 述提供對審計事件的選擇；按安全審計事件存儲中受保護的審計蹤跡存儲、審計數據的可用性確保、審計數據可能 丟失行動和防止審計事件丟失的要求來保存審計事件；按安全審計分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復雜攻擊探測的要求進行審計分析設計；按安全 審計的自動響應的要求設計相應的功能。網絡安全審計涉及與安全有關的事件，包括事件的探測、收集、控制，進行事件責任的 追查。審計中必須包含的信息的典型類型包括：標定哪些網段需要有限授權訪問或數據加 密，哪些設備、文件和目錄需要加鎖或口令保護，哪些文件應

41、該進行存檔備份，執(zhí)行備份 程序的頻率，以及網絡所使用的病毒防護措施的類型等。安全審計通過對網絡上發(fā)生的各 種訪問情況記錄日志，并對日志進行統(tǒng)計分析，從而對資源使用情況進行事后分析。審計 也是發(fā)現(xiàn)和追蹤安全事件的常用措施，能夠自動記 錄攻擊發(fā)起人的IP地址及企圖攻擊的 時間，以及攻擊包數據，給系統(tǒng)安全管理及追查網絡犯罪提供可靠的線索。安全審計應該 提供有關網絡所使用的緊急事件和災難處理程序，提供準確的網絡安全審計和趨向分析報 告，支持安全程序的計劃和評估。對于較高安全等級的安全審計數據，可通過數字簽名技 術進行保護，限定審計 數據可由審計員處理，但不可修改。表7給出了從系統(tǒng)審計保護級到訪問驗證保

42、護級對安全審計功能的分層分級要求。6.7用戶數據完整性保護功能應對系統(tǒng)中存儲、傳輸和處理的用戶數據采取有效措施，防止其遭受非授權用戶的修改、 破壞或刪除。對存儲在系統(tǒng)中的用戶數據的完整性保護，較低安全要求應按照存儲數據的完整性保護 中完整性監(jiān)視的要求，設計相應的SSON安全功能模塊，對SSON安全控制范圍內的用戶數 據進行完整性保護；較高安全要求應通過密碼支持系統(tǒng)所提供的功能，對加密存儲的數據進行存儲數據的完整性 檢驗或采用其它相應的安全機制，在檢測到完整性錯誤時采取必要的恢復措施。對經過網 絡傳輸的用戶數據完整性保護，應按照SSON間通信保護中用戶用戶數據保密性和完整性檢測、以及源恢復和目的

43、 恢復的要求設計相應的SSON安全功能模塊。對系統(tǒng)中進行處理的數據的完整性保護，應按照回退的要求設計相應的SSON安全功能 模塊，進行異常情況的操作序列回退，以確保數據的完整性。表8給出了從用戶自主保護 級到訪問驗證保護級用戶數據完整性保護功能的分層分級要求。6.8用戶數據保密性保護功能應對系統(tǒng)中存儲、傳輸和處理的信息采取有效的保護措施，防止其遭受非授權的泄露。對存儲在系統(tǒng)中的數據的完整性保護，較低安全要求應按照存儲數據的保密性保護的一 般方法，設計相應的SSON安全功能模塊，對SSON安全控制范圍內的用戶數據進行完整性 保護；較高安全要求應通過密碼支持系統(tǒng)所提供的功能或相應安全性的安全機制所

44、提供的 安全功能，對存儲的數據進行保密性保護。對在系統(tǒng)中傳輸的數據，較低級別應按照存儲數據的保密性保護的要求，設計相應的 SSON安全功能模塊，對SSON安全 控制范圍內的用戶數據進行保密性保護；較高安全要求 的系統(tǒng)應通過密碼支持系統(tǒng)所提供的功能或其它相應的安全機制所提供的安全功能，進行 嚴格的保密性保護。對系統(tǒng)運行中動態(tài)管理和分配的資源，應采用有效措施，防止其剩余 信息引起的信息泄露。表9給出了從用戶自主保護級到訪問驗證保護級用戶數據保密性保 護功能的分層分級要求。6.9可信路徑功能應提供用戶與SSON之間安全地進行數據傳輸的保證，要求按用戶與SSF間可信路徑所 描述的要求進行設計。表10給出結構化保護級和訪問驗證保護級可信路徑功能的分層分級 要求。6.10抗抵賴功能應提供通信雙方身份的真實性和雙方對信交換行為的不可抵賴性。對信息的發(fā)送方， SSON應按抗原發(fā)抵賴中選擇性原發(fā)證明/強制性原發(fā)證明的要求進行設計；對信息的接收 方，SSON應按抗接收抵賴中選擇性接收證明/強制性接受證明的要求進行設計。表11給出了從安全標記保護級到訪問驗證保護級抗抵賴功能的分層分級要求。6.11網絡安全監(jiān)控功能應提供對網絡系統(tǒng)運行進行安全監(jiān)控的功能。網絡安全監(jiān)控機制通過在網絡環(huán)境的各