網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

1、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求引言本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全保護(hù)等級的網(wǎng)絡(luò)系統(tǒng)，主要說 明為實(shí)現(xiàn)GB 7859-1999中每一個(gè)安全保護(hù)等級的安全要求，網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù) 措施，以及各安全技術(shù)要求在不同安全保護(hù)等級中具體差異。網(wǎng)絡(luò)是一個(gè)具有復(fù)雜結(jié)構(gòu)、 由許多網(wǎng)絡(luò)設(shè)備組成的系統(tǒng)，不同的網(wǎng)絡(luò)環(huán)境又會(huì)有不同的系統(tǒng)結(jié)構(gòu)。然而，從網(wǎng)絡(luò)系統(tǒng) 所實(shí)現(xiàn)的功能來看，可以概括為“實(shí)現(xiàn)網(wǎng)上信息 交換”。網(wǎng)上信息交換具體可以分解為信 息的發(fā)送、信息的傳輸和信息的接收。從信息安全的角度，網(wǎng)絡(luò)信息安全可以概括為“保 障網(wǎng)上信息交換的安全”，具體表現(xiàn)為信息發(fā)送的安全、信息傳輸?shù)陌踩托畔⒔邮?/p>

2、的安 全，以及網(wǎng)上信息交換的抗抵賴等。網(wǎng)上信息交換是通過確定的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的，不同的 網(wǎng)絡(luò)會(huì)有不同的協(xié) 議。任何網(wǎng)絡(luò)設(shè)備都是為實(shí)現(xiàn)確定的網(wǎng)絡(luò)協(xié)議而設(shè)置的。典型的、具有 代表性的網(wǎng)絡(luò)協(xié)議是國際標(biāo)準(zhǔn)化組織的開放系統(tǒng)互連協(xié)議（ISO/OSI），也稱七層協(xié) 議。 雖然很少有完全按照七層協(xié)議構(gòu)建的網(wǎng)絡(luò)系統(tǒng)，但是七層協(xié)議的理論價(jià)值和指導(dǎo)作用是任 何網(wǎng)絡(luò)協(xié)議所不可替代的。網(wǎng)絡(luò)安全需要通過協(xié)議安全來實(shí)現(xiàn)。通過對七層協(xié)議每一層安 全的描述，可以實(shí)現(xiàn)對網(wǎng)絡(luò)安全的完整描述。網(wǎng)絡(luò)協(xié)議的安全需要由組成網(wǎng)絡(luò)系統(tǒng)的設(shè)備 來保障。因此，對七層協(xié)議的安全要求自然包括對網(wǎng)絡(luò)設(shè)備的安全要求。信息安全是與信息系統(tǒng)所實(shí)現(xiàn)的功能密切相關(guān)

3、的，網(wǎng)絡(luò)安全也不例外。網(wǎng)絡(luò)各層協(xié)議的 安全與其在每一層所實(shí)現(xiàn)的功能密切相關(guān)。附錄A. 2關(guān)于網(wǎng)絡(luò)各層協(xié)議主要功能的說明， 對物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層等各層的功能進(jìn)行了簡要 描述，是確定網(wǎng)絡(luò)各層安全功能要求的主要依據(jù)。本標(biāo)準(zhǔn)以GB/T 20271-2006關(guān)于信息系統(tǒng)安全等級保護(hù)的通用技術(shù)要求為基礎(chǔ)，圍繞以 訪問控制為核心的思想進(jìn)行編寫，在對網(wǎng)絡(luò)安全的組成與相互關(guān)系進(jìn)行簡要說明的基礎(chǔ)上， 第5章對網(wǎng)絡(luò)安全功能基本技術(shù)分別進(jìn)行了說明，第6章是對第5章網(wǎng)絡(luò)安全功能的分級 分層情況的描述。在此基礎(chǔ)上，本標(biāo)準(zhǔn)的第7章對網(wǎng)絡(luò)安全技術(shù)的分等級要求分別從安全 功能技術(shù)要求和安全保

4、證技術(shù)要求兩方面進(jìn)行了詳細(xì)說明。在第7章的描述中除了引用以 前各章的內(nèi)容外，還引用了 GB/T 20271-2006中關(guān)于安全保證技術(shù)要求的內(nèi)容。由于GB/T 20271-2006的安全保證技術(shù)要求，對網(wǎng)絡(luò)而言沒有需要特別說明的內(nèi)容，所以在網(wǎng)絡(luò)基本 技術(shù)及其分級分層的描述中沒有涉及這方面的內(nèi)容。信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求1范圍本標(biāo)準(zhǔn)依據(jù)GB 17859-1999的五個(gè)安全保護(hù)等級的劃分，根據(jù)網(wǎng)絡(luò)系統(tǒng)在信息系統(tǒng)中的 作用，規(guī)定了各個(gè)安全等級的網(wǎng)絡(luò)系統(tǒng)所需要的基礎(chǔ)安全技術(shù)的要求。本標(biāo)準(zhǔn)適用于按等級化的要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，對按等級化要求進(jìn)行的網(wǎng) 絡(luò)系統(tǒng)安全的測試和管理可參照使用。2

5、規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件， 其隨后的所有修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù) 本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T20271-2006信息安全技 術(shù) 信息系統(tǒng)通用安全技術(shù)要求3術(shù)語、定義和縮略語3.1術(shù)語和定義GB 17859-1999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1網(wǎng)絡(luò)安全 network security網(wǎng)絡(luò)環(huán)境下存儲(chǔ)、傳輸和處理的信息的保密性、完整

6、性和可用性的表征。3.1.2網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)basis technology of network security實(shí)現(xiàn)各種類型的網(wǎng)絡(luò)系統(tǒng) 安全需要的所有基礎(chǔ)性安全技術(shù)。3.1.3網(wǎng)絡(luò)安全子系統(tǒng) security subsystem of network網(wǎng)絡(luò)中安全保護(hù)裝置的總稱，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它 建立了一個(gè)基本的網(wǎng)絡(luò)安全保護(hù)環(huán)境，并提供安全網(wǎng)絡(luò)所要求的附加用戶服務(wù)。注：按照GB 17859-1999對TCB （可信計(jì)算基）的定義，SSON （網(wǎng)絡(luò)安全子系統(tǒng)）就是 網(wǎng)絡(luò)的TCB。3.1.4SSON安全策略SS0N security policy對SS0N中的資源

7、進(jìn)行管理、保護(hù)和分配的一組 規(guī)則。一個(gè)SSON中可以有一個(gè)或多個(gè)安全策略。3.1.5安全功能策略 security function policy為實(shí)現(xiàn)SSON安全要素要求的功能所采用的安全策略。安全要素 security element本標(biāo)準(zhǔn)中各安全保護(hù)等級的安全技術(shù)要求所包含的安全內(nèi)容的組成成份。3.1.7SSON 安全功能 SSON security function正確實(shí)施SSON安全策略的全部硬件、固件、軟件所提供的功能。每一個(gè)安全策略的實(shí) 現(xiàn)，組成一個(gè)SSON安全功能模塊。一個(gè)SSON的所有安全功能模塊共同組成該SSON的安全 功能。3.1.8SSF 控制范圍 SSF scope

8、of controlSSON的操作所涉及的主體和客體的范圍。3.2縮略語下列縮略語適用于本標(biāo)準(zhǔn)：SFP 安全功能策略 security function policySSC SSF 控制范圍 SSF scope of controlSSF SSON 安全功能 SSON security functionSSP SSON 安全策略 SS0N security policySSON 網(wǎng)絡(luò)安全子系統(tǒng) security subsystem of network4網(wǎng)絡(luò)安全組成與相互關(guān)系根據(jù)OSI參考模型和GB 17859-1999所規(guī)定的安全保護(hù)等級和安全要素，網(wǎng)絡(luò)安全的組 成與相互關(guān)系如表1所示。對于

9、網(wǎng)絡(luò)系統(tǒng)的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層，可分別 按GB 17859-1999的各個(gè)安全等級的要求進(jìn)行設(shè)計(jì)。在各協(xié)議層中，安全要素的實(shí)現(xiàn)方法可有所不同。本標(biāo)準(zhǔn)基于各項(xiàng)安全要素對各協(xié)議層 在各個(gè)安全保護(hù)等級中應(yīng)采用的安全技術(shù)和機(jī)制提出要求。5網(wǎng)絡(luò)安全功能基本要求5.1.1用戶標(biāo)識a）基本標(biāo)識：應(yīng)在SSF實(shí)施所要求的動(dòng)作之前，先對提出該動(dòng)作要求的用戶進(jìn)行標(biāo)識。b）唯一性標(biāo)識：應(yīng)確保所標(biāo)識用戶在信息系統(tǒng)生存周期內(nèi)的唯一性，并將用戶標(biāo)識與 安全審計(jì)相關(guān)聯(lián)。c）標(biāo)識信息管理：應(yīng)對用戶標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)地訪問、修 改或刪除。5.1.2用戶鑒別a）基本鑒別：應(yīng)在

10、SSF實(shí)施所要求的動(dòng)作之前，先對提出該動(dòng)作要求的用戶成功地進(jìn) 行鑒別。b）不可偽造鑒別：應(yīng)檢測并防止使用偽造或復(fù)制的鑒別數(shù)據(jù)。一方面，要求SSF應(yīng)檢 測或防止由任何別的用戶偽造的鑒別數(shù)據(jù)，另一方面，要求SSF應(yīng)檢測或防止當(dāng)前用戶從 任何其它用戶處復(fù)制的鑒別數(shù)據(jù)的使用；c）一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即SSF應(yīng)防止與 已標(biāo)識過的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用；d）多機(jī)制鑒別：應(yīng)能提供不同的鑒別機(jī)制，用于鑒別特定事件的用戶身份，并且SSF 應(yīng)根據(jù)所描述的多種鑒別機(jī)制如何提供鑒別的規(guī)則，來鑒別任何用戶所聲稱的身份；e）重新鑒別：應(yīng)有能力規(guī)定需要重新鑒別用戶的事件，即SSF

11、應(yīng)在需要重鑒別的條件 表所指示的條件下，重新鑒別用戶。例如，用戶終端操作超時(shí)被斷開后，重新連接時(shí)需要 進(jìn)行重鑒別。5.1.3用戶-主體綁定在SSON安全功能控制范圍之內(nèi)，對一個(gè)已標(biāo)識和鑒別的用戶，為了要求SSF完成某個(gè) 任務(wù)，需要激活另一個(gè)主體（如進(jìn)程），這時(shí)，要求通過用戶主體綁定將該用戶與該主體 相關(guān)聯(lián)，從而將用戶的身份與該用戶的所有可審計(jì)行為相關(guān)聯(lián)。5.1.4鑒別失敗處理要求SSF為不成功的鑒別嘗試次數(shù)（包括嘗試數(shù)目和時(shí)間的閾值）定義一個(gè)值，以及明 確規(guī)定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作。鑒別失敗的處理應(yīng)包括檢測出現(xiàn)相關(guān)的不成功鑒別嘗 試的次數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。5.2

12、.1訪問控制策略SSF應(yīng)按確定的自主訪問控制安全策略進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)對策略控制下的主體與客體間操 作的控制。可以有多個(gè)自主訪問控制安全策略，但它們必須獨(dú)立命名，且不能相互沖突。常用的自 主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權(quán)能表訪問控制等。5.2.2訪問控制功能SSF應(yīng)明確指出采用一條命名的訪問控制策略所實(shí)現(xiàn)的特定功能，說明策略的使用和特 征，以及該策略的控制范圍。無論采用何種自主訪問控制策略，SSF應(yīng)有能力提供：在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪問控制SFP；在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎(chǔ)上，允許主體對客體的訪問；在基于安全屬性的拒絕主體對客體訪問

13、的規(guī)則的基礎(chǔ)上，拒絕主體對客體的訪問。5.2.3訪問控制范圍網(wǎng)絡(luò)系統(tǒng)中自主訪問控制的覆蓋范圍分為：a）子集訪問控制：要求每個(gè)確定的自主訪問控制，SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主 體、客體及其之間的操作；b）完全訪問控制：要求每個(gè)確定的自主訪問控制，SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所有的主體、 客體及其之間的操作，即要求SSF應(yīng)確保SSC內(nèi)的任意一個(gè)主體和任意一個(gè)客體之間的所 有操作將至少被一個(gè)確定的訪問控制SFP覆蓋。5.2.4訪問控制粒度網(wǎng)絡(luò)系統(tǒng)中自主訪問控制的粒度分為：a）粗粒度：主體為用戶組/用戶級，客體為文件、數(shù)據(jù)庫表級；b）中粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/或記錄、字段級；c）細(xì)

14、粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/或記錄、字段級或元素級。5.3標(biāo)記5.3.1主體標(biāo)記應(yīng)為實(shí)施強(qiáng)制訪問控制的主體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪問控制的依據(jù)。 如：等級分類和非等級類別組合的敏感標(biāo)記是實(shí)施多級安全模型的基礎(chǔ)。5.3.2客體標(biāo)記應(yīng)為實(shí)施強(qiáng)制訪問控制的客體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪問控制的依據(jù)。 如：等級分類和非等級類別組合的敏感標(biāo)記是實(shí)施多級安全模型的基礎(chǔ)。5.3.3標(biāo)記完整性敏感標(biāo)記應(yīng)能準(zhǔn)確地表示特定主體或客體的訪問控制屬性，主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。 當(dāng)數(shù)據(jù)從SSON輸出時(shí)，根據(jù)需要，敏感標(biāo)記應(yīng)能準(zhǔn)確地和明確地表示輸出數(shù)據(jù)的內(nèi)部標(biāo)記， 并與輸出的

15、數(shù)據(jù)相關(guān)聯(lián)。5.3.4有標(biāo)記信息的輸出SSON應(yīng)對每個(gè)通信信道和I/O設(shè)備標(biāo)明單級或多級。這個(gè)標(biāo)志的任何變化都應(yīng)由授權(quán) 用戶實(shí)現(xiàn)，并可由SSON審計(jì)。SSON應(yīng)維持并且能夠?qū)Π踩Ｗo(hù)等級的任何變化進(jìn)行審定， 或?qū)εc通信信道或I/O設(shè)備有關(guān)的安全保護(hù)等級進(jìn)行安全審計(jì)。a）向多級安全設(shè)備的輸出：當(dāng)SSON將一客體信息輸出到一個(gè)具有多級安全的I/O設(shè)備 時(shí)，與該客體有關(guān)的敏感標(biāo)記也應(yīng)輸出，并以與輸出信息相同的形式（如機(jī)器可讀或人可讀 形式）駐留在同一物理媒體上。當(dāng)SSON在多級通信信道上輸出或輸入一客體信息時(shí)，該信道使用的協(xié)議應(yīng)在敏感標(biāo) 記和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對關(guān)系；b）向單級

16、安全設(shè)備的輸出：單級I/O設(shè)備和單級通信信道不需要維持其處理信息的敏 感標(biāo)記，但SSON應(yīng)包含一種機(jī)制，使SSON與一個(gè)授權(quán)用戶能可靠地實(shí)現(xiàn)指定的安全級的 信息通信。這種信息經(jīng)由單級通信信道或I/O設(shè)備輸入/輸出；c）人可讀標(biāo)記的輸出：SSON應(yīng)標(biāo)記所有人可讀的、編頁的、具有人可讀的敏感標(biāo)記的 硬拷貝輸出（如行打印機(jī)輸出）的開始和結(jié)束，以適當(dāng)?shù)乇硎据敵雒舾行?。SSON應(yīng)按默認(rèn)值 標(biāo)記人可讀的、編頁的、具有人可讀的敏感標(biāo)記的硬拷貝輸出（如行打印機(jī)輸出）每頁的頂部和底部，以適當(dāng)?shù)乇硎?該輸出總的敏感性，或表示該頁信息的敏感性。SSON應(yīng)該按默認(rèn)值，并以一種適當(dāng)方法標(biāo) 記具有人可讀的敏感標(biāo)記的其他形

17、式的人可讀的輸出（如圖形），以適當(dāng)?shù)乇硎驹撦敵龅拿舾行?。這些標(biāo)記默認(rèn)值 的任何濫用都應(yīng)由SSON審計(jì)。5.4強(qiáng)制訪問控制5.4.1訪問控制策略網(wǎng)絡(luò)強(qiáng)制訪問控制策略應(yīng)包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體 與客體間的操作?？梢杂卸鄠€(gè)訪問控制安全策略，但它們必須獨(dú)立命名，且不能相互沖突。 當(dāng)前常見的強(qiáng)制訪問控制策略有：a）多級安全模型：基本思想是，在對主、客體進(jìn)行標(biāo)記的基礎(chǔ)上，SSOIS控制范圍內(nèi) 的所有主體對客體的直接或間接的訪問應(yīng)滿足：向下讀原則：僅當(dāng)主體標(biāo)記中的等級分類高于或等于客體標(biāo)記中的等級分類，且主 體標(biāo)記中的非等級類別包含了客體標(biāo)記中的全部非等級類別，主體才能讀該客體

18、；向上寫原則：僅當(dāng)主體標(biāo)記中的等級分類低于或等于客體標(biāo)記中的等級分類，且主 體標(biāo)記中的非等級類別包含于客體標(biāo)記中的非等級類別，主體才能寫該客體；b）基于角色的訪問控制（BRAC）:基本思想是，按角色進(jìn)行權(quán)限的分配和管理；通過 對主體進(jìn)行角色授予，使主體獲得相應(yīng)角色的權(quán)限；通過撤消主體的角色授予，取消主體 所獲得的相應(yīng)角色權(quán)限。在基于角色的訪問控制中，標(biāo)記信息是對主體的授權(quán)信息；c）特權(quán)用戶管理：基本思想是，針對特權(quán)用戶權(quán)限過于集中所帶來的安全隱患，對特 權(quán)用戶按最小授權(quán)原則進(jìn)行管理。實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離；僅授予特權(quán)用戶為完成自身 任務(wù)所需要的最小權(quán)限。5.4.2訪問控制功能SSF應(yīng)明確指出采

19、用一條命名的強(qiáng)制訪問控制策略所實(shí)現(xiàn)的特定功能。SSF應(yīng)有能力提 供：在標(biāo)記或命名的標(biāo)記組的客體上，執(zhí)行訪問控制SFP；按受控主體和受控客體之間的允許訪問規(guī)則，決定允許受控主體對受控客體執(zhí)行受 控操作；按受控主體和受控客體之間的拒絕訪問規(guī)則，決定拒絕受控主體對受控客體執(zhí)行受 控操作。5.4.3訪問控制范圍網(wǎng)絡(luò)強(qiáng)制訪問控制的覆蓋范圍分為：a）子集訪問控制：對每個(gè)確定的強(qiáng)制訪問控制，SSF應(yīng)覆蓋信息系統(tǒng)中由安全功能所 定義的主體、客體及其之間的操作；b）完全訪問控制：對每個(gè)確定的強(qiáng)制訪問控制，SSF應(yīng)覆蓋信息系統(tǒng)中所有的主體、 客體及其之間的操作，即要求SSF應(yīng)確保SSC內(nèi)的任意一個(gè)主體和任意一個(gè)客

20、體之間的操 作將至少被一個(gè)確定的訪問控制SFP覆蓋。5.4.4訪問控制粒度網(wǎng)絡(luò)強(qiáng)制訪問控制的粒度分為：a）中粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/或記錄、字段級；b）細(xì)粒度：主體為用戶級，客體為文件、數(shù)據(jù)庫表級和/或記錄、字段級和/或元素級。5.4.5訪問控制環(huán)境a）單一安全域環(huán)境：在單一安全域環(huán)境實(shí)施的強(qiáng)制訪問控制應(yīng)在該環(huán)境中維持統(tǒng)一的 標(biāo)記信息和訪問規(guī)則。當(dāng)被控客體輸出到安全域以外時(shí)，應(yīng)將其標(biāo)記信息同時(shí)輸出；b）多安全域環(huán)境：在多安全域環(huán)境實(shí)施統(tǒng)一安全策略的強(qiáng)制訪問控制時(shí)，應(yīng)在這些安 全域中維持統(tǒng)一的標(biāo)記信息和訪問規(guī)則。當(dāng)被控制客體在這些安全域之間移動(dòng)時(shí)，應(yīng)將其 標(biāo)記信息一起移動(dòng)。

21、5.5數(shù)據(jù)流控制對網(wǎng)絡(luò)中以數(shù)據(jù)流方式實(shí)現(xiàn)數(shù)據(jù)流動(dòng)的情況，應(yīng)采用數(shù)據(jù)流控制機(jī)制實(shí)現(xiàn)對數(shù)據(jù)流動(dòng)的 控制，以防止具有高等級安全的數(shù)據(jù)信息向低等級的區(qū)域流動(dòng)。5.6安全審計(jì)5.6.1安全審計(jì)的響應(yīng)安全審計(jì)SSF應(yīng)按以下要求響應(yīng)審計(jì)事件：a）記審計(jì)日志：當(dāng)檢測到可能有安全侵害事件時(shí)，將審計(jì)數(shù)據(jù)記入審計(jì)日志；b）實(shí)時(shí)報(bào)警生成：當(dāng)檢測到可能有安全侵害事件時(shí)，生成實(shí)時(shí)報(bào)警信息；c）違例進(jìn)程終止：當(dāng)檢測到可能有安全侵害事件時(shí)，將違例進(jìn)程終止；d）服務(wù)取消：當(dāng)檢測到可能有安全侵害事件時(shí)，取消當(dāng)前的服務(wù)；e）用戶賬號斷開與失效：當(dāng)檢測到可能有安全侵害事件時(shí)，將當(dāng)前的用戶賬號斷開， 并使其失效。5.6.2安全審計(jì)數(shù)據(jù)

22、產(chǎn)生SSF應(yīng)按以下要求產(chǎn)生審計(jì)數(shù)據(jù)：a）為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：審計(jì)功能的啟動(dòng)和關(guān)閉；使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；系統(tǒng)管理員、系統(tǒng)安全員、審計(jì)員和一般操作員所實(shí)施的操作；其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計(jì)事件；b）對于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件 是否成功，及其他與審計(jì)相關(guān)的信息；c）對于身份鑒別事件，審計(jì)記錄應(yīng)包含請求的來源（例如：終端標(biāo)識符）；d）對于客體被引入用戶地址空間的事件及刪除客體事件，審計(jì)記錄應(yīng)包含客體名及客 體的安全保護(hù)等級；e）將每個(gè)可審計(jì)事件與引起該事件的用戶相關(guān)聯(lián)。

23、5.6.3安全審計(jì)分析安全審計(jì)分析應(yīng)包括：a）潛在侵害分析：應(yīng)能用一系列規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)這些規(guī)則指出SSP的潛 在侵害。這些規(guī)則包括：由已定義的可審計(jì)事件的子集所指示的潛在安全攻擊的積累或組合；任何其他的規(guī)則；b）基于異常檢測的描述：應(yīng)維護(hù)用戶所具有的質(zhì)疑等級一一歷史使用情況，以表明該 用戶的現(xiàn)行活動(dòng)與已建立的使用模式的一致性程度。當(dāng)用戶的質(zhì)疑等級超過門限條件時(shí)， SSF應(yīng)能指出將要發(fā)生對安全性的威脅;c）簡單攻擊探測：應(yīng)能檢測到對SSF實(shí)施有重大威脅的簽名事件的出現(xiàn)。為此，SSF 應(yīng)維護(hù)指出對SSF侵害的簽名事件的內(nèi)部表示，并將檢測到的系統(tǒng)行為記錄與簽名事件進(jìn) 行比較，當(dāng)發(fā)現(xiàn)兩者匹

24、配時(shí)，指出一個(gè)對SSF的攻擊即將到來；d）復(fù)雜攻擊探測：在上述簡單攻擊探測的基礎(chǔ)上，要求SSF應(yīng)能檢測到多步入侵情況， 并能根據(jù)已知的事件序列模擬出完整的入侵情況，還應(yīng)指出發(fā)現(xiàn)對SSF的潛在侵害的簽名 事件或事件序列的時(shí)間。5.6.4安全審計(jì)查閱安全審計(jì)查閱工具應(yīng)具有：a）審計(jì)查閱：提供從審計(jì)記錄中讀取信息的能力，即要求SSF為授權(quán)用戶提供獲得和 解釋審計(jì)信息的能力。當(dāng)用戶是人時(shí)，必須以人類可懂的方式表示信息；當(dāng)用戶是外部IT 實(shí)體時(shí)，必須以電子方式無歧義地表示審計(jì)信息；b）有限審計(jì)查閱：在上述審計(jì)查閱的基礎(chǔ)上，審計(jì)查閱工具應(yīng)禁止具有讀訪問權(quán)限以 外的用戶讀取審計(jì)信息；c）可選審計(jì)查閱：在上述

25、有限審計(jì)查閱的基礎(chǔ)上，審計(jì)查閱工具應(yīng)具有根據(jù)準(zhǔn)則來選 擇要查閱的審計(jì)數(shù)據(jù)的功能，并根據(jù)某種邏輯關(guān)系的標(biāo)準(zhǔn)提供對審計(jì)數(shù)據(jù)進(jìn)行搜索、分類、 排序的能力。5.6.5安全審計(jì)事件選擇應(yīng)根據(jù)以下屬性選擇可審計(jì)事件：a）客體身份、用戶身份、主體身份、主機(jī)身份、事件類型；b）作為審計(jì)選擇性依據(jù)的附加屬性。5.6.6安全審計(jì)事件存儲(chǔ)應(yīng)具有以下創(chuàng)建并維護(hù)安全的審計(jì)蹤跡記錄的能力：a）受保護(hù)的審計(jì)蹤跡存儲(chǔ)：要求審計(jì)蹤跡的存儲(chǔ)受到應(yīng)有的保護(hù)，能檢測或防止對審 計(jì)記錄的修改；b）審計(jì)數(shù)據(jù)的可用性確保：要求在意外情況出現(xiàn)時(shí)，能檢測或防止對審計(jì)記錄的修改， 以及在發(fā)生審計(jì)存儲(chǔ)已滿、存儲(chǔ)失敗或存儲(chǔ)受到攻擊時(shí)，確保審計(jì)記錄不

26、被破壞；c）審計(jì)數(shù)據(jù)可能丟失情況下的措施：要求當(dāng)審計(jì)跟蹤超過預(yù)定的門限時(shí)，應(yīng)采取相應(yīng) 的措施，進(jìn)行審計(jì)數(shù)據(jù)可能丟失情況的處理；d）防止審計(jì)數(shù)據(jù)丟失：要求在審計(jì)蹤跡存儲(chǔ)記滿時(shí)，應(yīng)采取相應(yīng)的防止審計(jì)數(shù)據(jù)丟失 的措施，可選擇“忽略可審計(jì)事件”、“阻止除具有特殊權(quán)限外的其他用戶產(chǎn)生可審計(jì)事 件”、“覆蓋已存儲(chǔ)的最老的審計(jì)記錄”和“一旦審計(jì)存儲(chǔ)失敗所采取的其它行動(dòng)”等措施，防止審計(jì)數(shù)據(jù)丟失。5.7用戶數(shù)據(jù)完整性5.7.1存儲(chǔ)數(shù)據(jù)的完整性應(yīng)對存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)，包括：a）完整性檢測：要求SSF應(yīng)對基于用戶屬性的所有客體，對存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù) 進(jìn)行完整性檢測；b）完整性檢測和恢復(fù)：

27、要求SSF應(yīng)對基于用戶屬性的所有客體，對存儲(chǔ)在SSC內(nèi)的用 戶數(shù)據(jù)進(jìn)行完整性檢測，并且當(dāng)檢測到完整性錯(cuò)誤時(shí)，SSF應(yīng)采取必要的SSF應(yīng)采取必要的恢復(fù)、 審計(jì)或報(bào)警措施。5.7.2傳輸數(shù)據(jù)的完整性當(dāng)用戶數(shù)據(jù)在SSF和其它可信IT系統(tǒng)間傳輸時(shí)應(yīng)提供完整性保護(hù)，包括：a）完整性檢測：要求對被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行檢測，及時(shí)發(fā)現(xiàn)以某種方式傳送或接收 的用戶數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生；b）數(shù)據(jù)交換恢復(fù)：由接收者SSON借助于源可信IT系統(tǒng)提供的信息，或由接收者SSON 自己無須來自源可信IT系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶數(shù)據(jù)。若沒有 可恢復(fù)條件，應(yīng)向源可信IT系統(tǒng)提供反饋信息。5.7.

28、3處理數(shù)據(jù)的完整性回退：對信息系統(tǒng)中處理中的數(shù)據(jù)，應(yīng)通過“回退”進(jìn)行完整性保護(hù)，即要求SSF應(yīng)執(zhí) 行訪問控制SFP，以允許對所定義的操作序列進(jìn)行回退。5.8用戶數(shù)據(jù)保密性5.8.1存儲(chǔ)數(shù)據(jù)的保密性應(yīng)對存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。5.8.2傳輸數(shù)據(jù)的保密性應(yīng)對在SSC內(nèi)傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)。5.8.3客體安全重用在對資源進(jìn)行動(dòng)態(tài)管理的系統(tǒng)中，客體資源（寄存器、內(nèi)存、磁盤等記錄介質(zhì)）中的剩 余信息不應(yīng)引起信息的泄露?？腕w安全重用分為：a）子集信息保護(hù)：要求對SSON安全控制范圍之內(nèi)的某個(gè)子集的客體資源，在將其分配 給某一用戶或代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息

29、；b）完全信息保護(hù)：要求對SSON安全控制范圍之內(nèi)的所有客體資源，在將其分配給某一 用戶或代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息；c）特殊信息保護(hù)：對于某些需要特別保護(hù)的信息，應(yīng)采用專門的方法對客體資源中的 殘留信息做徹底清除，如對剩磁的清除等。5.9可信路徑用戶與SSF間的可信路徑應(yīng)：a）提供真實(shí)的端點(diǎn)標(biāo)識，并保護(hù)通信數(shù)據(jù)免遭修改和泄露；b）利用可信路徑的通信可以由SSF自身、本地用戶或遠(yuǎn)程用戶發(fā)起；c）對原發(fā)用戶的鑒別或需要可信路徑的其它服務(wù)均使用可信路徑。5.10抗抵賴5.10.1抗原發(fā)抵賴應(yīng)確保信息的發(fā)送者不能否認(rèn)曾經(jīng)發(fā)送過該信息。這就要求SSF提供一種方法，來確保 接收

30、信息的主體在數(shù)據(jù)交換期間能獲得證明信息原發(fā)的證據(jù)，而且該證據(jù)可由該主體或第 三方主體驗(yàn)證?？乖l(fā)抵賴分為：a）選擇性原發(fā)證明：要求SSF具有為主體提供請求原發(fā)證據(jù)信息的能力。即SSF在接 到原發(fā)者或接收者的請求時(shí)，能就傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā) 者所為；b）強(qiáng)制性原發(fā)證明：要求SSF在任何時(shí)候都能對傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)。即SSF在 任何時(shí)候都能就傳輸?shù)男畔?qiáng)制產(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā)者所為。5.10.2抗接收抵賴應(yīng)確保信息的接收者不能否認(rèn)接受過該信息。這就要求SSF提供一種方法，來確保發(fā)送 信息的主體在數(shù)據(jù)交換期間能獲得證明該信息被接收的證據(jù)，而且該證據(jù)可

31、由該主體或第 三方主體驗(yàn)證?？菇邮盏仲嚪譃椋篴）選擇性接收證明：要求SSF具有為主體提供請求信息接收證據(jù)的能力。即SSF在接 到原發(fā)者或接收者的請求時(shí)，能就接收到的信息產(chǎn)生接收證據(jù)，證明該信息的接收由該接 收者所為；b）強(qiáng)制性接收證明：要求SSF總是對收到的信息產(chǎn)生接收證據(jù)。即SSF能在任何時(shí)候 對收到的信息強(qiáng)制產(chǎn)生接收證據(jù)，證明該信息的接收由該接收者所為。5.11網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全監(jiān)控應(yīng)采用以下安全技術(shù)和機(jī)制：a）網(wǎng)絡(luò)安全探測機(jī)制：在組成網(wǎng)絡(luò)系統(tǒng)的各個(gè)重要部位，設(shè)置探測器，實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò) 數(shù)據(jù)流，監(jiān)視和記錄內(nèi)、外部用戶出入網(wǎng)絡(luò)的相關(guān)操作，在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問時(shí)， 報(bào)告網(wǎng)絡(luò)安全監(jiān)控中心；

32、b）網(wǎng)絡(luò)安全監(jiān)控中心：設(shè)置安全監(jiān)控中心，對收到的來自探測器的信息，根據(jù)安全策 略進(jìn)行分析，并作審計(jì)、報(bào)告、事件記錄和報(bào)警等處理。網(wǎng)絡(luò)安全監(jiān)控中心應(yīng)具有必要的 遠(yuǎn)程管理功能，如對探測器實(shí)現(xiàn)遠(yuǎn)程參數(shù)設(shè)置、遠(yuǎn)程數(shù)據(jù)下載、遠(yuǎn)程啟動(dòng)等操作。網(wǎng)絡(luò)安全監(jiān)控中心還應(yīng)具有實(shí)時(shí)響 應(yīng)功能，包括攻擊分析和響應(yīng)、誤操作分析和響應(yīng)、漏洞分析和響應(yīng)等。6網(wǎng)絡(luò)安全功能分層分級要求6.1身份鑒別功能應(yīng)按照用戶標(biāo)識和用戶鑒別的要求進(jìn)行身份鑒別安全機(jī)制的設(shè)計(jì)。一般以用戶名和用 戶標(biāo)識符來標(biāo)識一個(gè)用戶，應(yīng)確保在一個(gè)信息系統(tǒng)中用戶名和用戶標(biāo)識符的唯一性，嚴(yán)格 的唯一性應(yīng)維持在網(wǎng)絡(luò)系統(tǒng)的整個(gè)生存周期都有效，即使一個(gè)用戶的賬戶已被刪除，

33、他的 用戶名和標(biāo)識符也不能再使用，并由此確保用戶的唯一性和可區(qū)別性。鑒別應(yīng)確保用戶的 真實(shí)性。可以用口令進(jìn)行鑒別，更嚴(yán)格的身份鑒別可采用智能IC卡密碼技術(shù)，指紋、虹膜 等特征信息進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)之前進(jìn)行鑒別?？诹顟?yīng)是不可見的，并 在存儲(chǔ)和傳輸時(shí)進(jìn)行保護(hù)。智能IC卡身份鑒別應(yīng)以密碼技術(shù)為基礎(chǔ)，并按用戶鑒別中不可 偽造鑒別所描述的要求進(jìn)行設(shè)計(jì)。對于鑒別失敗的情況，要求按鑒別失敗所描述的要求進(jìn) 行處理。用戶在系統(tǒng)中的行為一般由進(jìn)程代為執(zhí)行，要求按用戶-主體綁定所描述的要求， 將用戶與代表該用戶行為的進(jìn)程相關(guān)聯(lián)。這種關(guān)聯(lián)應(yīng)體現(xiàn)在SSON安全功能控制范圍之內(nèi)各 主、客體之間的相互關(guān)系上

34、。比如，一個(gè)用戶通過鍵入一條命令要求訪問一個(gè)指定文件， 信息系統(tǒng)運(yùn)行某一進(jìn)程實(shí)現(xiàn)這一功能。這時(shí)，該進(jìn)程應(yīng)與該用戶相關(guān)聯(lián)，于是該進(jìn)程的行 為即可看作該用戶的行為。身份鑒別應(yīng)區(qū)分實(shí)體鑒別和數(shù)據(jù)起源鑒別：當(dāng)身份是由參與通信連接或會(huì)話的遠(yuǎn)程實(shí)體 提交時(shí)叫實(shí)體鑒別，它可以作為訪問控制服務(wù)的一種必要支持；當(dāng)身份信息是由數(shù)據(jù)項(xiàng)發(fā) 送者提交時(shí)叫數(shù)據(jù)起源鑒別，它是確保部分完整性目標(biāo)的直接方法，確保知道某個(gè)數(shù)據(jù)項(xiàng) 的真正起源。表2給出了從用戶自主保護(hù)級到訪問驗(yàn)證保護(hù)級對身份鑒別功能的分層分級 要求。6.2自主訪問控制功能應(yīng)按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要 求，設(shè)計(jì)和實(shí)現(xiàn)所

35、需要的自主訪問控制功能。當(dāng)使用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)管理 員應(yīng)給文件、目錄等指定訪問屬性。訪問控制規(guī)則應(yīng)將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、 目錄和網(wǎng)絡(luò)設(shè)備相聯(lián)系。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪 問權(quán)限對應(yīng)一張?jiān)L問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。自主訪問控制應(yīng)能控 制以下權(quán)限：a）向某個(gè)文件寫數(shù)據(jù)、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱 含文件、共享、系統(tǒng)屬性等；b）為每個(gè)命名客體指定用戶名和用戶組，以及規(guī)定他們對客體的訪問模式。表3給出了從用戶自主保護(hù)級到訪問驗(yàn)證保護(hù)級對自主訪問控制功能的分層分級要求。6.3標(biāo)記功能應(yīng)按照主體標(biāo)記和客體標(biāo)

36、記所描述的要求進(jìn)行標(biāo)記設(shè)計(jì)。在網(wǎng)絡(luò)環(huán)境中，帶有特定標(biāo)記的數(shù)據(jù)應(yīng)能被安全策略禁止通過某些子網(wǎng)、鏈路或中繼。 連接的發(fā)起者（或無連接數(shù)據(jù)單元的發(fā)送者）可以指定路由選擇說明，請求回避某些特定的 子網(wǎng)、鏈路或中繼。包含數(shù)據(jù)項(xiàng)的資源應(yīng)具有與這些數(shù)據(jù)相關(guān)聯(lián)的敏感標(biāo)記。敏感標(biāo)記可能是與被傳送的數(shù) 據(jù)相連的附加數(shù)據(jù)，也可能是隱含的信息，例如使用一個(gè)特定密鑰加密數(shù)據(jù)所隱含的信息 或由該數(shù)據(jù)的上下文所隱含的信息，可由數(shù)據(jù)源或路由來隱含。明顯的敏感標(biāo)記必須是清晰可辨認(rèn)的，以便對它們 作適當(dāng)?shù)尿?yàn)證。此外，它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。對于在通信期間要移動(dòng)的數(shù)據(jù)項(xiàng)，發(fā)起通信的進(jìn)程與實(shí)體，響應(yīng)通信的進(jìn)程與實(shí)體

37、，在 通信時(shí)被用到的信道和其他資源等，都可以用各自的敏感信息來標(biāo)記。安全策 略應(yīng)指明如 何使用敏感信息以提供必要的安全性。當(dāng)安全策略是基于用戶身份時(shí)，不論直接或通過進(jìn) 程訪問數(shù)據(jù)，敏感標(biāo)記均應(yīng)包含有關(guān)用戶身份的信息。用于特定標(biāo)記的那些規(guī)則應(yīng)該表示 在安全管理信息庫中的一個(gè)安全策略中，如果需要，還應(yīng)與端系統(tǒng)協(xié)商。標(biāo)記可以附帶敏 感信息，指明其敏感性，說明處理與分布上的隱蔽處，強(qiáng)制定時(shí)與定位，以及指明對該端 系統(tǒng)特有的要求。采用的安全策略決定了標(biāo)記所攜帶的敏感信息及其含義，不同的網(wǎng)絡(luò)會(huì)有差異。表4給出了從安全標(biāo)記保護(hù)級到訪問驗(yàn)證保護(hù)級對標(biāo)記功能的分層分級要求。6.4強(qiáng)制訪問控制功能應(yīng)按照強(qiáng)制訪問控

38、制功能的要求，選擇所需的訪問控制策略，設(shè)計(jì)和實(shí)現(xiàn)所需要的強(qiáng)制 訪問控制功能。強(qiáng)制訪問控制應(yīng)由專門設(shè)置的系統(tǒng)安全員統(tǒng)一管理系統(tǒng)中與該訪問控制有關(guān)的事件和 信息。為了防止由于系統(tǒng)管理人員或特權(quán)用戶的權(quán)限過于集中所帶來的安全隱患，應(yīng)將系 統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計(jì)管理，由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員分別承擔(dān)，并在三者之間 形成相互制約的關(guān)系。采用多級安全模型的強(qiáng)制訪問控制應(yīng)將SSON安全控制范圍內(nèi)的所有主、客體成分通過 標(biāo)記方式設(shè)置敏感標(biāo)記，這些敏感標(biāo)記與訪問規(guī)則一起確定每一次主體對客體的訪問是否 被允許。這里所要求的對客體的控制范圍除涉及系統(tǒng)內(nèi)部的存儲(chǔ)、處理和傳輸過程外，還應(yīng)包括

39、 將信息進(jìn)行輸入、輸出操作的過程，即無論信息以何種形式存在，都應(yīng)有一定的安全屬性 與其相關(guān)聯(lián)，并按強(qiáng)制訪問控制規(guī)則對其進(jìn)行控制。第三級的強(qiáng)制訪問控制應(yīng)對SSON所定義的主體與客體實(shí)施控制。第四級以上的強(qiáng)制訪 問控制應(yīng)擴(kuò)展到信息系統(tǒng)中的所有主體與客體。表5給出了從安全標(biāo)記保護(hù)級到訪問驗(yàn)證 保護(hù)級強(qiáng)制訪問控制功能的分層分級要求。6.5數(shù)據(jù)流控制功能對在網(wǎng)絡(luò)中以數(shù)據(jù)流方式進(jìn)行的數(shù)據(jù)交換，應(yīng)按照數(shù)據(jù)流控制的要求進(jìn)行用戶數(shù)據(jù)保密 性保護(hù)設(shè)計(jì)。表6給出了從安全標(biāo)記保護(hù)級到訪問驗(yàn)證保護(hù)級對數(shù)據(jù)流控制功能的分層分 級要求。6.6 安全審計(jì)功能應(yīng)按照對安全審計(jì)的要求進(jìn)行設(shè)計(jì)。按安全審計(jì)數(shù)據(jù)產(chǎn)生的描述產(chǎn)生審計(jì)數(shù)據(jù)

40、；按安全 審計(jì)查閱的描述提供審計(jì)查閱、有限審計(jì)查閱和可選審計(jì)查閱；按安全審計(jì)事件選擇的描 述提供對審計(jì)事件的選擇；按安全審計(jì)事件存儲(chǔ)中受保護(hù)的審計(jì)蹤跡存儲(chǔ)、審計(jì)數(shù)據(jù)的可用性確保、審計(jì)數(shù)據(jù)可能 丟失行動(dòng)和防止審計(jì)事件丟失的要求來保存審計(jì)事件；按安全審計(jì)分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復(fù)雜攻擊探測的要求進(jìn)行審計(jì)分析設(shè)計(jì)；按安全 審計(jì)的自動(dòng)響應(yīng)的要求設(shè)計(jì)相應(yīng)的功能。網(wǎng)絡(luò)安全審計(jì)涉及與安全有關(guān)的事件，包括事件的探測、收集、控制，進(jìn)行事件責(zé)任的 追查。審計(jì)中必須包含的信息的典型類型包括：標(biāo)定哪些網(wǎng)段需要有限授權(quán)訪問或數(shù)據(jù)加 密，哪些設(shè)備、文件和目錄需要加鎖或口令保護(hù)，哪些文件應(yīng)

41、該進(jìn)行存檔備份，執(zhí)行備份 程序的頻率，以及網(wǎng)絡(luò)所使用的病毒防護(hù)措施的類型等。安全審計(jì)通過對網(wǎng)絡(luò)上發(fā)生的各 種訪問情況記錄日志，并對日志進(jìn)行統(tǒng)計(jì)分析，從而對資源使用情況進(jìn)行事后分析。審計(jì) 也是發(fā)現(xiàn)和追蹤安全事件的常用措施，能夠自動(dòng)記 錄攻擊發(fā)起人的IP地址及企圖攻擊的 時(shí)間，以及攻擊包數(shù)據(jù)，給系統(tǒng)安全管理及追查網(wǎng)絡(luò)犯罪提供可靠的線索。安全審計(jì)應(yīng)該 提供有關(guān)網(wǎng)絡(luò)所使用的緊急事件和災(zāi)難處理程序，提供準(zhǔn)確的網(wǎng)絡(luò)安全審計(jì)和趨向分析報(bào) 告，支持安全程序的計(jì)劃和評估。對于較高安全等級的安全審計(jì)數(shù)據(jù)，可通過數(shù)字簽名技 術(shù)進(jìn)行保護(hù)，限定審計(jì) 數(shù)據(jù)可由審計(jì)員處理，但不可修改。表7給出了從系統(tǒng)審計(jì)保護(hù)級到訪問驗(yàn)證保

42、護(hù)級對安全審計(jì)功能的分層分級要求。6.7用戶數(shù)據(jù)完整性保護(hù)功能應(yīng)對系統(tǒng)中存儲(chǔ)、傳輸和處理的用戶數(shù)據(jù)采取有效措施，防止其遭受非授權(quán)用戶的修改、 破壞或刪除。對存儲(chǔ)在系統(tǒng)中的用戶數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲(chǔ)數(shù)據(jù)的完整性保護(hù) 中完整性監(jiān)視的要求，設(shè)計(jì)相應(yīng)的SSON安全功能模塊，對SSON安全控制范圍內(nèi)的用戶數(shù) 據(jù)進(jìn)行完整性保護(hù)；較高安全要求應(yīng)通過密碼支持系統(tǒng)所提供的功能，對加密存儲(chǔ)的數(shù)據(jù)進(jìn)行存儲(chǔ)數(shù)據(jù)的完整性 檢驗(yàn)或采用其它相應(yīng)的安全機(jī)制，在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。對經(jīng)過網(wǎng) 絡(luò)傳輸?shù)挠脩魯?shù)據(jù)完整性保護(hù)，應(yīng)按照SSON間通信保護(hù)中用戶用戶數(shù)據(jù)保密性和完整性檢測、以及源恢復(fù)和目的

43、 恢復(fù)的要求設(shè)計(jì)相應(yīng)的SSON安全功能模塊。對系統(tǒng)中進(jìn)行處理的數(shù)據(jù)的完整性保護(hù)，應(yīng)按照回退的要求設(shè)計(jì)相應(yīng)的SSON安全功能 模塊，進(jìn)行異常情況的操作序列回退，以確保數(shù)據(jù)的完整性。表8給出了從用戶自主保護(hù) 級到訪問驗(yàn)證保護(hù)級用戶數(shù)據(jù)完整性保護(hù)功能的分層分級要求。6.8用戶數(shù)據(jù)保密性保護(hù)功能應(yīng)對系統(tǒng)中存儲(chǔ)、傳輸和處理的信息采取有效的保護(hù)措施，防止其遭受非授權(quán)的泄露。對存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲(chǔ)數(shù)據(jù)的保密性保護(hù)的一 般方法，設(shè)計(jì)相應(yīng)的SSON安全功能模塊，對SSON安全控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性 保護(hù)；較高安全要求應(yīng)通過密碼支持系統(tǒng)所提供的功能或相應(yīng)安全性的安全機(jī)制所

44、提供的 安全功能，對存儲(chǔ)的數(shù)據(jù)進(jìn)行保密性保護(hù)。對在系統(tǒng)中傳輸?shù)臄?shù)據(jù)，較低級別應(yīng)按照存儲(chǔ)數(shù)據(jù)的保密性保護(hù)的要求，設(shè)計(jì)相應(yīng)的 SSON安全功能模塊，對SSON安全 控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；較高安全要求 的系統(tǒng)應(yīng)通過密碼支持系統(tǒng)所提供的功能或其它相應(yīng)的安全機(jī)制所提供的安全功能，進(jìn)行 嚴(yán)格的保密性保護(hù)。對系統(tǒng)運(yùn)行中動(dòng)態(tài)管理和分配的資源，應(yīng)采用有效措施，防止其剩余 信息引起的信息泄露。表9給出了從用戶自主保護(hù)級到訪問驗(yàn)證保護(hù)級用戶數(shù)據(jù)保密性保 護(hù)功能的分層分級要求。6.9可信路徑功能應(yīng)提供用戶與SSON之間安全地進(jìn)行數(shù)據(jù)傳輸?shù)谋ＷC，要求按用戶與SSF間可信路徑所 描述的要求進(jìn)行設(shè)計(jì)。表10給出結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級可信路徑功能的分層分級 要求。6.10抗抵賴功能應(yīng)提供通信雙方身份的真實(shí)性和雙方對信交換行為的不可抵賴性。對信息的發(fā)送方， SSON應(yīng)按抗原發(fā)抵賴中選擇性原發(fā)證明/強(qiáng)制性原發(fā)證明的要求進(jìn)行設(shè)計(jì)；對信息的接收 方，SSON應(yīng)按抗接收抵賴中選擇性接收證明/強(qiáng)制性接受證明的要求進(jìn)行設(shè)計(jì)。表11給出了從安全標(biāo)記保護(hù)級到訪問驗(yàn)證保護(hù)級抗抵賴功能的分層分級要求。6.11網(wǎng)絡(luò)安全監(jiān)控功能應(yīng)提供對網(wǎng)絡(luò)系統(tǒng)運(yùn)行進(jìn)行安全監(jiān)控的功能。網(wǎng)絡(luò)安全監(jiān)控機(jī)制通過在網(wǎng)絡(luò)環(huán)境的各