信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求

1、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求引言中華人民共和國計算機信息系統(tǒng)安全保護條例（國務(wù)院令第147號）明確規(guī)定我國“計算機信息系統(tǒng)實行安全等級保護”。依據(jù)國務(wù)院147號令要求制訂發(fā)布的強制性國家標(biāo)準(zhǔn)計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999）為計算機信息系統(tǒng)安全保護等級的劃分奠定了技術(shù)基礎(chǔ)。國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出實行信息安全等級保護，“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度”。關(guān)于信息安全等級保護工作的實施意見（公通字200466號）和信息安全等級保護管理

2、辦法（公通字200743號）確定了實施信息安全等級保護制度的原則工作職責(zé)劃分、實施要求和實施計劃，明確了開展信息安全等級保護工作的基本內(nèi)容、工作流程、工作方法等。上述信息安全等級保護相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺，為信息安全等級保護工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。2007年7月全國開展重要信息系統(tǒng)等級保護定級工作，標(biāo)志著信息安全等級保護工作在我國全面展開。在開展信息安全等級保護定級和備案工作基礎(chǔ)上，各單位、各部門正在按照信息安全等級保護有關(guān)政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，開展信息系統(tǒng)安全建設(shè)和加固工作，建立、健全信息安全管理制度，落實安全保護技術(shù)措施，全面貫徹落實信息安全等

3、級保護制度。為了配合信息系統(tǒng)安全建設(shè)和加固工作，特制訂本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)規(guī)范了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求，包括第一級至第五級系統(tǒng)安全保護環(huán)境的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計技術(shù)要求，以及定級系統(tǒng)互聯(lián)的設(shè)計技術(shù)要求。涉及物理安全、安全管理、安全運維等方面的要求分別參見參考文獻9、2、7、10等。進行安全技術(shù)設(shè)計時，要根據(jù)信息系統(tǒng)定級情況，確定相應(yīng)安全策略，采取相應(yīng)級別的安全保護措施。在第五章至第九章中，每一級系統(tǒng)安全保護環(huán)境設(shè)計比較低一級系統(tǒng)安全保護環(huán)境設(shè)計所增加和增強的部分，用“黑體”表示。信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求1范圍本標(biāo)準(zhǔn)依據(jù)國家信

4、息安全等級保護的要求，規(guī)范了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求。本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務(wù)機構(gòu)開展信息系統(tǒng)等級保護安全技術(shù)方案的設(shè)計和實施，也可作為信息安全職能部門進行監(jiān)督、檢查和指導(dǎo)的依據(jù)。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則3術(shù)語和定義GB17859-1999確立的以

5、及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。定級系統(tǒng)classifiedsystem按照參考文獻11已確定安全保護等級的信息系統(tǒng)。定級系統(tǒng)分為第一級、第二級、第三級、第四級和第五級信息系統(tǒng)。定級系統(tǒng)安全保護環(huán)境securityenvironmentofclassifiedsystem由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對定級系統(tǒng)進行安全保護的環(huán)境。定級系統(tǒng)安全保護環(huán)境包括第一級系統(tǒng)安全保護環(huán)境第二級系統(tǒng)安全保護環(huán)境第三級系統(tǒng)安全保護環(huán)境第四級系統(tǒng)安全保護環(huán)境第五級系統(tǒng)安全保護環(huán)境以及定級系統(tǒng)的安全互聯(lián)。安全計算環(huán)境securecomputingenvironment對定級系統(tǒng)

6、的信息進行存儲處理及實施安全策略的相關(guān)部件。安全計算環(huán)境按照保護能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)境、第四級安全計算環(huán)境和第五級安全計算環(huán)境。安全區(qū)域邊界secureareaboundary對定級系統(tǒng)的安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界、第四級安全區(qū)域邊界和第五級安全區(qū)域邊界。安全通信網(wǎng)絡(luò)securecommunicationnetwork對定級系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關(guān)部件。安全通信網(wǎng)絡(luò)按照保護能

7、力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、第三級安全通信網(wǎng)絡(luò)、第四級安全通信網(wǎng)絡(luò)和第五級安全通信網(wǎng)絡(luò)。安全管理中心securitymanagementcenter對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機制實施統(tǒng)一管理的平臺。第二級及第二級以上的定級系統(tǒng)安全保護環(huán)境需要設(shè)置安全管理中心，稱為第二級安全管理中心第三級安全管理中心、第四級安全管理中心和第五級安全管理中心?？缍壪到y(tǒng)安全管理中心securitymanagementcenterforcrossclassifiedsystem跨定級系統(tǒng)安全管理中心是對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)

8、部件上的安全機制實施統(tǒng)一管理的平臺。定級系統(tǒng)互聯(lián)classifiedsysteminterconnection通過安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心實現(xiàn)的相同或不同等級的定級系統(tǒng)安全保護環(huán)境之間的安全連接。4信息系統(tǒng)等級保護安全技術(shù)設(shè)計概述信息系統(tǒng)等級保護安全技術(shù)設(shè)計包括各級系統(tǒng)安全保護環(huán)境的設(shè)計及其安全互聯(lián)的設(shè)計，如圖1所示。各級系統(tǒng)安全保護環(huán)境由相應(yīng)級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心組成。定級系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心組成。本標(biāo)準(zhǔn)以下章節(jié)，對圖1各個部分提出了相應(yīng)的設(shè)計技術(shù)要求（第五級信息安全保護環(huán)境的設(shè)計要求除外）。附錄A給出了訪問控

9、制機制設(shè)計，附錄B給出了第三級系統(tǒng)安全保護環(huán)境設(shè)計示例。5第一級系統(tǒng)安全保護環(huán)境設(shè)計設(shè)計目標(biāo)第一級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第一級系統(tǒng)的安全保護要求，實現(xiàn)定級系統(tǒng)的自主訪問控制，使系統(tǒng)用戶對其所屬客體具有自我保護的能力。設(shè)計策略第一級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的中相關(guān)要求，以身份鑒別為基礎(chǔ)，提供用戶和（或）用戶組對文件及數(shù)據(jù)庫表的自主訪問控制，以實現(xiàn)用戶與數(shù)據(jù)的隔離，使用戶具備自主安全保護的能力；以包過濾手段提供區(qū)域邊界保護；以數(shù)據(jù)校驗和惡意代碼防范等手段提供數(shù)據(jù)和系統(tǒng)的完整性保護。第一級系統(tǒng)安全保護環(huán)境的設(shè)計通過第一級的安全計

10、算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的設(shè)計加以實現(xiàn)。設(shè)計技術(shù)要求安全計算環(huán)境設(shè)計技術(shù)要求第一級安全計算環(huán)境從以下方面進行安全設(shè)計：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份；在每次用戶登錄系統(tǒng)時，采用口令鑒別機制進行用戶身份鑒別，并對口令數(shù)據(jù)進行保護。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶/用戶組對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶/用戶組。訪問控制主體的粒度為用戶/用戶組級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。c）用戶數(shù)據(jù)完整性保護可采用常規(guī)校

11、驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。d）惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以防范和清除惡意代碼。安全區(qū)域邊界設(shè)計技術(shù)要求第一級安全區(qū)域邊界從以下方面進行安全設(shè)計：a）區(qū)域邊界包過濾可根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。b）區(qū)域邊界惡意代碼防范可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進行升級和更新，以防止惡意代碼入侵。安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求a）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護可采用常規(guī)校驗機制，檢驗通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其

12、完整性被破壞。6第二級系統(tǒng)安全保護環(huán)境設(shè)計設(shè)計目標(biāo)第二級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第二級系統(tǒng)的安全保護要求，在第一級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，增加系統(tǒng)安全審計、客體重用等安全功能，并實施以用戶為基本粒度的自主訪問控制，使系統(tǒng)具有更強的自主安全保護能力。設(shè)計策略第二級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的中相關(guān)要求，以身份鑒別為基礎(chǔ)，提供單個用戶和（或）用戶組對共享文件、數(shù)據(jù)庫表等的自主訪問控制；以包過濾手段提供區(qū)域邊界保護；以數(shù)據(jù)校驗和惡意代碼防范等手段，同時通過增加系統(tǒng)安全審計客體安全重用等功能，使用戶對自己的行為負(fù)責(zé)，提供用戶數(shù)據(jù)保密

13、性和完整性保護，以增強系統(tǒng)的安全保護能力。第二級系統(tǒng)安全保護環(huán)境的設(shè)計通過第二級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計加以實現(xiàn)。設(shè)計技術(shù)要求安全計算環(huán)境設(shè)計技術(shù)要求第二級安全計算環(huán)境從以下方面進行安全設(shè)計:a）用戶身份鑒別應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部

14、分或全部授予其他用戶。訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。c）系統(tǒng)安全審計應(yīng)提供安全審計機制，記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。該機制應(yīng)提供審計記錄查詢、分類和存儲保護，并可由安全管理中心管理。d）用戶數(shù)據(jù)完整性保護可采用常規(guī)校驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。e）用戶數(shù)據(jù)保密性保護可采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性保護。f）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)

15、品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。g）惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以防范和清除惡意代碼。安全區(qū)域邊界設(shè)計技術(shù)要求第二級安全區(qū)域邊界從以下方面進行安全設(shè)計：a）區(qū)域邊界包過濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。b）區(qū)域邊界安全審計應(yīng)在安全區(qū)域邊界設(shè)置審計機制，并由安全管理中心統(tǒng)一管理。c）區(qū)域邊界惡意代碼防范應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理。d）區(qū)域邊界完整性保護

16、應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為，并及時報告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求第二級安全通信網(wǎng)絡(luò)從以下方面進行安全設(shè)計：a）通信網(wǎng)絡(luò)安全審計應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心管理。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護可采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護。c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護可采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。安全管理中心設(shè)計技術(shù)要求系統(tǒng)管理可通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份和授權(quán)管理、系統(tǒng)資源配置系統(tǒng)加載和啟動系統(tǒng)運行的異常處理數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代

17、碼防范等。應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。審計管理可通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等。應(yīng)對安全審計員進行身份鑒別，并只允許其通過特定的命令或操作界面進行安全審計操作。7第三級系統(tǒng)安全保護環(huán)境設(shè)計設(shè)計目標(biāo)第三級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第三級系統(tǒng)的安全保護要求，在第二級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，通過實現(xiàn)基于安全策略模型和標(biāo)記的強制訪問控制以及

18、增強系統(tǒng)的審計機制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。設(shè)計策略第三級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：在第二級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，遵循GB17859-1999的中相關(guān)要求，構(gòu)造非形式化的安全策略模型，對主、客體進行安全標(biāo)記，表明主、客體的級別分類和非級別分類的組合，以此為基礎(chǔ)，按照強制訪問控制規(guī)則實現(xiàn)對主體及其客體的訪問控制。第三級系統(tǒng)安全保護環(huán)境的設(shè)計通過第三級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計加以實現(xiàn)。設(shè)計技術(shù)要求安全計算環(huán)境設(shè)計技術(shù)要求第三級安全計算環(huán)境從以下方面進行安全設(shè)計：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個用戶注冊到

19、系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時，采用受安全管理中心控制的口令令牌基于生物特征數(shù)字證書以及其他具有相應(yīng)安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。c）標(biāo)記和強制訪問控制在對安全管理員進行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管

20、理員通過特定操作界面對主、客體進行安全標(biāo)記；應(yīng)按安全標(biāo)記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)確保安全計算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實施相同的強制訪問控制規(guī)則。d）系統(tǒng)安全審計應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計記錄查詢、分類、分析和存儲保護；能對特定安全事件進行報警；確保審計記錄不被破壞或非授權(quán)訪問。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。e）用戶數(shù)據(jù)完整性保護應(yīng)采用密碼等技術(shù)支持的完整性校驗機制

21、，檢驗存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時能對重要數(shù)據(jù)進行恢復(fù)。f）用戶數(shù)據(jù)保密性保護采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性保護。g）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。h）程序可信執(zhí)行保護可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復(fù)，例如采用可信計算等技術(shù)。安全區(qū)域邊界設(shè)計技術(shù)要求

22、第三級安全區(qū)域邊界從以下方面進行安全設(shè)計：a）區(qū)域邊界訪問控制應(yīng)在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，實施相應(yīng)的訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。b）區(qū)域邊界包過濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進出該區(qū)域邊界。c）區(qū)域邊界安全審計應(yīng)在安全區(qū)域邊界設(shè)置審計機制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時報警。d）區(qū)域邊界完整性保護應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時報告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求第三級安全通信網(wǎng)絡(luò)從以下方面進行安全

23、設(shè)計：a）通信網(wǎng)絡(luò)安全審計應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進行報警。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護應(yīng)采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護，并在發(fā)現(xiàn)完整性被破壞時進行恢復(fù)。c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。d）通信網(wǎng)絡(luò)可信接入保護可采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進行可信檢驗，確保接入通信網(wǎng)絡(luò)的設(shè)備真實可信，防止設(shè)備的非法接入。安全管理中心設(shè)計技術(shù)要求系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶

24、身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理以及支持管理本地和（或）異地災(zāi)難備份與恢復(fù)等。應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記，對主體進行授權(quán)，配置一致的安全策略。應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并進行審計。審計管理應(yīng)通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等。對審計記錄應(yīng)

25、進行分析，并根據(jù)分析結(jié)果進行處理。應(yīng)對安全審計員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操。8第四級系統(tǒng)安全保護環(huán)境設(shè)計設(shè)計目標(biāo)第四級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第四級系統(tǒng)的安全保護要求，建立一個明確定義的形式化安全策略模型，將自主和強制訪問控制擴展到所有主體與客體，相應(yīng)增強其他安全功能強度；將系統(tǒng)安全保護環(huán)境結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素，以使系統(tǒng)具有抗?jié)B透的能力。設(shè)計策略第四級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：在第三級系統(tǒng)安全保護環(huán)境設(shè)計的基礎(chǔ)上，遵循GB17859-1999的中相關(guān)要求，通過安全管理中心明確定義和維護形式化的安全策略模型

26、。依據(jù)該模型，采用對系統(tǒng)內(nèi)的所有主、客體進行標(biāo)記的手段，實現(xiàn)所有主體與客體的強制訪問控制。同時，相應(yīng)增強身份鑒別、審計、安全管理等功能，定義安全部件之間接口的途徑，實現(xiàn)系統(tǒng)安全保護環(huán)境關(guān)鍵保護部件和非關(guān)鍵保護部件的區(qū)分，并進行測試和審核，保障安全功能的有效性。第四級系統(tǒng)安全保護環(huán)境的設(shè)計通過第四級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計加以實現(xiàn)。設(shè)計技術(shù)要求安全計算環(huán)境設(shè)計技術(shù)要求第四級安全計算環(huán)境從以下方面進行安全設(shè)計：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每

27、次用戶登錄和重新連接系統(tǒng)時，采用受安全管理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對鑒別數(shù)據(jù)進行保密性和完整性保護。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。c）標(biāo)記和強制訪問控制在對安全管理員進行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過特定操作界面對主、客體

28、進行安全標(biāo)記，將強制訪問控制擴展到所有主體與客體；應(yīng)按安全標(biāo)記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)確保安全計算環(huán)境內(nèi)的所有主客體具有一致的標(biāo)記信息，并實施相同的強制訪問控制規(guī)則。d）系統(tǒng)安全審計應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計記錄查詢、分類、分析和存儲保護；能對特定安全事件進行報警，終止違例進程等；確保審計記錄不被破壞或非授權(quán)訪問以及防止審計記錄丟失等。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。e）用戶數(shù)據(jù)完整性

29、保護應(yīng)采用密碼等技術(shù)支持的完整性校驗機制，檢驗存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時能對重要數(shù)據(jù)進行恢復(fù)。f）用戶數(shù)據(jù)保密性保護采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中的用戶數(shù)據(jù)進行保密性保護。g）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。h）程序可信執(zhí)行保護應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復(fù)，例如采用可信計算等

30、技術(shù)。安全區(qū)域邊界設(shè)計技術(shù)要求第四級安全區(qū)域邊界從以下方面進行安全設(shè)計：a）區(qū)域邊界訪問控制應(yīng)在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，實施相應(yīng)的訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。b）區(qū)域邊界包過濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進出受保護的區(qū)域邊界。c）區(qū)域邊界安全審計應(yīng)在安全區(qū)域邊界設(shè)置審計機制，通過安全管理中心集中管理，對確認(rèn)的違規(guī)行為及時報警并做出相應(yīng)處d）區(qū)域邊界完整性保護應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時報告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)

31、計技術(shù)要求第四級安全通信網(wǎng)絡(luò)從以下方面進行安全設(shè)計：a）通信網(wǎng)絡(luò)安全審計應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進行報警，且做出相應(yīng)處置。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護應(yīng)采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護，并在發(fā)現(xiàn)完整性被破壞時進行恢復(fù)。C）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。d）通信網(wǎng)絡(luò)可信接入保護應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進行可信檢驗，確保接入通信網(wǎng)絡(luò)的設(shè)備真實可信，防止設(shè)備的非法接入。安全管理中心設(shè)計技術(shù)要求系統(tǒng)管理應(yīng)

32、通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記，對主體進行授權(quán)，配置一致的安全策略，并確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并進行審計。審計管理應(yīng)通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策略對審計記錄進行分類；

33、提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等。對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行及時處理。應(yīng)對安全審計員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作。系統(tǒng)安全保護環(huán)境結(jié)構(gòu)化設(shè)計技術(shù)要求安全保護部件結(jié)構(gòu)化設(shè)計技術(shù)要求第四級系統(tǒng)安全保護環(huán)境各安全保護部件的設(shè)計應(yīng)基于形式化的安全策略模型。安全保護部件應(yīng)劃分為關(guān)鍵安全保護部件和非關(guān)鍵安全保護部件，防止違背安全策略致使敏感信息從關(guān)鍵安全保護部件流向非關(guān)鍵安全保護部件。關(guān)鍵安全保護部件應(yīng)劃分功能層次，明確定義功能層次間的調(diào)用接口，確保接口之間的信息安全交換。安全保護部件互聯(lián)結(jié)構(gòu)化設(shè)計技術(shù)要求第

34、四級系統(tǒng)各安全保護部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明確定義；各安全保護部件之間互聯(lián)時，需要通過可信驗證機制相互驗證對方的可信性，確保安全保護部件間的可信連接。重要參數(shù)結(jié)構(gòu)化設(shè)計技術(shù)要求應(yīng)對第四級系統(tǒng)安全保護環(huán)境設(shè)計實現(xiàn)的與安全策略相關(guān)的重要參數(shù)的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包括參數(shù)的類型使用描述以及功能說明等，并用可信驗證機制確保數(shù)據(jù)不被篡改。9第五級系統(tǒng)安全保護環(huán)境設(shè)計設(shè)計目標(biāo)第五級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第五級系統(tǒng)的安全保護要求，在第四級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，實現(xiàn)訪問監(jiān)控器，仲裁主體對客體的訪問，并支持安全管理職能。審計機制可根據(jù)審計記錄及時分析發(fā)現(xiàn)安

35、全事件并進行報警，提供系統(tǒng)恢復(fù)機制，以使系統(tǒng)具有更強的抗?jié)B透能力。設(shè)計策略第五級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的中“訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試”。在設(shè)計和實現(xiàn)訪問監(jiān)控器時，應(yīng)盡力降低其復(fù)雜性；提供系統(tǒng)恢復(fù)機制；使系統(tǒng)具有更強的抗?jié)B透能力；所設(shè)計的訪問監(jiān)控器能進行必要的分析與測試，具有抗篡改能力。第五級系統(tǒng)安全保護環(huán)境的設(shè)計通過第五級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計加以實現(xiàn)。設(shè)計技術(shù)要求第五級系統(tǒng)安全保護環(huán)境設(shè)計技術(shù)要求另行制定。10定級系統(tǒng)互聯(lián)設(shè)計設(shè)計目標(biāo)定級系統(tǒng)互聯(lián)的設(shè)計目標(biāo)是：對相同或不同等級的定級系統(tǒng)之

36、間的互聯(lián)互通互操作進行安全保護，確保用戶身份的真實性、操作的安全性以及抗抵賴性，并按安全策略對信息流向進行嚴(yán)格控制，確保進出安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。設(shè)計策略定級系統(tǒng)互聯(lián)的設(shè)計策略是：遵循GB17859-1999對各級系統(tǒng)的安全保護要求，在各定級系統(tǒng)的計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全的基礎(chǔ)上，通過安全管理中心增加相應(yīng)的安全互聯(lián)策略，保持用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換進行安全保護。設(shè)計技術(shù)要求安全互聯(lián)部件設(shè)計技術(shù)要求應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級系統(tǒng)安全保護環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的安

37、全策略進行信息交換，實現(xiàn)安全互聯(lián)部件。安全策略由跨定級系統(tǒng)安全管理中心實施?？缍壪到y(tǒng)安全管理中心設(shè)計技術(shù)要求應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護環(huán)境中的安全管理中心相連，主要實施跨定級系統(tǒng)的系統(tǒng)管理、安全管理和審計管理。系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對安全互聯(lián)部件與相同和不同等級的定級系統(tǒng)中與安全互聯(lián)相關(guān)的系統(tǒng)資源和運行進行配置和管理，包括用戶身份管理、安全互聯(lián)部件資源配置和管理等。安全管理應(yīng)通過安全管理員對相同和不同等級的定級系統(tǒng)中與安全互聯(lián)相關(guān)的主/客體進行標(biāo)記管理，使其標(biāo)記能準(zhǔn)確反映主/客體在定級系統(tǒng)中的安全屬性；對主體進行授權(quán)，配置統(tǒng)一的安全策略，并確保授權(quán)在相同和不同等級的定級系統(tǒng)

38、中的合理性。審計管理應(yīng)通過安全審計員對安全互聯(lián)部件的安全審計機制、各定級系統(tǒng)的安全審計機制以及與跨定級系統(tǒng)互聯(lián)有關(guān)的安全審計機制進行集中管理。包括根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲管理和查詢等。對審計記錄應(yīng)進行分析,并根據(jù)分析結(jié)果進行及時處理。附錄A（資料性附錄）訪問控制機制設(shè)計自主訪問控制機制設(shè)計系統(tǒng)在初始配置過程中，安全管理中心首先需要對系統(tǒng)中的主體及客體進行登記命名，然后根據(jù)自主訪問控制安全策略，按照主體對其創(chuàng)建客體的授權(quán)命令，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問的客體和操作，并形成訪問控制列表。自主訪問控制機制結(jié)構(gòu)如圖所

39、示。用戶登錄系統(tǒng)時，首先進行身份鑒別，經(jīng)確認(rèn)為合法的注冊用戶可登錄系統(tǒng)，并執(zhí)行相應(yīng)的程序。當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體資源的請求后，自主訪問控制安全機制將截獲該請求，然后查詢對應(yīng)訪問控制列表。如果該請求符合自主訪問控制列表規(guī)定的權(quán)限，則允許其執(zhí)行；否則將拒絕執(zhí)行，并將此行為記錄在審計記錄中。強制訪問控制機制設(shè)計系統(tǒng)在初始配置過程中，安全管理中心需要對系統(tǒng)中的確定主體及其所控制的客體實施身份管理標(biāo)記管理授權(quán)管理和策略管理。身份管理確定系統(tǒng)中所有合法用戶的身份工作密鑰證書等與安全相關(guān)的內(nèi)容。標(biāo)記管理根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級別及范疇，生成全局客體

40、安全標(biāo)記列表；同時根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全級別及范疇，生成全局主體安全標(biāo)記列表。授權(quán)管理根據(jù)業(yè)務(wù)系統(tǒng)需求和安全狀況，授予用戶訪問客體資源的權(quán)限，生成強制訪問控制策略和級別調(diào)整策略列表。策略管理則根據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與執(zhí)行主體相關(guān)的策略，包括強制訪問控制策略和級別調(diào)整策略。除此之外，安全審計員需要通過安全管理中心制定系統(tǒng)審計策略，實施系統(tǒng)的審計管理。強制訪問控制機制結(jié)構(gòu)如圖所示。系統(tǒng)在初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，經(jīng)過系統(tǒng)身份認(rèn)證確認(rèn)為授權(quán)主體后，系統(tǒng)將下載全局主/客體安全標(biāo)記列表及與該主體對應(yīng)的訪問控制列表，并對其進行初始化。當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體

41、資源的請求后，系統(tǒng)安全機制將截獲該請求，并從中取出訪問控制相關(guān)的主體客體操作三要素信息，然后查詢?nèi)种?客體安全標(biāo)記列表，得到主/客體的安全標(biāo)記信息，并依據(jù)強制訪問控制策略對該請求實施策略符合性檢查。如果該請求符合系統(tǒng)強制訪問控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問。否則，系統(tǒng)將進行級別調(diào)整審核，即依據(jù)級別調(diào)整策略，判斷發(fā)出該請求的主體是否有權(quán)訪問該客體。如果上述檢查通過，系統(tǒng)同樣允許該主體執(zhí)行資源訪問，否則，該請求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強制訪問控制機制在執(zhí)行安全策略過程中，需要根據(jù)安全審計員制定的審計策略，對用戶的請求及安全決策結(jié)果進行審計，并且將生成的審計記錄發(fā)送到審計服務(wù)器存儲，供安全審

42、計員管理。附錄B（資料性附錄）第三級系統(tǒng)安全保護環(huán)境設(shè)計示例功能與流程根據(jù)“一個中心”管理下的“三重保護”體系框架，構(gòu)建安全機制和策略，形成定級系統(tǒng)的安全保護環(huán)境。該環(huán)境分為如下四部分：安全計算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)和安全管理中心。每個部分由1個或若干個子系統(tǒng)（安全保護部件）組成，子系統(tǒng)具有安全保護功能獨立完整調(diào)用接口簡潔與安全產(chǎn)品相對應(yīng)和易于管理等特征。安全計算環(huán)境可細(xì)分為節(jié)點子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)；安全管理中心可細(xì)分為系統(tǒng)管理子系統(tǒng)安全管理子系統(tǒng)和審計子系統(tǒng)。以上各子系統(tǒng)之間的邏輯關(guān)系如圖所示。各子系統(tǒng)主要功能第三級系統(tǒng)安全保護環(huán)境各子系統(tǒng)的主要功能如下:a）節(jié)點子系統(tǒng)節(jié)點子系統(tǒng)

43、通過在操作系統(tǒng)核心層系統(tǒng)層設(shè)置以強制訪問控制為主體的系統(tǒng)安全機制，形成防護層，通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的保密性和完整性，為典型應(yīng)用支撐子系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。b）典型應(yīng)用支撐子系統(tǒng)典型應(yīng)用支撐子系統(tǒng)是系統(tǒng)安全保護環(huán)境中為應(yīng)用系統(tǒng)提供安全支撐服務(wù)的接口。通過接口平臺使應(yīng)用系統(tǒng)的主客體與保護環(huán)境的主客體相對應(yīng)，達(dá)到訪問控制策略實現(xiàn)的一致性。C）區(qū)域邊界子系統(tǒng)區(qū)域邊界子系統(tǒng)通過對進入和流出安全保護環(huán)境的信息流進行安全檢查，確保不會有違反系統(tǒng)安全策略的信息流經(jīng)過邊界。d）通信網(wǎng)絡(luò)子系統(tǒng)通信網(wǎng)絡(luò)子系統(tǒng)通過對通信數(shù)據(jù)包的保

44、密性和完整性的保護，確保其在傳輸過程中不會被非授權(quán)竊聽和篡改，以保障數(shù)據(jù)在傳輸過程中的安全。e）系統(tǒng)管理子系統(tǒng)系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對安全保護環(huán)境中的計算節(jié)點、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實施集中管理和維護，包括用戶身份管理資源管理異常情況處理等。f）安全管理子系統(tǒng)安全管理子系統(tǒng)是系統(tǒng)的安全控制中樞，主要實施標(biāo)記管理、授權(quán)管理及策略管理等。安全管理子系統(tǒng)通過制定相應(yīng)的系統(tǒng)安全策略，并要求節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)和通信網(wǎng)絡(luò)子系統(tǒng)強制執(zhí)行，從而實現(xiàn)對整個信息系統(tǒng)的集中管理。g）審計子系統(tǒng)審計子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。安全審計員通過制定審計策略，并要求節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)安全管理子系

45、統(tǒng)系統(tǒng)管理子系統(tǒng)強制執(zhí)行，實現(xiàn)對整個信息系統(tǒng)的行為審計，確保用戶無法抵賴違反系統(tǒng)安全策略的行為，同時為應(yīng)急處理提供依據(jù)。各子系統(tǒng)主要流程第三級系統(tǒng)安全保護環(huán)境的結(jié)構(gòu)與流程可以分為安全管理流程與訪問控制流程。安全管理流程主要由安全管理員系統(tǒng)管理員和安全審計員通過安全管理中心執(zhí)行，分別實施系統(tǒng)維護安全策略制定和部署審計記錄分析和結(jié)果響應(yīng)等。訪問控制流程則在系統(tǒng)運行時執(zhí)行，實施自主訪問控制強制訪問控制等。a）策略初始化流程節(jié)點子系統(tǒng)在運行之前，首先由安全管理員、系統(tǒng)管理員和安全審計員通過安全管理中心為其部署相應(yīng)的安全策略。其中，系統(tǒng)管理員首先需要為定級系統(tǒng)中的所有用戶實施身份管理，即確定所有用戶的身

46、份、工作密鑰、證書等。同時需要為定級系統(tǒng)實施資源管理，以確定業(yè)務(wù)系統(tǒng)正常運行需要使用的執(zhí)行程序等。安全管理員需要通過安全管理中心為定級系統(tǒng)中所有主、客體實施標(biāo)記管理，即根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定其安全級，生成全局客體安全標(biāo)記列表。同時根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定其安全標(biāo)記，生成全局主體安全標(biāo)記列表。在此基礎(chǔ)上，安全管理員需要根據(jù)系統(tǒng)需求和安全狀況，為主體實施授權(quán)管理，即授予用戶訪問客體資源的權(quán)限，生成強制訪問控制列表和級別調(diào)整策略列表。除此之外，安全審計員需要通過安全管理中心中的審計子系統(tǒng)制定系統(tǒng)審計策略，實施系統(tǒng)的審核管理。如果定級系統(tǒng)需要和其它系統(tǒng)進行互聯(lián)，則

47、上述初始化流程需要結(jié)合跨定級系統(tǒng)安全管理中心制定的策略執(zhí)行。b）計算節(jié)點啟動流程策略初始化完成后，授權(quán)用戶才可以啟動并使用計算節(jié)點訪問定級系統(tǒng)中的客體資源。為了確保計算節(jié)點的系統(tǒng)完整性，節(jié)點子系統(tǒng)在啟動時需要對所裝載的可執(zhí)行代碼進行可信驗證，確保其在可執(zhí)行代碼預(yù)期值列表中，并且程序完整性沒有遭到破壞。計算節(jié)點啟動后，用戶便可以安全地登錄系統(tǒng)。在此過程中，系統(tǒng)首先裝載代表用戶身份唯一標(biāo)識的硬件令牌，然后獲取其中的用戶信息，進而驗證登錄用戶是否是該節(jié)點上的授權(quán)用戶。如果檢查通過，系統(tǒng)將請求策略服務(wù)器下載與該用戶相關(guān)的系統(tǒng)安全策略。下載成功后，系統(tǒng)可信計算基將確定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作

48、空間。此后，該用戶便可以通過啟動應(yīng)用訪問定級系統(tǒng)中的客體資源。c）計算節(jié)點訪問控制流程用戶啟動應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問本地或網(wǎng)絡(luò)資源的請求，該請求將被操作系統(tǒng)訪問控制模塊截獲。訪問控制模塊首先依據(jù)自主訪問控制策略對其執(zhí)行策略符合性檢查。如果自主訪問控制策略符合性檢查通過，則該請求允許被執(zhí)行；否則，訪問控制模塊依據(jù)強制訪問控制策略對該請求執(zhí)行策略符合性檢查。如果強制訪問策略符合性檢查通過，那么該請求允許被執(zhí)行；否則，系統(tǒng)對其進行級別調(diào)整檢查。即依照級別調(diào)整檢查策略，判斷發(fā)出該請求的主體是否有權(quán)訪問該客體。如果通過，該請求同樣允許被執(zhí)行；否則，該請求被拒絕執(zhí)行。系統(tǒng)訪問控制機

49、制在安全決策過程中，需要根據(jù)安全審計員制定的審計策略，對用戶的請求及決策結(jié)果進行審計，并且將生成的審計記錄發(fā)送到審計服務(wù)器存儲，供安全審計員檢查和處理。d）跨計算節(jié)點訪問控制流程如果主體和其所請求訪問的客體資源不在同一個計算節(jié)點，則該請求會被可信接入模塊截獲，用來判斷該請求是否會破壞系統(tǒng)安全。在進行接入檢查前，模塊首先通知系統(tǒng)安全代理獲取對方計算節(jié)點的身份，并檢驗其安全性。如果檢驗結(jié)果是不安全的，則系統(tǒng)拒絕該請求；否則，系統(tǒng)將依據(jù)強制訪問控制策略，判斷該主體是否允許訪問相應(yīng)端口。如果檢查通過，該請求被放行；否則，該請求被拒絕。e）跨邊界訪問控制流程如果主體和其所請求訪問的客體資源不在同一個安全

50、保護環(huán)境內(nèi)，那么該請求將會被區(qū)域邊界控制設(shè)備截獲并且進行安全性檢查，檢查過程類似于跨計算節(jié)點訪問控制流程。子系統(tǒng)間接口綜述為了清楚描述各子系統(tǒng)之間的關(guān)系，圖給出了子系統(tǒng)間的接口關(guān)系。典型應(yīng)用支撐子系統(tǒng)與節(jié)點子系統(tǒng)之間通過系統(tǒng)調(diào)用接口。其它子系統(tǒng)之間則通過可靠的網(wǎng)絡(luò)傳輸協(xié)議，按照規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)審計數(shù)據(jù)以及其他安全保護環(huán)境數(shù)據(jù)等。由于不同子系統(tǒng)之間需要交換各種類型的數(shù)據(jù)包，因此需要明確定義子系統(tǒng)間的接口協(xié)議并規(guī)范傳輸數(shù)據(jù)包格式，使得各子系統(tǒng)之間能透明交互，實現(xiàn)相應(yīng)數(shù)據(jù)的交換。數(shù)據(jù)包的標(biāo)準(zhǔn)格式如表所示。數(shù)據(jù)包由包頭附加項和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，定義了標(biāo)志版本號接口類型、

51、標(biāo)記位以及內(nèi)容和附加項長度等。內(nèi)容和附加項長度不定。數(shù)據(jù)包各數(shù)據(jù)項說明如下：標(biāo)志（4字節(jié)）：用于標(biāo)識等級保護相關(guān)的數(shù)據(jù)流，此標(biāo)志可以作為區(qū)別等級保護數(shù)據(jù)包的依據(jù)。版本號（4字節(jié)）：表示該接口協(xié)議的版本號。其中前兩個字節(jié)表示主版本號。接口類型（4字節(jié)）：表示本數(shù)據(jù)包的對應(yīng)接口類型編號。標(biāo)記位（4字節(jié)）：表述數(shù)據(jù)包屬性標(biāo)志，如表所示。BRO：表示數(shù)據(jù)包發(fā)送對象地址尚未確定，需要以廣播方式發(fā)送或發(fā)送給查詢服務(wù)器。SIG：表示數(shù)據(jù)包是否有簽名保護，0為無簽名，1為有簽名。如果有簽名保護，簽名信息在附加項中。CHK：表示數(shù)據(jù)包是否需要校驗，0為不校驗，1為校驗。如果需要校驗，校驗碼在附加項中存放。內(nèi)容長

52、度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長度，以字節(jié)為單位。附加項長度（4字節(jié)）：表示所有附加項長度之和，以字節(jié)為單位。保留（8字節(jié)）：作為數(shù)據(jù)包擴展保留。數(shù)據(jù)內(nèi)容：數(shù)據(jù)包傳輸?shù)木唧w內(nèi)容，其格式與數(shù)據(jù)包類型相關(guān)，長度不定。附加項類型（4字節(jié)）：表示附加項的類型。附加項內(nèi)容：數(shù)據(jù)包傳輸?shù)母郊觾?nèi)容，其格式與附加項類型相關(guān)，長度不定。下面按照接口對應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附加項。接口1功能：節(jié)點（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向安全管理子系統(tǒng)請求下載策略。類型：請求數(shù)據(jù)包。描述：計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備啟動時，向安全管理子系統(tǒng)請求下載策略，該接口為節(jié)點子系統(tǒng)區(qū)域邊界子系統(tǒng)通信網(wǎng)絡(luò)

53、子系統(tǒng)到安全管理子系統(tǒng)之間的接口?？蛻舳讼蚍?wù)器發(fā)起TCP連接，發(fā)出的請求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口2功能：安全管理子系統(tǒng)向節(jié)點（區(qū)域邊界通信網(wǎng)絡(luò)）子系統(tǒng)返回與請求主體相關(guān)的策略。類型：策略下發(fā)數(shù)據(jù)包。描述：安全管理中心接到下載策略請求后，向計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備發(fā)送安全策略。安全管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口3功能：節(jié)點（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向?qū)徲嫹?wù)器發(fā)送審計記錄。類型：審計記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式。描述：計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備向?qū)徲嬜酉到y(tǒng)發(fā)送審計記錄。所發(fā)送的審計記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口4功能：節(jié)點子系統(tǒng)之間的接入可信性驗證。類型：可信接入申請包可信接入應(yīng)答包可信接入確認(rèn)包。描述：節(jié)點子系統(tǒng)之間的接口主要實現(xiàn)可信接入?？尚沤尤胧窃趫?zhí)行跨節(jié)點間訪問時，客體所在節(jié)點驗證主體所在節(jié)點可信性的過程?？尚沤尤胄枰絽f(xié)議執(zhí)