應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南

1、信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南Information security technology-Common technique guide of security classification protection for application software system目次前 言III引 言IV范圍1規(guī)范性引用文件1術(shù)語(yǔ)、定義和縮略語(yǔ)1應(yīng)用軟件系統(tǒng)基礎(chǔ)安全技術(shù)要求3應(yīng)用軟件系統(tǒng)風(fēng)險(xiǎn)分析和安全需求3應(yīng)用軟件系統(tǒng)安全方案3應(yīng)用軟件系統(tǒng)環(huán)境安全3應(yīng)用軟件系統(tǒng)業(yè)務(wù)連續(xù)性4應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)安全等級(jí)劃分4應(yīng)用軟件系統(tǒng)安全技術(shù)分等級(jí)要求4第一級(jí)用戶自主保護(hù)級(jí)4基礎(chǔ)安全技術(shù)

2、要求4安全功能技術(shù)要求5SSOASS 自身保護(hù)要求5SSOASS 設(shè)計(jì)和實(shí)現(xiàn)6SSOASS 安全管理7第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)7基礎(chǔ)安全技術(shù)要求7安全功能技術(shù)要求8SSOASS 自身保護(hù)9SSOASS 設(shè)計(jì)和實(shí)現(xiàn)10SSOASS 安全管理11第三級(jí)安全標(biāo)記保護(hù)級(jí)12基礎(chǔ)安全技術(shù)要求12安全功能技術(shù)要求12SSOASS 自身保護(hù)14SSOASS 設(shè)計(jì)和實(shí)現(xiàn)15SSOASS 安全管理17第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)18基礎(chǔ)安全技術(shù)要求18安全功能技術(shù)要求18SSOASS 自身保護(hù)20SSOASS 設(shè)計(jì)和實(shí)現(xiàn)21SSOASS 安全管理23第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)24基礎(chǔ)安全技術(shù)要求24安全功能技術(shù)要求24SSOASS

3、 自身保護(hù)26SSOASS 設(shè)計(jì)和實(shí)現(xiàn)27SSOASS 安全管理29附錄 A（資料性附錄）應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說(shuō)明31應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的位置31應(yīng)用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用31關(guān)于應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性31 PAGE * ROMAN IV引言本標(biāo)準(zhǔn)為按照信息系統(tǒng)安全等級(jí)保護(hù)的要求設(shè)計(jì)和實(shí)現(xiàn)所需要的安全等級(jí)的應(yīng)用軟件系統(tǒng)提供指導(dǎo)，主要說(shuō)明為實(shí)現(xiàn) GB 178591999 所規(guī)定的每一個(gè)安全保護(hù)等級(jí)，應(yīng)用軟件系統(tǒng)應(yīng)達(dá)到的安全技術(shù)要求。應(yīng)用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分，是信息系統(tǒng)中對(duì)應(yīng)用業(yè)務(wù)進(jìn)行處理的軟件的總和。業(yè)務(wù)應(yīng)用的安全需求，是信息系統(tǒng)安全需求的出發(fā)點(diǎn)和歸宿。信息

4、系統(tǒng)安全所采取的一切技術(shù)和管理措施，最終都是為確保業(yè)務(wù)應(yīng)用的安全。這些安全措施，有的可以在應(yīng)用軟件系統(tǒng)中實(shí)現(xiàn)，有的需要在信息系統(tǒng)的其它組成部分實(shí)現(xiàn)。本標(biāo)準(zhǔn)是對(duì)各個(gè)應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)普遍適用的安全技術(shù)要素的概括描述。不同應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)應(yīng)根據(jù)需要選取不同的安全技術(shù)要素，以滿足其各自業(yè)務(wù)應(yīng)用的具體安全需求。本標(biāo)準(zhǔn)第 4 章，應(yīng)用軟件系統(tǒng)基礎(chǔ)安全技術(shù)要求，是對(duì)應(yīng)用軟件系統(tǒng)的每一個(gè)安全等級(jí)都適用的基礎(chǔ)性安全技術(shù)要求的描述，包括：應(yīng)用軟件系統(tǒng)風(fēng)險(xiǎn)分析和安全需求，應(yīng)用軟件系統(tǒng)安全方案，應(yīng)用軟件系統(tǒng)環(huán)境安全，應(yīng)用軟件系統(tǒng)業(yè)務(wù)連續(xù)性，以及應(yīng)用軟件系統(tǒng)與相應(yīng)信息系統(tǒng)安全等級(jí)劃分等。本標(biāo)準(zhǔn)第 5 章，應(yīng)

5、用軟件系統(tǒng)安全技術(shù)分等級(jí)要求，以 GB 178591999 的五個(gè)安全等級(jí)的劃分為基本依據(jù)，以 GB/T 20271-2006 關(guān)于信息系統(tǒng)通用安全技術(shù)要求的等級(jí)劃分為基礎(chǔ)，對(duì)每一個(gè)安全等級(jí)的應(yīng)用軟件系統(tǒng)的安全技術(shù)要求進(jìn)行描述，包括：基礎(chǔ)安全技術(shù)要求，安全功能技術(shù)要求，以及為實(shí)現(xiàn)上述安全技術(shù)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)的自身保護(hù)、設(shè)計(jì)和實(shí)現(xiàn)及安全管理要求。其中，“加粗宋體”表示在較高等級(jí)中比上一級(jí)增加或增強(qiáng)的內(nèi)容。信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南范圍本標(biāo)準(zhǔn)規(guī)定了按照 GB 17859-1999 的五個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行安全等級(jí)保護(hù)所涉及的通用技術(shù)要求。本標(biāo)準(zhǔn)適用

6、于按照 GB 17859-1999 的五個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行的安全等級(jí)保護(hù)的設(shè)計(jì)與實(shí)現(xiàn)。對(duì)于按照 GB 17859-1999 的五個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行的安全等級(jí)保護(hù)的測(cè)試、管理也可參照使用。規(guī)范性引用文件下列文件中的有關(guān)條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T20270-2006信息安全技術(shù)網(wǎng)

7、絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求術(shù)語(yǔ)、定義和縮略語(yǔ)GB/T 202712006 確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。術(shù)語(yǔ)和定義3.1.1應(yīng)用軟件系統(tǒng)application software system信息系統(tǒng)的重要組成部分，是指信息系統(tǒng)中對(duì)特定業(yè)務(wù)進(jìn)行處理的軟件系統(tǒng)。3.1.2應(yīng)用軟件系統(tǒng)安全技術(shù)application software system security technology為確保應(yīng)用軟件系統(tǒng)達(dá)到確定的

8、安全性目標(biāo)所采取的安全技術(shù)措施。3.1.3應(yīng)用軟件系統(tǒng)安全子系統(tǒng)（SSOASS） security subsystem of application software system應(yīng)用軟件系統(tǒng)中安全保護(hù)裝置的總稱。它建立了應(yīng)用軟件系統(tǒng)的一個(gè)基本安全保護(hù)環(huán)境，并提供安全應(yīng)用軟件系統(tǒng)要求的附加用戶服務(wù)。按照 GB 17859-1999 對(duì)可信計(jì)算基（TCB）的定義，SSOASS 屬于應(yīng)用軟件系統(tǒng)的 TCB。其中所需要的硬件和固件支持由低層的安全機(jī)制提供。3.1.4SSOASS 安全策略（SSP） SSOASS security policy對(duì) SSOASS 中的資源進(jìn)行管理、保護(hù)和分配的規(guī)則。一個(gè)

9、 SSOASS 中可以有一種或多種安全策略。3.1.5安全功能策略（SFP） security function policy為實(shí)現(xiàn) SSOASS 安全要素的功能所采用的安全策略。3.1.6安全要素security element本標(biāo)準(zhǔn)中各安全保護(hù)等級(jí)的安全技術(shù)要求所包含的安全內(nèi)容的組成成份。3.1.7SSOASS 安全功能（SSF） SSOASS security function正確實(shí)施 SSOASS 安全策略的全部硬件、固件、軟件所提供的功能。每一種安全策略的實(shí)現(xiàn)，體現(xiàn)在 SSOASS 的某一個(gè)安全功能模塊之中。一個(gè) SSOASS 的所有安全功能模塊共同組成該 SSOASS 的安全功能。

10、3.1.8SSF 控制范圍（SSC） SSF scope of controlSSOASS 的操作所涉及的主體和客體的范圍。3.1.9用戶公開(kāi)數(shù)據(jù)user published data在應(yīng)用軟件系統(tǒng)中向所有用戶公開(kāi)的數(shù)據(jù)，該類數(shù)據(jù)的安全性受到破壞，將會(huì)對(duì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不會(huì)危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。3.1.10用戶一般數(shù)據(jù)user general data在應(yīng)用軟件系統(tǒng)中具有一般使用價(jià)值和保密程度，需要進(jìn)行一定保護(hù)的單位內(nèi)部的一般數(shù)據(jù)。該類數(shù)據(jù)的安全性受到破壞，將會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定的損害。3.1.11用戶重要數(shù)據(jù)use

11、r important data在應(yīng)用軟件系統(tǒng)中具有重要使用價(jià)值或保密程度，需要進(jìn)行重點(diǎn)保護(hù)的單位的重要數(shù)據(jù)。該類數(shù)據(jù)的的安全性受到破壞，將會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。3.1.12用戶關(guān)鍵數(shù)據(jù)user chief data在應(yīng)用軟件系統(tǒng)中具有很高使用價(jià)值或保密程度，需要進(jìn)行特別保護(hù)的單位的關(guān)鍵數(shù)據(jù)。該類數(shù)據(jù)的的安全性受到破壞，將會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。3.1.13用戶核心數(shù)據(jù)user kernel data在應(yīng)用軟件系統(tǒng)中具有最高使用價(jià)值或保密程度，需要進(jìn)行絕對(duì)保護(hù)的單位的核心數(shù)據(jù)。該類數(shù)據(jù)的的安全性受到破壞，將會(huì)對(duì)國(guó)家安全、社會(huì)秩序

12、、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害?？s略語(yǔ)下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)：SSOASS應(yīng)用軟件系統(tǒng)安全子系統(tǒng)security subsystem of application software system SSPSSOASS 安全策略SSOASS security policySFP安全功能策略security function policy SSFSSOASS 安全功能SSOASS security function SSCSSF 控制范圍SSF scope of control應(yīng)用軟件系統(tǒng)基礎(chǔ)安全技術(shù)要求應(yīng)用軟件系統(tǒng)風(fēng)險(xiǎn)分析和安全需求風(fēng)險(xiǎn)分析應(yīng)用軟件系統(tǒng)的風(fēng)險(xiǎn)分析，包括系統(tǒng)設(shè)計(jì)前的風(fēng)險(xiǎn)分析和系

13、統(tǒng)運(yùn)行中的風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析應(yīng)按照以下要求進(jìn)行：從應(yīng)用軟件系統(tǒng)安全運(yùn)行和信息安全保護(hù)出發(fā)，以應(yīng)用軟件系統(tǒng)相關(guān)的資產(chǎn)價(jià)值為基礎(chǔ),全面分析由于人為的和自然的原因?qū)?yīng)用軟件系統(tǒng)所造成的安全風(fēng)險(xiǎn)；通過(guò)對(duì)影響應(yīng)用軟件系統(tǒng)安全運(yùn)行和信息安全保護(hù)的諸多因素的了解和分析，明確應(yīng)用軟件系統(tǒng)存在的風(fēng)險(xiǎn)，找出克服這些風(fēng)險(xiǎn)的辦法；系統(tǒng)設(shè)計(jì)前和運(yùn)行前應(yīng)進(jìn)行靜態(tài)風(fēng)險(xiǎn)分析，以發(fā)現(xiàn)應(yīng)用軟件系統(tǒng)的潛在安全隱患；系統(tǒng)運(yùn)行過(guò)程中應(yīng)進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)分析，收集、記錄并分析系統(tǒng)運(yùn)行中來(lái)自各種安全檢測(cè)、監(jiān)控機(jī)制的安全相關(guān)信息，以發(fā)現(xiàn)應(yīng)用軟件系統(tǒng)運(yùn)行期的安全漏洞，并提供相應(yīng)的系統(tǒng)脆弱性分析報(bào)告；采用基于模型的風(fēng)險(xiǎn)分析工具，通過(guò)收集數(shù)據(jù)、分析數(shù)據(jù)

14、、輸出數(shù)據(jù)，確定其面臨威脅的嚴(yán)重性等級(jí)和可能性等，完成風(fēng)險(xiǎn)分析與評(píng)估，并確定相應(yīng)的安全對(duì)策；按照不同用戶數(shù)據(jù)的不同安全保護(hù)等級(jí)要求，在確定應(yīng)用軟件系統(tǒng)所存儲(chǔ)、傳輸和處理的數(shù)據(jù)類型的基礎(chǔ)上，進(jìn)一步確定應(yīng)用軟件系統(tǒng)應(yīng)具有的安全保護(hù)等級(jí)。安全需求應(yīng)全面描述應(yīng)用軟件系統(tǒng)需要解決的全部安全問(wèn)題。根據(jù)應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的地位和作用（參見(jiàn)附錄 A），明確說(shuō)明應(yīng)用軟件系統(tǒng)安全對(duì)整個(gè)信息系統(tǒng)安全的影響和作用。應(yīng)根據(jù)風(fēng)險(xiǎn)分析所確定的風(fēng)險(xiǎn)情況，從以下方面考慮應(yīng)用軟件系統(tǒng)的安全需求：應(yīng)用軟件系統(tǒng)安全運(yùn)行的環(huán)境條件需求；應(yīng)用軟件系統(tǒng)的整體安全需求；應(yīng)用軟件系統(tǒng)所實(shí)現(xiàn)的功能的安全需求；應(yīng)用軟件系統(tǒng)所需要的安全服務(wù)支

15、持的強(qiáng)度/等級(jí)的需求；應(yīng)用軟件系統(tǒng)的其它安全需求。應(yīng)用軟件系統(tǒng)安全方案應(yīng)用軟件系統(tǒng)安全方案，是實(shí)現(xiàn)安全需求的具體方法的描述。安全方案的設(shè)計(jì)應(yīng)滿足以下要求：安全方案應(yīng)對(duì)安全需求中的每一安全要求提供相應(yīng)的安全策略和安全機(jī)制，并對(duì)其進(jìn)行詳細(xì)描述；安全方案應(yīng)具有完備性，并以系統(tǒng)化方法進(jìn)行安全設(shè)計(jì),使所有安全策略和安全機(jī)制構(gòu)成一個(gè)有機(jī)的整體；安全策略和安全機(jī)制的選擇應(yīng)充分考慮安全強(qiáng)度的一致性,盡量采用具有相同安全等級(jí)的安全技術(shù)；與密碼支持相關(guān)的安全機(jī)制，無(wú)論是單獨(dú)實(shí)現(xiàn)（如加密機(jī)）還是用綜合的方法實(shí)現(xiàn)（如 CA系統(tǒng)），都應(yīng)具有相應(yīng)一致的安全強(qiáng)度/等級(jí)；某一特定安全要求的安全策略和安全機(jī)制，可在應(yīng)用軟件系統(tǒng)

16、中實(shí)現(xiàn)，也可在支持應(yīng)用軟件系統(tǒng)安全運(yùn)行的信息系統(tǒng)的其它各組成部分（比如物理、操作系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)庫(kù)管理系統(tǒng)層等）的安全機(jī)制中實(shí)現(xiàn),或者在系統(tǒng)各層分別實(shí)現(xiàn)。對(duì)此，安全方案應(yīng)給出明確規(guī)定。應(yīng)用軟件系統(tǒng)環(huán)境安全應(yīng)用軟件系統(tǒng)安全是建立在其運(yùn)行環(huán)境安全的基礎(chǔ)之上的。按照關(guān)聯(lián)/互補(bǔ)的原則，應(yīng)用軟件系統(tǒng)的安全要求可以在應(yīng)用軟件系統(tǒng)中實(shí)現(xiàn)，也可以在支持應(yīng)用軟件系統(tǒng)運(yùn)行的低層環(huán)境中實(shí)現(xiàn)。應(yīng)用軟件系統(tǒng)的運(yùn)行環(huán)境應(yīng)滿足以下安全要求：支持應(yīng)用軟件系統(tǒng)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)應(yīng)具有不低于應(yīng)用軟件系統(tǒng)的安全保護(hù)等級(jí)，具體要求見(jiàn)GB/T 20270-2006 第 7 章；支持應(yīng)用軟件系統(tǒng)運(yùn)行的操作系統(tǒng)應(yīng)具有不低于應(yīng)用軟件系統(tǒng)的安

17、全保護(hù)等級(jí)，具體要求見(jiàn)GB/T 20272-2006 第 4 章；支持應(yīng)用軟件系統(tǒng)運(yùn)行的數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)具有不低于應(yīng)用軟件系統(tǒng)的安全保護(hù)等級(jí)，具體要求見(jiàn) GB/T 20273-2006 第 5 章；支持應(yīng)用軟件系統(tǒng)運(yùn)行的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的物理安全應(yīng)具有不低于應(yīng)用軟件系統(tǒng)的安全保護(hù)等級(jí)，具體要求見(jiàn) GB/T 20271-2006 第 6 章。應(yīng)用軟件系統(tǒng)業(yè)務(wù)連續(xù)性應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性要求是信息系統(tǒng)可用性要求的重要組成部分。業(yè)務(wù)連續(xù)性要求是一種相對(duì)獨(dú)立的安全屬性，需要通過(guò)對(duì)信息系統(tǒng)實(shí)行災(zāi)難備份與恢復(fù)來(lái)支持。實(shí)現(xiàn)不同的業(yè)務(wù)連續(xù)性要求應(yīng)考慮以下因素：業(yè)務(wù)連續(xù)性要求通常以允許系統(tǒng)中斷運(yùn)行的時(shí)間間隔為

18、依據(jù)進(jìn)行等級(jí)劃分；業(yè)務(wù)連續(xù)性要求還應(yīng)包括中斷后的恢復(fù)程度要求和安全系統(tǒng)更新前后的連續(xù)性要求；實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的信息系統(tǒng)災(zāi)難備份與恢復(fù)是一種相對(duì)獨(dú)立的信息系統(tǒng)安全機(jī)制；實(shí)現(xiàn)不同等級(jí)的業(yè)務(wù)連續(xù)性要求需要有相應(yīng)等級(jí)的災(zāi)難備份與恢復(fù)系統(tǒng)支持；信息系統(tǒng)的安全保護(hù)等級(jí)與業(yè)務(wù)連續(xù)性等級(jí)具有相對(duì)的獨(dú)立性；災(zāi)難備份與恢復(fù)系統(tǒng)需要對(duì)所處理的信息進(jìn)行與該信息在相應(yīng)信息系統(tǒng)中相同的安全保護(hù)。應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)安全等級(jí)劃分應(yīng)用軟件系統(tǒng)的安全等級(jí)是相應(yīng)信息系統(tǒng)安全等級(jí)劃分的基本依據(jù)。一個(gè)應(yīng)用軟件系統(tǒng)可以是單一安全等級(jí)的系統(tǒng)，也可以是包含多個(gè)安全等級(jí)的系統(tǒng)。對(duì)于一個(gè)支持復(fù)雜業(yè)務(wù)的應(yīng)用軟件系統(tǒng)，根據(jù)其業(yè)務(wù)應(yīng)用及數(shù)據(jù)信息

19、所需要的不同的安全保護(hù)等級(jí)，應(yīng)將應(yīng)用軟件系統(tǒng)及相應(yīng)的信息系統(tǒng)劃分為不同的安全域/子系統(tǒng)，實(shí)現(xiàn)不同等級(jí)的安全保護(hù)。應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級(jí)分為單一安全等級(jí)和多安全等級(jí)，其安全等級(jí)的劃分應(yīng)滿足以下要求：?jiǎn)我话踩燃?jí)應(yīng)用軟件系統(tǒng)：按照業(yè)務(wù)應(yīng)用確定的安全等級(jí)的要求，應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為一個(gè)安全域，或者說(shuō)整個(gè)信息系統(tǒng)具有相同的安全保護(hù)等級(jí)。在這種情況下， 應(yīng)用軟件系統(tǒng)實(shí)現(xiàn)確定安全等級(jí)的安全功能要求和安全保證要求。同時(shí)，支持應(yīng)用軟件系統(tǒng)運(yùn)行的計(jì)算機(jī)及網(wǎng)絡(luò)的硬件系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和網(wǎng)絡(luò)軟件等應(yīng)提供相應(yīng)安全等級(jí)的安全支持。多安全等級(jí)應(yīng)用軟件系統(tǒng)：按照不同業(yè)務(wù)應(yīng)用的不同安全等

20、級(jí)的要求，應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為多個(gè)安全域/子系統(tǒng)，或者說(shuō)，整個(gè)信息系統(tǒng)具有多個(gè)不同的安全保護(hù)等級(jí)。在這種情況下，各個(gè)安全域/子系統(tǒng)所屬的應(yīng)用軟件系統(tǒng)實(shí)現(xiàn)其各自確定的安全功能要求和 安全保證要求。同時(shí)，各個(gè)安全域/子系統(tǒng)中支持應(yīng)用軟件系統(tǒng)運(yùn)行的計(jì)算機(jī)及網(wǎng)絡(luò)的硬件 系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和網(wǎng)絡(luò)軟件系統(tǒng)等應(yīng)提供相應(yīng)安全等級(jí)的安全性支持。應(yīng)用軟件系統(tǒng)安全技術(shù)分等級(jí)要求第一級(jí)用戶自主保護(hù)級(jí)基礎(chǔ)安全技術(shù)要求對(duì)第一級(jí)安全的應(yīng)用軟件系統(tǒng)應(yīng)：按 4.1 的要求，進(jìn)行風(fēng)險(xiǎn)分析并確定安全需求；按 4.2 的要求，設(shè)計(jì)應(yīng)用軟件系統(tǒng)安全方案；按 4.3 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的環(huán)境安全；按

21、4.4 的要求，確定應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性要求及相應(yīng)的災(zāi)難備份與恢復(fù)要求；按 4.5 的要求，劃分應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級(jí)。安全功能技術(shù)要求備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6.1.2.4 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的備份與故障恢復(fù)功能。用戶身份鑒別用戶身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)按 GB/T 20271-2006 中 6.1.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的身份鑒別功能：對(duì)應(yīng)用軟件系統(tǒng)的注冊(cè)用戶，按以下要求設(shè)計(jì)和實(shí)現(xiàn)標(biāo)識(shí)功能：凡需進(jìn)入應(yīng)用軟件系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識(shí)（建立注冊(cè)賬號(hào)）；應(yīng)用軟件系統(tǒng)的用戶標(biāo)識(shí)一般使用用戶名和

22、用戶標(biāo)識(shí)符（UID）；對(duì)登錄到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求進(jìn)行身份的真實(shí)性鑒別：采用口令進(jìn)行鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；口令應(yīng)是不可見(jiàn)的，并在存儲(chǔ)時(shí)有安全保護(hù)；通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作等措施來(lái)實(shí)現(xiàn)鑒別失敗的處理；對(duì)注冊(cè)到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)要求者用戶。自主訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中 6.1.

23、3.2 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的自主訪問(wèn)控制功能：命名用戶以用戶/用戶組的身份規(guī)定并控制對(duì)客體的訪問(wèn)，并阻止非授權(quán)用戶對(duì)客體的訪問(wèn)；提供用戶按照確定的訪問(wèn)控制策略對(duì)自身創(chuàng)建的客體的訪問(wèn)進(jìn)行控制的功能，包括：客體創(chuàng)建者有權(quán)以各種操作方式訪問(wèn)自身所創(chuàng)建的客體；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“訪問(wèn)授權(quán)”，使其可對(duì)客體擁有者創(chuàng)建的指定客體能按授權(quán)的操作方式進(jìn)行訪問(wèn)；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“授權(quán)傳播”，使其可以獲得將該擁有者的指定客體的訪問(wèn)權(quán)限授予其它用戶的權(quán)限；客體創(chuàng)建者有權(quán)收回其所授予其它用戶的“訪問(wèn)授權(quán)”和“授權(quán)傳播”；未經(jīng)授權(quán)的用戶不得以任何操作方式訪問(wèn)客體；授權(quán)用戶不得以

24、未授權(quán)的操作方式訪問(wèn)客體；以文件形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，按 GB/T 20272-2006 中 4.1.1.2 的要求，可實(shí)現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制；以數(shù)據(jù)庫(kù)形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)的支持下，按 GB/T 20273-2006 中5.1.1.2 的要求，可實(shí)現(xiàn)對(duì)表級(jí)粒度的自主訪問(wèn)控制；在應(yīng)用軟件系統(tǒng)中，通過(guò)設(shè)置自主訪問(wèn)控制的安全機(jī)制，可實(shí)現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制。用戶數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.1.3.3 的要求，設(shè)計(jì)和實(shí)現(xiàn)用戶公開(kāi)數(shù)據(jù)的完整性保護(hù)功能。SSOASS 自身保護(hù)要求SSF 物理安全保護(hù)應(yīng)按 GB/T 20

25、271-2006 中 6.1.4.1 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng) SSF 的物理安全保護(hù)，通過(guò)對(duì)物理攻擊的檢測(cè)，發(fā)現(xiàn)以物理方式的攻擊對(duì) SSF 造成的威脅和破壞。SSF 運(yùn)行安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.1.4.2 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng) SSF 的運(yùn)行安全保護(hù)：系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”。即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過(guò)安全規(guī)則的任何類型的入口和文檔中未說(shuō)明的任何模式的入口；安全結(jié)構(gòu)應(yīng)是一個(gè)獨(dú)立的、嚴(yán)格定義的系統(tǒng)軟件的子集，并應(yīng)防止外部干擾和破壞，如修改其代碼或數(shù)據(jù)結(jié)構(gòu)；提供設(shè)置和升級(jí)配置參數(shù)的機(jī)制。在初始化和對(duì)與安全有關(guān)的

26、數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前，應(yīng)對(duì)用戶和管理員的安全屬性應(yīng)進(jìn)行定義；在 SSOASS 失敗或中斷后，應(yīng)保護(hù)其以最小的損害得到恢復(fù)，并按照失敗保護(hù)中所描述的內(nèi)容， 實(shí)現(xiàn)對(duì) SSF 出現(xiàn)失敗時(shí)的處理。SSF 數(shù)據(jù)安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.1.4.3 的要求，對(duì)在 SSOASS 內(nèi)傳輸?shù)?SSF 數(shù)據(jù)，實(shí)現(xiàn) SSOASS 內(nèi) SSF數(shù)據(jù)傳輸?shù)幕颈Ｗo(hù)。SSOASS 資源利用應(yīng)按 GB/T 20271-2006 中 6.1.4.4 的要求，從以下方面實(shí)現(xiàn) SSOASS 的資源利用：通過(guò)一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障時(shí)，SSF 也能維持正常運(yùn)行；對(duì)主體使用 SSC 內(nèi)某個(gè)資源子

27、集，按有限服務(wù)優(yōu)先級(jí)，進(jìn)行 SSOASS 資源的管理和分配；按資源分配中最大限額的要求，進(jìn)行 SSOASS 資源的管理和分配，確保用戶和主體不會(huì)獨(dú)占某種受控資源。SSOASS 訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中 6.1.4.5 的要求，從以下方面實(shí)現(xiàn) SSOASS 的訪問(wèn)控制：按會(huì)話建立機(jī)制，對(duì)會(huì)話建立的管理進(jìn)行設(shè)計(jì)；按可選屬性范圍限定的要求，從訪問(wèn)方法、訪問(wèn)地址和訪問(wèn)時(shí)間等方面，對(duì)用來(lái)建立會(huì)話的安全屬性的范圍進(jìn)行限制；按多重并發(fā)會(huì)話限定中基本限定的要求，進(jìn)行會(huì)話管理的設(shè)計(jì)。在基于基本標(biāo)識(shí)的基礎(chǔ)上，SSF 應(yīng)限制系統(tǒng)的并發(fā)會(huì)話的最大次數(shù)，并就會(huì)話次數(shù)的限定數(shù)設(shè)置默認(rèn)值。SSOAS

28、S 設(shè)計(jì)和實(shí)現(xiàn)配置管理應(yīng)按 GB/T 20271-2006 中 6.1.5.1 的要求，提供基本的配置管理能力，即要求開(kāi)發(fā)者所使用的版本號(hào)與所表示的 SSOASS 樣本完全對(duì)應(yīng)。分發(fā)和操作應(yīng)按 GB/T 20271-2006 中 6.1.5.2 的要求，從以下方面實(shí)現(xiàn) SSOASS 的分發(fā)和操作：以文檔形式提供對(duì) SSOASS 安全地進(jìn)行分發(fā)的過(guò)程，對(duì)安裝、生成和啟動(dòng)并最終生成安全配置的過(guò)程進(jìn)行說(shuō)明。文檔中所描述的內(nèi)容應(yīng)包括：分發(fā)的過(guò)程；安全啟動(dòng)和操作的過(guò)程；在交付過(guò)程中，應(yīng)將系統(tǒng)的未授權(quán)修改風(fēng)險(xiǎn)控制到最低限度。包裝及安全分送和安裝過(guò)程中的安全性應(yīng)由最終用戶確認(rèn)；所有軟件應(yīng)提供安全安裝默認(rèn)值，

29、在客戶不做選擇時(shí)，使安全機(jī)制自動(dòng)地發(fā)揮作用；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)碼，應(yīng)在交付時(shí)處于非激活狀態(tài)，并在使用前由管理員激活；用戶文檔應(yīng)同交付的軟件一起包裝，并有相應(yīng)的規(guī)程確保交付的軟件是嚴(yán)格按照最新的版本制作的。開(kāi)發(fā)應(yīng)按 GB/T 20271-2006 中 6.1.5.3 的要求，從以下方面進(jìn)行 SSOASS 的開(kāi)發(fā)：按非形式化功能說(shuō)明、描述性高層設(shè)計(jì)、SSF 子集實(shí)現(xiàn)、SSF 內(nèi)部結(jié)構(gòu)模塊化、描述性低層設(shè)計(jì)和非形式化對(duì)應(yīng)性說(shuō)明的要求，進(jìn)行 SSOASS 的設(shè)計(jì)；開(kāi)發(fā)過(guò)程應(yīng)保護(hù)數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，多重輸入的正確處理，返回狀態(tài)的檢查，中間結(jié)果的檢查，合理值輸入檢查，事務(wù)處

30、理更新的正確性檢查等；通過(guò)對(duì)內(nèi)部代碼的檢查，解決潛在的安全缺陷，關(guān)閉或取消所有的后門；對(duì)交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書(shū)面的檢查，并將檢查結(jié)果告知用戶；由系統(tǒng)控制的敏感數(shù)據(jù)，如口令、密鑰等，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式存儲(chǔ)；應(yīng)以書(shū)面形式提供給用戶關(guān)于軟件所有權(quán)法律保護(hù)的指南。文檔應(yīng)按 GB/T 20271-2006 中 6.1.5.4 的要求，從以下方面編制 SSOASS 的文檔：用戶文檔應(yīng)提供關(guān)于不同類型用戶的可見(jiàn)的安全機(jī)制，并說(shuō)明它們的用途和提供有關(guān)它們使用的指南；安全管理員文檔應(yīng)提供有關(guān)如何設(shè)置、維護(hù)和分析系統(tǒng)安全的詳細(xì)說(shuō)明，以及與安全有關(guān)的管理員功能的詳細(xì)描述

31、，包括增加和刪除一個(gè)用戶、改變主、客體的安全屬性等；文檔中不應(yīng)提供任何一旦泄露將會(huì)危及本安全級(jí)范圍內(nèi)的系統(tǒng)安全的信息；有關(guān)安全的指令和文檔根據(jù)權(quán)限應(yīng)分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員；這些文檔應(yīng)為獨(dú)立的文檔，或作為獨(dú)立的章條插入到管理員指南和用戶指南中。生存周期支持應(yīng)按 GB/T 20271-2006 中 6.1.5.5 的要求，從以下方面實(shí)現(xiàn) SSOASS 的生存周期支持：按開(kāi)發(fā)者定義生存周期模型進(jìn)行 SSOASS 開(kāi)發(fā)；文檔應(yīng)詳細(xì)闡述安全啟動(dòng)和操作的過(guò)程，詳細(xì)說(shuō)明安全功能在啟動(dòng)、正常操作維護(hù)時(shí)是否能被撤消或修改，說(shuō)明在故障或系統(tǒng)出錯(cuò)時(shí)如何恢復(fù)系統(tǒng)至安全狀態(tài)。測(cè)試應(yīng)按 GB/T 2027

32、1-2006 中 6.1.5.6 的要求，從以下方面對(duì) SSOASS 進(jìn)行測(cè)試：通過(guò)一般功能測(cè)試，相符性獨(dú)立測(cè)試，確認(rèn) SSOASS 的功能與所要求功能的一致性；所有系統(tǒng)的安全特性，應(yīng)被全面測(cè)試；所有發(fā)現(xiàn)的漏洞應(yīng)被改正、消除或使其無(wú)效，并在消除漏洞后重新測(cè)試，以證實(shí)它們已被消除，且沒(méi)有引出新的漏洞；應(yīng)提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程、測(cè)試結(jié)果。SSOASS 安全管理應(yīng)根據(jù)本安全等級(jí)中安全功能技術(shù)要求所涉及的基礎(chǔ)安全技術(shù)要求、安全功能技術(shù)要求和安全保證技術(shù)要求所涉及的 SSOASS 自身保護(hù)、SSOASS 設(shè)計(jì)和實(shí)現(xiàn)等有關(guān)內(nèi)容，按 GB/T 20271-2006 中 6.1.6 的要求，

33、從以下方面實(shí)現(xiàn) SSOASS 的安全管理：對(duì)安全保證措施所涉及的 SSOASS 自身保護(hù)、SSOASS 設(shè)計(jì)和實(shí)現(xiàn)等有關(guān)內(nèi)容，以及與一般的安裝、配置等有關(guān)的功能，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度；對(duì) SSOASS 中的每個(gè)安全功能模塊，根據(jù)安全功能技術(shù)和安全保證技術(shù)所實(shí)現(xiàn)的安全功能，實(shí)現(xiàn) SSF 安全功能的管理。第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)基礎(chǔ)安全技術(shù)要求對(duì)第二級(jí)安全的應(yīng)用軟件系統(tǒng)應(yīng)：按 4.1 的要求，進(jìn)行風(fēng)險(xiǎn)分析并確定安全需求；按 4.2 的要求，設(shè)計(jì)應(yīng)用軟件系統(tǒng)安全方案；按 4.3 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的環(huán)境安全；按 4.4 的要求，確定應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性要求及相應(yīng)的災(zāi)難備

34、份與恢復(fù)要求；按 4.5 的要求，劃分應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級(jí)。安全功能技術(shù)要求安全性檢測(cè)分析應(yīng)按 GB/T 20271-2006 中 6.2.2.2 的要求，檢測(cè)分析應(yīng)用軟件系統(tǒng)的安全性，并結(jié)合計(jì)本級(jí)的的安全性要求加以改進(jìn)。安全審計(jì)應(yīng)按 GB/T 20271-2006 中 6.2.2.3 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的安全審計(jì)功能：安全審計(jì)功能的設(shè)計(jì)應(yīng)與用戶標(biāo)識(shí)與鑒別、自主訪問(wèn)控制等安全功能的設(shè)計(jì)緊密結(jié)合；提供審計(jì)日志，潛在侵害分析，基本審計(jì)查閱和有限審計(jì)查閱，安全審計(jì)事件選擇，以及受保護(hù)的審計(jì)蹤跡存儲(chǔ)等功能。備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6

35、.2.2.5 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的備份與故障恢復(fù)功能。用戶身份鑒別用戶身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)按 GB/T 20271-2006 中 6.2.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的用戶身份鑒別功能：對(duì)應(yīng)用軟件系統(tǒng)的注冊(cè)用戶，按以下要求設(shè)計(jì)和實(shí)現(xiàn)標(biāo)識(shí)功能：凡需進(jìn)入應(yīng)用軟件系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識(shí)（建立注冊(cè)賬號(hào)）；應(yīng)用軟件系統(tǒng)的用戶標(biāo)識(shí)一般使用用戶名和用戶標(biāo)識(shí)符（UID），并在應(yīng)用軟件系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶的唯一性標(biāo)識(shí)，以及用戶名或別名、UID 等之間的一致性；對(duì)登錄到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求進(jìn)行身份的真實(shí)性鑒別：采用強(qiáng)化管理的口令鑒別/基于令

36、牌的動(dòng)態(tài)口令鑒別/生物特征鑒別機(jī)制進(jìn)行用戶身份鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；鑒別信息應(yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)；通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作等措施來(lái)實(shí)現(xiàn)鑒別失敗的處理；對(duì)注冊(cè)到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)要求者用戶。自主訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中 6.2.3.2 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)

37、用軟件系統(tǒng)的自主訪問(wèn)控制功能：命名用戶以用戶的身份規(guī)定并控制對(duì)客體的訪問(wèn)，并阻止非授權(quán)用戶對(duì)客體的訪問(wèn)；提供用戶按照確定的訪問(wèn)控制策略對(duì)自身創(chuàng)建的客體的訪問(wèn)進(jìn)行控制的功能，包括：客體創(chuàng)建者有權(quán)以各種操作方式訪問(wèn)自身所創(chuàng)建的客體；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“訪問(wèn)授權(quán)”，使其可對(duì)客體擁有者創(chuàng)建的指定客體能按授權(quán)的操作方式進(jìn)行訪問(wèn)；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“授權(quán)傳播”，使其可以獲得將該擁有者的指定客體的訪問(wèn)權(quán)限授予其它用戶的權(quán)限；客體創(chuàng)建者有權(quán)收回其所授予其它用戶的“訪問(wèn)授權(quán)”和“授權(quán)傳播”；未經(jīng)授權(quán)的用戶不得以任何操作方式訪問(wèn)客體；授權(quán)用戶不得以未授權(quán)的操作方式訪問(wèn)客體；以文件形式存儲(chǔ)和操作

38、的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，按 GB/T 20272-2006 中 4.2.1.2 的要求，可實(shí)現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制；以數(shù)據(jù)庫(kù)形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)的支持下，按 GB/T 20273-2006 中5.2.1.2 的要求，可實(shí)現(xiàn)對(duì)表級(jí)/記錄、字段級(jí)粒度的自主訪問(wèn)控制；在應(yīng)用軟件系統(tǒng)中，通過(guò)設(shè)置自主訪問(wèn)控制的安全機(jī)制，可實(shí)現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制。用戶數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.3.3 的要求，設(shè)計(jì)和實(shí)現(xiàn)用戶一般數(shù)據(jù)的完整性保護(hù)功能。用戶數(shù)據(jù)保密性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.3.4 的要求，設(shè)計(jì)和實(shí)現(xiàn)用戶

39、一般數(shù)據(jù)的保密性保護(hù)功能。SSOASS 自身保護(hù)SSF 物理安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.4.1 的要求，實(shí)現(xiàn)應(yīng)用軟件系統(tǒng) SSF 的物理安全保護(hù)，通過(guò)對(duì)物理攻擊的檢測(cè)，發(fā)現(xiàn)以物理方式的攻擊對(duì) SSF 造成的威脅和破壞。SSF 運(yùn)行安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.4.2 的要求，從以下方面實(shí)現(xiàn)應(yīng)用軟件系統(tǒng) SSF 的運(yùn)行安全保護(hù)：系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”。即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過(guò)安全規(guī)則的任何類型的入口和文檔中未說(shuō)明的任何模式的入口；安全結(jié)構(gòu)應(yīng)是一個(gè)獨(dú)立的、嚴(yán)格定義的系統(tǒng)軟件的子集，并應(yīng)防止外部干擾和破壞，如

40、修改其代碼或數(shù)據(jù)結(jié)構(gòu)；提供設(shè)置和升級(jí)配置參數(shù)的機(jī)制。在初始化和對(duì)與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前，應(yīng)對(duì)用戶和管理員的安全屬性應(yīng)進(jìn)行定義；當(dāng)應(yīng)用軟件系統(tǒng)安裝完成后，在普通用戶訪問(wèn)之前，系統(tǒng)應(yīng)配置好初始用戶和管理員職責(zé)、審計(jì)參數(shù)、系統(tǒng)審計(jì)設(shè)置以及對(duì)客體的合適的訪問(wèn)控制；在 SSOASS 失敗或中斷后，應(yīng)保護(hù)其以最小的損害得到恢復(fù)，并按照失敗保護(hù)中所描述的內(nèi)容， 實(shí)現(xiàn)對(duì) SSF 出現(xiàn)失敗時(shí)的處理。SSF 數(shù)據(jù)安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.4.3 的要求，對(duì)在 SSOASS 內(nèi)傳輸?shù)?SSF 數(shù)據(jù)進(jìn)行以下安全保護(hù)：實(shí)現(xiàn) SSOASS 內(nèi) SSF 數(shù)據(jù)傳輸?shù)幕颈Ｗo(hù)；SSOA

41、SS 內(nèi) SSF 數(shù)據(jù)復(fù)制的一致性保護(hù)。SSOASS 資源利用應(yīng)按 GB/T 20271-2006 中 6.2.4.4 的要求，從以下方面實(shí)現(xiàn) SSOASS 的資源利用：通過(guò)一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障時(shí)，SSF 也能維持正常運(yùn)行；對(duì) SSC 內(nèi)某個(gè)資源子集，按有限服務(wù)優(yōu)先級(jí)，進(jìn)行 SSOASS 資源的管理和分配；按資源分配中最大限額的要求，進(jìn)行 SSOASS 資源的管理和分配，確保用戶和主體不會(huì)獨(dú)占某種受控資源；確保在被授權(quán)的主體發(fā)出請(qǐng)求時(shí)，資源能被訪問(wèn)和利用；當(dāng)系統(tǒng)資源的服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)和報(bào)警。SSOASS 訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中

42、 6.2.4.5 的要求，從以下方面實(shí)現(xiàn) SSOASS 的訪問(wèn)控制：按會(huì)話建立機(jī)制的要求，設(shè)計(jì)會(huì)話建立的管理；在建立 SSOASS 會(huì)話之前，應(yīng)鑒別用戶的身份， 并不允許鑒別機(jī)制本身被旁路；按可選屬性范圍限定的要求，從訪問(wèn)方法、訪問(wèn)地址和訪問(wèn)時(shí)間等方面，對(duì)用來(lái)建立會(huì)話的安全屬性的范圍進(jìn)行限制；按多重并發(fā)會(huì)話限定中基本限定的要求，進(jìn)行會(huì)話管理的設(shè)計(jì)；在基于基本標(biāo)識(shí)的基礎(chǔ)上，SSF 應(yīng)限制系統(tǒng)的并發(fā)會(huì)話的最大次數(shù)，并就會(huì)話次數(shù)的限定數(shù)設(shè)置默認(rèn)值。在用戶成功登錄系統(tǒng)后，SSOASS 應(yīng)記錄并向用戶顯示以下數(shù)據(jù)：日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；上次成功訪問(wèn)系統(tǒng)以來(lái)用戶身份鑒別失敗的情況；應(yīng)顯

43、示口令到期的天數(shù)；成功或不成功的事件次數(shù)的顯示可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。SSOASS 設(shè)計(jì)和實(shí)現(xiàn)配置管理應(yīng)按 GB/T 20271-2006 中 6.2.5.1 的要求，從以下方面實(shí)現(xiàn) SSOASS 的配置管理：在配置管理能力方面，實(shí)現(xiàn)對(duì)版本號(hào)、配置項(xiàng)、授權(quán)控制等方面的管理；配置管理范圍方面，將 SSOASS 的實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下；在系統(tǒng)的整個(gè)生存期，即在它的開(kāi)發(fā)、測(cè)試和運(yùn)行維護(hù)期間，只有被授權(quán)的代碼和代碼修改才允許被加進(jìn)已交付的源碼的基本部分；所有改變應(yīng)被記載和檢查，以確保不危及系統(tǒng)的安全；通過(guò)技術(shù)、物理和規(guī)章方面

44、的結(jié)合，充分保護(hù)生成系統(tǒng)所用到的源碼免遭未授權(quán)的修改和毀壞；在軟件配置管理系統(tǒng)中，應(yīng)包含以下方面的工具：從源碼產(chǎn)生出系統(tǒng)新版本；鑒定新生成的系統(tǒng)版本；保護(hù)源碼免遭未授權(quán)修改。分發(fā)和操作應(yīng)按 GB/T 20271-2006 中 6.2.5.2 的要求，從以下方面實(shí)現(xiàn) SSOASS 的分發(fā)和操作：以文檔形式提供對(duì) SSOASS 安全地進(jìn)行分發(fā)的過(guò)程，對(duì)安裝、生成和啟動(dòng)并最終生成安全配置的過(guò)程進(jìn)行說(shuō)明。文檔中所描述的內(nèi)容應(yīng)包括：提供分發(fā)的過(guò)程；安全啟動(dòng)和操作的過(guò)程；建立日志的過(guò)程；在交付過(guò)程中，應(yīng)將系統(tǒng)的未授權(quán)修改風(fēng)險(xiǎn)控制到最低限度。包裝及安全分送和安裝過(guò)程中的安全性應(yīng)由最終用戶確認(rèn)；所有軟件應(yīng)提供

45、安全安裝默認(rèn)值，在客戶不做選擇時(shí)，使安全機(jī)制自動(dòng)地發(fā)揮作用；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)碼，應(yīng)在交付時(shí)處于非激活狀態(tài)，并在使用前由管理員激活；用戶文檔應(yīng)同交付的軟件一起包裝，并有相應(yīng)的規(guī)程確保交付的軟件是嚴(yán)格按照最新的版本制作的。開(kāi)發(fā)應(yīng)按 GB/T 20271-2006 中 6.2.5.3 的要求，從以下方面進(jìn)行 SSOASS 的開(kāi)發(fā)：按非形式化安全策略模型、完全定義的外部接口、描述性高層設(shè)計(jì)、SSF 子集實(shí)現(xiàn)、SSF 內(nèi)部結(jié)構(gòu)層次化、描述性低層設(shè)計(jì)、非形式化對(duì)應(yīng)性說(shuō)明的要求，進(jìn)行 SSOASS 的設(shè)計(jì)；系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)應(yīng)保護(hù)數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，多重輸入的正確處理， 返回

46、狀態(tài)的檢查，中間結(jié)果的檢查，合理值輸入檢查，事務(wù)處理更新的正確性檢查等；在內(nèi)部代碼檢查時(shí)，應(yīng)解決潛在的安全缺陷，關(guān)閉或取消所有的后門；交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書(shū)面的檢查，并將檢查結(jié)果告知用戶；由系統(tǒng)控制的敏感數(shù)據(jù)，如口令、密鑰等，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式存儲(chǔ)；應(yīng)以書(shū)面形式提供給用戶關(guān)于軟件所有權(quán)法律保護(hù)的指南。文檔應(yīng)按 GB/T 20271-2006 中 6.2.5.4 的要求，從以下方面編制 SSOASS 的文檔：用戶文檔應(yīng)提供關(guān)于不同類型用戶的可見(jiàn)的安全機(jī)制，并說(shuō)明它們的用途和提供有關(guān)它們使用的指南；安全管理員文檔應(yīng)提供有關(guān)如何設(shè)置、維護(hù)和分析系統(tǒng)安全的

47、詳細(xì)說(shuō)明，包括當(dāng)運(yùn)行一個(gè)安全設(shè)備時(shí)，需要控制的有關(guān)功能和特權(quán)的警告，以及與安全有關(guān)的管理員功能的詳細(xì)描述，包括增加和刪除一個(gè)用戶、改變主、客體的安全屬性等；文檔中不應(yīng)提供任何一旦泄露將會(huì)危及本安全級(jí)范圍內(nèi)的系統(tǒng)安全的信息；有關(guān)安全的指令和文檔根據(jù)權(quán)限應(yīng)分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員；這些文檔應(yīng)為獨(dú)立的文檔，或作為獨(dú)立的章插入到管理員指南和用戶指南中；提供關(guān)于所有審計(jì)工具的文檔，包括為檢查和保持審計(jì)文件所推薦的過(guò)程、針對(duì)每種審計(jì)事件的詳細(xì)審計(jì)記錄、為周期性備份和刪除審計(jì)記錄所推薦的過(guò)程等；提供如何進(jìn)行系統(tǒng)自我評(píng)估（帶有網(wǎng)絡(luò)管理、口令要求、撥號(hào)訪問(wèn)控制、意外事故計(jì)劃的安全報(bào)告）和為災(zāi)害恢復(fù)

48、計(jì)劃所做的建議，以及描述普通入侵技術(shù)、其它威脅及其檢查和阻止的方法。生存周期支持應(yīng)按 GB/T 20271-2006 中 6.2.5.5 的要求，從以下方面實(shí)現(xiàn) SSOASS 的生存周期支持：按開(kāi)發(fā)者定義生存周期模型明確定義開(kāi)發(fā)工具的要求進(jìn)行 SSOASS 開(kāi)發(fā)，并提供開(kāi)發(fā)過(guò)程中的安全措施說(shuō)明；文檔應(yīng)詳細(xì)闡述安全啟動(dòng)和操作的過(guò)程，詳細(xì)說(shuō)明安全功能在啟動(dòng)、正常操作維護(hù)時(shí)是否能被撤消或修改，說(shuō)明在故障或系統(tǒng)出錯(cuò)時(shí)如何恢復(fù)系統(tǒng)至安全狀態(tài)；如果系統(tǒng)含有加強(qiáng)安全性的硬件，那么管理員、終端用戶或自動(dòng)的診斷測(cè)試，應(yīng)能在各自的操作環(huán)境中運(yùn)行它并詳細(xì)說(shuō)明操作過(guò)程。測(cè)試應(yīng)按 GB/T 20271-2006 中 6

49、.2.5.6 的要求，從以下方面對(duì) SSOASS 進(jìn)行測(cè)試：通過(guò)范圍證據(jù)和范圍分析，高層設(shè)計(jì)的測(cè)試，一般功能測(cè)試和相符獨(dú)立性測(cè)試，確認(rèn) SSOASS 的功能與所要求功能的一致性；所有系統(tǒng)的安全特性，應(yīng)被全面測(cè)試，包括查找漏洞，如允許違反系統(tǒng)訪問(wèn)控制要求、允許違反資源訪問(wèn)控制要求、允許拒絕服務(wù)、允許驗(yàn)證數(shù)據(jù)進(jìn)行未授權(quán)訪問(wèn)等；所有發(fā)現(xiàn)的漏洞應(yīng)被改正、消除或使其無(wú)效，并在消除漏洞后重新測(cè)試，以證實(shí)它們已被消除， 且沒(méi)有引出新的漏洞；應(yīng)提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程、測(cè)試結(jié)果。脆弱性評(píng)定應(yīng)按 GB/T 20271-2006 中 6.2.5.7 的要求，從以下方面對(duì) SSOASS 進(jìn)行脆弱性評(píng)

50、定：對(duì)防止誤用的評(píng)定，通過(guò)對(duì)文檔的檢查，查找 SSOASS 以不安全的方式進(jìn)行使用或配置而不為人們所察覺(jué)的情況；對(duì) SSOASS 安全功能強(qiáng)度評(píng)估，通過(guò)對(duì)安全機(jī)制的安全行為的合格性或統(tǒng)計(jì)結(jié)果的分析，證明其達(dá)到或超過(guò)安全目標(biāo)要求所定義的最低強(qiáng)度；開(kāi)發(fā)者脆弱性分析，通過(guò)確定明顯的安全脆弱性的存在，并確認(rèn)在所期望的環(huán)境中所存在的脆弱性不會(huì)被利用。SSOASS 安全管理應(yīng)根據(jù)本安全等級(jí)中安全功能技術(shù)要求所涉及的基礎(chǔ)安全技術(shù)要求、安全功能技術(shù)要求和安全保證技術(shù)要求所涉及的 SSOASS 自身保護(hù)、SSOASS 設(shè)計(jì)和實(shí)現(xiàn)等有關(guān)內(nèi)容，按 GB/T 20271-2006 中 6.2.6 的要求，從以下方面實(shí)

51、現(xiàn) SSOASS 的安全管理：對(duì)安全保證措施所涉及的 SSOASS 自身保護(hù)、SSOASS 設(shè)計(jì)和實(shí)現(xiàn)等有關(guān)內(nèi)容，以及與一般的安裝、配置等有關(guān)的功能，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度；對(duì) SSOASS 中的每個(gè)安全功能模塊，根據(jù)安全功能技術(shù)和安全保證技術(shù)所實(shí)現(xiàn)的安全功能，實(shí)現(xiàn) SSF 安全功能的管理；對(duì) SSOASS 中的每個(gè)安全功能模塊，根據(jù)安全功能技術(shù)和安全保證技術(shù)所涉及的安全屬性，從管理安全屬性、安全的安全屬性、靜態(tài)屬性初始化、安全屬性終止和安全屬性撤消等方面， 實(shí)現(xiàn) SSF 安全屬性的安全管理；對(duì) SSOASS 中的每個(gè)安全功能模塊，根據(jù)安全功能技術(shù)和安全保證技術(shù)所涉及的安全數(shù)據(jù)

52、，從管理 SSF 數(shù)據(jù)和 SSF 數(shù)據(jù)界限的管理等方面，實(shí)現(xiàn) SSF 安全數(shù)據(jù)的安全管理。第三級(jí)安全標(biāo)記保護(hù)級(jí)基礎(chǔ)安全技術(shù)要求對(duì)第三級(jí)安全的應(yīng)用軟件系統(tǒng)應(yīng)：按 4.1 的要求，進(jìn)行風(fēng)險(xiǎn)分析并確定安全需求；按 4.2 的要求，設(shè)計(jì)應(yīng)用軟件系統(tǒng)安全方案；按 4.3 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的環(huán)境安全；按 4.4 的要求，確定應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性要求及相應(yīng)的災(zāi)難備份與恢復(fù)要求；按 4.5 的要求，劃分應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級(jí)。安全功能技術(shù)要求安全性檢測(cè)分析應(yīng)按 GB/T 20271-2006 中 6.3.2.2 的要求，檢測(cè)分析應(yīng)用軟件系統(tǒng)的安全性，并結(jié)合計(jì)本級(jí)的的安全性要求加

53、以改進(jìn)。安全審計(jì)應(yīng)按 GB/T 20271-2006 中 6.3.2.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的安全審計(jì)功能：安全審計(jì)功能的設(shè)計(jì)應(yīng)與用戶標(biāo)識(shí)與鑒別、自主訪問(wèn)控制、標(biāo)記與強(qiáng)制訪問(wèn)控制等安全功能的設(shè)計(jì)緊密結(jié)合；提供審計(jì)日志、實(shí)時(shí)報(bào)警生成，潛在侵害分析、基于異常檢測(cè)，基本審計(jì)查閱、有限審計(jì)查閱和可選審計(jì)查閱，安全審計(jì)事件選擇，以及受保護(hù)的審計(jì)蹤跡存儲(chǔ)和審計(jì)數(shù)據(jù)的可用性確保等功能；對(duì)與標(biāo)識(shí)及強(qiáng)制訪問(wèn)控制等安全機(jī)制有關(guān)的內(nèi)容，如敏感標(biāo)記的操作等進(jìn)行審計(jì)；對(duì)網(wǎng)絡(luò)環(huán)境下運(yùn)行的應(yīng)用軟件系統(tǒng)，應(yīng)建立統(tǒng)一管理和控制的安全審計(jì)機(jī)制。備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6.3.

54、2.6 的要求，設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的備份與故障恢復(fù)功能。用戶身份鑒別用戶身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)按 GB/T 20271-2006 中 6.3.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的用戶身份鑒別功能：對(duì)應(yīng)用軟件系統(tǒng)的注冊(cè)用戶，按以下要求設(shè)計(jì)和實(shí)現(xiàn)標(biāo)識(shí)功能：凡需進(jìn)入應(yīng)用軟件系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識(shí)（建立注冊(cè)賬號(hào)）；應(yīng)用軟件系統(tǒng)的用戶標(biāo)識(shí)一般使用用戶名和用戶標(biāo)識(shí)符（UID），并在應(yīng)用軟件系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶的唯一性標(biāo)識(shí)，以及用戶名或別名、UID 等之間的一致性；對(duì)登錄到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求進(jìn)行身份的真實(shí)性鑒別：采用強(qiáng)化管理的口令鑒別/基于令牌的動(dòng)

55、態(tài)口令鑒別/生物特征鑒別/數(shù)字證書(shū)鑒別進(jìn)行用戶身份鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；鑒別信息應(yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)應(yīng)按 GB/T 20271-2006 中 6.3.3.9 的要求， 用加密方法進(jìn)行安全保護(hù)；通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作等措施來(lái)實(shí)現(xiàn)鑒別失敗的處理；對(duì)注冊(cè)到應(yīng)用軟件系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)要求者用戶。抗抵賴抗原發(fā)抵賴：

56、對(duì)于在網(wǎng)絡(luò)環(huán)境進(jìn)行數(shù)據(jù)交換的情況，應(yīng)按 GB/T 20271-2006 中 6.3.3.2 a） 的要求，通過(guò)提供選擇性原發(fā)證據(jù)，實(shí)現(xiàn)抗原發(fā)抵賴功能；抗接收抵賴：對(duì)于在網(wǎng)絡(luò)環(huán)境進(jìn)行數(shù)據(jù)交換的情況，應(yīng)按 GB/T 20271-2006 中 6.3.3.2 b） 的要求，通過(guò)提供選擇性接收證據(jù)，實(shí)現(xiàn)抗接收抵賴功能。自主訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中 6.3.3.3 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的自主訪問(wèn)控制功能：命名用戶以用戶的身份規(guī)定并控制對(duì)客體的訪問(wèn)，并阻止非授權(quán)用戶對(duì)客體的訪問(wèn)；提供用戶按照確定的訪問(wèn)控制策略對(duì)自身創(chuàng)建的客體的訪問(wèn)進(jìn)行控制的功能，包括：客體創(chuàng)建者

57、有權(quán)以各種操作方式訪問(wèn)自身所創(chuàng)建的客體；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“訪問(wèn)授權(quán)”，使其可對(duì)客體擁有者創(chuàng)建的指定客體能按授權(quán)的操作方式進(jìn)行訪問(wèn)；客體創(chuàng)建者有權(quán)對(duì)其它用戶進(jìn)行“授權(quán)傳播”，使其可以獲得將該擁有者的指定客體的訪問(wèn)權(quán)限授予其它用戶的權(quán)限；客體創(chuàng)建者有權(quán)收回其所授予其它用戶的“訪問(wèn)授權(quán)”和“授權(quán)傳播”，并對(duì)授權(quán)傳播進(jìn)行限制，對(duì)不可傳播的授權(quán)進(jìn)行明確定義，由系統(tǒng)自動(dòng)檢查并限制這些授權(quán)的傳播；未經(jīng)授權(quán)的用戶不得以任何操作方式訪問(wèn)客體；授權(quán)用戶不得以未授權(quán)的操作方式訪問(wèn)客體；以文件形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，按 GB/T 20272-2006 中 4.3.1.2 的要求，可實(shí)

58、現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制；以數(shù)據(jù)庫(kù)形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)的支持下，按 GB/T 20273-2006 中5.3.1.2 的要求，可實(shí)現(xiàn)對(duì)表級(jí)/記錄、字段級(jí)粒度的自主訪問(wèn)控制；在應(yīng)用軟件系統(tǒng)中，通過(guò)設(shè)置自主訪問(wèn)控制安全機(jī)制，可實(shí)現(xiàn)文件級(jí)粒度的自主訪問(wèn)控制。標(biāo)記應(yīng)按 GB/T 20271-2006 中 6.3.3.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)主、客體標(biāo)記功能：用戶的敏感標(biāo)記，應(yīng)在用戶建立注冊(cè)賬戶后由系統(tǒng)安全員通過(guò) SSOASS 所提供的安全員界面操作進(jìn)行標(biāo)記；客體的敏感標(biāo)記，應(yīng)在數(shù)據(jù)輸入到由 SSOASS 安全功能的控制范圍內(nèi)時(shí)，以默認(rèn)方式生成或由安全員通過(guò)操作界面進(jìn)行標(biāo)

59、記。強(qiáng)制訪問(wèn)控制應(yīng)按 GB/T 20271-2006 中 6.3.3.5 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)應(yīng)用軟件系統(tǒng)的強(qiáng)制訪問(wèn)控制功能：按確定的強(qiáng)制訪問(wèn)控制安全策略，設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的強(qiáng)制訪問(wèn)控制功能；以文件形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，按 GB/T 20272-2006 中 4.3.1.4 的要求，可實(shí)現(xiàn)文件級(jí)粒度的強(qiáng)制訪問(wèn)控制；以數(shù)據(jù)庫(kù)形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)的支持下，按 GB/T 20273-2006 中5.3.1.4 的要求，可實(shí)現(xiàn)表/記錄、字段級(jí)粒度的強(qiáng)制訪問(wèn)控制；在應(yīng)用軟件系統(tǒng)中，在 PMI（授權(quán)管理基礎(chǔ)設(shè)施）支持下，可實(shí)現(xiàn)文件級(jí)粒度的強(qiáng)制訪問(wèn)控制；將

60、強(qiáng)制訪問(wèn)控制的范圍應(yīng)限定在所定義的主體與客體；將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計(jì)管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員來(lái)承擔(dān)，按最小授權(quán)原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的最小權(quán)限， 并在它們之間形成相互制約的關(guān)系。用戶數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.3.7 的要求，設(shè)計(jì)和實(shí)現(xiàn)用戶重要數(shù)據(jù)的完整性保護(hù)功能。用戶數(shù)據(jù)保密性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.3.8 的要求，設(shè)計(jì)和實(shí)現(xiàn)用戶重要數(shù)據(jù)的保密性保護(hù)功能。SSOASS 自身保護(hù)SSF 物理安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.4.1 的要求，實(shí)