網絡基礎安全技術要求

1、信息安全技術網絡基礎安全技術要求引言本標準用以指導設計者如何設計和實現具有所需要的安全保護等級的網絡系統，主要說明為實現 GB7859 1999 中每一個安全保護等級的安全要求，網絡系統應采取的安全技術措施，以及各安全技術要求在不同安全保護等級中具體差異。網絡是一個具有復雜結構、由許多網絡設備組成的系統，不同的網絡環(huán)境又會有不同的系統結構。然而，從網絡系統所實現的功能來看，可以概括為“實現網上信息交換”。網上信息交換具體可以分解為信息的發(fā)送、信息的傳輸和信息的接收。 從信息安全的角度， 網絡信息安全可以概括為“保障網上信息交換的安全”，具體表現為信息發(fā)送的安全、信息傳輸的安全和信息接收的安全，

2、以及網上信息交換的抗抵賴等。 網上信息交換是通過確定的網絡協議實現的，不同的網絡會有不同的協議。任何網絡設備都是為實現確定的網絡協議而設置的。典型的、具有代表性的網絡協議是國際標準化組織的開放系統互連協議（ISO/OSI），也稱七層協議。雖然很少有完全按照七層協議構建的網絡系統， 但是七層協議的理論價值和指導作用是任何網絡協議所不可替代的。網絡安全需要通過協議安全來實現。通過對七層協議每一層安全的描述，可以實現對網絡安全的完整描述。網絡協議的安全需要由組成網絡系統的設備來保障。因此，對七層協議的安全要求自然包括對網絡設備的安全要求。信息安全是與信息系統所實現的功能密切相關的，網絡安全也不例外。

3、網絡各層協議的安全與其在每一層所實現的功能密切相關。附錄 A 2 關于網絡各層協議主要功能的說明，對物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層等各層的功能進行了簡要描述，是確定網絡各層安全功能要求的主要依據。本標準以 GB/T20271-2006 關于信息系統安全等級保護的通用技術要求為基礎， 圍繞以訪問控制為核心的思想進行編寫， 在對網絡安全的組成與相互關系進行簡要說明的基礎上， 第 5 章對網絡安全功能基本技術分別進行了說明，第 6 章是對第 5 章網絡安全功能的分級分層情況的描述。 在此基礎上，本標準的第 7 章對網絡安全技術的分等級要求分別從安全功能技術要求和安全保證技術要

4、求兩方面進行了詳細說明。 在第 7 章的描述中除了引用以前各章的內容外，還引用了 GB/T20271-2006中關于安全保證技術要求的內容。由于 GB/T20271-2006 的安全保證技術要求， 對網絡而言沒有需要特別說明的內容， 所以在網絡基本技術及其分級分層的描述中沒有涉及這方面的內容。信息安全技術網絡基礎安全技術要求范圍本標準依據 GB17859-1999的五個安全保護等級的劃分， 根據網絡系統在信息系統中的作用，規(guī)定了各個安全等級的網絡系統所需要的基礎安全技術的要求。本標準適用于按等級化的要求進行的網絡系統的設計和實現，對按等級化要求進行的網絡系統安全的測試和管理可參照使用。規(guī)范性引

5、用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件，其隨后的所有修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件， 其最新版本適用于本標準。GB17859-1999計算機信息系統安全保護等級劃分準則 GB/T20271-2006信息安全技術信息系統通用安全技術要求術語、定義和縮略語3.1 術語和定義GB178591999 確立的以及下列術語和定義適用于本標準。3.1.1網絡安全 networksecurity網絡環(huán)境下存儲、傳輸和處理的信息的保密性、完整性和可用性的表征

6、。3.1.2網絡安全基礎技術 basistechnologyofnetworksecurity 實現各種類型的網絡系統安全需要的所有基礎性安全技術。3.1.3網絡安全子系統 securitysubsystemofnetwork網絡中安全保護裝置的總稱，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的網絡安全保護環(huán)境，并提供安全網絡所要求的附加用戶服務。注：按照 GB17859-1999對 TCB（可信計算基）的定義， SSON（網絡安全子系統）就是網絡的 TCB。3.1.4SSON安全策略 SS0Nsecuritypolicy對 SS0N中的資源進行管理、保護和分配的一組規(guī)則

7、。一個 SSON中可以有一個或多個安全策略。3.1.5安全功能策略 securityfunctionpolicy為實現 SSON安全要素要求的功能所采用的安全策略。3.1.6安全要素 securityelement本標準中各安全保護等級的安全技術要求所包含的安全內容的組成成份。3.1.7SSON安全功能 SSONsecurityfunction正確實施 SSON安全策略的全部硬件、 固件、軟件所提供的功能。每一個安全策略的實現，組成一個 SSON安全功能模塊。一個 SSON的所有安全功能模塊共同組成該 SSON的安全功能。3.1.8SSF控制范圍 SSFscopeofcontrolSSON的操

8、作所涉及的主體和客體的范圍。3.2 縮略語下列縮略語適用于本標準：SFP安全功能策略 securityfunctionpolicySSCSSF控制范圍 SSFscopeofcontrolSSFSSON安全功能 SSONsecurityfunctionSSPSSON安全策略 SS0NsecuritypolicySSON網絡安全子系統securitysubsystemofnetwork網絡安全組成與相互關系根據 OSI 參考模型和 GB17859-1999所規(guī)定的安全保護等級和安全要素， 網絡安全的組成與相互關系如表 1 所示。對于網絡系統的物理層、鏈路層、網絡層、傳輸層、會話層、表示層和應用層，

9、可分別按 GB17859-1999的各個安全等級的要求進行設計。在各協議層中，安全要素的實現方法可有所不同。本標準基于各項安全要素對各協議層在各個安全保護等級中應采用的安全技術和機制提出要求。網絡安全功能基本要求5.1 身份鑒別5.1.1 用戶標識基本標識：應在 SSF實施所要求的動作之前，先對提出該動作要求的用戶進行標識。唯一性標識：應確保所標識用戶在信息系統生存周期內的唯一性，并將用戶標識與安全審計相關聯。標識信息管理：應對用戶標識信息進行管理、維護，確保其不被非授權地訪問、修改或刪除。5.1.2 用戶鑒別基本鑒別：應在 SSF實施所要求的動作之前，先對提出該動作要求的用戶成功地進行鑒別。

10、不可偽造鑒別：應檢測并防止使用偽造或復制的鑒別數據。一方面，要求 SSF應檢測或防止由任何別的用戶偽造的鑒別數據， 另一方面，要求 SSF應檢測或防止當前用戶從任何其它用戶處復制的鑒別數據的使用；c) 一次性使用鑒別：應能提供一次性使用鑒別數據操作的鑒別機制，即 SSF應防止與已標識過的鑒別機制有關的鑒別數據的重用；d) 多機制鑒別：應能提供不同的鑒別機制，用于鑒別特定事件的用戶身份，并且 SSF應根據所描述的多種鑒別機制如何提供鑒別的規(guī)則，來鑒別任何用戶所聲稱的身份；e) 重新鑒別：應有能力規(guī)定需要重新鑒別用戶的事件，即 SSF應在需要重鑒別的條件表所指示的條件下，重新鑒別用戶。例如，用戶終

11、端操作超時被斷開后，重新連接時需要進行重鑒別。5.1.3 用戶 - 主體綁定在 SSON安全功能控制范圍之內， 對一個已標識和鑒別的用戶， 為了要求 SSF完成某個任務，需要激活另一個主體（如進程），這時，要求通過用戶 - 主體綁定將該用戶與該主體相關聯，從而將用戶的身份與該用戶的所有可審計行為相關聯。5.1.4 鑒別失敗處理要求 SSF為不成功的鑒別嘗試次數（包括嘗試數目和時間的閾值）定義一個值，以及明確規(guī)定達到該值時所應采取的動作。 鑒別失敗的處理應包括檢測出現相關的不成功鑒別嘗試的次數與所規(guī)定的數目相同的情況，并進行預先定義的處理。5.2 自主訪問控制5.2.1 訪問控制策略SSF應按確

12、定的自主訪問控制安全策略進行設計，實現對策略控制下的主體與客體間操作的控制?？梢杂卸鄠€自主訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。常用的自主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權能表訪問控制等。5.2.2 訪問控制功能SSF應明確指出采用一條命名的訪問控制策略所實現的特定功能，說明策略的使用和特征，以及該策略的控制范圍。無論采用何種自主訪問控制策略，SSF應有能力提供：在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪問控制SFP；在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎上，允許主體對客體的訪問；在基于安全屬性的拒絕主體對客體訪問的規(guī)則的基礎上，拒絕主體對客體的

13、訪問。5.2.3 訪問控制范圍網絡系統中自主訪問控制的覆蓋范圍分為：a）子集訪問控制：要求每個確定的自主訪問控制， SSF應覆蓋網絡系統中所定義的主體、客體及其之間的操作；b）完全訪問控制：要求每個確定的自主訪問控制， SSF應覆蓋網絡系統中所有的主體、客體及其之間的操作， 即要求 SSF應確保 SSC內的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制 SFP覆蓋。5.2.4 訪問控制粒度網絡系統中自主訪問控制的粒度分為：a）粗粒度：主體為用戶組/ 用戶級，客體為文件、數據庫表級；b）中粒度：主體為用戶級，客體為文件、數據庫表級和/ 或記錄、字段級；c）細粒度：主體為用戶級

14、，客體為文件、數據庫表級和/ 或記錄、字段級或元素級。5.3 標記5.3.1 主體標記應為實施強制訪問控制的主體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。5.3.2 客體標記應為實施強制訪問控制的客體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。5.3.3 標記完整性敏感標記應能準確地表示特定主體或客體的訪問控制屬性， 主體和客體應以此發(fā)生關聯。當數據從 SSON輸出時，根據需要，敏感標記應能準確地和明確地表示輸出數據的內部標記，并與輸出的數據相關聯。

15、5.3.4 有標記信息的輸出SSON應對每個通信信道和 I/O 設備標明單級或多級。這個標志的任何變化都應由授權用戶實現，并可由 SSON審計。 SSON應維持并且能夠對安全保護等級的任何變化進行審定，或對與通信信道或 I/O 設備有關的安全保護等級進行安全審計。a) 向多級安全設備的輸出： 當 SSON將一客體信息輸出到一個具有多級安全的 I/O 設備時，與該客體有關的敏感標記也應輸出， 并以與輸出信息相同的形式 ( 如機器可讀或人可讀形式 ) 駐留在同一物理媒體上。當 SSON在多級通信信道上輸出或輸入一客體信息時， 該信道使用的協議應在敏感標記和被發(fā)送或被接收的有關信息之間提供明確的配對

16、關系；向單級安全設備的輸出：單級 I/O 設備和單級通信信道不需要維持其處理信息的敏感標記，但 SSON應包含一種機制， 使 SSON與一個授權用戶能可靠地實現指定的安全級的信息通信。這種信息經由單級通信信道或 I/O 設備輸入 / 輸出；人可讀標記的輸出： SSON應標記所有人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出 ( 如行打印機輸出 ) 的開始和結束，以適當地表示輸出敏感性。 SSON應按默認值標記人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出 ( 如行打印機輸出 ) 每頁的頂部和底部，以適當地表示該輸出總的敏感性，或表示該頁信息的敏感性。 SSON應該按默認值，并以一種適當

17、方法標記具有人可讀的敏感標記的其他形式的人可讀的輸出 ( 如圖形 ) ，以適當地表示該輸出的敏感性。這些標記默認值的任何濫用都應由 SSON審計。5.4 強制訪問控制5.4.1 訪問控制策略網絡強制訪問控制策略應包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作。可以有多個訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。當前常見的強制訪問控制策略有：a) 多級安全模型：基本思想是，在對主、客體進行標記的基礎上， SSOIS控制范圍內的所有主體對客體的直接或間接的訪問應滿足：向下讀原則：僅當主體標記中的等級分類高于或等于客體標記中的等級分類，且主體標記中的非等級類別包含了

18、客體標記中的全部非等級類別，主體才能讀該客體；向上寫原則：僅當主體標記中的等級分類低于或等于客體標記中的等級分類，且主體標記中的非等級類別包含于客體標記中的非等級類別，主體才能寫該客體；基于角色的訪問控制（ BRAC）：基本思想是，按角色進行權限的分配和管理；通過對主體進行角色授予，使主體獲得相應角色的權限；通過撤消主體的角色授予，取消主體所獲得的相應角色權限。在基于角色的訪問控制中，標記信息是對主體的授權信息；特權用戶管理：基本思想是，針對特權用戶權限過于集中所帶來的安全隱患，對特權用戶按最小授權原則進行管理。 實現特權用戶的權限分離； 僅授予特權用戶為完成自身任務所需要的最小權限。5.4.

19、2 訪問控制功能SSF應明確指出采用一條命名的強制訪問控制策略所實現的特定功能。SSF應有能力提供：在標記或命名的標記組的客體上，執(zhí)行訪問控制SFP；按受控主體和受控客體之間的允許訪問規(guī)則，決定允許受控主體對受控客體執(zhí)行受控操作；按受控主體和受控客體之間的拒絕訪問規(guī)則，決定拒絕受控主體對受控客體執(zhí)行受控操作。5.4.3 訪問控制范圍網絡強制訪問控制的覆蓋范圍分為：子集訪問控制：對每個確定的強制訪問控制， SSF應覆蓋信息系統中由安全功能所定義的主體、客體及其之間的操作；完全訪問控制：對每個確定的強制訪問控制， SSF應覆蓋信息系統中所有的主體、客體及其之間的操作， 即要求 SSF應確保 SSC

20、內的任意一個主體和任意一個客體之間的操作將至少被一個確定的訪問控制 SFP覆蓋。5.4.4 訪問控制粒度網絡強制訪問控制的粒度分為：a）中粒度：主體為用戶級，客體為文件、數據庫表級和/ 或記錄、字段級；b）細粒度：主體為用戶級，客體為文件、數據庫表級和/ 或記錄、字段級和/ 或元素級。5.4.5 訪問控制環(huán)境單一安全域環(huán)境：在單一安全域環(huán)境實施的強制訪問控制應在該環(huán)境中維持統一的標記信息和訪問規(guī)則。當被控客體輸出到安全域以外時，應將其標記信息同時輸出；多安全域環(huán)境：在多安全域環(huán)境實施統一安全策略的強制訪問控制時，應在這些安全域中維持統一的標記信息和訪問規(guī)則。 當被控制客體在這些安全域之間移動時

21、， 應將其標記信息一起移動。5.5 數據流控制對網絡中以數據流方式實現數據流動的情況，應采用數據流控制機制實現對數據流動的控制，以防止具有高等級安全的數據信息向低等級的區(qū)域流動。5.6 安全審計5.6.1 安全審計的響應安全審計 SSF應按以下要求響應審計事件：記審計日志：當檢測到可能有安全侵害事件時，將審計數據記入審計日志；實時報警生成：當檢測到可能有安全侵害事件時，生成實時報警信息；違例進程終止：當檢測到可能有安全侵害事件時，將違例進程終止；服務取消：當檢測到可能有安全侵害事件時，取消當前的服務；用戶賬號斷開與失效：當檢測到可能有安全侵害事件時，將當前的用戶賬號斷開，并使其失效。5.6.2

22、 安全審計數據產生SSF應按以下要求產生審計數據：為下述可審計事件產生審計記錄：審計功能的啟動和關閉；使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；系統管理員、系統安全員、審計員和一般操作員所實施的操作；其他與系統安全有關的事件或專門定義的可審計事件；對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息；對于身份鑒別事件，審計記錄應包含請求的來源（例如：終端標識符）；對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客體的安全保護等級；將每個可審計事件與引起該事件的用戶相關聯。5.6.3

23、 安全審計分析安全審計分析應包括：a) 潛在侵害分析：應能用一系列規(guī)則去監(jiān)控審計事件，并根據這些規(guī)則指出 SSP的潛在侵害。這些規(guī)則包括：由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；任何其他的規(guī)則；基于異常檢測的描述：應維護用戶所具有的質疑等級歷史使用情況，以表明該用戶的現行活動與已建立的使用模式的一致性程度。當用戶的質疑等級超過門限條件時， SSF 應能指出將要發(fā)生對安全性的威脅；簡單攻擊探測：應能檢測到對 SSF實施有重大威脅的簽名事件的出現。為此， SSF應維護指出對 SSF侵害的簽名事件的內部表示， 并將檢測到的系統行為記錄與簽名事件進行比較，當發(fā)現兩者匹配時，指出一個

24、對 SSF的攻擊即將到來；d) 復雜攻擊探測：在上述簡單攻擊探測的基礎上，要求 SSF應能檢測到多步入侵情況，并能根據已知的事件序列模擬出完整的入侵情況， 還應指出發(fā)現對 SSF的潛在侵害的簽名事件或事件序列的時間。5.6.4 安全審計查閱安全審計查閱工具應具有：a) 審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權用戶提供獲得和解釋審計信息的能力。當用戶是人時，必須以人類可懂的方式表示信息；當用戶是外部IT實體時，必須以電子方式無歧義地表示審計信息；有限審計查閱：在上述審計查閱的基礎上，審計查閱工具應禁止具有讀訪問權限以外的用戶讀取審計信息；可選審計查閱：在上述有限審計查閱的基礎

25、上，審計查閱工具應具有根據準則來選擇要查閱的審計數據的功能，并根據某種邏輯關系的標準提供對審計數據進行搜索、分類、排序的能力。5.6.5 安全審計事件選擇應根據以下屬性選擇可審計事件：客體身份、用戶身份、主體身份、主機身份、事件類型；作為審計選擇性依據的附加屬性。5.6.6 安全審計事件存儲應具有以下創(chuàng)建并維護安全的審計蹤跡記錄的能力：受保護的審計蹤跡存儲：要求審計蹤跡的存儲受到應有的保護，能檢測或防止對審計記錄的修改；審計數據的可用性確保：要求在意外情況出現時，能檢測或防止對審計記錄的修改，以及在發(fā)生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不被破壞；審計數據可能丟失情況下的措施：

26、要求當審計跟蹤超過預定的門限時，應采取相應的措施，進行審計數據可能丟失情況的處理；防止審計數據丟失：要求在審計蹤跡存儲記滿時，應采取相應的防止審計數據丟失的措施，可選擇“忽略可審計事件”、 “阻止除具有特殊權限外的其他用戶產生可審計事件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其它行動”等措施，防止審計數據丟失。5.7 用戶數據完整性5.7.1 存儲數據的完整性應對存儲在 SSC內的用戶數據進行完整性保護，包括：完整性檢測：要求 SSF應對基于用戶屬性的所有客體，對存儲在 SSC內的用戶數據進行完整性檢測；完整性檢測和恢復：要求 SSF應對基于用戶屬性的所有客體，對存儲在

27、SSC內的用戶數據進行完整性檢測 , 并且當檢測到完整性錯誤時， SSF應采取必要的 SSF應采取必要的恢復、審計或報警措施。5.7.2 傳輸數據的完整性當用戶數據在 SSF和其它可信 IT 系統間傳輸時應提供完整性保護，包括：完整性檢測：要求對被傳輸的用戶數據進行檢測，及時發(fā)現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況發(fā)生；數據交換恢復： 由接收者 SSON借助于源可信 IT 系統提供的信息， 或由接收者 SSON自己無須來自源可信 IT 系統的任何幫助，能恢復被破壞的數據為原始的用戶數據。若沒有可恢復條件，應向源可信 IT 系統提供反饋信息。5.7.3 處理數據的完整性回退：對

28、信息系統中處理中的數據，應通過“回退”進行完整性保護，即要求 SSF應執(zhí)行訪問控制 SFP，以允許對所定義的操作序列進行回退。5.8 用戶數據保密性5.8.1 存儲數據的保密性應對存儲在 SSC內的用戶數據進行保密性保護。5.8.2 傳輸數據的保密性應對在 SSC內傳輸的用戶數據進行保密性保護。5.8.3 客體安全重用在對資源進行動態(tài)管理的系統中，客體資源（寄存器、內存、磁盤等記錄介質）中的剩余信息不應引起信息的泄露。客體安全重用分為：子集信息保護： 要求對 SSON安全控制范圍之內的某個子集的客體資源， 在將其分配給某一用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息；完全信息保護

29、： 要求對 SSON安全控制范圍之內的所有客體資源， 在將其分配給某一用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息；特殊信息保護：對于某些需要特別保護的信息，應采用專門的方法對客體資源中的殘留信息做徹底清除，如對剩磁的清除等。5.9 可信路徑用戶與 SSF間的可信路徑應：提供真實的端點標識，并保護通信數據免遭修改和泄露；利用可信路徑的通信可以由 SSF自身、本地用戶或遠程用戶發(fā)起；對原發(fā)用戶的鑒別或需要可信路徑的其它服務均使用可信路徑。5.10 抗抵賴5.10.1 抗原發(fā)抵賴應確保信息的發(fā)送者不能否認曾經發(fā)送過該信息。這就要求 SSF提供一種方法，來確保接收信息的主體在數據交換期

30、間能獲得證明信息原發(fā)的證據， 而且該證據可由該主體或第三方主體驗證?？乖l(fā)抵賴分為：選擇性原發(fā)證明：要求 SSF具有為主體提供請求原發(fā)證據信息的能力。即 SSF在接到原發(fā)者或接收者的請求時， 能就傳輸的信息產生原發(fā)證據， 證明該信息的發(fā)送由該原發(fā)者所為；強制性原發(fā)證明：要求 SSF在任何時候都能對傳輸的信息產生原發(fā)證據。即 SSF在任何時候都能就傳輸的信息強制產生原發(fā)證據，證明該信息的發(fā)送由該原發(fā)者所為。5.10.2 抗接收抵賴應確保信息的接收者不能否認接受過該信息。這就要求 SSF提供一種方法，來確保發(fā)送信息的主體在數據交換期間能獲得證明該信息被接收的證據， 而且該證據可由該主體或第三方主體

31、驗證。抗接收抵賴分為：選擇性接收證明：要求 SSF具有為主體提供請求信息接收證據的能力。即 SSF在接到原發(fā)者或接收者的請求時， 能就接收到的信息產生接收證據， 證明該信息的接收由該接收者所為；強制性接收證明：要求 SSF總是對收到的信息產生接收證據。即 SSF能在任何時候對收到的信息強制產生接收證據，證明該信息的接收由該接收者所為。5.11 網絡安全監(jiān)控網絡安全監(jiān)控應采用以下安全技術和機制：網絡安全探測機制：在組成網絡系統的各個重要部位，設置探測器，實時監(jiān)聽網絡數據流，監(jiān)視和記錄內、外部用戶出入網絡的相關操作，在發(fā)現違規(guī)模式和未授權訪問時，報告網絡安全監(jiān)控中心；網絡安全監(jiān)控中心：設置安全監(jiān)控

32、中心，對收到的來自探測器的信息，根據安全策略進行分析，并作審計、報告、事件記錄和報警等處理。網絡安全監(jiān)控中心應具有必要的遠程管理功能，如對探測器實現遠程參數設置、遠程數據下載、遠程啟動等操作。網絡安全監(jiān)控中心還應具有實時響應功能，包括攻擊分析和響應、誤操作分析和響應、漏洞分析和響應等。網絡安全功能分層分級要求6.1 身份鑒別功能應按照用戶標識和用戶鑒別的要求進行身份鑒別安全機制的設計。一般以用戶名和用戶標識符來標識一個用戶， 應確保在一個信息系統中用戶名和用戶標識符的唯一性， 嚴格的唯一性應維持在網絡系統的整個生存周期都有效， 即使一個用戶的賬戶已被刪除， 他的用戶名和標識符也不能再使用，并由

33、此確保用戶的唯一性和可區(qū)別性。鑒別應確保用戶的真實性。可以用口令進行鑒別，更嚴格的身份鑒別可采用智能 IC 卡密碼技術，指紋、虹膜等特征信息進行身份鑒別，并在每次用戶登錄系統之前進行鑒別?？诹顟遣豢梢姷模⒃诖鎯蛡鬏敃r進行保護。智能 IC 卡身份鑒別應以密碼技術為基礎，并按用戶鑒別中不可偽造鑒別所描述的要求進行設計。對于鑒別失敗的情況，要求按鑒別失敗所描述的要求進行處理。用戶在系統中的行為一般由進程代為執(zhí)行，要求按用戶 - 主體綁定所描述的要求，將用戶與代表該用戶行為的進程相關聯。這種關聯應體現在 SSON安全功能控制范圍之內各主、客體之間的相互關系上。比如，一個用戶通過鍵入一條命令要求訪

34、問一個指定文件，信息系統運行某一進程實現這一功能。這時，該進程應與該用戶相關聯，于是該進程的行為即可看作該用戶的行為。身份鑒別應區(qū)分實體鑒別和數據起源鑒別：當身份是由參與通信連接或會話的遠程實體提交時叫實體鑒別， 它可以作為訪問控制服務的一種必要支持； 當身份信息是由數據項發(fā)送者提交時叫數據起源鑒別， 它是確保部分完整性目標的直接方法， 確保知道某個數據項的真正起源。表 2 給出了從用戶自主保護級到訪問驗證保護級對身份鑒別功能的分層分級要求。6.2 自主訪問控制功能應按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要求，設計和實現所需要的自主訪問控制功能。當使用文件、目

35、錄和網絡設備時，網絡管理員應給文件、目錄等指定訪問屬性。訪問控制規(guī)則應將給定的屬性與網絡服務器的文件、目錄和網絡設備相聯系。 網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表， 用以表明用戶對網絡資源的訪問能力。自主訪問控制應能控制以下權限：向某個文件寫數據、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統屬性等；為每個命名客體指定用戶名和用戶組，以及規(guī)定他們對客體的訪問模式。表 3 給出了從用戶自主保護級到訪問驗證保護級對自主訪問控制功能的分層分級要求。6.3 標記功能應按照主體標記和客體標記所描述的要求進行標記設計。在網絡環(huán)境中，帶有

36、特定標記的數據應能被安全策略禁止通過某些子網、鏈路或中繼。連接的發(fā)起者 ( 或無連接數據單元的發(fā)送者 ) 可以指定路由選擇說明， 請求回避某些特定的子網、鏈路或中繼。包含數據項的資源應具有與這些數據相關聯的敏感標記。敏感標記可能是與被傳送的數據相連的附加數據， 也可能是隱含的信息， 例如使用一個特定密鑰加密數據所隱含的信息或由該數據的上下文所隱含的信息，可由數據源或路由來隱含。明顯的敏感標記必須是清晰可辨認的，以便對它們作適當的驗證。此外，它們還必須安全可靠地依附于與之關聯的數據。對于在通信期間要移動的數據項，發(fā)起通信的進程與實體，響應通信的進程與實體，在通信時被用到的信道和其他資源等， 都可

37、以用各自的敏感信息來標記。 安全策略應指明如何使用敏感信息以提供必要的安全性。 當安全策略是基于用戶身份時， 不論直接或通過進程訪問數據，敏感標記均應包含有關用戶身份的信息。 用于特定標記的那些規(guī)則應該表示在安全管理信息庫中的一個安全策略中，如果需要，還應與端系統協商。標記可以附帶敏感信息，指明其敏感性，說明處理與分布上的隱蔽處，強制定時與定位，以及指明對該端系統特有的要求。采用的安全策略決定了標記所攜帶的敏感信息及其含義，不同的網絡會有差異。表 4 給出了從安全標記保護級到訪問驗證保護級對標記功能的分層分級要求。6.4 強制訪問控制功能應按照強制訪問控制功能的要求，選擇所需的訪問控制策略，設

38、計和實現所需要的強制訪問控制功能。強制訪問控制應由專門設置的系統安全員統一管理系統中與該訪問控制有關的事件和信息。為了防止由于系統管理人員或特權用戶的權限過于集中所帶來的安全隱患， 應將系統的常規(guī)管理、與安全有關的管理以及審計管理，由系統管理員、系統安全員和系統審計員分別承擔，并在三者之間形成相互制約的關系。采用多級安全模型的強制訪問控制應將 SSON安全控制范圍內的所有主、 客體成分通過標記方式設置敏感標記， 這些敏感標記與訪問規(guī)則一起確定每一次主體對客體的訪問是否被允許。這里所要求的對客體的控制范圍除涉及系統內部的存儲、處理和傳輸過程外，還應包括將信息進行輸入、輸出操作的過程，即無論信息以

39、何種形式存在，都應有一定的安全屬性與其相關聯，并按強制訪問控制規(guī)則對其進行控制。第三級的強制訪問控制應對 SSON所定義的主體與客體實施控制。 第四級以上的強制訪問控制應擴展到信息系統中的所有主體與客體。 表 5 給出了從安全標記保護級到訪問驗證保護級強制訪問控制功能的分層分級要求。6.5 數據流控制功能對在網絡中以數據流方式進行的數據交換，應按照數據流控制的要求進行用戶數據保密性保護設計。表 6 給出了從安全標記保護級到訪問驗證保護級對數據流控制功能的分層分級要求。6.6 安全審計功能應按照對安全審計的要求進行設計。按安全審計數據產生的描述產生審計數據；按安全審計查閱的描述提供審計查閱、 有

40、限審計查閱和可選審計查閱； 按安全審計事件選擇的描述提供對審計事件的選擇；按安全審計事件存儲中受保護的審計蹤跡存儲、審計數據的可用性確保、審計數據可能丟失行動和防止審計事件丟失的要求來保存審計事件；按安全審計分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復雜攻擊探測的要求進行審計分析設計； 按安全審計的自動響應的要求設計相應的功能。網絡安全審計涉及與安全有關的事件，包括事件的探測、收集、控制，進行事件責任的追查。審計中必須包含的信息的典型類型包括： 標定哪些網段需要有限授權訪問或數據加密，哪些設備、文件和目錄需要加鎖或口令保護，哪些文件應該進行存檔備份，執(zhí)行備份程序的頻率，以及網絡

41、所使用的病毒防護措施的類型等。 安全審計通過對網絡上發(fā)生的各種訪問情況記錄日志，并對日志進行統計分析，從而對資源使用情況進行事后分析。審計也是發(fā)現和追蹤安全事件的常用措施，能夠自動記錄攻擊發(fā)起人的 IP 地址及企圖攻擊的時間，以及攻擊包數據，給系統安全管理及追查網絡犯罪提供可靠的線索。 安全審計應該提供有關網絡所使用的緊急事件和災難處理程序， 提供準確的網絡安全審計和趨向分析報告， 支持安全程序的計劃和評估。對于較高安全等級的安全審計數據，可通過數字簽名技術進行保護，限定審計數據可由審計員處理，但不可修改。表 7 給出了從系統審計保護級到訪問驗證保護級對安全審計功能的分層分級要求。6.7 用戶

42、數據完整性保護功能應對系統中存儲、傳輸和處理的用戶數據采取有效措施， 防止其遭受非授權用戶的修改、破壞或刪除。對存儲在系統中的用戶數據的完整性保護，較低安全要求應按照存儲數據的完整性保護中完整性監(jiān)視的要求， 設計相應的 SSON安全功能模塊， 對 SSON安全控制范圍內的用戶數據進行完整性保護；較高安全要求應通過密碼支持系統所提供的功能，對加密存儲的數據進行存儲數據的完整性檢驗或采用其它相應的安全機制， 在檢測到完整性錯誤時采取必要的恢復措施。 對經過網絡傳輸的用戶數據完整性保護，應按照 SSON間通信保護中用戶用戶數據保密性和完整性檢測、 以及源恢復和目的恢復的要求設計相應的 SSON安全功

43、能模塊。對系統中進行處理的數據的完整性保護， 應按照回退的要求設計相應的 SSON安全功能模塊，進行異常情況的操作序列回退，以確保數據的完整性。表 8 給出了從用戶自主保護級到訪問驗證保護級用戶數據完整性保護功能的分層分級要求。6.8 用戶數據保密性保護功能應對系統中存儲、傳輸和處理的信息采取有效的保護措施，防止其遭受非授權的泄露。對存儲在系統中的數據的完整性保護，較低安全要求應按照存儲數據的保密性保護的一般方法，設計相應的 SSON安全功能模塊， 對 SSON安全控制范圍內的用戶數據進行完整性保護；較高安全要求應通過密碼支持系統所提供的功能或相應安全性的安全機制所提供的安全功能，對存儲的數據

44、進行保密性保護。對在系統中傳輸的數據， 較低級別應按照存儲數據的保密性保護的要求， 設計相應的 SSON 安全功能模塊，對 SSON安全控制范圍內的用戶數據進行保密性保護；較高安全要求的系統應通過密碼支持系統所提供的功能或其它相應的安全機制所提供的安全功能， 進行嚴格的保密性保護。對系統運行中動態(tài)管理和分配的資源，應采用有效措施，防止其剩余信息引起的信息泄露。表 9 給出了從用戶自主保護級到訪問驗證保護級用戶數據保密性保護功能的分層分級要求。6.9 可信路徑功能應提供用戶與 SSON之間安全地進行數據傳輸的保證， 要求按用戶與 SSF間可信路徑所描述的要求進行設計。表 10 給出結構化保護級和

45、訪問驗證保護級可信路徑功能的分層分級要求。6.10 抗抵賴功能應提供通信雙方身份的真實性和雙方對信交換行為的不可抵賴性。 對信息的發(fā)送方， SSON 應按抗原發(fā)抵賴中選擇性原發(fā)證明 / 強制性原發(fā)證明的要求進行設計； 對信息的接收方， SSON 應按抗接收抵賴中選擇性接收證明 / 強制性接受證明的要求進行設計。表 11 給出了從安全標記保護級到訪問驗證保護級抗抵賴功能的分層分級要求。6.11 網絡安全監(jiān)控功能應提供對網絡系統運行進行安全監(jiān)控的功能。網絡安全監(jiān)控機制通過在網絡環(huán)境的各個關鍵部位設置分布式探測器收集與安全相關的信息， 并由網絡安全監(jiān)控中心匯集和分析， 及時發(fā)現各種違規(guī)行為。表 12

46、 給出了從安全標記保護級到訪問驗證保護級網絡安全監(jiān)控功能的分層分級要求。網絡安全技術分級要求7.1 第一級：用戶自主保護級7.1.1 第一級安全功能要求物理層根據需要，可采用密碼技術確保所傳送的數據受到應有的完整性保護，防止其遭受非授權的泄露。本安全保護等級該層所涉及的用戶數據完整性保護應滿足6.7 和 GB/T鏈路層a）身份鑒別：可根據6.1 的描述，按 GB/Tb）自主訪問控制：可根據6.2 的描述，按 GB/Tc）用戶數據完整性：可根據6.7 的描述，按 GB/T網絡層a）身份鑒別：可根據6.1 的描述，按 GB/Tb）自主訪問控制：可根據6.2 的描述，按 GB/Tc）用戶數據完整性：

47、可根據6.7 的描述，按 GB/T傳輸層a）身份鑒別：可根據6.1 的描述，按 GB/Tb）自主訪問控制：可根據6.2 的描述，按 GB/Tc）用戶數據完整性：可根據6.7 的描述，按 GB/T會話層a）身份鑒別：可根據6.1 的描述，按 GB/Tb）自主訪問控制：可根據6.2 的描述，按 GB/Tc）用戶數據完整性：可根據6.7 的描述，按 GB/T表示層a）身份鑒別：可根據6.1 的描述，按 GB/T自主訪問控制：可根據 6.2 的描述，按 GB/Tc）用戶數據完整性：可根據6.7 的描述，按 GB/T應用層a）身份鑒別：可根據6.1 的描述，按 GB/Tb）自主訪問控制：可根據6.2 的

48、描述，按 GB/Tc）用戶數據完整性：可根據6.7 的描述，按 GB/T7.1.2 第一級安全保證要求SSON自身安全保護a)SSF 物理安全保護：按GB/Tb)SSF 運行安全保護：按GB/Tc)SSF 數據安全保護：按GB/T資源利用：按 GB/Te)SSON訪問控制：按 GB/TSSON設計和實現配置管理：按 GB/T分發(fā)和操作：按 GB/T開發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測試：按 GB/TSSON安全管理按 GB/T7.2 第二級：系統審計保護級7.2.1 第二級安全功能要求物理層采用加密數據流的方法確保所傳送的數據受到應有的保密性和完整性保護，防止其

49、遭受非授權的泄露或破壞。本安全保護等級按 GB/T戶數據完整性保護應滿足6.7 和 GB/T鏈路層a）身份鑒別：根據6.1 的描述，按 GB/Tb）自主訪問控制：根據6.2 的描述，按 GB/Tc）用戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T網絡層a）身份鑒別：根據6.1 的描述，按 GB/Tb）自主訪問控制：根據6.2 的描述，按 GB/Tc）安全審計：根據6.6 的描述，按 GB/Td）用戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T傳輸層a）身份鑒別：根據6.1 的描述，按 GB/Tb

50、）自主訪問控制：根據6.2 的描述，按 GB/Tc）安全審計：根據6.6 的描述，按 GB/Td）用戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T會話層a）身份鑒別：根據6.1 的描述，按 GB/Tb）自主訪問控制：根據6.2 的描述，按 GB/Tc）安全審計：根據6.6 的描述，按 GB/Td）用戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T表示層a）身份鑒別：根據6.1 的描述，按 GB/Tb）自主訪問控制：根據6.2 的描述，按 GB/Tc）安全審計：根據6.6 的描述，按 GB/Td）用

51、戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T應用層a）身份鑒別：根據6.1 的描述，按 GB/Tb）自主訪問控制：根據6.2 的描述，按 GB/Tc）安全審計：根據6.6 的描述，按 GB/Td）用戶數據完整性：根據6.7 的描述，按 GB/T用戶數據保密性：根據 6.8 的描述，按 GB/T7.2.2 第二級安全保證要求SSON自身安全保護a)SSF 物理安全保護：按GB/Tb)SSF 運行安全保護：按GB/Tc)SSF 數據安全保護：按GB/T資源利用：按 GB/T e)SSON訪問控制：按 GB/T SSON設計和實現配置管理：按 GB

52、/T分發(fā)和操作：按 GB/T開發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測試：按 GB/TSSON安全管理按 GB/T7.3 第三級：安全標記保護級7.3.1 第三級安全功能要求物理層應采用加密數據流的方法確保所傳送的數據受到應有的保密性和完整性保護，防止其遭受非授權的泄露或破壞。本安全保護等級應按 GB/T的用戶數據完整性保護應滿足6.7 和 GB/T鏈路層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T操作；e）數據流控

53、制：應根據6.5 的描述，按 GB/Tf ）用戶數據完整性：應根據6.7 的描述，按 GB/T用戶數據保密性：應根據 6.8 的描述，按 GB/T網絡層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T操作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）抗抵賴：應根據6.10 的描

54、述，按 GB/T傳輸層a）身份鑒別：應根據6.1 條的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T操作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）抗抵賴：應根據6.10 的描述，按 GB/T會話層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標

55、記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T操作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）抗抵賴：應根據6.10 的描述，按 GB/Tj ）網絡安全監(jiān)控：應根據6.11 的描述，按 GB/T表示層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 條的描述，按 GB/Td）強制訪問控制：應根據6.4

56、的描述，按 GB/T操作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/T用戶數據保密性：應根據 6.8 的描述，按 GB/T抗抵賴：應根據 6.10 的描述，按 GB/Tj ）網絡安全監(jiān)控：應根據6.11 的描述，按 GB/T應用層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T操作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）

57、安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）抗抵賴：應根據6.10 的描述，按 GB/Tj ）網絡安全監(jiān)控：應根據6.11 的描述，按 GB/T7.3.2 第三級安全保證要求SSON自身安全保護a)SSF 物理安全保護：應按GB/Tb)SSF 運行安全保護：應按GB/Tc)SSF 數據安全保護：應按GB/T資源利用：應按 GB/Te)SSON訪問控制：應按GB/TSSON設計和實現配置管理：應按 GB/T分發(fā)和操作：應按 GB/T開發(fā)：應按 GB/T文檔要求：應按 GB/T生存周

58、期支持：應按 GB/T測試：應按 GB/T脆弱性評定：應按 GB/T SSON安全管理應按 GB/T7.4 第四級：結構化保護級7.4.1 第四級安全功能要求物理層應采用加密數據流的方法確保所傳送的數據受到應有的保密性和完整性保護，防止其遭受非授權的泄露或破壞。本安全保護等級應按 GB/T及的用戶數據完整性保護應滿足6.7 和 GB/T鏈路層a）身份鑒別：應根據6.1 的描述，按 GB/T實體鑒別；b）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T作；e）數據流控制：應根據6.5 的描述，按 G

59、B/Tf ）用戶數據完整性：應根據6.7 的描述，按 GB/T用戶數據保密性：應根據 6.8 的描述，按 GB/T網絡層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T作；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 條的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）可信路徑：應根據6.9 的描述，按 GB/T抗抵賴：應根據

60、6.10 的描述，按 GB/T傳輸層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）自主訪問控制：應根據6.2 的描述，按 GB/Tc）標記：應根據 6.3 的描述，按 GB/Td）強制訪問控制：應根據6.4 的描述，按 GB/T；e）數據流控制：應根據6.5 的描述，按 GB/Tf ）安全審計：應根據6.6 的描述，按 GB/Tg）用戶數據完整性：應根據6.7 的描述，按 GB/Th) 用戶數據保密性：應根據6.8 的描述，按 GB/Ti ）可信路徑：應根據6.9 的描述，按 GB/T抗抵賴：應根據 6.10 的描述，按 GB/T會話層a）身份鑒別：應根據6.1 的描述，按 GB/Tb）