網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

1、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求引言本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全保護(hù)等級的網(wǎng)絡(luò)系統(tǒng)，主要說明為實現(xiàn) GB7859 1999 中每一個安全保護(hù)等級的安全要求，網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全保護(hù)等級中具體差異。網(wǎng)絡(luò)是一個具有復(fù)雜結(jié)構(gòu)、由許多網(wǎng)絡(luò)設(shè)備組成的系統(tǒng)，不同的網(wǎng)絡(luò)環(huán)境又會有不同的系統(tǒng)結(jié)構(gòu)。然而，從網(wǎng)絡(luò)系統(tǒng)所實現(xiàn)的功能來看，可以概括為“實現(xiàn)網(wǎng)上信息交換”。網(wǎng)上信息交換具體可以分解為信息的發(fā)送、信息的傳輸和信息的接收。 從信息安全的角度， 網(wǎng)絡(luò)信息安全可以概括為“保障網(wǎng)上信息交換的安全”，具體表現(xiàn)為信息發(fā)送的安全、信息傳輸?shù)陌踩托畔⒔邮盏陌踩?/p>

2、以及網(wǎng)上信息交換的抗抵賴等。 網(wǎng)上信息交換是通過確定的網(wǎng)絡(luò)協(xié)議實現(xiàn)的，不同的網(wǎng)絡(luò)會有不同的協(xié)議。任何網(wǎng)絡(luò)設(shè)備都是為實現(xiàn)確定的網(wǎng)絡(luò)協(xié)議而設(shè)置的。典型的、具有代表性的網(wǎng)絡(luò)協(xié)議是國際標(biāo)準(zhǔn)化組織的開放系統(tǒng)互連協(xié)議（ISO/OSI），也稱七層協(xié)議。雖然很少有完全按照七層協(xié)議構(gòu)建的網(wǎng)絡(luò)系統(tǒng)， 但是七層協(xié)議的理論價值和指導(dǎo)作用是任何網(wǎng)絡(luò)協(xié)議所不可替代的。網(wǎng)絡(luò)安全需要通過協(xié)議安全來實現(xiàn)。通過對七層協(xié)議每一層安全的描述，可以實現(xiàn)對網(wǎng)絡(luò)安全的完整描述。網(wǎng)絡(luò)協(xié)議的安全需要由組成網(wǎng)絡(luò)系統(tǒng)的設(shè)備來保障。因此，對七層協(xié)議的安全要求自然包括對網(wǎng)絡(luò)設(shè)備的安全要求。信息安全是與信息系統(tǒng)所實現(xiàn)的功能密切相關(guān)的，網(wǎng)絡(luò)安全也不例外。

3、網(wǎng)絡(luò)各層協(xié)議的安全與其在每一層所實現(xiàn)的功能密切相關(guān)。附錄 A 2 關(guān)于網(wǎng)絡(luò)各層協(xié)議主要功能的說明，對物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層等各層的功能進(jìn)行了簡要描述，是確定網(wǎng)絡(luò)各層安全功能要求的主要依據(jù)。本標(biāo)準(zhǔn)以 GB/T20271-2006 關(guān)于信息系統(tǒng)安全等級保護(hù)的通用技術(shù)要求為基礎(chǔ)， 圍繞以訪問控制為核心的思想進(jìn)行編寫， 在對網(wǎng)絡(luò)安全的組成與相互關(guān)系進(jìn)行簡要說明的基礎(chǔ)上， 第 5 章對網(wǎng)絡(luò)安全功能基本技術(shù)分別進(jìn)行了說明，第 6 章是對第 5 章網(wǎng)絡(luò)安全功能的分級分層情況的描述。 在此基礎(chǔ)上，本標(biāo)準(zhǔn)的第 7 章對網(wǎng)絡(luò)安全技術(shù)的分等級要求分別從安全功能技術(shù)要求和安全保證技術(shù)要

4、求兩方面進(jìn)行了詳細(xì)說明。 在第 7 章的描述中除了引用以前各章的內(nèi)容外，還引用了 GB/T20271-2006中關(guān)于安全保證技術(shù)要求的內(nèi)容。由于 GB/T20271-2006 的安全保證技術(shù)要求， 對網(wǎng)絡(luò)而言沒有需要特別說明的內(nèi)容， 所以在網(wǎng)絡(luò)基本技術(shù)及其分級分層的描述中沒有涉及這方面的內(nèi)容。信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求范圍本標(biāo)準(zhǔn)依據(jù) GB17859-1999的五個安全保護(hù)等級的劃分， 根據(jù)網(wǎng)絡(luò)系統(tǒng)在信息系統(tǒng)中的作用，規(guī)定了各個安全等級的網(wǎng)絡(luò)系統(tǒng)所需要的基礎(chǔ)安全技術(shù)的要求。本標(biāo)準(zhǔn)適用于按等級化的要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)的設(shè)計和實現(xiàn)，對按等級化要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)安全的測試和管理可參照使用。規(guī)范性引

5、用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件，其隨后的所有修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件， 其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求術(shù)語、定義和縮略語3.1 術(shù)語和定義GB178591999 確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1網(wǎng)絡(luò)安全 networksecurity網(wǎng)絡(luò)環(huán)境下存儲、傳輸和處理的信息的保密性、完整性和可用性的表征

6、。3.1.2網(wǎng)絡(luò)安全基礎(chǔ)技術(shù) basistechnologyofnetworksecurity 實現(xiàn)各種類型的網(wǎng)絡(luò)系統(tǒng)安全需要的所有基礎(chǔ)性安全技術(shù)。3.1.3網(wǎng)絡(luò)安全子系統(tǒng) securitysubsystemofnetwork網(wǎng)絡(luò)中安全保護(hù)裝置的總稱，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個基本的網(wǎng)絡(luò)安全保護(hù)環(huán)境，并提供安全網(wǎng)絡(luò)所要求的附加用戶服務(wù)。注：按照 GB17859-1999對 TCB（可信計算基）的定義， SSON（網(wǎng)絡(luò)安全子系統(tǒng)）就是網(wǎng)絡(luò)的 TCB。3.1.4SSON安全策略 SS0Nsecuritypolicy對 SS0N中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則

7、。一個 SSON中可以有一個或多個安全策略。3.1.5安全功能策略 securityfunctionpolicy為實現(xiàn) SSON安全要素要求的功能所采用的安全策略。3.1.6安全要素 securityelement本標(biāo)準(zhǔn)中各安全保護(hù)等級的安全技術(shù)要求所包含的安全內(nèi)容的組成成份。3.1.7SSON安全功能 SSONsecurityfunction正確實施 SSON安全策略的全部硬件、 固件、軟件所提供的功能。每一個安全策略的實現(xiàn)，組成一個 SSON安全功能模塊。一個 SSON的所有安全功能模塊共同組成該 SSON的安全功能。3.1.8SSF控制范圍 SSFscopeofcontrolSSON的操

8、作所涉及的主體和客體的范圍。3.2 縮略語下列縮略語適用于本標(biāo)準(zhǔn)：SFP安全功能策略 securityfunctionpolicySSCSSF控制范圍 SSFscopeofcontrolSSFSSON安全功能 SSONsecurityfunctionSSPSSON安全策略 SS0NsecuritypolicySSON網(wǎng)絡(luò)安全子系統(tǒng)securitysubsystemofnetwork網(wǎng)絡(luò)安全組成與相互關(guān)系根據(jù) OSI 參考模型和 GB17859-1999所規(guī)定的安全保護(hù)等級和安全要素， 網(wǎng)絡(luò)安全的組成與相互關(guān)系如表 1 所示。對于網(wǎng)絡(luò)系統(tǒng)的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，

9、可分別按 GB17859-1999的各個安全等級的要求進(jìn)行設(shè)計。在各協(xié)議層中，安全要素的實現(xiàn)方法可有所不同。本標(biāo)準(zhǔn)基于各項安全要素對各協(xié)議層在各個安全保護(hù)等級中應(yīng)采用的安全技術(shù)和機(jī)制提出要求。網(wǎng)絡(luò)安全功能基本要求5.1 身份鑒別5.1.1 用戶標(biāo)識基本標(biāo)識：應(yīng)在 SSF實施所要求的動作之前，先對提出該動作要求的用戶進(jìn)行標(biāo)識。唯一性標(biāo)識：應(yīng)確保所標(biāo)識用戶在信息系統(tǒng)生存周期內(nèi)的唯一性，并將用戶標(biāo)識與安全審計相關(guān)聯(lián)。標(biāo)識信息管理：應(yīng)對用戶標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)地訪問、修改或刪除。5.1.2 用戶鑒別基本鑒別：應(yīng)在 SSF實施所要求的動作之前，先對提出該動作要求的用戶成功地進(jìn)行鑒別。

10、不可偽造鑒別：應(yīng)檢測并防止使用偽造或復(fù)制的鑒別數(shù)據(jù)。一方面，要求 SSF應(yīng)檢測或防止由任何別的用戶偽造的鑒別數(shù)據(jù)， 另一方面，要求 SSF應(yīng)檢測或防止當(dāng)前用戶從任何其它用戶處復(fù)制的鑒別數(shù)據(jù)的使用；c) 一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即 SSF應(yīng)防止與已標(biāo)識過的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用；d) 多機(jī)制鑒別：應(yīng)能提供不同的鑒別機(jī)制，用于鑒別特定事件的用戶身份，并且 SSF應(yīng)根據(jù)所描述的多種鑒別機(jī)制如何提供鑒別的規(guī)則，來鑒別任何用戶所聲稱的身份；e) 重新鑒別：應(yīng)有能力規(guī)定需要重新鑒別用戶的事件，即 SSF應(yīng)在需要重鑒別的條件表所指示的條件下，重新鑒別用戶。例如，用戶終

11、端操作超時被斷開后，重新連接時需要進(jìn)行重鑒別。5.1.3 用戶 - 主體綁定在 SSON安全功能控制范圍之內(nèi)， 對一個已標(biāo)識和鑒別的用戶， 為了要求 SSF完成某個任務(wù)，需要激活另一個主體（如進(jìn)程），這時，要求通過用戶 - 主體綁定將該用戶與該主體相關(guān)聯(lián)，從而將用戶的身份與該用戶的所有可審計行為相關(guān)聯(lián)。5.1.4 鑒別失敗處理要求 SSF為不成功的鑒別嘗試次數(shù)（包括嘗試數(shù)目和時間的閾值）定義一個值，以及明確規(guī)定達(dá)到該值時所應(yīng)采取的動作。 鑒別失敗的處理應(yīng)包括檢測出現(xiàn)相關(guān)的不成功鑒別嘗試的次數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。5.2 自主訪問控制5.2.1 訪問控制策略SSF應(yīng)按確

12、定的自主訪問控制安全策略進(jìn)行設(shè)計，實現(xiàn)對策略控制下的主體與客體間操作的控制?？梢杂卸鄠€自主訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。常用的自主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權(quán)能表訪問控制等。5.2.2 訪問控制功能SSF應(yīng)明確指出采用一條命名的訪問控制策略所實現(xiàn)的特定功能，說明策略的使用和特征，以及該策略的控制范圍。無論采用何種自主訪問控制策略，SSF應(yīng)有能力提供：在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪問控制SFP；在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎(chǔ)上，允許主體對客體的訪問；在基于安全屬性的拒絕主體對客體訪問的規(guī)則的基礎(chǔ)上，拒絕主體對客體的

13、訪問。5.2.3 訪問控制范圍網(wǎng)絡(luò)系統(tǒng)中自主訪問控制的覆蓋范圍分為：a）子集訪問控制：要求每個確定的自主訪問控制， SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主體、客體及其之間的操作；b）完全訪問控制：要求每個確定的自主訪問控制， SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所有的主體、客體及其之間的操作， 即要求 SSF應(yīng)確保 SSC內(nèi)的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制 SFP覆蓋。5.2.4 訪問控制粒度網(wǎng)絡(luò)系統(tǒng)中自主訪問控制的粒度分為：a）粗粒度：主體為用戶組/ 用戶級，客體為文件、數(shù)據(jù)庫表級；b）中粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/ 或記錄、字段級；c）細(xì)粒度：主體為用戶級

14、，客體為文件、數(shù)據(jù)庫表級和/ 或記錄、字段級或元素級。5.3 標(biāo)記5.3.1 主體標(biāo)記應(yīng)為實施強(qiáng)制訪問控制的主體指定敏感標(biāo)記，這些敏感標(biāo)記是實施強(qiáng)制訪問控制的依據(jù)。如：等級分類和非等級類別組合的敏感標(biāo)記是實施多級安全模型的基礎(chǔ)。5.3.2 客體標(biāo)記應(yīng)為實施強(qiáng)制訪問控制的客體指定敏感標(biāo)記，這些敏感標(biāo)記是實施強(qiáng)制訪問控制的依據(jù)。如：等級分類和非等級類別組合的敏感標(biāo)記是實施多級安全模型的基礎(chǔ)。5.3.3 標(biāo)記完整性敏感標(biāo)記應(yīng)能準(zhǔn)確地表示特定主體或客體的訪問控制屬性， 主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)數(shù)據(jù)從 SSON輸出時，根據(jù)需要，敏感標(biāo)記應(yīng)能準(zhǔn)確地和明確地表示輸出數(shù)據(jù)的內(nèi)部標(biāo)記，并與輸出的數(shù)據(jù)相關(guān)聯(lián)。

15、5.3.4 有標(biāo)記信息的輸出SSON應(yīng)對每個通信信道和 I/O 設(shè)備標(biāo)明單級或多級。這個標(biāo)志的任何變化都應(yīng)由授權(quán)用戶實現(xiàn)，并可由 SSON審計。 SSON應(yīng)維持并且能夠?qū)Π踩Ｗo(hù)等級的任何變化進(jìn)行審定，或?qū)εc通信信道或 I/O 設(shè)備有關(guān)的安全保護(hù)等級進(jìn)行安全審計。a) 向多級安全設(shè)備的輸出： 當(dāng) SSON將一客體信息輸出到一個具有多級安全的 I/O 設(shè)備時，與該客體有關(guān)的敏感標(biāo)記也應(yīng)輸出， 并以與輸出信息相同的形式 ( 如機(jī)器可讀或人可讀形式 ) 駐留在同一物理媒體上。當(dāng) SSON在多級通信信道上輸出或輸入一客體信息時， 該信道使用的協(xié)議應(yīng)在敏感標(biāo)記和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對

16、關(guān)系；向單級安全設(shè)備的輸出：單級 I/O 設(shè)備和單級通信信道不需要維持其處理信息的敏感標(biāo)記，但 SSON應(yīng)包含一種機(jī)制， 使 SSON與一個授權(quán)用戶能可靠地實現(xiàn)指定的安全級的信息通信。這種信息經(jīng)由單級通信信道或 I/O 設(shè)備輸入 / 輸出；人可讀標(biāo)記的輸出： SSON應(yīng)標(biāo)記所有人可讀的、編頁的、具有人可讀的敏感標(biāo)記的硬拷貝輸出 ( 如行打印機(jī)輸出 ) 的開始和結(jié)束，以適當(dāng)?shù)乇硎据敵雒舾行浴?SSON應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁的、具有人可讀的敏感標(biāo)記的硬拷貝輸出 ( 如行打印機(jī)輸出 ) 每頁的頂部和底部，以適當(dāng)?shù)乇硎驹撦敵隹偟拿舾行?，或表示該頁信息的敏感性?SSON應(yīng)該按默認(rèn)值，并以一種適當(dāng)

17、方法標(biāo)記具有人可讀的敏感標(biāo)記的其他形式的人可讀的輸出 ( 如圖形 ) ，以適當(dāng)?shù)乇硎驹撦敵龅拿舾行?。這些標(biāo)記默認(rèn)值的任何濫用都應(yīng)由 SSON審計。5.4 強(qiáng)制訪問控制5.4.1 訪問控制策略網(wǎng)絡(luò)強(qiáng)制訪問控制策略應(yīng)包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。當(dāng)前常見的強(qiáng)制訪問控制策略有：a) 多級安全模型：基本思想是，在對主、客體進(jìn)行標(biāo)記的基礎(chǔ)上， SSOIS控制范圍內(nèi)的所有主體對客體的直接或間接的訪問應(yīng)滿足：向下讀原則：僅當(dāng)主體標(biāo)記中的等級分類高于或等于客體標(biāo)記中的等級分類，且主體標(biāo)記中的非等級類別包含了

18、客體標(biāo)記中的全部非等級類別，主體才能讀該客體；向上寫原則：僅當(dāng)主體標(biāo)記中的等級分類低于或等于客體標(biāo)記中的等級分類，且主體標(biāo)記中的非等級類別包含于客體標(biāo)記中的非等級類別，主體才能寫該客體；基于角色的訪問控制（ BRAC）：基本思想是，按角色進(jìn)行權(quán)限的分配和管理；通過對主體進(jìn)行角色授予，使主體獲得相應(yīng)角色的權(quán)限；通過撤消主體的角色授予，取消主體所獲得的相應(yīng)角色權(quán)限。在基于角色的訪問控制中，標(biāo)記信息是對主體的授權(quán)信息；特權(quán)用戶管理：基本思想是，針對特權(quán)用戶權(quán)限過于集中所帶來的安全隱患，對特權(quán)用戶按最小授權(quán)原則進(jìn)行管理。 實現(xiàn)特權(quán)用戶的權(quán)限分離； 僅授予特權(quán)用戶為完成自身任務(wù)所需要的最小權(quán)限。5.4.

19、2 訪問控制功能SSF應(yīng)明確指出采用一條命名的強(qiáng)制訪問控制策略所實現(xiàn)的特定功能。SSF應(yīng)有能力提供：在標(biāo)記或命名的標(biāo)記組的客體上，執(zhí)行訪問控制SFP；按受控主體和受控客體之間的允許訪問規(guī)則，決定允許受控主體對受控客體執(zhí)行受控操作；按受控主體和受控客體之間的拒絕訪問規(guī)則，決定拒絕受控主體對受控客體執(zhí)行受控操作。5.4.3 訪問控制范圍網(wǎng)絡(luò)強(qiáng)制訪問控制的覆蓋范圍分為：子集訪問控制：對每個確定的強(qiáng)制訪問控制， SSF應(yīng)覆蓋信息系統(tǒng)中由安全功能所定義的主體、客體及其之間的操作；完全訪問控制：對每個確定的強(qiáng)制訪問控制， SSF應(yīng)覆蓋信息系統(tǒng)中所有的主體、客體及其之間的操作， 即要求 SSF應(yīng)確保 SSC

20、內(nèi)的任意一個主體和任意一個客體之間的操作將至少被一個確定的訪問控制 SFP覆蓋。5.4.4 訪問控制粒度網(wǎng)絡(luò)強(qiáng)制訪問控制的粒度分為：a）中粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/ 或記錄、字段級；b）細(xì)粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/ 或記錄、字段級和/ 或元素級。5.4.5 訪問控制環(huán)境單一安全域環(huán)境：在單一安全域環(huán)境實施的強(qiáng)制訪問控制應(yīng)在該環(huán)境中維持統(tǒng)一的標(biāo)記信息和訪問規(guī)則。當(dāng)被控客體輸出到安全域以外時，應(yīng)將其標(biāo)記信息同時輸出；多安全域環(huán)境：在多安全域環(huán)境實施統(tǒng)一安全策略的強(qiáng)制訪問控制時，應(yīng)在這些安全域中維持統(tǒng)一的標(biāo)記信息和訪問規(guī)則。 當(dāng)被控制客體在這些安全域之間移動時

21、， 應(yīng)將其標(biāo)記信息一起移動。5.5 數(shù)據(jù)流控制對網(wǎng)絡(luò)中以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)流動的情況，應(yīng)采用數(shù)據(jù)流控制機(jī)制實現(xiàn)對數(shù)據(jù)流動的控制，以防止具有高等級安全的數(shù)據(jù)信息向低等級的區(qū)域流動。5.6 安全審計5.6.1 安全審計的響應(yīng)安全審計 SSF應(yīng)按以下要求響應(yīng)審計事件：記審計日志：當(dāng)檢測到可能有安全侵害事件時，將審計數(shù)據(jù)記入審計日志；實時報警生成：當(dāng)檢測到可能有安全侵害事件時，生成實時報警信息；違例進(jìn)程終止：當(dāng)檢測到可能有安全侵害事件時，將違例進(jìn)程終止；服務(wù)取消：當(dāng)檢測到可能有安全侵害事件時，取消當(dāng)前的服務(wù)；用戶賬號斷開與失效：當(dāng)檢測到可能有安全侵害事件時，將當(dāng)前的用戶賬號斷開，并使其失效。5.6.2

22、 安全審計數(shù)據(jù)產(chǎn)生SSF應(yīng)按以下要求產(chǎn)生審計數(shù)據(jù)：為下述可審計事件產(chǎn)生審計記錄：審計功能的啟動和關(guān)閉；使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；系統(tǒng)管理員、系統(tǒng)安全員、審計員和一般操作員所實施的操作；其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計事件；對于每一個事件，其審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關(guān)的信息；對于身份鑒別事件，審計記錄應(yīng)包含請求的來源（例如：終端標(biāo)識符）；對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應(yīng)包含客體名及客體的安全保護(hù)等級；將每個可審計事件與引起該事件的用戶相關(guān)聯(lián)。5.6.3

23、 安全審計分析安全審計分析應(yīng)包括：a) 潛在侵害分析：應(yīng)能用一系列規(guī)則去監(jiān)控審計事件，并根據(jù)這些規(guī)則指出 SSP的潛在侵害。這些規(guī)則包括：由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；任何其他的規(guī)則；基于異常檢測的描述：應(yīng)維護(hù)用戶所具有的質(zhì)疑等級歷史使用情況，以表明該用戶的現(xiàn)行活動與已建立的使用模式的一致性程度。當(dāng)用戶的質(zhì)疑等級超過門限條件時， SSF 應(yīng)能指出將要發(fā)生對安全性的威脅；簡單攻擊探測：應(yīng)能檢測到對 SSF實施有重大威脅的簽名事件的出現(xiàn)。為此， SSF應(yīng)維護(hù)指出對 SSF侵害的簽名事件的內(nèi)部表示， 并將檢測到的系統(tǒng)行為記錄與簽名事件進(jìn)行比較，當(dāng)發(fā)現(xiàn)兩者匹配時，指出一個

24、對 SSF的攻擊即將到來；d) 復(fù)雜攻擊探測：在上述簡單攻擊探測的基礎(chǔ)上，要求 SSF應(yīng)能檢測到多步入侵情況，并能根據(jù)已知的事件序列模擬出完整的入侵情況， 還應(yīng)指出發(fā)現(xiàn)對 SSF的潛在侵害的簽名事件或事件序列的時間。5.6.4 安全審計查閱安全審計查閱工具應(yīng)具有：a) 審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權(quán)用戶提供獲得和解釋審計信息的能力。當(dāng)用戶是人時，必須以人類可懂的方式表示信息；當(dāng)用戶是外部IT實體時，必須以電子方式無歧義地表示審計信息；有限審計查閱：在上述審計查閱的基礎(chǔ)上，審計查閱工具應(yīng)禁止具有讀訪問權(quán)限以外的用戶讀取審計信息；可選審計查閱：在上述有限審計查閱的基礎(chǔ)

25、上，審計查閱工具應(yīng)具有根據(jù)準(zhǔn)則來選擇要查閱的審計數(shù)據(jù)的功能，并根據(jù)某種邏輯關(guān)系的標(biāo)準(zhǔn)提供對審計數(shù)據(jù)進(jìn)行搜索、分類、排序的能力。5.6.5 安全審計事件選擇應(yīng)根據(jù)以下屬性選擇可審計事件：客體身份、用戶身份、主體身份、主機(jī)身份、事件類型；作為審計選擇性依據(jù)的附加屬性。5.6.6 安全審計事件存儲應(yīng)具有以下創(chuàng)建并維護(hù)安全的審計蹤跡記錄的能力：受保護(hù)的審計蹤跡存儲：要求審計蹤跡的存儲受到應(yīng)有的保護(hù)，能檢測或防止對審計記錄的修改；審計數(shù)據(jù)的可用性確保：要求在意外情況出現(xiàn)時，能檢測或防止對審計記錄的修改，以及在發(fā)生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不被破壞；審計數(shù)據(jù)可能丟失情況下的措施：

26、要求當(dāng)審計跟蹤超過預(yù)定的門限時，應(yīng)采取相應(yīng)的措施，進(jìn)行審計數(shù)據(jù)可能丟失情況的處理；防止審計數(shù)據(jù)丟失：要求在審計蹤跡存儲記滿時，應(yīng)采取相應(yīng)的防止審計數(shù)據(jù)丟失的措施，可選擇“忽略可審計事件”、 “阻止除具有特殊權(quán)限外的其他用戶產(chǎn)生可審計事件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其它行動”等措施，防止審計數(shù)據(jù)丟失。5.7 用戶數(shù)據(jù)完整性5.7.1 存儲數(shù)據(jù)的完整性應(yīng)對存儲在 SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)，包括：完整性檢測：要求 SSF應(yīng)對基于用戶屬性的所有客體，對存儲在 SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測；完整性檢測和恢復(fù)：要求 SSF應(yīng)對基于用戶屬性的所有客體，對存儲在

27、SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測 , 并且當(dāng)檢測到完整性錯誤時， SSF應(yīng)采取必要的 SSF應(yīng)采取必要的恢復(fù)、審計或報警措施。5.7.2 傳輸數(shù)據(jù)的完整性當(dāng)用戶數(shù)據(jù)在 SSF和其它可信 IT 系統(tǒng)間傳輸時應(yīng)提供完整性保護(hù)，包括：完整性檢測：要求對被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行檢測，及時發(fā)現(xiàn)以某種方式傳送或接收的用戶數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生；數(shù)據(jù)交換恢復(fù)： 由接收者 SSON借助于源可信 IT 系統(tǒng)提供的信息， 或由接收者 SSON自己無須來自源可信 IT 系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶數(shù)據(jù)。若沒有可恢復(fù)條件，應(yīng)向源可信 IT 系統(tǒng)提供反饋信息。5.7.3 處理數(shù)據(jù)的完整性回退：對

28、信息系統(tǒng)中處理中的數(shù)據(jù)，應(yīng)通過“回退”進(jìn)行完整性保護(hù)，即要求 SSF應(yīng)執(zhí)行訪問控制 SFP，以允許對所定義的操作序列進(jìn)行回退。5.8 用戶數(shù)據(jù)保密性5.8.1 存儲數(shù)據(jù)的保密性應(yīng)對存儲在 SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。5.8.2 傳輸數(shù)據(jù)的保密性應(yīng)對在 SSC內(nèi)傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)。5.8.3 客體安全重用在對資源進(jìn)行動態(tài)管理的系統(tǒng)中，客體資源（寄存器、內(nèi)存、磁盤等記錄介質(zhì)）中的剩余信息不應(yīng)引起信息的泄露?？腕w安全重用分為：子集信息保護(hù)： 要求對 SSON安全控制范圍之內(nèi)的某個子集的客體資源， 在將其分配給某一用戶或代表該用戶運(yùn)行的進(jìn)程時，應(yīng)不會泄露該客體中的原有信息；完全信息保護(hù)

29、： 要求對 SSON安全控制范圍之內(nèi)的所有客體資源， 在將其分配給某一用戶或代表該用戶運(yùn)行的進(jìn)程時，應(yīng)不會泄露該客體中的原有信息；特殊信息保護(hù)：對于某些需要特別保護(hù)的信息，應(yīng)采用專門的方法對客體資源中的殘留信息做徹底清除，如對剩磁的清除等。5.9 可信路徑用戶與 SSF間的可信路徑應(yīng)：提供真實的端點標(biāo)識，并保護(hù)通信數(shù)據(jù)免遭修改和泄露；利用可信路徑的通信可以由 SSF自身、本地用戶或遠(yuǎn)程用戶發(fā)起；對原發(fā)用戶的鑒別或需要可信路徑的其它服務(wù)均使用可信路徑。5.10 抗抵賴5.10.1 抗原發(fā)抵賴應(yīng)確保信息的發(fā)送者不能否認(rèn)曾經(jīng)發(fā)送過該信息。這就要求 SSF提供一種方法，來確保接收信息的主體在數(shù)據(jù)交換期

30、間能獲得證明信息原發(fā)的證據(jù)， 而且該證據(jù)可由該主體或第三方主體驗證?？乖l(fā)抵賴分為：選擇性原發(fā)證明：要求 SSF具有為主體提供請求原發(fā)證據(jù)信息的能力。即 SSF在接到原發(fā)者或接收者的請求時， 能就傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)， 證明該信息的發(fā)送由該原發(fā)者所為；強(qiáng)制性原發(fā)證明：要求 SSF在任何時候都能對傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)。即 SSF在任何時候都能就傳輸?shù)男畔?qiáng)制產(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā)者所為。5.10.2 抗接收抵賴應(yīng)確保信息的接收者不能否認(rèn)接受過該信息。這就要求 SSF提供一種方法，來確保發(fā)送信息的主體在數(shù)據(jù)交換期間能獲得證明該信息被接收的證據(jù)， 而且該證據(jù)可由該主體或第三方主體

31、驗證?？菇邮盏仲嚪譃椋哼x擇性接收證明：要求 SSF具有為主體提供請求信息接收證據(jù)的能力。即 SSF在接到原發(fā)者或接收者的請求時， 能就接收到的信息產(chǎn)生接收證據(jù)， 證明該信息的接收由該接收者所為；強(qiáng)制性接收證明：要求 SSF總是對收到的信息產(chǎn)生接收證據(jù)。即 SSF能在任何時候?qū)κ盏降男畔?qiáng)制產(chǎn)生接收證據(jù)，證明該信息的接收由該接收者所為。5.11 網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全監(jiān)控應(yīng)采用以下安全技術(shù)和機(jī)制：網(wǎng)絡(luò)安全探測機(jī)制：在組成網(wǎng)絡(luò)系統(tǒng)的各個重要部位，設(shè)置探測器，實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，監(jiān)視和記錄內(nèi)、外部用戶出入網(wǎng)絡(luò)的相關(guān)操作，在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問時，報告網(wǎng)絡(luò)安全監(jiān)控中心；網(wǎng)絡(luò)安全監(jiān)控中心：設(shè)置安全監(jiān)控

32、中心，對收到的來自探測器的信息，根據(jù)安全策略進(jìn)行分析，并作審計、報告、事件記錄和報警等處理。網(wǎng)絡(luò)安全監(jiān)控中心應(yīng)具有必要的遠(yuǎn)程管理功能，如對探測器實現(xiàn)遠(yuǎn)程參數(shù)設(shè)置、遠(yuǎn)程數(shù)據(jù)下載、遠(yuǎn)程啟動等操作。網(wǎng)絡(luò)安全監(jiān)控中心還應(yīng)具有實時響應(yīng)功能，包括攻擊分析和響應(yīng)、誤操作分析和響應(yīng)、漏洞分析和響應(yīng)等。網(wǎng)絡(luò)安全功能分層分級要求6.1 身份鑒別功能應(yīng)按照用戶標(biāo)識和用戶鑒別的要求進(jìn)行身份鑒別安全機(jī)制的設(shè)計。一般以用戶名和用戶標(biāo)識符來標(biāo)識一個用戶， 應(yīng)確保在一個信息系統(tǒng)中用戶名和用戶標(biāo)識符的唯一性， 嚴(yán)格的唯一性應(yīng)維持在網(wǎng)絡(luò)系統(tǒng)的整個生存周期都有效， 即使一個用戶的賬戶已被刪除， 他的用戶名和標(biāo)識符也不能再使用，并由

33、此確保用戶的唯一性和可區(qū)別性。鑒別應(yīng)確保用戶的真實性。可以用口令進(jìn)行鑒別，更嚴(yán)格的身份鑒別可采用智能 IC 卡密碼技術(shù)，指紋、虹膜等特征信息進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)之前進(jìn)行鑒別?？诹顟?yīng)是不可見的，并在存儲和傳輸時進(jìn)行保護(hù)。智能 IC 卡身份鑒別應(yīng)以密碼技術(shù)為基礎(chǔ)，并按用戶鑒別中不可偽造鑒別所描述的要求進(jìn)行設(shè)計。對于鑒別失敗的情況，要求按鑒別失敗所描述的要求進(jìn)行處理。用戶在系統(tǒng)中的行為一般由進(jìn)程代為執(zhí)行，要求按用戶 - 主體綁定所描述的要求，將用戶與代表該用戶行為的進(jìn)程相關(guān)聯(lián)。這種關(guān)聯(lián)應(yīng)體現(xiàn)在 SSON安全功能控制范圍之內(nèi)各主、客體之間的相互關(guān)系上。比如，一個用戶通過鍵入一條命令要求訪

34、問一個指定文件，信息系統(tǒng)運(yùn)行某一進(jìn)程實現(xiàn)這一功能。這時，該進(jìn)程應(yīng)與該用戶相關(guān)聯(lián)，于是該進(jìn)程的行為即可看作該用戶的行為。身份鑒別應(yīng)區(qū)分實體鑒別和數(shù)據(jù)起源鑒別：當(dāng)身份是由參與通信連接或會話的遠(yuǎn)程實體提交時叫實體鑒別， 它可以作為訪問控制服務(wù)的一種必要支持； 當(dāng)身份信息是由數(shù)據(jù)項發(fā)送者提交時叫數(shù)據(jù)起源鑒別， 它是確保部分完整性目標(biāo)的直接方法， 確保知道某個數(shù)據(jù)項的真正起源。表 2 給出了從用戶自主保護(hù)級到訪問驗證保護(hù)級對身份鑒別功能的分層分級要求。6.2 自主訪問控制功能應(yīng)按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要求，設(shè)計和實現(xiàn)所需要的自主訪問控制功能。當(dāng)使用文件、目

35、錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)管理員應(yīng)給文件、目錄等指定訪問屬性。訪問控制規(guī)則應(yīng)將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備相聯(lián)系。 網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表， 用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。自主訪問控制應(yīng)能控制以下權(quán)限：向某個文件寫數(shù)據(jù)、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等；為每個命名客體指定用戶名和用戶組，以及規(guī)定他們對客體的訪問模式。表 3 給出了從用戶自主保護(hù)級到訪問驗證保護(hù)級對自主訪問控制功能的分層分級要求。6.3 標(biāo)記功能應(yīng)按照主體標(biāo)記和客體標(biāo)記所描述的要求進(jìn)行標(biāo)記設(shè)計。在網(wǎng)絡(luò)環(huán)境中，帶有

36、特定標(biāo)記的數(shù)據(jù)應(yīng)能被安全策略禁止通過某些子網(wǎng)、鏈路或中繼。連接的發(fā)起者 ( 或無連接數(shù)據(jù)單元的發(fā)送者 ) 可以指定路由選擇說明， 請求回避某些特定的子網(wǎng)、鏈路或中繼。包含數(shù)據(jù)項的資源應(yīng)具有與這些數(shù)據(jù)相關(guān)聯(lián)的敏感標(biāo)記。敏感標(biāo)記可能是與被傳送的數(shù)據(jù)相連的附加數(shù)據(jù)， 也可能是隱含的信息， 例如使用一個特定密鑰加密數(shù)據(jù)所隱含的信息或由該數(shù)據(jù)的上下文所隱含的信息，可由數(shù)據(jù)源或路由來隱含。明顯的敏感標(biāo)記必須是清晰可辨認(rèn)的，以便對它們作適當(dāng)?shù)尿炞C。此外，它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。對于在通信期間要移動的數(shù)據(jù)項，發(fā)起通信的進(jìn)程與實體，響應(yīng)通信的進(jìn)程與實體，在通信時被用到的信道和其他資源等， 都可

37、以用各自的敏感信息來標(biāo)記。 安全策略應(yīng)指明如何使用敏感信息以提供必要的安全性。 當(dāng)安全策略是基于用戶身份時， 不論直接或通過進(jìn)程訪問數(shù)據(jù)，敏感標(biāo)記均應(yīng)包含有關(guān)用戶身份的信息。 用于特定標(biāo)記的那些規(guī)則應(yīng)該表示在安全管理信息庫中的一個安全策略中，如果需要，還應(yīng)與端系統(tǒng)協(xié)商。標(biāo)記可以附帶敏感信息，指明其敏感性，說明處理與分布上的隱蔽處，強(qiáng)制定時與定位，以及指明對該端系統(tǒng)特有的要求。采用的安全策略決定了標(biāo)記所攜帶的敏感信息及其含義，不同的網(wǎng)絡(luò)會有差異。表 4 給出了從安全標(biāo)記保護(hù)級到訪問驗證保護(hù)級對標(biāo)記功能的分層分級要求。6.4 強(qiáng)制訪問控制功能應(yīng)按照強(qiáng)制訪問控制功能的要求，選擇所需的訪問控制策略，設(shè)

38、計和實現(xiàn)所需要的強(qiáng)制訪問控制功能。強(qiáng)制訪問控制應(yīng)由專門設(shè)置的系統(tǒng)安全員統(tǒng)一管理系統(tǒng)中與該訪問控制有關(guān)的事件和信息。為了防止由于系統(tǒng)管理人員或特權(quán)用戶的權(quán)限過于集中所帶來的安全隱患， 應(yīng)將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計管理，由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員分別承擔(dān)，并在三者之間形成相互制約的關(guān)系。采用多級安全模型的強(qiáng)制訪問控制應(yīng)將 SSON安全控制范圍內(nèi)的所有主、 客體成分通過標(biāo)記方式設(shè)置敏感標(biāo)記， 這些敏感標(biāo)記與訪問規(guī)則一起確定每一次主體對客體的訪問是否被允許。這里所要求的對客體的控制范圍除涉及系統(tǒng)內(nèi)部的存儲、處理和傳輸過程外，還應(yīng)包括將信息進(jìn)行輸入、輸出操作的過程，即無論信息以

39、何種形式存在，都應(yīng)有一定的安全屬性與其相關(guān)聯(lián)，并按強(qiáng)制訪問控制規(guī)則對其進(jìn)行控制。第三級的強(qiáng)制訪問控制應(yīng)對 SSON所定義的主體與客體實施控制。 第四級以上的強(qiáng)制訪問控制應(yīng)擴(kuò)展到信息系統(tǒng)中的所有主體與客體。 表 5 給出了從安全標(biāo)記保護(hù)級到訪問驗證保護(hù)級強(qiáng)制訪問控制功能的分層分級要求。6.5 數(shù)據(jù)流控制功能對在網(wǎng)絡(luò)中以數(shù)據(jù)流方式進(jìn)行的數(shù)據(jù)交換，應(yīng)按照數(shù)據(jù)流控制的要求進(jìn)行用戶數(shù)據(jù)保密性保護(hù)設(shè)計。表 6 給出了從安全標(biāo)記保護(hù)級到訪問驗證保護(hù)級對數(shù)據(jù)流控制功能的分層分級要求。6.6 安全審計功能應(yīng)按照對安全審計的要求進(jìn)行設(shè)計。按安全審計數(shù)據(jù)產(chǎn)生的描述產(chǎn)生審計數(shù)據(jù)；按安全審計查閱的描述提供審計查閱、 有

40、限審計查閱和可選審計查閱； 按安全審計事件選擇的描述提供對審計事件的選擇；按安全審計事件存儲中受保護(hù)的審計蹤跡存儲、審計數(shù)據(jù)的可用性確保、審計數(shù)據(jù)可能丟失行動和防止審計事件丟失的要求來保存審計事件；按安全審計分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復(fù)雜攻擊探測的要求進(jìn)行審計分析設(shè)計； 按安全審計的自動響應(yīng)的要求設(shè)計相應(yīng)的功能。網(wǎng)絡(luò)安全審計涉及與安全有關(guān)的事件，包括事件的探測、收集、控制，進(jìn)行事件責(zé)任的追查。審計中必須包含的信息的典型類型包括： 標(biāo)定哪些網(wǎng)段需要有限授權(quán)訪問或數(shù)據(jù)加密，哪些設(shè)備、文件和目錄需要加鎖或口令保護(hù)，哪些文件應(yīng)該進(jìn)行存檔備份，執(zhí)行備份程序的頻率，以及網(wǎng)絡(luò)

41、所使用的病毒防護(hù)措施的類型等。 安全審計通過對網(wǎng)絡(luò)上發(fā)生的各種訪問情況記錄日志，并對日志進(jìn)行統(tǒng)計分析，從而對資源使用情況進(jìn)行事后分析。審計也是發(fā)現(xiàn)和追蹤安全事件的常用措施，能夠自動記錄攻擊發(fā)起人的 IP 地址及企圖攻擊的時間，以及攻擊包數(shù)據(jù)，給系統(tǒng)安全管理及追查網(wǎng)絡(luò)犯罪提供可靠的線索。 安全審計應(yīng)該提供有關(guān)網(wǎng)絡(luò)所使用的緊急事件和災(zāi)難處理程序， 提供準(zhǔn)確的網(wǎng)絡(luò)安全審計和趨向分析報告， 支持安全程序的計劃和評估。對于較高安全等級的安全審計數(shù)據(jù)，可通過數(shù)字簽名技術(shù)進(jìn)行保護(hù)，限定審計數(shù)據(jù)可由審計員處理，但不可修改。表 7 給出了從系統(tǒng)審計保護(hù)級到訪問驗證保護(hù)級對安全審計功能的分層分級要求。6.7 用戶

42、數(shù)據(jù)完整性保護(hù)功能應(yīng)對系統(tǒng)中存儲、傳輸和處理的用戶數(shù)據(jù)采取有效措施， 防止其遭受非授權(quán)用戶的修改、破壞或刪除。對存儲在系統(tǒng)中的用戶數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲數(shù)據(jù)的完整性保護(hù)中完整性監(jiān)視的要求， 設(shè)計相應(yīng)的 SSON安全功能模塊， 對 SSON安全控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)；較高安全要求應(yīng)通過密碼支持系統(tǒng)所提供的功能，對加密存儲的數(shù)據(jù)進(jìn)行存儲數(shù)據(jù)的完整性檢驗或采用其它相應(yīng)的安全機(jī)制， 在檢測到完整性錯誤時采取必要的恢復(fù)措施。 對經(jīng)過網(wǎng)絡(luò)傳輸?shù)挠脩魯?shù)據(jù)完整性保護(hù)，應(yīng)按照 SSON間通信保護(hù)中用戶用戶數(shù)據(jù)保密性和完整性檢測、 以及源恢復(fù)和目的恢復(fù)的要求設(shè)計相應(yīng)的 SSON安全功

43、能模塊。對系統(tǒng)中進(jìn)行處理的數(shù)據(jù)的完整性保護(hù)， 應(yīng)按照回退的要求設(shè)計相應(yīng)的 SSON安全功能模塊，進(jìn)行異常情況的操作序列回退，以確保數(shù)據(jù)的完整性。表 8 給出了從用戶自主保護(hù)級到訪問驗證保護(hù)級用戶數(shù)據(jù)完整性保護(hù)功能的分層分級要求。6.8 用戶數(shù)據(jù)保密性保護(hù)功能應(yīng)對系統(tǒng)中存儲、傳輸和處理的信息采取有效的保護(hù)措施，防止其遭受非授權(quán)的泄露。對存儲在系統(tǒng)中的數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲數(shù)據(jù)的保密性保護(hù)的一般方法，設(shè)計相應(yīng)的 SSON安全功能模塊， 對 SSON安全控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)；較高安全要求應(yīng)通過密碼支持系統(tǒng)所提供的功能或相應(yīng)安全性的安全機(jī)制所提供的安全功能，對存儲的數(shù)據(jù)

44、進(jìn)行保密性保護(hù)。對在系統(tǒng)中傳輸?shù)臄?shù)據(jù)， 較低級別應(yīng)按照存儲數(shù)據(jù)的保密性保護(hù)的要求， 設(shè)計相應(yīng)的 SSON 安全功能模塊，對 SSON安全控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；較高安全要求的系統(tǒng)應(yīng)通過密碼支持系統(tǒng)所提供的功能或其它相應(yīng)的安全機(jī)制所提供的安全功能， 進(jìn)行嚴(yán)格的保密性保護(hù)。對系統(tǒng)運(yùn)行中動態(tài)管理和分配的資源，應(yīng)采用有效措施，防止其剩余信息引起的信息泄露。表 9 給出了從用戶自主保護(hù)級到訪問驗證保護(hù)級用戶數(shù)據(jù)保密性保護(hù)功能的分層分級要求。6.9 可信路徑功能應(yīng)提供用戶與 SSON之間安全地進(jìn)行數(shù)據(jù)傳輸?shù)谋ＷC， 要求按用戶與 SSF間可信路徑所描述的要求進(jìn)行設(shè)計。表 10 給出結(jié)構(gòu)化保護(hù)級和

45、訪問驗證保護(hù)級可信路徑功能的分層分級要求。6.10 抗抵賴功能應(yīng)提供通信雙方身份的真實性和雙方對信交換行為的不可抵賴性。 對信息的發(fā)送方， SSON 應(yīng)按抗原發(fā)抵賴中選擇性原發(fā)證明 / 強(qiáng)制性原發(fā)證明的要求進(jìn)行設(shè)計； 對信息的接收方， SSON 應(yīng)按抗接收抵賴中選擇性接收證明 / 強(qiáng)制性接受證明的要求進(jìn)行設(shè)計。表 11 給出了從安全標(biāo)記保護(hù)級到訪問驗證保護(hù)級抗抵賴功能的分層分級要求。6.11 網(wǎng)絡(luò)安全監(jiān)控功能應(yīng)提供對網(wǎng)絡(luò)系統(tǒng)運(yùn)行進(jìn)行安全監(jiān)控的功能。網(wǎng)絡(luò)安全監(jiān)控機(jī)制通過在網(wǎng)絡(luò)環(huán)境的各個關(guān)鍵部位設(shè)置分布式探測器收集與安全相關(guān)的信息， 并由網(wǎng)絡(luò)安全監(jiān)控中心匯集和分析， 及時發(fā)現(xiàn)各種違規(guī)行為。表 12

46、 給出了從安全標(biāo)記保護(hù)級到訪問驗證保護(hù)級網(wǎng)絡(luò)安全監(jiān)控功能的分層分級要求。網(wǎng)絡(luò)安全技術(shù)分級要求7.1 第一級：用戶自主保護(hù)級7.1.1 第一級安全功能要求物理層根據(jù)需要，可采用密碼技術(shù)確保所傳送的數(shù)據(jù)受到應(yīng)有的完整性保護(hù)，防止其遭受非授權(quán)的泄露。本安全保護(hù)等級該層所涉及的用戶數(shù)據(jù)完整性保護(hù)應(yīng)滿足6.7 和 GB/T鏈路層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：

47、可根據(jù)6.7 的描述，按 GB/T傳輸層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T會話層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T表示層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/T自主訪問控制：可根據(jù) 6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T應(yīng)用層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：可根據(jù)6.2 的

48、描述，按 GB/Tc）用戶數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T7.1.2 第一級安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：按GB/Tb)SSF 運(yùn)行安全保護(hù)：按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：按GB/T資源利用：按 GB/Te)SSON訪問控制：按 GB/TSSON設(shè)計和實現(xiàn)配置管理：按 GB/T分發(fā)和操作：按 GB/T開發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測試：按 GB/TSSON安全管理按 GB/T7.2 第二級：系統(tǒng)審計保護(hù)級7.2.1 第二級安全功能要求物理層采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其

49、遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級按 GB/T戶數(shù)據(jù)完整性保護(hù)應(yīng)滿足6.7 和 GB/T鏈路層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）用戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計：根據(jù)6.6 的描述，按 GB/Td）用戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T傳輸層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb

50、）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計：根據(jù)6.6 的描述，按 GB/Td）用戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T會話層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計：根據(jù)6.6 的描述，按 GB/Td）用戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T表示層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計：根據(jù)6.6 的描述，按 GB/Td）用

51、戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T應(yīng)用層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計：根據(jù)6.6 的描述，按 GB/Td）用戶數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T7.2.2 第二級安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：按GB/Tb)SSF 運(yùn)行安全保護(hù)：按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：按GB/T資源利用：按 GB/T e)SSON訪問控制：按 GB/T SSON設(shè)計和實現(xiàn)配置管理：按 GB

52、/T分發(fā)和操作：按 GB/T開發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測試：按 GB/TSSON安全管理按 GB/T7.3 第三級：安全標(biāo)記保護(hù)級7.3.1 第三級安全功能要求物理層應(yīng)采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級應(yīng)按 GB/T的用戶數(shù)據(jù)完整性保護(hù)應(yīng)滿足6.7 和 GB/T鏈路層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控

53、制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴：應(yīng)根據(jù)6.10 的描

54、述，按 GB/T傳輸層a）身份鑒別：應(yīng)根據(jù)6.1 條的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴：應(yīng)根據(jù)6.10 的描述，按 GB/T會話層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)

55、記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴：應(yīng)根據(jù)6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T表示層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 條的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4

56、的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T抗抵賴：應(yīng)根據(jù) 6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T應(yīng)用層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）

57、安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴：應(yīng)根據(jù)6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T7.3.2 第三級安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：應(yīng)按GB/Tb)SSF 運(yùn)行安全保護(hù)：應(yīng)按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：應(yīng)按GB/T資源利用：應(yīng)按 GB/Te)SSON訪問控制：應(yīng)按GB/TSSON設(shè)計和實現(xiàn)配置管理：應(yīng)按 GB/T分發(fā)和操作：應(yīng)按 GB/T開發(fā)：應(yīng)按 GB/T文檔要求：應(yīng)按 GB/T生存周

58、期支持：應(yīng)按 GB/T測試：應(yīng)按 GB/T脆弱性評定：應(yīng)按 GB/T SSON安全管理應(yīng)按 GB/T7.4 第四級：結(jié)構(gòu)化保護(hù)級7.4.1 第四級安全功能要求物理層應(yīng)采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級應(yīng)按 GB/T及的用戶數(shù)據(jù)完整性保護(hù)應(yīng)滿足6.7 和 GB/T鏈路層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/T實體鑒別；b）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 G

59、B/Tf ）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 條的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）可信路徑：應(yīng)根據(jù)6.9 的描述，按 GB/T抗抵賴：應(yīng)根據(jù)

60、6.10 的描述，按 GB/T傳輸層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪問控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪問控制：應(yīng)根據(jù)6.4 的描述，按 GB/T；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）可信路徑：應(yīng)根據(jù)6.9 的描述，按 GB/T抗抵賴：應(yīng)根據(jù) 6.10 的描述，按 GB/T會話層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）