網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

1、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則國(guó)家質(zhì)量技術(shù)監(jiān)督局1、 范圍本標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí), 即:第一級(jí) : 用戶(hù)自主保護(hù)級(jí) ;第二級(jí) : 系統(tǒng)審計(jì)保護(hù)級(jí) ;第三級(jí) : 安全標(biāo)記保護(hù)級(jí) ;第四級(jí) : 結(jié)構(gòu)化保護(hù)級(jí) ;第五級(jí) : 訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí) ;本標(biāo)準(zhǔn)適用于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級(jí)的劃分 . 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級(jí)的增高 , 逐漸增強(qiáng) .2、 引用標(biāo)準(zhǔn)下列標(biāo)準(zhǔn)所包含的條文 , 通過(guò)在標(biāo)準(zhǔn)中引用而構(gòu)成本標(biāo)準(zhǔn)的條文 . 本標(biāo)準(zhǔn)出版時(shí) , 所示版本均為有效 . 所有標(biāo)準(zhǔn)都會(huì)被修訂 , 使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性 .GB/T52

2、71 數(shù)據(jù)處理詞匯3、 定義出本章定義外 , 其他未列出的定義見(jiàn)GB/T5271.3.1 計(jì)算機(jī)信息系統(tǒng)computer information system計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施( 含網(wǎng)絡(luò) ) 構(gòu)成的 , 按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng).3.2 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基trusted computing base of computer information system計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基體的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶(hù)服務(wù)

3、。3.3 客體 object信息的載體。3.4 主體 subject引起信息在客體之間流動(dòng)的人、進(jìn)程或設(shè)備等。3.5 敏感標(biāo)記sensitivity label表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息， 可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪(fǎng)問(wèn)控制決策的依據(jù)。3.6 安全策略security policy有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。3.7 信道 channel系統(tǒng)內(nèi)的信息傳輸路徑。3.8 隱蔽信道 covert channel允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道/3.9 訪(fǎng)問(wèn)監(jiān)控器 reference monitor監(jiān)控器主體和客體之間授權(quán)訪(fǎng)問(wèn)關(guān)系的部件。

4、4 、等級(jí)劃分準(zhǔn)則4.1 第一級(jí)用戶(hù)自主保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶(hù)實(shí)施訪(fǎng)問(wèn)控制，即為用戶(hù)提供可行的手段，保護(hù)用戶(hù)和用戶(hù)信息，避免其他用戶(hù)對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞。4.1.1自主訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名擁護(hù)對(duì)命名客體的訪(fǎng)問(wèn)。實(shí)施機(jī)制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和 （或）用戶(hù)組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶(hù)讀取敏感信息。4.1.2身份鑒別計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時(shí)， 首先要求用戶(hù)標(biāo)識(shí)自己的身份， 并使用保護(hù)機(jī)制 （例如：口令）來(lái)鑒別用戶(hù)的身份，阻止非授

5、權(quán)用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數(shù)據(jù)。4.1.3數(shù)據(jù)完整性計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主完整性策略，阻止非授權(quán)用戶(hù)修改或破壞敏感信息。4.2 第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)與用戶(hù)自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪(fǎng)問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé)。4.2.1自主訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶(hù)對(duì)命名客體的訪(fǎng)問(wèn)。實(shí)施機(jī)制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和 （或）用戶(hù)組的身份規(guī)定并控制客體的共享； 阻止非授權(quán)用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權(quán)限擴(kuò)散。自主訪(fǎng)問(wèn)控制機(jī)制根據(jù)用戶(hù)指定方式或默認(rèn)方式，阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)客體

6、。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪(fǎng)問(wèn)權(quán)。4.2.2身份鑒別計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時(shí)， 首先要求用戶(hù)標(biāo)識(shí)自己的身份， 并使用保護(hù)機(jī)制 （例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數(shù)據(jù)。通過(guò)為用戶(hù)提供唯一標(biāo)識(shí)，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠使用戶(hù)對(duì)自己的行為負(fù)責(zé)。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基還具備將身份標(biāo)識(shí)與該用戶(hù)所有可審計(jì)行為相關(guān)聯(lián)的能力。4.2.3客體重用在計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或在分配一個(gè)主體之前，撤消該客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得

7、原主體活動(dòng)所產(chǎn)生的任何信息。4.2.4審計(jì)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪(fǎng)問(wèn)審計(jì)跟蹤記錄， 并能阻止非授權(quán)的用戶(hù)對(duì)它訪(fǎng)問(wèn)或破壞。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名。對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的

8、審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。4.2.5數(shù)據(jù)完整性計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主完整性策略，組織非授權(quán)用戶(hù)修改或破壞敏感信息。4.3 第三級(jí)安全標(biāo)記保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能。 此外，還需提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪(fǎng)問(wèn)控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。4.3.1自主訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶(hù)對(duì)命名客體地訪(fǎng)問(wèn)。實(shí)施機(jī)制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和 （或）用戶(hù)組的身份

9、規(guī)定并控制客體的共享； 阻止非授權(quán)用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權(quán)限擴(kuò)散。自主訪(fǎng)問(wèn)控制機(jī)根據(jù)用戶(hù)指定方式或默認(rèn)方式，阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪(fǎng)問(wèn)權(quán)。阻止非授權(quán)用戶(hù)讀取敏感信息。4.3.2強(qiáng)制訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類(lèi)和非等級(jí)類(lèi)別的組合，它們是實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的依據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基控制的所有主體對(duì)客體的訪(fǎng)問(wèn)應(yīng)滿(mǎn)?。?僅當(dāng)主體安全級(jí)中的

10、等級(jí)分類(lèi)高于或等于客體安全級(jí)中的等級(jí)分類(lèi)，且主體安全級(jí)中的非等級(jí)類(lèi)別包含了客體安全級(jí)中的全部非等級(jí)類(lèi)別，主體才能讀客體；僅當(dāng)主體安全級(jí)中的等級(jí)分類(lèi)低于或等于客體安全級(jí)中的等級(jí)分類(lèi)， 且主體安全級(jí)中的非等級(jí)類(lèi)別包含于課題安全級(jí)中的非等級(jí)類(lèi)別， 主體才能寫(xiě)一個(gè)客體。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶(hù)的身份，并保證用戶(hù)創(chuàng)建的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用戶(hù)的安全級(jí)和授權(quán)的控制。4.3.3標(biāo)記計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基應(yīng)維護(hù)與主體及其控制的存儲(chǔ)客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪(fǎng)問(wèn)的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，計(jì)算機(jī)信息系

11、統(tǒng)可信計(jì)算基向授權(quán)用戶(hù)要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基審計(jì)。4.3.4身份鑒別計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶(hù)標(biāo)識(shí)自己的身份，而且，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基維護(hù)用戶(hù)身份識(shí)別數(shù)據(jù)并確定用戶(hù)訪(fǎng)問(wèn)權(quán)及授權(quán)數(shù)據(jù)。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用這些數(shù)據(jù)鑒別用戶(hù)身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數(shù)據(jù)。通過(guò)為用戶(hù)提供唯一標(biāo)識(shí)，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠使用戶(hù)對(duì)自己的行為負(fù)責(zé)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基還具備將身份標(biāo)識(shí)與該用戶(hù)所有可審計(jì)行為想關(guān)聯(lián)的能力。4.3.5客體重用在計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，

12、對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。4.3.6審計(jì)計(jì)算機(jī)信息系統(tǒng)可心計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪(fǎng)問(wèn)審計(jì)跟蹤記錄， 并能阻止非授權(quán)的用戶(hù)對(duì)它訪(fǎng)問(wèn)或破壞。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（

13、例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。4.3.7數(shù)據(jù)完整性計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)擁護(hù)修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送中未受損。4.4 第四級(jí)機(jī)構(gòu)化保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式安全策略模型之上， 要求將第三級(jí)系統(tǒng)

14、中的自主和強(qiáng)制訪(fǎng)問(wèn)控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的借口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。4.4.1自主訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶(hù)對(duì)命名客體的訪(fǎng)問(wèn)。實(shí)施機(jī)制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)和（或）以用戶(hù)組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權(quán)限擴(kuò)散。自主訪(fǎng)問(wèn)控制機(jī)制根據(jù)用戶(hù)指定方式或

15、默認(rèn)方式，阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪(fǎng)問(wèn)權(quán)。4.4.2強(qiáng)制訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基對(duì)外部主體能夠或直接訪(fǎng)問(wèn)的所有資源（例如：主體、存儲(chǔ)客體和輸入輸出資源）實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制。 為這些主體及客體指定敏感標(biāo)記， 這些標(biāo)記是等級(jí)分類(lèi)和非等級(jí)類(lèi)別的組合，它們是實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的依據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部的所有主體對(duì)客體的直接或間接的訪(fǎng)問(wèn)應(yīng)滿(mǎn)足： 僅當(dāng)主體安全級(jí)中的等級(jí)分類(lèi)高于或等于客體安全級(jí)中的等級(jí)分類(lèi)， 且主體安全級(jí)中的非等級(jí)類(lèi)別包含了客體安全級(jí)中的全部非等級(jí)

16、類(lèi)別，主體才能讀客體；僅當(dāng)主體安全級(jí)中的等級(jí)分類(lèi)低于或等于客體安全級(jí)中的等級(jí)分類(lèi)，且主體安全級(jí)中的非等級(jí)類(lèi)別包含與客體安全級(jí)中的非等級(jí)類(lèi)別，主體才能寫(xiě)一個(gè)客體。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶(hù)的身份，保證用戶(hù)創(chuàng)建的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用戶(hù)的安全級(jí)和授權(quán)的控制。4.4.3標(biāo)記計(jì)算機(jī)信息系統(tǒng)可心計(jì)算基維護(hù)與可被外部主體直接或間接訪(fǎng)問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源 （例如：主體、存儲(chǔ)客體、只讀存儲(chǔ)器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪(fǎng)問(wèn)的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基向授權(quán)用戶(hù)要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可

17、信計(jì)算基審計(jì)。4.4.4身份鑒別計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶(hù)標(biāo)識(shí)自己的身份，而且，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基維護(hù)用戶(hù)身份識(shí)別數(shù)據(jù)并確定用戶(hù)訪(fǎng)問(wèn)權(quán)及授權(quán)數(shù)據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用這些數(shù)據(jù)，鑒別用戶(hù)身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶(hù)的身份：阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數(shù)據(jù)。通過(guò)為用戶(hù)提供唯一標(biāo)識(shí)， 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠使用戶(hù)所有可審計(jì)行為相關(guān)聯(lián)的能力。4.4.5客體重用計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所

18、產(chǎn)生的任何信息。4.4.6審計(jì)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪(fǎng)問(wèn)審計(jì)跟蹤記錄， 并能阻止非授權(quán)的用戶(hù)對(duì)它訪(fǎng)問(wèn)或破壞。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)

19、更改可讀輸出記號(hào)的能力。對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠?qū)徲?jì)里同隱蔽存儲(chǔ)信道時(shí)可能被使用的事件。4.4.7數(shù)據(jù)完整性計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，組織非授權(quán)用戶(hù)修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送未受損。4.4.8隱蔽信道分析系統(tǒng)開(kāi)發(fā)者應(yīng)徹底搜索隱蔽存儲(chǔ)信道，并根據(jù)實(shí)際測(cè)量或工程估算確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬。 4.4.9 可信路徑對(duì)用戶(hù)的初始登錄和鑒別，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在它與用

20、戶(hù)之間提供可信通信路徑。該路徑上的通信只能由該用戶(hù)初始化。4.5 第五級(jí)訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿(mǎn)足訪(fǎng)問(wèn)控制器需求。訪(fǎng)問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪(fǎng)問(wèn)。訪(fǎng)問(wèn)監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試。為了滿(mǎn)足訪(fǎng)問(wèn)監(jiān)控器需求，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在其構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來(lái)說(shuō)并非必要的代碼；在設(shè)計(jì)和現(xiàn)實(shí)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。4.5.1自主訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義并控制系統(tǒng)中命名用戶(hù)對(duì)命名客體的訪(fǎng)問(wèn)。實(shí)施機(jī)制（例如：

21、訪(fǎng)問(wèn)控制表）允許命名用戶(hù)和（或）以用戶(hù)組的身份規(guī)定并控制客體的共享；阻止非用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權(quán)限擴(kuò)散。自主訪(fǎng)問(wèn)控制機(jī)制根據(jù)用戶(hù)指定方式或默認(rèn)方式，阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)主體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。訪(fǎng)問(wèn)控制能夠?yàn)槊總€(gè)命名客體指定命名用戶(hù)和用戶(hù)組，并規(guī)定他們對(duì)客體的訪(fǎng)問(wèn)模式。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪(fǎng)問(wèn)權(quán)。4.5.2 強(qiáng)制訪(fǎng)問(wèn)控制計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基對(duì)外部主體能夠直接或間接訪(fǎng)問(wèn)的所有資源（例如：主體、存儲(chǔ)客體和輸入輸出資源）實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類(lèi)和非等級(jí)類(lèi)別的組合，它們是實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的依據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外

22、部的所有主體對(duì)客體的直接或間接的訪(fǎng)問(wèn)應(yīng)滿(mǎn)足：僅當(dāng)主體安全級(jí)中的等級(jí)分類(lèi)高于或等于客體安全級(jí)中的等級(jí)分類(lèi)，且主體安全級(jí)中的非等級(jí)類(lèi)別包含了客體安全級(jí)中的全部非等級(jí)類(lèi)別，主體才能讀客體；僅當(dāng)主體安全級(jí)中的等級(jí)分類(lèi)低于或等于客體安全級(jí)中的等級(jí)分類(lèi)，且主體安全級(jí)中的非等級(jí)類(lèi)別包含于客體安全級(jí)中的非等級(jí)類(lèi)別，主體才能寫(xiě)一個(gè)客體。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶(hù)的身份，保證用戶(hù)創(chuàng)建的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用戶(hù)的安全級(jí)和授權(quán)的控制。4.5.3標(biāo)記計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基維護(hù)與可被外部主體直接或間接訪(fǎng)問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源 （例如：主體、存儲(chǔ)客體、只讀存儲(chǔ)器）

23、相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪(fǎng)問(wèn)的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基向授權(quán)用戶(hù)要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基審計(jì)。4.5.4身份鑒別計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶(hù)標(biāo)識(shí)自己的身份，而且，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基維護(hù)用戶(hù)身份識(shí)別數(shù)據(jù)并確定用戶(hù)訪(fǎng)問(wèn)權(quán)及授權(quán)數(shù)據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用這些數(shù)據(jù)，鑒別用戶(hù)身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數(shù)據(jù)。通過(guò)為用戶(hù)提供唯一標(biāo)識(shí)，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠使用戶(hù)對(duì)自己的行為負(fù)責(zé)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基還具備將身份標(biāo)識(shí)與該用戶(hù)所有審計(jì)

24、行為相關(guān)聯(lián)的能力。4.5.5客體重用在計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或在分配一個(gè)主體之前，撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。4.5.6審計(jì)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪(fǎng)問(wèn)審計(jì)跟蹤記錄， 并能阻止非授權(quán)的用戶(hù)對(duì)它訪(fǎng)問(wèn)或破壞。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的

25、日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠?qū)徲?jì)利用隱蔽存儲(chǔ)信道時(shí)可能被使用的事件。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基包含能夠監(jiān)控可審計(jì)安全事件發(fā)生與積累的機(jī)制，當(dāng)超過(guò)閾值時(shí)，能夠立即向安全管理員發(fā)出報(bào)警。并且，如果這些

26、與安全相關(guān)的事件繼續(xù)發(fā)生或積累，系統(tǒng)應(yīng)以最小的代價(jià)中止它們。4.5.7數(shù)據(jù)完整性計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶(hù)修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送中未受損。4.5.8隱蔽信道分析系統(tǒng)開(kāi)發(fā)者應(yīng)徹底搜索隱蔽信道，并根據(jù)實(shí)際測(cè)量或工程估算確定每一個(gè)被標(biāo)記信道的最大帶寬。4.5.9可信路徑當(dāng)連接用戶(hù)時(shí)（如注冊(cè)、更改主體安全級(jí)），計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基提供它與用戶(hù)之間的可信通信路徑?？尚怕窂缴系耐ㄐ胖荒苡稍撚脩?hù)或計(jì)算機(jī)信息可信計(jì)算基激活，且在邏輯上與其他路徑上的通信相隔離，且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區(qū)分。4.5.10可信恢復(fù)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基提供過(guò)程和機(jī)制，保證計(jì)算機(jī)信息系統(tǒng)失效或中斷后，可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。其中專(zhuān)業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德