信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

1、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求引言中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院令第147號(hào)）明確規(guī)定我國(guó)“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”。依據(jù)國(guó)務(wù)院147號(hào)令要求制訂發(fā)布的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的劃分奠定了技術(shù)基礎(chǔ)。國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）明確指出實(shí)行信息安全等級(jí)保護(hù)，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度”。關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字200466號(hào)）和信息安全等級(jí)保護(hù)管理

2、辦法（公通字200743號(hào)）確定了實(shí)施信息安全等級(jí)保護(hù)制度的原則工作職責(zé)劃分、實(shí)施要求和實(shí)施計(jì)劃，明確了開展信息安全等級(jí)保護(hù)工作的基本內(nèi)容、工作流程、工作方法等。上述信息安全等級(jí)保護(hù)相關(guān)法規(guī)、政策文件、國(guó)家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺(tái)，為信息安全等級(jí)保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。2007年7月全國(guó)開展重要信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作，標(biāo)志著信息安全等級(jí)保護(hù)工作在我國(guó)全面展開。在開展信息安全等級(jí)保護(hù)定級(jí)和備案工作基礎(chǔ)上，各單位、各部門正在按照信息安全等級(jí)保護(hù)有關(guān)政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，開展信息系統(tǒng)安全建設(shè)和加固工作，建立、健全信息安全管理制度，落實(shí)安全保護(hù)技術(shù)措施，全面貫徹落實(shí)信息安全等

3、級(jí)保護(hù)制度。為了配合信息系統(tǒng)安全建設(shè)和加固工作，特制訂本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，包括第一級(jí)至第五級(jí)系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求，以及定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要求。涉及物理安全、安全管理、安全運(yùn)維等方面的要求分別參見參考文獻(xiàn)9、2、7、10等。進(jìn)行安全技術(shù)設(shè)計(jì)時(shí)，要根據(jù)信息系統(tǒng)定級(jí)情況，確定相應(yīng)安全策略，采取相應(yīng)級(jí)別的安全保護(hù)措施。在第五章至第九章中，每一級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)比較低一級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)所增加和增強(qiáng)的部分，用“黑體”表示。信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求1范圍本標(biāo)準(zhǔn)依據(jù)國(guó)家信

4、息安全等級(jí)保護(hù)的要求，規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求。本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施，也可作為信息安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則3術(shù)語(yǔ)和定義GB17859-1999確立的以

5、及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。定級(jí)系統(tǒng)classifiedsystem按照參考文獻(xiàn)11已確定安全保護(hù)等級(jí)的信息系統(tǒng)。定級(jí)系統(tǒng)分為第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí)和第五級(jí)信息系統(tǒng)。定級(jí)系統(tǒng)安全保護(hù)環(huán)境securityenvironmentofclassifiedsystem由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對(duì)定級(jí)系統(tǒng)進(jìn)行安全保護(hù)的環(huán)境。定級(jí)系統(tǒng)安全保護(hù)環(huán)境包括第一級(jí)系統(tǒng)安全保護(hù)環(huán)境第二級(jí)系統(tǒng)安全保護(hù)環(huán)境第三級(jí)系統(tǒng)安全保護(hù)環(huán)境第四級(jí)系統(tǒng)安全保護(hù)環(huán)境第五級(jí)系統(tǒng)安全保護(hù)環(huán)境以及定級(jí)系統(tǒng)的安全互聯(lián)。安全計(jì)算環(huán)境securecomputingenvironment對(duì)定級(jí)系統(tǒng)

6、的信息進(jìn)行存儲(chǔ)處理及實(shí)施安全策略的相關(guān)部件。安全計(jì)算環(huán)境按照保護(hù)能力劃分為第一級(jí)安全計(jì)算環(huán)境、第二級(jí)安全計(jì)算環(huán)境、第三級(jí)安全計(jì)算環(huán)境、第四級(jí)安全計(jì)算環(huán)境和第五級(jí)安全計(jì)算環(huán)境。安全區(qū)域邊界secureareaboundary對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護(hù)能力劃分為第一級(jí)安全區(qū)域邊界、第二級(jí)安全區(qū)域邊界、第三級(jí)安全區(qū)域邊界、第四級(jí)安全區(qū)域邊界和第五級(jí)安全區(qū)域邊界。安全通信網(wǎng)絡(luò)securecommunicationnetwork對(duì)定級(jí)系統(tǒng)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。安全通信網(wǎng)絡(luò)按照保護(hù)能

7、力劃分第一級(jí)安全通信網(wǎng)絡(luò)、第二級(jí)安全通信網(wǎng)絡(luò)、第三級(jí)安全通信網(wǎng)絡(luò)、第四級(jí)安全通信網(wǎng)絡(luò)和第五級(jí)安全通信網(wǎng)絡(luò)。安全管理中心securitymanagementcenter對(duì)定級(jí)系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。第二級(jí)及第二級(jí)以上的定級(jí)系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心，稱為第二級(jí)安全管理中心第三級(jí)安全管理中心、第四級(jí)安全管理中心和第五級(jí)安全管理中心?？缍?jí)系統(tǒng)安全管理中心securitymanagementcenterforcrossclassifiedsystem跨定級(jí)系統(tǒng)安全管理中心是對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)

8、部件上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。定級(jí)系統(tǒng)互聯(lián)classifiedsysteminterconnection通過(guò)安全互聯(lián)部件和跨定級(jí)系統(tǒng)安全管理中心實(shí)現(xiàn)的相同或不同等級(jí)的定級(jí)系統(tǒng)安全保護(hù)環(huán)境之間的安全連接。4信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)概述信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)包括各級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)及其安全互聯(lián)的設(shè)計(jì)，如圖1所示。各級(jí)系統(tǒng)安全保護(hù)環(huán)境由相應(yīng)級(jí)別的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心組成。定級(jí)系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級(jí)系統(tǒng)安全管理中心組成。本標(biāo)準(zhǔn)以下章節(jié)，對(duì)圖1各個(gè)部分提出了相應(yīng)的設(shè)計(jì)技術(shù)要求（第五級(jí)信息安全保護(hù)環(huán)境的設(shè)計(jì)要求除外）。附錄A給出了訪問控

9、制機(jī)制設(shè)計(jì)，附錄B給出了第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例。5第一級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對(duì)第一級(jí)系統(tǒng)的安全保護(hù)要求，實(shí)現(xiàn)定級(jí)系統(tǒng)的自主訪問控制，使系統(tǒng)用戶對(duì)其所屬客體具有自我保護(hù)的能力。設(shè)計(jì)策略第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB17859-1999的中相關(guān)要求，以身份鑒別為基礎(chǔ)，提供用戶和（或）用戶組對(duì)文件及數(shù)據(jù)庫(kù)表的自主訪問控制，以實(shí)現(xiàn)用戶與數(shù)據(jù)的隔離，使用戶具備自主安全保護(hù)的能力；以包過(guò)濾手段提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段提供數(shù)據(jù)和系統(tǒng)的完整性保護(hù)。第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第一級(jí)的安全計(jì)

10、算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第一級(jí)安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份；在每次用戶登錄系統(tǒng)時(shí)，采用口令鑒別機(jī)制進(jìn)行用戶身份鑒別，并對(duì)口令數(shù)據(jù)進(jìn)行保護(hù)。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶/用戶組對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶/用戶組。訪問控制主體的粒度為用戶/用戶組級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。c）用戶數(shù)據(jù)完整性保護(hù)可采用常規(guī)校

11、驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。d）惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級(jí)和更新，以防范和清除惡意代碼。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第一級(jí)安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：a）區(qū)域邊界包過(guò)濾可根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界。b）區(qū)域邊界惡意代碼防范可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進(jìn)行升級(jí)和更新，以防止惡意代碼入侵。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求a）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其

12、完整性被破壞。6第二級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對(duì)第二級(jí)系統(tǒng)的安全保護(hù)要求，在第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，增加系統(tǒng)安全審計(jì)、客體重用等安全功能，并實(shí)施以用戶為基本粒度的自主訪問控制，使系統(tǒng)具有更強(qiáng)的自主安全保護(hù)能力。設(shè)計(jì)策略第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB17859-1999的中相關(guān)要求，以身份鑒別為基礎(chǔ)，提供單個(gè)用戶和（或）用戶組對(duì)共享文件、數(shù)據(jù)庫(kù)表等的自主訪問控制；以包過(guò)濾手段提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段，同時(shí)通過(guò)增加系統(tǒng)安全審計(jì)客體安全重用等功能，使用戶對(duì)自己的行為負(fù)責(zé)，提供用戶數(shù)據(jù)保密

13、性和完整性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第二級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第二級(jí)安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì):a）用戶身份鑒別應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受控的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部

14、分或全部授予其他用戶。訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。c）系統(tǒng)安全審計(jì)應(yīng)提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。該機(jī)制應(yīng)提供審計(jì)記錄查詢、分類和存儲(chǔ)保護(hù)，并可由安全管理中心管理。d）用戶數(shù)據(jù)完整性保護(hù)可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。e）用戶數(shù)據(jù)保密性保護(hù)可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中存儲(chǔ)和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。f）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)

15、品，對(duì)用戶使用的客體資源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露。g）惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級(jí)和更新，以防范和清除惡意代碼。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第二級(jí)安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：a）區(qū)域邊界包過(guò)濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界。b）區(qū)域邊界安全審計(jì)應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，并由安全管理中心統(tǒng)一管理。c）區(qū)域邊界惡意代碼防范應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理。d）區(qū)域邊界完整性保護(hù)

16、應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，探測(cè)非法外聯(lián)等行為，并及時(shí)報(bào)告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第二級(jí)安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計(jì)：a）通信網(wǎng)絡(luò)安全審計(jì)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心管理。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)可采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)可采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理可通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份和授權(quán)管理、系統(tǒng)資源配置系統(tǒng)加載和啟動(dòng)系統(tǒng)運(yùn)行的異常處理數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代

17、碼防范等。應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。審計(jì)管理可通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別，并只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。7第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對(duì)第三級(jí)系統(tǒng)的安全保護(hù)要求，在第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問控制以及

18、增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力。設(shè)計(jì)策略第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，遵循GB17859-1999的中相關(guān)要求，構(gòu)造非形式化的安全策略模型，對(duì)主、客體進(jìn)行安全標(biāo)記，表明主、客體的級(jí)別分類和非級(jí)別分類的組合，以此為基礎(chǔ)，按照強(qiáng)制訪問控制規(guī)則實(shí)現(xiàn)對(duì)主體及其客體的訪問控制。第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第三級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第三級(jí)安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在對(duì)每一個(gè)用戶注冊(cè)到

19、系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受安全管理中心控制的口令令牌基于生物特征數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)和（或）記錄或字段級(jí)。自主訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。c）標(biāo)記和強(qiáng)制訪問控制在對(duì)安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管

20、理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對(duì)確定主體訪問客體的操作進(jìn)行控制。強(qiáng)制訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。d）系統(tǒng)安全審計(jì)應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)；能對(duì)特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問。應(yīng)為安全管理中心提供接口；對(duì)不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。e）用戶數(shù)據(jù)完整性保護(hù)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制

21、，檢驗(yàn)存儲(chǔ)和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。f）用戶數(shù)據(jù)保密性保護(hù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中存儲(chǔ)和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。g）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對(duì)用戶使用的客體資源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露。h）程序可信執(zhí)行保護(hù)可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測(cè)到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等技術(shù)。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求

22、第三級(jí)安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：a）區(qū)域邊界訪問控制應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。b）區(qū)域邊界包過(guò)濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。c）區(qū)域邊界安全審計(jì)應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對(duì)確認(rèn)的違規(guī)行為及時(shí)報(bào)警。d）區(qū)域邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，例如外接探測(cè)軟件，探測(cè)非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第三級(jí)安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全

23、設(shè)計(jì)：a）通信網(wǎng)絡(luò)安全審計(jì)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對(duì)確認(rèn)的違規(guī)行為進(jìn)行報(bào)警。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。d）通信網(wǎng)絡(luò)可信接入保護(hù)可采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過(guò)對(duì)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶

24、身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和（或）異地災(zāi)難備份與恢復(fù)等。應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。安全管理應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置一致的安全策略。應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。審計(jì)管理應(yīng)通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。對(duì)審計(jì)記錄應(yīng)

25、進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理。應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操。8第四級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第四級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對(duì)第四級(jí)系統(tǒng)的安全保護(hù)要求，建立一個(gè)明確定義的形式化安全策略模型，將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體，相應(yīng)增強(qiáng)其他安全功能強(qiáng)度；將系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，以使系統(tǒng)具有抗?jié)B透的能力。設(shè)計(jì)策略第四級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)的基礎(chǔ)上，遵循GB17859-1999的中相關(guān)要求，通過(guò)安全管理中心明確定義和維護(hù)形式化的安全策略模型

26、。依據(jù)該模型，采用對(duì)系統(tǒng)內(nèi)的所有主、客體進(jìn)行標(biāo)記的手段，實(shí)現(xiàn)所有主體與客體的強(qiáng)制訪問控制。同時(shí)，相應(yīng)增強(qiáng)身份鑒別、審計(jì)、安全管理等功能，定義安全部件之間接口的途徑，實(shí)現(xiàn)系統(tǒng)安全保護(hù)環(huán)境關(guān)鍵保護(hù)部件和非關(guān)鍵保護(hù)部件的區(qū)分，并進(jìn)行測(cè)試和審核，保障安全功能的有效性。第四級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第四級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第四級(jí)安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：a）用戶身份鑒別應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每

27、次用戶登錄和重新連接系統(tǒng)時(shí)，采用受安全管理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。b）自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)和（或）記錄或字段級(jí)。自主訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。c）標(biāo)記和強(qiáng)制訪問控制在對(duì)安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過(guò)特定操作界面對(duì)主、客體

28、進(jìn)行安全標(biāo)記，將強(qiáng)制訪問控制擴(kuò)展到所有主體與客體；應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對(duì)確定主體訪問客體的操作進(jìn)行控制。強(qiáng)制訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。d）系統(tǒng)安全審計(jì)應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)；能對(duì)特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等；確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。應(yīng)為安全管理中心提供接口；對(duì)不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。e）用戶數(shù)據(jù)完整性

29、保護(hù)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。f）用戶數(shù)據(jù)保密性保護(hù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。g）客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對(duì)用戶使用的客體資源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露。h）程序可信執(zhí)行保護(hù)應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測(cè)到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等

30、技術(shù)。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第四級(jí)安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：a）區(qū)域邊界訪問控制應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。b）區(qū)域邊界包過(guò)濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出受保護(hù)的區(qū)域邊界。c）區(qū)域邊界安全審計(jì)應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，通過(guò)安全管理中心集中管理，對(duì)確認(rèn)的違規(guī)行為及時(shí)報(bào)警并做出相應(yīng)處d）區(qū)域邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，例如外接探測(cè)軟件，探測(cè)非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心。安全通信網(wǎng)絡(luò)設(shè)

31、計(jì)技術(shù)要求第四級(jí)安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計(jì)：a）通信網(wǎng)絡(luò)安全審計(jì)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對(duì)確認(rèn)的違規(guī)行為進(jìn)行報(bào)警，且做出相應(yīng)處置。b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。C）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。d）通信網(wǎng)絡(luò)可信接入保護(hù)應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過(guò)對(duì)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理應(yīng)

32、通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。安全管理應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置一致的安全策略，并確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。審計(jì)管理應(yīng)通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；

33、提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行及時(shí)處理。應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求安全保護(hù)部件結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求第四級(jí)系統(tǒng)安全保護(hù)環(huán)境各安全保護(hù)部件的設(shè)計(jì)應(yīng)基于形式化的安全策略模型。安全保護(hù)部件應(yīng)劃分為關(guān)鍵安全保護(hù)部件和非關(guān)鍵安全保護(hù)部件，防止違背安全策略致使敏感信息從關(guān)鍵安全保護(hù)部件流向非關(guān)鍵安全保護(hù)部件。關(guān)鍵安全保護(hù)部件應(yīng)劃分功能層次，明確定義功能層次間的調(diào)用接口，確保接口之間的信息安全交換。安全保護(hù)部件互聯(lián)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求第

34、四級(jí)系統(tǒng)各安全保護(hù)部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明確定義；各安全保護(hù)部件之間互聯(lián)時(shí)，需要通過(guò)可信驗(yàn)證機(jī)制相互驗(yàn)證對(duì)方的可信性，確保安全保護(hù)部件間的可信連接。重要參數(shù)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求應(yīng)對(duì)第四級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)實(shí)現(xiàn)的與安全策略相關(guān)的重要參數(shù)的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包括參數(shù)的類型使用描述以及功能說(shuō)明等，并用可信驗(yàn)證機(jī)制確保數(shù)據(jù)不被篡改。9第五級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第五級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對(duì)第五級(jí)系統(tǒng)的安全保護(hù)要求，在第四級(jí)系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，實(shí)現(xiàn)訪問監(jiān)控器，仲裁主體對(duì)客體的訪問，并支持安全管理職能。審計(jì)機(jī)制可根據(jù)審計(jì)記錄及時(shí)分析發(fā)現(xiàn)安

35、全事件并進(jìn)行報(bào)警，提供系統(tǒng)恢復(fù)機(jī)制，以使系統(tǒng)具有更強(qiáng)的抗?jié)B透能力。設(shè)計(jì)策略第五級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB17859-1999的中“訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試”。在設(shè)計(jì)和實(shí)現(xiàn)訪問監(jiān)控器時(shí)，應(yīng)盡力降低其復(fù)雜性；提供系統(tǒng)恢復(fù)機(jī)制；使系統(tǒng)具有更強(qiáng)的抗?jié)B透能力；所設(shè)計(jì)的訪問監(jiān)控器能進(jìn)行必要的分析與測(cè)試，具有抗篡改能力。第五級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第五級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求第五級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)技術(shù)要求另行制定。10定級(jí)系統(tǒng)互聯(lián)設(shè)計(jì)設(shè)計(jì)目標(biāo)定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)目標(biāo)是：對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之

36、間的互聯(lián)互通互操作進(jìn)行安全保護(hù)，確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性，并按安全策略對(duì)信息流向進(jìn)行嚴(yán)格控制，確保進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。設(shè)計(jì)策略定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)策略是：遵循GB17859-1999對(duì)各級(jí)系統(tǒng)的安全保護(hù)要求，在各定級(jí)系統(tǒng)的計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全的基礎(chǔ)上，通過(guò)安全管理中心增加相應(yīng)的安全互聯(lián)策略，保持用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對(duì)互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換進(jìn)行安全保護(hù)。設(shè)計(jì)技術(shù)要求安全互聯(lián)部件設(shè)計(jì)技術(shù)要求應(yīng)通過(guò)通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級(jí)系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的安

37、全策略進(jìn)行信息交換，實(shí)現(xiàn)安全互聯(lián)部件。安全策略由跨定級(jí)系統(tǒng)安全管理中心實(shí)施?？缍?jí)系統(tǒng)安全管理中心設(shè)計(jì)技術(shù)要求應(yīng)通過(guò)安全通信網(wǎng)絡(luò)部件與各定級(jí)系統(tǒng)安全保護(hù)環(huán)境中的安全管理中心相連，主要實(shí)施跨定級(jí)系統(tǒng)的系統(tǒng)管理、安全管理和審計(jì)管理。系統(tǒng)管理應(yīng)通過(guò)系統(tǒng)管理員對(duì)安全互聯(lián)部件與相同和不同等級(jí)的定級(jí)系統(tǒng)中與安全互聯(lián)相關(guān)的系統(tǒng)資源和運(yùn)行進(jìn)行配置和管理，包括用戶身份管理、安全互聯(lián)部件資源配置和管理等。安全管理應(yīng)通過(guò)安全管理員對(duì)相同和不同等級(jí)的定級(jí)系統(tǒng)中與安全互聯(lián)相關(guān)的主/客體進(jìn)行標(biāo)記管理，使其標(biāo)記能準(zhǔn)確反映主/客體在定級(jí)系統(tǒng)中的安全屬性；對(duì)主體進(jìn)行授權(quán)，配置統(tǒng)一的安全策略，并確保授權(quán)在相同和不同等級(jí)的定級(jí)系統(tǒng)

38、中的合理性。審計(jì)管理應(yīng)通過(guò)安全審計(jì)員對(duì)安全互聯(lián)部件的安全審計(jì)機(jī)制、各定級(jí)系統(tǒng)的安全審計(jì)機(jī)制以及與跨定級(jí)系統(tǒng)互聯(lián)有關(guān)的安全審計(jì)機(jī)制進(jìn)行集中管理。包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)管理和查詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析,并根據(jù)分析結(jié)果進(jìn)行及時(shí)處理。附錄A（資料性附錄）訪問控制機(jī)制設(shè)計(jì)自主訪問控制機(jī)制設(shè)計(jì)系統(tǒng)在初始配置過(guò)程中，安全管理中心首先需要對(duì)系統(tǒng)中的主體及客體進(jìn)行登記命名，然后根據(jù)自主訪問控制安全策略，按照主體對(duì)其創(chuàng)建客體的授權(quán)命令，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問的客體和操作，并形成訪問控制列表。自主訪問控制機(jī)制結(jié)構(gòu)如圖所

39、示。用戶登錄系統(tǒng)時(shí)，首先進(jìn)行身份鑒別，經(jīng)確認(rèn)為合法的注冊(cè)用戶可登錄系統(tǒng)，并執(zhí)行相應(yīng)的程序。當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體資源的請(qǐng)求后，自主訪問控制安全機(jī)制將截獲該請(qǐng)求，然后查詢對(duì)應(yīng)訪問控制列表。如果該請(qǐng)求符合自主訪問控制列表規(guī)定的權(quán)限，則允許其執(zhí)行；否則將拒絕執(zhí)行，并將此行為記錄在審計(jì)記錄中。強(qiáng)制訪問控制機(jī)制設(shè)計(jì)系統(tǒng)在初始配置過(guò)程中，安全管理中心需要對(duì)系統(tǒng)中的確定主體及其所控制的客體實(shí)施身份管理標(biāo)記管理授權(quán)管理和策略管理。身份管理確定系統(tǒng)中所有合法用戶的身份工作密鑰證書等與安全相關(guān)的內(nèi)容。標(biāo)記管理根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級(jí)別及范疇，生成全局客體

40、安全標(biāo)記列表；同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全級(jí)別及范疇，生成全局主體安全標(biāo)記列表。授權(quán)管理根據(jù)業(yè)務(wù)系統(tǒng)需求和安全狀況，授予用戶訪問客體資源的權(quán)限，生成強(qiáng)制訪問控制策略和級(jí)別調(diào)整策略列表。策略管理則根據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問控制策略和級(jí)別調(diào)整策略。除此之外，安全審計(jì)員需要通過(guò)安全管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)管理。強(qiáng)制訪問控制機(jī)制結(jié)構(gòu)如圖所示。系統(tǒng)在初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，經(jīng)過(guò)系統(tǒng)身份認(rèn)證確認(rèn)為授權(quán)主體后，系統(tǒng)將下載全局主/客體安全標(biāo)記列表及與該主體對(duì)應(yīng)的訪問控制列表，并對(duì)其進(jìn)行初始化。當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體

41、資源的請(qǐng)求后，系統(tǒng)安全機(jī)制將截獲該請(qǐng)求，并從中取出訪問控制相關(guān)的主體客體操作三要素信息，然后查詢?nèi)种?客體安全標(biāo)記列表，得到主/客體的安全標(biāo)記信息，并依據(jù)強(qiáng)制訪問控制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問。否則，系統(tǒng)將進(jìn)行級(jí)別調(diào)整審核，即依據(jù)級(jí)別調(diào)整策略，判斷發(fā)出該請(qǐng)求的主體是否有權(quán)訪問該客體。如果上述檢查通過(guò)，系統(tǒng)同樣允許該主體執(zhí)行資源訪問，否則，該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強(qiáng)制訪問控制機(jī)制在執(zhí)行安全策略過(guò)程中，需要根據(jù)安全審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及安全決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供安全審

42、計(jì)員管理。附錄B（資料性附錄）第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例功能與流程根據(jù)“一個(gè)中心”管理下的“三重保護(hù)”體系框架，構(gòu)建安全機(jī)制和策略，形成定級(jí)系統(tǒng)的安全保護(hù)環(huán)境。該環(huán)境分為如下四部分：安全計(jì)算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)和安全管理中心。每個(gè)部分由1個(gè)或若干個(gè)子系統(tǒng)（安全保護(hù)部件）組成，子系統(tǒng)具有安全保護(hù)功能獨(dú)立完整調(diào)用接口簡(jiǎn)潔與安全產(chǎn)品相對(duì)應(yīng)和易于管理等特征。安全計(jì)算環(huán)境可細(xì)分為節(jié)點(diǎn)子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)；安全管理中心可細(xì)分為系統(tǒng)管理子系統(tǒng)安全管理子系統(tǒng)和審計(jì)子系統(tǒng)。以上各子系統(tǒng)之間的邏輯關(guān)系如圖所示。各子系統(tǒng)主要功能第三級(jí)系統(tǒng)安全保護(hù)環(huán)境各子系統(tǒng)的主要功能如下:a）節(jié)點(diǎn)子系統(tǒng)節(jié)點(diǎn)子系統(tǒng)

43、通過(guò)在操作系統(tǒng)核心層系統(tǒng)層設(shè)置以強(qiáng)制訪問控制為主體的系統(tǒng)安全機(jī)制，形成防護(hù)層，通過(guò)對(duì)用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的保密性和完整性，為典型應(yīng)用支撐子系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。b）典型應(yīng)用支撐子系統(tǒng)典型應(yīng)用支撐子系統(tǒng)是系統(tǒng)安全保護(hù)環(huán)境中為應(yīng)用系統(tǒng)提供安全支撐服務(wù)的接口。通過(guò)接口平臺(tái)使應(yīng)用系統(tǒng)的主客體與保護(hù)環(huán)境的主客體相對(duì)應(yīng)，達(dá)到訪問控制策略實(shí)現(xiàn)的一致性。C）區(qū)域邊界子系統(tǒng)區(qū)域邊界子系統(tǒng)通過(guò)對(duì)進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，確保不會(huì)有違反系統(tǒng)安全策略的信息流經(jīng)過(guò)邊界。d）通信網(wǎng)絡(luò)子系統(tǒng)通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保

44、密性和完整性的保護(hù)，確保其在傳輸過(guò)程中不會(huì)被非授權(quán)竊聽和篡改，以保障數(shù)據(jù)在傳輸過(guò)程中的安全。e）系統(tǒng)管理子系統(tǒng)系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對(duì)安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理資源管理異常情況處理等。f）安全管理子系統(tǒng)安全管理子系統(tǒng)是系統(tǒng)的安全控制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理等。安全管理子系統(tǒng)通過(guò)制定相應(yīng)的系統(tǒng)安全策略，并要求節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)和通信網(wǎng)絡(luò)子系統(tǒng)強(qiáng)制執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的集中管理。g）審計(jì)子系統(tǒng)審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。安全審計(jì)員通過(guò)制定審計(jì)策略，并要求節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)安全管理子系

45、統(tǒng)系統(tǒng)管理子系統(tǒng)強(qiáng)制執(zhí)行，實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的行為審計(jì)，確保用戶無(wú)法抵賴違反系統(tǒng)安全策略的行為，同時(shí)為應(yīng)急處理提供依據(jù)。各子系統(tǒng)主要流程第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的結(jié)構(gòu)與流程可以分為安全管理流程與訪問控制流程。安全管理流程主要由安全管理員系統(tǒng)管理員和安全審計(jì)員通過(guò)安全管理中心執(zhí)行，分別實(shí)施系統(tǒng)維護(hù)安全策略制定和部署審計(jì)記錄分析和結(jié)果響應(yīng)等。訪問控制流程則在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自主訪問控制強(qiáng)制訪問控制等。a）策略初始化流程節(jié)點(diǎn)子系統(tǒng)在運(yùn)行之前，首先由安全管理員、系統(tǒng)管理員和安全審計(jì)員通過(guò)安全管理中心為其部署相應(yīng)的安全策略。其中，系統(tǒng)管理員首先需要為定級(jí)系統(tǒng)中的所有用戶實(shí)施身份管理，即確定所有用戶的身

46、份、工作密鑰、證書等。同時(shí)需要為定級(jí)系統(tǒng)實(shí)施資源管理，以確定業(yè)務(wù)系統(tǒng)正常運(yùn)行需要使用的執(zhí)行程序等。安全管理員需要通過(guò)安全管理中心為定級(jí)系統(tǒng)中所有主、客體實(shí)施標(biāo)記管理，即根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定其安全級(jí)，生成全局客體安全標(biāo)記列表。同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定其安全標(biāo)記，生成全局主體安全標(biāo)記列表。在此基礎(chǔ)上，安全管理員需要根據(jù)系統(tǒng)需求和安全狀況，為主體實(shí)施授權(quán)管理，即授予用戶訪問客體資源的權(quán)限，生成強(qiáng)制訪問控制列表和級(jí)別調(diào)整策略列表。除此之外，安全審計(jì)員需要通過(guò)安全管理中心中的審計(jì)子系統(tǒng)制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審核管理。如果定級(jí)系統(tǒng)需要和其它系統(tǒng)進(jìn)行互聯(lián)，則

47、上述初始化流程需要結(jié)合跨定級(jí)系統(tǒng)安全管理中心制定的策略執(zhí)行。b）計(jì)算節(jié)點(diǎn)啟動(dòng)流程策略初始化完成后，授權(quán)用戶才可以啟動(dòng)并使用計(jì)算節(jié)點(diǎn)訪問定級(jí)系統(tǒng)中的客體資源。為了確保計(jì)算節(jié)點(diǎn)的系統(tǒng)完整性，節(jié)點(diǎn)子系統(tǒng)在啟動(dòng)時(shí)需要對(duì)所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代碼預(yù)期值列表中，并且程序完整性沒有遭到破壞。計(jì)算節(jié)點(diǎn)啟動(dòng)后，用戶便可以安全地登錄系統(tǒng)。在此過(guò)程中，系統(tǒng)首先裝載代表用戶身份唯一標(biāo)識(shí)的硬件令牌，然后獲取其中的用戶信息，進(jìn)而驗(yàn)證登錄用戶是否是該節(jié)點(diǎn)上的授權(quán)用戶。如果檢查通過(guò)，系統(tǒng)將請(qǐng)求策略服務(wù)器下載與該用戶相關(guān)的系統(tǒng)安全策略。下載成功后，系統(tǒng)可信計(jì)算基將確定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作

48、空間。此后，該用戶便可以通過(guò)啟動(dòng)應(yīng)用訪問定級(jí)系統(tǒng)中的客體資源。c）計(jì)算節(jié)點(diǎn)訪問控制流程用戶啟動(dòng)應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問本地或網(wǎng)絡(luò)資源的請(qǐng)求，該請(qǐng)求將被操作系統(tǒng)訪問控制模塊截獲。訪問控制模塊首先依據(jù)自主訪問控制策略對(duì)其執(zhí)行策略符合性檢查。如果自主訪問控制策略符合性檢查通過(guò)，則該請(qǐng)求允許被執(zhí)行；否則，訪問控制模塊依據(jù)強(qiáng)制訪問控制策略對(duì)該請(qǐng)求執(zhí)行策略符合性檢查。如果強(qiáng)制訪問策略符合性檢查通過(guò)，那么該請(qǐng)求允許被執(zhí)行；否則，系統(tǒng)對(duì)其進(jìn)行級(jí)別調(diào)整檢查。即依照級(jí)別調(diào)整檢查策略，判斷發(fā)出該請(qǐng)求的主體是否有權(quán)訪問該客體。如果通過(guò)，該請(qǐng)求同樣允許被執(zhí)行；否則，該請(qǐng)求被拒絕執(zhí)行。系統(tǒng)訪問控制機(jī)

49、制在安全決策過(guò)程中，需要根據(jù)安全審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供安全審計(jì)員檢查和處理。d）跨計(jì)算節(jié)點(diǎn)訪問控制流程如果主體和其所請(qǐng)求訪問的客體資源不在同一個(gè)計(jì)算節(jié)點(diǎn)，則該請(qǐng)求會(huì)被可信接入模塊截獲，用來(lái)判斷該請(qǐng)求是否會(huì)破壞系統(tǒng)安全。在進(jìn)行接入檢查前，模塊首先通知系統(tǒng)安全代理獲取對(duì)方計(jì)算節(jié)點(diǎn)的身份，并檢驗(yàn)其安全性。如果檢驗(yàn)結(jié)果是不安全的，則系統(tǒng)拒絕該請(qǐng)求；否則，系統(tǒng)將依據(jù)強(qiáng)制訪問控制策略，判斷該主體是否允許訪問相應(yīng)端口。如果檢查通過(guò)，該請(qǐng)求被放行；否則，該請(qǐng)求被拒絕。e）跨邊界訪問控制流程如果主體和其所請(qǐng)求訪問的客體資源不在同一個(gè)安全

50、保護(hù)環(huán)境內(nèi)，那么該請(qǐng)求將會(huì)被區(qū)域邊界控制設(shè)備截獲并且進(jìn)行安全性檢查，檢查過(guò)程類似于跨計(jì)算節(jié)點(diǎn)訪問控制流程。子系統(tǒng)間接口綜述為了清楚描述各子系統(tǒng)之間的關(guān)系，圖給出了子系統(tǒng)間的接口關(guān)系。典型應(yīng)用支撐子系統(tǒng)與節(jié)點(diǎn)子系統(tǒng)之間通過(guò)系統(tǒng)調(diào)用接口。其它子系統(tǒng)之間則通過(guò)可靠的網(wǎng)絡(luò)傳輸協(xié)議，按照規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)審計(jì)數(shù)據(jù)以及其他安全保護(hù)環(huán)境數(shù)據(jù)等。由于不同子系統(tǒng)之間需要交換各種類型的數(shù)據(jù)包，因此需要明確定義子系統(tǒng)間的接口協(xié)議并規(guī)范傳輸數(shù)據(jù)包格式，使得各子系統(tǒng)之間能透明交互，實(shí)現(xiàn)相應(yīng)數(shù)據(jù)的交換。數(shù)據(jù)包的標(biāo)準(zhǔn)格式如表所示。數(shù)據(jù)包由包頭附加項(xiàng)和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，定義了標(biāo)志版本號(hào)接口類型、

51、標(biāo)記位以及內(nèi)容和附加項(xiàng)長(zhǎng)度等。內(nèi)容和附加項(xiàng)長(zhǎng)度不定。數(shù)據(jù)包各數(shù)據(jù)項(xiàng)說(shuō)明如下：標(biāo)志（4字節(jié)）：用于標(biāo)識(shí)等級(jí)保護(hù)相關(guān)的數(shù)據(jù)流，此標(biāo)志可以作為區(qū)別等級(jí)保護(hù)數(shù)據(jù)包的依據(jù)。版本號(hào)（4字節(jié)）：表示該接口協(xié)議的版本號(hào)。其中前兩個(gè)字節(jié)表示主版本號(hào)。接口類型（4字節(jié)）：表示本數(shù)據(jù)包的對(duì)應(yīng)接口類型編號(hào)。標(biāo)記位（4字節(jié)）：表述數(shù)據(jù)包屬性標(biāo)志，如表所示。BRO：表示數(shù)據(jù)包發(fā)送對(duì)象地址尚未確定，需要以廣播方式發(fā)送或發(fā)送給查詢服務(wù)器。SIG：表示數(shù)據(jù)包是否有簽名保護(hù)，0為無(wú)簽名，1為有簽名。如果有簽名保護(hù)，簽名信息在附加項(xiàng)中。CHK：表示數(shù)據(jù)包是否需要校驗(yàn)，0為不校驗(yàn)，1為校驗(yàn)。如果需要校驗(yàn)，校驗(yàn)碼在附加項(xiàng)中存放。內(nèi)容長(zhǎng)

52、度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長(zhǎng)度，以字節(jié)為單位。附加項(xiàng)長(zhǎng)度（4字節(jié)）：表示所有附加項(xiàng)長(zhǎng)度之和，以字節(jié)為單位。保留（8字節(jié)）：作為數(shù)據(jù)包擴(kuò)展保留。數(shù)據(jù)內(nèi)容：數(shù)據(jù)包傳輸?shù)木唧w內(nèi)容，其格式與數(shù)據(jù)包類型相關(guān)，長(zhǎng)度不定。附加項(xiàng)類型（4字節(jié)）：表示附加項(xiàng)的類型。附加項(xiàng)內(nèi)容：數(shù)據(jù)包傳輸?shù)母郊觾?nèi)容，其格式與附加項(xiàng)類型相關(guān)，長(zhǎng)度不定。下面按照接口對(duì)應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附加項(xiàng)。接口1功能：節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向安全管理子系統(tǒng)請(qǐng)求下載策略。類型：請(qǐng)求數(shù)據(jù)包。描述：計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備啟動(dòng)時(shí)，向安全管理子系統(tǒng)請(qǐng)求下載策略，該接口為節(jié)點(diǎn)子系統(tǒng)區(qū)域邊界子系統(tǒng)通信網(wǎng)絡(luò)

53、子系統(tǒng)到安全管理子系統(tǒng)之間的接口?？蛻舳讼蚍?wù)器發(fā)起TCP連接，發(fā)出的請(qǐng)求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口2功能：安全管理子系統(tǒng)向節(jié)點(diǎn)（區(qū)域邊界通信網(wǎng)絡(luò)）子系統(tǒng)返回與請(qǐng)求主體相關(guān)的策略。類型：策略下發(fā)數(shù)據(jù)包。描述：安全管理中心接到下載策略請(qǐng)求后，向計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備發(fā)送安全策略。安全管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口3功能：節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向?qū)徲?jì)服務(wù)器發(fā)送審計(jì)記錄。類型：審計(jì)記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式。描述：計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備向?qū)徲?jì)子系統(tǒng)發(fā)送審計(jì)記錄。所發(fā)送的審計(jì)記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表所示。接口4功能：節(jié)點(diǎn)子系統(tǒng)之間的接入可信性驗(yàn)證。類型：可信接入申請(qǐng)包可信接入應(yīng)答包可信接入確認(rèn)包。描述：節(jié)點(diǎn)子系統(tǒng)之間的接口主要實(shí)現(xiàn)可信接入?？尚沤尤胧窃趫?zhí)行跨節(jié)點(diǎn)間訪問時(shí)，客體所在節(jié)點(diǎn)驗(yàn)證主體所在節(jié)點(diǎn)可信性的過(guò)程?？尚沤尤胄枰絽f(xié)議執(zhí)