《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求第1部分：通用設(shè)計要求》

GB/T25070.1—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求

第1部分通用設(shè)計要求

1范圍

本標(biāo)準(zhǔn)依據(jù)國家信息安全等級保護的要求，規(guī)定了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務(wù)機構(gòu)開展信息系統(tǒng)等級保

護安全技術(shù)方案的設(shè)計和實施，也可作為信息安全職能部門進行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的

修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則

3術(shù)語和定義

GB17859-1999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

定級系統(tǒng)classifiedsystem

按照參考文獻[11]已確定安全保護等級的信息系統(tǒng)。定級系統(tǒng)分為第一級、第二級、第三級、第四

級和第五級信息系統(tǒng)。

3.2

定級系統(tǒng)安全保護環(huán)境securityenvironmentofclassifiedsystem

由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對定級系統(tǒng)進行安全

保護的環(huán)境。

定級系統(tǒng)安全保護環(huán)境包括第一級系統(tǒng)安全保護環(huán)境、第二級系統(tǒng)安全保護環(huán)境、第三級系統(tǒng)安全

保護環(huán)境、第四級系統(tǒng)安全保護環(huán)境、第五級系統(tǒng)安全保護環(huán)境以及定級系統(tǒng)的安全互聯(lián)。

3.3

安全計算環(huán)境securecomputingenvironment

對定級系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件。

1

GB/T25070.1—XXXX

安全計算環(huán)境按照保護能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)

境、第四級安全計算環(huán)境和第五級安全計算環(huán)境。

3.4

安全區(qū)域邊界secureareaboundary

對定級系統(tǒng)的安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略

的相關(guān)部件。

安全區(qū)域邊界按照保護能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊

界、第四級安全區(qū)域邊界和第五級安全區(qū)域邊界。

3.5

安全通信網(wǎng)絡(luò)securecommunicationnetwork

對定級系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關(guān)部件。

安全通信網(wǎng)絡(luò)按照保護能力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、第三級安全通信網(wǎng)絡(luò)、

第四級安全通信網(wǎng)絡(luò)和第五級安全通信網(wǎng)絡(luò)。

3.6

安全管理中心securitymanagementcenter

對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機制實施統(tǒng)一管理

的平臺。

第二級及第二級以上的定級系統(tǒng)安全保護環(huán)境需要設(shè)置安全管理中心，稱為第二級安全管理中心、

第三級安全管理中心、第四級安全管理中心和第五級安全管理中心。

3.7

跨定級系統(tǒng)安全管理中心securitymanagementcenterforcrossclassifiedsystem

跨定級系統(tǒng)安全管理中心是對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上

的安全機制實施統(tǒng)一管理的平臺。

3.8

定級系統(tǒng)互聯(lián)classifiedsysteminterconnection

通過安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心實現(xiàn)的相同或不同等級的定級系統(tǒng)安全保護環(huán)境之

間的安全連接。

4信息系統(tǒng)等級保護安全技術(shù)設(shè)計概述

4.1等級保護安全技術(shù)設(shè)計框架要求

信息系統(tǒng)等級保護安全技術(shù)設(shè)計包括各級系統(tǒng)安全保護環(huán)境的設(shè)計及其安全互聯(lián)的設(shè)計，如圖1所

示。各級系統(tǒng)安全保護環(huán)境由相應(yīng)級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管

理中心組成。定級系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心組成。

2

GB/T25070.1—XXXX

圖1信息系統(tǒng)等級保護安全技術(shù)設(shè)計框架

本標(biāo)準(zhǔn)以下章節(jié)，對圖1各個部分提出了相應(yīng)的設(shè)計技術(shù)要求（第五級信息安全保護環(huán)境的設(shè)計要

求除外）。附錄A給出了訪問控制機制設(shè)計，附錄B給出了第三級系統(tǒng)安全保護環(huán)境設(shè)計示例。

在對定級系統(tǒng)進行等級保護安全保護環(huán)境設(shè)計時，可以結(jié)合系統(tǒng)自身業(yè)務(wù)需求，將定級系統(tǒng)進一步

細化成不同的子系統(tǒng)，然后在風(fēng)險評估的基礎(chǔ)上，確定每個子系統(tǒng)的等級，進而依據(jù)下面章節(jié)內(nèi)容，對

子系統(tǒng)進行安全保護環(huán)境的設(shè)計。

4.2等級保護安全技術(shù)設(shè)計過程要求

信息系統(tǒng)等級保護安全技術(shù)設(shè)計應(yīng)遵循如下過程：

圖2等級保護安全設(shè)計過程要求

a)梳理業(yè)務(wù)流程：通過業(yè)務(wù)流程的梳理，了解系統(tǒng)的現(xiàn)狀、特點及特殊安全需求，為后續(xù)量身定

制安全設(shè)計方案奠定基礎(chǔ)；

b)風(fēng)險評估：基于業(yè)務(wù)流程對定級系統(tǒng)進行安全評估，識別資產(chǎn)、威脅和脆弱性，對風(fēng)險進行評

價，結(jié)合等級保護相應(yīng)標(biāo)準(zhǔn)，提出定級系統(tǒng)的安全防護需求；

3

GB/T25070.1—XXXX

c)梳理主、客體及其權(quán)限：梳理定級系統(tǒng)涉及到的主體、客體，以及明確主體對客體的最小訪問

權(quán)限；

d)分層分域設(shè)計：依據(jù)本標(biāo)準(zhǔn)提出的等級保護安全技術(shù)設(shè)計框架，進行區(qū)域劃分，明確計算環(huán)境、

區(qū)域邊界、通信網(wǎng)絡(luò)以及安全管理中心的位置；

e)分析關(guān)鍵保護點：從操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)等層面分析定級系統(tǒng)安全保護環(huán)境的

關(guān)鍵保護點，為安全機制及策略的設(shè)計奠定基礎(chǔ)；

f)安全機制及策略設(shè)計：依據(jù)本標(biāo)準(zhǔn)提出的安全保護環(huán)境設(shè)計要求，在關(guān)鍵保護點上進行安全機

制及策略的設(shè)計。

5第一級系統(tǒng)安全保護環(huán)境設(shè)計

5.1設(shè)計目標(biāo)

第一級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第一級系統(tǒng)的安全保護要求，實現(xiàn)

定級系統(tǒng)的自主訪問控制，使系統(tǒng)用戶對其所屬客體具有自我保護的能力。

5.2設(shè)計策略

第一級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的4.1中相關(guān)要求，以身份鑒別為基礎(chǔ)，

提供用戶和（或）用戶組對文件及數(shù)據(jù)庫表的自主訪問控制，以實現(xiàn)用戶與數(shù)據(jù)的隔離，使用戶具備自

主安全保護的能力；以包過濾手段提供區(qū)域邊界保護；以數(shù)據(jù)校驗和惡意代碼防范等手段提供數(shù)據(jù)和系

統(tǒng)的完整性保護。

第一級系統(tǒng)安全保護環(huán)境的設(shè)計通過第一級的安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的設(shè)

計加以實現(xiàn)。

5.3設(shè)計技術(shù)要求

5.3.1安全計算環(huán)境設(shè)計技術(shù)要求

第一級安全計算環(huán)境應(yīng)從以下方面進行安全設(shè)計：

a)用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份；

在每次用戶登錄系統(tǒng)時，采用口令鑒別機制進行用戶身份鑒別，并對口令數(shù)據(jù)進行保護。

b)自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶/用戶組對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些

權(quán)限的部分或全部授予其他用戶/用戶組。訪問控制主體的粒度為用戶/用戶組級，客體的粒度為文件或

數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

c)用戶數(shù)據(jù)完整性保護

可采用常規(guī)校驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。

d)惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以防范和清

除惡意代碼。

5.3.2安全區(qū)域邊界設(shè)計技術(shù)要求

第一級安全區(qū)域邊界應(yīng)從以下方面進行安全設(shè)計：

a)區(qū)域邊界包過濾

4

GB/T25070.1—XXXX

可根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，

確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b)區(qū)域邊界惡意代碼防范

可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進行升級和更新，以防止惡意代碼入侵。

5.3.3安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求

通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護?？刹捎贸Ｒ?guī)校驗機制，檢驗通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾裕⒛馨l(fā)現(xiàn)

其完整性被破壞。

6第二級系統(tǒng)安全保護環(huán)境設(shè)計

6.1設(shè)計目標(biāo)

第二級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第二級系統(tǒng)的安全保護要求，在第

一級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，增加系統(tǒng)安全審計、客體重用等安全功能，并實施以用戶為基本粒度

的自主訪問控制，使系統(tǒng)具有更強的自主安全保護能力。

6.2設(shè)計策略

第二級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的4.2中相關(guān)要求，以身份鑒別為基礎(chǔ)，

提供單個用戶和（或）用戶組對共享文件、數(shù)據(jù)庫表等的自主訪問控制；以包過濾手段提供區(qū)域邊界保

護；以數(shù)據(jù)校驗和惡意代碼防范等手段，同時通過增加系統(tǒng)安全審計、客體安全重用等功能，使用戶對

自己的行為負責(zé)，提供用戶數(shù)據(jù)保密性和完整性保護，以增強系統(tǒng)的安全保護能力。

第二級系統(tǒng)安全保護環(huán)境的設(shè)計通過第二級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安

全管理中心的設(shè)計加以實現(xiàn)。

6.3設(shè)計技術(shù)要求

6.3.1安全計算環(huán)境設(shè)計技術(shù)要求

第二級安全計算環(huán)境應(yīng)從以下方面進行安全設(shè)計：

a)用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身

份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相

應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

b)自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的

部分或全部授予其他用戶。訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作

包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

c)系統(tǒng)安全審計

應(yīng)提供安全審計機制，記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、

類型和結(jié)果等內(nèi)容。該機制應(yīng)提供審計記錄查詢、分類和存儲保護，并可由安全管理中心管理。

d)用戶數(shù)據(jù)完整性保護

可采用常規(guī)校驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。

e)用戶數(shù)據(jù)保密性保護

5

GB/T25070.1—XXXX

可采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性

保護。

f)客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資

源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。

g)惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以防范和清

除惡意代碼。

6.3.2安全區(qū)域邊界設(shè)計技術(shù)要求

第二級安全區(qū)域邊界應(yīng)從以下方面進行安全設(shè)計：

a)區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，

確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b)區(qū)域邊界安全審計

應(yīng)在安全區(qū)域邊界設(shè)置審計機制，并由安全管理中心統(tǒng)一管理。

c)區(qū)域邊界惡意代碼防范

應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理。

d)區(qū)域邊界完整性保護

應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為，并及時報告安全管理中心。

6.3.3安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求

第二級安全通信網(wǎng)絡(luò)應(yīng)從以下方面進行安全設(shè)計：

a)通信網(wǎng)絡(luò)安全審計

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心管理。

b)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護

可采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護。

c)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護

可采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。

6.3.4安全管理中心設(shè)計技術(shù)要求

6.3.4.1系統(tǒng)管理

可通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份和授權(quán)管理、系統(tǒng)資

源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代碼防范等。

應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些

操作進行審計。

6.3.4.2審計管理

可通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策

略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、

管理和查詢等。

應(yīng)對安全審計員進行身份鑒別，并只允許其通過特定的命令或操作界面進行安全審計操作。

6

GB/T25070.1—XXXX

7第三級系統(tǒng)安全保護環(huán)境設(shè)計

7.1設(shè)計目標(biāo)

第三級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第三級系統(tǒng)的安全保護要求，在第

二級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，通過實現(xiàn)基于安全策略模型和標(biāo)記的強制訪問控制以及增強系統(tǒng)的審

計機制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。

7.2設(shè)計策略

第三級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：在第二級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，遵循GB17859-1999

的4.3中相關(guān)要求，構(gòu)造非形式化的安全策略模型，對主、客體進行安全標(biāo)記，表明主、客體的級別分

類和非級別分類的組合，以此為基礎(chǔ)，按照強制訪問控制規(guī)則實現(xiàn)對主體及其客體的訪問控制。

第三級系統(tǒng)安全保護環(huán)境的設(shè)計通過第三級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安

全管理中心的設(shè)計加以實現(xiàn)。

7.3設(shè)計技術(shù)要求

7.3.1安全計算環(huán)境設(shè)計技術(shù)要求

第三級安全計算環(huán)境應(yīng)從以下方面進行安全設(shè)計：

a)用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身

份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時，采用受安全管理中心控制

的口令、令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強度的兩種或兩種以上的組合機制進行

用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

b)自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部

分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）

記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

c)標(biāo)記和強制訪問控制

在對安全管理員進行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過特定操作界面對主、客體

進行安全標(biāo)記；應(yīng)按安全標(biāo)記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制。強制訪問控

制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)確保安全計算環(huán)境內(nèi)的所有主、客體具有

一致的標(biāo)記信息，并實施相同的強制訪問控制規(guī)則。

d)系統(tǒng)安全審計

應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。應(yīng)

提供審計記錄查詢、分類、分析和存儲保護；確保對特定安全事件進行報警；確保審計記錄不被破壞或

非授權(quán)訪問。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨立處理的安全事件，提供由授權(quán)主體調(diào)用的

接口。

e)用戶數(shù)據(jù)完整性保護

應(yīng)采用密碼等技術(shù)支持的完整性校驗機制，檢驗存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性

是否被破壞，且在其受到破壞時能對重要數(shù)據(jù)進行恢復(fù)。

f)用戶數(shù)據(jù)保密性保護

應(yīng)采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性

保護。

7

GB/T25070.1—XXXX

g)客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資

源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。

h)程序可信執(zhí)行保護

可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡

意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復(fù)，例如采用可信計算等技術(shù)。

i)網(wǎng)絡(luò)可信連接保護

應(yīng)采用具有網(wǎng)絡(luò)可信連接保護功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò)

時，對源和目標(biāo)進行平臺身份鑒別、平臺完整性校驗、數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo等。

j)配置可信檢查

應(yīng)將系統(tǒng)的安全配置信息形成基準(zhǔn)庫，實時監(jiān)控或定期檢查配置信息的修改行為，及時修復(fù)和基準(zhǔn)

庫中內(nèi)容不符的配置信息。

7.3.2安全區(qū)域邊界設(shè)計技術(shù)要求

第三級安全區(qū)域邊界應(yīng)從以下方面進行安全設(shè)計：

a)區(qū)域邊界訪問控制

應(yīng)在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，實施相應(yīng)的訪問控制策略，對進出安全區(qū)域邊界

的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。

b)區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)

等，確定是否允許該數(shù)據(jù)包進出該區(qū)域邊界。

c)區(qū)域邊界安全審計

應(yīng)在安全區(qū)域邊界設(shè)置審計機制，由安全管理中心集中管理，并對確認的違規(guī)行為及時報警。

d)區(qū)域邊界完整性保護

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時報告安全管理中

心。

7.3.3安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求

第三級安全通信網(wǎng)絡(luò)應(yīng)從以下方面進行安全設(shè)計：

a)通信網(wǎng)絡(luò)安全審計

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心集中管理，并對確認的違規(guī)行為進行報警。

b)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護

應(yīng)采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護，并在發(fā)現(xiàn)完整

性被破壞時進行恢復(fù)。

c)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護

應(yīng)采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。

d)通信網(wǎng)絡(luò)可信接入保護

可采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進行可信檢驗，確保

接入通信網(wǎng)絡(luò)的設(shè)備真實可信，防止設(shè)備的非法接入。

7.3.4安全管理中心設(shè)計技術(shù)要求

7.3.4.1系統(tǒng)管理

8

GB/T25070.1—XXXX

應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、

系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理以及支持管理本地和（或）異地災(zāi)難備份與恢復(fù)等。

應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些

操作進行審計。

7.3.4.2安全管理

應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記，對主體進行授權(quán)，配置一致的安全策略。

應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并進行審

計。

7.3.4.3審計管理

應(yīng)通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策

略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、

管理和查詢等。對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理。

應(yīng)對安全審計員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作。

8第四級系統(tǒng)安全保護環(huán)境設(shè)計

8.1設(shè)計目標(biāo)

第四級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第四級系統(tǒng)的安全保護要求，建立

一個明確定義的形式化安全策略模型，將自主和強制訪問控制擴展到所有主體與客體，相應(yīng)增強其他安

全功能強度；將系統(tǒng)安全保護環(huán)境結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素，以使系統(tǒng)具有抗?jié)B透的能

力。

8.2設(shè)計策略

第四級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：在第三級系統(tǒng)安全保護環(huán)境設(shè)計的基礎(chǔ)上，遵循GB

17859-1999的4.4中相關(guān)要求，通過安全管理中心明確定義和維護形式化的安全策略模型。依據(jù)該模型，

采用對系統(tǒng)內(nèi)的所有主、客體進行標(biāo)記的手段，實現(xiàn)所有主體與客體的強制訪問控制。同時，相應(yīng)增強

身份鑒別、審計、安全管理等功能，定義安全部件之間接口的途徑，實現(xiàn)系統(tǒng)安全保護環(huán)境關(guān)鍵保護部

件和非關(guān)鍵保護部件的區(qū)分，并進行測試和審核，保障安全功能的有效性。

第四級系統(tǒng)安全保護環(huán)境的設(shè)計通過第四級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安

全管理中心的設(shè)計加以實現(xiàn)。

8.3設(shè)計技術(shù)要求

8.3.1安全計算環(huán)境設(shè)計技術(shù)要求

第四級安全計算環(huán)境應(yīng)從以下方面進行安全設(shè)計：

a)用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身

份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄和重新連接系統(tǒng)時，采用受安全管

理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強度的兩種或兩種以上的組

合機制進行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對鑒別數(shù)據(jù)進行保密

性和完整性保護。

9

GB/T25070.1—XXXX

b)自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限部分

或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記

錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

c)標(biāo)記和強制訪問控制

在對安全管理員進行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過特定操作界面對主、客體

進行安全標(biāo)記，將強制訪問控制擴展到所有主體與客體；應(yīng)按安全標(biāo)記和強制訪問控制規(guī)則，對確定主

體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)

確保安全計算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實施相同的強制訪問控制規(guī)則。

d)系統(tǒng)安全審計

應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。應(yīng)

提供審計記錄查詢、分類、分析和存儲保護；能對特定安全事件進行報警，終止違例進程等；確保審計

記錄不被破壞或非授權(quán)訪問以及防止審計記錄丟失等。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨立

處理的安全事件，提供由授權(quán)主體調(diào)用的接口。

e)用戶數(shù)據(jù)完整性保護

應(yīng)采用密碼等技術(shù)支持的完整性校驗機制，檢驗存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性

是否被破壞，且在其受到破壞時能對重要數(shù)據(jù)進行恢復(fù)。

f)用戶數(shù)據(jù)保密性保護

采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中的用戶數(shù)據(jù)進行保密性保護。

g)客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資

源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。

h)程序可信執(zhí)行保護

應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡

意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復(fù)，例如采用可信計算等技術(shù)。

i)網(wǎng)絡(luò)可信連接保護

應(yīng)采用具有網(wǎng)絡(luò)可信連接保護功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò)

時，對源和目標(biāo)進行平臺身份鑒別、平臺完整性校驗、數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo等。

j)配置可信檢查

應(yīng)將系統(tǒng)的安全配置信息形成基準(zhǔn)庫，實時監(jiān)控或定期檢查配置信息的修改行為，及時修復(fù)和基準(zhǔn)

庫中內(nèi)容不符的配置信息。

8.3.2安全區(qū)域邊界設(shè)計技術(shù)要求

第四級安全區(qū)域邊界應(yīng)從以下方面進行安全設(shè)計：

a)區(qū)域邊界訪問控制

應(yīng)在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，實施相應(yīng)的訪問控制策略，對進出安全區(qū)域邊界

的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。

b)區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)

等，確定是否允許該數(shù)據(jù)包進出受保護的區(qū)域邊界。

c)區(qū)域邊界安全審計

應(yīng)在安全區(qū)域邊界設(shè)置審計機制，通過安全管理中心集中管理，對確認的違規(guī)行為及時報警并做

出相應(yīng)處置。

10

GB/T25070.1—XXXX

d)區(qū)域邊界完整性保護

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時報告安全管理中

心。

8.3.3安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求

第四級安全通信網(wǎng)絡(luò)應(yīng)從以下方面進行安全設(shè)計：

a)通信網(wǎng)絡(luò)安全審計

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心集中管理，并對確認的違規(guī)行為進行報警，且做

出相應(yīng)處置。

b)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護

應(yīng)采用由密碼等技術(shù)支持的完整性校驗機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護，并在發(fā)現(xiàn)完整

性被破壞時進行恢復(fù)。

c)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護

采用由密碼等技術(shù)支持的保密性保護機制，以實現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護。

d)通信網(wǎng)絡(luò)可信接入保護

應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進行可信檢驗，確保

接入通信網(wǎng)絡(luò)的設(shè)備真實可信，防止設(shè)備的非法接入。

8.3.4安全管理中心設(shè)計技術(shù)要求

8.3.4.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、

系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。

應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些

操作進行審計。

8.3.4.2安全管理

應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記，對主體進行授權(quán)，配置一致的安全策略，

并確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。

應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并進行審

計。

8.3.4.3審計管理

應(yīng)通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括根據(jù)安全審計策

略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、

管理和查詢等。對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行及時處理。

應(yīng)對安全審計員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作。

8.3.5系統(tǒng)安全保護環(huán)境結(jié)構(gòu)化設(shè)計技術(shù)要求

8.3.5.1安全保護部件結(jié)構(gòu)化設(shè)計技術(shù)要求

第四級系統(tǒng)安全保護環(huán)境各安全保護部件的設(shè)計應(yīng)基于形式化的安全策略模型。安全保護部件應(yīng)劃

分為關(guān)鍵安全保護部件和非關(guān)鍵安全保護部件，防止違背安全策略致使敏感信息從關(guān)鍵安全保護部件流

向非關(guān)鍵安全保護部件。關(guān)鍵安全保護部件應(yīng)劃分功能層次，明確定義功能層次間的調(diào)用接口，確保接

11

GB/T25070.1—XXXX

口之間的信息安全交換。

8.3.5.2安全保護部件互聯(lián)結(jié)構(gòu)化設(shè)計技術(shù)要求

第四級系統(tǒng)各安全保護部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明確定義；各安全保護部件之間互

聯(lián)時，需要通過可信驗證機制相互驗證對方的可信性，確保安全保護部件間的可信連接。

8.3.5.3重要參數(shù)結(jié)構(gòu)化設(shè)計技術(shù)要求

應(yīng)對第四級系統(tǒng)安全保護環(huán)境設(shè)計實現(xiàn)的與安全策略相關(guān)的重要參數(shù)的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包

括參數(shù)的類型、使用描述以及功能說明等，并用可信驗證機制確保數(shù)據(jù)不被篡改。

9第五級系統(tǒng)安全保護環(huán)境設(shè)計

9.1設(shè)計目標(biāo)

第五級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：按照GB17859-1999對第五級系統(tǒng)的安全保護要求，在第

四級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上，實現(xiàn)訪問監(jiān)控器，仲裁主體對客體的訪問，并支持安全管理職能。審

計機制可根據(jù)審計記錄及時分析發(fā)現(xiàn)安全事件并進行報警，提供系統(tǒng)恢復(fù)機制，以使系統(tǒng)具有更強的抗

滲透能力。

9.2設(shè)計策略

第五級系統(tǒng)安全保護環(huán)境的設(shè)計策略是：遵循GB17859-1999的4.5中“訪問監(jiān)控器本身是抗篡改

的；必須足夠小，能夠分析和測試”。在設(shè)計和實現(xiàn)訪問監(jiān)控器時，應(yīng)盡力降低其復(fù)雜性；提供系統(tǒng)恢

復(fù)機制；使系統(tǒng)具有更強的抗?jié)B透能力；所設(shè)計的訪問監(jiān)控器能進行必要的分析與測試，具有抗篡改能

力。

第五級系統(tǒng)安全保護環(huán)境的設(shè)計通過第五級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安

全管理中心的設(shè)計加以實現(xiàn)。

9.3設(shè)計技術(shù)要求

第五級系統(tǒng)安全保護環(huán)境設(shè)計技術(shù)要求另行制定。

10定級系統(tǒng)互聯(lián)設(shè)計

10.1設(shè)計目標(biāo)

定級系統(tǒng)互聯(lián)的設(shè)計目標(biāo)是：對相同或不同等級的定級系統(tǒng)之間的互聯(lián)、互通、互操作進行安全

保護，確保用戶身份的真實性、操作的安全性以及抗抵賴性，并按安全策略對信息流向進行嚴(yán)格控制，

確保進出安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。

10.2設(shè)計策略

定級系統(tǒng)互聯(lián)的設(shè)計策略是：遵循GB17859-1999對各級系統(tǒng)的安全保護要求，在各定級系統(tǒng)的計

算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全的基礎(chǔ)上，通過安全管理中心增加相應(yīng)的安全互聯(lián)策略，保

持用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換

進行安全保護。

12

GB/T25070.1—XXXX

10.3設(shè)計技術(shù)要求

10.3.1安全互聯(lián)部件設(shè)計技術(shù)要求

應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級系統(tǒng)安全保護環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的

安全策略進行信息交換，實現(xiàn)安全互聯(lián)部件。安全策略由跨定級系統(tǒng)安全管理中心實施。

10.3.2跨定級系統(tǒng)安全管理中心設(shè)計技術(shù)要求

應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護環(huán)境中的安全管理中心相連，主要實施跨定級系統(tǒng)

的系統(tǒng)管理、安全管理和審計管理。

10.3.2.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對安全互聯(lián)部件與相同和不同等級的定級系統(tǒng)中與安全互聯(lián)相關(guān)的系統(tǒng)資源和

運行進行配置和管理，包括用戶身份管理、安全互聯(lián)部件資源配置和管理等。

10.3.2.2安全管理

應(yīng)通過安全管理員對相同和不同等級的定級系統(tǒng)中與安全互聯(lián)相關(guān)的主/客體進行標(biāo)記管理，使其

標(biāo)記能準(zhǔn)確反映主/客體在定級系統(tǒng)中的安全屬性；對主體進行授權(quán)，配置統(tǒng)一的安全策略，并確保授

權(quán)在相同和不同等級的定級系統(tǒng)中的合理性。

10.3.2.3審計管理

應(yīng)通過安全審計員對安全互聯(lián)部件的安全審計機制、各定級系統(tǒng)的安全審計機制以及與跨定級系統(tǒng)

互聯(lián)有關(guān)的安全審計機制進行集中管理。包括根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開

啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等。對審計記錄應(yīng)進行分析，

并根據(jù)分析結(jié)果進行及時處理。

13

GB/T25070.1—XXXX

AA

附錄A

附錄B（資料性附錄）

附錄C訪問控制機制設(shè)計

C.1自主訪問控制機制設(shè)計

系統(tǒng)在初始配置過程中，安全管理中心首先需要對系統(tǒng)中的主體及客體進行登記命名，然后根據(jù)自

主訪問控制安全策略，按照主體對其創(chuàng)建客體的授權(quán)命令，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問的客體

和操作，并形成訪問控制列表。自主訪問控制機制結(jié)構(gòu)如圖A.1所示。

用戶登錄系統(tǒng)時，首先進行身份鑒別，經(jīng)確認為合法的注冊用戶可登錄系統(tǒng)，并執(zhí)行相應(yīng)的程序。

當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體資源的請求后，自主訪問控制安全機制將截獲該請求，然后查詢對

應(yīng)的訪問控制列表。如果該請求符合自主訪問控制列表規(guī)定的權(quán)限，則允許其執(zhí)行；否則將拒絕執(zhí)行，

并將此行為記錄在審計記錄中。

圖A.1自主訪問控制機制結(jié)構(gòu)

C.2強制訪問控制機制設(shè)計

14

GB/T25070.1—XXXX

系統(tǒng)在初始配置過程中，安全管理中心需要對系統(tǒng)中的確定主體及其所控制的客體實施身份管理、

標(biāo)記管理、授權(quán)管理和策略管理。身份管理確定系統(tǒng)中所有合法用戶的身份、工作密鑰、證書等與安全

相關(guān)的內(nèi)容。標(biāo)記管理根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安

全級別及范疇，生成全局客體安全標(biāo)記列表；同時根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全

級別及范疇，生成全局主體安全標(biāo)記列表。授權(quán)管理根據(jù)業(yè)務(wù)系統(tǒng)需求和安全狀況，授予用戶訪問客體

資源的權(quán)限，生成強制訪問控制策略和級別調(diào)整策略列表。策略管理則根據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與執(zhí)

行主體相關(guān)的策略，包括強制訪問控制策略和級別調(diào)整策略。除此之外，安全審計員需要通過安全管理

中心制定系統(tǒng)審計策略，實施系統(tǒng)的審計管理。強制訪問控制機制結(jié)構(gòu)如圖A.2所示。

系統(tǒng)在初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，經(jīng)過系統(tǒng)身份認證確認為授權(quán)主體后，系統(tǒng)將

下載全局主/客體安全標(biāo)記列表及與該主體對應(yīng)的訪問控制列表，并對其進行初始化。當(dāng)執(zhí)行程序主體

發(fā)出訪問系統(tǒng)中客體資源的請求后，系統(tǒng)安全機制將截獲該請求，并從中取出訪問控制相關(guān)的主體、客

體、操作三要素信息，然后查詢?nèi)种?客體安全標(biāo)記列表，得到主/客體的安全標(biāo)記信息，并依據(jù)強制

訪問控制策略對該請求實施策略符合性檢查。如果該請求符合系統(tǒng)強制訪問控制策略，則系統(tǒng)將允許該

主體執(zhí)行資源訪問。否則，系統(tǒng)將進行級別調(diào)整審核，即依據(jù)級別調(diào)整策略，判斷發(fā)出該請求的主體是

否有權(quán)訪問該客體。如果上述檢查通過，系統(tǒng)同樣允許該主體執(zhí)行資源訪問，否則，該請求將被系統(tǒng)拒

絕執(zhí)行。

系統(tǒng)強制訪問控制機制在執(zhí)行安全策略過程中，需要根據(jù)安全審計員制定的審計策略，對用戶的請

求及安全決策結(jié)果進行審計，并且將生成的審計記錄發(fā)送到審計服務(wù)器存儲，供安全審計員管理。

圖A.2強制訪問控制機制結(jié)構(gòu)

15

GB/T25070.1—XXXX

BB

附錄D

附錄E（資料性附錄）

附錄F第三級系統(tǒng)安全保護環(huán)境設(shè)計示例

F.1功能與流程

根據(jù)“一個中心”管理下的“三重保護”體系框架，構(gòu)建安全機制和策略，形成定級系統(tǒng)的安全保

護環(huán)境。該環(huán)境分為如下四部分：安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。每個

部分由1個或若干個子系統(tǒng)（安全保護部件）組成，子系統(tǒng)具有安全保護功能獨立完整、調(diào)用接口簡潔、

與安全產(chǎn)品相對應(yīng)和易于管理等特征。安全計算環(huán)境可細分為節(jié)點子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)；安全

管理中心可細分為系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計子系統(tǒng)。以上各子系統(tǒng)之間的邏輯關(guān)系如圖

B.1所示。

16

GB/T25070.1—XXXX

圖B.1第三級系統(tǒng)安全保護環(huán)境結(jié)構(gòu)與流程

F.1.1各子系統(tǒng)主要功能

第三級系統(tǒng)安全保護環(huán)境各子系統(tǒng)的主要功能如下：

a)節(jié)點子系統(tǒng)

節(jié)點子系統(tǒng)通過在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強制訪問控制為主體的系統(tǒng)安全機制，形成防護

層，通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)

的保密性和完整性，為典型應(yīng)用支撐子系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。

b)典型應(yīng)用支撐子系統(tǒng)

典型應(yīng)用支撐子系統(tǒng)是系統(tǒng)安全保護環(huán)境中為應(yīng)用系統(tǒng)提供安全支撐服務(wù)的接口。通過接口平臺使

應(yīng)用系統(tǒng)的主客體與保護環(huán)境的主客體相對應(yīng)，達到訪問控制策略實現(xiàn)的一致性。

c)區(qū)域邊界子系統(tǒng)

區(qū)域邊界子系統(tǒng)通過對進入和流出安全保護環(huán)境的信息流進行安全檢查，確保不會有違反系統(tǒng)安全

策略的信息流經(jīng)過邊界。

d)通信網(wǎng)絡(luò)子系統(tǒng)

17

GB/T25070.1—XXXX

通信網(wǎng)絡(luò)子系統(tǒng)通過對通信數(shù)據(jù)包的保密性和完整性的保護，確保其在傳輸過程中不會被非授權(quán)竊

聽和篡改，以保障數(shù)據(jù)在傳輸過程中的安全。

e)系統(tǒng)管理子系統(tǒng)

系統(tǒng)管理子系統(tǒng)負責(zé)對安全保護環(huán)境中的計算節(jié)點、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實施集中管理和

維護，包括用戶身份管理、資源管理、異常情況處理等。

f)安全管理子系統(tǒng)

安全管理子系統(tǒng)是系統(tǒng)的安全控制中樞，主要實施標(biāo)記管理、授權(quán)管理及策略管理等。安全管理子

系統(tǒng)通過制定相應(yīng)的系統(tǒng)安全策略，并要求節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)和通信網(wǎng)絡(luò)子系統(tǒng)強制執(zhí)行，

從而實現(xiàn)對整個信息系統(tǒng)的集中管理。

g)審計子系統(tǒng)

審計子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。安全審計員通過制定審計策略，并要求節(jié)點子系統(tǒng)、區(qū)域邊界子系

統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)、安全管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)強制執(zhí)行，實現(xiàn)對整個信息系統(tǒng)的行為審計，

確保用戶無法抵賴違反系統(tǒng)安全策略的行為，同時為應(yīng)急處理提供依據(jù)。

F.1.2各子系統(tǒng)主要流程

第三級系統(tǒng)安全保護環(huán)境的結(jié)構(gòu)與流程可以分為安全管理流程與訪問控制流程。安全管理流程主要

由安全管理員、系統(tǒng)管理員和安全審計員通過安全管理中心執(zhí)行，分別實施系統(tǒng)維護、安全策略制定和

部署、審計記錄分析和結(jié)果響應(yīng)等。訪問控制流程則在系統(tǒng)運行時執(zhí)行，實施自主訪問控制、強制訪問

控制等。

a)策略初始化流程

節(jié)點子系統(tǒng)在運行之前，首先由安全管理員、系統(tǒng)管理員和安全審計員通過安全管理中心為其部署

相應(yīng)的安全策略。其中，系統(tǒng)管理員首先需要為定級系統(tǒng)中的所有用戶實施身份管理，即確定所有用戶

的身份、工作密鑰、證書等。同時需要為定級系統(tǒng)實施資源管理，以確定業(yè)務(wù)系統(tǒng)正常運行需要使用的

執(zhí)行程序等。安全管理員需要通過安全管理中心為定級系統(tǒng)中所有主、客體實施標(biāo)記管理，即根據(jù)業(yè)務(wù)

系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定其安全級，生成全局客體安全標(biāo)記列表。同時根據(jù)用戶在

業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定其安全標(biāo)記，生成全局主體安全標(biāo)記列表。在此基礎(chǔ)上，安全管理員需要

根據(jù)系統(tǒng)需求和安全狀況，為主體實施授權(quán)管理，即授予用戶訪問客體資源的權(quán)限，生成強制訪問控制

列表和級別調(diào)整策略列表。除此之外，安全審計員需要通過安全管理中心中的審計子系統(tǒng)制定系統(tǒng)審計

策略，實施系統(tǒng)的審核管理。如果定級系統(tǒng)需要和其它系統(tǒng)進行互聯(lián)，則上述初始化流程需要結(jié)合跨定

級系統(tǒng)安全管理中心制定的策略執(zhí)行。

b)計算節(jié)點啟動流程

策略初始化完成后，授權(quán)用戶才可以啟動并使用計算節(jié)點訪問定級系統(tǒng)中的客體資源。為了確保計

算節(jié)點的系統(tǒng)完整性，節(jié)點子系統(tǒng)在啟動時需要對所裝載的可執(zhí)行代碼進行可信驗證，確保其在可執(zhí)行

代碼預(yù)期值列表中，并且程序完整性沒有遭到破壞。計算節(jié)點啟動后，用戶便可以安全地登錄系統(tǒng)。在

此過程中，系統(tǒng)首先裝載代表用戶身份唯一標(biāo)識的硬件令牌，然后獲取其中的用戶信息，進而驗證登錄

用戶是否是該節(jié)點上的授權(quán)用戶。如果檢查通過，系統(tǒng)將請求策略服務(wù)器下載與該用戶相關(guān)的系統(tǒng)安全

策略。下載成功后，系統(tǒng)可信計算基將確定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作空間。此后，該用

戶便可以通過啟動應(yīng)用訪問定級系統(tǒng)中的客體資源。

c)計算節(jié)點訪問控制流程

用戶啟動應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問本地或網(wǎng)絡(luò)資源的請求，該請求將被

操作系統(tǒng)訪問控制模塊截獲。訪問控制模塊首先依據(jù)自主訪問控制策略對其執(zhí)行策略符合性檢查。如果

自主訪問控制策略符合性檢查通過，則該請求允許被執(zhí)行；否則，訪問控制模塊依據(jù)強制訪問控制策略

對該請求執(zhí)行策略符合性檢查。如果強制訪問策略符合性檢查通過，那么該請求允許被執(zhí)行；否則，系

18

GB/T25070.1—XXXX

統(tǒng)對其進行級別調(diào)整檢查。即依照級別調(diào)整檢查策略，判斷發(fā)出該請求的主體是否有權(quán)訪問該客體。如

果通過，該請求同樣允許被執(zhí)行；否則，該請求被拒絕執(zhí)行。

系統(tǒng)訪問控制機制在安全決策過程中，需要根據(jù)安全審計員制定的審計策略，對用戶的請求及決策

結(jié)果進行審計，并且將生成的審計記錄發(fā)送到審計服務(wù)器存儲，供安全審計員檢查和處理。

d)跨計算節(jié)點訪問控制流程

如果主體和其所請求訪問的客體資源不在同一個計算節(jié)點，則該請求會被可信接入模塊截獲，用來

判斷該請求是否會破壞系統(tǒng)安全。在進行接入檢查前，模塊首先通知系統(tǒng)安全代理獲取對方計算節(jié)點的

身份，并檢驗其安全性。如果檢驗結(jié)果是不安全的，則系統(tǒng)拒絕該請求；否則，系統(tǒng)將依據(jù)強制訪問控

制策略，判斷該主體是否允許訪問相應(yīng)端口。如果檢查通過，該請求被放行；否則，該請求被拒絕。

e)跨邊界訪問控制流程

如果主體和其所請求訪問的客體資源不在同一個安全保護環(huán)境內(nèi)，那么該請求將會被區(qū)域邊界控制

設(shè)備截獲并且進行安全性檢查，檢查過程類似于跨計算節(jié)點訪問控制流程。

F.2子系統(tǒng)間接口

F.2.1綜述

為了清楚描述各子系統(tǒng)之間的關(guān)系，圖B.2給出了子系統(tǒng)間的接口關(guān)系。

圖B.2第三級系統(tǒng)安全保護環(huán)境子系統(tǒng)接口

典型應(yīng)用支撐子系統(tǒng)與節(jié)點子系統(tǒng)之間通過系統(tǒng)調(diào)用接口。其它子系統(tǒng)之間則通過可靠的網(wǎng)絡(luò)傳輸

協(xié)議，按照規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)、審計數(shù)據(jù)以及其他安全保護環(huán)境數(shù)據(jù)等。由于不同子系統(tǒng)之

間需要交換各種類型的數(shù)據(jù)包，因此需要明確定義子系統(tǒng)間的接口協(xié)議并規(guī)范傳輸數(shù)據(jù)包格式，使得各

子系統(tǒng)之間能透明交互，實現(xiàn)相應(yīng)數(shù)據(jù)的交換。數(shù)據(jù)包的標(biāo)準(zhǔn)格式如表B.1所示。

表B.1子系統(tǒng)間數(shù)據(jù)包格式

0123456789101112131415

標(biāo)志版本號接口類型標(biāo)記位

內(nèi)容長度附加項長度保留

數(shù)據(jù)內(nèi)容

．．．

附加項類型附加項內(nèi)容

．．．

19

GB/T25070.1—XXXX

數(shù)據(jù)包由包頭、附加項和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，定義了標(biāo)志、版本號、接口

類型、標(biāo)記位以及內(nèi)容和附加項長度等。內(nèi)容和附加項長度不定。

數(shù)據(jù)包各數(shù)據(jù)項說明如下：

標(biāo)志（4字節(jié)）：用于標(biāo)識等級保護相關(guān)的數(shù)據(jù)流，此標(biāo)志可以作為區(qū)別等級保護數(shù)據(jù)包的依據(jù)。

版本號（4字節(jié)）：表示該接口協(xié)議的版本號。其中前兩個字節(jié)表示主版本號。

接口類型（4字節(jié)）：表示本數(shù)據(jù)包的對應(yīng)接口類型編號。

標(biāo)記位(4字節(jié))：表述數(shù)據(jù)包屬性標(biāo)志，如表B.2所示。

表B.2數(shù)據(jù)包屬性標(biāo)志

保留（29比特位）BROSIGCHK

BRO：表示數(shù)據(jù)包發(fā)送對象地址尚未確定，需要以廣播方式發(fā)送或發(fā)送給查詢服務(wù)器。

SIG：表示數(shù)據(jù)包是否有簽名保護，0為無簽名，1為有簽名。如果有簽名保護，簽名信息在附加

項中。

CHK：表示數(shù)據(jù)包是否需要校驗，0為不校驗，1為校驗。如果需要校驗，校驗碼在附加項中存放。

內(nèi)容長度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長度，以字節(jié)為單位。

附加項長度（4字節(jié)）：表示所有附加項長度之和，以字節(jié)為單位。

保留（8字節(jié)）：作為數(shù)據(jù)包擴展保留。

數(shù)據(jù)內(nèi)容：數(shù)據(jù)包傳輸?shù)木唧w內(nèi)容，其格式與數(shù)據(jù)包類型相關(guān)，長度不定。

附加項類型（4字節(jié)）：表示附加項的類型。

附加項內(nèi)容：數(shù)據(jù)包傳輸?shù)母郊觾?nèi)容，其格式與附加項類型相關(guān)，長度不定。

下面按照接口對應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附加項。

F.2.2接口1

功能：節(jié)點（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向安全管理子系統(tǒng)請求下載策略。

類型：請求數(shù)據(jù)包。

描述：計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備啟動時，向安全管理子系統(tǒng)請求下載策略，該接口為節(jié)

點子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)到安全管理子系統(tǒng)之間的接口。

客戶端向服務(wù)器發(fā)起TCP連接，發(fā)出的請求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.3所示。

表B.3客戶端向服務(wù)器發(fā)出的請求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式

節(jié)點標(biāo)志（1-16字節(jié)）

節(jié)點標(biāo)志（17-20字節(jié)）用戶身份（1-12字節(jié)）

用戶身份（13-28字節(jié)）

用戶身份（29-40字節(jié)）附加信息長度

附加信息

．．．

F.2.3接口2

功能：安全管理子系統(tǒng)向節(jié)點（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)返回與請求主體相關(guān)的策略。

類型：策略下發(fā)數(shù)據(jù)包。

描述：安全管理中心接到下載策略請求后，向計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備發(fā)送安全策略。

安全管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.4所示。

20

GB/T25070.1—XXXX

表B.4安全管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式

節(jié)點標(biāo)志（1-16字節(jié)）

節(jié)點標(biāo)志（17-20字節(jié)）用戶身份（1-12字節(jié)）

用戶身份（13-28字節(jié)）

用戶身份（29-40字節(jié)）策略類型

策略版本（8字節(jié)）策略項數(shù)（4字節(jié)）保留（4字節(jié)）

下載策略項1

．．．

下載策略項2

．．．

F.2.4接口3

功能：節(jié)點（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向?qū)徲嫹?wù)器發(fā)送審計記錄。

類型：審計記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式。

描述：計算節(jié)點、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備向?qū)徲嬜酉到y(tǒng)發(fā)送審計記錄。

所發(fā)送的審計記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.5所示。

表B.5節(jié)點子系統(tǒng)發(fā)送的審計記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式

節(jié)點標(biāo)志（1-16字節(jié)）

節(jié)點標(biāo)志（17-20字節(jié)）審計項數(shù)（4字節(jié)）保留

第1個審計項

．．．

第2個審計項

．．．

第n個審計項

．．．

F.2.5接口4

功能：節(jié)點子系統(tǒng)之間的接入可信性驗證。

類型：可信接入申請包、可信接入應(yīng)答包、可信接入確認包。

描述：節(jié)點子系統(tǒng)之間的接口主要實現(xiàn)可信接入。可信接入是在執(zhí)行跨節(jié)點間訪問時，客體所在節(jié)

點驗證主體所在節(jié)點可信性的過程?？尚沤尤胄枰絽f(xié)議執(zhí)行。首先是訪問發(fā)起方所在節(jié)點向訪問應(yīng)

答方所在節(jié)點提出可信接入申請包，應(yīng)答方所在節(jié)點驗證申請包后向發(fā)起方所在節(jié)點發(fā)送可信接入應(yīng)答

包，由發(fā)起方所在節(jié)點驗證應(yīng)答包成功后，返回可信接入確認包。

可信接入申請包格式如表B.6所示。

表B.6可信接入申請包數(shù)據(jù)內(nèi)容格式

發(fā)起方平臺身份（1-16字節(jié)）

發(fā)起方平臺身份（17-32字節(jié)）

附加項長度（4字節(jié)）附加項

可信接入應(yīng)答包格式如表B.7所示。

21

GB/T25070.1—XXXX

表B.7可信接入應(yīng)答包數(shù)據(jù)內(nèi)容格式

應(yīng)答方平臺身份（1-16字節(jié)）

應(yīng)答方平臺身份（17-32字節(jié)）

附加項長度（4字節(jié)）附加項

可信接入確認包數(shù)據(jù)內(nèi)容格式和可信接入應(yīng)答包內(nèi)容格式相同，具體區(qū)別在于附加項。

F.3重要數(shù)據(jù)結(jié)構(gòu)

F.3.1重要數(shù)據(jù)結(jié)構(gòu)列表

第三級系統(tǒng)安全保護環(huán)境設(shè)計的重要數(shù)據(jù)結(jié)構(gòu)如表B.8所示。

表B.8重要數(shù)據(jù)結(jié)構(gòu)

編號數(shù)據(jù)結(jié)構(gòu)名稱用途

1用戶身份信息列表用戶身份、密鑰等信息列表

2主體安全標(biāo)記列表以此表為依據(jù)，可以利用用戶身份查詢其標(biāo)記信息

3客體安全標(biāo)記列表以此表為依據(jù)，可以利用客體名查詢其標(biāo)記信息

4自主訪問控制列表確定了主體能自主訪問的客體

5級別調(diào)整策略列表確定了主體能特權(quán)操作的客體

6審計策略列表確定了系統(tǒng)的審計策略，即需要對哪些安全事件進行審計

7審計記錄格式審計日志

7審計記錄格式審計日志

F.3.2用戶身份信息列表

typedefstructtagUser_Info

{

BYTE*RootCert;

UINT32RootCertLen;

BYTE*UserCert;

UINT32UserCertLen;

BYTE*UserSigKey;

UINT32UserSigKeyLen;

BYTEEncAlgID;

BYTE*WorkKey;

UINT32WorkKeyLen;

BYTE*UserEncKey;

UINT32UserEncKeyLen;

BYTEReserved[256];

}User_Info;

用戶身份信息列表字段解釋如表B.9所示。

表B.9重要數(shù)據(jù)結(jié)構(gòu)

22

GB/T25070.1—XXXX

字段名解釋

RootCert系統(tǒng)根證書

RootCertLen